?產(chǎn)品介紹

產(chǎn)品背景：

    隨著我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)信息化建設(shè)進(jìn)程全面加快的同時(shí)，網(wǎng)絡(luò)信息系統(tǒng)安全的保密性保障問(wèn)題也得到了各級(jí)領(lǐng)導(dǎo)和各級(jí)政府及有關(guān)部門的重視。國(guó)家保密局結(jié)合現(xiàn)階段涉密信息系統(tǒng)建設(shè)的現(xiàn)狀，提出了三合一產(chǎn)品的防護(hù)方案。一方面輔助涉密單位建設(shè)一個(gè)技術(shù)先進(jìn)、安全高效、可靠可控的涉密信息系統(tǒng)，另一方面從實(shí)際出發(fā)，綜合平衡安全成本和風(fēng)險(xiǎn)，合理投入，優(yōu)化涉密信息系統(tǒng)的資源配置。
    
 
 三合一產(chǎn)品分項(xiàng)介紹
1   非授權(quán)外聯(lián)監(jiān)管系統(tǒng)
    非授權(quán)外聯(lián)監(jiān)管系統(tǒng)是為了滿足政府、軍隊(duì)、金融及科研院所等涉密信息系統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全和信息安全，而自主開(kāi)發(fā)的防止非法外聯(lián)的一款優(yōu)秀產(chǎn)品。它能夠監(jiān)管并阻斷涉密計(jì)算機(jī)中通過(guò)調(diào)制解調(diào)器、ADSL撥號(hào)、無(wú)線網(wǎng)卡等方式進(jìn)行的非法外聯(lián)行為，以及非可信計(jì)算機(jī)非法接入內(nèi)部網(wǎng)絡(luò)的行為，從技術(shù)手段上杜絕違規(guī)外聯(lián)和非法接入情況的發(fā)生。
    非授權(quán)外聯(lián)監(jiān)管系統(tǒng)采用主動(dòng)監(jiān)控、積極防御的方式，應(yīng)用智能代理技術(shù)，緊跟網(wǎng)絡(luò)信息安全領(lǐng)域的最新進(jìn)展，融合了非法外聯(lián)監(jiān)控、智能代理、實(shí)時(shí)安全監(jiān)控、集中管理平臺(tái)等相關(guān)技術(shù)，對(duì)涉密網(wǎng)絡(luò)計(jì)算機(jī)進(jìn)行實(shí)時(shí)監(jiān)管、外聯(lián)預(yù)警、違規(guī)行為分析統(tǒng)計(jì)、集中多樣式報(bào)警、實(shí)時(shí)阻斷等多種策略操作。輔助客戶構(gòu)建可信的、可控的涉密網(wǎng)絡(luò)。
產(chǎn)品特點(diǎn)
（1）產(chǎn)品符合《涉及國(guó)家秘密的信息系統(tǒng)非授權(quán)外聯(lián)監(jiān)管預(yù)警系統(tǒng)產(chǎn)品技術(shù)要求》的標(biāo)準(zhǔn)要求，通過(guò)國(guó)家保密局檢測(cè)，證書編號(hào)為ISSTEC200YT0476；
（2）發(fā)現(xiàn)并阻斷通過(guò)ADSL、MODEM、無(wú)線網(wǎng)卡等方式的違規(guī)外聯(lián)行為，杜絕違規(guī)外聯(lián)現(xiàn)象的發(fā)生；
（3）具有可信域自動(dòng)識(shí)別機(jī)制，通過(guò)自動(dòng)建立可信域，實(shí)現(xiàn)對(duì)非法接入行為阻斷，防止外部設(shè)備的非法接入現(xiàn)象發(fā)生；
（4）改變違規(guī)外聯(lián)行為檢查工作模式，以技術(shù)手段促進(jìn)管理水平的提高，變被動(dòng)檢查為主動(dòng)防御，把涉密計(jì)算機(jī)聯(lián)入互聯(lián)網(wǎng)的企圖消滅在未遂之時(shí)，并對(duì)違規(guī)者形成強(qiáng)大的心里震懾；全天候、全面覆蓋式地檢測(cè)違規(guī)上網(wǎng)行為，提高管理工作效率。
產(chǎn)品資質(zhì)：
外聯(lián)監(jiān)管涉密信息系統(tǒng)產(chǎn)品檢測(cè)證書
2  移動(dòng)存儲(chǔ)介質(zhì)使用管理系統(tǒng)
    移動(dòng)存儲(chǔ)介質(zhì)使用管理系統(tǒng)按照涉密網(wǎng)內(nèi)介質(zhì)使用的現(xiàn)狀及需求，秉著既安全保密又節(jié)約投資的原則，開(kāi)發(fā)了專用介質(zhì)管理系統(tǒng)和普通介質(zhì)管理系統(tǒng)兩個(gè)版本。
  （1）專用移動(dòng)存儲(chǔ)介質(zhì)使用管理系統(tǒng)
    可以對(duì)專用介質(zhì)進(jìn)行管理，建立介質(zhì)從授權(quán)使用到銷毀的整個(gè)生命周期管理過(guò)程，并有效阻斷安全保密U盤的違規(guī)外聯(lián)，做到保密要求與安全管理同步進(jìn)行，避免移動(dòng)存儲(chǔ)介質(zhì)在使用中造成的信息泄露。
  （2）普通移動(dòng)存儲(chǔ)介質(zhì)使用管理系統(tǒng)
    可以對(duì)普通介質(zhì)進(jìn)行管理，通過(guò)授權(quán)認(rèn)證、信息加密、訪問(wèn)控制、安全審計(jì)，扇區(qū)加密、數(shù)據(jù)流向控制等技術(shù)手段，實(shí)現(xiàn)了介質(zhì)的可信管理。并對(duì)介質(zhì)使用過(guò)程進(jìn)行審計(jì)和跟蹤，有效解決介質(zhì)交叉使用造成的泄密隱患。
產(chǎn)品特點(diǎn)
（1）產(chǎn)品符合BMB17標(biāo)準(zhǔn)中對(duì)移動(dòng)存儲(chǔ)介質(zhì)的管理要求，并通過(guò)國(guó)家保密安全評(píng)測(cè)，獲得保密信息系統(tǒng)產(chǎn)品檢測(cè)證書，證書號(hào)為ISSTEC2007YT0491。
（2）獨(dú)有的外聯(lián)阻斷功能，可以與非授權(quán)外聯(lián)監(jiān)管系統(tǒng)相互配合使用，同時(shí)本產(chǎn)品是全國(guó)唯一具有違規(guī)外聯(lián)阻斷預(yù)警功能的介質(zhì)管理系統(tǒng)。
（3）介質(zhì)自身安全加固，本系統(tǒng)采用的基于SLC芯片的專用存儲(chǔ)介質(zhì)，不但提供登錄控制、文件加解密功能，還可以在互聯(lián)網(wǎng)使用環(huán)境下阻斷對(duì)數(shù)據(jù)區(qū)的訪問(wèn)，有效的保護(hù)涉密文件，阻斷非法外聯(lián)可能存在的泄密風(fēng)險(xiǎn)。
（4）靈活多樣的功能設(shè)置，本系統(tǒng)提供密級(jí)控制、域控制、時(shí)間段內(nèi)介質(zhì)有效管理、數(shù)據(jù)自動(dòng)加密處理等，能充分滿足用戶的管理需求。
產(chǎn)品資質(zhì)：
USB移動(dòng)存儲(chǔ)介質(zhì)使用管理系統(tǒng)產(chǎn)品檢測(cè)證書
3   基于專用介質(zhì)的單向?qū)胂到y(tǒng)
    基于專用介質(zhì)的安全單向?qū)胂到y(tǒng)由授權(quán)管理中心、單向?qū)虢K端程序、單向?qū)雽Ｓ媒橘|(zhì)和智能卡四部分組成。系統(tǒng)通過(guò)智能卡統(tǒng)一對(duì)單向?qū)雽Ｓ媒橘|(zhì)和單向?qū)虢K端程序進(jìn)行授權(quán)管理，并根據(jù)智能卡中的密級(jí)標(biāo)識(shí)將終端程序與專用介質(zhì)進(jìn)行綁定。在單向?qū)雽Ｓ媒橘|(zhì)接入終端時(shí)，終端程序?qū)橘|(zhì)的安全策略和密級(jí)標(biāo)識(shí)進(jìn)行驗(yàn)證，如果驗(yàn)證失敗，則不允許接入終端。如果驗(yàn)證成功，介質(zhì)將按照終端的安全策略進(jìn)行數(shù)據(jù)傳輸，防止涉密信息從高密終端流向低密終端及從涉密網(wǎng)絡(luò)流向非涉密網(wǎng)絡(luò)。
產(chǎn)品特點(diǎn)
(1)產(chǎn)品具有自主知識(shí)產(chǎn)權(quán)，由公司經(jīng)驗(yàn)豐富的開(kāi)發(fā)人員經(jīng)過(guò)長(zhǎng)時(shí)間研發(fā)而成，相關(guān)指標(biāo)均達(dá)到國(guó)家保密標(biāo)準(zhǔn)，是國(guó)內(nèi)首家基于專用介質(zhì)的安全單向數(shù)據(jù)傳輸產(chǎn)品。
(2)本產(chǎn)品與USB移動(dòng)存儲(chǔ)介質(zhì)使用管理系統(tǒng)相互配合使用，可以提供全面的介質(zhì)安全管理解決方案。
(3)產(chǎn)品采用自主研發(fā)的U盤控制芯片，并提供專用的磁盤瀏覽器，充分滿足國(guó)家保密標(biāo)準(zhǔn)和用戶使用需求。
(4)本產(chǎn)品適用于非涉密網(wǎng)與涉密網(wǎng)之間的單向?qū)耄瑫r(shí)還能夠控制涉密網(wǎng)內(nèi)高密級(jí)與低密級(jí)數(shù)據(jù)的流向。
產(chǎn)品資質(zhì)：
基于專用介質(zhì)的安全單向?qū)胂到y(tǒng)專家鑒定意見(jiàn)
 
三合一產(chǎn)品集成應(yīng)用
產(chǎn)品要求
    隨著信息安全保密問(wèn)題日益突出，涉密單位信息系統(tǒng)建設(shè)的不斷深化，安全保密建設(shè)任務(wù)更加緊迫。如何設(shè)計(jì)并建設(shè)一個(gè)技術(shù)先進(jìn)、安全高效、可靠可控的涉密信息系統(tǒng)，成為安全保密建設(shè)至關(guān)重要的問(wèn)題。國(guó)家保密局根據(jù)這一實(shí)際情況，提出了三合一產(chǎn)品的防護(hù)策略。主要防護(hù)涉密信息系統(tǒng)中以下方面的內(nèi)容：
    外聯(lián)監(jiān)管的需求：國(guó)家保密局明確規(guī)定涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國(guó)際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接，必須實(shí)行物理隔離。如何確保對(duì)涉密計(jì)算機(jī)違規(guī)外聯(lián)行為的監(jiān)管，有效阻斷通過(guò)Modem、ADSL、無(wú)線網(wǎng)卡等方式的違規(guī)上網(wǎng)行為，是三合一產(chǎn)品的目標(biāo)之一。
    介質(zhì)管理的需求：目前，存儲(chǔ)保密信息的移動(dòng)介質(zhì)缺少身份認(rèn)證、接入控制等技術(shù)防護(hù)措施，自身安全防護(hù)能力較弱，保密移動(dòng)存儲(chǔ)介質(zhì)經(jīng)常處在失控狀態(tài)，經(jīng)常發(fā)生由于移動(dòng)存儲(chǔ)介質(zhì)交叉使用造成的泄密事件，這個(gè)問(wèn)題已經(jīng)成為保密工作的熱點(diǎn)和難點(diǎn)，如何處理好這個(gè)問(wèn)題，是三合一產(chǎn)品的第二個(gè)目標(biāo)。
    安全導(dǎo)入的需求：物理隔離雖能滿足涉密信息系統(tǒng)中信息的保密需求，卻為內(nèi)部工作人員的信息交換帶來(lái)了不便。應(yīng)用的需求是數(shù)據(jù)傳輸，涉密信息保密的要求是物理隔離，如何處理好應(yīng)用和保密的矛盾，是三合一產(chǎn)品的第三個(gè)目標(biāo)。
產(chǎn)品組成
    三合一產(chǎn)品主要由非授權(quán)外聯(lián)監(jiān)管系統(tǒng)、移動(dòng)存儲(chǔ)介質(zhì)使用管理系統(tǒng)和基于專用介質(zhì)的單向?qū)胂到y(tǒng)組成。

三合一產(chǎn)品組成圖

部署與防護(hù)（略）
保密標(biāo)準(zhǔn)與產(chǎn)品對(duì)比
三合一產(chǎn)品主要滿足的保密標(biāo)準(zhǔn)要求：
1.BMB17-2006保密標(biāo)準(zhǔn)要求涉密信息系統(tǒng)不得直接或間接國(guó)際聯(lián)網(wǎng)，并將物理隔離作為涉密信息系統(tǒng)基本保護(hù)要求，物理隔離就是指涉密信息系統(tǒng)不直接或間接連接公共網(wǎng)絡(luò)，只有物理隔離才能確保涉密信息系統(tǒng)不受來(lái)自公共網(wǎng)絡(luò)的攻擊威脅。
 非授權(quán)外聯(lián)監(jiān)管系統(tǒng)可以實(shí)現(xiàn)對(duì)涉密網(wǎng)內(nèi)兩個(gè)層面的監(jiān)控，滿足保密標(biāo)準(zhǔn)要求
（1）違規(guī)外聯(lián)行為的監(jiān)控，防止內(nèi)部用戶非授權(quán)的外部連接（如違規(guī)撥號(hào)、違規(guī)連接和違規(guī)無(wú)線上網(wǎng)等），并對(duì)違規(guī)行為進(jìn)行阻斷和報(bào)警。
（2）違規(guī)接入行為的監(jiān)控，控制涉密信息系統(tǒng)內(nèi)非可信計(jì)算機(jī)的接入；控制涉密計(jì)算機(jī)外設(shè)接口和設(shè)備的使用，并禁用無(wú)關(guān)接口或設(shè)備；
2.BMB17-2006保密標(biāo)準(zhǔn)要求因該對(duì)涉密移動(dòng)存儲(chǔ)介質(zhì)做好標(biāo)識(shí)，并對(duì)介質(zhì)的收發(fā)、傳遞、保存、使用、維修和報(bào)廢整個(gè)生命周期進(jìn)行嚴(yán)格管理，并通過(guò)嚴(yán)格的控制策略，保證涉密介質(zhì)不應(yīng)在非涉密的信息系統(tǒng)或單機(jī)上使用，較高密級(jí)信息存儲(chǔ)介質(zhì)不應(yīng)在較低密級(jí)信息系統(tǒng)中使用。防止內(nèi)部信息通過(guò)移動(dòng)存儲(chǔ)介質(zhì)傳遞到外部計(jì)算機(jī)。
移動(dòng)存儲(chǔ)介質(zhì)使用管理系統(tǒng)可以實(shí)現(xiàn)對(duì)介質(zhì)的三個(gè)層面管理，滿足保密標(biāo)準(zhǔn)要求
（1）介質(zhì)的標(biāo)識(shí)管理，通過(guò)授權(quán)管理中心對(duì)介質(zhì)進(jìn)行標(biāo)識(shí)，包括密級(jí)、使用域等。
（2）介質(zhì)生命周期管理，通過(guò)授權(quán)管理中心實(shí)現(xiàn)對(duì)介質(zhì)的登記、發(fā)放、收回、注銷和銷毀全過(guò)程管理，滿足保密標(biāo)準(zhǔn)要求中對(duì)介質(zhì)整個(gè)生命周期管理；
（3）使用域控制管理，即移動(dòng)存儲(chǔ)介質(zhì)只有經(jīng)過(guò)授權(quán)后才能夠在特定計(jì)算機(jī)（內(nèi)部做了標(biāo)識(shí)處理的計(jì)算機(jī)）使用，未經(jīng)授權(quán)的移動(dòng)存儲(chǔ)介質(zhì)無(wú)法在特定計(jì)算機(jī)上使用。避免介質(zhì)交叉使用可能造成的泄密隱患，改變介質(zhì)失控管理的局面。同時(shí)，保證存儲(chǔ)高密級(jí)的介質(zhì)無(wú)法在低密級(jí)的終端使用。
3.BMB17－2006保密標(biāo)準(zhǔn)要求，應(yīng)根據(jù)安全域劃分情況，明確需要進(jìn)行安全保密防護(hù)的邊界，并在安全域邊界實(shí)施有效的訪問(wèn)控制策略和機(jī)制，對(duì)于安全域之間的數(shù)據(jù)訪問(wèn)都應(yīng)通過(guò)安全邊界完成；在明確的安全域邊界應(yīng)采用安全隔離與信息交換系統(tǒng)進(jìn)行邊界防護(hù)，并防止高密級(jí)信息由高密級(jí)安全域流向低密級(jí)安全域。
基于專用介質(zhì)的單向?qū)胂到y(tǒng)可以實(shí)現(xiàn)兩個(gè)層面的數(shù)據(jù)單向?qū)耄瑵M足保密標(biāo)準(zhǔn)要求
（1）非涉密網(wǎng)與涉密網(wǎng)之間的數(shù)據(jù)單向?qū)?/p>

（2）涉密網(wǎng)內(nèi)低密級(jí)安全域到高密級(jí)安全域的數(shù)據(jù)單向?qū)?/span>