一(one)、産品概述

涉密計算機違規連接互聯網、移動存儲介質交叉使用(use)是(yes)近年來(Come)我(I)國發生(born)多起涉密信息系統洩密事件的(of)主要(want)原因，同時(hour)也是(yes)中央和(and)國家機關保密檢查中發現的(of)兩個(indivual)主要(want)洩密途徑；而外部信息單向導入涉密計算機是(yes)涉密單位的(of)重要(want)需求。針對上述嚴峻的(of)涉密信息系統保密安全管理現狀，國家保密局組織實施了(Got it)關于(At)“涉密計算機及移動存儲設備保密管理系統”（以(by)下簡稱“三合一(one)系統”）的(of)研制、檢測、生(born)産及部署等相關工作(do)。

科技積極跟進國家政策标準，于(At)2010獲得了(Got it)國家保密局關于(At)“三合一(one)系統”的(of)研制資格。自獲得研制資格以(by)來(Come)，嚴格按照BMB24-2010進行研制開發工作(do)，并在(exist)此基礎上探索創新，以(by)遵循國家标準爲(for)準則，程度滿足客戶安全管理和(and)應用(use)需求爲(for)己任，成功研發了(Got it)“涉密計算機及移動存儲設備保密管理系統”。

“三合一(one)系統”遵從“保密、便捷、成熟、實用(use)”的(of)設計原則，在(exist)保證安全保密的(of)同時(hour)，使用(use)戶操作(do)的(of)便捷性得到(arrive)了(Got it)體現。系統包括用(use)戶端軟件、管理端軟件、多功能導入裝置、涉密專用(use)優盤、管理員身份鑰匙、審計員身份鑰匙六個(indivual)部分，構成如圖1所示。

1)       服務器程序：安裝在(exist)Windows 2000 /2003操作(do)系統上，可以(by)放置在(exist)機房中，由控制台進行控制，與終端直接聯系，并将所有信息存儲在(exist)數據庫中。

2)       控制端程序：系統遵循二員職責設計，即将管理員細分爲(for)管理員、審計員。 二員可以(by)通過控制台來(Come)連接服務器實施相應控制。

3)       用(use)戶端程序：安裝在(exist)每台終端計算機上配合控制台對終端計算機進行安全監控的(of)代理程序，包括涉密終端和(and)涉密單機。

4)       操作(do)員身份鑰匙：包括管理員身份鑰匙和(and)審計員身份鑰匙，使用(use)不(No)同的(of)身份鑰匙登錄系統可以(by)實現相應的(of)管理功能。

5)       多功能導入裝置：在(exist)安裝本系統軟件的(of)涉密終端上通用(use)。其專用(use)接口連接涉密專用(use)優盤，實現涉密專用(use)優盤的(of)數據存取；通用(use)接口連接普通優盤，可以(by)将非涉密通用(use)優盤内的(of)非涉密數據單向導入到(arrive)涉密計算機。

6)       涉密專用(use)優盤：具有規定的(of)外形、接口、内部數據格式、ID和(and)認證方式。用(use)于(At)和(and)多功能導入裝置配合使用(use)完成優盤與計算機的(of)雙向涉密數據交互。

二、産品功能

2.1 主要(want)功能

2.1.1非法外聯監控：

通過網絡傳輸層驅動實時(hour)監控涉密計算機是(yes)否違規連接互聯網；若出(out)現違規行爲(for)即時(hour)發送報警信息，并阻斷網絡連接

2.1.2介質使用(use)管控：

1)       涉密專用(use)U盤管理：實現涉密專用(use)U盤的(of)進行注冊，查詢，修改注冊信息功能。

2)       涉密專用(use)U盤完整性檢測：對涉密專用(use)U盤的(of)完整性進行檢測，從而避免涉密專用(use)U盤注冊信息被非法修改、以(by)及僞造注冊信息。

3)       涉密專用(use)U盤使用(use)範圍控制：通過USB涉密過濾驅動，杜絕非涉密專用(use)U盤的(of)接入，涉密專用(use)U盤可控使用(use)範圍爲(for)本人(people)、本部門、本單位、通用(use)。

4)       涉密專用(use)U盤安全性保證：涉密專用(use)U盤使用(use)前需要(want)驗證用(use)戶口令、硬件口令；涉密專用(use)U盤的(of)讀寫會進行數據的(of)封裝或解析；并采用(use)專用(use)文件系統，在(exist)非法環境中U盤無法正常加載盤符。

2.1.3非涉密信息單向導入：

1)       外部信息單向導入：利用(use)光單向傳輸性，将普通存儲介質内的(of)外部信息通過單向導入裝置單向導入涉密環境中。

2)       文件自選傳輸：設備支持“默認傳輸”和(and)“自主傳輸”兩種模式。“自主傳輸”模式下用(use)戶可以(by)自由選自U盤中的(of)指定文件，導入效率和(and)靈活性大(big)大(big)提高。

3)       傳輸速度可調：設備在(exist)符合标準的(of)前提下，數據導入速度可調節。900Bps，4MBps，遠遠高出(out)同類産品。速率可調也使得面對不(No)同配置的(of)計算機時(hour)兼容性更強。

2.1.4涉密信息雙向交互

通過涉密專用(use)U盤配合多功能導入裝置使用(use)，采用(use)特殊的(of)專用(use)接口、特殊的(of)專用(use)格式及用(use)戶口令認證的(of)功能，實現涉密信息雙向交互

2.2 輔助功能

2.2.1服務器管理

操作(do)員身份鑰匙、設備控制、報警個(indivual)性化設置、鎖定設置、日志審計、初始化安裝Key、數據庫自動備份、備份磁盤空間報警設置、代理探測地(land)址白名單、終端認證時(hour)間設定

2.2.2終端管理

卸載和(and)删除終端、終端、注銷終端、查找終端、查看終端資源、終端分組、終端自動分組、終端自動升級功能、終端不(No)在(exist)線報警、外聯服務器IP。

2.2.3策略管理

查看、修改終端策略、發送策略、策略群發、設置默認加載策略、查看終端策略、查看終端所有已發策略、查看組策略

三、産品優勢

3.1 完全符合國家保密标準

嚴格遵循BMB24-2010标準開發，功能、技術、安全性和(and)管理使用(use)上完全符合國家保密标準。

3.2 手動導航 自選傳輸更便利

1)       所有文件導入操作(do)均可通過面闆上的(of)按鍵完成，無需鍵盤鼠标，使用(use)便利。

2)       通過浏覽U盤文件目錄，用(use)戶想傳那個(indivual)文件即可以(by)傳那個(indivual)文件，免去用(use)戶爲(for)避免導入不(No)需要(want)的(of)信息而不(No)得不(No)對U盤内文件進行經常性的(of)進行反複删除或清空操作(do)，使用(use)更簡便。

圖3—多功能導入裝置“自主傳輸模式”接收界面

3)       當被導入文件選擇錯誤或傳輸錯誤時(hour)，均可随時(hour)終止文件傳輸，使用(use)更靈活。

3.3 速率可調 文件導入更高速

1)       速率可調，速度高，是(yes)多功能單向導入裝置的(of)技術優勢。BMB24-2010要(want)求傳輸速度不(No)低于(At)500KB/S。多功能單向導入裝置增加了(Got it)速度調節功能，用(use)戶可以(by)根據實際需求，對非涉密U盤的(of)數據導入速度進行調控，速率共分5檔，默認速率爲(for)1檔，可達900KB/S,5檔可達4MKB/S，速率可調節提高了(Got it)非密U盤向涉密計算機單向導入文件的(of)效率。

2)       速率可調節在(exist)面對各種高低配置的(of)新舊計算機時(hour)，有着較強較靈活的(of)兼容性。

3.4 真正底層 技術實現更安全

1)       從硬件底層實現對U盤文件目錄的(of)解析，如下圖所示。如對文件名、文件大(big)小、文件屬性進行解析，并單向上傳到(arrive)涉密主機端（如上圖所示），這(this)樣用(use)戶通過文件目錄結構就可以(by)直觀查看文件，技術更底層。

2)       關鍵功能真正在(exist)内核層實現：如對外設控制、非法外聯監控等。内核層安全性更高、兼容性更好、控制更準确，程序運行效率更高，監控反饋更安全快速。