智慧城市-信息数据资产安全信息终端设计方案L5.docx

信息数据资产平安信息终端 设计方案 文件编号 202X QK011/ BT-ZTA-QK011 文件状态 ［］草稿［J］正式发布［］正在修改 当前版本 拟制 日期 审核 日期 通过CA认证后，方可启动专用U盘的隐藏TOOLS区中的操作 工具进行或通过隐藏TOOLS区中的运行库与计算机操作工具相对接 完成操作功能。 2.2.4.拓展开发 可通过专用U盘提供的API,自行开发应用程序，以实现自主安 全管理，扩展应用范围。 第三章系统功能 隐形加密盘，采用自发研制的文件存储技术，可实现全隐形、高 度加密、私密存储的功能，采用USB接口，自带专用文件管理系统， 即使采用硬件破解方式，也无法对数据进行盗取和破坏。同时具有普 通U盘的功能。每一个具有唯一的ID识别号，由流水线上生成，也 可根据需要，与ID组合成专用序列号。同时具有iKey、存储、权限 控制、加密、独立文件系统、独立数据库、隐形、程序可执行等特性 于一体，在电信、金融、保险、平安、军用、网络、知识产权保护等 领域具有很高的实用价值。 3.1. 密盾隐形区文件系统(JTFS ) 文件系统JTFS完全采用底层技术开发，区别于Windows、Linux、 Unix等任何操作系统的文件存储方式、分区表结构，使整个专用分 区或整盘完全隐藏，任何操作系统或存储工具都无法识别其分区表或 文件存储方式。 文件系统同时采用了高速缓存技术，完全符合USB2.0技术标准, 读写速度超过普通USB接口存储设备。 3.1.1. 文件管理 提供了专用的文件管理工具，可以对隐形区进行文件操作，此工 具可进行文件的常规操作（复制、剪切、粘贴、删除、重命名等）、 空间划分、初始化、用户权限管理等等操作。 3.1.2. API 接口 因采用了独立的文件存储技术，除专用程序外，其它工具完全无 法识别，为方便客户个性化产品开发，提供专用API接口，以建立客 户程序与IFD的数据通讯及文件操作。 API接口内置命令简洁易懂、功能强大，使客户的开发完全自主。 32区域划分FLASH划分为：隐藏TOOLS）、普通存储区（U盘）、隐藏区三 个区域。 3.2.1. 隐藏 TOOLS 区 隐藏TOOLS区（或取其它名称）：一般情况下放置了”” 的文件管理工具，插入PC后自动运行（须操作系统的自动 运行支持），此区模仿了 CDR0M的，为只读区域，并且无法 更改其属性。 隐藏TOOLS区也可根据用户需要，放置用户自主开发的 程序，比方：PC的驱动程序、品牌电脑的配套软件、杀毒厂 商的查杀引擎、金融行业的平安认证程序、军队管理系统、 办公软件、财务软件、软件厂商的软件认证程序等等。 3.2.2. 普通存储区普通存储区可以用来做普通U盘使用。 3.2.3. 隐藏区隐藏区是的独立文件系统JTFS,除逻辑构建外，还由金宇盛通 的专用硬件支撑，即使放在破解电路上也无法知道文件的排列结构。 隐藏区可与隐藏TOOLS区配合使用，比方：品牌电脑可将配套第10页 软件的平安引擎放在隐藏TOOLS区，将核心程序文件放在隐藏区, 可到达保护配套软件不被盗版的目的，做到专机专用。 隐藏区具有权限保护，其文件管理工具（或API接口）具有用户 权限操作功能，需要口令或用户指纹才能建立与隐藏区的通讯。 3.2.4. 专用数据库 专用的便携式数据库（IFSQL）,可通过放置在隐藏TOOLS区 的数据操作工具（或由客户采用API接口开发），数据库存储量大、 高效，数据库主要放置在藏区，与JTFS形成一体。 33平安保障采用普通操作系统无法识别的文件存储系统，完全隐形。 专用文件管理系统。 专用芯片：BIOS、FLASH全部加入了独有的技术。 用户权限：口令方式、指纹识别方式或两者具备。 世上唯一 IDo 完整存取记录（5W Log）： 第11页对于谁（Who）、何时（When）、在哪一台机器（Where）、针对 哪些档案（Which）、作了哪些事情（What）,都会详细记录在一个隐 藏的区域。除非是系统管理员，一般使用者无法编辑该项纪录。 3.4. 系统特点。专用文件管理系统 ❖ FLASH空间可灵活划分（比方：普通区占10%,隐藏区 占90%,或反之，比便随意）； ♦:♦可添加指纹识别模块、与智能卡结合、iKey功能、与其它 系统或设备结合使用；第12页 目录 第一章工程概述0工程概述0 1.1. 建设内容1参考依据2 第二章系统功能4功能设计4 2.1. 核心功能4221 .保密文件管理4 2.22数据平安管理52.2.3.个人保密数据6 2.2.4,拓展开发7第三章系统功能8 3.1. 密盾隐形区8文件系统(JTFS) 8 3.1.1. 文件管理9API 接口 9 3.2. 区域划分9隐藏 TOOLS区10 3.2.1. 普通存储区10隐藏区10 3.2.2. 专用数据库11平安保障11 3.3. 系统特点12 第一章工程概述 为单位信息资源的管理提供方便，管理的内容包括计算机上的硬 件设备信息、软件信息以及计算机系统信息，有利于及时发现和解决 信息资源丧失和变动情况，并且对各种可能造成泄密的泄密途径进行 监控，保护内部信息资源的平安（防止文件资料被破坏、丧失、泄密）， 防止外部移动存储设备拷贝内部计算机内资料；在发生泄密事件后, 能通过详尽的历史记录，迅速找到泄密的途径并找出应对方法。 1.1.工程概述 系统采用标准的C/S构架模式工作，包括U盘客户端、计算机 客户端，由服务器来统一管理各客户端和客户端的数据记录。服务器 端提供完整详尽的记录报表和管理模块来查询和管理客户端的数据。 记录的内容包括客户端计算机上的硬件设备信息、软件信息，有 利于及时发现和解决信息资源丧失和变动情况，以便及时采取防范措 施。 1、在防止信息资源泄漏方面，通过对可能造成信息泄密的各种 途径进行监控，确保信息资源的平安。我们同时还提供了全方位的行 为管理，包括网络端口监控、运行程序监控，从多方面杜绝信息被泄 漏的可能性；2、另外，万一信息资源被泄漏出去，通过详细的记录数据，我 们能够及时地找到泄密的途径和方法，以及嫌疑对象，从而及时快速的找到解决方法，使损失减少到最低； 12建设内容 通过建立计算机的硬件信息的管理，提高信息资源利用效率、工 作稳定性以及系统平安性，解决信息资源变动频繁、管理困难的问题。 系统主要功能如下： 1）监控计算机USB、串口、键盘口动作，分辨是否U盘、移动 设备插入。 2）记录CPU信息（包括设备名、设备序号、生产厂商等）；记 录BIOS信息（包括设备名、标题、描述、生产厂商、版本等信息）、 记录硬盘信息（设备描述、标题、序号、类型、容量大小）、记录主 板信息（包括标题、描述、设备名、型号）； 3）记录安装的软件信息（包括操作系统序列号、应用软件名称、 记录系统安装过的补丁信息、包括补丁标志、补丁描述）。 4）记录操作系统信息，包括操作系统名、版本、最新补丁、引 导位置、注册用户名、安装位置等信息。 5)对硬件设备信息进行分类查询、统计。 13参考依据《中国人民解放军计算机信息系统平安保密规定》。 《中华人民共和国保守国家秘密法》《关于加强新形势下军队信息平安保障工作的意见》 ❖ 《国家秘密载体保密管理的规定》《信息平安等级保护管理方法》 ❖ 《计算机信息网络国际联网平安保护管理方法》《中华人民共和国计算机信息系统平安保护条例》 ❖ :♦国家标准汇编《计算机软件工程规范》1998《中国金融集成电路(IC)卡规范》 ❖ GB8567-88计算机软件产品开发文件编制指南GB9386-88 计算机软件测试文件编制规范 ❖ GB/T 12504-90计算机软件质量保证计划规范 + GB1526-89/ISO5807-1995 信息处理GB/T8566-199信息技术生存期过程 ❖ GB9813-86 微型数字电子计算机通用技术条件 ❖ GB/T17626.2-1998/1 EC 61000-4-2:1995 电磁兼容 试验 和测量技术静电放电抗扰度试验 ❖ GB9254-1998信息技术设备无线电骚扰限值和测量方 法GB/T 17618-1998信息技术设备抗扰度限值和测量方法 第二章系统功能 2.1.功能设计 1、计算机客户端方式：当u盘插入计算机时，计算机客户端检 测U盘是否单位内部专用U盘，并且向服务器提供检索请求，服务 器对计算机客户端上报的u盘ID进行分析后返回结果，通知计算机 是否允许使用，并且根据服务器设定的访问权限，通知计算机是否允 许U盘进行读写、复制、下载等操作； 2、专用U盘方式：当U盘插入计算机后，U盘内隐藏的客户端 程序自动运行，U盘客户端同时检测是否内部计算机或最初绑定的计 算机，并且自动连接服务器，查询当前计算机是否已经在内部服务器 进行注册，如果为合法计算机，那么提示用户登录进行操作，如非合法 计算机，那么停止运行。 22核心功能文件管理 在专用U盘的隐藏TOOLS区安装专用于保密文件管理的工具, 当专用U盘插入PC或保密文件管理专用设备中，隐藏TOOLS区的 程序自动运行，专用U盘内的日志记录功能也随之一同启动; 隐藏TOOLS区的保密文件管理工具运行后，向PC发送专用U 盘的ID号码，通过PC的认证后，由持有人输入保密文件管理工具 的操作密码，保密文件管理工具验证密码后，翻开专用U盘的隐藏 区，持有人可进行文件操作。 日志监视功能记录整个操作过程，以备以后查验。 因所有的操作全部在专用U盘上完成，拔出专用U盘后,PC上 将不留任何数据，因专用U盘文件管理工具的监视功能，正常退出 程序时，会同时删除PC上的相关操作痕迹；由于文件管理工具的监 视功能在内存中驻留，即使直接拔出专用U盘，监视功能一旦查找 不到专用U盘通讯信息，将直接删除PC上的操作痕迹，然后自主停 止运行。 1.1.1. 数据平安管理 使用专用U盘的唯一 ID特性，实现与计算机数据库与管理人员 的身份绑定，在计算机插入专用U盘后，通过身份认证后，安装在 专用U盘 隐藏TOOLS区的数据库管理工具客户端启动，输入操作 密码后，客户端将专用U盘的数据库与计算机数据库进行连接，以 确认是否操作人员的操作记录与计算机数据库操作记录相符合，通过 配对后，方可进行数据库操作，操作的同时，专用U盘的数据库及 日志记录器将记录所有操作过程，包含时间、数据名称、数据值等等 内容，也可由用户自行设定记录内容； 计算机数据本体工具的管理：使用专用U盘的iKey功能，实现 数据操作登录。 使用专用U盘自带数据库：专用U盘自带独有格式的数据库， 可将重要数据记录在专用U盘数据库中，在与计算机联机后，方可 使用专用U盘数据库中的数据，当计算机没有专用U盘时，计算机 没有任何价值，因为数据全部记录在专用U盘数据库中，拔出专用U 盘后，计算机将不保存任何数据，以实现数据的平安保护。 由于专用U盘独有的文件存储方式和数据存储方式，任何计算 机病毒都无法侵入专用U盘，专用U盘自带的保护机制，使病毒根 本得不到运行许可，即使被复制到专用U盘的隐藏存储区中，病毒 由于失去了运行许可，因而也成为了一堆无用的垃圾文件。 1.1.2. 个人保密数据使用专用U盘的Key功能，实现CA认证登录;