[01647489]基于可信网络的涉密信息在线管理系统及保密光盘装备

随著信息技术高速发展，信息安全形势日趋严峻，泄密事件时有发生，给国家和企事业单位带来不可估量的损失。该项目按照中国军方涉密信息管理的要求，从Windows操作系统底层入手，基于中国自主设计的TF32A09高性能信息安全芯片，采用国密办指定的sm1算法，研制了涉密信息在线管理系统及与之配套的系列保密光盘装备并实现了产业化。 涉密信息在线管理系统由网络认证、可信网络保密和可信网络监控三个子系统组成。采用主动加密、事前控制、事中监视、事后审计四重防范机制，通过对登陆用户与接入设备进行强制性认证，统一管控网络内部的公共服务资源，构建了一种新型实体信任机制。采用隐形加密、网络驱动和系统文件核心驱动等技术，实现了文件加解密操作的自动执行，确保文件创建、编辑、传输、储存、流转、拷贝、归档、销毁的整个生命周期中每一个环节都处于加密受控和可追溯状态；采用无痕编辑技术自动消除文档在编辑阅读过程中产生的客户端痕迹，防止残留信息泄密；采用伪装传输技术对所有通过网络传输的IP包进行特殊格式封装处理，这三种技术的组合，实现了用户透明的内部网络环境可信。 采用系统远程监控、设备控制和网络控制技术，通过对客户端计算机的集中管理、集中实时状态监控、外设端口控制、用户行为控制、网络端口控制和行为审计，实现了系统内部行为可信。研发了封装有射频芯片的保密光盘和配置加解密控制器的专用光盘读写器。形成了单盘机、多盘机和盘柜系列化产品。建成了保密光盘和专用光盘读写器生产线。每张保密光盘均有一个唯一标识码，专用光盘读写器内嵌与保密光盘射频芯片通信的模块，刻录和读写通过光盘内的芯片进行标注识读。光盘数据的加解密密钥由存储在光盘射频芯片中的密钥生成因子生成，系统在不改变用户原有工作流程和文件使用习惯的前提下，对需要保护的进程生成的所有文件(无论该文件原来是明文还是密文)进行强制加密保护，不仅支持本端刻录，且支持远程刻录。 项目主要创新点如下： 1、USBKey双因子认证及硬件内置的密码算法保证了用户私钥不会出现在计算机内存中，防止用户私钥被非法截取，破解了共谋攻击难题。 2、隐形加密、无痕编辑和伪装传输技术，实现了文档全生命周期的自动隐形加密、自动消除本地临时文件、副本文件等痕迹，采用特殊格式封装网络传输的IP包，有效提高了系统安全性。 3、发明了一种内嵌射频芯片的具有电子身份证的保密光盘和与之配套的专用读写器、网络保密光盘柜装备及其生产线，为中国涉密信息管理开辟了新途径。 项目成果共申请发明专利62件，其中授权发明专利6件、实用新型专利6件、进入实审的发明专利56件，获软件著作权1件。项目产品已通过中国军用信息安全产品认证，在成都军区等军方及北京、安徽等地政府、企事业单位推广应用，受到用户广泛好评。国家信息安全工程技术研究中心首席专家、中国工程院院士周仲义评价该系统：设计思想先进，技术框架合理，研制难度较大，具有很好的推广应用价值。