机要、涉（保）密、关键可移动资产的

安全保障解决方案

概述

需求

机要、关键可移动资产的涉及范围包括如下：

工作人员的笔记本电脑；

重要的纸质文档、资料；

其他存储有重要信息的可移动电子设备等。

针对以上可移动资产的保障需求如下：

1、需要保护笔记本电脑里存储的重要信息；

2、需要对使用笔记本电脑的人员进行身份认证；

3、需要对笔记本电脑出入机要办公区进行有效监控；

4、需要对重要纸质文档、资料出入机要办公区进行有效监控；

5、需要对存储有重要信息的可移动电子设备进行有效监控。

目标

机要关键可移动资产的安全保障的建设目标是：

1、需要保护笔记本电脑里存储的重要信息；

2、需要对使用笔记本电脑的人员进行身份认证；

3、需要对笔记本电脑出入机要办公区进行有效监控；

4、需要对重要纸质文档、资料出入机要办公区进行有效监控；

5、需要对存储有重要信息的可移动电子设备进行有效监控。

本方案采用基于RFID技术的标签来监控笔记本电脑、重要纸质文档等出入机要办公区。

机要笔记本电脑的自身安全防护

针对用户需求以及根据需求要实现的目标，我们把满足需求1、2点所采用的措施，可以通过怡华通联公司的个人电脑安全套件来实现，这些目标的实现可以满足机要目前针对笔记本电脑的自身安全防护需求。

怡华通联公司的个人电脑安全套件可以保障机要、关键可移动资产笔记本电脑使用权限保护、信息存储安全、安全套件的自身防护功能，能有效地解决机要笔记本电脑自身的安全问题。个人电脑安全套件包含硬件的安全PC卡、驱动程序、客户端功能程序（使用权限保护程序、数据加密存储程序等）。

一、笔记本电脑使用权限保护

开机认证与暂时离开保护

各用户独自的标识信息存于保密的安全PC卡中，通过PCMCIA接口读入，供终端计算机验证执行部件识别，在验证识别过程中不泄露身份特征信息，做到真正的不可假冒和伪造。如果安全PC卡不合法或者是没安全PC卡的话，就不能进入Windows系统（Windows 2000、Windows XP）进行任何操作。

图1 开机认证过程示意图

如果用户有事临时走开，可以把安全PC卡拔走，这样安全系统就会自动锁定，并把用户的工作环境保存下来，这时除了原持卡人外，任何人都不能进入用户工作环境。用户回来后把原卡插进去后，系统就会解除锁定。

二、信息存储安全

虚拟磁盘

采用虚拟磁盘保护敏感数据文件。所有进入该虚拟磁盘的文件都将被自动加密，取出（包括剪切、移动和复制）该目录的文件将被自动解密。为了保证私有信息的私密性，只有拥有合法的安全PC卡并正常登录的用户才能访问虚拟磁盘。

三、安全套件防破坏功能（安全软件套件的自我保护）

个人电脑安全套件具有关键功能模块自动恢复功能，防止在安全模式下的非法卸载、禁用安全组件。关键功能模块包含开机认证、防非法外联、进程网络访问控制。自我保护模块通过监视注册表项防止非法禁用关键安全功能；开机检测安全套件关键文件，保证关键文件有效，如果无效则立即恢复文件，并保证安全套件关键功能模块正常运行；检测模块采用特殊手段保护，以防止非法用户破坏。

机要、关键可移动资产出入办公区解决方案

系统概述

射频识别技术(RFID，Radio Frequency Identification)实际上是自动识别技术的一个重要分支。该项技术的基本思想是，通过采用一些先进的技术手段，实现人们对各类物体或设备 (人员、物品) 在不同状态(移动、静止或恶劣环境)下的自动识别和监管。

针对用户的需求和系统实施目标，我们采用具有完全自主知识产权的基于center system中间件的RFID套件来实现关键可移动资产出入办公区的监管。

系统配置

根据用户的需求，基于center system中间件的RFID套件主要由以下几部分组成：

电子标签：选用纸质标签和金属表面标签两种。主要用来标识需要监管的资产；

金属标签

普通纸质标签

天线：选用线性极化天线，配合读写器实现对电子标签的操作；

阅读器：选用UHF 915可调频段产品，实现对标签的物理读写；

Center system 中间件：完成标签数据过滤、分组、计数防错读和防漏读等功能；

管理软件：完成标签的打印、写入、验证等功能；

标签数据管理：为资产监管人员提供系统操作界面，实现资产出入信息的检索、查询，报表的打印，出入授权，非法携带报警，用户信息维护等终端功能。

系统具体配置清单如下

关键可移动资产

RFID标签部署在关键可移动资产（包含涉密文件、笔记本电脑以及其他）。

根据用户的实际情况，我们根据可移动资产的不同类别，分别采用适合不同介质的电子标签对需要标识的个体进行标记。

笔记本电脑由于含有金属物质采用Metal tag标记；

涉密文件采用普通纸质标签标记；

其他资产则根据其是否含有金属物质分别采用Metal tag或普通纸质标签标记。

系统工作步骤

1、将机要、涉密文件、资料、档案、设备加贴电子标签：

2、将加贴电子标签的机要、涉密文件、资料、档案、设备写信息，上传到管理系统中心数据库：

3、持有系统认可的证件，方可进入，门禁控制应用：

4、持有系统认可的证件，进入后办理借还、使用手续

5、寻找和查阅机要、涉密文件、资料、档案、设备、盘点

办公楼出入口

在办公楼的出入口处天线的布署如下图所示：

大门的高度为3米，宽度为2.5米，每一个大门需要在两侧各安装一个线性极化天线。8个门，共需安装16个天线。每个读写器可以支持4个线性天线，需4个读写器，将其固定在每两个大门之间的墙壁或天花板上方即可，但需为其提供强电及弱点接口各一个

机要资产预防流失流程

示意图

后台管理系统

为了更好的保障系统的安全性，建议基于Center system 中间件的关键可移动资产出监管系统接入专用的交换设备并单独分配其独立的网段。

管理流程

系统管理流程如下图所示：

上图管理流程描述如下：

1、各司局将需要进出的机要、涉密资产上报保密办；

2、保密办将涉密资产录入管理系统，系统开始对涉密资产监控；

3、当外出人员携涉密资产出入门口时，系统判断该涉密资产是否允许“进出”。如果允许，只记录不报警；否则报警并记录。

4、进出记录存入系统并上交保密办；

l 机要资产防流失管理

2在运用RFID技术进行机要资产监控、预防流失管理中，RFID技术显示出比以往任何技术都更快捷更高效；不但可以时事监控每件固定资产的位置和流向，更能远程监视到每件固定资产的编号、名称、流出时间、流入时间、携带机要资产流动的人员信息等资料。

3机要资产防流失管理中，最重要的是流失发生时报警的时效性，使得资产管理部门在流失发生后最短的时间内处置流失事件，到达流失现场，从而杜绝流失现象；

4此处的机要资产不但包括服务器等硬件资产，也包括记录技术资料、报告和其他机密性资料的纸张、光盘、软盘等载体。

机要资产是不会自己移动的，所以当机要资产流出时，一定是有人将其携带出。当人员携带被监管的机要资产通过出口时，出口的RFID读写器会识读到人员和机要资产二者的ID号，并通过服务器查询到此件机要资产属于监管范围，并且尚未得到离开的授权。门口天线将自动发出声、光警报；服务器向资产管理部门和保安控制室发送这两个ID号所代表的人员和资产信息，并且显示是从哪个室流出的。使得相关监管人员尽快到达出现警报的实验室，并进行进一步处理。

有任何疑问，请联络：

浩海易通科技(北京)有限公司

市场部：任志贤

Tel：010-58572586

Fax：010- 58573146

Mobile：15801381484

QQ:479017087

MSN:renzhixiancool@live.cn

15801381484.ok@163.com