機(jī)要、涉（保）密、關(guān)鍵可移動(dòng)資產(chǎn)的解決方案

　　概述

　　需求

　　機(jī)要、關(guān)鍵可移動(dòng)資產(chǎn)的涉及范圍包括如下：

　　工作人員的筆記本電腦；

　　重要的紙質(zhì)文檔、資料；

　　其他存儲(chǔ)有重要信息的可移動(dòng)電子設(shè)備等。

　　針對(duì)以上可移動(dòng)資產(chǎn)的保障需求如下：

　　1、需要保護(hù)筆記本電腦里存儲(chǔ)的重要信息；
　　2、需要對(duì)使用筆記本電腦的人員進(jìn)行身份認(rèn)證；
　　3、需要對(duì)筆記本電腦出入機(jī)要辦公區(qū)進(jìn)行有效監(jiān)控；
　　4、需要對(duì)重要紙質(zhì)文檔、資料出入機(jī)要辦公區(qū)進(jìn)行有效監(jiān)控；
　　5、需要對(duì)存儲(chǔ)有重要信息的可移動(dòng)電子設(shè)備進(jìn)行有效監(jiān)控。

　　目標(biāo)

　　機(jī)要關(guān)鍵可移動(dòng)資產(chǎn)的安全保障的建設(shè)目標(biāo)是：
　　1、需要保護(hù)筆記本電腦里存儲(chǔ)的重要信息；
　　2、需要對(duì)使用筆記本電腦的人員進(jìn)行身份認(rèn)證；
　　3、需要對(duì)筆記本電腦出入機(jī)要辦公區(qū)進(jìn)行有效監(jiān)控；
　　4、需要對(duì)重要紙質(zhì)文檔、資料出入機(jī)要辦公區(qū)進(jìn)行有效監(jiān)控；
　　5、需要對(duì)存儲(chǔ)有重要信息的可移動(dòng)電子設(shè)備進(jìn)行有效監(jiān)控。

　　本方案采用基于RFID技術(shù)的標(biāo)簽來(lái)監(jiān)控筆記本電腦、重要紙質(zhì)文檔等出入機(jī)要辦公區(qū)。

　　機(jī)要筆記本電腦的自身安全防護(hù)

　　針對(duì)用戶需求以及根據(jù)需求要實(shí)現(xiàn)的目標(biāo)，我們把滿足需求1、2點(diǎn)所采用的措施，可以通過(guò)個(gè)人電腦安全套件來(lái)實(shí)現(xiàn)，這些目標(biāo)的實(shí)現(xiàn)可以滿足機(jī)要目前針對(duì)筆記本電腦的自身安全防護(hù)需求。

　　個(gè)人電腦安全套件可以保障機(jī)要、關(guān)鍵可移動(dòng)資產(chǎn)筆記本電腦使用權(quán)限保護(hù)、信息存儲(chǔ)安全、安全套件的自身防護(hù)功能，能有效地解決機(jī)要筆記本電腦自身的安全問題。個(gè)人電腦安全套件包含硬件的安全PC卡、驅(qū)動(dòng)程序、客戶端功能程序（使用權(quán)限保護(hù)程序、數(shù)據(jù)加密存儲(chǔ)程序等）。

　　一、筆記本電腦使用權(quán)限保護(hù)

　　開機(jī)認(rèn)證與暫時(shí)離開保護(hù)

　　各用戶獨(dú)自的標(biāo)識(shí)信息存于保密的安全PC卡中，通過(guò)PCMCIA接口讀入，供終端計(jì)算機(jī)驗(yàn)證執(zhí)行部件識(shí)別，在驗(yàn)證識(shí)別過(guò)程中不泄露身份特征信息，做到真正的不可假冒和偽造。如果安全PC卡不合法或者是沒安全PC卡的話，就不能進(jìn)入Windows系統(tǒng)（Windows 2000、Windows XP）進(jìn)行任何操作。

圖1  開機(jī)認(rèn)證過(guò)程示意圖

　　如果用戶有事臨時(shí)走開，可以把安全PC卡拔走，這樣安全系統(tǒng)就會(huì)自動(dòng)鎖定，并把用戶的工作環(huán)境保存下來(lái)，這時(shí)除了原持卡人外，任何人都不能進(jìn)入用戶工作環(huán)境。用戶回來(lái)后把原卡插進(jìn)去后，系統(tǒng)就會(huì)解除鎖定。

　　二、信息存儲(chǔ)安全

　　虛擬磁盤

　　采用虛擬磁盤保護(hù)敏感數(shù)據(jù)文件。所有進(jìn)入該虛擬磁盤的文件都將被自動(dòng)加密，取出（包括剪切、移動(dòng)和復(fù)制）該目錄的文件將被自動(dòng)解密。為了保證私有信息的私密性，只有擁有合法的安全PC卡并正常登錄的用戶才能訪問虛擬磁盤。

　　三、安全套件防破壞功能（安全軟件套件的自我保護(hù)）

　　個(gè)人電腦安全套件具有關(guān)鍵功能模塊自動(dòng)恢復(fù)功能，防止在安全模式下的非法卸載、禁用安全組件。關(guān)鍵功能模塊包含開機(jī)認(rèn)證、防非法外聯(lián)、進(jìn)程網(wǎng)絡(luò)訪問控制。自我保護(hù)模塊通過(guò)監(jiān)視注冊(cè)表項(xiàng)防止非法禁用關(guān)鍵安全功能；開機(jī)檢測(cè)安全套件關(guān)鍵文件，保證關(guān)鍵文件有效，如果無(wú)效則立即恢復(fù)文件，并保證安全套件關(guān)鍵功能模塊正常運(yùn)行；檢測(cè)模塊采用特殊手段保護(hù)，以防止非法用戶破壞。

　　機(jī)要、關(guān)鍵可移動(dòng)資產(chǎn)出入辦公區(qū)解決方案

　　系統(tǒng)概述

　　射頻識(shí)別技術(shù)(RFID，Radio Frequency Identification)實(shí)際上是自動(dòng)識(shí)別技術(shù)的一個(gè)重要分支。該項(xiàng)技術(shù)的基本思想是，通過(guò)采用一些先進(jìn)的技術(shù)手段，實(shí)現(xiàn)人們對(duì)各類物體或設(shè)備 (人員、物品) 在不同狀態(tài)(移動(dòng)、靜止或惡劣環(huán)境)下的自動(dòng)識(shí)別和監(jiān)管。

　　針對(duì)用戶的需求和系統(tǒng)實(shí)施目標(biāo)，我們采用具有完全自主知識(shí)產(chǎn)權(quán)的基于center system中間件的RFID套件來(lái)實(shí)現(xiàn)關(guān)鍵可移動(dòng)資產(chǎn)出入辦公區(qū)的監(jiān)管。

　　系統(tǒng)配置

　　根據(jù)用戶的需求，基于center system中間件的RFID套件主要由以下幾部分組成：

　　電子標(biāo)簽：選用紙質(zhì)標(biāo)簽和金屬表面標(biāo)簽兩種。主要用來(lái)標(biāo)識(shí)需要監(jiān)管的資產(chǎn)；

　　金屬標(biāo)簽

　　普通紙質(zhì)標(biāo)簽

　　天線：選用線性極化天線，配合讀寫器實(shí)現(xiàn)對(duì)電子標(biāo)簽的操作；

　　閱讀器：選用UHF 915可調(diào)頻段產(chǎn)品，實(shí)現(xiàn)對(duì)標(biāo)簽的物理讀寫；

     
　　Center system 中間件：完成標(biāo)簽數(shù)據(jù)過(guò)濾、分組、計(jì)數(shù)防錯(cuò)讀和防漏讀等功能；
　　管理軟件：完成標(biāo)簽的打印、寫入、驗(yàn)證等功能；
　　標(biāo)簽數(shù)據(jù)管理：為資產(chǎn)監(jiān)管人員提供系統(tǒng)操作界面，實(shí)現(xiàn)資產(chǎn)出入信息的檢索、查詢，報(bào)表的打印，出入授權(quán)，非法攜帶報(bào)警，用戶信息維護(hù)等終端功能。

　　系統(tǒng)具體配置清單如下

　　關(guān)鍵可移動(dòng)資產(chǎn)

　　RFID標(biāo)簽部署在關(guān)鍵可移動(dòng)資產(chǎn)（包含涉密文件、筆記本電腦以及其他）。
　　根據(jù)用戶的實(shí)際情況，我們根據(jù)可移動(dòng)資產(chǎn)的不同類別，分別采用適合不同介質(zhì)的電子標(biāo)簽對(duì)需要標(biāo)識(shí)的個(gè)體進(jìn)行標(biāo)記。
　　筆記本電腦由于含有金屬物質(zhì)采用Metal tag標(biāo)記；
　　涉密文件采用普通紙質(zhì)標(biāo)簽標(biāo)記；
　　其他資產(chǎn)則根據(jù)其是否含有金屬物質(zhì)分別采用Metal tag或普通紙質(zhì)標(biāo)簽標(biāo)記。

　　系統(tǒng)工作步驟

　　1、將機(jī)要、涉密文件、資料、檔案、設(shè)備加貼電子標(biāo)簽：

　　2、將加貼電子標(biāo)簽的機(jī)要、涉密文件、資料、檔案、設(shè)備寫信息，上傳到管理系統(tǒng)中心數(shù)據(jù)庫(kù)：

　　3、持有系統(tǒng)認(rèn)可的證件，方可進(jìn)入，門禁控制應(yīng)用：

　　4、持有系統(tǒng)認(rèn)可的證件，進(jìn)入后辦理借還、使用手續(xù)

　　5、尋找和查閱機(jī)要、涉密文件、資料、檔案、設(shè)備、盤點(diǎn)
 

　　辦公樓出入口
　　在辦公樓的出入口處天線的布署如下圖所示：

　　大門的高度為3米，寬度為2.5米，每一個(gè)大門需要在兩側(cè)各安裝一個(gè)線性極化天線。8個(gè)門，共需安裝16個(gè)天線。每個(gè)讀寫器可以支持4個(gè)線性天線，需4個(gè)讀寫器，將其固定在每?jī)蓚€(gè)大門之間的墻壁或天花板上方即可，但需為其提供強(qiáng)電及弱點(diǎn)接口各一個(gè)

　　機(jī)要資產(chǎn)預(yù)防流失流程示意圖

　　后臺(tái)管理系統(tǒng)

　　為了更好的保障系統(tǒng)的安全性，建議基于Center system 中間件的關(guān)鍵可移動(dòng)資產(chǎn)出監(jiān)管系統(tǒng)接入專用的交換設(shè)備并單獨(dú)分配其獨(dú)立的網(wǎng)段。

　　管理流程

　　系統(tǒng)管理流程如下圖所示：

　　上圖管理流程描述如下：

　　1、  各司局將需要進(jìn)出的機(jī)要、涉密資產(chǎn)上報(bào)保密辦；
　　2、  保密辦將涉密資產(chǎn)錄入管理系統(tǒng)，系統(tǒng)開始對(duì)涉密資產(chǎn)監(jiān)控；
　　3、  當(dāng)外出人員攜涉密資產(chǎn)出入門口時(shí)，系統(tǒng)判斷該涉密資產(chǎn)是否允許“進(jìn)出”。如果允許，只記錄不報(bào)警；否則報(bào)警并記錄。
　　4、  進(jìn)出記錄存入系統(tǒng)并上交保密辦；

　　１機(jī)要資產(chǎn)防流失管理

　?。苍谶\(yùn)用RFID技術(shù)進(jìn)行機(jī)要資產(chǎn)監(jiān)控、預(yù)防流失管理中，RFID技術(shù)顯示出比以往任何技術(shù)都更快捷更高效；不但可以時(shí)事監(jiān)控每件固定資產(chǎn)的位置和流向，更能遠(yuǎn)程監(jiān)視到每件固定資產(chǎn)的編號(hào)、名稱、流出時(shí)間、流入時(shí)間、攜帶機(jī)要資產(chǎn)流動(dòng)的人員信息等資料。
 
　　３機(jī)要資產(chǎn)防流失管理中，最重要的是流失發(fā)生時(shí)報(bào)警的時(shí)效性，使得資產(chǎn)管理部門在流失發(fā)生后最短的時(shí)間內(nèi)處置流失事件，到達(dá)流失現(xiàn)場(chǎng)，從而杜絕流失現(xiàn)象；

　?。创颂幍臋C(jī)要資產(chǎn)不但包括服務(wù)器等硬件資產(chǎn)，也包括記錄技術(shù)資料、報(bào)告和其他機(jī)密性資料的紙張、光盤、軟盤等載體。
機(jī)要資產(chǎn)是不會(huì)自己移動(dòng)的，所以當(dāng)機(jī)要資產(chǎn)流出時(shí)，一定是有人將其攜帶出。當(dāng)人員攜帶被監(jiān)管的機(jī)要資產(chǎn)通過(guò)出口時(shí)，出口的RFID讀寫器會(huì)識(shí)讀到人員和機(jī)要資產(chǎn)二者的ID號(hào)，并通過(guò)服務(wù)器查詢到此件機(jī)要資產(chǎn)屬于監(jiān)管范圍，并且尚未得到離開的授權(quán)。門口天線將自動(dòng)發(fā)出聲、光警報(bào)；服務(wù)器向資產(chǎn)管理部門和保安控制室發(fā)送這兩個(gè)ID號(hào)所代表的人員和資產(chǎn)信息，并且顯示是從哪個(gè)室流出的。使得相關(guān)監(jiān)管人員盡快到達(dá)出現(xiàn)警報(bào)的實(shí)驗(yàn)室，并進(jìn)行進(jìn)一步處理。

　　有問題請(qǐng)聯(lián)糸


文檔制作：任工
Email ： Renzhixian@126.com
QQ :       479017087
Mobile:  13911533725
http://company.rfidworld.com.cn/rfidworld_company_27961.html