专利名称:计算机设备户籍化的全生命周期管理系统的制作方法
技术领域:
本申请涉及一种计算机设备户籍化的全生命周期管理系统,其能够实现计算机设 备的户籍化管理,并且上述管理涉及全生命周期,属于计算机设备自动管理领域。
背景技术:
目前,随着办公信息化与自动化的不断发展,各级党政机关、重要敏感部门和重要 企事业单位在工作中普遍采用了计算机、复印机、传真机、移动存储介质等技术设备,以此 来提高工作效率和工作质量。但同时,一些涉密信息的处理也会搀杂其中,如果对涉密设备 的管理不到位,就会给保密工作带来极大的隐患。从近几年来发生的泄密事件来看,相当一部分泄密事件是由于业务部门对涉密设 备的使用不规范造成的。随意拆卸设备、私自改装设备、不按规定进行设备维修以及随意改 变设备用途的情况仍有发生。为此,本专利针对涉密网安全保障体系建设过程中,涉密设备 的安全保护与接入缺乏系统化的集中管理的现状,提出了一种计算机设备户籍化的全生命 周期管理方法,以确保涉密网上运行的终端设备安全可信。在该技术领域,存在一些相关现有技术,如GB2204162A号英国专利公开了一种设 备管理系统,该系统具有集成监测系统,每个不同部件具有唯一的条形码,该条形码可以由 便携式扫描仪读取,便携式计算机保存不同部件在一定期间内的相关文件、安装状态等,该 计算机根据这些部件的运行情况生成日志文件,从而提供相关部件状态的准确记录。上述 系统属于相对松散的管理方式,并未将所有设备集中管理,管理的全面性、准确性和效果无 法得到保证,并且仅仅针对设备的运行情况加以管理,并未对涉密情况加以管理。另外,JP2002073965号专利公开了一种将特定条形码转换为相应URL地址的方法 和系统,其条形码结构如图1所示。但是,该条形码只有16位,并且未应用于所有设备的集 中管理中。中兴通讯股份有限公司所提出的20041008613. 7号发明专利申请公开了一种网 管系统中的设备编码和解析方法,先将网络被管对象分为若干级;对每一级上的各被管对 象分别进行按级的编号并保证同一级中编号的唯一性;然后确定每个被管对象存在的以一 个上级被管对象对应于一个下级被管对象的方式的所有被管对象序列,由每个被管对象序 列可得到一个N组代码组成的专用编码,N等于该被管对象的级数,各组代码对应于该被管 对象序列相应级中的被管对象编号;再将所述专用编码作为被管对象的信息在相关过程使 用;处理模块通过解析专用编码,可识别被管对象及其所在级数,并确定其与其它被管对象 间的关系。20061004853. 6号发明专利申请公开了一种医疗设备费用管理方法,它包括医疗 设备和安置在医疗设备上的医疗设备控制装置,在医疗设备控制装置上设置有条形码识别 装置;在医院各个收费处电脑上连接有与条形码识别装置对应的条形码打印机。在医院医 疗设备管理系统中安装了条形码识别装置后,操作人员不用再反复的输入一长串的数字, 提高工作效率。上述现有技术主要致力于设备的维护,并未将设备的运行情况加以集中管 理,并且未对涉密情况加以管理。
采用上述现有的设备管理方法,需要借助组机构制定相应的规章制度。也就是说, 上述设备管理方法是以人员管理为核心,并没有真正做到以设备自身管理的核心。即使应 用于涉密设备的管理,上述方法所实现的仍然是一种相对松散的管理方式,涉密设备的采 购、使用和大部分保密检查工作均由各单位自己负责。保密主管部门对所属机关、单位的涉 密设备的配置和使用情况缺少及时准确的了解,涉密设备的检查只能采用不定期的人工抽 查方式,检查的全面性、准确性和效果无法保证
发明内容
为了解决上述问题,提供一种涉密设备接入涉密网可控并且可查的系统,以实现 设备运行情况的集中管理以及对涉密情况的全面管理。本发明的目的是以“涉密设备户籍 号”为基础,建立涉密设备的户籍化管理系统,并利用该系统实现涉密设备接入涉密网可控
与可查。本申请公开一种计算机设备户籍化的全生命周期管理系统,其包括设备户籍档 案模块,用于存储涉密设备的主要信息;涉密设备的身份证模块,用于存储涉密设备的编 码;防伪标签验证模块,用于生成和验证涉密设备上的标签,根据标签可以得到设备的所有 信息;接入控制模块,用于对接入网络的涉密设备进行注册和验证。上述涉密信息包括,设备的设备类型、使用单位、采购时间、供货商和密级。上述涉密信息还包括,设备的硬件信息。上述设备的硬件信息包括,中央处理器的信息、内存的信息、硬盘的信息、光驱的 信息、显示器的信息。上述涉密设备的编码是身份证编码。上述涉密设备的身份证编码是根据户籍档案信息生成的二维码。上述涉密设备的编码为20字符长。上述防伪标签验证模块所识别的标签采用防伪防揭标签。上述防伪标签验证模块所识别的标签上具有二维码。上述接入控制模块完成如下操作首先,将首次接入的涉密设备向安全管理中心 注册并在注册后签发数字证书;接着,验证接入的涉密设备的数字证据,当确认身份合法时 允许接入。
从对说明本申请的主旨及其使用的优选实施例和附图的以下描述来看,本申请的 以上和其它目的、特点和优点将是显而易见的,在附图中图1是作为本申请背景技术的条形码结构图;图2是本申请所公开的计算机设备户籍化的全生命周期管理系统的模块结构图;图3是本申请涉密信息的结构图;图4是本申请所公开的计算机设备户籍化的全生命周期管理方法流程图;图5是本申请所公开的接入控制步骤的流程图;图6是设备户籍化管理的生命周期原理图。
具体实施例方式下面结合附图介绍本申请的技术方案。图1是本申请背景技术的标码结构图,与部件对应的标码卡12含有字符12A和条形码12B,该条形码12B只有16位,并且未应用于 所有设备的集中管理中。涉密设备户籍化管理系统借鉴户籍管理的方式,为所有的涉密设备建立详细的 “户籍档案”,并给每个涉密设备分配唯一的“户籍号”。“户籍号”的物理表现形式为条形码 (二维码),粘贴在终端节点上,并配备有专门的个人数字助理(PDA)对其进行扫描检查。 将“户籍号”和“用户身份证书”作为合法终端的接入条件,对涉密网的接入进行有效控制。 “户籍号”和“用户身份证书”放在同一个硬件设备(USB KEY)中进行保护,并采用统一的两 级管理中心对涉密网的接入进行管理。采用远程查验的方式随时掌握涉密设备使用情况, 采用采用具备防揭功能的封签防止工作人员私自拆卸和改装设备,杜绝由此产生的泄密隐 患。在如图2所示的计算机设备户籍化的全生命周期管理系统的模块结构图中,计算机设 备户籍化的全生命周期管理系统包括设备户籍档案模块21,用于存储涉密设备的主要信 息;涉密设备的身份证模块22,用于存储涉密设备的编码;防伪标签验证模块23,用于生成 和验证涉密设备上的标签,根据标签可以得到设备的所有信息;接入控制模块24,用于对 接入网络的涉密设备进行注册和验证。下面详细介绍用于存储涉密设备涉密信息的设备户籍档案模块21。如图3所示的涉密信息结构包括,设备的类型31、使用单位32、采购时间33、供货 商34、密级35等信息。还可以包括设备的硬件信息36,亦即CPU信息361、内存信息362、 硬盘信息363、光驱信息364、显示器信息365。方便保密主管部门对所属单位涉密设备资料 的集中掌握。利用信息化系统查询汇总方面的优势,可以多层次多角度地分析掌握所属单 位涉密设备的配置情况。改变设备密级、变更用途或使用单位等关键的设备使用情况变更必须在户籍化管 理系统中进行备案登记,并重新发放更新信息后的使用许可证。变更前后的信息均在系统 中作永久保存。在系统中能够查询并掌握设备整个生命周期各个阶段的使用或处理情况, 方便事后追踪。下面详细介绍用于存储涉密设备编码的涉密设备的身份证模块22。为每台设备发放使用许可证,作为其“身份”合法的证明;编制终身不变的惟一 的设备编码,在与设备相关的各种操作中用于惟一标识一台设备。使用许可证作为涉密设 备合法使用的证明,杜绝无证设备处理涉密事项的情况。使用许可证采用二维码标签的形 式固定在设备上,标签中记录设备基本信息,实现设备信息与物理设备的绑定,方便设备检 查。下面详细介绍用于验证涉密设备上的标签、从而识别涉密设备的编码的防伪标签 验证模块23。将防伪防揭标签粘贴在拆卸设备的接口处,可以起到对设备的保护作用。如果试 图打开设备或对设备进行改装,势必破坏标签的完整,其中隐藏的文字立刻显现出来,从使 这些情况在检查中很容易被发现。标签本身也采用了特种油墨防伪措施,而且打印在标签 上的二维码必须使用专用打印系统和硬件涉密设备才能生成和打印。这就杜绝了从其它渠 道获取标签,私自进行打印制作仿造标签的可能性。
下面详细介绍用于对接入涉密设备进行注册和验证的接入控制模块24。在涉密网中,涉密设备的用户首先要向安全管理中心注册,安全管理中心将人员 身份核实后,签发包含数字证书的USB Key。所有的涉密终端都安装了内核级安全接入代理 模块,该模块会先验证使用者的数字证书,当确认了使用者身份为合法身份才允许其接入。同时,所有的接入终端也要向安全管理中心注册,注册内容包括唯一标识号以及 唯一的物理标识。利用内核级安全接入代理模块,控制终端的网络连接,只有当认证对方为 可信终端时,才允许接入。在接入认证时,相互以唯一识别码作为标识,对设备接入进行认 证。在图4所示的计算机设备户籍化的全生命周期管理方法流程图中,计算机设备户 籍化的全生命周期管理方法包括设备户籍档案步骤41,用于存储涉密设备的主要信息; 涉密设备的身份证步骤42,用于存储涉密设备的编码;防伪标签验证步骤43,用于生成和 验证涉密设备上的标签,根据标签可以得到设备的所有信息;接入控制步骤44,用于对接 入网络的涉密设备进行注册和验证。如图5所示,图4所述的接入控制步骤包括如下子步骤,注册子步骤41,将首次接 入的涉密设备向安全管理中心注册并在注册后签发数字证书;验证子步骤42,验证接入的 涉密设备的数字证据,当确认身份合法时允许接入。图6是设备户籍化管理的生命周期原理图,设备户籍化管理的生命周期包括设 备采购、统一编号、相关信息录入、投入使用、报废、销毁。采用上述方式构建的计算机设备户籍化的全生命周期管理方法与系统具备如下 功能对所有的涉密设备相关信息进行统计并上报,生成设备户籍管理信息,包括设备的类 型、使用单位、采购时间、供货商、密级等;验证中心给每一个合法用户颁发身份证书,并存 入USB Key中。接着,CA中心会根据上报的用户和设备的对应关系,重新发行USB Key,向 Key中写入该用户可以使用的设备所对应的户籍号,即唯一识别码;终端设备物理接入涉 密网后,用户在点击浏览器时,浏览器会自动提示用户需要从相应的网关服务器下载终端 代理软件,作为终端接入涉密网的必要步骤。用户下载并安装终端代理软件,终端代理软件 运行后提示用户插入USB-KEY,验证用户身份和终端的户籍身份,只有在用户和终端身份合 法,并且终端身份信息通过了管理中心安全管理员的审批后,终端才能访问涉密网;所有设 备的注册审批、注销,以及审计查询、状态监控都在安全管理中心可视化界面实现,保证只 有可信设备才能接入涉密网,防范非涉密终端接入涉密网而造成机密信息泄漏的隐患。总 之,所有的涉密终端都与之使用者相对应,终端被谁使用、何时使用,都由安全管理中心进 行审计记录,确保相关操作有备可查,进一步保障了操作的有效性和规范性。尽管图2-6以及上面的描述公开了本申请的优选实施例,可以设想,本领域的技 术人员可在所附权利要求的精神和范围内设计对本申请的各种修改。
权利要求
一种计算机设备户籍化的全生命周期管理系统,其包括设备户籍档案模块,用于存储涉密设备的主要信息;涉密设备的身份证模块,用于存储涉密设备的编码;防伪标签验证模块,用于生成和验证涉密设备上的标签,根据标签可以得到设备的所有信息;接入控制模块,用于对接入网络的涉密设备进行注册和验证。
2.如权利要求1所述的计算机设备户籍化的全生命周期管理系统,其中所述涉密信息 包括涉密设备的设备类型、使用单位、采购时间、供货商和密级。
3.如权利要求2所述的计算机设备户籍化的全生命周期管理系统,其中所述涉密信息 还包括设备的硬件信息。
4.如权利要求3所述的计算机设备户籍化的全生命周期管理系统,所述设备的硬件信 息包括中央处理器的信息、内存的信息、硬盘的信息、光驱的信息、显示器的信息。
5.如权利要求1所述的计算机设备户籍化的全生命周期管理系统,所述涉密设备的编 码是身份证编码。
6.如权利要求5所述的计算机设备户籍化的全生命周期管理系统,所述涉密设备的身 份证编码是根据户籍档案信息生成的二维码。
7.如权利要求5所述的计算机设备户籍化的全生命周期管理系统,所述涉密设备的编 码为20字符长。
8.如权利要求1所述的计算机设备户籍化的全生命周期管理系统,所述防伪标签验证 模块所识别的标签采用防伪防揭标签。
9.如权利要求1所述的计算机设备户籍化的全生命周期管理系统,所述防伪标签验证 模块所识别的标签上具有二维码。
10.如权利要求1所述的计算机设备户籍化的全生命周期管理系统,所述接入控制模 块用于完成首先,将首次接入的涉密设备向安全管理中心注册并在注册后签发数字证书; 接着,验证接入的涉密设备的数字证据,当确认身份合法时允许接入。
全文摘要
一种计算机设备户籍化的全生命周期管理系统,其包括设备户籍档案模块,用于存储涉密设备的主要信息;涉密设备的身份证模块,用于存储涉密设备的编码;防伪标签验证模块,用于生成和验证涉密设备上的标签,根据标签可以得到设备的所有信息;接入控制模块,用于对接入网络的涉密设备进行注册和验证。所有的涉密终端都由安全管理中心进行审计记录,保障操作的规范性。
文档编号H04L29/06GK101883087SQ201010142919
公开日2010年11月10日 申请日期2010年4月9日 优先权日2010年4月9日
发明者张宝宇 申请人:北京宇辰龙马信息技术服务有限公司