专利名称:具有电子密级标识的电子设备、基于电子密级标识的信息交换流向控制系统、方法及移动 ...的制作方法
技术领域:
本发明属于IT技术领域,特别涉及一种具有存储器的电子设备及基于电 子密级标识、在具有存储介质的电子设备(如计算机、移动存储器、消费电子 等)与计算机之间进行信息交换流向控制的方法、系统及移动存储器。
背景技术:
对于具有存储介质的电子设备如计算机,根据保密要求,需要依据其涉及 的秘密等级进行标识,以便于保密管理和保护涉密信息。目前,将上述电子设 备进行密级标识的手段通常是在其表面张贴密级标签(或称为密级标识),以 表征该电子设备的密级,实现密级管理。
但上述情况下,密级标签仅提供了一种密级管理上的明示标识,完全依靠 人为视觉注意到该标签,才能意识到其密级,即人为因素的影响很大,不能从 技术上进行密级管理。
从非密计算机(尤其是连接互联网的计算机)向涉密计算机传入非密信息 (简称导入操作,比如自写文档、网上查询的资料、网页、电子邮件、病毒库、 系统补丁、实用软件工具以至娱乐信息等等),是一种使用需求最迫切、使用 人员最多、使用频率最高、使用量最大的信息流转活动。如果使用普通移动存 储器,不采取安全防护技术措施,将面临严重的"摆渡木马窃密"风险,所以 国家明令禁止在没有防护措施的情况下将国际互联网等公共信息网络上数据 拷贝到涉密信息系统。另外,利用移动存储介质从涉密计算机向其它计算机进 行信息交换流出操作(简称流出操作)时,面临将存储器插入非密计算机导致 泄密的威胁,所以国家明确规定移动存储设备不得在涉密信息系统和非涉密信 息系统间交叉使用,涉密移动存储设备不得在非涉密信息系统中使用。
在涉密计算机上利用移动存储介质进行信息流出操作时应严格受控,使这 种介质在涉密计算机上可自由读写,在非密计算机上却不能使用(禁用),保 证涉密信息存储介质不能接入非密计算机。
涉密计算机和非密计算机之间互连进行信息交换时同样存在上述问题。
但对上述信息流转操作需求仅简单采取禁止使用移动存储器的方式,使人 们工作起来不方便,不但不能满足工作需要,还可能出现迫使部分人员违规操作,而存在潜在风险;对导入操作而言,采取只读光盘刻录方式,操作不便, 成本偏高,且不环保;采取摆渡机方式,工作量太大,运行成本太高,不方便, 且不能消除所有风险;采用纯软件单向导入控制方式,存在信息流向单向控制 机制被失效的残余风险;采用光传输单向导入装置,成本太高,使用不便。对 于流出操作,使用现有普通优盘或安全优盘,存在诸多安全隐患,且操作使用 不方便,不能完全满足安全保密管理需要。 发明目的
本发明的目的之一是解决现有技术存在的问题,提供一种具有电子密级标 识的电子设备,通过电子设备内可识别的电子密级标识,通过技术手段表征电 子设备的密级,可减少人为因素的影响,更有利于密级管理。
本发明的另一个目的是提供在存储器与计算机之间进行信息交换流向控 制的系统、方法及上述系统或方法中应用的移动存储器,使得可以通过检测计 算机内的特定电子密级标识(比如计算机密级标识),并根据该电子密级标识 控制存储介质与计算机之间的信息交换流转方向(即流向),实现从非密计算 机向涉密计算机导入非密信息时,可避免涉密计算机上的信息被"摆渡木马" 或其它软件隐秘地流转到非密计算机而导致泄密的隐患;或者利用移动存储器 从涉密计算机向外进行信息流出操作时,被接入非密计算机而导致泄密的隐 患;还可以实现其它所需要的信息流向自动控制,从而保证涉密计算机上信息 的安全。
这里所说的涉密计算机,是指需要进行保护和控制使用的计算机,这种计 算机上存储、处理有隐秘或者敏感的信息(比如涉及国家秘密、商业秘密、技 术秘密、个人隐私、资产等等方面的信息或其它敏感信息,可简称为涉密信息), 这些信息不能被无权得到的人得到或者查看;这里所说的非密计算机,是指不 存储、处理隐秘或者敏感信息的计算机,这种非密计算机可能被接入国际互联 网或其它公众信息网络,也可能被随意使用。
本发明的目的通过下述技术方案来实现
具有电子密级标识的电子设备,该电子设备内设置有存储器,所述存储器 内存储有电子密级标识,该电子密级标识为承载有表征所述电子设备密级信息 并可被软件或程序识别的电子标识。
所述电子密级标识为采用添加注册表值、系统变量、环境变量、文本文件、 系统标志、建立计算机进程方式中的任一种方式建立的电子标识。基于电子密级标识的信息交换流向控制系统,包括计算机及控制软件,所 述计算机存储有电子密级标识,所述控制软件为信息交换流向控制程序,当该 计算机与其它具有存储介质的电子设备连接时,上述控制程序信息交换流向控 制程序读取计算机内的电子密级标识,然后根据该电子密级标识的属性值来判 断当前计算机的密级属性,并根据计算机的密级属性、按照安全要求设置上述 电子设备的存储介质的工作状态,从而对该计算机与其它具有存储介质的电子 设备的信息交换流向进行自动控制。
所述控制系统还包括电子密级标识监控程序,当所述计算机连接于网络 时,上述存储于管理计算机内的电子密级标识监控程序采取轮寻检査的方式, 或者由每台计算机的客户端向管理计算机报告的方式,检査计算机内的电子密 级标识,如果发现计算机内的电子密级标识出现变化和/或异常,则发出提示
"f曰息。
所述控制系统还包括具有存储介质的电子设备,所述控制程序存储于具有 存储介质的电子设备中。
可进行信息交换流向控制的移动存储器,所述移动存储器内存储有可读取 电子密级标识、监视和控制移动存储器的工作状态的信息交换流向控制程序, 该控制程序能够按要求的规则根据电子密级标识设定移动存储器的可读写、可
修改、只读、禁用工作状态;所述移动存储器内有两个存储区,分别是相互独 立的数据存储区和程序存储区;所述控制程序存储在移动存储器的程序存储区 中。
所述移动存储器内设置有"看门狗"硬件,所述控制程序运行后,定时与 移动存储器内的"看门狗"通信,向"看门狗"发送"喂狗"信号;当所述的 电子密级标识采用计算机内的进程方式时,所述控制程序通过电子密级标识进 程与"看门狗"定时通信,使该"看门狗"硬件与电子密级标识进程、控制程 序进程构成一个串行通信链,形成"逻辑与"关系,"看门狗"根据是否按时 收到"喂狗"信号判断控制程序进程是否安全;"看门狗"根据判断结果和规 则控制移动存储器的工作状态如果"看门狗"无法按时收到"喂狗"信号, 则判断控制程序进程可能遭遇安全威胁,将移动存储器断电或将工作状态设置 为禁用。
所述移动存储器为优盘。
信息交换流向控制的方法,包括如下步骤-a. 为计算机添加电子密级标识;
b. 在能够与上述计算机连接的具有存储介质的电子设备中存入可读取 上述电子密级标识的信息交换流向控制程序;
c. 建立上述电子设备和计算机的连接关系;
d. 使上述电子设备中的控制程序运行,读取计算机内的电子密级标识;
e. 控制程序根据电子密级标识属性值按所要求的规则设定电子设备内 的存储介质的工作状态可读写、可修改、只读、禁用。
所述计算机内的电子密级标识为采用添加注册表值、系统变量、环境变量、 文本文件、系统标志、建立计算机进程方式中的任一种方式建立的电子标识; 所述步骤b中,电子设备的存储介质内有两个存储区,分别是相互独立的数据 存储区和程序存储区,将所述控制程序存储在程序存储区中;所述步骤d中, 控制程序运行后,形成计算机内一个不可中断、不可更换、不可改变的进程;
所述步骤d之后,控制程序进程实时检査所述电子设备的存储介质的工作 状态;
所述电子设备内设置有"看门狗"硬件,所述步骤d和e中,该"看门狗" 硬件用以看护控制程序和/或电子密级标识进程的运行和控制电子设备的存储 介质的工作状态,即所述控制程序运行后,定时与"看门狗"通信,向"看门 狗"发送"喂狗"信号;当计算机内的电子密级标识采用进程方式时,所述控 制程序通过电子密级标识进程与"看门狗"定时通信,使该"看门狗"硬件与 电子标识进程、控制程序进程构成一个串行通信链,形成"逻辑与"关系,"看 门狗"根据是否按时收到"喂狗"信号判断控制程序进程和/或电子密级标识 进程是否安全;"看门狗"根据判断结果和规则控制所述电子设备的工作状态-如果"看门狗"无法按时收到"喂狗"信号,则将所述电子设备的存储介质断 电或将其工作状态设置为禁用。
本发明采用采用上述具有电子密级标识的电子设备,使电子密级标识存储 于电子设备的存储器内,通过电子手段标识了电子设备的密级信息,并可被软 件或程序识别, 一方面使之具有不仅仅依靠人眼视觉识别的密级标识,减少了 人为因素的影响;另一方面,为利用软件或程序识别电子密级标识,进一步控 制该电子设备的信息交换流向及管理奠定了技术基础。
本发明采用上述系统、方法、移动存储器(如基于Flash存储器件的优盘 类存储器、移动硬盘等,以及其它具有存储介质的电子设备),可以自动或手动检测、读取计算机的电子密级标识,通过其电子密级标识, 一方面可以进行 密级管理,另一方面可以控制涉密信息的流向,自动判定、自动设置、避免失 误、杜绝泄密隐患,其安全机制可以实现全自动化,使用起来非常方便,其移 动存储器与普通移动存储器的使用没有任何区别;并将涉密计算机上的保护措 施与移动存储器智能化自我保护技术紧密嵌合,形成一套完整的、安全的信息 交换流向控制安全机制,使任何窃密木马无法将机内信息拷入移动存储器,使 涉密存储器不能在非密计算机上使用,这样就可杜绝"摆渡木马"窃密隐患。 本发明的系统、方法、移动存储器用于单向导入非密信息时,具有如下优占.
y "、 *
(O与刻录光盘的单向传导方式相比,同样安全,更加方便、便宜; 即将单向移动存储器如优盘插入非密计算机时,可读可写,是一个普通移 动存储器(优盘); 一旦插入涉密计算机,就自动变成只读的单向移动存储器 (优盘),具备了只读光盘的单向导入性能,仅能从其向涉密计算机拷入信息, 而不能从涉密机向移动存储器复制入任何信息;
(2) 与人工打开写保护开关方式相比,简单、牢靠,增加移动存储器的 使用寿命;
(3) 与光传输单向导入装置相比,同样,配置成本却不到其一半,且使 用起来极其方便;
(4) 与"摆渡中间机"方式相比,成本低,简单方便,消除隐患;并且 可与"摆渡中间机"方式相辅相成,彻底解决"摆入"问题,使管理人员从大 量"摆入"工作中彻底解脱出来,专心于"摆出"管理,大大提高"摆渡"保 密管理工作的速度和质量。
本发明用于涉密信息交换时,具有如下优点能够自动识别工作环境,使 涉密存储器仅能在涉密环境中使用而无法在非密计算机上使用,既方便快捷使 用自如,减轻用户心理负担,又安全可靠,能够避免有意或者无意、误操作带 来的交叉使用泄密隐患。
图1是本发明中方法控制信息单向流转的流程示意图。
具体实施例方式
下面结合具体实施例和附图对本发明作进一步的说明。具有电子密级标识的电子设备,包括其内部的存储器,该存储器内存储有 电子密级标识。该电子设备可以是计算机、移动存储器(如优盘、光盘、磁盘 等)、掌上电脑以及其它一切具有存储介质的电子设备。该电子密级标识为承 载有表征所述电子设备密级信息并可被软件或程序识别的电子标识。
对于计算机,其电子密级标识可以是采用添加注册表值、系统变量、环境 变量、文本文件、系统标志、建立计算机进程方式中的任一种方式建立的电子 标识。
对于移动存储器,其电子密级标识可以是一段特征码,或是嵌入其机器码 中的一段特征符。
所述的电子密级标识,是以任何可区分的数字、字符、汉字以及其它任何 方式的电子信息来表示计算机、存储器密级属性的标志信息。所述的计算机、 存储器密级属性,是指代表计算机、存储器内所存储、处理、传输的隐秘信息 的重要程度、隐秘程度高低或秘密级别高低、需要采取措施进行保护以不被无 权得到的人得到的一种属性。
这里所述的隐秘信息,可以是涉及国家秘密、商业秘密、技术秘密、个人 隐私等等类型的信息,可简称为涉密信息。用于存储、处理、传输涉密信息, 且这些信息需要进行保护以防止被不该得到的人得到的计算机可称之为涉密
计算机;用于存储、处理、传输涉密信息,且这些信息需要进行保护以防止被 不该得到的人得到的存储器可称之为涉密存储器;其它的计算机、存储器可称 之为非密计算机、非密存储器。
电子密级标识的形式可以采取静态标识和活态标识(或叫动态标识)两种 方式。静态标识可采用系统变量、环境变量、注册表值、文本文件、系统标志、 存储器的产品属性信息等方式;活态标识采用进程方式,该进程可与其它进程 通信和交互。
该电子密级标识具有若干属性值(用任何可区分的数字、字符、汉字以及 其它任何方式表示,比如1、 2、 3、 4、 5……,a、 b、 c、 d、 e……等等),表 示计算机、存储器的密级属性。但对每台具体的计算机或存储器,则应赋予这 些属性值中的一个确定的属性值。电子密级标识属性值可被解读和转换为计算 机、存储器的密级属性,并可被显示、读取、修改。
解读电子密级标识的具体实例有(1)将电子密级标识的属性值解读为国 家秘密的密级标识,其属性值可分别解释为公开、内部、秘密、机密、绝密等国家秘密等级名称。(2)将电子密级标识的属性值解读为包括但不限于商业秘 密、技术秘密、资产秘密、个人隐私等隐秘信息的隐秘等级标识名称,其隐秘 等级标识名称可根据需要随意取定。
属性值与解读后的名称之间的对应关系,可由软件定义。定义后,解读后 的名称应能实时反应属性值的变化,且能够以与属性值一致的方式显示出来。
本实施例采取活态密级标识,这是首次提出活态密级标识(或者叫动态密 级标识)的概念,并首次以电子、活态方式实现国家保密标准要求的计算机电 子密级标识的设置。
电子密级标识可以通过网络结构的服务器或主计算机通过遍历的方式统 一配置到联网中的各计算机内,也可以通过存储有电子密级标识设置程序的移 动存储器定制到需要的计算机内。
基于电子密级标识的信息交换流向控制系统,包括计算机、移动存储器及
控制软件,计算机存储有电子密级标识(该电子密级标识可采用上述实施例中
的任意一种形式),存储于移动存储器内的控制软件为信息交换流向控制程序,
当该计算机与移动存储器连接时,上述控制程序运行并读取计算机内的电子密
级标识,然后根据该电子密级标识的属性值来判断当前计算机的密级属性,并
根据计算机的密级属性、按照安全要求设置移动存储器的工作状态,从而对该 计算机与其它具有存储介质的电子设备的信息交换流向进行自动控制。上述控
制程序运行并读取计算机内的电子密级标识后,根据电子密级标识的解读结果 判断当前计算机是否为涉密计算机。判断方法为如果当前计算机没有电子密 级标识,或者电子密级标识的解读含义为不涉密,就是非密计算机;否则为涉 密计算机。
上述移动存储器可以有专用于将非密信息从非密计算机单向导入涉密计 算机的单向导入存储器和专用于在涉密计算机之间进行涉密信息交换的涉密 交换存储器以及其它用途的专用存储器。
当移动存储器为单向导入存储器时,按如下规则设定移动存储器的工作状 态如果当前计算机为非密计算机,就将移动存储器的工作状态设置为可读可 写;如果当前计算机为涉密计算机,就将移动存储器的工作状态设置为只读, 以及在电子密级标识(或采用进程注入方式在计算机内构成的电子密级标识进 程)和/或控制程序受到安全威胁时,将移动存储器的工作状态设置为禁用。当移动存储器为涉密交换存储器时,按如下规则设定移动存储器的工作状 态如果当前计算机为非密计算机,就将移动存储器的工作状态设置为禁用; 如果当前计算机为涉密计算机,就将移动存储器的工作状态设置为可读可写,
i)j B龙由罕弥^^fH口 ^祐孚田;4^g、汰入卡^龙;+晳in由^iR^的由罕弥铋;i^H口"9t
v、/C^v j丄,i_i juu , *y 、 、 ^si/i"v/ i j 、乂J -^、 i丄k ■ r^r'画/ u r J '画—V /"Wi H J - J山, *^、*S^L
程)和/或控制程序受到安全威胁时,将移动存储器的工作状态设置为禁用。
上述系统中可为配置有管理计算机的网络系统,管理计算机内有介质授权 与电子密级标识管理监控软件,用于对移动存储器进行注册授权,设置和监视 与其连接的计算机的密级标识。管理计算机采取轮寻检查的方式,或者由每台 计算机的客户端向管理计算机报告的方式,检查网络内每台计算机当前密级标 识与规定的密级标识是否相符,发现不相符者,发出提示信息,记录和报警通 知管理员。
上述系统中还可配置专用于为计算机设置电子密级标识的密级设置工具。 该工具内存有为计算机设置电子密级标识的软件。
可进行信息交换流向控制的移动存储器,其内部存储有可读取电子密级标 识、监视和控制移动存储器的工作状态的信息交换流向控制程序,该控制程序 能够按要求的规则根据电子密级标识设定移动存储器的可读写、可修改、只读、
禁用工作状态;所述移动存储器内有两个存储区,分别是相互独立的数据存储 区和程序存储区;所述控制程序存储在移动存储器的程序存储区中。
本实施例中移动存储器为优盘或基于Flash存储器件的优盘类存储器(可 统称为优盘)。
所述优盘或优盘类存储器可以有专用于将非密信息从非密计算机单向导 入涉密计算机的单向导入优盘和专用于在涉密计算机之间进行涉密信息交换 的涉密交换优盘以及其它用途的专用优盘。
所述优盘或优盘类存储器内设置有"看门狗"硬件电路,所述优盘的存储 器包括两个相互独立的程序存储区和数据存储区,控制程序存储在独立的程序 存储区,不可去除和修改。该控制程序运行后读取与优盘连接的计算机内的电 子密级标识,并根据电子密级标识的解读结果判断当前计算机是否为涉密计算 机。判断方法为如果当前计算机没有电子密级标识,或者电子密级标识的解 读含义为不涉密,就是非密计算机;否则为涉密计算机。
当优盘或优盘类存储器为单向导入优盘时,按如下规则设定优盘的工作状态如果当前计算机为非密计算机,就将优盘的工作状态设置为可读可写;如 果当前计算机为涉密计算机,就将优盘的工作状态设置为只读,以及在电子密 级标识(或采用进程注入方式在计算机内构成的电子密级标识进程)和/或控 制程序受到安全威胁时,将优盘的工作状态设置为禁用。
当优盘为涉密交换优盘时,按如下规则设定优盘的工作状态如果当前计 算机为非密计算机,就将优盘的工作状态设置为禁用;如果当前计算机为涉密 计算机,就将优盘的工作状态设置为可读可写,以及在电子密级标识(或采用 进程注入方式在计算机内构成的电子密级标识进程)和/或控制程序受到安全 威胁时,将优盘的工作状态设置为禁用。
上述优盘内设置有"看门狗"硬件,上述控制程序运行后在工作过程中与 所述优盘内设置的"看门狗"硬件定时通信,或者通过电子密级标识进程与"看 门狗"定时通信,向"看门狗"发出"喂狗"信号进行"喂狗"操作,"看门 狗" 一旦在规定时间内未得到"喂狗"信号,即将优盘断电或设为禁用。
还可使上述控制程序进入计算机内成为进程,并与电子密级标识进程与 "看门狗"之间通过密码密钥一一对应关系,以保证只有本优盘上的控制程序 (或进程)才能发出本"看门狗"能读懂的"喂狗"信号,以确保"喂狗"信 号确实是由上述进程发出,而不是由其它进程冒充发出。
上述控制程序进程能够同时实时检査优盘的工作状态,如果发现优盘的工 作状态被改动,及时报警和修改回来,以及时发现和消除威胁。
当上述控制程序未能运行而不起作用时,上述优盘的默认工作状态为禁 用,即如果控制程序不运行,优盘就不能启用,只有通过运行控制程序,启动 信息交换流向控制机制,才能启动单向优盘工作。
应用上述优盘及信息流向控制系统进行信息交换流向控制的方法,包括如 下步骤
a. 为计算机添加电子密级标识;
b. 在能够与上述计算机连接的具有存储介质的电子设备(本实施例中 为优盘)中存入可读取上述电子密级标识的信息交换流向控制程 序;
C.建立上述电子设备和计算机的连接关系;
d.上述电子设备中的控制程序运行,读取计算机内的电子密级标识;
13e.控制程序按所要求的规则设定电子设备内的存储介质的工作状态 可读写、可修改、只读、禁用。 上述方法还包括介质授权与密级标识监视步骤,其内容为
1. 为所有允许使用的优盘进行注册登记和实施授权,禁止未经注册登记 的优盘插入内部或涉密计算机使用。在涉密计算机上安装授权客户端,监视插 入优盘是否经过注册。已注册者,允许使用;未经注册登记者,禁用。用以保 证涉密计算机上只能使用经过授权的优盘,其它未经授权的优盘无法接入内部 或涉密计算机使用。
2. 对电子密级标识进行动态跟踪监视管理由管理计算机轮寻检查,或 者由各计算机上的客户端向管理计算机报告的方式,检査各计算机的电子密级 标识, 一旦发现有计算机的当前密级标识与规定的密级标识不一致,立即记录 和报警通知管理员前去査看处理。
上述方法的步骤a中,计算机内的电子密级标识为采用添加注册表值、系 统变量、环境变量、文本文件、系统标志、建立计算机进程方式中的任一种方 式建立的电子标识;所述步骤b中,电子设备(本实施例中为优盘)的存储介
质内有两个存储区,分别是相互独立的数据存储区和程序存储区,将所述控制
程序存储在程序存储区中;所述步骤d中,控制程序运行后,形成计算机内一 个不可中断、不可更换、不可改变的进程;
上述步骤d之后,控制程序进程实时检査所述电子设备的存储介质的工作 状态;
上述优盘内设置有"看门狗"硬件,所述步骤d和e中,该"看门狗"硬 件用以看护控制程序和/或电子密级标识进程的运行和控制优盘的存储介质的 工作状态,即所述控制程序运行后,定时与"看门狗"通信,向"看门狗"发 送"喂狗"信号;当计算机内的电子密级标识采用进程方式时,上述控制程序 通过电子密级标识进程与"看门狗"定时通信,使该"看门狗"硬件与电子密 级标识进程、控制程序进程构成一个串行通信链,形成"逻辑与"关系,"看 门狗"根据是否按时收到"喂狗"信号判断控制程序进程和/或电子密级标识 进程是否安全;"看门狗"根据判断结果和规则控制所述优盘的工作状态如 果"看门狗"无法按时收到"喂狗"信号,则将所述优盘的存储介质断电或将 其工作状态设置为禁用。
这样做的效果是,大幅降低实施成本和运行管理成本,大大减少"摆渡机"数量和摆渡工作量,占绝大多数的信息摆入工作不再需要进行"摆渡",而只 需对从涉密计算机摆出的信息进行检査和保密审査(这种信息摆出工作量只占 少数),用较低的代价解决大家急需解决的"大量非密信息导入涉密机"问题。 卜.述方法通过以下五种措施提高安全性;
1. 在优盘硬件的存储器上采用独立双存储区及程序存储区封闭技术保 护信息流向控制安全机制的根本基础——信息交换流向控制程序的安全可靠, 流向控制程序被存储在独立的程序存储区中,使该程序不可去除、不可修改、 不可替换、不可破坏,可始终保持其完整性,保证流向控制程序的安全。
2. 采用硬件"看门狗"技术及进程通信链闭环技术使流向控制程序进 程和电子密级标识进程不可中断、不可更换。特种优盘控制芯片中配有硬件"看 门狗",并将该"看门狗"、流向控制程序进程、电子密级标识进程三者紧密 绑定,形成一个进程通信闭环"看门狗"一启动流向控制程序进程一该进程 向电子密级标识进程发送"喂狗"信号一电子密级标识进程向"看门狗"传递
"喂狗"信号进行"喂狗"操作一"看门狗"根据是否按时收到"喂狗"信号, 就可判断上述两个进程是否安全一"看门狗"控制特种优盘的工作状态(一旦 出现不安全迹象,立即使优盘掉电或者禁用,无法工作)。特种优盘"看门狗"、 控制程序进程、电子密级标识进程三者构成一个串行通信链,紧密耦合,形成 一个"逻辑与"关系。整个信息流向控制机制的安全性由这三者之间的"逻辑 与"关系结果决定,只要其中一个不安全,就说明整个机制就可能存在安全威 胁。需要保护的上述两个进程,只要有任何一个出现不正常状态(比如被单步 调试、意外退出、停止、中断、替换等),"看门狗"就无法按时收到"喂狗" 信号,就可断定此时系统内出现了安全威胁,就立即将特种优盘断电或禁用, 同时记录和通知密级标识管理服务器,报警。
3. 防"假喂狗"措施"喂狗"信号应采用密码密钥技术,保证上述两个 进程与"看门狗"之间的握手通信必须满足"一一对应"的要求,防止木马进 程冒充"喂狗"。只有使"看门狗"与控制程序进程一一对应,才能保证只有 本特种优盘上的流向控制程序进程能发出本"看门狗"能读懂的"喂狗"信号, 以确保"喂狗"信号确实是由控制程序发出,而不是由其它进程冒充发出。
4. 优盘工作状态动态实时检査措施流向控制进程对优盘工作状态实施 动态实时检査,以及时发现和消除威胁。
5. 同时,密级标识进程采用进程保护措施,使其不可非法卸载、中断、
15停止、替换。
图1示意了单向流转信息的过程。
当优盘插入计算机时,信息交换流向控制程序显示"本优盘为单向导入专 用优盘,专用于从非密计算机向涉密计算机导入非密信息",然后读取电子密 级标识属性值,以判断该计算机是否设定有表示密级的电子密级标识。
如果该计算机有电子密级标识,则直接读取其标识;如果没有或为无密级 的标识则设置优盘为可读可写及可修改的工作状态。
如果读取的电子密级标识为秘密、机密、绝密或内部中的一种,则显示"本
计算机为xx级计算机,只能从优盘向计算机单向导入信息",其中的xx为
上述四种密级之一,同时设置优盘为只读工作状态。
检测优盘的只读工作状态,若有篡改,则报警提示并改为只读工作状态。 优盘内的信息交换流向控制程序定时通过电子密级标识进程向优盘内的 "看门狗"发出"喂狗"信号,信号正常则维持优盘为只读工作状态,如果异 常,则将优盘设置为禁用工作状态。
本实施例同时采用活态密级标识技术、硬件看门狗技术、防假喂狗技术、 进程通信链闭环技术、优盘智动技术、独立双存储区及程序存储区硬件封闭技 术、进程注入技术等七大技术手段,其中活态密级标识技术、进程通信链闭环 技术为首创,对流向控制特种优盘实施高强度保护,使优盘具有智能化的信息
流向控制能力和强大的自我保护能力,消除风险隐患;并将涉密计算机上的保 护措施与优盘智能化自我保护技术紧密嵌合,形成一套完整的、安全的信息流 向流向控制安全机制,即将本实施例的优盘插入非密机时,是一个普通优盘, 可读可写; 一旦插入涉密机,就自动变成只读的单向优盘,仅能从优盘向涉密 机拷入信息,而不能从涉密机向优盘拷入任何信息,使任何窃密木马无法将机 内信息拷入优盘,这样就可杜绝"摆渡木马"窃密隐患。
其中的活态密级标识技术可采用进程方式,为涉密/内部计算机建立电子 化的密级标识,该密级标识随系统启动而启动,在系统生命周期一直活跃存在, 受到多种技术措施的严密保护,不可去除,密级改动严格受控,并在屏幕上时 刻显示本机密级。活态密级标识是一种实现自动安全保密控制功能,将安全保 密管理规定落到实处,为安全保密管理提供技术支撑必不可少的基础信息。其 功用有
(i)为信息流向控制提供基础信息;(2) 便于保密管理和保密检査;
(3) 为进一步实施更细粒度的自动安全保密控制(比如禁止高密级信息 从高密级安全域流向低密级安全域、禁止高密级介质插入低密级计算机等等) 提供基础支撑。
这是首次以电子、活态方式实现国家保密标准中提出的密级标识要求,将 成为重要的安全保密基础性技术。比静态密级标识(比如采用系统变量、注册 表、文本文件、系统标志等方式形成的密级标识,这些方式均存在容易被篡改、 取消的风险)更加安全可控。
其中的硬件看门狗技术、防假狗技术、进程通信链闭环技术、独立双存储 区及程序存储区硬件封闭技术保护信息交换流向控制安全机制的绝对安全可 靠——做到流向控制程序不可去除、不可更改、不可替代,流向控制进程不可 中断、不可更换,活态密级标识不可去除、其属性值更改严格受控。
其中的优盘智动技术将优盘自运行技术与活态密级标识技术、硬件看门 狗技术、防假狗技术、进程通信链闭环技术等安全技术结合起来,使流向导入 优盘具有自动、安全与智能的特性,具有"自动判定,自动设置,避免失误, 流向可控"的特点,可智能化地自行启动信息流向控制机制。
权利要求
1、具有电子密级标识的电子设备,该电子设备内设置有存储器,其特征在于,所述存储器内存储有电子密级标识,该电子密级标识为承载有表征所述电子设备密级信息并可被软件或程序识别的电子标识。
2、 如权利要求l所述具有电子密级标识的电子设备,其特征在于,所述电子密级标识为采用添加注册表值、系统变量、环境变量、文本文件、 系统标志、建立计算机进程方式中的任一种方式建立的电子标识。
3、 基于电子密级标识的信息交换流向控制系统,包括计算机及控制软 件,其特征在于,所述计算机存储有电子密级标识,所述控制软件为信息 交换流向控制程序,当该计算机与其它具有存储介质的电子设备连接时, 上述控制程序信息交换流向控制程序读取计算机内的电子密级标识,然后 根据该电子密级标识的属性值来判断当前计算机的密级属性,并根据计算 机的密级属性、按照安全要求设置上述电子设备的存储介质的工作状态, 从而对该计算机与其它具有存储介质的电子设备的信息交换流向进行自动 控制。
4、 如权利要求3所述基于电子密级标识的信息交换流向控制系统,其 特征在于,所述控制系统还包括电子密级标识监控程序,当所述计算机连 接于网络时,上述存储于管理计算机内的电子密级标识监控程序采取轮寻 检查的方式,或者由每台计算机的客户端向管理计算机报告的方式,检查 网络内每台计算机内的当前电子密级标识,如果发现计算机内的电子密级 标识出现变化和/或异常,则发出提示信息。
5、 如权利要求3或4所述基于电子密级标识的信息交换流向控制系 统,其特征在于,所述控制系统还包括具有存储介质的电子设备,所述控 制程序存储于具有存储介质的电子设备中。
6、 可进行信息交换流向控制的移动存储器,其特征在于,所述移动存 储器内存储有可读取电子密级标识、监视和控制移动存储器的工作状态的 信息交换流向控制程序,该控制程序能够按要求的规则根据电子密级标识 设定移动存储器的可读写、可修改、只读、禁用工作状态;所述移动存储 器内有两个存储区,分别是相互独立的数据存储区和程序存储区;所述控 制程序存储在移动存储器的程序存储区中。
7、 如权利要求6所述可进行信息交换流向控制的移动存储器,其特征在于,所述移动存储器内设置有"看门狗"硬件,所述控制程序运行后,定时与移动存储器内的"看门狗"通信,向"看门狗"发送"喂狗"信号;当所述的电子密级标识采用计算机内的进程方式时,所述控制程序通过电 子密级标识进程与"看门狗"定时通信,使该"看门狗"硬件与电子密级 标识进程、控制程序进程构成一个串行通信链,形成"逻辑与"关系,"看门狗"根据是否按时收到"喂狗"信号判断控制程序进程是否安全;"看门 狗"根据判断结果和规则控制移动存储器的工作状态如果"看门狗"无法按时收到"喂狗"信号,则判断控制程序进程可能遭遇安全威胁,将移 动存储器断电或将工作状态设置为禁用。
8、 如权利要求7所述可进行信息交换流向控制的移动存储器,其特 征在于,所述移动存储器为优盘。
9、 信息交换流向控制的方法,其特征在于,包括如下步骤a. 为计算机添加电子密级标识;b. 在能够与上述计算机连接的具有存储介质的电子设备中存入可读取上述电子密级标识的信息交换流向控制程序;c. 建立上述电子设备和计算机的连接关系;d. 使上述电子设备中的控制程序运行,读取计算机内的电子密级标 识;e. 控制程序根据电子密级标识属性值按所要求的规则设定电子设备 内的存储介质的工作状态可读写、可修改、只读、禁用。
10、 如权利要求9所述信息交换流向控制的方法,其特征在于,所述 步骤a中,所述计算机内的电子密级标识为采用添加注册表值、系统变量、 环境变量、文本文件、系统标志、建立计算机进程方式中的任一种方式建 立的电子标识;所述步骤b中,电子设备的存储介质内有两个存储区,分 别是相互独立的数据存储区和程序存储区,将所述控制程序存储在程序存 储区中;所述步骤d中,控制程序运行后,形成计算机内一个不可中断、 不可更换、不可改变的进程;所述步骤d之后,控制程序进程实时检查所述电子设备的存储介质的 工作状态;所述电子设备内设置有"看门狗"硬件,所述步骤d和e中,该"看 门狗"硬件用以看护控制程序和/或电子密级标识进程的运行和控制电子设备的存储介质的工作状态,即所述控制程序运行后,定时与"看门狗"通信,向"看门狗"发送"喂狗"信号;当计算机内的电子密级标识采用进程方式时,所述控制程序通过电子密级标识进程与"看门狗"定时通信,使该"看门狗"硬件与电子标识进程、控制程序进程构成一个串行通信链,形成"逻辑与"关系,"看门狗"根据是否按时收到"喂狗"信号判断控制程序进程和/或电子密级标识进程是否安全;"看门狗"根据判断结果和规则控制所述电子设备的工作状态如果"看门狗"无法按时收到"喂狗"信号,则将所述电子设备的存储介质断电或将其工作状态设置为禁用。
全文摘要
具有电子密级标识的电子设备、基于电子密级标识的信息交换流向控制方法、系统及移动存储器,所述电子设备的存储器中存储有电子形式的密级标识,系统中包括计算机、移动存储器及控制软件,计算机存储有电子密级标识,控制软件为信息交换流向控制程序、移动存储器注册授权及电子密级标识管理软件,当该计算机与其它具有存储介质的电子设备连接时,流向控制程序运行并读取计算机内的电子密级标识,然后根据该电子密级标识的属性值来判断当前计算机的密级属性,并根据计算机的密级属性、按照安全要求设置上述电子设备的存储介质的工作状态,从而对该计算机与其它具有存储介质的电子设备之间的信息交换流向进行控制。
文档编号G06F12/14GK101458667SQ20091000480
公开日2009年6月17日 申请日期2009年1月10日 优先权日2009年1月10日
发明者汤放鸣, 肖素梅 申请人:汤放鸣