一、产品概述

涉密计算机违规连接互联网、移动存储介质交叉使用是近年来我国发生多起涉密信息系统泄密事件的主要原因，同时也是中央和国家机关保密检查中发现的两个主要泄密途径；而外部信息单向导入涉密计算机是涉密单位的重要需求。针对上述严峻的涉密信息系统保密安全管理现状，国家保密局组织实施了关于“涉密计算机及移动存储设备保密管理系统”（以下简称“三合一系统”）的研制、检测、生产及部署等相关工作。

科技积极跟进国家政策标准，于2010获得了国家保密局关于“三合一系统”的研制资格。自获得研制资格以来，严格按照BMB24-2010进行研制开发工作，并在此基础上探索创新，以遵循国家标准为准则，程度满足客户安全管理和应用需求为己任，成功研发了“涉密计算机及移动存储设备保密管理系统”。

“三合一系统”遵从“保密、便捷、成熟、实用”的设计原则，在保证安全保密的同时，使用户操作的便捷性得到了体现。系统包括用户端软件、管理端软件、多功能导入装置、涉密专用优盘、管理员身份钥匙、审计员身份钥匙六个部分，构成如图1所示。

1)       服务器程序：安装在Windows 2000 /2003操作系统上，可以放置在机房中，由控制台进行控制，与终端直接联系，并将所有信息存储在数据库中。

2)       控制端程序：系统遵循二员职责设计，即将管理员细分为管理员、审计员。 二员可以通过控制台来连接服务器实施相应控制。

3)       用户端程序：安装在每台终端计算机上配合控制台对终端计算机进行安全监控的代理程序，包括涉密终端和涉密单机。

4)       操作员身份钥匙：包括管理员身份钥匙和审计员身份钥匙，使用不同的身份钥匙登录系统可以实现相应的管理功能。

5)       多功能导入装置：在安装本系统软件的涉密终端上通用。其专用接口连接涉密专用优盘，实现涉密专用优盘的数据存取；通用接口连接普通优盘，可以将非涉密通用优盘内的非涉密数据单向导入到涉密计算机。

6)       涉密专用优盘：具有规定的外形、接口、内部数据格式、ID和认证方式。用于和多功能导入装置配合使用完成优盘与计算机的双向涉密数据交互。

二、产品功能

2.1 主要功能

2.1.1非法外联监控：

通过网络传输层驱动实时监控涉密计算机是否违规连接互联网；若出现违规行为即时发送报警信息，并阻断网络连接

2.1.2介质使用管控：

1)       涉密专用U盘管理：实现涉密专用U盘的进行注册，查询，修改注册信息功能。

2)       涉密专用U盘完整性检测：对涉密专用U盘的完整性进行检测，从而避免涉密专用U盘注册信息被非法修改、以及伪造注册信息。

3)       涉密专用U盘使用范围控制：通过USB涉密过滤驱动，杜绝非涉密专用U盘的接入，涉密专用U盘可控使用范围为本人、本部门、本单位、通用。

4)       涉密专用U盘安全性保证：涉密专用U盘使用前需要验证用户口令、硬件口令；涉密专用U盘的读写会进行数据的封装或解析；并采用专用文件系统，在非法环境中U盘无法正常加载盘符。

2.1.3非涉密信息单向导入：

1)       外部信息单向导入：利用光单向传输性，将普通存储介质内的外部信息通过单向导入装置单向导入涉密环境中。

2)       文件自选传输：设备支持“默认传输”和“自主传输”两种模式。“自主传输”模式下用户可以自由选自U盘中的指定文件，导入效率和灵活性大大提高。

3)       传输速度可调：设备在符合标准的前提下，数据导入速度可调节。900Bps，4MBps，远远高出同类产品。速率可调也使得面对不同配置的计算机时兼容性更强。

2.1.4涉密信息双向交互

通过涉密专用U盘配合多功能导入装置使用，采用特殊的专用接口、特殊的专用格式及用户口令认证的功能，实现涉密信息双向交互

2.2 辅助功能

2.2.1服务器管理

操作员身份钥匙、设备控制、报警个性化设置、锁定设置、日志审计、初始化安装Key、数据库自动备份、备份磁盘空间报警设置、代理探测地址白名单、终端认证时间设定

2.2.2终端管理

卸载和删除终端、终端、注销终端、查找终端、查看终端资源、终端分组、终端自动分组、终端自动升级功能、终端不在线报警、外联服务器IP。

2.2.3策略管理

查看、修改终端策略、发送策略、策略群发、设置默认加载策略、查看终端策略、查看终端所有已发策略、查看组策略

三、产品优势

3.1 完全符合国家保密标准

严格遵循BMB24-2010标准开发，功能、技术、安全性和管理使用上完全符合国家保密标准。

3.2 手动导航 自选传输更便利

1)       所有文件导入操作均可通过面板上的按键完成，无需键盘鼠标，使用便利。

2)       通过浏览U盘文件目录，用户想传那个文件即可以传那个文件，免去用户为避免导入不需要的信息而不得不对U盘内文件进行经常性的进行反复删除或清空操作，使用更简便。

图3—多功能导入装置“自主传输模式”接收界面

3)       当被导入文件选择错误或传输错误时，均可随时终止文件传输，使用更灵活。

3.3 速率可调 文件导入更高速

1)       速率可调，速度高，是多功能单向导入装置的技术优势。BMB24-2010要求传输速度不低于500KB/S。多功能单向导入装置增加了速度调节功能，用户可以根据实际需求，对非涉密U盘的数据导入速度进行调控，速率共分5档，默认速率为1档，可达900KB/S,5档可达4MKB/S，速率可调节提高了非密U盘向涉密计算机单向导入文件的效率。

2)       速率可调节在面对各种高低配置的新旧计算机时，有着较强较灵活的兼容性。

3.4 真正底层 技术实现更安全

1)       从硬件底层实现对U盘文件目录的解析，如下图所示。如对文件名、文件大小、文件属性进行解析，并单向上传到涉密主机端（如上图所示），这样用户通过文件目录结构就可以直观查看文件，技术更底层。

2)       关键功能真正在内核层实现：如对外设控制、非法外联监控等。内核层安全性更高、兼容性更好、控制更准确，程序运行效率更高，监控反馈更安全快速。