分享好友 方案首页 频道列表

数据文件保护系统解决方案

2012-04-11泰和信科

一、概述
      随着计算机应用的普及,人们在提高办公效率的同时,也面临着一个更重要的问题:信息安全。一个敏感文件的安全,涉及到国家、企业或者个人的重要利益,而编写过程、发送过程和存储后都可能成为盗窃者攻击的目标。在人们费尽心机建立昂贵庞大的网络安全设备和机制时,盗窃者可以以另外一种身份,即合法身份打开你的计算机,毫无顾忌地拷贝走所有他需要的文件。据有关方面统计,目前国际上计算机失密案中70%是出于内盗。这样看来,敏感文件通过层层保护措施放到你的计算机内仍然不安全,而且是盗窃者重要的攻击目标。目前本地信息安全存储系统较多,但普遍存在着一个问题:速度慢、兼容性较差等问题。而常见的网络隔离卡虽然能够彻底隔绝内、外网的联系,但对于组织内部——内网上发生的盗窃却丝毫无能为力。“隔离技术”不能防止组织内部非法用户打开别人的计算机上去观看,更不能防止非法用户在偷走硬盘后为所欲为。举例说明,一个保安系统最严密的小区,虽然外人无法闯入,但谁也不敢不装防盗门,因为他不知道他的邻居是否可靠?所以,对于计算机内的敏感信息,是否可以采用有效方法保护?在不调用时不影响浏览网络和共享信息,在需要查看时将之与网络物理隔离,而且即便硬盘被盗走也无法查看,即设计计算机敏感信息的“门禁”和保护系统来保证敏感信息的安全。
二、系统硬件组成及操作
 图1 系统构成
如图1,系统由四部分组成:
读卡器和用户卡:       身份认证
保护卡和SAM卡:      身份认证与IDE信息控制
密码键盘:             身份认证
被保护硬盘:           存储介质
l 用户不插IC卡或键入密码不对,系统不显示被保护硬盘信息(上电时,计算机BIOS找不到被保护硬盘,操作系统也找不到被保护硬盘);
l 一个安全保护卡对应一个IC卡和唯一一个密码,而且这种对应是唯一的;不合法的IC卡插到读卡器时或键入密码不对时将得不到系统认可,此时系统同样不显示被保护盘信息(找不到硬盘);只有插入合法的IC卡并键入正确密码,系统才能对被保护磁盘进行正常的读写。
l IC卡中存储有用户的身份信息,以便使用时作为用户身份认证使用;另外3.5K字节用于改变硬盘的存储结构的信息,每张IC卡中的信息均不同;IC卡无法复制。
l IC卡具有身份认证和安全控制管理功能,只有通过身份认证后,IC卡中存储的3.5K字节内容才能被访问。
三、认证原理:
      如图2初始化时,保护卡从用户卡(用户IC卡)读取控制码对存储设备进行初始化。初始化完成后,每次启动时,保护卡发出指令控制SAM卡(嵌入在保护卡上)对用户卡进行认证,认证通过后从用户卡中读取控制码对存储设备进行
图2  磁盘、SAM卡、用户卡之间的关系
相关的安全控制操作。
四、数据保护原理
对磁盘数据的保护主要表现在以下三个方面:
l IC卡的认证
图3用户卡的认证过程
      当某种操作发生时,需对其身份的合法性进行认证。此时,持证人将卡插入读卡器,系统自动认证该卡的有效性,系统采用对称加密算法来进行与卡的相互认证。其主要过程如图3。
a、保护卡发送认证命令,SAM卡产生一随机数X,发往用户卡。用户卡用子密钥对X进行加密,将结果C及标示符W送回SAM卡。
b、SAM卡首先使用W来恢复验证密钥,通过主控密钥MK,产生卡的私钥。
c、然后通过密钥对C进行计算得出X1。
d、判断X与X1是否相等,如相等,则表明认证卡的合法有效。
SAM模块和用户卡相互验证通过后,保护卡就可对用户卡进行下一步操作,
读取用户卡内的信息或者密钥,供保护卡进行下一步的操作了。
 小键盘键入密码(作为辅助认证手段)
 改变磁盘存储格式
      通过改变硬盘存储格式(如除FAT或NTFS以及其他一些操作系统等使用的格式之外的某一格式)的方式来实现对磁盘数据的保护,以防非法用户盗取、使用。
      破译的难度在于破译者必须完全准确地拥有用户IC卡中3.5K的信息、获得用户密码和IC卡ID号,并且每一系统此3项参数的信息均不同。非法用户要拦截用户这些信息几乎是办不到的。首先我们在开始时已经介绍过,用户IC卡是CPU智能卡,无法复制;其次我们从图3及上述第一步用户IC卡的认证可以看到,每次认证使用的随机数不同,没有保护卡及对应的用户IC卡以及用户密码,认证不可能通过。
五、系统主要特点
 敏感数据、程序与非敏感数据、程序分盘存放;
 读写器、用户CPU卡、SAM卡、保护卡一一对应,无互换性;
 采用多重认证方式,安全可靠;
 采用反跟踪和反攻击设计;
 完全支持各种操作系统, Windows系列,Mac系列,Linux;
 不与任何应用软件冲突;
 适用于保护任何计算机数据或文件;
 无需安装驱动程序,即插即用;
 用户根据需要可嵌入自选的加解密算法;
 不占用系统资源,传输速度大于24Mbit/秒。(视硬件平台而定)
 支持任何使用IDE硬盘的硬件平台的PC计算机,兼容性能好; 
 采用的被保护硬盘品牌、型号、容量不受限制;
 具有物理隔离和自锁功能,杜绝网络上对本地计算机的攻击。
六、主要技术指标
接口 RS232串口、标准IDE协议接口
输入电源 DC 5V±5%
传输速度 ≥24Mbit/s
符合标准 PC/SC、CE、FCC
支持运行平台 DOS/WINDOWS95/98/ME/NT/XP以及LINCX系统
工作环境 温度:0-50摄氏度      温度:10-90%
时钟频率 80MHZ
七、系统应用方案
WS-523可被应用于多种方案,如下为较常采用方案供参考。
方案一:基本方式
IDE1为主硬盘,用于安装操作系统、应用程序和存储普通信息。IDE2为被保护硬盘,用于存储敏感信息。在系统运行时,计算机自动与网络断开,即主机与网络处于物理隔离状态,上述两硬盘之间可进行信息交流。
方案二:用户在安全的内网上,可以访问被保护硬盘。
      IDE1为主硬盘,用于安装操作系统,应用系统和存储普通信息。IDE2为被保护硬盘,用于通过安全认证后,拔出身份认证卡,这时,安全网络上的用户就可以通过网络访问被保护硬盘。如果用户想结束被保护硬盘的被访问,再将身份认证卡插入读卡器中。阻断网络。只有用户自己可以访问被保护硬盘。
      需要强调的是,据公安部最新统计,70%的泄密犯罪来自于内部;电脑应用单位80%未设立相应的安全管理;58%无严格的调存管理制度。各种重要数据、文件的滥用、丢失、被盗所造成的损失以亿计。对于信息安全,从企业或组织内部针对存储系统进行的非法入侵,基本上都是有预定目标的。这类计算机犯罪造成了信息安全较大部分的损失。内部非法入侵包括对数据信息的窃取、篡改、破坏,甚至偷走硬盘或整体。IDC2001年通过对超过300家大公司信息安全问题调查后指出,61%的被调查公司报告公司的信息有非授权使用和篡改的非法行为在内部发生。70%公司认为,PC计算机由于是公司主要存储信息的工具而成为公司的主要资产,信息的丢失和被篡改是造成公司经济损失的主要原因。所以我们原则上不鼓励用户在安全的内网上访问被保护硬盘。
*密码键盘为选加件。




收藏
众志和达提升某市公安局警务平台高性能
依托于信息化技术的发展,“金盾工程”建设不断深入,通过整合分散的各类警务信息应用系统形成大情报系统,实现数据的全警采集、全警应用、全警共享,结合警务综合平台、信息研判平台、视频监控平台等具体应用,大幅提升了公安事业的侦查破案、打击犯罪的效率,公安信息化建设提升了警务处理与便民执法的效率,维护了国家安全与社会稳定。

0评论2012-09-19

惠普全新服务助政府机构加强应用和系统安全
惠普公司宣布扩展惠普面向政府及公共事业部门的安全(HP Security for Public Sector)解决方案,以帮助政府机构管理其所面临的威胁,控制由身份欺诈和应用漏洞造成的损失,并在支持法规遵从需求的同时提高效率。

0评论2012-09-18

国家税务总局公路内河货运、机动车项目提供商
2006 年底,国家税务总局为了达到控税的目的,减轻纳税人的负担,在全国货运业采用了可解决控税问题,同时成本较低的基于PKI 技术的税控盘和传输盘。我公司凭借较强的技术优势和多年服务军队及航天系统的严谨工作态度,成为全国三家供应商之一,为全国13 个省份提供我们的产品及服务。

0评论2012-05-08

旋极COMYIKEY220 应用于中国农业银行
为了保障中国农业银行网上银行数据传输的安全性,旋极公司选择了将IC 卡技术与互联网技术相结合的新一代COMYIKEY220 产品,以此保障中国农业银行网上银行金融服务安全运转,真正实现网上银行的业务操作,保证金融交易的安全性、完整性和不可抵赖性。

0评论2012-05-08

军工企业保护重要数据安全新方向
军工企业是国家军事装备重要的科研生产单位,随着社会信息化程度的提高,军工企业的研发、生产等流程应用了相应的信息系统,数字化程度也越来越高。

0评论2010-04-22

华北工控网安产品在网络安全管理及审计中的应用
  系统概述: 信息时代,互联网日趋普及,一些信息中心希望通过部署规范的审计系统,提高各类安全事件的防范,规范信息发布,

0评论2010-01-21

工业级网络密码机(网关VPN)
传输和接入安全一直是电子政务、金融、电信等大型网络试图解决的问题。在VPN技术出现以前,一般采用 "信道加密机"来解决这类安

0评论2008-04-17

研祥EIP在监狱监控系统中的解决方案
[系统概述]根据监狱监视控制系统的具体要求,建立基于计算机网络的的多媒体监控方案,满足监狱自身的安防和技防的需要。同时满足

0评论2007-11-17

BridgeWave通信公司和Fortress技术公司共同推出吉比特无线保密通信方案
【据军事航空电子2007年5月21日报道】BridgeWave通信公司是一家吉比特无线通信方案提供商,日前该公司与另一家保密无线网络提供

0评论2007-05-28

美国陆军采纳MDI安全管理解决方案
[据美国军事航空电子网站2007年4月14日报道] MDI有限公司是一家安全工业统一科技解决方案制造商,日前该公司宣布其统一接入控制

0评论2007-04-19