涉密信息安全集中管控系統研究與設計

陳端迎

（連云港杰瑞深軟科技有限公司，江蘇 連云港　222006）

0　引言

隨著國家加大國防投資，給軍工企業發展帶來了很大的機遇，同時也給安全保密工作帶來無限的挑戰。保密工作是武器裝備科研生產單位常抓不懈的一項日常管理工作，但保密形勢不容樂觀，泄密事件時有發生，一方面國外情報竊密技術手段不斷提高，使保密難度加大，一方面保密員工意識淡薄，單位監督檢查力度投入不夠，缺乏有效的防護措施，從通報的泄密事件看，郵件泄密、移動存儲泄密和打印泄密是最為常見的方式，隨著安全保密認證新要求開始貫徹，涉密單位在防止郵件泄密、移動存儲泄密、打印泄密等方面采取了一定的手段，但缺少集安全保密管理、信息轉換管理、保密打印管理于一體的涉密信息安全集中管控平臺，保密業務顧此失彼。另一方面，保密的日常工作涉及面廣、工作量大、保密管理千頭萬緒、又相互聯系。為了理順保密管理工作、減輕保密管理人員的工作輕度、避免工作中顧此失彼，使保密工作變得輕松化、條理化、科學化、規范化、準確化、信息化，亟需開發一套功能較為全面的涉密信息安全集中管控系統。

1　系統建設目標

系統以《武器裝備科研生產單位一級保密資格標準》為主要開發依據，以信息化、自動化管理為目標，以計算機和信息系統的安全保密管理為核心，實現集安全保密管理、信息轉換管理、保密打印監控與審計于一體的涉密信息安全統一管控。實現保密工作的簡化和規范管理，提高保密工作的管理水平。

主要建設內容包括：

· 建立安全保密日常工作管理業務子系統

安全保密日常工作管理在功能上它覆蓋了保密項目、人員、載體、設備、涉密會議、外場試驗、保密檢查等多方面的保密工作內容，主要包括定密管理、涉密人員管理、涉密載體管理、設備管理、宣傳報道管理、涉密會議管理、外場試驗管理、協作配套管理、保密檢查與考核等業務功能。

· 建立涉密信息轉換業務子系統

針對涉密單位的涉密信息進行集中統一輸入輸出管理，實現外來涉密信息的網上申請提交、領導審批、信息導入，并能夠對內部網絡中的涉密信息進行導出、審批、附件加密，還可以各種條件進行查詢統計。避免了涉密信息的隨意導入導出，防止電子文檔的泄密事件發生。

· 提供安全打印監控與審計業務功能

實現打印權限管理、行政審批、關鍵字過濾、作業審核輸出、強制水印、密級管理、流轉與閉環等功能。對打印前進行認證、預警和審核，打印后審計、回收和追溯，有效控制打印安全。

· 與其他應用系統的集成

建立較為完善的涉密信息安全集中管控系統的同時，系統應具有開放式的集成接口，能夠實現與企業信息門戶等應用系統的集成，并預留未來應用系統的接口。

2　系統技術方案

系統在技術實現上采用基于微軟公司的.NET平臺搭建SOA體系架構，安全保密管理子系統、信息轉換管理子系統、安全打印監控與審計管理子系統的打印服務端采用B/S結構的瀏覽器訪問模式，安全打印監控及審計管理子系統的打印客戶端和打印監控端采用C/S結構運行模式。

基于SOA體系結構架構的B/S三層的系統架構,技術成熟可靠，能很好保障系統性能要求、功能要求和便捷的擴展性要求，為系統項目的快速升級打下基礎。界面開發采用Asp.Net、JavaScricp、AJAX等技術實現的展現層服務，力求以最成熟、舒適的界面風格展示企業應用。數據訪問采用基于 ADO.NET（Entity Framework）持久化映射和數據庫訪問API（DAO）。在數據庫層面，選擇甲骨文公司ORACLE數據庫系統，目前使用Oracle 11.2g，向下兼容10g版本。

系統用戶對象：保密委員會、保密辦、所有涉密人員。

系統保密要求：系統設計中采取系統定密、分級保護、訪問控制、三員分立等一系列安全保密措施，滿足企業保密要求，可作為涉密信息系統運行在涉密網中，符合企業保密測評的需求。

2.1　系統總體架構

涉密信息安全集中管控系統包括一個可信Web應用平臺和三大功能子系統，其中子系統包括安全保密管理系統、信息轉換管理系統、安全打印監控與審計系統。軟件總體結構框圖如圖1所示：

圖1　軟件總體結構框圖Fig.1　Software architecture

系統支撐層：提供軟件運行的基礎支撐環境，保障系統的正常平穩運行。提供本單位組織部門結構的建立、系統使用人員信息的維護、角色的建立并按用戶或角色進行系統權限分配、系統信息和安全性設置、日志查詢與維護、軟件基礎數據維護等功能。

業務應用層：是整個軟件系統的主要功能部分，主要實現集安全保密管理、信息轉換管理、保密打印監控與審計于一體的涉密信息安全統一管控平臺進行功能性開發。

系統集成：根據企業實際情況，本軟件系統正常運行時需要與已有的其他應用系統進行信息的交互和集成，主要應用系統有信息門戶、日志管理、知識管理以及域服務器的集成。

2.2　業務功能設計

涉密信息安全集中管控系統依據《武器裝備科研生產單位一級保密資格標準》，針對軍工科研院所，設計和實現一個集安全保密管理、信息轉換管理、保密打印監控與審計于一體的涉密信息安全統一管控平臺。軟件系統劃分為安全保密管理、信息轉換管理、保密打印監控與審計管理三大子系統分別處理不同的業務，系統管理作為基礎支撐平臺。安全保密管理子系統的主要功能模塊包括：保密責任管理、保密組織管理、保密制度管理、保密監督管理；安全信息轉換管理子系統包括：信息轉換、查詢統計；安全打印監控與審計管理子系統包括打印管理端、打印客戶端、打印監控端。

軟件系統的功能模塊圖如圖2。

圖2　系統功能模塊圖Fig.2　System function module diagram

· 安全保密管理

提供基于涉密企業保密管理規范的保密責任信息、保密機構管理信息、保密制度信息的維護，同時提供保密工作的日程監督管理，包括對項目、人員、載體、設備、對外宣傳、會議、外場試驗以及保密檢查與考核信息管理。

· 保密責任管理

根據涉密企業保密管理規范，保密管理人員將法人代表責任信息、分管保密領導責任信息、項目負責人責任信息和涉密人員責任信息錄入系統并提供維護管理，同時供涉密人員查看。

· 組織機構管理

提供對保密委員會、保密工作機構、保密工作領導小組等與保密相關的組織機構的設定功能。設定的內容包括：機構的定義、機構職責的說明、機構人員的組成等。

· 保密制度管理

提供按基本制度、二級制度、專項制度等進行保密制度分類，并在對應的類別下進行相關保密制度的發布、查詢功能。

· 保密監督管理

保密監督管理主要包括項目定密管理、涉密人員管理、涉密載體管理、設備管理、宣傳報道管理、涉密會議管理、外場試驗管理、保密檢查與考核等。

項目定密：針對制定的科研項目定密目錄提供相應的管理功能。確定項目密級和保密期限，及時調整達到保密期限的項目密級和保密期限，對秘密事項進行綜合統計。包括科研項目密級、科研項目密級變更、科研項目密級解除等；

涉密人員：管理在職涉密人員信息，保密責任書、承諾書簽訂，保密教育培訓，涉密人員出國（境），保密補貼發放，脫密期管理提供相關的維護功能；

涉密載體：針對涉密文件資料和光盤的管理，包括文件打印復印、文件借閱、文件報廢、文件和光盤的外發和銷毀；

設備管理：針對計算機、移動存儲介質和辦公自動化設備的管理。包括設備信息的登記備案，以及關于計算機和信息系統的系統和軟件的安裝控制。

· 信息轉換管理

提供信息集中輸入、輸出的工具，申請人能夠在網上填寫導入導出的申請、領導在線進行審批、轉換流程隨時查看、導入導出信息的加密、各項轉換信息的查詢統計。

· 安全打印監控與審計管理

提供對打印過程進行管理及控制功能，由涉密人員發起打印請求并上傳涉密文件，經部門領導審批后發送打印室管理人員，打印室管理員審核后，發起請求的涉密人員刷卡開始打印。保密打印監控與審計管理由打印服務端、打印客戶端、打印監控端構成，打印管理端實現系統管理，打印監控端實現對打印機配置和打印作業監控，打印客戶端用于客戶身份驗證、打印申請、虛擬打印。

2.3　系統總體部署

系統運行于企業內部網絡，與國際互聯網物理隔離，不需要使用VPN隔離網閘來進行內外部網絡隔離，網絡拓撲相對簡單。系統使用計算機通過局域網TCP/IP協議與Web服務器進行通信。

系統的總體部署如圖3所示：

圖3　系統總體網絡部署圖Fig.3　The overall network deployment diagram of the system

涉密信息安全集中管控系統服務軟件部署在企業信息中心中心機房的Web服務器，通過企業內網作為系統的網絡運行環境，系統用戶使用能通過內網登錄、訪問和操作。

3　結論

涉密信息安全集中管控系統是在對國家法規的研究基礎上，充分分析企業信息安全保密管理流程和開發模式，以及保密管理工作過程中對開發工具的需求，結合先進的開發技術，設計并實現了涉密信息安全集中管控系統。為軍工科研院所提供既實用有效的信息保密業務管理工具，完善保密管理業務，促進軍工研究所、涉密單位的信息化發展，具有廣闊的前景。