文件密级标识全程管控系统的设计与实现

为了解决涉密信息系统内文件密级标识缺乏统一管理、密级标识本身安全性差的问题,从静态管控和动态管控两个角度对密级标识制定相应的防护策略.通过在文件头部密级标识字段后添加若干标志位,结合HMAC完整性校验技术、HOOK技术、文件系统过滤驱动技术,设计了文件密级标识全程管控系统.测试结果表明,该系统设计方案可以实现对涉密信息系统内文件密级标识的全程管控.     

涉密表单附件PaaS服务设计

按照国家涉密信息系统分级保护标准规范要求,涉密信息系统需要对用户上传的涉密表单附件标定密级,限制低密级用户访问,并且加密存储。针对这个共性需求,提出了一种涉密表单附件PaaS服务设计方案,为基于PaaS平台搭建的各类涉密应用提供统一的附件服务,实现涉密附件的上传、登记、加密、存储、下载和管理功能,按照保密标准严格控制附件的允许访问的人员范围,上传下载过程中自动加密、解密,加密过程对用户透明,同时利用PaaS技术平台提供的应用伸缩能力,解决大批量文件加解密带来的性能瓶颈问题。     

基于多维标识的文件分级保护模型

针对传统文件保护技术中普遍存在的分级管理差、管控粒度不细等问题,结合多维多密级的文件应用环境,提出基于多维标识的文件分级保护模型.该模型将静态特征标识和动态密级标识相结合,引入域标识的概念,并证明其安全性.经分析和应用表明,该模型能在不影响文件正常使用的基础上,使不同环境中的文件访问都能得到有效控制,从而保证文件的安全...     

基于信息密级标识的多级域防护系统

如何有效控制不矧安全域之间的信息流向以及信息的访问控制是分级保护的一个工作重点。该系统利用Windows内核的驱动框架,通过嵌入在I／O管理器和文件系统驱动模块之间的文件过滤驱动模块向信息头部写入密级标,并结合管理中心分发的密钥,实现信息的动态透明加／解密,使涉密文件只能被有相应权限的用户所访问;信息控制引擎结合访问控制策略,实现信息流向控制,杜绝高密级信息向低密级域流动。     

电子文件密级标志技术在涉密信息系统中的应用与实现

军工企业涉密信息系统内的电子文件越来越多,如何较好保护这些电子文件,如何有效避免和防止出现恶意"降密"与"脱密"、非授权访问,甚至涉密信息泄露,已经成为各军工企业信息化建设过程中的现实问题。本文通过对涉密信息系统中电子文件存在的问题,分析了合规、业务和安全方面的需求,介绍了电子标密系统的建设思路和部署架构,并探讨了密级标志在涉密信息系统内的应用场景,为电子密级标志技术在涉密信息系统中的推广和应用提供了实践依据。     

支持多密级的SOAP消息安全模型研究与实现

为了实现多密级、特殊密码环境下的Web服务安全性,在对WS-Security规范进行研究的基础上对其进行修改和扩展,提出支持多密级SOAP消息安全标识扩展协议和SOAP消息多密级安全协议,设计并实现一个基于上述协议的SOAP消息安全模型,该模型利用多密级密码服务接入技术,根据安全标识实现支持多密级的SOAP消息安全性要求,从而验证多密级安全协议的完整性、可用性。     

浅谈企业涉密邮件系统建设与改造

本文根据涉密邮件系统使用需求,简要分析邮件系统建设与改造对策,从系统管理、技术实现两方面阐述了三员分立、密级流向控制、认证登录、系统审计等实现安全保密要点,对涉密邮件系统建设和改造有一定借鉴作用。     

密级标识与轨迹跟踪技术在内网安全管理中的应用

随着信息化技术的快速发展,无处不在的电子文件,给内网安全管理带来了严峻的挑战。本文介绍了常用的电子文件防护技术,指出了"亡羊补牢"怪圈的本质,通过引入密级标识技术、轨迹跟踪技术实现电子文件的安全防护,并以中软密级标识与轨迹跟踪产品为实例,介绍了基于密级标识的电子文件轨迹跟踪系统在现实工作中的应用。     

涉密信息系统安全域的划分及边界防护问题浅析

建立满足新国家标准的机密级涉密信息系统,需要对安全域进行有效的划分和防护。分级保护思想贯穿始终,而划分安全域是一个基本且重要的策略,通过明确划分安全域可以为实现访问控制、边界、边界防护提供直接的依据,为不同等级的涉密信息安全保密防护提供了技术基础。     

基于单向传输协议的网间安全交换技术

为解决工业控制系统与涉密工作网络之间信息安全交换的问题,提高信息交换的效率,提出一种基于单向传输协议的数据交换技术。构建数据交换可信验证模型,将业务数据分离成2个单向链路,并采用单向隔离设备实现网络的安全隔离和信息单向传输。通过控制信息管理子平台防止高密级信息流向低密级安全域,利用采集信息管理子平台抵御对涉密信息系统的攻击。设计数据安全传输机制,并进行私有协议封装。分析结果表明,该技术可实现工业控制系统与涉密信息系统间的安全互联和数据可信交换。     

基于平衡的思想实施信息系统分级保护工程

在解读国家涉密信息系统分级保护政策的基础上,通过描述分级保护工作的概念、思想、实现方法,进一步分析当前分级保护工作取得的成就与存在的问题,为了进一步推进分级保护工作,使其达到一个更高的水平,从而提出了四种平衡的思想方法用于指导涉密信息系统分级保护工作的实施。     

SOAP消息多密级安全的研究与设计

为了满足多密级、特殊密码环境下的Web服务安全性,分析了SOAP消息多密级安全的实现原理,提出了SOAP消息多密级安全标识协议和SOAP消息多密级安全保障协议,设计并实现了一个基于上述协议的SOAP消息安全模型.该模型利用多密级密码服务接入技术,实现了SOAP消息多密级安全保障,验证了多密级安全协议的完整性、可用性.     

一种终端主机文件涉密检查及流转跟踪实时监控系统

目前,网络安全防护重点集中在诸如部署防火墙等边界防护手段。边界防护对外部攻击起到了很好的防护作用,但造成更大安全威胁的终端存储安全问题并没有得到解决,涉密或标涉文件因越级存储导致泄漏和被窃取的现象仍然十分严重。笔者设计并实现了一种终端主机文件涉密检查及流转跟踪实时监控系统,能够实时检查终端主机新增文件或修改文件的文件内容和密级标识,及时发现可能导致文档泄漏和被窃取的不安全因素。     

浅析信息安全中的等级保护与分级保护

为了保证涉密网络中的信息安全,国家保密法要求对涉密信息实施等级保护与分级保护.本文分别介绍信息安全中的等级保护和分级保护体系,探讨分级保护与等级保护的关系.     

涉密网络系统输入输出控制分析

涉密网络系统输入输出管理需要满足国家分级保护技术相关标准和单位的要求,采取措施严格控制。该文根据单位内部涉密网络系统中各种应用系统的输入输出实际情况,对涉密网络系统输入输出的模式、操作形式、操作流程、输入输出点配置、管理职责等控制要素进行了具体分析,并根据分析结果提出了涉密网络系统输入输出控制的方式和一种技术解决方案。     

基于光纤的数据单向传输系统设计与实现

该文针对在网络的不同安全域之间进行文件传输时数据只能由低密级网络向高密级网络传输的要求,设计了一款基于光的单向传输原理的数据单向传输系统,解决了利用通用移动存储介质将非涉密网络中的数据导入涉密计算机、同时防止涉密计算机中的信息通过通用移动存储设备泄露的问题。在硬件上设计上,由光单向传输特性保证数据单向传输;同时配合传输协议,通过限制和控制各节点带宽,保证数据传输效率和准确性。     

信息安全中的等级保护与分级保护初探

信息安全等级保护与分级保护是我国信息安全保障的基本制度。本文介绍了我国信息安全等级保护和涉密信息分级保护体系,并对等级保护和分级保护的关系进行了初步探讨。     

基于隔离区的信息保护模型研究

通过分析以主机为管理对象的涉密信息保护技术的特点,提出了一种基于隔离区的信息保护模型.该模型在保证涉密信息可用性不受影响的同时,加强了对涉密信息的保护.实现该模型的关键在于实现进程资源访问的隔离,通过分析Windows操作系统中进程信息可能的泄漏点,结合过滤驱动和程序组件校验的机制构造了涉密信息隔离区来实现进程资源访问的隔离.     

涉密网络内部安全过滤系统的设计与实现

着眼涉密网络内部不同密级间信息流传输提供可靠的安全保证,分析涉密网络内部不同密级间信息流动可能产生的安全威胁,从信息保障总体思路与框架的要求出发,以对象标定为基础,设计了基于WinPcap的信息过滤及监控系统,阐述了系统功能,设定了系统的体系及软件结构,编制了捕获过滤内核,研究了信息流的处理方法,给出了系统的安全策略。同时,对于数据风暴、数据处理等重点问题进行了深入研究。通过模拟论证,该系统可以有效地保证涉密网络内部信息流的安全传输。     

企业数据交换体系建设思考

本文明确提出涉密信息系统与单机和其他系统之间数据交换的相关方案,方案中落实了国家相关标准的具体要求,解决了涉密信息系统分级保护过程中数据交换过程的数据安全问题。