陳端迎

（連云港杰瑞深軟科技有限公司，江蘇 連云港　222006）

0　引言

隨著國家加大國防投資，給軍工企業(yè)發(fā)展帶來了很大的機遇，同時也給安全保密工作帶來無限的挑戰(zhàn)。保密工作是武器裝備科研生產(chǎn)單位常抓不懈的一項日常管理工作，但保密形勢不容樂觀，泄密事件時有發(fā)生，一方面國外情報竊密技術(shù)手段不斷提高，使保密難度加大，一方面保密員工意識淡薄，單位監(jiān)督檢查力度投入不夠，缺乏有效的防護措施，從通報的泄密事件看，郵件泄密、移動存儲泄密和打印泄密是最為常見的方式，隨著安全保密認證新要求開始貫徹，涉密單位在防止郵件泄密、移動存儲泄密、打印泄密等方面采取了一定的手段，但缺少集安全保密管理、信息轉(zhuǎn)換管理、保密打印管理于一體的涉密信息安全集中管控平臺，保密業(yè)務(wù)顧此失彼。另一方面，保密的日常工作涉及面廣、工作量大、保密管理千頭萬緒、又相互聯(lián)系。為了理順保密管理工作、減輕保密管理人員的工作輕度、避免工作中顧此失彼，使保密工作變得輕松化、條理化、科學化、規(guī)范化、準確化、信息化，亟需開發(fā)一套功能較為全面的涉密信息安全集中管控系統(tǒng)。

1　系統(tǒng)建設(shè)目標

系統(tǒng)以《武器裝備科研生產(chǎn)單位一級保密資格標準》為主要開發(fā)依據(jù)，以信息化、自動化管理為目標，以計算機和信息系統(tǒng)的安全保密管理為核心，實現(xiàn)集安全保密管理、信息轉(zhuǎn)換管理、保密打印監(jiān)控與審計于一體的涉密信息安全統(tǒng)一管控。實現(xiàn)保密工作的簡化和規(guī)范管理，提高保密工作的管理水平。

主要建設(shè)內(nèi)容包括：

· 建立安全保密日常工作管理業(yè)務(wù)子系統(tǒng)

安全保密日常工作管理在功能上它覆蓋了保密項目、人員、載體、設(shè)備、涉密會議、外場試驗、保密檢查等多方面的保密工作內(nèi)容，主要包括定密管理、涉密人員管理、涉密載體管理、設(shè)備管理、宣傳報道管理、涉密會議管理、外場試驗管理、協(xié)作配套管理、保密檢查與考核等業(yè)務(wù)功能。

· 建立涉密信息轉(zhuǎn)換業(yè)務(wù)子系統(tǒng)

針對涉密單位的涉密信息進行集中統(tǒng)一輸入輸出管理，實現(xiàn)外來涉密信息的網(wǎng)上申請?zhí)峤?、領(lǐng)導審批、信息導入，并能夠?qū)?nèi)部網(wǎng)絡(luò)中的涉密信息進行導出、審批、附件加密，還可以各種條件進行查詢統(tǒng)計。避免了涉密信息的隨意導入導出，防止電子文檔的泄密事件發(fā)生。

· 提供安全打印監(jiān)控與審計業(yè)務(wù)功能

實現(xiàn)打印權(quán)限管理、行政審批、關(guān)鍵字過濾、作業(yè)審核輸出、強制水印、密級管理、流轉(zhuǎn)與閉環(huán)等功能。對打印前進行認證、預警和審核，打印后審計、回收和追溯，有效控制打印安全。

· 與其他應(yīng)用系統(tǒng)的集成

建立較為完善的涉密信息安全集中管控系統(tǒng)的同時，系統(tǒng)應(yīng)具有開放式的集成接口，能夠?qū)崿F(xiàn)與企業(yè)信息門戶等應(yīng)用系統(tǒng)的集成，并預留未來應(yīng)用系統(tǒng)的接口。

2　系統(tǒng)技術(shù)方案

系統(tǒng)在技術(shù)實現(xiàn)上采用基于微軟公司的.NET平臺搭建SOA體系架構(gòu)，安全保密管理子系統(tǒng)、信息轉(zhuǎn)換管理子系統(tǒng)、安全打印監(jiān)控與審計管理子系統(tǒng)的打印服務(wù)端采用B/S結(jié)構(gòu)的瀏覽器訪問模式，安全打印監(jiān)控及審計管理子系統(tǒng)的打印客戶端和打印監(jiān)控端采用C/S結(jié)構(gòu)運行模式。

基于SOA體系結(jié)構(gòu)架構(gòu)的B/S三層的系統(tǒng)架構(gòu),技術(shù)成熟可靠，能很好保障系統(tǒng)性能要求、功能要求和便捷的擴展性要求，為系統(tǒng)項目的快速升級打下基礎(chǔ)。界面開發(fā)采用Asp.Net、JavaScricp、AJAX等技術(shù)實現(xiàn)的展現(xiàn)層服務(wù)，力求以最成熟、舒適的界面風格展示企業(yè)應(yīng)用。數(shù)據(jù)訪問采用基于 ADO.NET（Entity Framework）持久化映射和數(shù)據(jù)庫訪問API（DAO）。在數(shù)據(jù)庫層面，選擇甲骨文公司ORACLE數(shù)據(jù)庫系統(tǒng)，目前使用Oracle 11.2g，向下兼容10g版本。

系統(tǒng)用戶對象：保密委員會、保密辦、所有涉密人員。

系統(tǒng)保密要求：系統(tǒng)設(shè)計中采取系統(tǒng)定密、分級保護、訪問控制、三員分立等一系列安全保密措施，滿足企業(yè)保密要求，可作為涉密信息系統(tǒng)運行在涉密網(wǎng)中，符合企業(yè)保密測評的需求。

2.1　系統(tǒng)總體架構(gòu)

涉密信息安全集中管控系統(tǒng)包括一個可信Web應(yīng)用平臺和三大功能子系統(tǒng)，其中子系統(tǒng)包括安全保密管理系統(tǒng)、信息轉(zhuǎn)換管理系統(tǒng)、安全打印監(jiān)控與審計系統(tǒng)。軟件總體結(jié)構(gòu)框圖如圖1所示：

圖1　軟件總體結(jié)構(gòu)框圖Fig.1　Software architecture

系統(tǒng)支撐層：提供軟件運行的基礎(chǔ)支撐環(huán)境，保障系統(tǒng)的正常平穩(wěn)運行。提供本單位組織部門結(jié)構(gòu)的建立、系統(tǒng)使用人員信息的維護、角色的建立并按用戶或角色進行系統(tǒng)權(quán)限分配、系統(tǒng)信息和安全性設(shè)置、日志查詢與維護、軟件基礎(chǔ)數(shù)據(jù)維護等功能。

業(yè)務(wù)應(yīng)用層：是整個軟件系統(tǒng)的主要功能部分，主要實現(xiàn)集安全保密管理、信息轉(zhuǎn)換管理、保密打印監(jiān)控與審計于一體的涉密信息安全統(tǒng)一管控平臺進行功能性開發(fā)。

系統(tǒng)集成：根據(jù)企業(yè)實際情況，本軟件系統(tǒng)正常運行時需要與已有的其他應(yīng)用系統(tǒng)進行信息的交互和集成，主要應(yīng)用系統(tǒng)有信息門戶、日志管理、知識管理以及域服務(wù)器的集成。

2.2　業(yè)務(wù)功能設(shè)計

涉密信息安全集中管控系統(tǒng)依據(jù)《武器裝備科研生產(chǎn)單位一級保密資格標準》，針對軍工科研院所，設(shè)計和實現(xiàn)一個集安全保密管理、信息轉(zhuǎn)換管理、保密打印監(jiān)控與審計于一體的涉密信息安全統(tǒng)一管控平臺。軟件系統(tǒng)劃分為安全保密管理、信息轉(zhuǎn)換管理、保密打印監(jiān)控與審計管理三大子系統(tǒng)分別處理不同的業(yè)務(wù)，系統(tǒng)管理作為基礎(chǔ)支撐平臺。安全保密管理子系統(tǒng)的主要功能模塊包括：保密責任管理、保密組織管理、保密制度管理、保密監(jiān)督管理；安全信息轉(zhuǎn)換管理子系統(tǒng)包括：信息轉(zhuǎn)換、查詢統(tǒng)計；安全打印監(jiān)控與審計管理子系統(tǒng)包括打印管理端、打印客戶端、打印監(jiān)控端。

軟件系統(tǒng)的功能模塊圖如圖2。

圖2　系統(tǒng)功能模塊圖Fig.2　System function module diagram

· 安全保密管理

提供基于涉密企業(yè)保密管理規(guī)范的保密責任信息、保密機構(gòu)管理信息、保密制度信息的維護，同時提供保密工作的日程監(jiān)督管理，包括對項目、人員、載體、設(shè)備、對外宣傳、會議、外場試驗以及保密檢查與考核信息管理。

· 保密責任管理

根據(jù)涉密企業(yè)保密管理規(guī)范，保密管理人員將法人代表責任信息、分管保密領(lǐng)導責任信息、項目負責人責任信息和涉密人員責任信息錄入系統(tǒng)并提供維護管理，同時供涉密人員查看。

· 組織機構(gòu)管理

提供對保密委員會、保密工作機構(gòu)、保密工作領(lǐng)導小組等與保密相關(guān)的組織機構(gòu)的設(shè)定功能。設(shè)定的內(nèi)容包括：機構(gòu)的定義、機構(gòu)職責的說明、機構(gòu)人員的組成等。

· 保密制度管理

提供按基本制度、二級制度、專項制度等進行保密制度分類，并在對應(yīng)的類別下進行相關(guān)保密制度的發(fā)布、查詢功能。

· 保密監(jiān)督管理

保密監(jiān)督管理主要包括項目定密管理、涉密人員管理、涉密載體管理、設(shè)備管理、宣傳報道管理、涉密會議管理、外場試驗管理、保密檢查與考核等。

項目定密：針對制定的科研項目定密目錄提供相應(yīng)的管理功能。確定項目密級和保密期限，及時調(diào)整達到保密期限的項目密級和保密期限，對秘密事項進行綜合統(tǒng)計。包括科研項目密級、科研項目密級變更、科研項目密級解除等；

涉密人員：管理在職涉密人員信息，保密責任書、承諾書簽訂，保密教育培訓，涉密人員出國（境），保密補貼發(fā)放，脫密期管理提供相關(guān)的維護功能；

涉密載體：針對涉密文件資料和光盤的管理，包括文件打印復印、文件借閱、文件報廢、文件和光盤的外發(fā)和銷毀；

設(shè)備管理：針對計算機、移動存儲介質(zhì)和辦公自動化設(shè)備的管理。包括設(shè)備信息的登記備案，以及關(guān)于計算機和信息系統(tǒng)的系統(tǒng)和軟件的安裝控制。

· 信息轉(zhuǎn)換管理

提供信息集中輸入、輸出的工具，申請人能夠在網(wǎng)上填寫導入導出的申請、領(lǐng)導在線進行審批、轉(zhuǎn)換流程隨時查看、導入導出信息的加密、各項轉(zhuǎn)換信息的查詢統(tǒng)計。

· 安全打印監(jiān)控與審計管理

提供對打印過程進行管理及控制功能，由涉密人員發(fā)起打印請求并上傳涉密文件，經(jīng)部門領(lǐng)導審批后發(fā)送打印室管理人員，打印室管理員審核后，發(fā)起請求的涉密人員刷卡開始打印。保密打印監(jiān)控與審計管理由打印服務(wù)端、打印客戶端、打印監(jiān)控端構(gòu)成，打印管理端實現(xiàn)系統(tǒng)管理，打印監(jiān)控端實現(xiàn)對打印機配置和打印作業(yè)監(jiān)控，打印客戶端用于客戶身份驗證、打印申請、虛擬打印。

2.3　系統(tǒng)總體部署

系統(tǒng)運行于企業(yè)內(nèi)部網(wǎng)絡(luò)，與國際互聯(lián)網(wǎng)物理隔離，不需要使用VPN隔離網(wǎng)閘來進行內(nèi)外部網(wǎng)絡(luò)隔離，網(wǎng)絡(luò)拓撲相對簡單。系統(tǒng)使用計算機通過局域網(wǎng)TCP/IP協(xié)議與Web服務(wù)器進行通信。

系統(tǒng)的總體部署如圖3所示：

圖3　系統(tǒng)總體網(wǎng)絡(luò)部署圖Fig.3　The overall network deployment diagram of the system

涉密信息安全集中管控系統(tǒng)服務(wù)軟件部署在企業(yè)信息中心中心機房的Web服務(wù)器，通過企業(yè)內(nèi)網(wǎng)作為系統(tǒng)的網(wǎng)絡(luò)運行環(huán)境，系統(tǒng)用戶使用能通過內(nèi)網(wǎng)登錄、訪問和操作。

3　結(jié)論

涉密信息安全集中管控系統(tǒng)是在對國家法規(guī)的研究基礎(chǔ)上，充分分析企業(yè)信息安全保密管理流程和開發(fā)模式，以及保密管理工作過程中對開發(fā)工具的需求，結(jié)合先進的開發(fā)技術(shù)，設(shè)計并實現(xiàn)了涉密信息安全集中管控系統(tǒng)。為軍工科研院所提供既實用有效的信息保密業(yè)務(wù)管理工具，完善保密管理業(yè)務(wù)，促進軍工研究所、涉密單位的信息化發(fā)展，具有廣闊的前景。