專利名稱：計(jì)算機(jī)設(shè)備戶籍化的全生命周期管理系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本申請(qǐng)涉及一種計(jì)算機(jī)設(shè)備戶籍化的全生命周期管理系統(tǒng)，其能夠?qū)崿F(xiàn)計(jì)算機(jī)設(shè) 備的戶籍化管理，并且上述管理涉及全生命周期，屬于計(jì)算機(jī)設(shè)備自動(dòng)管理領(lǐng)域。
背景技術(shù)：
目前，隨著辦公信息化與自動(dòng)化的不斷發(fā)展，各級(jí)黨政機(jī)關(guān)、重要敏感部門和重要 企事業(yè)單位在工作中普遍采用了計(jì)算機(jī)、復(fù)印機(jī)、傳真機(jī)、移動(dòng)存儲(chǔ)介質(zhì)等技術(shù)設(shè)備，以此 來(lái)提高工作效率和工作質(zhì)量。但同時(shí)，一些涉密信息的處理也會(huì)攙雜其中，如果對(duì)涉密設(shè)備 的管理不到位，就會(huì)給保密工作帶來(lái)極大的隱患。從近幾年來(lái)發(fā)生的泄密事件來(lái)看，相當(dāng)一部分泄密事件是由于業(yè)務(wù)部門對(duì)涉密設(shè) 備的使用不規(guī)范造成的。隨意拆卸設(shè)備、私自改裝設(shè)備、不按規(guī)定進(jìn)行設(shè)備維修以及隨意改 變?cè)O(shè)備用途的情況仍有發(fā)生。為此，本專利針對(duì)涉密網(wǎng)安全保障體系建設(shè)過(guò)程中，涉密設(shè)備 的安全保護(hù)與接入缺乏系統(tǒng)化的集中管理的現(xiàn)狀，提出了一種計(jì)算機(jī)設(shè)備戶籍化的全生命 周期管理方法，以確保涉密網(wǎng)上運(yùn)行的終端設(shè)備安全可信。在該技術(shù)領(lǐng)域，存在一些相關(guān)現(xiàn)有技術(shù)，如GB2204162A號(hào)英國(guó)專利公開(kāi)了一種設(shè) 備管理系統(tǒng)，該系統(tǒng)具有集成監(jiān)測(cè)系統(tǒng)，每個(gè)不同部件具有唯一的條形碼，該條形碼可以由 便攜式掃描儀讀取，便攜式計(jì)算機(jī)保存不同部件在一定期間內(nèi)的相關(guān)文件、安裝狀態(tài)等，該 計(jì)算機(jī)根據(jù)這些部件的運(yùn)行情況生成日志文件，從而提供相關(guān)部件狀態(tài)的準(zhǔn)確記錄。上述 系統(tǒng)屬于相對(duì)松散的管理方式，并未將所有設(shè)備集中管理，管理的全面性、準(zhǔn)確性和效果無(wú) 法得到保證，并且僅僅針對(duì)設(shè)備的運(yùn)行情況加以管理，并未對(duì)涉密情況加以管理。另外，JP2002073965號(hào)專利公開(kāi)了一種將特定條形碼轉(zhuǎn)換為相應(yīng)URL地址的方法 和系統(tǒng)，其條形碼結(jié)構(gòu)如圖1所示。但是，該條形碼只有16位，并且未應(yīng)用于所有設(shè)備的集 中管理中。中興通訊股份有限公司所提出的20041008613. 7號(hào)發(fā)明專利申請(qǐng)公開(kāi)了一種網(wǎng) 管系統(tǒng)中的設(shè)備編碼和解析方法，先將網(wǎng)絡(luò)被管對(duì)象分為若干級(jí)；對(duì)每一級(jí)上的各被管對(duì) 象分別進(jìn)行按級(jí)的編號(hào)并保證同一級(jí)中編號(hào)的唯一性；然后確定每個(gè)被管對(duì)象存在的以一 個(gè)上級(jí)被管對(duì)象對(duì)應(yīng)于一個(gè)下級(jí)被管對(duì)象的方式的所有被管對(duì)象序列，由每個(gè)被管對(duì)象序 列可得到一個(gè)N組代碼組成的專用編碼，N等于該被管對(duì)象的級(jí)數(shù)，各組代碼對(duì)應(yīng)于該被管 對(duì)象序列相應(yīng)級(jí)中的被管對(duì)象編號(hào)；再將所述專用編碼作為被管對(duì)象的信息在相關(guān)過(guò)程使 用；處理模塊通過(guò)解析專用編碼，可識(shí)別被管對(duì)象及其所在級(jí)數(shù)，并確定其與其它被管對(duì)象 間的關(guān)系。20061004853. 6號(hào)發(fā)明專利申請(qǐng)公開(kāi)了一種醫(yī)療設(shè)備費(fèi)用管理方法，它包括醫(yī)療 設(shè)備和安置在醫(yī)療設(shè)備上的醫(yī)療設(shè)備控制裝置，在醫(yī)療設(shè)備控制裝置上設(shè)置有條形碼識(shí)別 裝置；在醫(yī)院各個(gè)收費(fèi)處電腦上連接有與條形碼識(shí)別裝置對(duì)應(yīng)的條形碼打印機(jī)。在醫(yī)院醫(yī) 療設(shè)備管理系統(tǒng)中安裝了條形碼識(shí)別裝置后，操作人員不用再反復(fù)的輸入一長(zhǎng)串的數(shù)字， 提高工作效率。上述現(xiàn)有技術(shù)主要致力于設(shè)備的維護(hù)，并未將設(shè)備的運(yùn)行情況加以集中管 理，并且未對(duì)涉密情況加以管理。
采用上述現(xiàn)有的設(shè)備管理方法，需要借助組機(jī)構(gòu)制定相應(yīng)的規(guī)章制度。也就是說(shuō)， 上述設(shè)備管理方法是以人員管理為核心，并沒(méi)有真正做到以設(shè)備自身管理的核心。即使應(yīng) 用于涉密設(shè)備的管理，上述方法所實(shí)現(xiàn)的仍然是一種相對(duì)松散的管理方式，涉密設(shè)備的采 購(gòu)、使用和大部分保密檢查工作均由各單位自己負(fù)責(zé)。保密主管部門對(duì)所屬機(jī)關(guān)、單位的涉 密設(shè)備的配置和使用情況缺少及時(shí)準(zhǔn)確的了解，涉密設(shè)備的檢查只能采用不定期的人工抽 查方式，檢查的全面性、準(zhǔn)確性和效果無(wú)法保證
發(fā)明內(nèi)容
為了解決上述問(wèn)題，提供一種涉密設(shè)備接入涉密網(wǎng)可控并且可查的系統(tǒng)，以實(shí)現(xiàn) 設(shè)備運(yùn)行情況的集中管理以及對(duì)涉密情況的全面管理。本發(fā)明的目的是以“涉密設(shè)備戶籍 號(hào)”為基礎(chǔ)，建立涉密設(shè)備的戶籍化管理系統(tǒng)，并利用該系統(tǒng)實(shí)現(xiàn)涉密設(shè)備接入涉密網(wǎng)可控
與可查。本申請(qǐng)公開(kāi)一種計(jì)算機(jī)設(shè)備戶籍化的全生命周期管理系統(tǒng)，其包括設(shè)備戶籍檔 案模塊，用于存儲(chǔ)涉密設(shè)備的主要信息；涉密設(shè)備的身份證模塊，用于存儲(chǔ)涉密設(shè)備的編 碼；防偽標(biāo)簽驗(yàn)證模塊，用于生成和驗(yàn)證涉密設(shè)備上的標(biāo)簽，根據(jù)標(biāo)簽可以得到設(shè)備的所有 信息；接入控制模塊，用于對(duì)接入網(wǎng)絡(luò)的涉密設(shè)備進(jìn)行注冊(cè)和驗(yàn)證。上述涉密信息包括，設(shè)備的設(shè)備類型、使用單位、采購(gòu)時(shí)間、供貨商和密級(jí)。上述涉密信息還包括，設(shè)備的硬件信息。上述設(shè)備的硬件信息包括，中央處理器的信息、內(nèi)存的信息、硬盤的信息、光驅(qū)的 信息、顯示器的信息。上述涉密設(shè)備的編碼是身份證編碼。上述涉密設(shè)備的身份證編碼是根據(jù)戶籍檔案信息生成的二維碼。上述涉密設(shè)備的編碼為20字符長(zhǎng)。上述防偽標(biāo)簽驗(yàn)證模塊所識(shí)別的標(biāo)簽采用防偽防揭標(biāo)簽。上述防偽標(biāo)簽驗(yàn)證模塊所識(shí)別的標(biāo)簽上具有二維碼。上述接入控制模塊完成如下操作首先，將首次接入的涉密設(shè)備向安全管理中心 注冊(cè)并在注冊(cè)后簽發(fā)數(shù)字證書；接著，驗(yàn)證接入的涉密設(shè)備的數(shù)字證據(jù)，當(dāng)確認(rèn)身份合法時(shí) 允許接入。


從對(duì)說(shuō)明本申請(qǐng)的主旨及其使用的優(yōu)選實(shí)施例和附圖的以下描述來(lái)看，本申請(qǐng)的 以上和其它目的、特點(diǎn)和優(yōu)點(diǎn)將是顯而易見(jiàn)的，在附圖中圖1是作為本申請(qǐng)背景技術(shù)的條形碼結(jié)構(gòu)圖；圖2是本申請(qǐng)所公開(kāi)的計(jì)算機(jī)設(shè)備戶籍化的全生命周期管理系統(tǒng)的模塊結(jié)構(gòu)圖；圖3是本申請(qǐng)涉密信息的結(jié)構(gòu)圖；圖4是本申請(qǐng)所公開(kāi)的計(jì)算機(jī)設(shè)備戶籍化的全生命周期管理方法流程圖；圖5是本申請(qǐng)所公開(kāi)的接入控制步驟的流程圖；圖6是設(shè)備戶籍化管理的生命周期原理圖。
具體實(shí)施例方式下面結(jié)合附圖介紹本申請(qǐng)的技術(shù)方案。圖1是本申請(qǐng)背景技術(shù)的標(biāo)碼結(jié)構(gòu)圖，與部件對(duì)應(yīng)的標(biāo)碼卡12含有字符12A和條形碼12B，該條形碼12B只有16位，并且未應(yīng)用于 所有設(shè)備的集中管理中。涉密設(shè)備戶籍化管理系統(tǒng)借鑒戶籍管理的方式，為所有的涉密設(shè)備建立詳細(xì)的 “戶籍檔案”，并給每個(gè)涉密設(shè)備分配唯一的“戶籍號(hào)”?！皯艏?hào)”的物理表現(xiàn)形式為條形碼 (二維碼)，粘貼在終端節(jié)點(diǎn)上，并配備有專門的個(gè)人數(shù)字助理(PDA)對(duì)其進(jìn)行掃描檢查。 將“戶籍號(hào)”和“用戶身份證書”作為合法終端的接入條件，對(duì)涉密網(wǎng)的接入進(jìn)行有效控制。 “戶籍號(hào)”和“用戶身份證書”放在同一個(gè)硬件設(shè)備(USB KEY)中進(jìn)行保護(hù)，并采用統(tǒng)一的兩 級(jí)管理中心對(duì)涉密網(wǎng)的接入進(jìn)行管理。采用遠(yuǎn)程查驗(yàn)的方式隨時(shí)掌握涉密設(shè)備使用情況， 采用采用具備防揭功能的封簽防止工作人員私自拆卸和改裝設(shè)備，杜絕由此產(chǎn)生的泄密隱 患。在如圖2所示的計(jì)算機(jī)設(shè)備戶籍化的全生命周期管理系統(tǒng)的模塊結(jié)構(gòu)圖中，計(jì)算機(jī)設(shè) 備戶籍化的全生命周期管理系統(tǒng)包括設(shè)備戶籍檔案模塊21，用于存儲(chǔ)涉密設(shè)備的主要信 息；涉密設(shè)備的身份證模塊22，用于存儲(chǔ)涉密設(shè)備的編碼；防偽標(biāo)簽驗(yàn)證模塊23，用于生成 和驗(yàn)證涉密設(shè)備上的標(biāo)簽，根據(jù)標(biāo)簽可以得到設(shè)備的所有信息；接入控制模塊24，用于對(duì) 接入網(wǎng)絡(luò)的涉密設(shè)備進(jìn)行注冊(cè)和驗(yàn)證。下面詳細(xì)介紹用于存儲(chǔ)涉密設(shè)備涉密信息的設(shè)備戶籍檔案模塊21。如圖3所示的涉密信息結(jié)構(gòu)包括，設(shè)備的類型31、使用單位32、采購(gòu)時(shí)間33、供貨 商34、密級(jí)35等信息。還可以包括設(shè)備的硬件信息36，亦即CPU信息361、內(nèi)存信息362、 硬盤信息363、光驅(qū)信息364、顯示器信息365。方便保密主管部門對(duì)所屬單位涉密設(shè)備資料 的集中掌握。利用信息化系統(tǒng)查詢匯總方面的優(yōu)勢(shì)，可以多層次多角度地分析掌握所屬單 位涉密設(shè)備的配置情況。改變?cè)O(shè)備密級(jí)、變更用途或使用單位等關(guān)鍵的設(shè)備使用情況變更必須在戶籍化管 理系統(tǒng)中進(jìn)行備案登記，并重新發(fā)放更新信息后的使用許可證。變更前后的信息均在系統(tǒng) 中作永久保存。在系統(tǒng)中能夠查詢并掌握設(shè)備整個(gè)生命周期各個(gè)階段的使用或處理情況， 方便事后追蹤。下面詳細(xì)介紹用于存儲(chǔ)涉密設(shè)備編碼的涉密設(shè)備的身份證模塊22。為每臺(tái)設(shè)備發(fā)放使用許可證，作為其“身份”合法的證明；編制終身不變的惟一 的設(shè)備編碼，在與設(shè)備相關(guān)的各種操作中用于惟一標(biāo)識(shí)一臺(tái)設(shè)備。使用許可證作為涉密設(shè) 備合法使用的證明，杜絕無(wú)證設(shè)備處理涉密事項(xiàng)的情況。使用許可證采用二維碼標(biāo)簽的形 式固定在設(shè)備上，標(biāo)簽中記錄設(shè)備基本信息，實(shí)現(xiàn)設(shè)備信息與物理設(shè)備的綁定，方便設(shè)備檢 查。下面詳細(xì)介紹用于驗(yàn)證涉密設(shè)備上的標(biāo)簽、從而識(shí)別涉密設(shè)備的編碼的防偽標(biāo)簽 驗(yàn)證模塊23。將防偽防揭標(biāo)簽粘貼在拆卸設(shè)備的接口處，可以起到對(duì)設(shè)備的保護(hù)作用。如果試 圖打開(kāi)設(shè)備或?qū)υO(shè)備進(jìn)行改裝，勢(shì)必破壞標(biāo)簽的完整，其中隱藏的文字立刻顯現(xiàn)出來(lái)，從使 這些情況在檢查中很容易被發(fā)現(xiàn)。標(biāo)簽本身也采用了特種油墨防偽措施，而且打印在標(biāo)簽 上的二維碼必須使用專用打印系統(tǒng)和硬件涉密設(shè)備才能生成和打印。這就杜絕了從其它渠 道獲取標(biāo)簽，私自進(jìn)行打印制作仿造標(biāo)簽的可能性。
下面詳細(xì)介紹用于對(duì)接入涉密設(shè)備進(jìn)行注冊(cè)和驗(yàn)證的接入控制模塊24。在涉密網(wǎng)中，涉密設(shè)備的用戶首先要向安全管理中心注冊(cè)，安全管理中心將人員 身份核實(shí)后，簽發(fā)包含數(shù)字證書的USB Key。所有的涉密終端都安裝了內(nèi)核級(jí)安全接入代理 模塊，該模塊會(huì)先驗(yàn)證使用者的數(shù)字證書，當(dāng)確認(rèn)了使用者身份為合法身份才允許其接入。同時(shí)，所有的接入終端也要向安全管理中心注冊(cè)，注冊(cè)內(nèi)容包括唯一標(biāo)識(shí)號(hào)以及 唯一的物理標(biāo)識(shí)。利用內(nèi)核級(jí)安全接入代理模塊，控制終端的網(wǎng)絡(luò)連接，只有當(dāng)認(rèn)證對(duì)方為 可信終端時(shí)，才允許接入。在接入認(rèn)證時(shí)，相互以唯一識(shí)別碼作為標(biāo)識(shí)，對(duì)設(shè)備接入進(jìn)行認(rèn) 證。在圖4所示的計(jì)算機(jī)設(shè)備戶籍化的全生命周期管理方法流程圖中，計(jì)算機(jī)設(shè)備戶 籍化的全生命周期管理方法包括設(shè)備戶籍檔案步驟41，用于存儲(chǔ)涉密設(shè)備的主要信息； 涉密設(shè)備的身份證步驟42，用于存儲(chǔ)涉密設(shè)備的編碼；防偽標(biāo)簽驗(yàn)證步驟43，用于生成和 驗(yàn)證涉密設(shè)備上的標(biāo)簽，根據(jù)標(biāo)簽可以得到設(shè)備的所有信息；接入控制步驟44，用于對(duì)接 入網(wǎng)絡(luò)的涉密設(shè)備進(jìn)行注冊(cè)和驗(yàn)證。如圖5所示，圖4所述的接入控制步驟包括如下子步驟，注冊(cè)子步驟41，將首次接 入的涉密設(shè)備向安全管理中心注冊(cè)并在注冊(cè)后簽發(fā)數(shù)字證書；驗(yàn)證子步驟42，驗(yàn)證接入的 涉密設(shè)備的數(shù)字證據(jù)，當(dāng)確認(rèn)身份合法時(shí)允許接入。圖6是設(shè)備戶籍化管理的生命周期原理圖，設(shè)備戶籍化管理的生命周期包括設(shè) 備采購(gòu)、統(tǒng)一編號(hào)、相關(guān)信息錄入、投入使用、報(bào)廢、銷毀。采用上述方式構(gòu)建的計(jì)算機(jī)設(shè)備戶籍化的全生命周期管理方法與系統(tǒng)具備如下 功能對(duì)所有的涉密設(shè)備相關(guān)信息進(jìn)行統(tǒng)計(jì)并上報(bào)，生成設(shè)備戶籍管理信息，包括設(shè)備的類 型、使用單位、采購(gòu)時(shí)間、供貨商、密級(jí)等；驗(yàn)證中心給每一個(gè)合法用戶頒發(fā)身份證書，并存 入U(xiǎn)SB Key中。接著，CA中心會(huì)根據(jù)上報(bào)的用戶和設(shè)備的對(duì)應(yīng)關(guān)系，重新發(fā)行USB Key，向 Key中寫入該用戶可以使用的設(shè)備所對(duì)應(yīng)的戶籍號(hào)，即唯一識(shí)別碼；終端設(shè)備物理接入涉 密網(wǎng)后，用戶在點(diǎn)擊瀏覽器時(shí)，瀏覽器會(huì)自動(dòng)提示用戶需要從相應(yīng)的網(wǎng)關(guān)服務(wù)器下載終端 代理軟件，作為終端接入涉密網(wǎng)的必要步驟。用戶下載并安裝終端代理軟件，終端代理軟件 運(yùn)行后提示用戶插入U(xiǎn)SB-KEY，驗(yàn)證用戶身份和終端的戶籍身份，只有在用戶和終端身份合 法，并且終端身份信息通過(guò)了管理中心安全管理員的審批后，終端才能訪問(wèn)涉密網(wǎng)；所有設(shè) 備的注冊(cè)審批、注銷，以及審計(jì)查詢、狀態(tài)監(jiān)控都在安全管理中心可視化界面實(shí)現(xiàn)，保證只 有可信設(shè)備才能接入涉密網(wǎng)，防范非涉密終端接入涉密網(wǎng)而造成機(jī)密信息泄漏的隱患?？?之，所有的涉密終端都與之使用者相對(duì)應(yīng)，終端被誰(shuí)使用、何時(shí)使用，都由安全管理中心進(jìn) 行審計(jì)記錄，確保相關(guān)操作有備可查，進(jìn)一步保障了操作的有效性和規(guī)范性。盡管圖2-6以及上面的描述公開(kāi)了本申請(qǐng)的優(yōu)選實(shí)施例，可以設(shè)想，本領(lǐng)域的技 術(shù)人員可在所附權(quán)利要求的精神和范圍內(nèi)設(shè)計(jì)對(duì)本申請(qǐng)的各種修改。
權(quán)利要求
一種計(jì)算機(jī)設(shè)備戶籍化的全生命周期管理系統(tǒng)，其包括設(shè)備戶籍檔案模塊，用于存儲(chǔ)涉密設(shè)備的主要信息；涉密設(shè)備的身份證模塊，用于存儲(chǔ)涉密設(shè)備的編碼；防偽標(biāo)簽驗(yàn)證模塊，用于生成和驗(yàn)證涉密設(shè)備上的標(biāo)簽，根據(jù)標(biāo)簽可以得到設(shè)備的所有信息；接入控制模塊，用于對(duì)接入網(wǎng)絡(luò)的涉密設(shè)備進(jìn)行注冊(cè)和驗(yàn)證。
2.如權(quán)利要求1所述的計(jì)算機(jī)設(shè)備戶籍化的全生命周期管理系統(tǒng)，其中所述涉密信息 包括涉密設(shè)備的設(shè)備類型、使用單位、采購(gòu)時(shí)間、供貨商和密級(jí)。
3.如權(quán)利要求2所述的計(jì)算機(jī)設(shè)備戶籍化的全生命周期管理系統(tǒng)，其中所述涉密信息 還包括設(shè)備的硬件信息。
4.如權(quán)利要求3所述的計(jì)算機(jī)設(shè)備戶籍化的全生命周期管理系統(tǒng)，所述設(shè)備的硬件信 息包括中央處理器的信息、內(nèi)存的信息、硬盤的信息、光驅(qū)的信息、顯示器的信息。
5.如權(quán)利要求1所述的計(jì)算機(jī)設(shè)備戶籍化的全生命周期管理系統(tǒng)，所述涉密設(shè)備的編 碼是身份證編碼。
6.如權(quán)利要求5所述的計(jì)算機(jī)設(shè)備戶籍化的全生命周期管理系統(tǒng)，所述涉密設(shè)備的身 份證編碼是根據(jù)戶籍檔案信息生成的二維碼。
7.如權(quán)利要求5所述的計(jì)算機(jī)設(shè)備戶籍化的全生命周期管理系統(tǒng)，所述涉密設(shè)備的編 碼為20字符長(zhǎng)。
8.如權(quán)利要求1所述的計(jì)算機(jī)設(shè)備戶籍化的全生命周期管理系統(tǒng)，所述防偽標(biāo)簽驗(yàn)證 模塊所識(shí)別的標(biāo)簽采用防偽防揭標(biāo)簽。
9.如權(quán)利要求1所述的計(jì)算機(jī)設(shè)備戶籍化的全生命周期管理系統(tǒng)，所述防偽標(biāo)簽驗(yàn)證 模塊所識(shí)別的標(biāo)簽上具有二維碼。
10.如權(quán)利要求1所述的計(jì)算機(jī)設(shè)備戶籍化的全生命周期管理系統(tǒng)，所述接入控制模 塊用于完成首先，將首次接入的涉密設(shè)備向安全管理中心注冊(cè)并在注冊(cè)后簽發(fā)數(shù)字證書； 接著，驗(yàn)證接入的涉密設(shè)備的數(shù)字證據(jù)，當(dāng)確認(rèn)身份合法時(shí)允許接入。
全文摘要
一種計(jì)算機(jī)設(shè)備戶籍化的全生命周期管理系統(tǒng)，其包括設(shè)備戶籍檔案模塊，用于存儲(chǔ)涉密設(shè)備的主要信息；涉密設(shè)備的身份證模塊，用于存儲(chǔ)涉密設(shè)備的編碼；防偽標(biāo)簽驗(yàn)證模塊，用于生成和驗(yàn)證涉密設(shè)備上的標(biāo)簽，根據(jù)標(biāo)簽可以得到設(shè)備的所有信息；接入控制模塊，用于對(duì)接入網(wǎng)絡(luò)的涉密設(shè)備進(jìn)行注冊(cè)和驗(yàn)證。所有的涉密終端都由安全管理中心進(jìn)行審計(jì)記錄，保障操作的規(guī)范性。
文檔編號(hào)H04L29/06GK101883087SQ201010142919
公開(kāi)日2010年11月10日 申請(qǐng)日期2010年4月9日 優(yōu)先權(quán)日2010年4月9日
發(fā)明者張寶宇 申請(qǐng)人:北京宇辰龍馬信息技術(shù)服務(wù)有限公司