面向信息设备的电子密级标识技术研究

随着信息技术的飞速发展，计算机、网络日益普及，信息设备(计算机和移动存储介质)被广泛应用于社会生活各个领域。以u盘为代表的移动存储介质以其储存量大、体积孝携带方便、使用简单、适用范围广等特点，在信息存储和交换的过程中迅速得到普及I。然而它为工作提供便利的同时，也带来了巨大的安全风险。各种泄密隐患、窃密方式层出不穷，叫人防不胜防，时刻严重威胁着国家秘密和社会财富、个人隐私的安全 ，造成了巨大的损失和灾难。

如何有效地解决涉密信息设备之间的信息流向，以及信息的访问控制，成为当前信息安全保密防护与管理领域急需解决的重大难题。为此，国家保密局在《涉及国家秘密的信息系统分级保护技术要求)(BMB17-2006)中提出了-个重要的概念：密级标识。并在标准中对密级标识进行了明确定义：用于标明信息秘密等级的数字化信息，在涉密信息系统中的信息应有相应的密级标识并保证密级标识与信息主体的不可分离，以及其自身不可篡改闭。

同时，在《关于国家秘密载体保密管理的规定》第七条中提出：制作秘密载体，应当依照有关规定标明密级和保密期限，注明发放范围及制作数量，绝密级、机密级的应当编排顺序号。

目前，按照现行的信息设备密级属性管理方式，计算机和u盘是涉密还是非密，纯系人为指定靠在设备上粘贴或刻蚀外部标签以示区分，并无技术控制措施，在本质上涉密与非密并没有区别目。由于无法在自动控制层面上区分涉密设备与非密设备，并且无法有效实施控制和管理，这给涉密信息设备的密级属性管理带来了极大的难题。然而基于纯软件构架的监管体系，缺乏彻底解决问题的措施基础，在安全机制和实现机理上天生不足。因此，为了根除涉密信息设备的密级属性管理难题，就要突破传统方式，对信息设备进行标识密级，建立起综合的防护体系。

来稿日期：2012-03-09基金项目：四川势技型中小企业技术创新基金项目(09C26215105372)作者简介：齐 龙，(1986-)，男，硕士研究生，研究方向为机械制造及其自动化；肖素梅，(1966)，女，河北冀州，教授，硕士生导师，主要研究方向：机电控制，工业工程理论与技术等第 1期 齐 龙等：面向信息设备的电子密级标识技术研究 1232密级标识的建设背景和现状日益发展的信息技术和高速推进的信息化建设，使得Et常办公的纸质文件逐步被电子化信息所取代，无处不在的电子化信息，给涉密信息设备之间的信息流向控制来了严峻的挑战。据美国 FBI调查结果显示，每年因各种安全漏洞而造成的损失中，(30～40)%是由电子信息泄漏造成的；Fortune排名前 1000家的公司中，每次电子信息泄漏所造成的损失平均为5O万美元 。

为了保护国家秘密的安全，国家、军队对信息设备(特别是携带外出的移动存储介质)的使用、管理提出了-系列明确、严格的要求：(1)《涉及国家秘密的信息系统分级保护技术要求》(BMB17-2006)中规定：涉密信息设备应按所存储信息的最高密级标明密级。

(2)《涉及国家秘密的信息系统分级保护管理规范》(BMB20-2007)中要求：涉密信息系统中产生、存储、处理、传输、归档和输出的信息及其存储介质应有相应的密级标识。

(3)《武器装备科研生产单位-/]三级保密资格标准》-计算机和信息系统管理中提出：信息设备应当具有标识，涉密的应当标明密级，非密的应当标明用途；涉密信息设备中的涉密信息应当标明密级。

(4)《信息系统和信息设备使用保密管理规定》中明确规定：严格区分涉密与非涉密的信息设备。

为此，人们研究开发了各种各样的保护技术和产品：主机监管审计类技术，保密技术防护专用系统(三合-)，基于密级属性控制列表的移动介质监管控制技术，密级标识系统等。这些产品在-定程度上解决了移动存储介质的身份认证、数据存储安全、注册登记、绑定授权、禁止涉密介质交叉使用、审计 日志记录等问题。

到目前为止，尽管现行技术和产品解决了-些问题，但在实际应用中，涉密信息设备与非密信息设备的严格区分问题没有真正地解决。国内现有的信息定密系统，主要功能是针对文档的-些关键字的匹配隋况进行定密，但是这种手段无法满足保密标准中对密级标识的要求。它只是-个对信息管理的非智能化的管理手段，需要人工参与的同时又无法保障标识与信息主体的不可分离和不可篡改。

然而，现阶段密级标识技术还停留在概念的提出，对于电子信息的密级标识的研究正在进行之中，尚未取得突破性进展；对于信息设备的密级标识，基本上采取外在纸质标签或是激光刻蚀的方式，暂无实现电子化。因此，对信息设备进行标识密级是现在亟需要解决的难题。

3电子密级标识的设计3.1密级标识的简述在信息设备的信息交换日过程中，涉及三大要素：计算机、存储介质、电子信息[61，而信息交换流向控制的根本依据是三者的密级属性。密级标识是标明计算机、u盘、信息的密级属性的标志性信息，是对涉密载体进行密级属性管理和安全控制的基础信息。

国家保密标准和保密资格标准均明确要求信息设备必须有密级标识标明密级。

依据现有粘贴纸质标签的方式来管理信息设备的密级属性，只能解决密级属性的视觉辨识问题 ，根本无法实现 自动辨识和自动控制。计算机和u盘是否涉密，全靠外在标签标明，在本质上没有任何分别。这种传统的密级标识，不具备任何控制功能，且容易损毁、模糊、被撕，对密级属性管理和安全控制基本上没有意义。为了消除传统密级属性管理方式带来的弊端，根本措施在于为计算机和 U盘建立密级标识。所谓电子密级标识171，就是用电子信息的方式标识计算机和U盘的密级属性，为计算机和移动存储介质建立内在的电子化密级标签。

3.2电子密级标识的功能电子密级标识 ，是介质监管和信息交换安全控制措施的基矗为计算机和U盘建立电子密级标识，既是保密管理的需要，又是安全控制的需要。因此，电子密级标识不只是以视觉标识为目的，而是-种手段。所以，电子密级标识在设计过程中要具有-些特殊的功能，从而为安全保密管理提供技术支撑、建立信息交换安全控制基捶境提供了必不可少的基础信息。其具体功能如下 ：(1)视觉辨识功能：信息设备是否涉密以及属于何种密级-目了然：(2)定密功能：能为涉密信息设备设定密级 ，便于计算机和移动介质的密级屙l生管理，便于保密检查；(3)自动读韧辨识功能：计算机可以自动读取密标，并依据此准确区分信息设备是否涉密以及属于何种密级；(4)访问控制功能：计算机之间、计算机与移动介质之间、安全域之间的信息交换流向控制和监管控制；(5)权限管理功能：禁止涉密介质接入非密计算机，禁止高密级介质接入低密级计算机，禁止高密级涉密信息流入低密级信息系统和存储介质；(6)自我防护功能 ：实施动态实时监视和严密管控 ，防止对电子密级标识的任何非法操作，-旦检测到违规操作，立即蓝屏、终止并重启操作系统，确保电子密级标识的正常生存状态，避免信息流向控制机制被绕开 (尤其是重装操作系统和使用WinPE类工具 )。

除以上功能外，还具有改变了传统密级标识方式，将计算机和U盘的密级标识从传统的纸质标签粘贴方式转变为现代电子方式，能真正落实国家保密标准和保密资格标准中关于信息设备和介质密级标识”的要求，并可与流向控制机制联动、为其它保密管理自动控制提供坚实支撑基矗3.3电子密级标识的表现方式信息设备的电子密级标识是以电子信息方式表现的，其涵盖计算机和u盘的密级标识。计算机的密级属性分为：公开、内部、秘密、机密、绝密，u盘的密级属性与其相对应。五种密级以不同颜色显示在计算机屏幕上，如图 1所示。其中包括密级属性、保密编号、责任单位以及责任人，警示性强，易于辨识和保密检查。

计算机的电子密级标识可用三个参数来表征 ：密级名称(显示用)、密级属性值(逻辑控制用)、密级标识Hash值。而 U盘的密级标识内藏于介质控制芯片内，当其接入计算机时，该标识可124 机械 设 计与 制造No.1Jan.2013自动读韧辨识，并在计算机屏幕上提示。

图 1密级标识样式Fig.1 Confidenti Identiing Style在管理端将计算机的密级属性值与硬件标识码进行 Hash加密 作为密级标识(称为密级标识Hash值)保存在管理端，同时送给客户端密级标识管理进程M.Bman；MBman将其存入系统注册表中多处不同键，可防止对密级标识进行非法修改。

MBman通过穷举的方式计算出密级属性值 ，选择相应的密级名称显示在屏幕上。

这种密级标识的加密形式，可避免对密级标识值的简单辨认和修改，对非法篡改密级标识能起到非常有效的阻挡作用。

3.4活态密级标识技术计算机密级标识的存在形式可分为静态密级标识和活态密级标识(或动态密级标识)。静态密级标识可采用系统变量、注册表、文本文件、系统标志等方式实现，但这些方式均存在密标容易被篡改、取消的风险。活态密级标识采用系统进程方式，为涉密/内部计算机建立电子化的密级标识。该密级标识随系统启动而启动，在系统生命周期-直活跃存在，受到多种技术措施的严密保护，不可被非法去除和随意更改。任何时候进行密标的变更，计算机的密级标识将随之改变，其流向控制策略即时生效，并在屏幕上显示更新后的本机密级。

4电子密级标识的监管电子密级标识的监管，即对电子密级标识管理与监视 ，其具体操作有：密级的设定生成，密级的存放，密级的修改变更，密级的显示，密级进程的监视与保护等。

4.1电子密级标识的设定生成计算机电子密级标识的设定可分单机版和网络版。

4.1.1单机版单机版电子密级标识的设定，采用系统进程注入的方式建立动态密级标识，即在涉密机上安装-个密级标识进程，该进程随着系统的启动而启动，同时在计算机屏幕的右上角显示出该计算机的密级标识。

4.1.2 网络版网络版电子密级标识的设定可分为两种：(1)采用网络版专用密级设定工具对每-台涉密机进行远程密级设定；(2)采用密级标识登记表的方式进行密级设定。

也可以按网络方式进行密级标识的设定生成：(1)在线生成：管理端通过网络平台使用网络版密级设定工具进行远程设定生成。离线生成：只能由单位的保密机构管理人员使用管理工具盘，手工逐台设定，管理工具盘带指纹识别和口令认证功能。

4.2电子密级标识的存放电子密级标识的存放是密级标识管理中的重要环节，具体存放方法：基于操作系统的注册表，在注册表中建立多个键，同时在多处以不同键值名称存放，并将这些密级标识的Hash值作Hash运算后生成-个 Hash值(称之为多键 Hash值或复合 Hash值)。

当带密标的特种 U盘接入计算机时，MBman检测到特种U盘后，从注册表中取出密级标识，通过穷举的方式计算出密级属性值交予U盘控制进程，将该密级标识存入 U盘的控制芯片内。

4.3电子密级标识的修改电子密标的修改实际上就是信息设备的密级变更 (尤其是降低密级和取消密级)，所以必须严格控制和管理。但凡要变更信息设备的密级标识，必须要先经过上级部门的审批，然后只能使用专门的密级标识管理工具才能对密级标识进行修改。密级标识管理工具采用双因子控制原则(专制硬件专门软件)、加上双因子认证原则(硬件指纹身份认证)。

从理论上讲 ，要篡改电子密级标识，就必须同时修改多处密级标识Hash值和多键Hash值，并使其完全-致。修改方法可有两种：(1)直接写入-个字符串作为密级标识Hash值；(2)计算出- 个 Hash值作为密级标识 Hash值 (必须获取硬件标识码和-个密级属性值)。根据 Hash函数 ”1的输人参数敏感性和单向性，不管是通过手工修改或程序修改，达到这-要求将非常困难。因此，对于密级标识的修改，只能由保密管理人员使用密标管理盘进行修改。

4.4电子密级标识的显示计算机密级标识应随着操作系统启动运行，以醒目、美观的方式显示在计算机屏幕的右上角，且该密级标识的显示不影响正常的用户操作，即用户的其它操作引发的 Windows窗口，均应能遮挡该显示”。密级标识显示样式，如图 1所示。

屏幕显示的密级标识与计算机内部的密级标识统-的，即内部密级标识的任何变化都会在显示的密级标识上完全-致地反映出来(包括合法的、非法的去除、修改等)。

4.5电子密级标识的监视与保护电子密级标识要具有安全性和控制功能，就必须受到多种技术措施的严密监视和保护，不可非法去除和随意更改 ，密级的变更要严格受控。对电子密级标识进程采取了严密的保护措施：采用硬件与软件相结合、u盘与计算机相结合、管理端与用户端相结合”的综合生安全措施；通过采集计算机DNA级信息形成DNA级机器标识码 ，防止密级标识被非法去除和篡改，-旦遭遇非法操作，计算机立即蓝屏，重启后恢复正常状态。

4.5.1密级标识的保护采用进程注入技术建立密级标识进程，使密级标识进程为不可更改、不可卸载、不可进行任何操作的系统进程，以确保其安全存在和安全运行。-旦对该进程进行任何非法操作，计算机就会重新启动，除非违规者重装操作系统。由于密级标识进程采集的是计算机的机器码，即使重装操作系统，也无法绕过电子密级标识的安全控制机制。

No.1Jan.2013 机 械设 计 与 制造 125在管理端建立所有计算机的密级标识登记表，轮询各计算机密级标识，对活态密级标识进行动态跟踪管理。-旦发现有计算机密级标识与原来登记表中密级标识不-致，立即发出警报 ，管理人员就会知道哪台密标发生异常，并立刻前去查看处理。

4.5.2密级标识的监视对密级标识非法修改的监测是密级标识监视的重要指标。

通过-定的技术措施实时对其监视，保证活态密级标识-直活跃存在，且处于正常态。在网络环境下，当系统启动时，客户端MBman进程-启动，同时从注册表和管理端获取本机密级标识进行比对(以管理端密级标识为依据)。

在单机环境下，对其密级标识的监测有两种途径：(1)从注册表中多处同时获取密级标识 Hash值进行 Hash运算得到-个临时密级标识 Hash值；同时，还通过显示的密级名称得到其密级屙性值，将该值与计算机硬件标识码作 Hash运算得到-个密级标识Hash值 (称之为显示密级标识 Hash值)，将临时密级标识、显示密级标识 Hash值与多键 Hash值逐-比对。

(2)经常使用管理盘进行保密检查(管理盘中存有密级标识Hash值)，管理盘采集当前计算机的当前密级标识Hash值、临时密级标识 Hash值、显示密级标识 Hash值、多键 Hash值，逐-比对即可发现有无篡改。

5基于密标的信息流向分级控制体系电子密级标识不单纯是-个产品或是-种技术 ，也不是最终目的。而是针对涉密信息载体的-种标识体系，更重要的是基于电子密级标识的信息流向分级控制体系l21的建设，这也必将是密级标识技术的发展趋势。

基于电子密级标识的信息流向分级控制体系是-个以活态密级标识技术为基储信息流向控制技术为支撑、特种 u盘作为用户终端工具的移动介质安全防护与保密管理体系。主要用于建立非密信息单向导入和涉密信息交换的专用安全通道，解决了超密存储、高密级信息流入低密级介质斛 算机/安全域等违规控制难题。

按照国家标密的相关规定，涉密与非密计算机之间的信息流向必须实施分级控制，满足下列要求：涉密载体应标明密级；禁止非密介质存储涉密信息；禁止涉密介质接入非密计算机；禁止高密级介质接人低密级计算机；禁止高密级涉密信息流人低密级信息系统和存储介质；禁止移动介质交叉使用；禁止在没有防护措施的情况下使用普通介质将国际互联网上数据导入涉密信息系统。

因此，要实现不同涉密载体间的信息流向分级控制，必须基于信息设备的电子密级标识技术。通过U盘与计算机相互协同的方式，使 U盘可自动读取该电子密级标识；根据计算机和移动介质的电子密级标识屙陛值来判断当前计算机、存储介质的密级属性 ，并据此设置存储器的工作状态和控制相互之间的信息流向；从而对存储介质的使用以及介质与计算机之间的信息交换进行 自动的分级控制，以避免介质使用违规现象 、加强移动存储介质的安全防护和保密管理。这种机制还可用于安全域之问的信息交换流向自动控制。

6结束语提出的面向信息设备的电子密级标识技术，通过活态密级标识技术，很好地提供了电子密级标识显示过程中密级属性的完整性 、实时 及不可绕过性等安全机制。通过采用进程注入技术，可动态、实时地访问密级标识进程，对其进行动态跟踪管理。通过基于电子密级标识的信息流向分级控制体系，保证了涉密载体之间、安全域之间信息交换的安全可靠。同时，电子密级标识技术将成为极其重要的基础性安全保密技术，为涉密信息设备密级属性管理现代化管理提供了技术支撑。