2024年5月3日发(作者：)

涉密网内网终端安全防护系统

——RierKeySafety终端安全登录与监控审计系统

[系统的大体情形]

“KeySafety终端安全身份认证和监控审计系统” 是中讯锐尔公司依照国家

保密标准BMB15-2004《涉及国家秘密的信息系统安全审计产品技术要求》、《涉

及国家秘密的信息系统终端安全与文件保护产品技术要求》为政府单位、军队和

军工企业网络安全系统保密资格认证量身订做的网络安全信息系统。该系统也符

合国家保密局新标准《BMB17-2006涉及国家秘密的信息系统分级保护技术要

求》。

“KeySafety终端安全身份认证和监控审计系统”解决了内网（涉密网）安全

问题，这些问题包括：

非授权的用户不能登录运算机终端或通过终端登录网络

非授权的运算机终端设备不能接入可信的运算机网络

可信的计算终端（主机）不能接入不可信的网络

非授权的计算外设和设备端口不能被利用

移动磁介质的管理和磁介质的数据安全

非授权的网络端口和协议不能被利用

操作系统文件操作审计

网络探测和安全管理

网络探测和资产管理

非法操作报警和安全审计

KeySafety系统已经通过国家保密局测评中心的产品认证，并取得中国人民

解放军安全产品测评中心的安全认证，产品安全认证品级为B级，该品级为同

类产品的最高品级；国家信息中心软件测评中心对本系统进行了全面测试，各项

测试指标均为优；KeySafety被科技部评为2006年国家重点新产品项目。

KeySafety为协助涉密网单位顺利通过国家有关部门的认证起重要的作用。

该系统已经在党、政、军和军工中有普遍的应用，比较典型的用户如：新华社、

人民日报社、国防科工委、统战部、中组部，空军电子研究所（全空军正在推行）、

航天科工集团、航天二院、航天三院、核九院、大连理工大学、西安交通大学、

贵阳铝镁研究设计院、中讯软件集团等。

[产品实现的功能]

主要功能

基本要求

身份鉴别功能

安全审计应将身份鉴别、访问控制等安全安全功能有机结合

采用USB KEY或生物特征来鉴别用户的身份

具有设置USB KEY PIN码长度限制的功能

能通过控制端定期修改USB KEY PIN码的功能

确保在身份鉴别过程中，数据传输过程中认证信息的安全

客户端可以安全登录或安全登录域服务器，支持多域控制服务器

可以利用USB KEY在服务端或客户端建立新的用户

终端帐号的管理

可以将原有帐号和USB KEY绑定，不改变原系统帐号的属性

具有对终端帐号保护的功能，并且可以防止用户利用KEY帐号或非

KEY的帐号通过网络、操作系统安全模式等非法进入终端系统

主机防护

提供受控端IP地址绑定功能，能够将受控端IP地址与MAC或主机进

行绑定，禁止终端用户非法修改IP和MAC地址

屏蔽默认共享

屏保监控功能，不允许终端用户设置屏保为“无”

信息输出控制

打印设备输出控制（区分网络打印、本地打印和虚拟打印）

① 能控制网络打印设备

② 能控制本地打印设备

③ 能控制虚拟打印行为

拷贝输出控制（控制移动存储设备的使用）

屏幕窃取控制（防止屏幕拷贝）

数据设备接口控

制

网络控制

违规外连控制

对并口、串口、USB接口等数据接口以及软驱、光驱等设备进行控制

主机新增设备的接入控制

对135、139、445端口的强制控制

对终端系统多余的网络端口进行控制

具有防止非授权终端接入本网络的功能（即：防止非法内联）

非授权的拨号控制

无线上网的控制

红外线上网控制

采取其他办法上互连网的控制

对于磁介质的使用有接入控制，对移动存储介质要有注册授权管理

涉密网中的磁介质不能在非涉密网中使用

磁介质管理

对手机等存储设备要有控制

对于电脑硬盘数据的安全保护

① 存放数据区的磁盘分区要有保护措施

② 不同的人使用同样的电脑，对存放数据的分区要有保护。电脑使

用者不能查看其他人的数据分区中的数据内容

客户端硬件配置管理与审计

主机管理

客户端软件配置管理与审计

客户端进程的管理与审计

客户端服务的管理与审计

资产管理和设备

维修记录

资产管理

新增主机设备的控制和记录

设备维修管理（BMB 17 第8.1.2.8条）

设备报废管理(BMB 17第 8.1.2.9条)

系统员、授权和审计权限三权分开

授权管理

安全审计

对用户按最小授权原则进行授权管理（BMB17-2006）

身份鉴别审计，包括用户登录、注销和关机审计

自动获取主机资源，包括硬件信息、安装软件信息、用户帐号信息、

进程信息、服务信息、共享文件信息等

网络连接审计：对受控端的网络连接（HTTP、FTP、TELNET）的行为

进行记录

文件操作审计：能够对指定文件目录下文件的操作行为、操作用户、

操作日期、操作结果进行审计

打印审计：能够对受控端的打印信息审计。审计的内容包括：受控端

主机名、用户名、打印机名称、打印文件名、打印份数、打印页数等

功能

主机IP/MAC地址审计：允许或禁止受控端主机的IP/MAC地址修改行

为，禁止更改时记录受控端试图修改IP/MAC记录

违规设备接入系统审计

受控用户权限的更改

系统管理员、系统授权员和审计员操作行为的审计

拷贝输出审计

审计日志的上传应采用即时方式，对于没来得及上传的日志应在本地

存储并采取技术措施加以保护

日志管理提供自动、手动备份等多种方式，提供日志存储空间的阀值

设置功能，当存储空间将满时能及时报警

应为授权管理员提供将审计日志按一定的条件进行查询的功能，所得

结果应以用户友好的、便于理解的形式提供报告或打印

能够提供多种报表和用户自定义报表，支持审计日志的导入导出。可

生成直方图、曲线图等多种图表实现统计、分析、报表等多种功能

能够自动收集受控端软硬件配置信息。动态检测受控端硬件配置和应

用软件等资产信息的变化，记录受控端资产信息发生的改变时

记录主机共享文件被访问的情况，包括访问者、访问时间、访问文件

全名等

系统自身安全防

护与管理

能够通过中心控制平台能够管理全网受控端，并能够下发安全监控与

审计策略

系统能够保证安全策略在受控端强制执行，不允许受控端自行改变安

全保护策略

控端应有防止违规卸载保护机制，防止非授权卸载行为和终止进程行

为

终端在联网状态下，受控端能够实时接受中心控制平台的集中管理、

策略分发。离网状态下，应保证受控端安全策略的有效性

策略发布支持单发和群发

策略修改支持用户取策略方式和分发即时生效方式

受控端分组管理，能根据不同的安全级别下分不同的安全策略

默认策略，并提供默认策略。管理员能够在策略模版基础上自定义安

全策略

单机防护

具有网络版单机防护的所有功能

具有单机授权的功能，并确保授权信息被非法修改

具有单机的审计功能，确保审计日志不被非法篡改

审计员可以在单机上对单机的使用情况进行审计，也可以将审计日志

输出到文件，并导入到网络版审计中心，集中审计

[系统典型的部署结构]

控制台/授权审计（多个） 服务器/服务和数据库 报警终端（多个）

客户端

[产品性能指标]

 将身份辨别、外设资源的访问控制、数据完整性和审计有机结合

 加固的用户口令长度16字节，而且一天一变

 用户身份辨别采用动态口令技术，口令一次一变

 用户身份辨别支持HASH动态口令

 用户身份辨别支持“动态口令 + 签名（签名验证）”

 用户身份辨别支持“指纹辨别 + 动态口令”

 用户身份辨别的时刻〈= 5秒

 控制运算机所有数据外联设备类

 访问控制授权时刻 〈= 1秒

 支持的用户数 〉= 1000（不必部署多个控制中心）

 主机CPU占用的峰值 〈= 2%（500M CPU）

 审计中心磁盘空间大小具有阈值设置功能，并能自动报警

 审计中心支持自动备份和人工备份，并具有数据恢复功能

 能够授权给各部门，由各部门审计部门内部的日记



能够部署一到二级审计管理中心，实现分级授权和分级审计（上下级审计）