1 引言

      　　目前，許多機關、公司和企業部門普遍采用移動存儲管理系統來控制各種移動存儲載體的使用。移動存儲管理系統的主要功能是對移動存儲載體在計算機中的使用進行授權、限值和控制。簡單地說，就是對移動存儲載體中存儲的數據和文件進行加密和使用控制，但是并不能解決對移動存儲載體物理介質本身的安全管控。

      　　基于RFID的移動存儲載體安全管理系統，采用先進的RFID(Radio Frequency
      Identification的縮寫，即射頻識別)技術、無線檢測技術、計算機網絡技術和數據庫技術，有效解決了移動存儲載體違規攜帶等問題，確保了移動存儲載體物理介質安全，并與移動存儲管理系統有機結合，真正實現了移動存儲載體從內到外、從網絡到物理實體的一體化安全管控。

      2 系統功能

      　　移動存儲載體安全管理系統，通過對粘貼有射頻標簽的便攜式計算機、優盤、移動硬盤等各類移動存儲載體的使用授權、綜合查詢和門禁監控管理，提高了移動存儲載體的使用安全性，填補了長期以來對移動存儲載體物理介質本身缺乏有效技防手段的空白。

      　　(1)對移動存儲載體跟蹤定位和身份識別。通過在適當位置設置無線識別基站，能夠在一定范圍內對移動存儲載體實施定位跟蹤，當移動存儲載體離開規定范圍時主機產生報警，系統自動登記載體的負責人、載體文件信息等級、出入時間等信息，達到對載體進行跟蹤定位和身份識別的目的。

      　　(2)有效解決移動存儲載體違規攜帶問題。通過在重要辦公場所和辦公樓門口設置門禁檢測系統，配置無線識別基站和監控機，對移動存儲載體出入進行識別監管，若服務器接收到系統設置為許可攜帶出門的無線標識，系統自動記錄其責任人、攜帶人、出入時間與卡號等相關信息；若服務器接收到系統設置為嚴禁攜帶出門的無線標識，系統會啟動報警器長嗚，對存儲載體進行有效攔截；若服務器接收到超出授權期限的無線標識，系統也能采取相應措施。

      　　(3)實現移動存儲載體檢測管理的自動化。將RFID自動識別技術和計算機信息管理技術有機結合，實現對存儲載體信息數據的自動收集、記錄、跟蹤、檢測，無需人工干預和攔截檢查，堵塞了人為管理漏洞，避免了手工操作失誤，從而提高了移動存儲載體管理效益。

      3 系統原理與結構

      　　3.1 系統原理

      　　RFID無線標識系統，是針對近距離或接觸式系統的缺點而發展出來，其基本原理是利用射頻信號和空間耦合(電磁或電磁耦合)的傳輸特性，實現對被識別物體所攜帶信息的自動化提取和識別。RFID無線標識系統在實際應用中，將無線標識附著在待識別物體的表面，無線標識中保存有約定格式的電子數據，識別基站通過天線發送出一定頻率的射頻信號，當無線標識進入磁場時產生感應電流從而獲得能量，發送出自身編碼等信息，被識別基站讀取并解碼后送至電腦主機進行相關處理，從而達到自動識別物體的目的。

      　　移動存儲載體安全管理系統通過在筆記本電腦、優盤、移動硬盤等載體上粘貼射頻標簽，在重要場所和出入位置設置無線識別基站、門禁檢測設備，在中心服務器上安裝管理信息系統和數據庫，對攜帶有射頻標簽的各類移動存儲載體進行識別、報警和記錄，對移動存儲載體使用管理情況進行在線查詢和統計，隨時了解掌握移動存儲載體底數，較好地實現了移動存儲載體從注冊、登記、使用管理到銷毀的全過程管理，有效解決移動存儲載體隨意傳遞、隨意存放、隨意攜帶外出等問題，確保移動存儲載體的使用安全。

      3．2 系統硬件結構

      　　整個系統由數據庫系統、門禁系統和移動存儲載體發行中心三大模塊組成。其中：數據庫系統包括中心數據庫、WEB應用服務器、管理終端；門禁系統包括門禁控制終端計算機和識別基站；移動存儲載體發行中心包括PC服務器、打印機和發行器。各模塊通過TCPdP協議局域網實現相互之間，以及各模塊與移動存儲載體安全管理系統之間的互連互通，整個系統的硬件組成和組網結構如圖1所示。

      　　為確保系統有效協調運行，實現對移動存儲載體的檢測、識別，數據的快速處理、存儲，信息的實時傳輸，達到對移動存儲載體有效監管的目的，系統硬件應達到以下技術指標：

      　　(1)識別距離應達到3-5M；
      　　(2)工作頻段為134．2KHZ；
      　　(3)無線基站采用RS232／485方式，+6～+12V DC(MAx30mA)；
      　　(4)采用基于HDLC的時分多址和同步通信機制；
      　　(5)識別能力采用多通道高速識別能力／使用頻道隔離技術，多個設備互不干擾。

      　　3.3 系統軟件結構

      　　移動存儲載體安全管理系統軟件主要由系統維護管理、存儲載體日常管理、存儲載體查詢統計、存儲載體授權管理和存儲載體監控管理五大模塊組成。其中：系統維護管理模塊用于對用戶、識別基站參數配置、系統數據和集成結口進行管理；移動存儲載體信息管理用于管理存儲載體注冊、登記和標識捆綁；存儲載體查詢統計模塊提供對系統記錄的存儲載體信息的組合查詢，并匯總生成打印報表；存儲載體監控管理模塊提供存儲載體出入報警設置、出入日志查詢和出入匯總報表生成功能。移動存儲載體安全管理系統軟件結構如圖2所示。

      4 系統關鍵技術與流程設計

      　　4．1 移動存儲載體信息管理設計

      　　根據各單位、部門上報和資產登記情況，收集移動存儲載體品牌、類型、數量、所屬部門和使用人員等基本信息，逐一進行電子編號、登記和注冊，建立移動存儲載體“戶籍檔案”，將信息寫入射頻標簽，并將射頻標簽與紙質文件、優盤、移動硬盤和筆記本電腦等存儲載體捆綁。再通過移動存儲管理系統對其進行使用授權管理，使得未經授權的移動存儲載體無法在辦公計算機上使用，有效解決了移動存儲載體公私混用，私人購置的移動存儲載體不登記、編號，移動存儲載體使用底數不清的問題。

      　　移動存儲載體信息管理工作流程如下(如圖3所示)：

      　　(1)管理人員收集移動存儲載體基本信息，逐一進行電子編號、登記和注冊，按規定格式錄入系統數據庫，建立存儲載體“戶籍檔案”；

      　　(2)載體基本信息寫入射頻標簽，并將射頻標簽與紙質文件、優盤、移動硬盤和筆記本電腦等移動存儲載體捆綁，與使用人員一一對應，防止出現射頻標簽與移動存儲載體不對應的情況；

      　　(3)通過移動存儲管理系統，對粘貼有射頻標簽的移動存儲載體進行使用授權管理。由于未經移動存儲管理系統授權的移動存儲載體無法在辦公計算機上使用，因此可有效解決購置的移動存儲載體不登記、無編號，未納入管控范圍的問題。

      　　4．2 移動存儲載體進出識別監管設計

      　　本系統基于先進的RFID射頻技術，每個可移動存儲載體物理介質都安裝有一個無線標識，在出入的大門附近安裝配套的無線識別基站，當無線標識進入識別基站3—5米范圍內時，識別基站會自動識別此移動存儲載體，后臺管理軟件自動記錄下此載體的相關出入信息，從而實現每個移動存儲載體攜帶出入時都有嚴格的控制，同時保證了實際運行的高效識別和快速響應。

      　　移動存儲載體進出識別監管工作流程為(如圖4所示)：

      　　(1)在辦公區出入口或辦公樓門口安裝門禁檢測系統，配置無線識別基站和監控機(如圖5所示)；

      　　(2)由識別基站設備掃描到無線標識，信號通過監控機傳輸到服務器；

      　　(3)服務器從數據庫中提取移動存儲載體相關信息，系統自動識別判斷該載體是否授權；

      　　(4)若服務器接收到系統設置為許可攜帶出門的無線標識，系統自動記錄其出入時間與卡號。否則，系統會啟動報警器長鳴，門欄裝置不予放行，門衛沒收違規攜帶外出的移動存儲載體，同時監控機自動記錄報警時問、報警卡號、情況處理時間、處理員等信息，并立即傳輸到服務器。

      　　4．3 系統各監管點聯網設計

      　　移動存儲載體安全管理系統是一個整體的系統，而各辦公樓座落在不同區域，為實現對各個辦公樓移動存儲載體的進出監管，需要在各個辦公樓分別安裝配置識別基站和監控機，并與服務器相連，將各識別基站檢測到的監控實時數據匯總在同一個平臺系統里，實時觸發相應辦公樓里的報警器，同時通過統一配置系統軟件，集中管理各項基礎數據。

      　　根據實際設備選型，識別基站有以太網接口和RS232／485接口兩種類型，如果是RS232／485接口可以通過RS232／以太網轉換器連接到以太網絡，這樣就可以通過已經具備的以太網絡將各辦公樓之間的無線標識系統進行聯網，構成一個統一的平臺，為集中安全管理提供保障。

      　　具體聯網配置的工作流程為(如圖6所示)：

      　　(1)在每個需要管理的信息場所出入口分別安裝無線識別基站；

      　　(2)在中心機房配置一臺數據庫服務器，服務器聯接各個樓內的監控管理計算機；

      　　(3)當攜帶有無線標識的存儲載體需要帶出時由各樓的監控管理計算機進行登記授權；

      　　(4)授權后的存儲載體移動到另一個識別基站覆蓋區域，識別基站會根據監控管理計算機的授權情況自動登記帶出的載體設備并傳給管理計算機一個帶出記錄；

      　　(5)管理計算機通過網絡把記錄傳給和存儲于數據庫服務器。

      　　4．4 遠程信息監控查詢設計

      　　基于B／S結構模式，用戶可以通過網絡遠程訪問移動存儲載體安全管理系統站點，按用戶權限進行操作，對移動存儲載體出人情況進行監控，對各類存儲載體的類型、數量、所屬部門、使用人員和違規攜帶等信息進行查詢統計，并自動生成EXCEL統計報表。

      　　遠程信息監控查詢工作流程為(如圖7所示)：

      　　(1)查詢人員通過計算機網絡，登錄本系統站點；

      　　(2)管理人員按照管理權限登錄系統，服務器將移動存儲載體出入數據實時發送給遠程計算機，從而對載體出人情況進行監控；

      　　(3)選擇查詢的條件、對象和格式，遠程計算機將查詢請求發送給服務器，服務器通過移動存儲載體安全管理系統從數據庫中提取相關數據信息，并及時傳輸給查詢用戶。

      　　4．5 系統集成接口設計

      　　(1)與門禁系統的集成設計。該模塊提供報警裝置、門欄裝置等數據接口，通過該模塊實現與報警裝置、門欄裝置的實時聯動。

      　　(2)預留與OA等系統接口。該模塊提供與OA等系統的接口，可以將移動存儲載體基礎信息和出入監控實時信息與其它系統共享，供其遠程訪問和調用系統相關數據信息，從而為各級部門信息化集成提供橋梁。

      5 結束語

      　　本系統的設計與實現，創新了移動存儲載體安全管控技術手段，對加強移動存儲載體安全管理，防止移動存儲載體失泄密具有重要作用。一是設計思想先進。系統將射頻識別技術、計算機網絡技術與程序設計融為一體，同時整合了在線查詢統計和監控功能，有效解決了違規攜帶移動存儲載體外出的問題。二是自動化程度高。當移動存儲載體通過門禁檢測通道時，系統自動采集載體信息，并將數據傳輸至服務器，根據授權情況作出判斷和響應，無須人為檢查、判斷和登記。三是系統功能強大。該系統集系統維護、查詢統計、授權注銷、跟蹤識別與門禁檢測功能于一體，較好地實現了移動存儲載體從注冊登記到使用管理的全過程管理。四是系統實用性好。系統采用B／S結構，用戶只須打開IE瀏覽器便可進行登錄和操作，系統界面友好、美觀大方，運行穩定、可靠性高。