技术领域 本实用新型涉及一种信息安全计算机,属于计算机信息安全技术领域,特 别适合于计算机信息安全保密性极强的用户使用。 背景技术 现有的计算机信息保密技术措施,主要考虑下述安全威胁: 1、病毒问题。这是已经存在的最为广泛的计算机安全问题。由于计算机病 毒程序很容易制作和传递,因此,计算机病毒有极大的破坏性。 2、非法访问和破坏(黑客攻击)。目前的计算机安全技术还缺乏针对计算 机网络犯罪卓有成效的反击和跟踪手段,“黑客”攻击是计算机信息安全的主要 威胁。 3、管理手段的欠缺,包括内部人员泄露计算机上的安全信息,外部人员通 过非法手段截获而导致计算机上的安全信息的泄露,在计算机系统中对需要保密 的信息缺乏有效的监控。 4、计算机网络的缺陷及计算机软件的漏洞。特别是英特网的共享性和开放 性使网上的信息安全存在先天的不足,其赖以生存的TCP/IP计算机通信协议缺 乏相应的安全机制。 为了解决和改善计算机信息的安全威胁的问题,现有的安全措施包括:以 计算机软件的方式来实现计算机上的信息的安全保护,其中包括:加入防火墙软 件,入侵检测,防病毒软件等,这种计算机安全方式在处理方法上与计算机操作 系统软件有较为密切的关联,但是入侵者仍然可以通过操纵操作系统的漏洞进入 计算机,从而绕过防护软件。另外,防护软件本身也存在容易被他人攻破的缺点, 这种安全保护方式是建立在计算机操作系统的上层应用程序的基础上的保护措 施,当入侵者经过简单的身份验证后即可以进入系统,并可以任意的对计算机系 统进行任意操作,而计算机合法用户却无法对计算机系统各个重要部分进行有效 管理和控制,无法从根本上解决计算机系统的信息安全问题。 发明内容 本实用新型的目的在于,为解决和改善克服现有的计算机系统存在的信息 安全问题,提供一种信息安全计算机及其保护方法,旨在解决通用计算机的安全 性能问题,以通用计算机系统的主板为基础,加入安全管理单元,它可以是嵌入 式安全模块(ESM)。从硬件底层开始对计算机系统信息进行安全保护,以软硬 件相结合的形式保障计算机系统的信息安全。 本实用新型的信息安全计算机的技术方案是:它包括计算机的外围设备, 中央处理器(CPU),存储器,安全计算机主板;该安全计算机主板包括:一个能 连接专有用户身份信息输入设备1的身份信息输入设备接口2;一个对上述身份 信息输入接口2的信息进行验证,并由其中的控制信号发生单元5.3输出和身份 信息相关的控制信号的信息安全管理单元5;一个对上述信息安全管理单元5输 出的和身份信息相关的控制信号进行执行的安全控制执行单元6;一个根据安全 控制执行单元6输出的执行控制信号决定是否准许用户启动计算机系统的开机 电路单元7;一个根据安全控制执行单元6输出的用户信息相关的执行控制信号 决定该用户可以使用的相关外围设备11的使用权限的计算机外设开关电路单元 9;一个受开机电路单元7和计算机外设开关电路单元9控制是否开启或关闭计 算机和是否开启相关外围设备11的通用计算机主板单元8。 本实用新型的工作原理如图1所示: 1、当用户按动安全计算机系统的开机按钮4时,首先进行上电的是信息安 全管理单元5,如模块(ESM)部分。信息安全管理单元5首先启动并进行自 检,并且由信息安全管理单元5的自身操纵系统对安全模块进行初始化操作, 然后对外部设备进行检测。如果外部设备有异常,则由安全模块进行报警。 2、当信息安全管理单元5自检并由自身的操作系统对信息安全管理单元5 进行初始化完成后,再由专用用户身份信息输入设备1读取用户的身份信息。用 户的身份信息将由信息安全管理单元5中的密码和身份校验部分对用户的密码 和权限进行检测,在获得正确的信息后,由信息安全管理单元5设置用户对该系 统使用范围和权限。 3、信息安全管理单元5发出的安全控制信号发送给安全控制执行单元6, 由安全控制执行单元6对要控制的通用计算机主板单元8的相关的各个部分进 行控制。 4、当控制信号发出后,再由信息安全管理单元5给安全控制执行单元6 发出通用计算机主板单元8的开机信号,此时才打开通用计算机主板单元8。也 就是说,在计算机系统正式启动之前,已经有信息安全管理单元5对计算机的用 户访问部分进行了硬件的控制,而这些控制信号完全来自于信息安全管理单元5。 那么用户在进入计算机操作系统后,无法通过系统的上层应用软件对控制电路进 行操作,也就无法修改自己所拥有的访问权限和访问范围。 5、安全控制执行单元6对计算机外围设备11如键盘、鼠标、打印机等的控 制,以确保没有权限的用户无法通过外围设备传递所需要保密而他自己又无权带 走的重要文件。 6、为了防止不同用户彼此之间的文件安全,本实用新型中还可以有一个文 件加密系统,用户可以对自己认为重要的文件进行加密处理。而加密的原则是将 要加密的文件通过加密通道3传递给信息安全管理单元5,让文件在信息安全管 理单元5中进行加密处理,加密的密钥保留在信息安全管理单元5中,加密好的 文件再传送回通用计算机主板单元8中保存。其他用户无法进入安全模块获取密 钥,也就无法正确打开已经加密的文件。 7、当用户自己要打开已经加密的文件时,加密文件的解密过程也是在信息 安全管理单元5中进行。而密钥的传送通道则埋藏在硬件主板的内层,其他人员 也就无法通过测量的手段获取别人的密钥。 8、当用户在进入操作系统后,如果进行复位计算机系统的操作,则该操作 先对安全系统接收,安全系统先要判断该信号是否是正常给出的,否则不会对计 算机系统进行复位操作。如果是,则先校验系统后再对计算机系统进行复位的操 作,以避免用户先进入系统,再进行复位操作后避开安全系统对计算机系统的安 全检测和控制功能。 本实用新型的优点在于: 1、由于采用了信息安全管理单元5对计算机进行管理,从底层开始对计算 机进行保护,使入侵者无法通过软件方式解密; 2、信息安全管理单元5可以是安全模块(ESM),具有自检功能,即在计 算机启动之前,先行启动信息安全管理单元(ESM)5。信息安全管理单元5除 执行自检操作外,还检测用户的身份信息,判断该用户是否为合法用户,另外还 检测计算机的外部设备是否正常。当用户身份得到验证后,信息安全管理单元5 还指令多个设备自我验证,只有当全部验证完后,信息安全管理单元5才指令打 开相应的硬件设备。 3、在合法的用户群体中,其通过合法专有用户的身份信息输入接口2输入 给信息安全管理单元5的身份信息中,将包括其使用权限和级别,对于不同的权 限的用户,安全系统将打开不同的外围设备11,供其使用。由于此时外围设备 11的关断与打开,完全由硬件进行,所以,即使不同权限和级别的用户进入系 统,也无法进入其他权限和级别的用户使用区域进行操作。 4、信息安全管理单元5自检成功和用户的身份校验完成后,安全管理单元 5才输出通用计算机主板单元8的启动命令,通用计算机主板单元8进行自检和 启动操作系统。 5、由于本实用新型中各个外围设备11是可以通过底层硬件进行物理方式 和外界进行隔离,因此可以全面的防范非法使用和病毒的入侵。 6、当用户进入计算机系统后,可以对需要加密的重要文件,通过数据传 输加密通道3,传送到信息安全管理单元5中,由信息安全管理单元5中的加密 部分对该文件进行完全加密后,再传送回存储单元5.2存储,其他用户在没有得 到允许的情况下将无法正确打开该文件。只有合法的用户在拥有密码的情况下, 再由信息安全管理单元5进行解密后才可以正确打开该文件。由于本实用新型的 上述优点,使本安全计算机可以广泛应用于金融、政府机关以及安全部门。 附图说明 图1为安全计算机的构架示意图。 图2为信息安全管理单元原理框图。 图中各图号对应名称为:1、专有用户身份信息输入设备,2、专有用户身份 信息输入设备接口,3、加密通道,4、用户开机按钮,5、信息安全管理单元(ESM), 5.1、中央处理器(CPU),5.2、存储单元,5.3、控制信号发生单元,5.4、密码 处理器及协处理器,6、安全控制执行单元,(可在安全模块ESM内),7、开机 电路单元,8、通用计算机主板单元,9、计算机外设开关电路单元,10、安全计 算机主板,11、计算机外围设备。 具体实施方式 本实用新型安全计算机实施例1:如图1、图2所示,它有外围设备,中央 处理器,存储器,安全计算机主板;它的专有用户身份信息输入设备1是IC卡, 还可以是指纹的、声音的、图象的、虹膜的采样设备,或智能卡等信息存储设备, 为其中的一种或多种;专有用户身份信息输入设备接口2是与专有用户身份信息 输入设备1连接。信息安全管理单元5包括:一个用于安全管理的中央处理器 (CPU)5.1;一个存储单元5.2它包括自身运行程序,该存储单元5.2是可擦写存 储器,还可以是只读存储器以及一个数据处理的存储器,该存储器可以是随机存 储器;一个控制信号发生单元5.3。 如图1、图2所示,本实用新型实施例2,它的信息安全管理单元5还有在 实施例1基础上增加下述部件:实时时钟电路单元,或/和报警电路单元,或/和 看门狗电路单元。信息安全管理单元5还有密码处理及协处理单元5.4;信息安 全管理单元5为独立安全模块(ESM),该模块为嵌入式模块。 另一实施例:信息安全管理单元5为独立的安全模块(ESM),该模块还包 括安全控制执行单元6,为嵌入式模块。 如图所示上述实施例,开机电路单元7是用于控制通用计算机主板单元8开 关通用计算机系统的开关电路单元;计算机外设开关电路单元9是控制计算机其 他外围设备11运行的开关电路单元;计算机外设开关电路单元9主要由至少一 个开关元件组成,与所述的外围设备11包括可以是键盘、鼠标、打印机、串行 口、硬盘、PCI槽等的一种或多种相连接;身份信息输入设备接口2还与通用计 算机主板单元8之间以加密通道3连通,该通道采用的是PCI通道,还可以是 USB通道,通用输入、输出端口等的一种或多种。 总之,图1、图2所示实施例的上述本实用新型安全计算机是在通用安全计 算机上嵌入安全模块(ESM)来处理和安全相关的所有安全操作。该安全模块包 括中央处理器、存储单元、用户身份信息输入单元、控制出口和密码通道和文件 传输通道。另外,该安全模块有自己相对于操作系统而言的独立的操作系统。 图2所示是信息安全管理单元5的原理框图,以下作进一步说明:。 该安全模块(ESM)是将信息安全管理单元5独立制成一个模块,该模块包含 有中央处理器5.1,存储器单元5.2,控制信号发生单元5.3,密码通道3,密码 处理器及协处理器5.4。中央处理器可以是各种和X86兼容的处理器。安全控制 端口可以是PCI通道,USB通道,通用输入输出端口。加密通道3可以是PCI 通道,USB通道,通用输入输出端口。专有用户的身份信息输入设备可以是IC 卡,智能卡,指纹识别系统以及相应的图象识别系统。 计算机外围设备11可以是各种标准的和计算机相连的外部设备,比如,打 印机,磁带机等。信息安全管理单元5功能可以是从专有用户身份信息输入设备 1中读取用户身份信息并加以信息处理以判断是否启动计算机和控制计算机系统 中响应的单元。