网络版检查工具用户手册.docx

计算机保密检查取证工具用户手册朗威计算机保密检查取证工具用户手册哈尔滨朗威电子技术开发有限公司公司简介哈尔滨朗威电子技术开发有限公司成立于1999年11月5日，注册资金300万元，注册地址在哈尔滨市南岗区学府路36-2号朗威大厦。哈尔滨朗威电子技术开发有限公司是国家商用密码产品生产定点单位，具有涉及国家秘密的计算机信息系统集成资质，全面致力于“信息安全保密产品”、“信息安全应用产品”的研制，并且是“安全服务”提供商。朗威公司目前已经形成了多项拥有自主知识产权的信息安全类产品，分别通过保密局、公安部、信息产业部等权威部门认证，并为用户提供专家级的咨询和安全服务。朗威电子签章系统作为中间件在中央政府采购项目中中标，标志着朗威电子签章技术在政府公文传输系统中获得认可，并得到广泛推广。多年来，哈尔滨朗威电子技术开发有限公司专注保密市场，专心于保密标准的研究，专门制作符合保密单项要求的产品，在产品的研发、生产和销售各个环节完全符合国家相关政策的规定。公司拥有自己的研发队伍。哈尔滨朗威电子技术开发有限公司现有安全产品：朗威桌面安全管理系统、朗威USB移动存储介质使用管理系统、朗威涉密信息实时监管系统、朗威电子签章系统和朗威公文传输系统等。朗威公司凭借专业的行业背景、先进的软件产品、成熟的技术优势、高素质的技术人才、优越的研发环境为用户提供了完善的解决方案和专业的技术支持，广泛服务于政府、企业、教育、金融、电信等领域，为全国各级涉密部门提供安全保障，为全国许多军工单位的军工资质认证和系统评测提供咨询及技术服务，受到了市场的普遍欢迎。朗威公司充分意识到保密工作的严肃性和重要性，研制出的安全产品严格执行国家相关标准、政策，得到了国家保密局、各地保密局和军工集团保密办的肯定。其中，桌面安全管理系统率先通过国家认证，涉密信息实时监管系统作为全国的优秀模式得到推广，而涉密介质管理系统则是目前唯一能做到对涉密移动存储介质的外联进行监管的产品，居全国领先地位。哈尔滨朗威电子技术开发有限公司立足龙江，服务全国，提供本地化的安全服务，以“管理严格、操作规范、功夫到家”的司训，“诚信、进取、团队、创新”的企业精神，“以服务赢得客户，以创新求得发展”的经营理念和“做一项工程，树一座丰碑”的服务理念，不断提升公司的技术研发实力，立志使公司产品成为全国同类产品最优，服务社会，构建完善的信息安全平台。公司产品公司主要产品：1.朗威计算机终端安全登录与文件保护系统朗威计算机终端安全登录与文件保护系统标准版朗威计算机终端安全登录与文件保护系统企业版朗威计算机终端安全登录与文件保护系统网络版2.朗威非授权外联监管系统朗威非授权外联监管系统B/S版朗威非授权外联监管系统C/S版3.USB移动存储介质使用管理系统USB移动存储介质使用管理系统专用介质朗威USB移动存储介质使用管理系统普通介质朗威USB移动存储介质使用管理系统单导介质4.朗威计算机保密检查取证工具朗威计算机保密检查取证工具涉密版朗威计算机保密检查取证工具非涉密版5.朗威存储介质信息清除工具1、检查工具简介1.1、概述计算机保密检查取证工具（以下简称“检查工具”）主要针对各级保密局、政府机关、军工单位、科研院所等各类机关企事业单位保密管理工作机构使用，进行为保密部门对本单位计算机系统的保密检查工作提供强有力的检查手段，检查涉密网及非涉密网在运行中是否发生违规操作及不符合保密要求的操作行为。该产品可以准确、全面、快捷、方便地提供被检查计算机的相关违规信息等，重点检查涉密计算机是否违规上互联网、使用非合理的存储介质和非涉密计算机是否违规处理涉密信息等，并提供数据恢复的深入检查功能，提供当前系统用户、开放端口等相关信息。1.2、主要功能1、服务器功能服务器端主要实现身份登录认证、组织机构管理、检查策略管理、审计日志管理和审计分析报表管理五部分功能：1）身份登录认证：服务器控制台身份认证，采用USB KEY硬件智能卡进行身份登录认证，提高了服务器控制台身份认证的安全指数。2）组织机构管理：主要是针对单位、部门和人员三级管理，并且对组织机构树中单位、部门和人员进行添加、修改和删除等操作。3）检查策略管理：主要有常规检查、深度检查和文件信息搜索三种策略，可以对单个、部分或全部客户端进行下发检查策略。4）审计日志管理：主要对客户端常规检查、深度检查和文件信息搜索产生日志管理，对日志进行查询操作。5）审计分析报表：系统提供客户端检查审计日志分析报表。管理员可按照各种模板实现历史日志的自动统计和报表，管理员还可自行定义统计和报表条件，对特定信息进行统计并生成报表。报表支持html等格式。为管理人员提供安全保密分析报告，对存在的风险提出补救措施2、终端功能1）常规检查： 上网常规检查：检查上网纪录、注册表上网信息、无线网卡、蓝牙设备、手机设备和网络工具等功能。 文件常规检查：检查文件操作记录和系统缓存文件记录等信息。 移动介质常规检查 其它检查：主要有进程检查、服务检查、杀毒软件、端口检查、终端用户、多操作系统、应用程序安全检查、日志分析和文件信息搜索等功能。2） 深度检查 上网深度检查 文件深度检查 移动介质深度检查 日志分析深度检查采用底层数据恢复技术，对计算机上网、文件等信息进行数据取证，在被检查计算机进行重新安装操作系统、格式化硬盘、重新划分硬盘分区、改变分区格式等专业的破坏操作之后，仍能够准确再现操作违规行为。1.3、主要特点1、能够准确的检查涉密计算机的上网记录，并进行数据取证，即使通过专业清理工具对上网信息进行了清除处理、格式化硬盘或重新安装操作系统，本系统仍能够获得准确的上网信息。2、支持内容检索功能，通过对文件信息检索技术，可以对不同的磁盘分区内的所有DOC、XLS、TXT、WPS等格式文件进行内容搜索。即使用户把存在磁盘的涉密文件或处理过的涉密文件的操作记录清除掉，本系统也会应用数据恢复技术，把其恢复出来，并进行检查取证。3、系统使用简便，操作界面友好，可直接通过服务器下发策略，在被检查计算机上自动运行，检查人员仅需输入必要的检测配置既可自动进行检测，检测整个过程无须用户干预，检测结束后自动生成检测报告供用户进行检查取证。4、自主知识产权，系统内部设计采用可扩充框架结构，实现检测模块化处理，方便满足用户个性化二次开发需求。5、能够准确检查移动介质的插拔记录，并在取证报告中显示移动介质的设备名称、序列号、第一次使用时间、最后一次使用时间，PID&VID等信息详尽。6、界面简洁美观，检查结果清晰醒目。2、检查工具安装指南2.1、服务器安装安装之前需要配置IIS服务器，点击开始菜单里的控制面板，添加或删除程序，03系统下有些系统的IIS会直接显示，如果没有显示请点击应用程序服务器。点开后会出现下图按照图中所示，勾选图中选项，主要为IIS和ASP.NET,点击确定。配置完IIS后在我的电脑右键的计算机管理中我们会发现最下端的IIS服务，点击开，最下面有个Web服务拓展，点击它会看到右侧ASP.NET选项，将2.0版通过属性允许开启，安装完毕。安装framework 2.0，推荐为window2003系统。安装时不需要key,直接运行安装包。出现安装向导如图2.1.1所示：图1.1检查工具服务器安装向导点击“下一步”，出现“许可证协议”，如图2.1.2所示：图2.1.2许可证协议点击“安装”，安装过程如图2.1.3所示：图2.1.3安装过程图2.1.4安装完成点击“完成” 按钮，即完成服务器程序的安装。2.2终端安装运行终端安装包，出现安装向导，如图2.2.1所示：图2.2.1安装向导点击“下一步”，出现许可协议界面，如图2.2.2所示：图2.2.2许可协议点击“安装”，安装过程如图2.2.3所示：图2.2.3安装过程图2.2.4安装完成点击“完成” 按钮，即完成服务器程序的安装。3、检查工具操作指南3.1服务器3.1.1用户登录登录检查工具打开开始菜单程序朗威计算机安全保密检查取证工具计算机安全保密检查取证工具网络版控制中心，弹出系统登录对话框，如图.1所示：图.1登录界面若为第一次登陆，必须要进行管理员的注册。插入管理员key,点击注册，弹出注册框，如图.2所示：图.2管理员注册插入正确的管理员key,输入用户名和密码后按“登录”进入，管理员主界面如图.3所示：图.3管理员主界面修改登录用户信息点击右上角处的“修改登录用户信息”按钮，如图.1所示，弹出修改登录用户信息界面，如图.2所示：图.1修改登录用户信息按钮图.2修改登录用户信息界面输入登录用户名和登录密码、确定密码后，点击“保存用户信息”按钮修改登录用户信息，点击“返回工作页面”取消修改。3.1.2系统设置其他选项其他选项包括生成客户端、下载客户端、USB信任列表、网址信任列表、服务信任列表、进程信任列表。生成客户端：点击“生成客户端”，会有相应的提示，如图.1所示：图.1提示客户端生成后弹出提示，如图.2所示：图.2提示下载客户端：点击“下载客户端”，若没有生成客户端，则提示“还没有生成客户端，请单机生成客户端”，如图.3所示：图.3提示若已经生成客户端，点击下载客户端，弹出下载页面，如图.4所示：图.4下载页面点击下载，弹出文件下载对话框，如图.5所示：图.5文件下载对话框用户可点击“保存”按钮，选择要保存的路径,如图.6所示：图.6另存为对话框USB信任列表：点击USB信任列表，点击增加USB信息，编辑USB的序列号即可，如图.7所示：图.7 USB信任列表网址信任列表：点击网址信任列表，点击增加网址信息，编辑网址即可，如图.8所示：图.8网址信任列表服务信任列表：点击服务信任列表，点击增加服务信息，编辑服务名即可，如图.9所示：图.9服务信任列表进程信任列表：点击进程信任列表，点击增加进程信息，编辑进程名即可，如图.10所示：图.10进程信任列表组织结构点击系统设置组织结构，组织结构界面如图.1所示：图.1组织结构主界面在组织结构上右键可进行机构的新建、调整、删除，人员的新建、调整、删除以及终端的绑定功能，如图.2所示：图.2右键此结构最多可建立三层，即两层机构、一层人员。机构建立：如果要建立第一层机构，要在组织结构上右键，点击“机构建立”，若要建立第二层机构，要在第一层机构上右键，点击“机构建立”，如图.3所示：图.3机构建立机构调整：选择要调整的机构右键，点击“机构调整”，如图.4所示：图.4机构调整机构删除：选择要删除的机构右键，点击“机构删除”。添加人员：选择人员所在机构右键，点击“添加人员”，如图.5所示：图.5添加人员调整人员：选择要调整的人员右键，点击“调整人员”，如图.5所示。删除人员：选择要删除的人员右键，点击“人员删除”。绑定终端：在界面右上角闲置终端绑定中勾选上要绑定的终端，在要绑定的人员上右键，点击“绑定终端”，如图.6所示：图.6绑定终端解除终端绑定：在已绑定的终端列表中勾选要解绑定的终端，点击“解除终端绑定”，如图.7所示：图.7解除终端绑定若正在执行检查时，点击解除终端绑定，提示“有任务正在执行！请稍后或者取消上次策略”，如图.8所示：图.8提示数据管理点击系统设置数据管理，数据管理界面如图.1所示：图.1数据管理界面数据管理包括备份数据库、还原数据库、删除备份文件。1、备份数据库用户可根据需要对数据库进行备份，点击“备份数据库”按钮，备份成功后提示备份数据库成功，如图.2所示：图.2提示若有任务正在执行时，点击备份数据库提示“有任务正在执行！请稍后或者取消上次策略”，如图.3所示：图.3提示2、还原数据库用户可根据需要勾选一个要还原的数据库，点击“还原数据库”，如图.4所示：图.4还原数据库点击还原数据库后弹出提示如图.5所示：图提示还原成功后，提示还原数据库成功，如图.6所示：图.5提示若有任务正在执行时，点击还原数据库提示“有任务正在执行！请稍后或者取消上次策略”，如图.7所示：图.7提示3、删除备份文件选择要删除的备份文件，点击“删除备份文件”，弹出提示如图.8所示：图.8提示成功后提示删除备份文件成功，如图.9所示：图.9提示3.1.3主机检查主机检查是对终端下发检查策略。点击主机检查，主机检查主界面如图所示：图主机检查主界面下发策略：在左侧树形结构中勾选要检查的机构或是人员、填写任务名称、选择搜索时间、选择要进行的检查的项目，点击下一步，选择要检查的终端，点击下一步，提示下发策略成功，如图所示：图提示进度条走到100%，检查完成。查看全部任务进度：当任务进行时，用户可点击查看全部任务进度，即显示若干终端平均进度。如图所示：图总任务进度取消任务：当任务正在执行时，点击取消任务，提示如图所示：图提示点击确定，提示“正在取消，请等待5秒”，如图所示：图消息等待5秒后，提示“检查完成”。如图所示：图消息下发新策略：当任务完成或者取消任务时，点击下发新策略，可进行策略的下发。查看任务进度：若任务正在进行，点击查看任务进度，查看正在执行的进度。若任务已经完成，点击查看任务进度，查看上次已经完成的任务进度。3.1.4最近主机报告 最近主机报告：最后一次策略所包含的终端的所有策略的检查结果。左侧树形结构列出管理员该次下发策略的终端，点击终端的策略可以查看该终端的检查结果。如图所示：图最近主机报告用户可点击“查看”，具体查看每一项里面的内容。3.1.5统计分析点击统计分析，进入统计分析主界面，如图所示：图统计分析主界面用户需填写统计名称和统计的日期范围，统计条件不添加时默认为全部搜索，点击下发任务。成功后提示“成功下发”。统计结果需在统计分析结果显示中查看。当用户需要添加统计条件时，点击统计条件中的搜索全部，点击添加网址、添加操作或是添加信息，此时统计的为添加的内容。3.1.6统计分析结果显示点击统计分析结果显示，如图所示：图统计分析结果显示主界面点击统计任务中的任务，在右侧查看结果。统计分析任务设置即该统计任务下发时用户所填写的内容，只可查看不能修改。统计概要显示统计结果，用户在统计任务中点击要查看的任务名，统计概要中显示此任务的统计结果，点击数字可查看具体内容。 3.1.7查看历史报告查看历史报告点击“查看历史报告”，出现查看历史报告主界面，如图.1所示：图.1查看历史报告主界面用户必须填写公司、部门、搜索时间和人员，人员也可不填，不填默认为此部门下的所有人员，点击“搜索”，所有满足搜索内容的策略显示在策略信息中。如图.2所示：图.2策略信