计算机终端保密检查检查工具技术白皮书

1、 计算机终端保密检查检查工具 技术白皮书 I I I 目 录 I 1.研发背景 . 1 2.适用范围 . 1 3.涉密信息系统检查取证工具的技术要求 . 1 4.产品功能 . 2 4.1涉密计算机检查 . 3 4.2非涉密计算机检查 . 4 4.3增强功能 . 5 5.产品优势 . 6 6.典型用户 . 7 7.性能指标 . 7 8.检测环境 . 9 II 北京金路标科技有限公司 1.研发背景 国家保密机关为例加强对涉密计算机的管理已颁布了许多政策和法规，这些政策和法规在实际工作中执行的怎么样呢？同时只有发现了问题，才能寻找解决问题的办法，进而有效的教育涉密人员自觉遵守保密的规定。因此，需要一

2、款有效的检查取证工具。它的有效性不仅要体现保密政策的要求，而且还能发现隐藏的问题；不仅性能先进，而且还要可靠和易用。为此我们的研发人员认真的研究了国家对涉密计算机的管理政策，大量走访了各级保密管理人员，力求以公司技术优势去满足这些需求，从而奉献出一款有效的检查取证工具。 2.适用范围 该系统为安全保密检查人员提供了强大的技术手段，按照“上网不涉密、涉密不上网”的原则，能够准确、全面、有效地检查出计算机存在的违规行为，辅助安全保密检查人员提出安全防护完善意见。该工具适用于信息安全执法机构及其它指定的政府及关键部门的专用检测工具，具有极大的专业性和专用性。 3.涉密信息系统检查取证工具的技术要求

3、以专用介质为载体的涉密信息系统检查取证工具首先必须满足国家关于介质安全性的要求，消除介质使用中泄密隐患，确保国家秘密安全；其次是要准确无误地检查出涉密计算机的各种违规操作痕迹，检查结束后能自动生成检查报表，为检查取证提供有力证据。 1. 采用符合要求的专用移动存储介质，提高介质自身的安全防护能力 由于涉密信息系统检查取证工具需要基于一个可移动的存储设备为载体，而普通移动存储介质无法满足涉密信息系统的特殊要求，应逐步淘汰或禁止使用，工具应采用具有安全保密功能的专用介质； 2. 对于“物理隔离”要求的检查 标准要求涉密计算机在任何条件下，必须处于物理隔离状态，严禁接入与国际互联网及公共信息网。 涉

4、密信息系统检查取证工具应准确查出涉密终端的隔离状态，以及违规接入到- 1 - 北京金路标科技有限公司 国际互联网及公共信息网的痕迹，并可以进行深度查找，达到只要涉密终端上互联网就能获得上网记录。 3. 对于“接入的移动存储设备”鉴别 标准要求对可移动设备的接入进行鉴别，控制可移动设备的非授权接入。 涉密信息系统检查取证工具可以对移动存储介质交叉使用进行有效的检查，分注册表跟系统日志两方面，检查更全面。 4.产品功能 1 图产品功能示意图- 2 - 北京金路标科技有限公司 图2 产品主界面图 本系统主要为安全保密检查工作提供专业、高效的技术手段，检查涉密网及非涉密网在运行中是否发生违规操作及不符

5、合保密要求的操作行为，并对其检查的终端提 出安全改进意见，其主要功能包括：4.1涉密计算机检查 涉密计算机检查主要是检查计算机上网情况，并准确地对上网行为进行取证。 1) 检查系统的基本信息内容有： ? 被检查单位:被检查单位的名字。 ? 当前日期:当前日期。 ? 机器名称:被检查计算机的计算机名。 ? 操作系统类型:被检查计算机当前系统的类型。 ? IP地址：被检查机器的IP地址。 ? MAC(网卡)地址：被检测计算机网卡的物理地址。 ? 磁盘型号及磁盘物理序列号。 2) 检查计算机的上网记录，主要分为常规搜索与深度搜索。常规检查是针对电脑普通的数据检查取证，所获取的信息主要是存放的磁盘上没

6、- 3 - 北京金路标科技有限公司 有删除的数据信息；深度检查是采用最新的数据恢复技术，针对整个磁盘分区进行数据恢复检查，把所有已删除的上网信息恢复出来并且生成详细的检查报告。 ? 检查系统与外部网络互联的信息 ? 检查虚拟ADSL拨号信息(PPPoE协议) ? 检查拨号信息 ? 检查历史上网信息记录 ? Cookies信息记录 ? 检查临时文件下的记录 ? 检查Temp文件下的上网记录 ? 检查收藏夹下的网络信息 3) 系统安全检查主要是检查计算机的安全性，检查内容包括： ? 检查计算机中存在的全部用户 ? 检查计算机中存在的共享列表 ? 检查计算机系统开放的各个端口 ? 检查计算机操作系统

7、的相关信息 ? 检查U盘的使用记录 4) 系统信息检查主要检查计算机的系统安装信息，计算机注册单位，机器组成信息及名称等一些系统信息。 4.2非涉密计算机检查 1) 文件操作记录检查，主要分为常规搜索与深度搜索。文件记录常规检查，主要是针对计算机曾经处理过的文件操作记录的检查取证，所检查的信息数据都是存放的磁盘中的数据，此检查项主要是查看计算机是否违规处理涉密信息；文件记录深度检查是相对于文件记录常规检查而命名的，它主要采用数据恢复技术，把磁盘中已经删除的文件操作记录，恢复出来并形成的报告的格式，供用户查看在删除的文件操作记录中是否存在涉密文件。 ? 检查历史文件操作记录 ? 检查临时文件操作

8、记录 - 4 - 北京金路标科技有限公司 ? 检查最近操作的文档信息 ? 检查系统数据库中的文档操作记录 2) 文件信息搜索实现在磁盘中指定文件类型的搜索，按文件内容及文件标题进行数据搜索，可以设置查找文件的类型，可以设置查找到文件前后的字节长度，可以设置信息的条数，可多个磁盘一起进行检查, 还可以根据密级文档搜索功能将更快更准的搜索出保密文件。 3) Office文件操作记录是对计算机中office文件的历史操作记录的检查，包括文件名，文件格式及其所在盘符。 4) 删除文件恢复可以对计算机上已删除的文件进行恢复，包括对可疑的上网记录和文件操作记录的恢复。 5) 对计算机硬盘中所存储的信息根据

9、预设的关键词进行片段恢复，能更全面的查出涉密信息隐患。 4.3增强功能 违规接入检查主要是检查终端中使用过的移动存储设备记录。 1) U盘记录检查清理是检查USB设备深层历史使用记录的信息，分注册表跟系统日志两方面。检查内容包括设备名称、驱动类型、序列号以及使用时间等，并对其进行彻底清理。 2) 上网记录及文件记录清理主要是清理计算机内的历史上网记录和文件操作记录。 3) 软件选择性卸载是对计算机上现有的所有软件卸载，包括网络软件的全部或分项选择性卸载。 4) 聊天记录及邮件检查主要检查的是QQ，MSN，OUTLOOK邮件，FOXMALL邮件的历史文件资料的交流记录。包括在此计算机上历史登陆的

10、所有QQ，MSN软件用户的历史聊天记录及邮件收发记录。 5) 磁盘自由空间清理功能是在不损坏磁盘的基础上，只对自由空间进行清理，不会损坏现有的文件和系统盘，任何恢复工具都不能对所清理过的磁盘内容进行恢复。 - 5 - 北京金路标科技有限公司 5.产品优势 ? 多种媒介形式 产品载体分为三中类型，满足不同环境。U盘存储版方便即查即存；U盘非存储版防止病毒交叉感染；光盘版满足不能使用U盘的检查环境。 ? 文件内容分类检索 可以对不同磁盘分区多种格式问件进行搜索，支持最新的OFFICE2007文件类型，密级搜索功能将更快更准的搜索出保密文件。并根据用户实际需 求进行分类查询和显示查询结果。 图片内容

11、检索 ? 识别技术，实现检索关键字与图片内容的匹配查询。产品通过OCR 聊天及邮件的记录检查? （可对检查过后的信息检查计算机系统中上网聊天记录以及邮件的纪录 进行搜索，并可以导出检查信息）。 USB记录检查 ?检查更对移动存储介质交叉使用的检查，分注册表跟系统日志两方面， 全面，并可对其彻底清理。 文件及上网记录信息恢复? 产品具有数据恢复功能，即使通过专业清理工具对上网信息进行了清除处 工具的数据恢复功能仍可将其恢复，理、格式化硬盘或重新安装操作系统，并进行检查取证。防止计算机违规处理涉密文件，并辅助检查人员对计算 机定级定密。 磁盘自由空间清理?实现了不破坏现有操作系统的前提独有的“磁盘

12、自由空间清理”功能，- 6 - 北京金路标科技有限公司 下，将残留在磁盘中的泄密隐患清除干净彻底。 6.典型用户 部委客户群： 中国人民政治协商会议全国委员会、全国人民代表大会常务委员会、中国人力资源和社会保障部、中国外交部、国家民政部、中共中央政法委员会、国务院国有资产监督管理委员会、中国证券监督管理委员会、国家电力监管委员会、国家新闻出版总署、国家食品药品监督管理局、国家旅游局、中国地震局等。 地方客户群： 湖南省委省政府、湖南省国家保密局、湖南省安全厅、山西省委省政府、山西省安全厅、山西省国家保密局、辽宁省国家保密局、陕西省国家保密局、黑龙江省国家保密局、重庆市国家保密局、贵州省国家保密

13、局、中粮集团、中国电子科技集团、中国电子科学研究院、北京市信息测评中心、北京市海淀区国家保密局等。 * 备注： 此用户群只是部分典型用户。 7.性能指标 ? 磁盘占用率40% 序深度检CPU占内存使用 磁盘使用情况情况 号 用率索时间 磁盘10G (9.8G 3% 1 50% 7秒4G) 文件占用6% 70% 秒182 30G (29.2G 磁盘- 7 - 北京金路标科技有限公司 12G)文件占磁80G (77.5G25%80%4332G)文件占磁120G (114G60%490%648G)文件占用 90% 磁盘占用率?内存使CP深度磁盘使用情情索时用磁10G (9.8G15%70%1158.9G) 文件占用磁盘30G (29.2G 28% 秒522 80% 27G) 文件占用磁盘80G (77.5G 47% 秒 3 90% 11070G) 文件占用磁盘120G (114G 75% 4 18090% 秒 100G) 文件占用 备注：* ，M