计算机终端保密检查检查工具技术白皮书.doc

资源描述

1、 JLB 计算机终端保密检查工具技术白皮书北京金路标科技有限公司采购咨询： QQ： 1365081810 邮件： I 软件名称：计算机终端保密检查工具版本： V6.0 II 目录 1.研发背景 . 1 2.适用范围 . 1 3.涉密信息系统检查取证工具的技术要求 . 1 4.产品功能 . 2 4.1 涉密计算机检查 . 3 4.2 非涉密计算机检查 . 4 4.3 增强功能 . 5 5.产品优势 . 6 6.典型用户 . 7 7.性能指标 . 7 8.检测环境 . 8 北京金路标科技有限公司 - 1 - 1.研发背景国家保密机关为例加强对涉密计算机的管理已

2、颁布了许多政策和法规，这些政策和法规在实际工作中执行的怎么样呢？同时只有发现了问题，才能寻找解决问题的办法，进而有效的教育涉密人员自觉遵守保密的规定。因此，需要一款有效的检查取证工具。它的有效性不仅要体现保密政策的要求，而且还能发现隐藏的问题；不仅性能先进，而且还要可靠和易用。为此我们的研发人员认真的研究了国家对涉密计算机的管理政策，大量走访了各级保密管理人员，力求以公司技术优势去满足这些需求，从而奉献出一款有效的检查取证工具。 2.适用范围该系统为安全保密检查人员提供了强大的技术手段，按照 “ 上网不涉密、涉密不上网 ” 的原则，能够准确、全面、有效地检查出计算机存在

3、的违规行为，辅助安全保密检查人员提出安全防护完善意见。该工具适用于信息安全执法机构及其它指定的政府及关键部门的专用检测工具，具有极大的专业性和专用性。 3.涉密信息系统检查取证工具的技术要求以专用介质为载体的涉密信息系统检查取证工具首先必须满足国家关于介质安全性的要求，消除介质使用中泄密隐患，确保国家秘密安全；其次是要准确无误地检查出涉密计算机的各种违规操作痕迹，检查结束后能自动生成检查报表，为检查取证提供有力证据。 1. 采用符合要求的专用移动存储介质，提高介质自身的安全防护能力由于涉密信息系统检查取证工具需要基于一个可移动的存储设备为载体，而普通移动存储介

4、质无法满足涉密信息系统的特殊要求，应逐步淘汰或禁止使用，工具应采用具有安全保密功能的专用介质； 2. 对于“物理隔离”要求的检查标准要求涉密计算机在任何条件下，必须处于物理隔离状态，严禁接入与国际互联网及公共信息网。涉密信息系统检查取证工具应准确查出涉密终端的隔离状态，以及违规接入到北京金路标科技有限公司 - 2 - 国际互联网及公共信息网的痕迹，并可以进行深度查找，达到只要涉密终端上互联网就能获得上网记录。 3. 对于“ 接入的移动存储设备 ” 鉴别标准要求对可移动设备的接入进行鉴别，控制可移动设备的非授权接入。涉密信息系统检查取证工具可以对移动存储介质

5、交叉使用进行有效的检查，分注册表跟系统日志两方面，检查更全面。 4.产品功能图 1 产品功能示意图北京金路标科技有限公司 - 3 - 图 2 产品主界面图本系统主要为安全保密检查工作提供专业、高效的技术手段，检查涉密网及非涉密网在运行中是否发生违规操作及不符合保密要求的操作行为，并对其检查的终端提出安全改进意见，其主要功能包括： 4.1 涉密计算机检查涉密计算机检查主要是检查计算机上网情况，并准确地对上网行为进行取证。 1) 检查系统的基本信息内容有：被检查单位 :被检查单位的名字。当前日期 :当前日期。机器名称 :被检查计算机的计算机名。操

6、作系统类型 :被检查计算机当前系统的类型。 IP 地址：被检查机器的 IP 地址。 MAC(网卡 )地址：被检测计算机网卡的物理地址。磁盘型号及磁盘物理序列号。 2) 检查计算机的上网记录，主要分为常规搜索与深度搜索。常规检查是针对电脑普通的数据检查取证，所获取的信息主要是存放的磁盘上没有删除的数据信息；深度检查是采用最新的数据恢复技术，针对整个磁盘分区进行数据恢北京金路标科技有限公司 - 4 - 复检查，把所有已删除的上网信息恢复出来并且生成详细的检查报告。检查系统与外部网络互联的信息检查虚拟 ADSL 拨号信息 (PPPoE 协议 ) 检查拨号信息检查历史上网

7、信息记录 Cookies 信息记录检查临时文件下的记录检查 Temp 文件下的上网记录检查收藏夹下的网络信息 3) 系统安全检查主要是检查计算机的安全性，检查内容包括：检查计算机中存在的全部用户检查计算机中存在的共享列表检查计算机系统开放的各个端口检查计算机操作系统的相关信息检查 U 盘的使用记录 4) 系统信息检查主要检查计算机的系统安装信息，计算机注册单位，机器组成信息及名称等一些系统信息。 4.2 非涉密计算机检查 1) 文件操作记录检查，主要分为常规搜索与深度搜索。文件记录常规检查，主要是针对计算机曾经处理过的文件操作记录的检查取证，所检查的信

8、息数据都是存放的磁盘中的数据，此检查项主要是查看计算机是否违规处理涉密信息；文件记录深度检查是相对于文件记录常规检查而命名的，它主要采用数据恢复技术，把磁盘中已经删除的文件操作记录，恢复出来并形成的报告的格式，供用户查看在删除的文件操作记录中是否存在涉密文件。检查历史文件操作记录检查临时文件操作记录检查最近操作的文档信息检查系统数据库中的文档操作记录北京金路标科技有限公司 - 5 - 2) 文件信息搜索实现在磁盘中指定文件类型的搜索，按文件内容及文件标题进行数据搜索，可以设置查找文件的类型，可以设置查找到文件前后的字节长度，可以设置信息的条数，可多个磁盘一起进行检查 , 还

9、可以根据密级文档搜索功能将更快更准的搜索出保密文件。 3) Office 文件操作记录是对计算机中 office 文件的历史操作记录的检查，包括文件名，文件格式及其所在盘符。 4) 删除文件恢复可以对计算机上已删除的文件进行恢复，包括对可疑的上网记录和文件操作记录的恢复。 5) 对计算机硬盘中所存储的信息根据预设的关键词进行片段恢复，能更全面的查出涉密信息隐患。 4.3 增强功能违规接入检查主要是检查终端中使用过的移动存储设备记录。 1) U 盘记录检查清理是检查 USB 设备深层历史使用记录的信息，分注册表跟系统日志两方面。检查内容包括设备名称、驱动类型、序

10、列号以及使用时间等，并对其进行彻底清理。 2) 上网记录及文件记录清理主要是清理计算机内的历史上网记录和文件操作记录。 3) 软件选择性卸载是对计算机上现有的所有软件卸载，包括网络软件的全部或分项选择性卸载。 4) 聊天记录及邮件检查主要检查的是 QQ， MSN， OUTLOOK 邮件， FOXMALL邮件的历史文件资料的交流记录。包括在此计算机上历史登陆的所有 QQ，MSN 软件用户的历史聊天记录及邮件收发记录。 5) 磁盘自由空间清理功能是在不损坏磁盘的基础上，只对自由空间进行清理，不会损坏现有的文件和系统盘，任何恢复工具都不能对所清理过的磁盘内容进行恢复。北京

11、金路标科技有限公司 - 6 - 5.产品优势多种媒介形式产品载体分为三中类型，满足不同环境。 U 盘存储版方便即查即存； U 盘非存储版防止病毒交叉感染；光盘版满足不能使用 U 盘的检查环境。文件内容分类检索可以对不同磁盘分区多种格式问件进行搜索，支持最新的 OFFICE2007 文件类型，密级搜索功能将更快更准的搜索出保密文件。并根据用户实际需求进行分类查询和显示查询结果。图片内容检索产品通过 OCR 识别技术，实现检索关键字与图片内容的匹配查询。聊天及邮件的记录检查检查计算机系统中上网聊天记录以及邮件的纪录（可对检查过后的信息进行搜索，并可以导出检查信息

12、）。 USB 记录检查对移动存储介质交叉使用的检查，分注册表跟系统日志两方面，检查更全面，并可对其彻底清理。文件及上网记录信息恢复产品具有数据恢复功能，即使通过专业清理工具对上网信息进行了清除处理、格式化硬盘或重新安装操作系统，工具的数据恢复功能仍可将其恢复，并进行检查取证。防止计算机违规处理涉密文件，并辅助检查人员对计算机定级定密。磁盘自由空间清理独有的“磁盘自由空间清理”功能，实现了不破坏现有操作系统的前提下，将残留在磁盘中的泄密隐患清除干净彻底。北京金路标科技有限公司 - 7 - 6.典型用户部委客户群：中国人民政治协商会议全国委员会、全国人民代表大会常务委员会

13、、中国人力资源和社会保障部、中国外交部、国家民政部、中共中央政法委员会、国务院国有资产监督管理委员会、中国证券监督管理委员会、国家电力监管委员会、国家新闻出版总署、国家食品药品监督管理局、国家旅游局、中国地震局等。地方客户群：湖南省委省政府、湖南省国家保密局、湖南省安全厅、山西省委省政府、山西省安全厅、山西省国家保密局、辽宁省国家保密局、陕西省国家保密局、黑龙江省国家保密局、重庆市国家保密局、贵州省国家保密局、中粮集团、中国电子科技集团、中国电子科学研究院、北京市信息测评中心、北京市海淀区国家保密局等。 * 备注：此用户群只是部分典型用户。 7.性能指标磁盘占用率

14、 40% 序号磁盘使用情况深度检索时间 CPU 占用率内存使用情况 1 10G (9.8G 磁盘文件占用 4G) 7 秒 50% 3% 2 30G (29.2G 磁盘文件占用 12G) 18 秒 70% 6% 3 80G (77.5G 磁盘文件占用 32G) 40 秒 80% 25% 4 120G (114G 磁盘文件占用 48G) 61 秒 90% 60% 磁盘占用率 90% 序号磁盘使用情况深度检索时间 CPU 占用率内存使用情况 1 10G (9.8G 磁盘文件占用 8.9G) 15 秒 70% 15% 2 30G (29.2G 磁盘文件占用 27G) 52 秒 80% 28%

展开阅读全文