康昊 王陽 陳超

引言：隨著涉密信息系統(tǒng)在軍工單位的廣泛應(yīng)用，傳統(tǒng)的保密技術(shù)檢查手段已經(jīng)不能完全適應(yīng)新形式下安全保密工作的要求，保密技術(shù)檢查問題日益突出。本文提出一種基于網(wǎng)絡(luò)遠程檢查的取證系統(tǒng)，通過該系統(tǒng)發(fā)送檢查指令，對終端主機進行批量的遠程檢查。解決了單機檢查用人多，用時長，檢查無法實現(xiàn)全覆蓋、常態(tài)化及無法形成有效數(shù)據(jù)統(tǒng)計分析的問題。

一、前言

隨著我國信息化建設(shè)的快速推進與發(fā)展，重要信息越來越多的以電子文檔形式在計算機、移動存儲介質(zhì)等電子載體中出現(xiàn)。計算機及其網(wǎng)絡(luò)已成為泄密的重要隱患，是涉密信息系統(tǒng)保密管理的重中之重。實踐表明，通過保密技術(shù)檢查來發(fā)現(xiàn)、查處泄密事件和嚴(yán)重違規(guī)行為是當(dāng)前信息化條件下做好保密工作的有力抓手，是增強保密技術(shù)防范能力的必要手段。

二、計算機終端保密檢查現(xiàn)狀

與傳統(tǒng)印刷品文檔處理方式相比，計算機終端存在電子文檔易修改、易刪除、易復(fù)制，操作痕跡易破壞的特點。雖然大多數(shù)軍工單位和部門都已經(jīng)應(yīng)用安全保密檢查工具定期對單位內(nèi)部計算機進行檢查，以實現(xiàn)對泄密和違規(guī)行為的管理，但從總體上說我們的技術(shù)檢查水平還不高，發(fā)現(xiàn)失泄密隱患的能力還不強，技術(shù)檢查裝備和檢查手段也還滯后，因此更要加大加強保密技術(shù)檢查力度和措施，來提高發(fā)現(xiàn)失泄密隱患的能力。具備較強針對性的計算機終端保密技術(shù)檢查工具應(yīng)運而生，相關(guān)工具的應(yīng)用經(jīng)歷了以下幾個發(fā)展階段。

第一個階段，將常用的查看類工具軟件拷貝到計算機終端上，通過在操作系統(tǒng)緩存文件、注冊表、系統(tǒng)日志等位置搜集信息，分析出違規(guī)操作痕跡。相比手工查找的方式，檢查效率得到大幅提高，并具備了一定的分析辨別能力。

第二個階段，使用U盤為載體，參照保密技術(shù)檢查的實際工作特點，對相關(guān)工具軟件進一步集成，將檢查結(jié)果形成檢查報告，并導(dǎo)出到U盤完成取證工作。該階段軟件同時集成了文件恢復(fù)功能，可以搜集到已經(jīng)刪除的操作痕跡，對違反保密規(guī)定的操作起到較強的震懾作用。

第三個階段，使用光盤為載體，集成了更為成熟的工具軟件和Windows PE（Windows PreInstallation Envionment；Windows預(yù)安裝環(huán)境），能夠在各種軟件環(huán)境下對計算機終端執(zhí)行保密技術(shù)檢查。該階段產(chǎn)品同時包含一塊受寫保護的U盤，便于檢查報告的存儲。存儲過程使用定制的私有接口，避免了在檢查中傳播計算機病毒的尷尬。

計算機終端保密技術(shù)檢查工具的出現(xiàn)，特別是數(shù)據(jù)恢復(fù)與信息檢索技術(shù)的應(yīng)用，使違規(guī)操作痕跡無處隱藏，大大增強了保密檢查工作的權(quán)威性與威懾力，提高了計算機終端使用人員的保密意識，真正起到“以查促防”的作用。然而面對單位中數(shù)量眾多的涉密內(nèi)網(wǎng)計算機終端，保密技術(shù)檢查往往僅能采用抽查的方式，檢查效率低下，耗費時間長，人力、物力投入大，很難保證及時、全面的保密檢查。目前，信息安全保密檢查工具使用U盤和光盤的方式也受到限制，對于計算機終端的檢查方式必須轉(zhuǎn)以網(wǎng)絡(luò)化方式進行。

三、基于網(wǎng)絡(luò)化的保密查檢設(shè)計方案

采用一種基于網(wǎng)絡(luò)遠程檢查的取證系統(tǒng)，通過系統(tǒng)發(fā)送檢查指令、可定時的對終端主機進行批量的遠程檢查，能夠解決單機檢查取證時檢查用人多，用時長，無法形成所有數(shù)據(jù)統(tǒng)計分析的問題，可以實現(xiàn)保密檢查的網(wǎng)絡(luò)化、常態(tài)化、綜合化，從而保證保密檢查的全面性和實時性。

3.1 系統(tǒng)功能設(shè)計

該系統(tǒng)主要分為三大功能模塊，如圖1所示：

（1）保密檢查管理中心

發(fā)送主機檢查指令，瀏覽檢查報告、進行報告統(tǒng)計分析，系統(tǒng)參數(shù)設(shè)置等相關(guān)功能。

（2）計算機終端檢查軟件

安裝在計算機終端上的保密檢查軟件，接收數(shù)據(jù)通訊模塊下發(fā)的檢查指令、進行自動檢查，檢查完畢后經(jīng)數(shù)據(jù)通訊服務(wù)器上傳檢查報告。

（3）數(shù)據(jù)通訊模塊

接收保密檢查管理中心的檢查指令，轉(zhuǎn)發(fā)給計算機終端檢查軟件、并上傳計算機終端軟件生成的檢查報告。

3.2 系統(tǒng)實施方案

系統(tǒng)采用C/S（客戶端/服務(wù)器）架構(gòu)模式。如圖2所示，每臺受檢計算機終端上安裝客戶端程序，在接收到“檢查指令”后，執(zhí)行保密技術(shù)檢查。檢查可設(shè)計為靜默執(zhí)行，并自動調(diào)節(jié)系統(tǒng)資源占用率，使用不影響計算機終端使用者的正常工作。檢查結(jié)束后，將生成的檢查報告經(jīng)數(shù)據(jù)通訊服務(wù)器，傳送到保密檢查管理中心。

在網(wǎng)絡(luò)內(nèi)搭建服務(wù)器端。登記已安裝客戶端的計算機終端信息。保密管理員登錄后，可向指定的計算機終端發(fā)送“檢查指令”?！皺z查指令”可以包含檢查項目的選擇、檢索關(guān)鍵字的設(shè)置、終端資源占用策略設(shè)置、檢查開始時間等信息。檢查運行期間，服務(wù)器端保持與客戶端程序的通訊，隨時掌握各計算機終端檢查進度。檢查報告收集完成后，可對相關(guān)字段進一步加工，得出包括U盤交叉混用、違規(guī)上網(wǎng)地址、涉密文件操作記錄、違規(guī)軟硬件安裝等具有違規(guī)操作痕跡的計算機終端分布情況。匯總連續(xù)幾次檢查的數(shù)據(jù)，可以分析出違規(guī)操作的發(fā)展趨勢，體現(xiàn)保密整改工作效果，指導(dǎo)一下整改工作方向。

服務(wù)器端登錄可設(shè)計為B/S（瀏覽器/服務(wù)器）架構(gòu)，保密管理中可在網(wǎng)絡(luò)內(nèi)任意節(jié)點登錄，完成相關(guān)管理任務(wù)。保密管理員足不出戶，即可完成網(wǎng)絡(luò)內(nèi)計算機終端的保密技術(shù)檢查，并形成詳細工作報表。

該實施方案具有以下幾個優(yōu)勢：

（1）并發(fā)檢查，以往檢查單臺計算機終端所需的時間，即可完成對所有計算機終端的保密檢查；

（2）分布式檢查，保證保密檢查有效性，且無須增加服務(wù)器負載；

（3）登記計算機終端安裝信息，易于查找保密檢查死角，實現(xiàn)全面覆蓋；

（4）靜默檢查，不影響計算機終端使用者正常工作，不受人為因素干擾；

（5）統(tǒng)計分析功能，便于對保密檢查情況的整體了解；

（6）使計算機終端保密檢查成為常態(tài)化工作，便于及時發(fā)現(xiàn)泄密隱患與泄密漏洞，“以查促防”，提高整體保密防護能力。

3.3 系統(tǒng)分級擴展

面對分支機構(gòu)較多，特別是存在異地分支機構(gòu)的單位，可在每個分支機構(gòu)搭建服務(wù)器端，分別對本地的計算機終端進行登記管理；各服務(wù)器端能過網(wǎng)絡(luò)進行級聯(lián)，實現(xiàn)多級機構(gòu)的統(tǒng)一管理。

在各級服務(wù)器端建立通訊，下級服務(wù)器端可轉(zhuǎn)發(fā)上級服務(wù)器端發(fā)送的“檢查指令”，那么，總部的保密管理員不出辦公室，就可以隨時對偏遠地區(qū)的分支機構(gòu)發(fā)起計算機終端保密檢查。

3.4 系統(tǒng)功能擴展

基于前文設(shè)計的架構(gòu)模型，結(jié)合保密管理工作特點，在系統(tǒng)設(shè)計中還可擴展以下功能。

（1）敏感信息實時監(jiān)測

在客戶端程序中，集成實時監(jiān)測功能模塊，捕獲常見的文件操作行為，如保存、關(guān)閉、移動、發(fā)送郵件、即時通訊工具傳送等，一旦在檢索中發(fā)現(xiàn)預(yù)設(shè)的敏感關(guān)鍵字，即時向服務(wù)器端發(fā)送“報警信息”。保密管理員可能過“報警信息”及時發(fā)現(xiàn)并處理違規(guī)操作敏感文件的行為。

（2）臺賬登記管理

在客戶端程序中，集成計算機終端的軟硬件設(shè)備信息搜集功能，匯總到服務(wù)器端形成管理臺賬?？蛻舳顺绦蜻€可將捕獲到的計算機終端軟硬件設(shè)備變更信息提供給服務(wù)器端，形成詳細變更日志，便于保密管理員的管理工作。

（3）其他保密防護功能

該系統(tǒng)還可將其他目前常見的保密防護功能進行集成，包括違規(guī)外聯(lián)監(jiān)控與報警功能、網(wǎng)絡(luò)準(zhǔn)入控制功能、移動存儲介質(zhì)識別管理功能、主機行為審計功能、補丁與軟件分發(fā)功能、存儲介質(zhì)信息消除功能等，從而形成一套以計算機終端保密技術(shù)檢查為核心，查防結(jié)合的保密技術(shù)體系。

四、結(jié)語

綜上所述，通過采用基于網(wǎng)絡(luò)遠程檢查的取證系統(tǒng)，突破了傳統(tǒng)的保密技術(shù)檢查中無法實現(xiàn)全覆蓋、無法形成常態(tài)化、無法形成有效數(shù)據(jù)統(tǒng)計分析的瓶頸，實現(xiàn)對涉密網(wǎng)內(nèi)計算機終端網(wǎng)絡(luò)化檢查的集中控制和檢查數(shù)據(jù)的綜合利用，從而有效提升安全保密管理的技術(shù)水平。通過常態(tài)化檢查將涉密信息系統(tǒng)可能存在的安全漏洞和涉密風(fēng)險有效降低，實現(xiàn)從檢查到管理的提升。

（作者單位：北京臨近空間飛行器系統(tǒng)工程研究所）