黃俊毅 周宋明 王偉

(藍(lán)盾信息安全技術(shù)有限公司,廣東廣州 510000)

基于“保密六元素”,切實做好計算機泄密查證工作
——物理隔離,圖文識別,外聯(lián)檢查,文檔檢查,移動存儲管理,系統(tǒng)安全檢查

黃俊毅 周宋明 王偉

(藍(lán)盾信息安全技術(shù)有限公司,廣東廣州 510000)

當(dāng)前,我國在信息安全方面取得的進步顯著,但在各機關(guān)單位的計算機泄密查證工作方面還存在一些不足。本文分析了目前查證工作的開展?fàn)顩r,基于保密六要素,運用物理隔離、圖文識別、外聯(lián)檢查、文檔檢查、移動存儲管理、系統(tǒng)安全檢查等技術(shù),提出一套更高效的計算機保密檢查取證解決方案,能夠切實做好計算機泄密的查證工作。

計算機保密 泄密查證 圖文識別 文檔粉碎

近年來，國家相關(guān)管理部門為加強對涉密計算機的管理已頒布了許多政策和法規(guī)，但各級部門和各單位查證組織對計算機的泄密查證工作開展如何？現(xiàn)有的檢查取證工具的性能和功能是否能及時發(fā)現(xiàn)和排除泄密隱患？能否針對目前的工作模式提供更到位的解決方法？

對此，深入研究國家對涉密計算機的管理政策，通過走訪各級保密管理人員收集需求，針對計算機保密管理工作的各項規(guī)章制度及現(xiàn)實情況，開發(fā)一套行之有效的計算機保密檢查取證工具，這無論對現(xiàn)在還是將來的泄密查證工作都具有十分突出的現(xiàn)實意義。

1 涉密查證工作現(xiàn)狀分析

目前保密主管部門對政府和企事業(yè)單位的涉密網(wǎng)進行定期保密檢查，涉密網(wǎng)單位也會定期進行保密自查，各相關(guān)部門單位對計算機保密事宜都越來越重視。但在保密檢查過程中普遍存在如下難題：(1)工作效率低：需要工作人員手工逐臺檢查，效率極低。(2)無法將檢查“全面化”和“日常化”：隨著國家對信息安全的重視和涉密網(wǎng)數(shù)量迅速增長，而保密主管部門人手有限，加上原來手工檢查工具效率低，限制了大范圍檢查和短周期檢查，無法做到“全面化”和“日?；薄?3)無法深度查證：手工檢查，只能對計算機做一些常規(guī)涉密檢查，無法做到細(xì)粒化查證和深度審計。

2 保密檢查方案提出

本文設(shè)計了一種全面化、自動化的保密檢查方案。它基于物理隔離、圖文識別、外聯(lián)檢查、文檔檢查、移動存儲管理、系統(tǒng)安全檢查安全保密六元素，形成一套普遍適用的智能涉密查證系統(tǒng)，能夠準(zhǔn)確、全面、高效地檢查出計算機中不符合保密要求的違規(guī)行為，輔助保密主管部門和涉密單位對涉密計算機的檢查取證，切實提高了保密檢查的工作效率、準(zhǔn)確性和計算機的保密安全度。

3 保密“六元素”

3.1 物理隔離

一般來說，政務(wù)內(nèi)網(wǎng)與政務(wù)外網(wǎng)之間要實行物理隔離，即處理存儲、傳輸國家敏感信息和重要數(shù)據(jù)的設(shè)備和網(wǎng)絡(luò)不得與政務(wù)外網(wǎng)和網(wǎng)站以及互聯(lián)網(wǎng)相聯(lián)。因此，涉密計算機，必須處于物理隔離狀態(tài)，嚴(yán)禁接入互聯(lián)網(wǎng)及公共信息網(wǎng)。

本系統(tǒng)工具能準(zhǔn)確查出涉密終端的隔離狀態(tài)，若違規(guī)接入外網(wǎng)，能深度挖掘出接入到互聯(lián)網(wǎng)及公共信息網(wǎng)的上網(wǎng)痕跡，以此嚴(yán)查非法操作者，堅持做到“涉密信息不上網(wǎng)”。

3.2 圖文識別

圖文識別技術(shù)又稱OCR，利用各種識別算法分析圖像中包含的文字形態(tài)特征，判斷出文字的標(biāo)準(zhǔn)編碼，并按通用格式存儲在信息化設(shè)備中，實現(xiàn)檢索關(guān)鍵字與圖片內(nèi)容的匹配查詢。圖文識別經(jīng)過影像前處理、文字特征抽取、比對識別、字詞后識處理和人工校正，能夠快速準(zhǔn)確搜索到圖片格式的涉密資料，防止重要資料變相出網(wǎng)，大幅提升互聯(lián)網(wǎng)涉密信息查詢能力。

3.3 外聯(lián)檢查

外聯(lián)檢查是對計算機物理通路(直接連接互聯(lián)網(wǎng))和邏輯通路(通過代理連接互聯(lián)網(wǎng))上互聯(lián)網(wǎng)的情況進行檢查。通過采用主動防御方式對使用modem撥號、無線網(wǎng)卡等手段違規(guī)進入互聯(lián)網(wǎng)的行為進行監(jiān)控，能檢查代理服務(wù)器的地址、端口等信息，連同接互聯(lián)網(wǎng)的modem型號、拔號連接信息讀取出來，嚴(yán)防“一機兩用”。同時采用最新的數(shù)據(jù)恢復(fù)技術(shù)，能針對整個磁盤分區(qū)進行數(shù)據(jù)恢復(fù)并做深度檢查，把所有已刪除的上網(wǎng)信息恢復(fù)出來并且生成詳細(xì)的檢查報告，為保密查證工作提供重要依據(jù)。

3.4 文檔檢查

文檔檢查可針對整個磁盤、某個分區(qū)、某個文件夾路徑下的文件按指定類型進行搜索和檢查，以查看磁盤數(shù)據(jù)中的密級文檔，查證該計算機是否違規(guī)處理涉密文件。對于已經(jīng)刪除的文件可利用數(shù)據(jù)恢復(fù)技術(shù)進行深度恢復(fù)并形成報告，供用戶查看在刪除的文件操作記錄中是否存在涉密文件。

同時，提供“文檔粉碎”功能，在具有文檔密級權(quán)限的用戶在查看敏感文檔后，安全粉碎敏感文檔，且粉碎后的文檔任何恢復(fù)工具都不能進行恢復(fù)，防止文檔擴散，避免造成涉密事件。

3.5 移動存儲管理

移動存儲管理對通用移動存儲設(shè)備從注冊、使用、銷毀整個生命周期提供完整的授權(quán)、控制和管理，控制可移動設(shè)備的非授權(quán)接入，檢查USB設(shè)備深層歷史使用痕跡，能徹底清理移動存儲設(shè)備且不具可恢復(fù)性，有效地保證移動存儲介質(zhì)在其整個生命周期中的可控性、安全性和可審計性。

3.6 系統(tǒng)安全檢查

系統(tǒng)安全檢查功能著重于主機系統(tǒng)的全面安全性檢查，包括賬號安全檢查、共享資源檢查、網(wǎng)絡(luò)端口檢查、屏幕保護檢查、多操作系統(tǒng)檢查、網(wǎng)絡(luò)應(yīng)用軟件檢查。

(1)賬號安全檢查：檢查賬戶安全策略(強制密碼復(fù)雜度要求、密碼最小長度要求)，檢查賬戶空密碼和弱口令；(2)共享資源檢查：檢查共享目錄及其用戶和權(quán)限；(3)網(wǎng)絡(luò)端口檢查： 檢查高風(fēng)險網(wǎng)絡(luò)端口(如遠(yuǎn)程桌面、文件共享、TELNET等)開啟情況；(4)屏幕保護檢查：檢查屏保是否開啟、屏?；謴?fù)密碼要求、屏保啟動空閑時間等；(5)多操作系統(tǒng)檢查：檢查系統(tǒng)是否安裝多個操作系統(tǒng)；(6)網(wǎng)絡(luò)應(yīng)用軟件檢查：檢查網(wǎng)絡(luò)應(yīng)用軟件安裝和使用痕跡。

4 結(jié)語

基于“保密六元素”，并有機地將上述功能很好地集成起來，能夠輔助保密單位將泄密檢查工作自動化、日?；?，全面提升涉密信息的檢查取證能力，能夠更準(zhǔn)確、更快速地發(fā)現(xiàn)涉密根源，從而更專業(yè)地服務(wù)于各級保密管理部門，切實做好計算機保密檢查工作。

[1]陳天洲,陳純,谷小妮編著.計算機安全策略[M].浙江：浙江大學(xué)出版社,2004.

[2]房玉和,信息安全與信息法學(xué)[C].全國計算機安全學(xué)術(shù)交流會論文集(第二十三卷)[C],2008年.

[3]孫羽菲.低質(zhì)量文本圖像OCR技術(shù)的研究[D].中國科學(xué)院研究生院(計算技術(shù)研究所),2005年.

[4]王清煥.信息安全保障體系中的安全保密檢查評估[C].第十九次全國計算機安全學(xué)術(shù)交流會論文集[C],2004年.

[5]陳偉良.計算機信息系統(tǒng)泄密途徑分析及如何進行防范[J].電腦知識與技術(shù)(學(xué)術(shù)交流),2011年05期.