張超

【摘要】信息安全保密管理工作的重點(diǎn)和計(jì)算機(jī)終端檢查的難點(diǎn)，促進(jìn)了計(jì)算機(jī)安全檢查技術(shù)的發(fā)展。本文回顧了終端檢查技術(shù)經(jīng)歷的三個(gè)階段，并指出在實(shí)踐中遇到的亟待解決的難題，由此提出基于云計(jì)算構(gòu)建統(tǒng)一安全保密管理平臺(tái)，實(shí)現(xiàn)高效的數(shù)據(jù)采集，報(bào)告統(tǒng)計(jì)分析功能。

【關(guān)鍵字】計(jì)算機(jī)安全檢查 檢查技術(shù) 云計(jì)算

前言

為滿(mǎn)足單位信息安全保密管理要求，落實(shí)終端計(jì)算機(jī)信息設(shè)備安全使用和管理策略，終端計(jì)算機(jī)檢查成了信息安全保密建設(shè)工作的重要環(huán)節(jié)，計(jì)算機(jī)信息系統(tǒng)使用和管理是信息安全保密管理工作的重點(diǎn)。

隨著信息化程度的提升，企事業(yè)單位各項(xiàng)科研、項(xiàng)目工作中產(chǎn)生、存儲(chǔ)、處理和傳輸?shù)暮Ａ繑?shù)據(jù)，給計(jì)算機(jī)終端安全檢查工作帶來(lái)了很大的難度。另外，電子數(shù)據(jù)具有易刪除、易篡改，數(shù)據(jù)量大，結(jié)構(gòu)復(fù)雜等特點(diǎn)，使得終端數(shù)據(jù)的采集獲取工作，成了計(jì)算機(jī)信息檢查的難點(diǎn)。

保密管理工作的重點(diǎn)和計(jì)算機(jī)信息檢查的難點(diǎn)，促進(jìn)了計(jì)算機(jī)終端安全檢查技術(shù)的發(fā)展。

一、終端檢查技術(shù)概述

終端計(jì)算機(jī)檢查是計(jì)算機(jī)取證技術(shù)在信息安全保密工作中的具體應(yīng)用，終端檢查獲取的數(shù)據(jù)更加具體，涉及的檢查項(xiàng)目更加有針對(duì)性，檢查結(jié)果能直接指導(dǎo)保密管理工作，是軍工保密單位迎檢采用的主要檢查方法。

終端計(jì)算機(jī)取證過(guò)程分為以下幾個(gè)步驟：1主機(jī)數(shù)據(jù)的獲取2統(tǒng)計(jì)分析與匯總3違規(guī)事件的確認(rèn)4整改與復(fù)查5違規(guī)問(wèn)題的關(guān)閉。

但計(jì)算機(jī)信息數(shù)據(jù)的易篡改、易偽裝，使得取證檢查并非一勞永逸，為保證檢測(cè)效率和效果，另需制定循環(huán)檢查機(jī)制，逐漸杜絕泄密違規(guī)事件，同時(shí)不斷改進(jìn)終端安全檢查技術(shù)以適應(yīng)新的檢查需求。

二、終端檢查技術(shù)沿革

一般而言，終端安全檢查技術(shù)經(jīng)歷了以下幾個(gè)主要的階段。

第一階段，硬盤(pán)鏡像拷貝階段。對(duì)要進(jìn)行檢查的終端計(jì)算機(jī)的磁盤(pán)進(jìn)行物理拆除，并通過(guò)技術(shù)手段把整盤(pán)數(shù)據(jù)鏡像到另外磁盤(pán)中，然后掛載到另外的計(jì)算機(jī)系統(tǒng)上，再利用常用的查看工具軟件檢查操作系統(tǒng)緩存文件、注冊(cè)表、系統(tǒng)日志等操作記錄，并人工分析出違規(guī)操作事件。該階段的主要缺點(diǎn)是硬盤(pán)鏡像速率低，檢查工具的集成化低，嚴(yán)重影響檢查效率。

第二階段，外接存儲(chǔ)式檢查階段。以計(jì)算機(jī)常用接口（USB、SATA）為突破口，外接大容量存儲(chǔ)設(shè)備、光盤(pán)驅(qū)動(dòng)器等設(shè)備，啟動(dòng)WindowsPE（Windows PreInstall Environment）系統(tǒng)，并集成更為成熟的工具軟件，將檢查結(jié)果形成檢查報(bào)告，導(dǎo)入到可存儲(chǔ)移動(dòng)介質(zhì)完成檢查取證步驟。該階段同時(shí)集成了文件信息恢復(fù)技術(shù)，可以搜索已經(jīng)刪除或者格式化后的數(shù)據(jù)痕跡，對(duì)違反保密管理規(guī)定的行為起到威懾作用。

第三階段，基于網(wǎng)絡(luò)的終端檢查階段。在信息化進(jìn)程中，各單位根據(jù)工作需要建設(shè)了內(nèi)部非密網(wǎng)絡(luò)和涉密網(wǎng)絡(luò)，隨之而來(lái)的網(wǎng)絡(luò)終端設(shè)備也越來(lái)越多，需要檢查的項(xiàng)目?jī)?nèi)容也越來(lái)越復(fù)雜。仍采用前兩種單機(jī)終端檢查方案，不僅需要投入大量人力、時(shí)間，后期的數(shù)據(jù)統(tǒng)計(jì)和報(bào)告量化也是難題。如今基于網(wǎng)絡(luò)的終端檢查方案應(yīng)運(yùn)而生，采用星型拓?fù)浣Y(jié)構(gòu)，對(duì)接入網(wǎng)絡(luò)的終端計(jì)算機(jī)并行地下發(fā)檢查指令。同時(shí)，在網(wǎng)內(nèi)設(shè)置保密管理員、系統(tǒng)管理員、安全審計(jì)員，實(shí)現(xiàn)終端檢查、系統(tǒng)參數(shù)設(shè)置、審計(jì)策略的權(quán)限分割，達(dá)到安全保密要求。

該階段的終端檢查系統(tǒng)高度集成，能完成多種信息數(shù)據(jù)的獲取，優(yōu)勢(shì)有：

1并發(fā)檢查，服務(wù)器并發(fā)下發(fā)檢查指令，各客戶(hù)端獨(dú)立運(yùn)行；

2靜默檢查，檢查客戶(hù)端可以在后臺(tái)進(jìn)行，不影響計(jì)算機(jī)的正常使用；

3增加統(tǒng)計(jì)分析功能，待檢查結(jié)果可對(duì)檢查組內(nèi)結(jié)果進(jìn)行簡(jiǎn)單統(tǒng)一匯總。

三、亟待解決的技術(shù)問(wèn)題

依靠目前技術(shù)手段和管理政策，在終端計(jì)算機(jī)檢查實(shí)踐中，仍遇到了不少亟待解決的問(wèn)題，這些問(wèn)題按性質(zhì)可歸為技術(shù)問(wèn)題和管理問(wèn)題兩大類(lèi)。

其中技術(shù)層面上有：

1數(shù)據(jù)恢復(fù)和信息搜索技術(shù)，根據(jù)敏感關(guān)鍵字可以實(shí)現(xiàn)文件信息的常規(guī)檢索，也能通過(guò)磁盤(pán)扇區(qū)掃描進(jìn)行非常規(guī)文件信息檢索。但這種通過(guò)扇區(qū)內(nèi)ASCII碼進(jìn)行信息識(shí)別的技術(shù)，在掃描過(guò)程中會(huì)出現(xiàn)大量的亂碼等不可識(shí)別信息，系統(tǒng)識(shí)別到的僅僅是文件碎片中的個(gè)別敏感關(guān)鍵字，沒(méi)有根據(jù)掃描結(jié)果的前后關(guān)系進(jìn)行信息過(guò)濾的功能。

2多數(shù)檢查工具統(tǒng)計(jì)分析功能太弱，目前終端計(jì)算機(jī)檢查技術(shù)重點(diǎn)在于取證，而疏于統(tǒng)計(jì)分析。

3移動(dòng)介質(zhì)檢查分析技術(shù)，因移動(dòng)介質(zhì)種類(lèi)繁多，有U盤(pán)、打印機(jī)、掃描儀、讀卡器、光盤(pán)驅(qū)動(dòng)器、USB KEY等設(shè)備，只憑“序列號(hào)”已不能唯一確定一個(gè)移動(dòng)介質(zhì)，因此會(huì)造成誤判。

4客戶(hù)端程序不支持?jǐn)帱c(diǎn)續(xù)傳，因客戶(hù)端在終端機(jī)上運(yùn)行時(shí)占用一定的本地CPU、內(nèi)存資源，導(dǎo)致系統(tǒng)卡頓甚至死機(jī)、藍(lán)屏現(xiàn)象發(fā)生，這種非人為原因的重啟計(jì)算機(jī)，會(huì)造成客戶(hù)端程序無(wú)法繼續(xù)執(zhí)行。

四、云服務(wù)一下一代終端安全檢查解決方案

保密管理職責(zé)的加強(qiáng)，人員保密意識(shí)的增強(qiáng)，不能單方面提高整個(gè)終端檢查的質(zhì)量，仍需要關(guān)鍵技術(shù)的突破和方案的演進(jìn)。筆者認(rèn)為，云計(jì)算可以為下一階段終端計(jì)算機(jī)安全檢查技術(shù)方案提供強(qiáng)有力的支撐。

云計(jì)算服務(wù)是指基于互聯(lián)網(wǎng)的新型交付模式，這種模式提供可用的、便捷的、按需的訪問(wèn)。特點(diǎn)是規(guī)模巨大、虛擬化、高可靠性、高可擴(kuò)展性、按需服務(wù)，根據(jù)應(yīng)用范疇可分為私有云和公共云。

企業(yè)可以根據(jù)自身規(guī)模和需求，搭建用于企業(yè)內(nèi)部服務(wù)的私有云，并數(shù)據(jù)中心和計(jì)算中心一起，組成強(qiáng)有力的、智能信息檢索和統(tǒng)計(jì)分析平臺(tái)，在全民保密意識(shí)提高的同時(shí)，能夠主動(dòng)、按需進(jìn)行終端計(jì)算機(jī)的接入和檢查，并獲取可信的統(tǒng)計(jì)分析報(bào)告。

基于云服務(wù)的終端計(jì)算機(jī)安全檢查技術(shù)體系架構(gòu)原理為，使用大量高性能服務(wù)器組成服務(wù)器集群，通過(guò)虛擬化服務(wù)構(gòu)建共享式基礎(chǔ)設(shè)施，部署分布式操作系統(tǒng)、非結(jié)構(gòu)化數(shù)據(jù)庫(kù)系統(tǒng)，應(yīng)用高端的數(shù)據(jù)處理模型，搭建統(tǒng)一服務(wù)平臺(tái)，終端計(jì)算機(jī)客戶(hù)端只要接入云即可按需享用計(jì)算與處理資源，相對(duì)于目前單服務(wù)器運(yùn)行，這種檢查方案的優(yōu)勢(shì)主要在于：

1分布式存儲(chǔ)與計(jì)算的可靠性高，服務(wù)器集群報(bào)告解析能力強(qiáng)，智能化高。在集群內(nèi)可部署智能分析工具，如神經(jīng)網(wǎng)絡(luò)算法，進(jìn)行多方面的統(tǒng)計(jì)分析和報(bào)表生成。

2服務(wù)器端和客戶(hù)端同時(shí)保存檢查進(jìn)度，支持隨時(shí)接入隨時(shí)檢查，并支持?jǐn)帱c(diǎn)續(xù)傳。

五、總結(jié)

如今，國(guó)家和社會(huì)各界對(duì)信息安全保密問(wèn)題的高度重視，促進(jìn)了終端計(jì)算機(jī)安全檢查技術(shù)的不斷提升和改進(jìn)，終端檢查技術(shù)的變革同樣督促著保密管理體系的完善，要有效杜絕泄密違規(guī)事件的發(fā)生，必須以管理為前提，以技術(shù)為手段。采用云計(jì)算服務(wù)這一IT領(lǐng)域先進(jìn)的技術(shù)和理念，定能為做好軍工科研生產(chǎn)單位的迎檢工作提供強(qiáng)有力的幫助，最大限度的避免信息安全事件帶來(lái)的經(jīng)濟(jì)財(cái)產(chǎn)上的損失。