中国兵器深度保密检查工具用户手册2.1

中国兵器深度保密检查工具
用户手册
中国兵器工业信息中心
2008年8月8日
目录
一、简介 (1)
二、一键化检查 (4)
三、专业化设置 (7)
3.1 设置检查基本信息 (7)
3.2 设置报警信息关键字 (7)
3.3 设置上网强力搜查参数 (11)
3.4 设置检查项 (13)
3.4.1 系统信息 (13)
3.4.2 安装软件 (14)
3.4.3 硬件信息 (15)
3.4.4 系统服务 (15)
3.4.5 系统补丁 (15)
3.4.6 系统关键策略 (16)
3.4.7 进程信息 (16)
3.4.8 系统日志 (17)
3.4.9 打开端口 (17)
3.4.10 自启动项目 (18)
3.4.11 共享目录 (18)
3.4.12 打印机 (18)
3.4.13 网上邻居 (19)
3.4.14 IE::TempFile (19)
3.4.15 IE::Cookie (19)
3.4.16 IE::TypedUrl (19)
3.4.17 Explorer::Recent (19)
3.4.18 Explorer::RunMRU (20)
3.4.19 Office::Recent (20)
3.4.20 文件夹视图 (20)
3.4.21 USB存储设备 (21)
3.4.22 USB设备 (21)
3.4.23 系统缓存图标 (22)
3.4.24 缓存应用程序 (22)
四、智能化报表 (23)
五、深度USB检查工具 (24)
5.1 USB存储设备检查 (25)
5.2 USB设备检查 (25)
5.3 驱动设备安装日志检查 (26)
六、上网记录强力搜索 (27)
七、关键字搜索 (29)
八、磁盘低格检查 (31)
九、磁盘内容查看 (32)
十、标密软件管理系统 (33)
一、简介
“中国兵器深度保密检查工具”由中国兵器工业集团公司保密办和中国兵器工业信息中心联合研制。

“中国兵器深度保密检查工具”可以检查信息系统（涉密与非密）的6大类24项检查内容。

分别是：
(一)系统信息：包括系统常规信息（CPU、内存、操作系统、硬盘、用
户信息、网卡配置信息、屏幕保护程序信息）、安装软件、硬件信息、系统服务、系统补丁、系统关键策略。

(二)系统运行日志：包括系统日志、运行进程、打开端口、自启动项目、
共享目录、打印机、网上邻居。

(三)上网记录：包括上网临时文件、COOKIE、上网地址等。

(四)文件操作记录：Explorer::Recent（资源管理器最近文件记录）、
Explorer::RunMRU（资源管理器启动文件记录）、Office::Recent（办公
文档最近文件记录）、文件夹视图（所有访问的文件夹记录）。

(五)USB设备记录：包括USB存储设备记录、USB设备记录（所有USB
设备记录）。

(六)程序运行记录：包括系统缓存图标（所有运行过的应用程序图标）、
缓存应用程序（所有运行过的应用程序名称）。

USB 检查工具、上网记录强力搜索工具、标密软件管理工具、磁盘低格检查工具、磁盘内容查看工具、关键字搜索工具。

深度USB检查工具可以检查所有USB设备（USB的鼠标、键盘、数码
相机、手机、摄像机、MP3、MP4等）的品牌、型号、序列号、使用时
间等等，检查深度远远大于目前各检查机构采用的国产软件和国外软
件。

上网记录强力搜索工具可以强力搜索上网记录，包括名称、上网时间、
上网次数等等，即使是计算机通过擦除软件多次擦除，或者格式化重新
安装系统，仍可以强力搜查上网记录。

该工具还可以强力搜查使用的
Office文档、照片、音乐等文件。

标密软件管理工具可以检查涉密计算机的涉密文件是否及时、正确标
密，非涉密计算机是否存在涉密文件，低涉密计算机违规存储涉密计算
机。

磁盘低格检查工具可以检查磁盘是否进行过低格或者进行过擦除处理。

磁盘内容查看工具可以以二进制或者字符串的方式查看整个磁盘。

关键字工具可以对磁盘进行全盘按关键字搜查，重点检查非涉密计算机
是否违规存在涉密信息，同时可以检查低密级计算机是否存在高密级信
息。

通过24项检查内容和六大工具，“中国兵器深度保密检查工具”可
以有效的检查违规使用U盘、U盘内外网交叉使用、系统漏洞和木马、违规上互联网、上互联网计算机存储涉密信息、系统口令更改不及时、违规使用红外及蓝牙设备、系统关键策略设置不当等问题。

“中国兵器深度保密检查工具”简单易用，操作简便，是保密管理人员检查涉密信息系统的有效工具。

具有四大特点：
一是一键化检查；
二是专业化设置；
三是智能化报表；
四是傻瓜化操作。

二、一键化检查
第一步：点击工具栏“开始检查”按钮或者同时按CTRL+F键，弹出“检查参数设置”对话框；
第二步：填写基本检查信息，点击“确定”按钮或者直接按回车键（Enter），
开始检查。

第三步：点击工具栏“生成报表”按钮或者直接同时按CTRL+R 键，系统开始为本次检查生成统计报表。

统计报表中红色显示的均表示检查出来了潜在的问题，需要检查人员引起注意。

统计报表格式如下：
第四步：点击工具栏“保存文件”按钮，就可以将本次的检查结果保存到U盘或者本地硬盘中了。

第五步：点击工具栏“打印”按钮，就可以将本次的检查结果打印出来。

注意：如果在打印的时候，没有将检查结果完整打印出来，请将检查
报表拖动一下，再打印即可。

三、专业化设置
“中国兵器深度保密检查工具”可以专业的对检查项、检查报警项进行设置。

点击工具栏“参数设置”按钮，弹出检查项设置对话框。

整个检查项设置分为三大部分，分别是：设置检查基本信息、设置检查项、设置报警信息关键字。

3.1 设置检查基本信息
设置的检查基本信息保存在当前软件的设置中，用于生成统计报表。

3.2 设置报警信息关键字
通过设置报警信息关键字，“中国兵器深度保密检查工具”可以对检查到的
所有历史根据关键字进行红色高亮显示，并且在生成的统计报表中起始位置突出红色显示。

在产品出厂时已经对常见的需要引起注意的检查项进行了初始化设置。

设置报警信息关键字包括三大部分：一是常见报警信息关键字及类型、二是补丁安装时间与发布时间的最小报警周期、三是用户口令修改最小周期。

以下分别介绍。

常见报警信息关键字及类型
设置补丁报警条件
设置用户密码修改最小周期
3.3 设置上网强力搜查参数
上网强力搜查记录默认都是红色报警显示，但是可以设置不需要红色报警信息的信息，例如about:home等内网信息。

3.4 设置检查项
在设置检查项中：IE历史记录就包括了IE::TempFile、IE::Cookie、IE::TypedUrl，Explorerl历史记录就包括Explorer::Recent、Explorer::RunMRU。

3.4.1系统信息
●包括CPU型号、CPU主频；
●内存容量；
●操作系统型号、操作系统版本、操作系统安装时间；
●硬盘大小、硬盘分区、硬盘序列号；
●用户名称、用户描述、用户状态（启用或停用）、上次登录时间、总登录次
数、上次设置密码时间、密码错误次数，根据设置的密码修改最小周期判断密码修改不及时情况，红色突出显示；
●网卡属性、地址类型（静态IP地址或动态IP地址）、IP地址、物理地址、
子网掩码、网关地址、DNS服务器。

●是否设置屏幕保护程序、屏蔽密码、屏幕保护程序等待时间等等。

3.4.2安装软件
安装软件检查系统内安装的所有软件，检查内容包括：名称、安装位置、安装时间等。

红色显示需要注意的报警信息。

3.4.3硬件信息
硬件信息检查系统内所有的硬件信息，检查内容包括：设备名、硬件ID、类型、状态（启用、停用）。

红色显示需要注意的报警信息。

3.4.4系统服务
系统服务检查系统内所有安装的服务，根据设定的关键字对需要报警的服务红色显示，检查内容包括：名称、描述、状态、启动类型。

红色显示需要注意的报警信息。

3.4.5系统补丁
系统补丁检查系统内安装的补丁、系统没有安装的补丁、系统没有及时安装的补丁（根据系统补丁的发布时间、安装时间判断是否安装及时）。

红色显示需要注意的报警信息。

3.4.6系统关键策略
系统关键策略是指涉密计算机的口令更改周期、密码长度、网络访问必须满足BMB17和BMB22里的相关规定。

3.4.7进程信息
进程信息检查系统内当前运行的所有进程信息，检查内容包括：进程名称、运行路径、运行命令等。

3.4.8系统日志
系统日志检查系统所有“错误”和“警告”日志，检查内容包括：类型、类别、时间、来源、事件、计算机、描述。

3.4.9打开端口
打开端口检查系统内所有使用网络的程序所使用的端口号，检查内容包括：协议、本地IP:端口、远程IP:端口、程序名、路径，是检查系统连接互联网的重要证据之一。

3.4.10自启动项目
自启动项目检查系统开机自启动的所有软件项目，检查内容包括：名称、路径、位置。

3.4.11共享目录
共享目录检查系统内设置的共享目录，检查内容包括：共享文件夹名称、共享路径、说明、类型、用户数限制、客户重定向、管理共享。

所有共享目录信息以红色显示报警。

3.4.12打印机
打印机检查系统内曾经使用过的以及正在使用的打印机，检查内容包括：打印机名称、打印机驱动名称、第一次使用时间。

红色报警显示网络共享打印机。

3.4.13网上邻居
网上邻居检查计算机曾经连接过的计算机名称、共享文件名称，检查内容包括：名称、创建时间、修改时间和类型。

红色报警显示所有检查到的内容。

3.4.14IE::T empFile
IE::TempFile即是IE的临时文件，检查内容包括：URL（临时文件地址）、访问时间、修改时间。

3.4.15IE::Cookie
IE::Cookie是浏览器浏览网站保存下的Cookie，是判断系统是否连接互联网的重要证据之一。

检查内容包括：Cookie名称、访问时间、修改时间。

3.4.16IE::TypedUrl
IE::TypedUrl是浏览器里键盘输入的网址历史记录，是判断系统是否连接互联网的重要证据之一。

检查内容包括：URL（网址名称）。

3.4.17Explorer::Recent
Explorer::Recent是系统处理过的所有文件的历史记录，检查内容包括：文件名称、创建时间、修改时间、访问时间。

3.4.18Explorer::RunMRU
Explorer::RunMRU是我的电脑地址栏内和“开始”“运行”对话框通过键盘输入的历史记录，检查内容包括：名称。

3.4.19Office::Recent
Office::Recent检查系统内使用的Office文件历史记录，检查内容包括：文件名称、创建时间、修改时间、访问时间、作者、最后一次保存者、最后一次保存的时间、最后一次打印的时间等等。

3.4.20文件夹视图
文件夹视图检查系统内所有用户浏览过的文件夹信息，包括移动存储介质上的文件夹信息，即使该文件夹已经被删除，检查内容包括：文件夹名称、最后一次访问时间。

3.4.21USB存储设备
USB存储设备检查系统内曾经使用过的所有USB存储设备，包括U盘、移动硬盘、MP3、MP4等。

检查信息包括：驱动程序名称、设备名称、设备类型、首次使用时间、最后使用时间。

红色显示需要注意的报警信息。

3.4.22USB设备
USB设备检查系统内曾经使用过的所有USB设备，包括USB存储设备、USB鼠标、USB键盘、USB的手机、摄像机等等。

检查信息包括：厂商、设备类型、设备配置信息、设备服务、最后一次使用时间。

红色显示需要注意的报警信息。

3.4.23系统缓存图标
系统缓存图标是指的是将系统将每个曾经启动过的应用程序的图标保存下来，提高该应用程序下次启动时的速度。

因此，通过该项记录，可以判断计算机上是否安装了某种违规应用程序，及时该应用程序被卸载。

3.4.24缓存应用程序
缓存应用程序可以检查计算机曾经启动过的应用程序。

系统将每个曾经启动过的应用程序的名称、路径和描述保存下来，提高该应用程序下次启动时的速度。

因此，通过该项记录，可以判断计算机上是否安装了某种违规应用程序，及时该应用程序被卸载。

四、智能化报表
点击工具栏“生成报表”按钮或者直接同时按CTRL+R键，系统开始为本次检查生成统计报表。

五、深度USB检查工具
深度USB检查工具检查三大项：一是常规USB存储设备检查，即是U盘、移动硬盘、MP3、MP4等USB存储设备检查；二是所有USB设备检查，包括USB连接的数码相机、手机、摄像机等；三是所有USB设备的安装日志。

5.1 USB存储设备检查
USB存储设备检查，可以检查U盘记录、删除U记录。

由于在使用U盘时，系统产生大量的痕迹和手工删除记录的不全，建议在检查时勾选“显示不完整记录”。

在对U盘记录进行全部删除是，建议勾选“快速删除”项，提高删除速度。

如果是对U盘记录逐一删除（点杀U盘记录），不能勾选“快速删除”项，否则会破坏其他U盘使用记录信息。

对U盘记录可以按住CTRL键或者Shift键进行多选。

5.2 USB设备检查
USB设备检查可以检查USB连接的数码相机、手机、摄像机等记录，并对其进行删除，如果检查到数码相机、手机、摄像机、USB的Modem均红色告警显示。

检查所有驱动设备的安装日志，红色告警显示USB设备安装日志。

六、上网记录强力搜索
在被检查计算机使用了安全删除软件（CleanDisk等）进行了安全清理、粉碎文件、格式化重装系统等情况下，上网记录强力搜索仍然能够强力搜查到计算机内的上网痕迹。

不但如此，还能检查到使用的Offiice文件、图片、数码相机、
摄像机、手机、U盘等信息。

清除，当关键字为空时，清除所有记录。

七、关键字搜索
在连接互联网计算机硬盘被安全删除软件（CleanDisk等）进行安全删除、安全清理、格式化等情况下，通过关键字搜索仍然能够检查到是否存在涉密信息，低密级计算机是否违规存放高密级信息。

八、磁盘低格检查
可以检查硬盘是否被低级格式化。

九、磁盘内容查看
磁盘内容查看，可以按簇查看磁盘的内容。

十、标密软件管理系统
可以检查Office文档是否正确标注密级，同时可以进行批量标密。