计算机终端保密检查检查工具技术白皮书

JLB计算机终端保密检查工具

技术白皮书

北京金路标科技有限公司

采购咨询：

QQ：1365081810

邮件：baomiyewu@

软件名称：计算机终端保密检查工具版本：V6.0

目录

1.研发背景 (1)

2.适用范围 (1)

3.涉密信息系统检查取证工具的技术要求 (1)

4.产品功能 (2)

4.1涉密计算机检查 (3)

4.2非涉密计算机检查 (4)

4.3增强功能 (5)

5.产品优势 (6)

6.典型用户 (7)

7.性能指标 (7)

8.检测环境 (8)

1.研发背景

国家保密机关为例加强对涉密计算机的管理已颁布了许多政策和法规，这些政策和法规在实际工作中执行的怎么样呢？同时只有发现了问题，才能寻找解决问题的办法，进而有效的教育涉密人员自觉遵守保密的规定。因此，需要一款有效的检查取证工具。它的有效性不仅要体现保密政策的要求，而且还能发现隐藏的问题；不仅性能先进，而且还要可靠和易用。为此我们的研发人员认真的研究了国家对涉密计算机的管理政策，大量走访了各级保密管理人员，力求以公司技术优势去满足这些需求，从而奉献出一款有效的检查取证工具。

2.适用范围

该系统为安全保密检查人员提供了强大的技术手段，按照“上网不涉密、涉密不上网”的原则，能够准确、全面、有效地检查出计算机存在的违规行为，辅助安全保密检查人员提出安全防护完善意见。该工具适用于信息安全执法机构及其它指定的政府及关键部门的专用检测工具，具有极大的专业性和专用性。

3.涉密信息系统检查取证工具的技术要求

以专用介质为载体的涉密信息系统检查取证工具首先必须满足国家关于介质安全性的要求，消除介质使用中泄密隐患，确保国家秘密安全；其次是要准确无误地检查出涉密计算机的各种违规操作痕迹，检查结束后能自动生成检查报表，为检查取证提供有力证据。

1.采用符合要求的专用移动存储介质，提高介质自身的安全防护能力

由于涉密信息系统检查取证工具需要基于一个可移动的存储设备为载体，而普

通移动存储介质无法满足涉密信息系统的特殊要求，应逐步淘汰或禁止使用，

工具应采用具有安全保密功能的专用介质；

2.对于“物理隔离”要求的检查

标准要求涉密计算机在任何条件下，必须处于物理隔离状态，严禁接入与国际

互联网及公共信息网。

涉密信息系统检查取证工具应准确查出涉密终端的隔离状态，以及违规接入到

国际互联网及公共信息网的痕迹，并可以进行深度查找，达到只要涉密终端上互联网就能获得上网记录。

3.对于“接入的移动存储设备”鉴别

标准要求对可移动设备的接入进行鉴别，控制可移动设备的非授权接入。

涉密信息系统检查取证工具可以对移动存储介质交叉使用进行有效的检查，分注册表跟系统日志两方面，检查更全面。

4.产品功能

图1 产品功能示意图

图2 产品主界面图

本系统主要为安全保密检查工作提供专业、高效的技术手段，检查涉密网及非涉密网在运行中是否发生违规操作及不符合保密要求的操作行为，并对其检查的终端提出安全改进意见，其主要功能包括：

4.1涉密计算机检查

涉密计算机检查主要是检查计算机上网情况，并准确地对上网行为进行取证。

1)检查系统的基本信息内容有：

●被检查单位:被检查单位的名字。

●当前日期:当前日期。

●机器名称:被检查计算机的计算机名。

●操作系统类型:被检查计算机当前系统的类型。

●IP地址：被检查机器的IP地址。

●MAC(网卡)地址：被检测计算机网卡的物理地址。

●磁盘型号及磁盘物理序列号。

2)检查计算机的上网记录，主要分为常规搜索与深度搜索。常规检查是针对电

脑普通的数据检查取证，所获取的信息主要是存放的磁盘上没有删除的数据

信息；深度检查是采用最新的数据恢复技术，针对整个磁盘分区进行数据恢

复检查，把所有已删除的上网信息恢复出来并且生成详细的检查报告。

●检查系统与外部网络互联的信息

●检查虚拟ADSL拨号信息(PPPoE协议)

●检查拨号信息

●检查历史上网信息记录

●Cookies信息记录

●检查临时文件下的记录

●检查Temp文件下的上网记录

●检查收藏夹下的网络信息

3)系统安全检查主要是检查计算机的安全性，检查内容包括：

●检查计算机中存在的全部用户

●检查计算机中存在的共享列表

●检查计算机系统开放的各个端口

●检查计算机操作系统的相关信息

●检查U盘的使用记录

4)系统信息检查主要检查计算机的系统安装信息，计算机注册单位，机器组成

信息及名称等一些系统信息。

4.2非涉密计算机检查

1)文件操作记录检查，主要分为常规搜索与深度搜索。文件记录常规检查，主

要是针对计算机曾经处理过的文件操作记录的检查取证，所检查的信息数据都是存放的磁盘中的数据，此检查项主要是查看计算机是否违规处理涉密信息；文件记录深度检查是相对于文件记录常规检查而命名的，它主要采用数据恢复技术，把磁盘中已经删除的文件操作记录，恢复出来并形成的报告的格式，供用户查看在删除的文件操作记录中是否存在涉密文件。

●检查历史文件操作记录

●检查临时文件操作记录

●检查最近操作的文档信息

●检查系统数据库中的文档操作记录

2)文件信息搜索实现在磁盘中指定文件类型的搜索，按文件内容及文件标题进

行数据搜索，可以设置查找文件的类型，可以设置查找到文件前后的字节长

度，可以设置信息的条数，可多个磁盘一起进行检查, 还可以根据密级文档

搜索功能将更快更准的搜索出保密文件。

3)Office文件操作记录是对计算机中office文件的历史操作记录的检查，包

括文件名，文件格式及其所在盘符。

4)删除文件恢复可以对计算机上已删除的文件进行恢复，包括对可疑的上网记

录和文件操作记录的恢复。

5)对计算机硬盘中所存储的信息根据预设的关键词进行片段恢复，能更全面的

查出涉密信息隐患。

4.3增强功能

违规接入检查主要是检查终端中使用过的移动存储设备记录。

1)U盘记录检查清理是检查USB设备深层历史使用记录的信息，分注册表跟系

统日志两方面。检查内容包括设备名称、驱动类型、序列号以及使用时间等，

并对其进行彻底清理。

2)上网记录及文件记录清理主要是清理计算机内的历史上网记录和文件操作

记录。

3)软件选择性卸载是对计算机上现有的所有软件卸载，包括网络软件的全部或

分项选择性卸载。

4)聊天记录及邮件检查主要检查的是QQ，MSN，OUTLOOK邮件，FOXMALL

邮件的历史文件资料的交流记录。包括在此计算机上历史登陆的所有QQ，

MSN软件用户的历史聊天记录及邮件收发记录。

5)磁盘自由空间清理功能是在不损坏磁盘的基础上，只对自由空间进行清理，

不会损坏现有的文件和系统盘，任何恢复工具都不能对所清理过的磁盘内容

进行恢复。