敏感审计工具使用介绍(保密检查与清理)

能邦敏感审查工具及具体应用介绍
南京能邦信息技术有限公司
一、数据泄密途径分析
1、内外网互联
内网电脑非法接入互联网的几种情况：
1.1、内外网网线互接、互换。

内网和外网中的连接设备（交换机）线路混插，内外网到终端的接口互换，没有完全的内外网物理隔离；
1.2、内网电脑有无线上网设备
内网中有些终端带有无线上网设备，如计算机的无线网卡，这样内网就可以通过无线直接连接到互联网；
1.3、内网电脑直接带出访问互联网
内网可移动电脑在没有管理授权的情况下直接带出内网环境，从而访问互联网；
1.4、内网中可以被外来电脑接入，从而造成间接泄密
内网环境中可以接受外来电脑的直接接入，外来任何电脑直接接入网线在没有授权的情况下就可以直接访问内网系统，从而造成内网数据的间接外泄。

2、移动设备使用
移动设备主要包括：U盘、移动硬盘、MP3/MP4、数码相机、手机等带存储的数码设备。

移动设备造成泄密的几种情况：
2.1、外网移动设备非法插入内网计算机；
在外网中使用的移动带存储的设备（U盘、移动硬盘等）拿到内网电脑中使用，造成内网数据通过移动存储设备外泄的可能性大大增加；
2.2、内网专用移动设备在外网电脑上使用；
固定的移动设备只能在内网电脑上使用，如果内网专用的存储设备私自拿到外网中使用，可直接导致内网数据的泄密；
2.3、个人所属移动设备在单位电脑上使用；
很多办公用户都有私人的U盘、数码相机等，这些设备自带存储功能，如拿到单位电脑上使用，可导致信息数据的外流；
3、文档泄密
各单位均有保密管理规定,并对信息内容所属密级有规定。

下面是文档泄密的几种情况：
3.1、外网电脑上存储了涉密文档信息；
外网电脑硬盘上不应该含有任何单位规定的涉密文档信息，
3.2、外网专用存储介质上存储有涉密文档信息；
各单位定义的外网专用存储介质（U盘、移动硬盘等）上不应存储有任何内网涉密的文档；
4、隐藏信息泄密
硬盘上面虽然从文件列表方面看不出有涉密文档，但可能计算机硬盘上面曾经存储过涉密文件，这些文件被删除了。

普通的文件删除操作是不彻底的，通过数据恢复技术可以将删除的涉密文档恢复出来。

目前有部分木马内置数据恢复功能，可通过恢复硬盘上面的数据进行窃密。

因此必须对计算机硬盘进行底层数据删除，在不影响现有存储数据的基础上对硬盘底层进行磁盘清零，确保曾经存储过涉密文档的硬盘无法恢复数据。

二、能邦敏感审查工具解决的问题
1、上网痕迹检查
上网痕迹包括：历史访问记录、硬盘各分区列表中产生的临时文件、收藏夹中各类保存过的网站；
2、移动设备插拔痕迹检查
能够检查出电脑USB接口上所有进行过的U盘、移动硬盘、数码卡等产品插拔记录及第一次、最后一次插拔时间；
3、涉密及敏感内容搜索
通过输入涉密或敏感相关的关键词（用户自定义），从文档内容中搜索包含这些关键词的文档，支持对Word、Excel、Powerpoint、PDF、TXT、htm等文档格式。

查找出结果后可进行相关粉碎、拷贝操作。

4、涉密或敏感数据销毁
对上述检查出的使用痕迹及涉密敏感数据进行销毁，销毁后无法用任何数据恢复技术进
行恢复。

5、磁盘缝隙清零
对磁盘缝隙进行清零操作可保证在不影响计算机现有数据的前提下，将磁盘中剩余空间用二进制0进行填写，磁盘缝隙清零后任何已经删除的文档均不能被数据恢复软件或数据恢复专业人员恢复出来。

6、产品特点及应用范围
产品特点：
①. 数据销毁：利用数据恢复深层技术审查敏感数据，敏感信息清理后任何涉密数据深度检查工具都不能查出数据内容；
②. 一键化操作：只要点点按钮就可实现机器上敏感数据的检查，对检查出来的数据文档可以进行转移备份。

应用范围：
“能邦*敏感审查工具”适用于政府、保密、军方、军工企业、金融、电信等国家重要部门与领域进行保密数据检查与清理，也适用于个人进行敏感或隐私文档检查与销毁。

三、能邦敏感审查工具使用方法
1、产品使用：
只要将能邦硬件插入计算机的USB接口，电脑会自动识别硬件并自动加载，如硬件自启动关闭则需要手动打开能邦硬件。

能邦敏感审查工具主界面如下图：
2、功能按钮使用介绍：
①.能邦敏感审查工具—上网痕迹审查点击上网痕迹审查后出现下图
注意事项：默认选中前三项，可选择暴力搜索浏览记录，对硬盘文件中暴露的上网历史记录进行全面彻底审查。

点击“取证”开始进行审查，“取证”结束后点击“擦除”进行上网痕迹的彻底销毁。

②.能邦敏感审查工具—USB设备痕迹审查
点击“审查”开始进行USB设备痕迹审查，点击“全部擦除”进行USB痕迹彻底销毁。

③.能邦敏感审查工具—敏感内容审查
“查找”后填入搜索内容的关键词，如：绝密;机密;秘密;研究报告;专利;法轮功，可根据行业涉密或重要关键内容设定搜索用的关键词，多个关键词之间用; 隔开；
“文件类型”指搜索的文档文件的后缀，如：*.doc|*.xls|*.ppt|*.pdf|*.txt|*.rtf，多个后缀之间用| 隔开；
“目录路径”指搜索文档内容的范围，同样可点击左边树形目录进行选择需查找的范围；
下方显示界面是显示出之前执行的查找结果，包括“搜索结果”、“文件内容”、“文件列表”，搜索结果当中逐行显示依据关键词所查找出的所有文件，选中任何文件后右键可以看到一系列功能选项，如“打开文件”等；
“文件列表”中可以看到依据上述要求搜索出的文件，可对其右键进行文档的备份、清理操作；
④.能邦敏感审查工具—磁盘缝隙擦除
点击“分析磁盘空间”开始分析硬盘空间大小及使用情况；
选中某个盘符后如D盘，点击“磁盘缝隙清零”对该盘符中所有未使用的空间进行数据擦除。

四、能邦敏感审查工具使用时的注意事项
1、请按照菜单按钮从上至下依次进行操作，
①.上网痕迹审查
②.USB设备痕迹
③.敏感内容审查
④.磁盘缝隙擦除
2、“上网痕迹审查”中“暴力搜索http浏览记录”搜索时间较长，可先不选中，或只是对
C盘进行搜索；
3、“USB设备痕迹”中会搜索出所有USB设备的插拔记录，缺省只对USB存储设备进行
痕迹擦除，用户就注意有些打印机带USB存储功能，此类设备在执行擦除操作时不要钩选；
4、“敏感内容审查”中应选对涉密或行业比较重要的关键词或领导姓名，并选好文件类型，
对没选中的文件类型不进行内容搜索；对搜索结果的文档进行“粉碎”前最好应进行拷贝备份，否则“粉碎”后无法恢复；
5、执行“磁盘缝隙擦除”前应确保硬盘上面没有需要进行数据恢复的内容，否则进行“磁
盘缝隙擦除”后无法进行数据恢复。

五、南京能邦公司介绍
南京能邦信息技术有限公司简介
•国际反病毒组织(ICSA)成员单位
•江苏省公安厅信息安全事件应急响应单位
•江苏省国家保密局授权涉密数据恢复与销毁定点单位
•信息安全技术研究、安全资讯与服务机构
•安全产品研发与生产机构。