涉密信息系統計算機終端網絡化保密技術檢查初探

康昊 王陽 陳超

引言：隨著涉密信息系統在軍工單位的廣泛應用，傳統的保密技術檢查手段已經不能完全適應新形式下安全保密工作的要求，保密技術檢查問題日益突出。本文提出一種基于網絡遠程檢查的取證系統，通過該系統發送檢查指令，對終端主機進行批量的遠程檢查。解決了單機檢查用人多，用時長，檢查無法實現全覆蓋、常態化及無法形成有效數據統計分析的問題。

一、前言

隨著我國信息化建設的快速推進與發展，重要信息越來越多的以電子文檔形式在計算機、移動存儲介質等電子載體中出現。計算機及其網絡已成為泄密的重要隱患，是涉密信息系統保密管理的重中之重。實踐表明，通過保密技術檢查來發現、查處泄密事件和嚴重違規行為是當前信息化條件下做好保密工作的有力抓手，是增強保密技術防范能力的必要手段。

二、計算機終端保密檢查現狀

與傳統印刷品文檔處理方式相比，計算機終端存在電子文檔易修改、易刪除、易復制，操作痕跡易破壞的特點。雖然大多數軍工單位和部門都已經應用安全保密檢查工具定期對單位內部計算機進行檢查，以實現對泄密和違規行為的管理，但從總體上說我們的技術檢查水平還不高，發現失泄密隱患的能力還不強，技術檢查裝備和檢查手段也還滯后，因此更要加大加強保密技術檢查力度和措施，來提高發現失泄密隱患的能力。具備較強針對性的計算機終端保密技術檢查工具應運而生，相關工具的應用經歷了以下幾個發展階段。

第一個階段，將常用的查看類工具軟件拷貝到計算機終端上，通過在操作系統緩存文件、注冊表、系統日志等位置搜集信息，分析出違規操作痕跡。相比手工查找的方式，檢查效率得到大幅提高，并具備了一定的分析辨別能力。

第二個階段，使用U盤為載體，參照保密技術檢查的實際工作特點，對相關工具軟件進一步集成，將檢查結果形成檢查報告，并導出到U盤完成取證工作。該階段軟件同時集成了文件恢復功能，可以搜集到已經刪除的操作痕跡，對違反保密規定的操作起到較強的震懾作用。

第三個階段，使用光盤為載體，集成了更為成熟的工具軟件和Windows PE（Windows PreInstallation Envionment；Windows預安裝環境），能夠在各種軟件環境下對計算機終端執行保密技術檢查。該階段產品同時包含一塊受寫保護的U盤，便于檢查報告的存儲。存儲過程使用定制的私有接口，避免了在檢查中傳播計算機病毒的尷尬。

計算機終端保密技術檢查工具的出現，特別是數據恢復與信息檢索技術的應用，使違規操作痕跡無處隱藏，大大增強了保密檢查工作的權威性與威懾力，提高了計算機終端使用人員的保密意識，真正起到“以查促防”的作用。然而面對單位中數量眾多的涉密內網計算機終端，保密技術檢查往往僅能采用抽查的方式，檢查效率低下，耗費時間長，人力、物力投入大，很難保證及時、全面的保密檢查。目前，信息安全保密檢查工具使用U盤和光盤的方式也受到限制，對于計算機終端的檢查方式必須轉以網絡化方式進行。

三、基于網絡化的保密查檢設計方案

采用一種基于網絡遠程檢查的取證系統，通過系統發送檢查指令、可定時的對終端主機進行批量的遠程檢查，能夠解決單機檢查取證時檢查用人多，用時長，無法形成所有數據統計分析的問題，可以實現保密檢查的網絡化、常態化、綜合化，從而保證保密檢查的全面性和實時性。

3.1 系統功能設計

該系統主要分為三大功能模塊，如圖1所示：

（1）保密檢查管理中心

發送主機檢查指令，瀏覽檢查報告、進行報告統計分析，系統參數設置等相關功能。

（2）計算機終端檢查軟件

安裝在計算機終端上的保密檢查軟件，接收數據通訊模塊下發的檢查指令、進行自動檢查，檢查完畢后經數據通訊服務器上傳檢查報告。

（3）數據通訊模塊

接收保密檢查管理中心的檢查指令，轉發給計算機終端檢查軟件、并上傳計算機終端軟件生成的檢查報告。

3.2 系統實施方案

系統采用C/S（客戶端/服務器）架構模式。如圖2所示，每臺受檢計算機終端上安裝客戶端程序，在接收到“檢查指令”后，執行保密技術檢查。檢查可設計為靜默執行，并自動調節系統資源占用率，使用不影響計算機終端使用者的正常工作。檢查結束后，將生成的檢查報告經數據通訊服務器，傳送到保密檢查管理中心。

在網絡內搭建服務器端。登記已安裝客戶端的計算機終端信息。保密管理員登錄后，可向指定的計算機終端發送“檢查指令”。“檢查指令”可以包含檢查項目的選擇、檢索關鍵字的設置、終端資源占用策略設置、檢查開始時間等信息。檢查運行期間，服務器端保持與客戶端程序的通訊，隨時掌握各計算機終端檢查進度。檢查報告收集完成后，可對相關字段進一步加工，得出包括U盤交叉混用、違規上網地址、涉密文件操作記錄、違規軟硬件安裝等具有違規操作痕跡的計算機終端分布情況。匯總連續幾次檢查的數據，可以分析出違規操作的發展趨勢，體現保密整改工作效果，指導一下整改工作方向。

服務器端登錄可設計為B/S（瀏覽器/服務器）架構，保密管理中可在網絡內任意節點登錄，完成相關管理任務。保密管理員足不出戶，即可完成網絡內計算機終端的保密技術檢查，并形成詳細工作報表。

該實施方案具有以下幾個優勢：

（1）并發檢查，以往檢查單臺計算機終端所需的時間，即可完成對所有計算機終端的保密檢查；

（2）分布式檢查，保證保密檢查有效性，且無須增加服務器負載；

（3）登記計算機終端安裝信息，易于查找保密檢查死角，實現全面覆蓋；

（4）靜默檢查，不影響計算機終端使用者正常工作，不受人為因素干擾；

（5）統計分析功能，便于對保密檢查情況的整體了解；

（6）使計算機終端保密檢查成為常態化工作，便于及時發現泄密隱患與泄密漏洞，“以查促防”，提高整體保密防護能力。

3.3 系統分級擴展

面對分支機構較多，特別是存在異地分支機構的單位，可在每個分支機構搭建服務器端，分別對本地的計算機終端進行登記管理；各服務器端能過網絡進行級聯，實現多級機構的統一管理。

在各級服務器端建立通訊，下級服務器端可轉發上級服務器端發送的“檢查指令”，那么，總部的保密管理員不出辦公室，就可以隨時對偏遠地區的分支機構發起計算機終端保密檢查。

3.4 系統功能擴展

基于前文設計的架構模型，結合保密管理工作特點，在系統設計中還可擴展以下功能。

（1）敏感信息實時監測

在客戶端程序中，集成實時監測功能模塊，捕獲常見的文件操作行為，如保存、關閉、移動、發送郵件、即時通訊工具傳送等，一旦在檢索中發現預設的敏感關鍵字，即時向服務器端發送“報警信息”。保密管理員可能過“報警信息”及時發現并處理違規操作敏感文件的行為。

（2）臺賬登記管理

在客戶端程序中，集成計算機終端的軟硬件設備信息搜集功能，匯總到服務器端形成管理臺賬。客戶端程序還可將捕獲到的計算機終端軟硬件設備變更信息提供給服務器端，形成詳細變更日志，便于保密管理員的管理工作。

（3）其他保密防護功能

該系統還可將其他目前常見的保密防護功能進行集成，包括違規外聯監控與報警功能、網絡準入控制功能、移動存儲介質識別管理功能、主機行為審計功能、補丁與軟件分發功能、存儲介質信息消除功能等，從而形成一套以計算機終端保密技術檢查為核心，查防結合的保密技術體系。

四、結語

綜上所述，通過采用基于網絡遠程檢查的取證系統，突破了傳統的保密技術檢查中無法實現全覆蓋、無法形成常態化、無法形成有效數據統計分析的瓶頸，實現對涉密網內計算機終端網絡化檢查的集中控制和檢查數據的綜合利用，從而有效提升安全保密管理的技術水平。通過常態化檢查將涉密信息系統可能存在的安全漏洞和涉密風險有效降低，實現從檢查到管理的提升。

（作者單位：北京臨近空間飛行器系統工程研究所）