終端計算機(jī)安全檢查技術(shù)沿革與發(fā)展

張超

【摘要】信息安全保密管理工作的重點(diǎn)和計算機(jī)終端檢查的難點(diǎn)，促進(jìn)了計算機(jī)安全檢查技術(shù)的發(fā)展。本文回顧了終端檢查技術(shù)經(jīng)歷的三個階段，并指出在實(shí)踐中遇到的亟待解決的難題，由此提出基于云計算構(gòu)建統(tǒng)一安全保密管理平臺，實(shí)現(xiàn)高效的數(shù)據(jù)采集，報告統(tǒng)計分析功能。

【關(guān)鍵字】計算機(jī)安全檢查 檢查技術(shù) 云計算

前言

為滿足單位信息安全保密管理要求，落實(shí)終端計算機(jī)信息設(shè)備安全使用和管理策略，終端計算機(jī)檢查成了信息安全保密建設(shè)工作的重要環(huán)節(jié)，計算機(jī)信息系統(tǒng)使用和管理是信息安全保密管理工作的重點(diǎn)。

隨著信息化程度的提升，企事業(yè)單位各項(xiàng)科研、項(xiàng)目工作中產(chǎn)生、存儲、處理和傳輸?shù)暮Ａ繑?shù)據(jù)，給計算機(jī)終端安全檢查工作帶來了很大的難度。另外，電子數(shù)據(jù)具有易刪除、易篡改，數(shù)據(jù)量大，結(jié)構(gòu)復(fù)雜等特點(diǎn)，使得終端數(shù)據(jù)的采集獲取工作，成了計算機(jī)信息檢查的難點(diǎn)。

保密管理工作的重點(diǎn)和計算機(jī)信息檢查的難點(diǎn)，促進(jìn)了計算機(jī)終端安全檢查技術(shù)的發(fā)展。

一、終端檢查技術(shù)概述

終端計算機(jī)檢查是計算機(jī)取證技術(shù)在信息安全保密工作中的具體應(yīng)用，終端檢查獲取的數(shù)據(jù)更加具體，涉及的檢查項(xiàng)目更加有針對性，檢查結(jié)果能直接指導(dǎo)保密管理工作，是軍工保密單位迎檢采用的主要檢查方法。

終端計算機(jī)取證過程分為以下幾個步驟：1主機(jī)數(shù)據(jù)的獲取2統(tǒng)計分析與匯總3違規(guī)事件的確認(rèn)4整改與復(fù)查5違規(guī)問題的關(guān)閉。

但計算機(jī)信息數(shù)據(jù)的易篡改、易偽裝，使得取證檢查并非一勞永逸，為保證檢測效率和效果，另需制定循環(huán)檢查機(jī)制，逐漸杜絕泄密違規(guī)事件，同時不斷改進(jìn)終端安全檢查技術(shù)以適應(yīng)新的檢查需求。

二、終端檢查技術(shù)沿革

一般而言，終端安全檢查技術(shù)經(jīng)歷了以下幾個主要的階段。

第一階段，硬盤鏡像拷貝階段。對要進(jìn)行檢查的終端計算機(jī)的磁盤進(jìn)行物理拆除，并通過技術(shù)手段把整盤數(shù)據(jù)鏡像到另外磁盤中，然后掛載到另外的計算機(jī)系統(tǒng)上，再利用常用的查看工具軟件檢查操作系統(tǒng)緩存文件、注冊表、系統(tǒng)日志等操作記錄，并人工分析出違規(guī)操作事件。該階段的主要缺點(diǎn)是硬盤鏡像速率低，檢查工具的集成化低，嚴(yán)重影響檢查效率。

第二階段，外接存儲式檢查階段。以計算機(jī)常用接口（USB、SATA）為突破口，外接大容量存儲設(shè)備、光盤驅(qū)動器等設(shè)備，啟動WindowsPE（Windows PreInstall Environment）系統(tǒng)，并集成更為成熟的工具軟件，將檢查結(jié)果形成檢查報告，導(dǎo)入到可存儲移動介質(zhì)完成檢查取證步驟。該階段同時集成了文件信息恢復(fù)技術(shù)，可以搜索已經(jīng)刪除或者格式化后的數(shù)據(jù)痕跡，對違反保密管理規(guī)定的行為起到威懾作用。

第三階段，基于網(wǎng)絡(luò)的終端檢查階段。在信息化進(jìn)程中，各單位根據(jù)工作需要建設(shè)了內(nèi)部非密網(wǎng)絡(luò)和涉密網(wǎng)絡(luò)，隨之而來的網(wǎng)絡(luò)終端設(shè)備也越來越多，需要檢查的項(xiàng)目內(nèi)容也越來越復(fù)雜。仍采用前兩種單機(jī)終端檢查方案，不僅需要投入大量人力、時間，后期的數(shù)據(jù)統(tǒng)計和報告量化也是難題。如今基于網(wǎng)絡(luò)的終端檢查方案應(yīng)運(yùn)而生，采用星型拓?fù)浣Y(jié)構(gòu)，對接入網(wǎng)絡(luò)的終端計算機(jī)并行地下發(fā)檢查指令。同時，在網(wǎng)內(nèi)設(shè)置保密管理員、系統(tǒng)管理員、安全審計員，實(shí)現(xiàn)終端檢查、系統(tǒng)參數(shù)設(shè)置、審計策略的權(quán)限分割，達(dá)到安全保密要求。

該階段的終端檢查系統(tǒng)高度集成，能完成多種信息數(shù)據(jù)的獲取，優(yōu)勢有：

1并發(fā)檢查，服務(wù)器并發(fā)下發(fā)檢查指令，各客戶端獨(dú)立運(yùn)行；

2靜默檢查，檢查客戶端可以在后臺進(jìn)行，不影響計算機(jī)的正常使用；

3增加統(tǒng)計分析功能，待檢查結(jié)果可對檢查組內(nèi)結(jié)果進(jìn)行簡單統(tǒng)一匯總。

三、亟待解決的技術(shù)問題

依靠目前技術(shù)手段和管理政策，在終端計算機(jī)檢查實(shí)踐中，仍遇到了不少亟待解決的問題，這些問題按性質(zhì)可歸為技術(shù)問題和管理問題兩大類。

其中技術(shù)層面上有：

1數(shù)據(jù)恢復(fù)和信息搜索技術(shù)，根據(jù)敏感關(guān)鍵字可以實(shí)現(xiàn)文件信息的常規(guī)檢索，也能通過磁盤扇區(qū)掃描進(jìn)行非常規(guī)文件信息檢索。但這種通過扇區(qū)內(nèi)ASCII碼進(jìn)行信息識別的技術(shù)，在掃描過程中會出現(xiàn)大量的亂碼等不可識別信息，系統(tǒng)識別到的僅僅是文件碎片中的個別敏感關(guān)鍵字，沒有根據(jù)掃描結(jié)果的前后關(guān)系進(jìn)行信息過濾的功能。

2多數(shù)檢查工具統(tǒng)計分析功能太弱，目前終端計算機(jī)檢查技術(shù)重點(diǎn)在于取證，而疏于統(tǒng)計分析。

3移動介質(zhì)檢查分析技術(shù)，因移動介質(zhì)種類繁多，有U盤、打印機(jī)、掃描儀、讀卡器、光盤驅(qū)動器、USB KEY等設(shè)備，只憑“序列號”已不能唯一確定一個移動介質(zhì)，因此會造成誤判。

4客戶端程序不支持?jǐn)帱c(diǎn)續(xù)傳，因客戶端在終端機(jī)上運(yùn)行時占用一定的本地CPU、內(nèi)存資源，導(dǎo)致系統(tǒng)卡頓甚至死機(jī)、藍(lán)屏現(xiàn)象發(fā)生，這種非人為原因的重啟計算機(jī)，會造成客戶端程序無法繼續(xù)執(zhí)行。

四、云服務(wù)一下一代終端安全檢查解決方案

保密管理職責(zé)的加強(qiáng)，人員保密意識的增強(qiáng)，不能單方面提高整個終端檢查的質(zhì)量，仍需要關(guān)鍵技術(shù)的突破和方案的演進(jìn)。筆者認(rèn)為，云計算可以為下一階段終端計算機(jī)安全檢查技術(shù)方案提供強(qiáng)有力的支撐。

云計算服務(wù)是指基于互聯(lián)網(wǎng)的新型交付模式，這種模式提供可用的、便捷的、按需的訪問。特點(diǎn)是規(guī)模巨大、虛擬化、高可靠性、高可擴(kuò)展性、按需服務(wù)，根據(jù)應(yīng)用范疇可分為私有云和公共云。

企業(yè)可以根據(jù)自身規(guī)模和需求，搭建用于企業(yè)內(nèi)部服務(wù)的私有云，并數(shù)據(jù)中心和計算中心一起，組成強(qiáng)有力的、智能信息檢索和統(tǒng)計分析平臺，在全民保密意識提高的同時，能夠主動、按需進(jìn)行終端計算機(jī)的接入和檢查，并獲取可信的統(tǒng)計分析報告。

基于云服務(wù)的終端計算機(jī)安全檢查技術(shù)體系架構(gòu)原理為，使用大量高性能服務(wù)器組成服務(wù)器集群，通過虛擬化服務(wù)構(gòu)建共享式基礎(chǔ)設(shè)施，部署分布式操作系統(tǒng)、非結(jié)構(gòu)化數(shù)據(jù)庫系統(tǒng)，應(yīng)用高端的數(shù)據(jù)處理模型，搭建統(tǒng)一服務(wù)平臺，終端計算機(jī)客戶端只要接入云即可按需享用計算與處理資源，相對于目前單服務(wù)器運(yùn)行，這種檢查方案的優(yōu)勢主要在于：

1分布式存儲與計算的可靠性高，服務(wù)器集群報告解析能力強(qiáng)，智能化高。在集群內(nèi)可部署智能分析工具，如神經(jīng)網(wǎng)絡(luò)算法，進(jìn)行多方面的統(tǒng)計分析和報表生成。

2服務(wù)器端和客戶端同時保存檢查進(jìn)度，支持隨時接入隨時檢查，并支持?jǐn)帱c(diǎn)續(xù)傳。

五、總結(jié)

如今，國家和社會各界對信息安全保密問題的高度重視，促進(jìn)了終端計算機(jī)安全檢查技術(shù)的不斷提升和改進(jìn)，終端檢查技術(shù)的變革同樣督促著保密管理體系的完善，要有效杜絕泄密違規(guī)事件的發(fā)生，必須以管理為前提，以技術(shù)為手段。采用云計算服務(wù)這一IT領(lǐng)域先進(jìn)的技術(shù)和理念，定能為做好軍工科研生產(chǎn)單位的迎檢工作提供強(qiáng)有力的幫助，最大限度的避免信息安全事件帶來的經(jīng)濟(jì)財產(chǎn)上的損失。