研發調試類計算機信息安全防范與檢查技術研究

殷浩

一、引言

計算機和信息系統管理是軍工企業保密管理的重要內容，隨著涉密信息系統測評、保密資格認定工作的深入推進和各單位保密管理機制的不斷構建與完善，計算機和信息系統保密管理水平有了長足的進步。但因核心關鍵技術受制于人，保密技術防范手段相對滯后，一些對特殊操作系統、應用軟件有需求的研發調試使用的計算機，無法安裝安全保密產品，存在一定的安全風險。本文從作者單位實際使用情況出發，分析了研發調試類計算機保密管理存在的問題，從管理和技術兩個方面論述了如何加強研發調試類計算機的信息安全防范，最后總結了研發調試類計算機安全保密檢查技術手段。

二、安全風險隱患分析

1、研發調試使用的計算機一般對操作系統、應用軟件有特殊需求，會發生與安全保密產品產生沖突、不兼容等情況。身份鑒別、端口控制、安全審計等安全產品一般無法為研發調試使用的計算機提供服務，技術防護措施相對減弱。

2、研發調試使用的計算機一般單機使用，不能像涉密信息系統中的計算機一樣，統一部署、集中運維。管理難度、工作強調相對變大。

三、信息安全防范對策

1、健全管理制度，加大監督檢查力度。按照國防科技工業安全保密八個集中管理的要求，計算機的采購由指定部門統一進行配置和管理。嚴格準入審批管理，經安全保密檢查合格后方可使用。統一標識管理，明確涉密屬性和責任主體。建立使用記錄登記本，詳細記錄開關機、各類端口使用情況等。保密管理部門定期對計算機的使用情況進行監督檢查。

2、加強教育培訓，增強保密意識。開展計算機信息安全保密宣傳教育活動，每月收集相關教育培訓材料提供員工學習。參照專兼職保密員管理模式，組建專兼職信息員，由各部門懂計算機技術的人員兼任，經業務培訓后負責本部門計算機安全保密管理工作。

3、采用技術手段，提高防范水平。采用封條、玻璃膠的方式對計算機機箱、端口進行物理封堵，履行審批手續后方可開啟使用。由專兼職信息員管控計算機BIOS設置、計算機賬戶權限設置和硬盤分配等工作。

四、檢查技術研究

加大保密監督檢查力度，充分發揮專兼職保密員、信息員的作用，通過他們的檢查，發現問題，做到以查促改、以查促教。

4.1開關機時間檢查

通過檢查計算機的開關時間，可以發現計算機是否被非正常使用。在控制面板/管理工具/事件查看器/系統中，查找事件ID為6005、6006的事件，他們對應的時間就分別是開機時間和關機時間。

4.2文檔共享檢查

檢查計算機是否存在共享文檔的情況，可以發現計算機間是否違規互聯、是否違規擴大涉密信息知悉范圍的情況。首先，通過ipconfig/all獲悉計算機IP地址。然后，點擊開始/運行/輸入＼＼IP地址（例如＼＼172.16.22.14），點擊確定后計算機會彈出本機正在共享的文檔。

4.3歷史文檔檢查

計算機會記錄最近一段時間打開過的文檔，通過檢查該日志記錄，可以了解涉密人員近期的工作內容，涉密文檔是否按要求標識密級與保密期限等。

首先，點擊開始，打開運行，輸入recent，點擊確定后，會彈出近期文檔瀏覽記錄。記錄了文檔名稱、大小、最后修改日期，如果文檔還保存在計算機硬盤上時，可以直接雙擊打開。

4.4是否感染木馬檢查

檢查計算機網絡連接情況，可以幫助判斷計算機是否感染木馬。

首先，關閉所有可能建立網絡連接的軟件。然后，點擊開始/點擊運行/輸入cmd，打開Dos命令窗口，輸入netstat–an，命令執行后，可以看到所有和本機建立連接的IP地址以及本機偵聽的端口。如圖1所示。

Proto表示連接協議，Local Address表示本地連接地址，Foreign Address表示外部連接地址，State表示當前端口狀態。如果在Foreign Address一欄，發現本機與陌生IP地址建立了網絡連接，或者有非系統或常用軟件占用的端口處于偵聽狀態，則計算機極有可能已經感染木馬。

4.5移動存儲介質使用情況檢查

每一個U盤、移動硬盤都有唯一的電子序列號，一旦接入計算機后，計算機會記錄下接入的移動存儲介質的電子序列號，通過檢查計算機中記錄的電子序列號，來檢查移動存儲介質的使用情況。通過對比計算機中記錄的移動存儲介質和臺帳中登記的移動存儲介質，可以發現計算機是否使用高密級移動存儲介質、是否使用非密移動存儲介質、是否使用外來移動存儲介質，從而達到發現問題，解決問題，杜絕失泄密事件目的。

（1）注冊表檢查

計算機注冊表中，記錄了曾經連接過的移動存儲介質相關信息。找到注冊表中記錄移動存儲介質使用情況的位置HKEY_LOCAL_MACHINE/SYSTEM/ ControlSet001/ Enum/USBSTOR）。展開USBSTOR鍵，形如Disk&Ven_ Aigo&Prod_

Miniking&Rev_1.00的字符串，其中，Disk代表磁性存儲介質，Ven_aigo代表移動存儲介質品牌。

（2）系統日志檢查

按照路徑，我的電腦/本地磁盤C/Windows/，找到系統日志文件Setupapi.log，該日志文件詳細記錄了移動存儲介質使用情況。如圖2所示，2011年3月25日，15時53分，計算機連接了品牌為Aigo的移動存儲介質，該移動存儲介質的電子序列號為AA04012700007482。

五、結束語

計算機是涉密信息存儲的重要載體，相信隨著我國自主創新能力的不斷增強，研發調試用計算機、工控系統用計算機的安全保密產品一定會更加完善。本文提出的保密技術檢查手段，只是基于前期發現線索的手工常規檢查方法，對于深度計算機痕跡恢復取證，還要借助專業的計算機檢查工具。