黄俊毅 周宋明 王伟
(蓝盾信息安全技术有限公司,广东广州 510000)
基于“保密六元素”,切实做好计算机泄密查证工作
——物理隔离,图文识别,外联检查,文档检查,移动存储管理,系统安全检查
黄俊毅 周宋明 王伟
(蓝盾信息安全技术有限公司,广东广州 510000)
当前,我国在信息安全方面取得的进步显著,但在各机关单位的计算机泄密查证工作方面还存在一些不足。本文分析了目前查证工作的开展状况,基于保密六要素,运用物理隔离、图文识别、外联检查、文档检查、移动存储管理、系统安全检查等技术,提出一套更高效的计算机保密检查取证解决方案,能够切实做好计算机泄密的查证工作。
计算机保密 泄密查证 图文识别 文档粉碎
近年来,国家相关管理部门为加强对涉密计算机的管理已颁布了许多政策和法规,但各级部门和各单位查证组织对计算机的泄密查证工作开展如何?现有的检查取证工具的性能和功能是否能及时发现和排除泄密隐患?能否针对目前的工作模式提供更到位的解决方法?
对此,深入研究国家对涉密计算机的管理政策,通过走访各级保密管理人员收集需求,针对计算机保密管理工作的各项规章制度及现实情况,开发一套行之有效的计算机保密检查取证工具,这无论对现在还是将来的泄密查证工作都具有十分突出的现实意义。
目前保密主管部门对政府和企事业单位的涉密网进行定期保密检查,涉密网单位也会定期进行保密自查,各相关部门单位对计算机保密事宜都越来越重视。但在保密检查过程中普遍存在如下难题:(1)工作效率低:需要工作人员手工逐台检查,效率极低。(2)无法将检查“全面化”和“日常化”:随着国家对信息安全的重视和涉密网数量迅速增长,而保密主管部门人手有限,加上原来手工检查工具效率低,限制了大范围检查和短周期检查,无法做到“全面化”和“日常化”。(3)无法深度查证:手工检查,只能对计算机做一些常规涉密检查,无法做到细粒化查证和深度审计。
本文设计了一种全面化、自动化的保密检查方案。它基于物理隔离、图文识别、外联检查、文档检查、移动存储管理、系统安全检查安全保密六元素,形成一套普遍适用的智能涉密查证系统,能够准确、全面、高效地检查出计算机中不符合保密要求的违规行为,辅助保密主管部门和涉密单位对涉密计算机的检查取证,切实提高了保密检查的工作效率、准确性和计算机的保密安全度。
一般来说,政务内网与政务外网之间要实行物理隔离,即处理存储、传输国家敏感信息和重要数据的设备和网络不得与政务外网和网站以及互联网相联。因此,涉密计算机,必须处于物理隔离状态,严禁接入互联网及公共信息网。
本系统工具能准确查出涉密终端的隔离状态,若违规接入外网,能深度挖掘出接入到互联网及公共信息网的上网痕迹,以此严查非法操作者,坚持做到“涉密信息不上网”。
图文识别技术又称OCR,利用各种识别算法分析图像中包含的文字形态特征,判断出文字的标准编码,并按通用格式存储在信息化设备中,实现检索关键字与图片内容的匹配查询。图文识别经过影像前处理、文字特征抽取、比对识别、字词后识处理和人工校正,能够快速准确搜索到图片格式的涉密资料,防止重要资料变相出网,大幅提升互联网涉密信息查询能力。
外联检查是对计算机物理通路(直接连接互联网)和逻辑通路(通过代理连接互联网)上互联网的情况进行检查。通过采用主动防御方式对使用modem拨号、无线网卡等手段违规进入互联网的行为进行监控,能检查代理服务器的地址、端口等信息,连同接互联网的modem型号、拔号连接信息读取出来,严防“一机两用”。同时采用最新的数据恢复技术,能针对整个磁盘分区进行数据恢复并做深度检查,把所有已删除的上网信息恢复出来并且生成详细的检查报告,为保密查证工作提供重要依据。
文档检查可针对整个磁盘、某个分区、某个文件夹路径下的文件按指定类型进行搜索和检查,以查看磁盘数据中的密级文档,查证该计算机是否违规处理涉密文件。对于已经删除的文件可利用数据恢复技术进行深度恢复并形成报告,供用户查看在删除的文件操作记录中是否存在涉密文件。
同时,提供“文档粉碎”功能,在具有文档密级权限的用户在查看敏感文档后,安全粉碎敏感文档,且粉碎后的文档任何恢复工具都不能进行恢复,防止文档扩散,避免造成涉密事件。
移动存储管理对通用移动存储设备从注册、使用、销毁整个生命周期提供完整的授权、控制和管理,控制可移动设备的非授权接入,检查USB设备深层历史使用痕迹,能彻底清理移动存储设备且不具可恢复性,有效地保证移动存储介质在其整个生命周期中的可控性、安全性和可审计性。
系统安全检查功能着重于主机系统的全面安全性检查,包括账号安全检查、共享资源检查、网络端口检查、屏幕保护检查、多操作系统检查、网络应用软件检查。
(1)账号安全检查:检查账户安全策略(强制密码复杂度要求、密码最小长度要求),检查账户空密码和弱口令;(2)共享资源检查:检查共享目录及其用户和权限;(3)网络端口检查: 检查高风险网络端口(如远程桌面、文件共享、TELNET等)开启情况;(4)屏幕保护检查:检查屏保是否开启、屏保恢复密码要求、屏保启动空闲时间等;(5)多操作系统检查:检查系统是否安装多个操作系统;(6)网络应用软件检查:检查网络应用软件安装和使用痕迹。
基于“保密六元素”,并有机地将上述功能很好地集成起来,能够辅助保密单位将泄密检查工作自动化、日常化,全面提升涉密信息的检查取证能力,能够更准确、更快速地发现涉密根源,从而更专业地服务于各级保密管理部门,切实做好计算机保密检查工作。
[1]陈天洲,陈纯,谷小妮编著.计算机安全策略[M].浙江:浙江大学出版社,2004.
[2]房玉和,信息安全与信息法学[C].全国计算机安全学术交流会论文集(第二十三卷)[C],2008年.
[3]孙羽菲.低质量文本图像OCR技术的研究[D].中国科学院研究生院(计算技术研究所),2005年.
[4]王清焕.信息安全保障体系中的安全保密检查评估[C].第十九次全国计算机安全学术交流会论文集[C],2004年.
[5]陈伟良.计算机信息系统泄密途径分析及如何进行防范[J].电脑知识与技术(学术交流),2011年05期.