研发调试类计算机信息安全防范与检查技术研究
2017-04-10殷浩
殷浩
一、引言
计算机和信息系统管理是军工企业保密管理的重要内容,随着涉密信息系统测评、保密资格认定工作的深入推进和各单位保密管理机制的不断构建与完善,计算机和信息系统保密管理水平有了长足的进步。但因核心关键技术受制于人,保密技术防范手段相对滞后,一些对特殊操作系统、应用软件有需求的研发调试使用的计算机,无法安装安全保密产品,存在一定的安全风险。本文从作者单位实际使用情况出发,分析了研发调试类计算机保密管理存在的问题,从管理和技术两个方面论述了如何加强研发调试类计算机的信息安全防范,最后总结了研发调试类计算机安全保密检查技术手段。
二、安全风险隐患分析
1、研发调试使用的计算机一般对操作系统、应用软件有特殊需求,会发生与安全保密产品产生冲突、不兼容等情况。身份鉴别、端口控制、安全审计等安全产品一般无法为研发调试使用的计算机提供服务,技术防护措施相对减弱。
2、研發调试使用的计算机一般单机使用,不能像涉密信息系统中的计算机一样,统一部署、集中运维。管理难度、工作强调相对变大。
三、信息安全防范对策
1、健全管理制度,加大监督检查力度。按照国防科技工业安全保密八个集中管理的要求,计算机的采购由指定部门统一进行配置和管理。严格准入审批管理,经安全保密检查合格后方可使用。统一标识管理,明确涉密属性和责任主体。建立使用记录登记本,详细记录开关机、各类端口使用情况等。保密管理部门定期对计算机的使用情况进行监督检查。
2、加强教育培训,增强保密意识。开展计算机信息安全保密宣传教育活动,每月收集相关教育培训材料提供员工学习。参照专兼职保密员管理模式,组建专兼职信息员,由各部门懂计算机技术的人员兼任,经业务培训后负责本部门计算机安全保密管理工作。
3、采用技术手段,提高防范水平。采用封条、玻璃胶的方式对计算机机箱、端口进行物理封堵,履行审批手续后方可开启使用。由专兼职信息员管控计算机BIOS设置、计算机账户权限设置和硬盘分配等工作。
四、检查技术研究
加大保密监督检查力度,充分发挥专兼职保密员、信息员的作用,通过他们的检查,发现问题,做到以查促改、以查促教。
4.1开关机时间检查
通过检查计算机的开关时间,可以发现计算机是否被非正常使用。在控制面板/管理工具/事件查看器/系统中,查找事件ID为6005、6006的事件,他们对应的时间就分别是开机时间和关机时间。
4.2文档共享检查
检查计算机是否存在共享文档的情况,可以发现计算机间是否违规互联、是否违规扩大涉密信息知悉范围的情况。首先,通过ipconfig/all获悉计算机IP地址。然后,点击开始/运行/输入\\IP地址(例如\\172.16.22.14),点击确定后计算机会弹出本机正在共享的文档。
4.3历史文档检查
计算机会记录最近一段时间打开过的文档,通过检查该日志记录,可以了解涉密人员近期的工作内容,涉密文档是否按要求标识密级与保密期限等。
首先,点击开始,打开运行,输入recent,点击确定后,会弹出近期文档浏览记录。记录了文档名称、大小、最后修改日期,如果文档还保存在计算机硬盘上时,可以直接双击打开。
4.4是否感染木马检查
检查计算机网络连接情况,可以帮助判断计算机是否感染木马。
首先,关闭所有可能建立网络连接的软件。然后,点击开始/点击运行/输入cmd,打开Dos命令窗口,输入netstat–an,命令执行后,可以看到所有和本机建立连接的IP地址以及本机侦听的端口。如图1所示。
Proto表示连接协议,Local Address表示本地连接地址,Foreign Address表示外部连接地址,State表示当前端口状态。如果在Foreign Address一栏,发现本机与陌生IP地址建立了网络连接,或者有非系统或常用软件占用的端口处于侦听状态,则计算机极有可能已经感染木马。
4.5移动存储介质使用情况检查
每一个U盘、移动硬盘都有唯一的电子序列号,一旦接入计算机后,计算机会记录下接入的移动存储介质的电子序列号,通过检查计算机中记录的电子序列号,来检查移动存储介质的使用情况。通过对比计算机中记录的移动存储介质和台帐中登记的移动存储介质,可以发现计算机是否使用高密级移动存储介质、是否使用非密移动存储介质、是否使用外来移动存储介质,从而达到发现问题,解决问题,杜绝失泄密事件目的。
(1)注册表检查
计算机注册表中,记录了曾经连接过的移动存储介质相关信息。找到注册表中记录移动存储介质使用情况的位置HKEY_LOCAL_MACHINE/SYSTEM/ ControlSet001/ Enum/USBSTOR)。展开USBSTOR键,形如Disk&Ven_ Aigo&Prod_
Miniking&Rev_1.00的字符串,其中,Disk代表磁性存储介质,Ven_aigo代表移动存储介质品牌。
(2)系统日志检查
按照路径,我的电脑/本地磁盘C/Windows/,找到系统日志文件Setupapi.log,该日志文件详细记录了移动存储介质使用情况。如图2所示,2011年3月25日,15时53分,计算机连接了品牌为Aigo的移动存储介质,该移动存储介质的电子序列号为AA04012700007482。
五、结束语
计算机是涉密信息存储的重要载体,相信随着我国自主创新能力的不断增强,研发调试用计算机、工控系统用计算机的安全保密产品一定会更加完善。本文提出的保密技术检查手段,只是基于前期发现线索的手工常规检查方法,对于深度计算机痕迹恢复取证,还要借助专业的计算机检查工具。