研發(fā)調(diào)試類計算機信息安全防范與檢查技術(shù)研究

殷浩

一、引言

計算機和信息系統(tǒng)管理是軍工企業(yè)保密管理的重要內(nèi)容，隨著涉密信息系統(tǒng)測評、保密資格認(rèn)定工作的深入推進(jìn)和各單位保密管理機制的不斷構(gòu)建與完善，計算機和信息系統(tǒng)保密管理水平有了長足的進(jìn)步。但因核心關(guān)鍵技術(shù)受制于人，保密技術(shù)防范手段相對滯后，一些對特殊操作系統(tǒng)、應(yīng)用軟件有需求的研發(fā)調(diào)試使用的計算機，無法安裝安全保密產(chǎn)品，存在一定的安全風(fēng)險。本文從作者單位實際使用情況出發(fā)，分析了研發(fā)調(diào)試類計算機保密管理存在的問題，從管理和技術(shù)兩個方面論述了如何加強研發(fā)調(diào)試類計算機的信息安全防范，最后總結(jié)了研發(fā)調(diào)試類計算機安全保密檢查技術(shù)手段。

二、安全風(fēng)險隱患分析

1、研發(fā)調(diào)試使用的計算機一般對操作系統(tǒng)、應(yīng)用軟件有特殊需求，會發(fā)生與安全保密產(chǎn)品產(chǎn)生沖突、不兼容等情況。身份鑒別、端口控制、安全審計等安全產(chǎn)品一般無法為研發(fā)調(diào)試使用的計算機提供服務(wù)，技術(shù)防護(hù)措施相對減弱。

2、研發(fā)調(diào)試使用的計算機一般單機使用，不能像涉密信息系統(tǒng)中的計算機一樣，統(tǒng)一部署、集中運維。管理難度、工作強調(diào)相對變大。

三、信息安全防范對策

1、健全管理制度，加大監(jiān)督檢查力度。按照國防科技工業(yè)安全保密八個集中管理的要求，計算機的采購由指定部門統(tǒng)一進(jìn)行配置和管理。嚴(yán)格準(zhǔn)入審批管理，經(jīng)安全保密檢查合格后方可使用。統(tǒng)一標(biāo)識管理，明確涉密屬性和責(zé)任主體。建立使用記錄登記本，詳細(xì)記錄開關(guān)機、各類端口使用情況等。保密管理部門定期對計算機的使用情況進(jìn)行監(jiān)督檢查。

2、加強教育培訓(xùn)，增強保密意識。開展計算機信息安全保密宣傳教育活動，每月收集相關(guān)教育培訓(xùn)材料提供員工學(xué)習(xí)。參照專兼職保密員管理模式，組建專兼職信息員，由各部門懂計算機技術(shù)的人員兼任，經(jīng)業(yè)務(wù)培訓(xùn)后負(fù)責(zé)本部門計算機安全保密管理工作。

3、采用技術(shù)手段，提高防范水平。采用封條、玻璃膠的方式對計算機機箱、端口進(jìn)行物理封堵，履行審批手續(xù)后方可開啟使用。由專兼職信息員管控計算機BIOS設(shè)置、計算機賬戶權(quán)限設(shè)置和硬盤分配等工作。

四、檢查技術(shù)研究

加大保密監(jiān)督檢查力度，充分發(fā)揮專兼職保密員、信息員的作用，通過他們的檢查，發(fā)現(xiàn)問題，做到以查促改、以查促教。

4.1開關(guān)機時間檢查

通過檢查計算機的開關(guān)時間，可以發(fā)現(xiàn)計算機是否被非正常使用。在控制面板/管理工具/事件查看器/系統(tǒng)中，查找事件ID為6005、6006的事件，他們對應(yīng)的時間就分別是開機時間和關(guān)機時間。

4.2文檔共享檢查

檢查計算機是否存在共享文檔的情況，可以發(fā)現(xiàn)計算機間是否違規(guī)互聯(lián)、是否違規(guī)擴大涉密信息知悉范圍的情況。首先，通過ipconfig/all獲悉計算機IP地址。然后，點擊開始/運行/輸入＼＼IP地址（例如＼＼172.16.22.14），點擊確定后計算機會彈出本機正在共享的文檔。

4.3歷史文檔檢查

計算機會記錄最近一段時間打開過的文檔，通過檢查該日志記錄，可以了解涉密人員近期的工作內(nèi)容，涉密文檔是否按要求標(biāo)識密級與保密期限等。

首先，點擊開始，打開運行，輸入recent，點擊確定后，會彈出近期文檔瀏覽記錄。記錄了文檔名稱、大小、最后修改日期，如果文檔還保存在計算機硬盤上時，可以直接雙擊打開。

4.4是否感染木馬檢查

檢查計算機網(wǎng)絡(luò)連接情況，可以幫助判斷計算機是否感染木馬。

首先，關(guān)閉所有可能建立網(wǎng)絡(luò)連接的軟件。然后，點擊開始/點擊運行/輸入cmd，打開Dos命令窗口，輸入netstat–an，命令執(zhí)行后，可以看到所有和本機建立連接的IP地址以及本機偵聽的端口。如圖1所示。

Proto表示連接協(xié)議，Local Address表示本地連接地址，F(xiàn)oreign Address表示外部連接地址，State表示當(dāng)前端口狀態(tài)。如果在Foreign Address一欄，發(fā)現(xiàn)本機與陌生IP地址建立了網(wǎng)絡(luò)連接，或者有非系統(tǒng)或常用軟件占用的端口處于偵聽狀態(tài)，則計算機極有可能已經(jīng)感染木馬。

4.5移動存儲介質(zhì)使用情況檢查

每一個U盤、移動硬盤都有唯一的電子序列號，一旦接入計算機后，計算機會記錄下接入的移動存儲介質(zhì)的電子序列號，通過檢查計算機中記錄的電子序列號，來檢查移動存儲介質(zhì)的使用情況。通過對比計算機中記錄的移動存儲介質(zhì)和臺帳中登記的移動存儲介質(zhì)，可以發(fā)現(xiàn)計算機是否使用高密級移動存儲介質(zhì)、是否使用非密移動存儲介質(zhì)、是否使用外來移動存儲介質(zhì)，從而達(dá)到發(fā)現(xiàn)問題，解決問題，杜絕失泄密事件目的。

（1）注冊表檢查

計算機注冊表中，記錄了曾經(jīng)連接過的移動存儲介質(zhì)相關(guān)信息。找到注冊表中記錄移動存儲介質(zhì)使用情況的位置HKEY_LOCAL_MACHINE/SYSTEM/ ControlSet001/ Enum/USBSTOR）。展開USBSTOR鍵，形如Disk&Ven_ Aigo&Prod_

Miniking&Rev_1.00的字符串，其中，Disk代表磁性存儲介質(zhì)，Ven_aigo代表移動存儲介質(zhì)品牌。

（2）系統(tǒng)日志檢查

按照路徑，我的電腦/本地磁盤C/Windows/，找到系統(tǒng)日志文件Setupapi.log，該日志文件詳細(xì)記錄了移動存儲介質(zhì)使用情況。如圖2所示，2011年3月25日，15時53分，計算機連接了品牌為Aigo的移動存儲介質(zhì)，該移動存儲介質(zhì)的電子序列號為AA04012700007482。

五、結(jié)束語

計算機是涉密信息存儲的重要載體，相信隨著我國自主創(chuàng)新能力的不斷增強，研發(fā)調(diào)試用計算機、工控系統(tǒng)用計算機的安全保密產(chǎn)品一定會更加完善。本文提出的保密技術(shù)檢查手段，只是基于前期發(fā)現(xiàn)線索的手工常規(guī)檢查方法，對于深度計算機痕跡恢復(fù)取證，還要借助專業(yè)的計算機檢查工具。