基于“保密六元素”，切實做好計算機泄密查證工作

黃俊毅　周宋明　王偉

【摘 要】 當前，我國在信息安全方面取得的進步顯著，但在各機關單位的計算機泄密查證工作方面還存在一些不足。本文分析了目前查證工作的開展狀況，基于保密六要素，運用物理隔離、圖文識別、外聯檢查、文檔檢查、移動存儲管理、系統安全檢查等技術，提出一套更高效的計算機保密檢查取證解決方案，能夠切實做好計算機泄密的查證工作。

【關鍵詞】 計算機保密 泄密查證 圖文識別 文檔粉碎

近年來，國家相關管理部門為加強對涉密計算機的管理已頒布了許多政策和法規，但各級部門和各單位查證組織對計算機的泄密查證工作開展如何？現有的檢查取證工具的性能和功能是否能及時發現和排除泄密隱患？能否針對目前的工作模式提供更到位的解決方法？

對此，深入研究國家對涉密計算機的管理政策，通過走訪各級保密管理人員收集需求，針對計算機保密管理工作的各項規章制度及現實情況，開發一套行之有效的計算機保密檢查取證工具，這無論對現在還是將來的泄密查證工作都具有十分突出的現實意義。

1 涉密查證工作現狀分析

目前保密主管部門對政府和企事業單位的涉密網進行定期保密檢查，涉密網單位也會定期進行保密自查，各相關部門單位對計算機保密事宜都越來越重視。但在保密檢查過程中普遍存在如下難題：（1）工作效率低：需要工作人員手工逐臺檢查，效率極低。（2）無法將檢查“全面化”和“日常化”：隨著國家對信息安全的重視和涉密網數量迅速增長，而保密主管部門人手有限，加上原來手工檢查工具效率低，限制了大范圍檢查和短周期檢查，無法做到“全面化”和“日常化”。（3）無法深度查證：手工檢查，只能對計算機做一些常規涉密檢查，無法做到細粒化查證和深度審計。

2 保密檢查方案提出

本文設計了一種全面化、自動化的保密檢查方案。它基于物理隔離、圖文識別、外聯檢查、文檔檢查、移動存儲管理、系統安全檢查安全保密六元素，形成一套普遍適用的智能涉密查證系統，能夠準確、全面、高效地檢查出計算機中不符合保密要求的違規行為，輔助保密主管部門和涉密單位對涉密計算機的檢查取證，切實提高了保密檢查的工作效率、準確性和計算機的保密安全度。

3 保密“六元素”

3.1 物理隔離

一般來說，政務內網與政務外網之間要實行物理隔離，即處理存儲、傳輸國家敏感信息和重要數據的設備和網絡不得與政務外網和網站以及互聯網相聯。因此，涉密計算機，必須處于物理隔離狀態，嚴禁接入互聯網及公共信息網。

本系統工具能準確查出涉密終端的隔離狀態，若違規接入外網，能深度挖掘出接入到互聯網及公共信息網的上網痕跡，以此嚴查非法操作者，堅持做到“涉密信息不上網”。

3.2 圖文識別

圖文識別技術又稱OCR，利用各種識別算法分析圖像中包含的文字形態特征，判斷出文字的標準編碼，并按通用格式存儲在信息化設備中，實現檢索關鍵字與圖片內容的匹配查詢。圖文識別經過影像前處理、文字特征抽取、比對識別、字詞后識處理和人工校正，能夠快速準確搜索到圖片格式的涉密資料，防止重要資料變相出網，大幅提升互聯網涉密信息查詢能力。

3.3 外聯檢查

外聯檢查是對計算機物理通路（直接連接互聯網）和邏輯通路（通過代理連接互聯網）上互聯網的情況進行檢查。通過采用主動防御方式對使用modem撥號、無線網卡等手段違規進入互聯網的行為進行監控，能檢查代理服務器的地址、端口等信息，連同接互聯網的modem型號、拔號連接信息讀取出來，嚴防“一機兩用”。同時采用最新的數據恢復技術，能針對整個磁盤分區進行數據恢復并做深度檢查，把所有已刪除的上網信息恢復出來并且生成詳細的檢查報告，為保密查證工作提供重要依據。

3.4 文檔檢查

文檔檢查可針對整個磁盤、某個分區、某個文件夾路徑下的文件按指定類型進行搜索和檢查，以查看磁盤數據中的密級文檔，查證該計算機是否違規處理涉密文件。對于已經刪除的文件可利用數據恢復技術進行深度恢復并形成報告，供用戶查看在刪除的文件操作記錄中是否存在涉密文件。

同時，提供“文檔粉碎”功能，在具有文檔密級權限的用戶在查看敏感文檔后，安全粉碎敏感文檔，且粉碎后的文檔任何恢復工具都不能進行恢復，防止文檔擴散，避免造成涉密事件。

3.5 移動存儲管理

移動存儲管理對通用移動存儲設備從注冊、使用、銷毀整個生命周期提供完整的授權、控制和管理，控制可移動設備的非授權接入，檢查USB設備深層歷史使用痕跡，能徹底清理移動存儲設備且不具可恢復性，有效地保證移動存儲介質在其整個生命周期中的可控性、安全性和可審計性。

3.6 系統安全檢查

系統安全檢查功能著重于主機系統的全面安全性檢查，包括賬號安全檢查、共享資源檢查、網絡端口檢查、屏幕保護檢查、多操作系統檢查、網絡應用軟件檢查。

（1）賬號安全檢查：檢查賬戶安全策略（強制密碼復雜度要求、密碼最小長度要求），檢查賬戶空密碼和弱口令；（2）共享資源檢查：檢查共享目錄及其用戶和權限；（3）網絡端口檢查： 檢查高風險網絡端口（如遠程桌面、文件共享、TELNET等）開啟情況；（4）屏幕保護檢查：檢查屏保是否開啟、屏保恢復密碼要求、屏保啟動空閑時間等；（5）多操作系統檢查：檢查系統是否安裝多個操作系統；（6）網絡應用軟件檢查：檢查網絡應用軟件安裝和使用痕跡。

4 結語

基于“保密六元素”，并有機地將上述功能很好地集成起來，能夠輔助保密單位將泄密檢查工作自動化、日常化，全面提升涉密信息的檢查取證能力，能夠更準確、更快速地發現涉密根源，從而更專業地服務于各級保密管理部門，切實做好計算機保密檢查工作。

參考文獻

[1]陳天洲，陳純，谷小妮編著.計算機安全策略[M].浙江：浙江大學出版社，2004.

[2]房玉和，信息安全與信息法學[C].全國計算機安全學術交流會論文集（第二十三卷）[C]，2008年.

[3]孫羽菲.低質量文本圖像OCR技術的研究[D].中國科學院研究生院（計算技術研究所），2005年.

[4]王清煥.信息安全保障體系中的安全保密檢查評估[C].第十九次全國計算機安全學術交流會論文集[C]，2004年.

[5]陳偉良.計算機信息系統泄密途徑分析及如何進行防范[J].電腦知識與技術（學術交流），2011年05期.endprint