终端计算机安全检查技术研究
如今,国家和社会各界对信息安全保密问题的高度重视,促进了终端计算机安全检查技术的不断提升和改进,终端检查技术的变革同样督促着保密管理体系的完善。
【摘要】信息安全保密管理工作的重点和计算机终端检查的难点,促进了计算机安全检查技术的发展。本文回顾了终端检查技术经历的三个阶段,并指出在实践中遇到的亟待解决的难题,由此提出基于云计算构建统一安全保密管理平台,实现高效的数据采集,报告统计分析功能。
【关键字】计算机安全检查;检查技术;云计算
前言
为满足单位信息安全保密管理要求,落实终端计算机信息设备安全使用和管理策略,终端计算机检查成了信息安全保密建设工作的重要环节,计算机信息系统使用和管理是信息安全保密管理工作的重点。随着信息化程度的提升,企事业单位各项科研、项目工作中产生、存储、处理和传输的海量数据,给计算机终端安全检查工作带来了很大的难度。另外,电子数据具有易删除、易篡改,数据量大,结构复杂等特点,使得终端数据的采集获取工作,成了计算机信息检查的难点。保密管理工作的重点和计算机信息检查的难点,促进了计算机终端安全检查技术的发展[1,2]。
一、终端检查技术概述
终端计算机检查是计算机取证技术在信息安全保密工作中的具体应用,终端检查获取的数据更加具体,涉及的检查项目更加有针对性,检查结果能直接指导保密管理工作,是军工保密单位迎检采用的主要检查方法[3,4]。终端计算机取证过程分为以下几个步骤:1主机数据的获取2统计分析与汇总3违规事件的确认4整改与复查5违规问题的关闭。但计算机信息数据的易篡改、易伪装,使得取证检查并非一劳永逸,为保证检测效率和效果,另需制定循环检查机制,逐渐杜绝泄密违规事件,同时不断改进终端安全检查技术以适应新的检查需求。
二、终端检查技术沿革
一般而言,终端安全检查技术经历了以下几个主要的阶段。第一阶段,硬盘镜像拷贝阶段。对要进行检查的终端计算机的磁盘进行物理拆除,并通过技术手段把整盘数据镜像到另外磁盘中,然后挂载到另外的计算机系统上,再利用常用的查看工具软件检查操作系统缓存文件、注册表、系统日志等操作记录,并人工分析出违规操作事件。该阶段的主要缺点是硬盘镜像速率低,检查工具的集成化低,严重影响检查效率。第二阶段,外接存储式检查阶段。以计算机常用接口(USB、SATA)为突破口,外接大容量存储设备、光盘驱动器等设备,启动WindowsPE(WindowsPreInstallEnvironment)系统,并集成更为成熟的工具软件,将检查结果形成检查报告,导入到可存储移动介质完成检查取证步骤。该阶段同时集成了文件信息恢复技术,可以搜索已经删除或者格式化后的数据痕迹,对违反保密管理规定的行为起到威慑作用。第三阶段,基于网络的终端检查阶段[5]。在信息化进程中,各单位根据工作需要建设了内部非密网络和涉密网络,随之而来的网络终端设备也越来越多,需要检查的项目内容也越来越复杂。仍采用前两种单机终端检查方案,不仅需要投入大量人力、时间,后期的数据统计和报告量化也是难题。如今基于网络的终端检查方案应运而生,采用星型拓扑结构,对接入网络的终端计算机并行地下发检查指令。同时,在网内设置保密管理员、系统管理员、安全审计员,实现终端检查、系统参数设置、审计策略的权限分割,达到安全保密要求。该阶段的`终端检查系统高度集成,能完成多种信息数据的获取,优势有:1并发检查,服务器并发下发检查指令,各客户端独立运行;2静默检查,检查客户端可以在后台进行,不影响计算机的正常使用;3增加统计分析功能,待检查结果可对检查组内结果进行简单统一汇总。
三、亟待解决的技术问题
依靠目前技术手段和管理政策,在终端计算机检查实践中,仍遇到了不少亟待解决的问题,这些问题按性质可归为技术问题和管理问题两大类。其中技术层面上有:1数据恢复和信息搜索技术,根据敏感关键字可以实现文件信息的常规检索,也能通过磁盘扇区扫描进行非常规文件信息检索。但这种通过扇区内ASCII码进行信息识别的技术,在扫描过程中会出现大量的乱码等不可识别信息,系统识别到的仅仅是文件碎片中的个别敏感关键字,没有根据扫描结果的前后关系进行信息过滤的功能。2多数检查工具统计分析功能太弱,目前终端计算机检查技术重点在于取证,而疏于统计分析。3移动介质检查分析技术,因移动介质种类繁多,有U盘、打印机、扫描仪、读卡器、光盘驱动器、USBKEY等设备,只凭“序列号”已不能唯一确定一个移动介质,因此会造成误判。4客户端程序不支持断点续传,因客户端在终端机上运行时占用一定的本地CPU、内存资源,导致系统卡顿甚至死机、蓝屏现象发生,这种非人为原因的重启计算机,会造成客户端程序无法继续执行。
四、云服务-下一代终端安全检查解决方案
保密管理职责的加强,人员保密意识的增强,不能单方面提高整个终端检查的质量,仍需要关键技术的突破和方案的演进。笔者认为,云计算可以为下一阶段终端计算机安全检查技术方案提供强有力的支撑。云计算服务是指基于互联网的新型交付模式,这种模式提供可用的、便捷的、按需的访问。特点是规模巨大、虚拟化、高可靠性、高可扩展性、按需服务,根据应用范畴可分为私有云和公共云。企业可以根据自身规模和需求,搭建用于企业内部服务的私有云,并数据中心和计算中心一起,组成强有力的、智能信息检索和统计分析平台,在全民保密意识提高的同时,能够主动、按需进行终端计算机的接入和检查,并获取可信的统计分析报告。基于云服务的终端计算机安全检查技术体系架构原理为,使用大量高性能服务器组成服务器集群,通过虚拟化服务构建共享式基础设施,部署分布式操作系统、非结构化数据库系统,应用高端的数据处理模型,搭建统一服务平台,终端计算机客户端只要接入云即可按需享用计算与处理资源,相对于目前单服务器运行,这种检查方案的优势主要在于:1分布式存储与计算的可靠性高,服务器集群报告解析能力强,智能化高。在集群内可部署智能分析工具,如神经网络算法,进行多方面的统计分析和报表生成。2服务器端和客户端同时保存检查进度,支持随时接入随时检查,并支持断点续传。
五、总结
如今,国家和社会各界对信息安全保密问题的高度重视,促进了终端计算机安全检查技术的不断提升和改进,终端检查技术的变革同样督促着保密管理体系的完善,要有效杜绝泄密违规事件的发生,必须以管理为前提,以技术为手段。采用云计算服务这一IT领域先进的技术和理念,定能为做好军工科研生产单位的迎检工作提供强有力的帮助,最大限度的避免信息安全事件带来的经济财产上的损失。
参考文献
[1]刘丹,杜秀群.关于建立健全保密检查长效机制的思考[J].保密科学技术.2014(5):60-62
[2]颜培玉,张冰,顾香玉.高校保密检查工作问题现状及对策分析[J].信息系统工程,2013(12):154-156
[3]刘凌.浅谈计算机静态取证与计算机动态取证[J].计算机安全.2009.08
[4]陈龙,王国胤.计算机取证技术综述[J].重庆邮电学院学报.2005(12):736-741
[5]王雷,冷静.基于网络的安全保密检查[J].保密科学技术.2011(1):11-12
【终端计算机安全检查技术研究】相关文章: