终端深度检查平台方案

1、终端深度检查设计方案目录一、 终端深度检查的建设背景1系统建设背景1系统建设必要性2系统建设需求4系统设计原则5先进性与发展性5整体性保障原则61.4.3性与可靠性6实用性与适应性原则7易用性7稳定性7二、 系统建设方案和架构8系统建设方案概述8系统架构9系统研发主要内容102.3.12.3.22.3.3检查客户端10服务器端检查. 11集成服务112.3.4 USB 移动设备综合评价和USB 设备联接实警11多层级级联11涉密信息系统“三员”12系统特点122.5 采用. 132.5.1 USB 移动设备综合评价技术132.5.2 USB 外联行为实警132.5.32.5.42.5.52.5

2、.6文件操作审计追踪技术14检查技术14台帐系统深度整合14多模式综合分析报表14三、 系统功能153.1 检查指标管理153.1.13.1.23.1.3新建检查指标16指标编辑16指标内容17检查任务管理18新建检查任务18发布检查任务18第 1 页终端深度检查设计方案3.2.33.2.43.2.5克隆检查任务18查看检查任务结果19生成报表193.3 实时 USB 检查与. 20信息213.3.13.3.23.3.3USB查信息查询22设置实时USB 检查关键字223.3.4 USB 设备库管理23参数设置23系统管理243.5.13.5.23.5.33.5.43.5.5管理24部门管理2

3、5用户管理25界面管理27公共自定义组管理28数据库管理28数据库热备份29数据恢复29四、 使用流程30安装流程30服务器端安装304.1.2 客户端安装30卸载流程33客户端卸载33服务器端卸载33检查流程33注意事项34第 2 页终端深度检查设计方案图表目录1 终端图图图图图图图图图图图图图图图图图图图图图图图图图图图图图图图图图图图图检查系统架构图10新建检查指标导航16检查指标管理16指标集管理16修改编辑指标内容17新建检查任务18发布检查任务18查看检查任务结果19检查任务结果显示19选择生成报表对象及类型19导出常规报表20导出任务反馈表20导出 EXCEL 报表20USB 实

4、警信息弹出21查实时 USBUSB信息21信息查询22设置实时 USB 检查关键字22USB 设备库管理23客户端参数设置2420 设置名称等属性24新建修改部门25部门管理2523 查看新用户2624 新用户编辑名称、部门等属性2625 部门用户管理2726 界面管理 灵活定制名称2727 显示定制的名称27公共自定义组导航28新建公共自定义组28自动和手动数据库备份29数据库成功备份和恢复29服务器端安装程序3035 客户端. 3136 系统属性3237 客户端成功3238 服务器端卸载33第 3 页一、终端深度检查的建设背景1.1 系统建设背景近年来，多次重要批示，从国家安全的高度，深刻

5、阐明了加强国家机关、国防科技工业以及工作方向性、根本性，体现了打击窃密和杜绝泄密的坚定决心，明确要求把发展包括安全检查与技术在内的技术纳入国家科技发展规划委也多次以形式要求各级机关、工企业开展全系统的安全检查工作，将失泄密事件的隐患扼杀在襁褓之中，坚决杜绝失泄密事件的发生。针对当前复杂的安全形式，市场上出现了多款安全检查工具，其中多以检查文件操作痕迹和是否连接互联网为主，以检查计算机的操作系统、用户、口令、进程、日志等其他信息为辅，基本上侧重于管理与制度的事后取证，对排查涉密管理与涉密信息系统的失泄密隐患具有一定作用。对于当前造成失泄密的一些主客观却没有检查，从当前发生失泄密事件的多个案例来看

6、，造成涉密信息系统失泄密的主要有以下三个方面：一是没有严格的规章制度，例如 U 盘交叉使用造成的摆渡失泄密、互联网机器反弹木马主动失泄密、无线网络被激活造成上网泄密等；二是安全防护产品没有有效发挥其应有的功能，造成涉密信息的知密范围扩大化，从而使得一般涉密、甚至是非密掌握大量国家秘第 1 页密，为失泄密埋下了隐患；三是主要业务应用系统的安全建设没有到位，例如目前涉密信息系统的主流办公系统 OA 普遍采用 B/S模式的 WEB 应用，对于 WEB 应用的主要SQL 注入等没有采取有效的规避措施，为网络失泄密事件的发生留下了安全隐患，所有这些主客观都是当前及今后一段时间造成失泄密事件的主要原因，也

7、是当前工作亟待需要解决。当前，传统的安全检查工具已经不能满足日益复杂的安全保密形势的需要了，安全检查逐步发展到从单一的终端检查逐步过渡到网络化、集成化、应用化三维一体的综合检查发展阶段；安全检查已经逐步开始从单独分离的涉密检查工具阶段，发展到涵盖操作系统行为与审计、涉密移动介质使用审计、网络应用行为与审计产品部署与应用策略审计等综合检查化建设阶段。因此，研发一种包含规章制度、安全防护产品的应用情况、业务应用系统的建设等方面的检查集成是当前安全技术及产品的研发方向和发展重点。1.2 系统建设必要性近年来，部门、企事业各种失泄密事件不断发生，恶性失泄密事件时有发生，大有愈演愈烈之势，发生失泄密事件

8、的部门绝大多数对涉密信息系统采用了诸如认证、服务器加固、网络边界、网络链路加密、主机与审计、防等防护，也第 2 页均制定了严格的规章管理制度，但是因为涉密的主、客观因素还是造成了失泄密事件的发生。从工作的实践情况看，有些涉密机关、，由于受某些主客观的影响，有时对实际存在的泄密隐患并未引起重视或视而不见，麻木不仁；有的没有将各种安全防护产品真正发挥作用；有的虽然制定了各种严格的规章管理制度，但是没有真正；有的甚至发生泄密问题后隐瞒不报，也不及时采取补救措施。为了应对当前这一新的安全形势的，迎合安全检查技术发展的新阶段而诞生的终端深度检查，进一步推动我国安全检查技术的发展，为工企业的安全建设和安全

9、保密检查工作提供良好的技术支持和智力支撑。及下属多家成员中的绝大多数为涉密，分别取得了资格认证一级资质或资格认证二级资质，对涉密信息系统和非密涉密信息系统的检查都提高到关乎企业生死存亡的高度，都迫切需要相应的技术和工具来提高检查的效率和能力，“终端深度检查工具”契合了这种需求，一定程度上满足了及下属成员的检查的要求，但是需要从检查工具的功能出发，检查的深度和广度，多角度、度的检查来杜绝失泄密事件的发生。终端深度检查的研发与应用，从技术和管理的角度开展检查，整合终端检查、网络检查、业务应用检查、安全设备策略审计等涉密信息系统建设与运维的各个阶段的安第 3 页全检查，及时发现泄密的隐患和苗头，把问

10、题解决在萌芽之中，督促有关机关采取相应的改进措施，并为采取技术防护措施打下良好的技术基础，防止国家事件的发生。终端深度检查的研发与应用，有助于工作主管部门依据党和国家工作的方针、政策、法律和，对涉密机关、单位及其工作情况了解和指导；有助于涉密提高意识，更好地执行和纪律，更好地履行保密义务和责任，更好地完成工作任务。1.3 系统建设需求随着信息化及网络技术的不断发展，网络在给人带来方便的同时，由于安全控制的相对滞后，也带来了一系列、终端管理、数据泄密等安全隐患。近年开始实行的信息系统安全等级保护实施指南、信息系统安全等级保护基本要求、信息系统安全等级保护准则均明确规定了相关行业的安全管理规定及具

11、体的要求，也推动了各行业用户对安全检查工具的需求。新的科研生产资格标准和科研生产资格评分标准明确要求各涉密工作机构应具备满足工作需要的技术检查和能力，配备专业技术检查工具，科研生产资格评分标准更是明确了如果不配备满足要求的技术检查工具对申请科研生产第 4 页资格的进行扣分。的强制要求更是推动了安全保密检查工具的市场需求，使得检查技术进一步向前发展，满足相关对检查技术和不断变化发展的要求。近年来由办组织的涵盖各部委、区市机关、总部各机关、各大等重要涉密的大检查，也证明了检查工具的巨大市场化需求，同时随着深度与广度的不断提高，对检查工具的综合检查能力提出了较高的要求，终端深度检查正是契合这一需求而

12、研发的新一代检查，必将提高相关涉密的检查能力和效率。在目前 IT 软硬件技术受制于国外的厂商的前提下，开发独立、自有的产品，能最大程度保障地息资源的安全。努力优化系统结构，在确保系统稳定可靠的前提下，突出终端计算机检查、涉密信息系统检查与，促进涉密信息系统安全防护体系的整体建设水平的提高。1.4 系统设计原则1.4.1 先进性与发展性采用当代技术，建立一种新概念的、开放的现代管理环境，它以 TCP/IP、广域网互连、路由、和网络管理技术为，建立一个安全可靠的检查。利用应用最广泛的 Web 应用组合（Apache、）配合开放的 XML、AJAX 等技术、数据库及分布式处理技术、模块化功能第 5

13、页设计，构造深度检查。1.4.2 整体性保障原则终端深度检查是日常工作安全运行的保障，每个员工都可以通过该扫描检查本人相关设备的状况，它需要与各项业务系统有通畅的信息接口，充分利用原有系统，保护投资。1.4.3性与可靠性系统的安全主要包括两部分，即系统运行的安全和信息的安全。系统运行的安全是保证系统正常的运行和防止系统被。信息的安全是保证信息的完整性、性。系统采用先进的 Apache 服务器，性能稳定可靠。数据存取集中控制，避免了数据泄漏的可能。提供数据备份工具，保护系统数据安全，多级的权限控制，完善的验证与登录验证机制、强大的系统日志功能更加强了系统安全性。存取控制在网络设计时通过对数据重要

14、性、性、公开性及使用者的分析，把网络划分为不同的网段，或划分为不同的工作组；通过信息系统的管理对工作组和用户不同操作的，可以控制用户对信息源不同级别操作，防止对信息的、修改、删除，保证数据的安全与。系统管理系统具有强大的日志能力。对于任何被保护的数据资源（如数据第 6 页库文件）的存取、删除、修改等操作的时间、操作的用户、系统登录等信息都有详细，提供审计功能。1.4.4 实用性与适应性原则实用性是衡量系统质量中最重要的指标，是否与业务紧密的结合，是否具有严格的业务针对性，是系统成败的关键。因此，每一个检查项目应该是实用的，解决问题的。适应性是系统质量体系中重要的指标之一，系统的设计从最开始就应

15、该以适应于多种运行环境，而且还必须具有应变能力，以适应未来变化的环境和需求，这就要求设计上非常灵活，才能具有很好的通用性。1.4.5 易用性参照国内外信息系统的成功与失败的经验，不论一个应用系统的功能有多么庞大，如果不能让使用者掌握，也不能发挥作用。检查不同于财务、人事等业务，只需要少数人经过培训、掌握使用方法就可以，而是涉及各个工作岗位的，特别是的，如果检查只是者部门掌握使用，该系统就失去了重要的作用。检查信息化的目的不是为了单纯的拥有现代的科学技术，而是为了提高管理能力和运行效率。信息化建设不是一朝一夕的工作，需要不断地发展和完善，需要在发展中完善，在完善中发展。1.4.6 稳定性作为一个

16、部门的常用，必须保证其正常才能为第 7 页业务工作的信息化更好的服务。系统采用世界上应用最广泛的应用服务来保证应用的稳定运行。二、系统建设方案和架构2.1 系统建设方案概述打造涉密信息系统和非涉密信息系统的安全检查与评测的专业化、精细化检查集成，形成具有特色，满足企业保密认证需要的安全检查与管理，同时兼顾相关涉密的检查需求，满足 BMB17-2006涉及国家的信息系统分级保护技术要求、BMB20-2007涉及国家的信息系统分级保护管理规范、BMB22-2007涉及国家的计算机信息系统分级保护指南、科研生产资格标准和科研生产资格评分标准等相关标准要求。系统根据市场需求以及总体发展思路与目标的要求

17、，在满足企业日常检查的基础上，检查的深度和广度，研发多角度度的综合检查，从技术和管理的角度开展检查，整合终端检查、网络检查、业务应用检查、安全设备策略审计等涉密信息系统建设与运维的各个阶段的安全检查，及时发现泄密的隐患和苗头，把问题解决在萌芽之中，督促有关机关采取相应的改进措施，并为采取技术防护措施打下良好的技术基础，防止国家事件的发生。本次研发产品的重点为拓展安全第 8 页检查的广度与深度，适应新形势下安全要求的检查产业化，投资的重点是安全检查的开发、产品的集成及测试等。研发终端深度检查的客户端程序、服务器端程序、集成服务和层级级联程序，客户端程序包括文件操作审计追踪、上网行为强力审计、US

18、B 移动设备综合评价等，服务器端和集成服务包括自启动独立检查、涉密信息系统自查、检查集成服务和检查结果集成显示及分析等，层级级联2.2 系统架构为了构建涵盖计算机终端安全检查、网络环境安全检查、网络应用安全评估以及规章制度与等度的安全检查体系，打造超深度、高广度的检查综合，终端深度检查采用了 C/S 与B/S 模式相结合的应用架构，并且服务器端采用易扩展的插件技术以满足不断变化的检查需要。其系统架构如下：第 9 页图 1 终端检查系统架构图“终端深度检查”包含一个检查指标及检查任务管理服务器端和运行在每一个终端计算机上的执行检查任务的检查客户端，客户端对用户完全透明，以服务形式运行，管理通过浏

19、览器对服务器端进行管理，设置检查指标、分发检查任务以及生成报表等。2.3 系统研发主要内容2.3.1 检查客户端检查客户端主要部署在工作桌面，如移动笔记本电脑、台式机。检查客户端主要研发主要内容包括文件审计追踪、USB 移动设备综合评价和系统基本信息检查等功能模块，以完成对客户端计算机的基本信息、上网行为、USB 连接状况、文件操作、涉密文件等保密检查，客户端将检查的结果通过网络发送到服务器端的检查服务程序，服务端将接收到的结果归纳整理后呈现给管理第 10 页。2.3.2 服务器端服务器端集成了检查综合可视、多模式综合分析报表等模块，向管理以各种方式呈现客户端的检查结果，并且形成分析，以帮助相

20、关进行。服务器端采取 WEB 应用的方式方便整个系统的应用与部署，提高了系统的部署效率。2.3.3检查集成服务通过集成服务的方式发布检查任务，向客户端提供数据接收服务，提高了服务器端处理并发数据的响应能力，保障了整个保密检查的稳定、可靠。2.3.4 USB 移动设备综合评价和 USB 设备联接实警对被检查计算机相连接的各种 USB 设备的综合分析与评价；同时通过 USB设备的联接行为保障着涉密网络和涉密信息系统的安全。当联接USB 设备行为发生时，系统可实时、同步报警。2.3.5 多层级级联系统支持三级级联，级联后上层级管理可以对下层级的 USB实警信息加以。警示信息包括机器硬盘序列号、网卡物

21、理地址，通过要素信息可以准确的定位终端和当事人的名称、部门、用户。当系统发现信息后会自动显示警示信息并自动将相应事件第 11 页上传至上层级，减少了层层上报的时间，提高了事件处理的效率，有效降低了失泄密事件的发生。2.3.6 涉密信息系统“三员”系统内置有系统管理员、安全管理员和安全审计员，实现了三员互相监督的功能，同时可用户的各类操作行为，对形成的日志进行审计分析。系统管理员功能：负责系统的日常运行工作。安全管理员功能：负责系统的日常安全管理工作，用户账号和权限的管理。安全审计员功能：负责对操作行为和日志进行审计、分析和监督。2.4 系统特点“深度检查”操作简便、功能强大，具备安装一键化、管

22、理化、操作简单化、实时化等特点。灵活定义名称，可修改为使用自定义的名称；U 盘使用统计，可以查看网内使用的U 盘数量，每台终端使用过的U 盘信息，以及该 U 盘曾经在哪些终端上被使用过；网内终端计算机接入、IPAD 等设备，实警；客户端一键化静默安装，支持推送安装；服务器端一键化安装，通过浏览器管理，设置、执行检查任务；具备系统管理员、安全员、安全审计员三员制衡功能；第 12 页自动导出网内联网计算机设备台账；支持任意多级部门设置，针对不同部门设置不同管理范围；具有三级级联功能。2.5 采用在终端深度检查研发过程中，在多项技术攻关中取得了多项关键性技术突破，对整个行业的技术进步具有重要的意义和

23、作用，使用到的 USB 移动设备综合评价技术、USB 外联行为实时、文件操作审计追踪技术、检查技术、台帐系统深度整合、多模式综合分析报表等也是业界领先。2.5.1 USB 移动设备综合评价技术目前针对 USB 移动设备的检查仅仅是造成失泄密事件比较严重的盘、移动硬盘上，对 USB 连接机、数码相机、数码机等有可能连接国际互联网设备的检查着墨不多，USB 移动设备综合评价技术追踪计算机操作系统上所有曾经连接过的 USB 移动设备，从每一个 USB 设备的 VID（Vendor ID）、（Product ID）来匹配自身携带的 USB 数据库，判断每接 USB 设备的厂商、类型，该项技术的优势在于

24、计算机操作系统的各种日志文件、表遭到删除、破坏之后的综合审计评价，该项技术有助于提高安全检查工具的检查精度和适应性。2.5.2 USB 外联行为实警USB设备的外联行为保障着涉密网络和涉密信息系统的第 13 页安全。当外联行为发生时，系统可实时、同步，使得违规行为能够在第一时间被发现，同时在第一时间进行干预处理，极大的降低了失泄密隐患，有效的保证了涉密信息的安全。2.5.3 文件操作审计追踪技术文件操作审计追踪技术是审计用户在操作计算机时留下的各种文件操作信息，包括文件名称、路径、类型、操作时间等，该项技术可对所有相关文件信息进行检查，有效的发现低存等操作，并且相对于其他文件检查技术具有速度快

25、的优势。2.5.4检查技术检查工具终端可为操作系统的服务，通过自启动来对各种行为进行检查检查可以使被检查计算机在独立展开公正、客观的安全检查，该项技术的有助于提高安全保密检查工具的适应性，降低管理的工作强度。2.5.5 台帐系统深度整合系统可将客户端软硬件信息与台帐深度整合，可将客户端硬件信息包括 CPU 信息、内存信息、硬盘信息、网卡配置信息等整合为台帐信息。对客户端操作系统相关信息包括操作系统版本、安装日期、用户信息、安装、系统服务、系统补丁、关键系统策略和屏幕保护程序信息等信息与台帐整合。2.5.6 多模式综合分析报表系统内置了多模式综合分析报表，可将客户端硬件信息、操作系第 14 页统

26、信息、系统运行状态及日志、USB 使用、上网、程序运行、文档关键字等客户端综合系统信息梳理分析，分析结果能够以多种模式向管理提供。系统可对客户端配备的安全产品进行分析，对于因未能正确安装或未能正常使用的安全产品加以警示。系统对客户端系统服务、系统补丁、关键系统策略和屏幕保护程序信息等策略设置信息进行分析，甄别出不符合要求的设置。系统可根据自定义白自动比对客户端的安装信息。对于未存在于白中的进行信息提示。三、系统功能“深度检查”主要功能有：检查指标管理、检查任务管理、客户端参数设置、系统管理及界面设置等等。3.1 检查指标管理检查指标管理包括硬件、操作系统、系统运行状态及日志、USB使用、上网、

27、程序运行、文档关键字搜索等。第 15 页3.1.1 新建检查指标点击“办公桌”下“检查指标管理”项，可以新建检查指标。此处新建检查指标，只是确定了指标名称，需要后面对指标内容进行编辑。图 2 新建检查指标导航图 3 检查指标管理3.1.2 指标编辑选择“检查指标集管理”列表内具体的指标进行指标内容编辑。图 4 指标集管理第 16 页图 5 修改编辑指标内容3.1.3 指标内容硬件信息：硬件指标内容包括 CPU、内存、硬盘、网卡配置信息、硬件信息。操作系统：操作系统检查指标包括操作系统版本、用户信息、安装、系统服务、系统补丁、关键系统策略和屏幕保护程序信息等。系统运行状态及日志：系统运行状态及日

28、志检查指标包括系统日志、进程信息、打开端口、自启动项目、共享目录、和网上邻居等。USB 使用：USB 使用检查指标包括 USB设备和 USB 设备等。上网：上网指标包括 IE 临时文件、IE和 IE 缓存URL 等。程序运行：程序运行指标包括 Explorer 历史、Explorer MRU、Office 最近使用文件、 文件夹视图、系统缓存图标、缓存应用程序和安装运行等。文档关键字：文档关键字检查可以实现对所有类型文档的快速搜索以及该类型文档的关键字搜索。文档关键字搜索速度是 Windows 常规速度的百倍以上，仅支持 NTFS 系统。第 17 页3.2 检查任务管理检查任务管理包括新建检查

29、任务、发布检查任务、查看检查结果以及导出报表等。3.2.1 新建检查任务点击“办公桌”“任务管理”“新建检查任务”，进行新建检查任务。图 6 新建检查任务3.2.2 发布检查任务点击“办公桌”“任务管理”“检查任务管理”，选择需要发布的检查任务进行发布。图 7 发布检查任务3.2.3 克隆检查任务点击“办公桌”“任务管理”“检查任务管理”，选择需要克隆的检查任务，点击“克隆”，检查任务内容为新检查任务。第 18 页3.2.4 查看检查任务结果点击“办公桌”“任务管理”“检查任务管理”，可以查看检查任务结果。图 8 查看检查任务结果图 9 检查任务结果显示3.2.5 生成报表点击“办公桌”“任务

30、管理”“检查任务管理”，选择任务，点击报表，可以生成导出 EXCEL 报表。图 10 选择生成报表对象及类型第 19 页图 11 导出常规报表图 12 导出任务反馈表图 13 导出 EXCEL 报表3.3 实时USB 检查与实时USB 检查与可以实时发现网内的USB 设备，点击“我的办公桌”“实时 USB 检查与”，可以查的USB 检查信息。USB 信息实警的依据有两类：一类是符合特定关键字的第 20 页USB 设备，如 Nokia、phone、ipad 等；另一类是不在合法USB设备库的 USB 设备。网内接入USB 设备，会弹出信息框，并以声音。图 14 USB 实警信息弹出3.3.1 查

31、USB信息图 15 查USB信息第 21 页3.3.2信息查询信息查询可以按部门以及查看信息。图 16 实时 USB信息查询3.3.3 设置实时 USB 检查关键字对于检查到的 USB 信息，需要设置关键字以判断该 USB 设备是否。图 17 设置实时 USB 检查关键字第 22 页3.3.4 USB 设备库管理USB 设备库指的是不在该 USB 设备的USB 信息实警。图 18 USB 设备库管理3.4 参数设置客户端参数设置，可以分组跨部门设置客户端服务器端的时间间隔，如所有部门一组、所有厂所级一组等；客户端休眠设置：此项设置意指超过多长时间客户端没有服务器端，意味着客户端没有安装或者卸载

32、等；上网判定： 设置判定一个机器是否上网的， 如，等。第 23 页图 19 客户端参数设置3.5 系统管理系统管理主要包括管理、部门管理和用户管理。3.5.1管理管理可以设置使用的名称，一旦设定好名称好，系统会显示“深度检查”。图 20设置名称等属性第 24 页3.5.2 部门管理部门管理可以设置任意多级门。可以添加、删除、修改部门及上、下级部门。点击“系统管理”“组织机构设置” “部门管理”，可以修改编辑部门信息，以及新建部门的下级部门等。图 21 新建修改部门图 22 部门管理3.5.3 用户管理(一)新用户管理点击“系统管理”“组织机构设置” “用户管理” “新用户”，进行新用户管理。注

33、意：只有网内计算机安装了客户端，并且客户端正确服务器端 IP 地址，第 25 页到服务器，才有新注册用户，客户端计算机只用一次。图23 查看新用户图 24 新用户编辑名称、部门等属性(二)部门用户管理点击“系统管理”“组织机构设置” “用户管理”，选择名称下的任意部门进行部门用户管理，可以修改该部门用户各种属性。第 26 页图 25 部门用户管理3.5.4 界面管理界面管理是灵活定义界面显示内容，设置检查为各自己独有的检查。图 26 界面管理 灵活定制名称图 27 显示定制的名称第 27 页3.5.5 公共自定义组管理公共自定义组设置是为了方便设置客户端轮训时间的，例如可以将不同部门的设置一组，员工设置成一组。点击“系统管理”“组织机构设置” “部门管理” “公共自定义组”，进行新建、编辑公共用户组。图 28 公共自定义组导航图 29 新建公共自定义组3.6 数据库管理数据库管理主要有数据库热备份，系统采用的是数据库，备份的整个数据文件，恢复数据库，只要将备份的数据库文件覆盖到原来安装目录即可。第 28 页3.6.1 数据库