证据发现技术在安全保密检查中的应用

一、证据发现技术的需要
　　安全保密检查工作，能够掌握现有网络应用情况，评估所采用产品的防护能力和日常管理制度是否有效（如：人员的安全保密执行状况），是网络安全建设中必须重点考虑的工作。
为达到客观性，安全保密检查时管理人员对网络安全进行客观性评估的管理行为，必须具有强制性的一面。这样，产生了对技术上的要求，即需要强有力的技术手段以产生客观的避免人为干扰的检查结果。因此，证据发现技术在安全保密检查工作中有重要的应用。
二、计算机证据发现技术的由来
　　普通的证据发现技术是对有形的物理的实体的查找和分析。
　　进入计算机时代后，产生了虚拟的数字的客体。这种客体，一方面具有客观性，另一方面还具有易删除、易移动、易修改和上述操作的隐蔽性等特点，完全不同于物理客体。但是在使用者应用计算机的活动过程中，处理数据的软件工具（如：操作系统、Word等）会产生很多数字痕迹，痕迹以用户可见或不可见的形式存在着。对这些痕迹的获取和分析，对网络协议的利用和分析等都构成了电子证据。
　　计算机证据发现技术最先应用在计算机犯罪上，继而又逐渐用来对付黑客入侵事件。但在网络的安全管理工作中，适当运用这些技术也将有助于安全保密网络建设的进行。
三、安全保密检查对证据发现技术的需求
　　计算机的安全保密检查主要检查内部人员使用内网计算机的过程中有没有违规行为，如越权访问、拨号上网等。这些操作会在操作系统中留下数据信息、配置信息等痕迹。根据不同的情况安全保密检查对证据发现技术有不同的需求，这些需求分类如下为：
　　根据检查手段不同，证据发现技术分为：远程检查、现场检查等；
　　根据检查目的不同，证据发现技术分为：对网络安全架构的评估检查、对网络安全产品的评估检查和对　　管理制度的评估检查等；
　　根据检查对象的不同，证据发现技术分为：网络操作检查（如接入网络、拨出网络的检查等）、计算机操作检查、可移动存储的操作检查等；
　　根据检查手段与操作系统的关系不同，证据发现技术分为：不驻留检查和驻留检查等；
　　根据检查公开性不同，证据发现技术分为：隐蔽检查和公开检查等；
　　根据检查项目数量不同，证据发现技术分为：单项检查和多项检查等；
　　根据证据类型不同，证据发现技术分为文件操作检查和系统配置信息检查等；
　　根据证据状态不同，证据发现技术分为静态证据和动态证据等；
　　根据证据隐蔽性不同，证据发现技术分为已删除证据和未删除证据等。
四、多项证据发现技术在安全保密检查中的具体实现
　　根据目前网络安全保密的需求，我们综合采取了多种证据发现技术，形成了集静态与动态检查于一体的、具有部分查删功能的公开的多项现场安全保密检查工具。
　　具体实现，分别叙述如下。
　　1、 外联发现技术
　　按照内外网需要物理隔离的内网管理要求，安全保密检查工作需检查网络是否存在外联通路。一般的内外网互联的方式，如双网卡、代理服务器、拨号等等，都是可能造成外联的直接原因。因此，外联发现技术成为安全保密检查工作中重要环节。
　　外联发现由探测端和监视端两部分协同实现。
　　探测端位于内部网络，用来发送规定特征的数据包；
　　监视端位于外部网络，专门守候接收具有规定特征的数据包。
　　通常，采取内外网隔离措施的内部网络，其间的数据包无法扩散到外部网络；当内外网有外联通路时，内部网络中的数据包才可能到达外部网络中的监视端，引发监视端产生报警。
　　外联发现技术原理示意图如图1所示。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　清扬创新

　　　　　　　　　 版权所有：北京清扬创新网络科技有限公司 京ICP备05017389号
　　　　　　　　 地址：北京海淀区上地环岛西北角嘉华大厦C区905　　邮　编：100085
　　　　　　　 电 话：(86-10) 62978471　传 真：(86-10) 62975507 　Skype：qycxsoft
　　　　　　　　 E_mail：qycx@qycx.com　MSN:qycx123@hotmail.com 　QQ：426416427