武汉第二船舶设计研究所刘丹陈泓青
移动存储介质因其轻巧易用、存储稳定而在军工行业各单位广泛应用。本文结合目前移动存储介质使
用的实际情况,分析了移动存储介质管理中存在的安全隐患及违规使用移动存储介质对安全保密工作的危害,从管理和技术两个层面论述了如何加强移动存储介质的信息安全防范,研究了移动存储介质安全保密 检查技术手段,运用此方法不定期实施保密检查,能够及时发现违规操作,杜绝失泄密事件的发生,确保
国家秘密安全。
关键词:移动存储介质;信息安全;保密检查
件分配表和数据区。对文件采取的删除操作和对存储介质的格式化操作,仅仪是删除了文件
分配表中的信息。数据区的信息仍然被全部保留。使用数据恢复软件,可以对数据区中的信
息进行分析处理,恢复格式化前数据区中的内容。
(5)出现故障处置不当的风险。涉密移动存储介质出现故障时,如果随意选择维修、报废
和销毁等方式,会造成存储介质内涉密信息的外泄。从物理结构上看,存储设备主要由控制
电路和存储介质组成,如果控制电路损坏,更换电路板后就可以直接读出其中的数据。如果
存储介质损坏,采取一1定的数据恢复措施,也可以读出其中未损坏部分的数据。
3信息安全防范对策
(1)加强宣传教育,增强保密意识。积极开展计算机信息安全保密宣传教育活动,定期或不定期举办安全保密、窃泄密案例教育等知识讲座,不断提高员T的安全防范能力和意识,逐步实现员工从“要我保密”、“我要保密”到“我会保密”的转变,从思想上筑起一道信息安全风险防范的“防火墙”。
(2)健全管理制度,加大监管力度;移动存储介质的采购由指定部门进行统一配置和管理。
严格准入审批管理,采取安全准入许可制度,经安全检查合格后才能使用。定期升级病毒及
恶意代码库,并对计算机进行全盘杏杀,确保将移动存储介质感染病毒的风险降到最低。完
善操作使用和外出携带管理规定,坚持“先审批后使用,谁使用谁负责”的原则,明确责任
主体,严防违规。建立移动存储介质设备台帐,逐一记录介质不同环节的变动情况,保密管
理部门定期对移动存储介质的使用进行监督检查。
(3)采用技术手段,提高防范水平:使用玻璃胶物理封堵计算机usB接口,杜绝移动存储
介质的接入,也可采取粘贴封条或定制保密机箱管控USB接口,履行审批手续后方可撕开
封条或开启机箱。采用先进的技术手段管控移动存储介质的使用,一是使用异型口的移动
存储介质,避免介质的交叉使用,二是安装安全审计软件,对介质使用的全过程进行监控
审计,三是启用身份认证机制,未经授权的移动存储介质严禁在内网机上使用。
(4)严控维修销毁,防止二次泄密。报废处理的涉密信息存储介质在其他信息系统内重新
使用或利用前,应进行信息清除处理,信息清除处理所采用的信息消除技术、设备和措施,
应符合B肥2卜2007《涉密国家秘密的载体销毁与信息清除安全保密要求》的有关规定。
涉密移动存储介质不用时应及时彻底销毁淘汰,可采取物理粉碎方式将介质粉碎到一定尺
寸的颗粒度,对于移动硬盘等磁记录设备可使用专用消磁仪对其进行强磁场销毁。如果需
要修复涉密存储设备,则必须到国家保密工作部门指定的具有恢复资质的单位进行。4检
查技术研究
移动存储介质成功接入计算机后,计算机操作系统会在多处留下痕迹和记录。为了更好检查出移动存储介质的使用情况,下面对检杏技术进行研究。
4.1系统日志文件检查 windows操作系统日志文件记录了系统运行的历史信息,其中系统%SYSTEMRooT%目录下
的setupapi.109和setupapi.109.x.01d日志文件详细记录了移动存储介质的驱动安装过程,
利用USB移动存储设备特征关键字“UsBSTOR”对日志文件进行搜索,就能得到计算机系统使用过的UsB移动存储设备信息。
通过分析下面。‘段日志文件,我们可以获得该USB移动存储设备的J‘商ID为aaaa,产品 ID为000l,修正码为0100,序列号为020*******,首次使用时间为2011/11/18 10:12。
[20ll/11/1810:12:39 1060.16 D r i ve r Install]
#一019正在金硬件ID(s):u sb\v id-au aaa&pid.000l&rev—Olo o,u sb\v id-aa aa&p id_000l
#一018正在查兼容D(s):山\cI猫s-08&subclass_06&proL50,llsb\class_08&subcl鹊曼-06,usb\class._08
#一198处理的命令行:c:\wIN DoWs\sy stem32\serv ices.ex e
#1393更改过的JNF缓存”C:\wINDoWS\Inf\lNFCAcHE.1’。
#1022在’c:\wINDow S\Inf\usbstor.in,中发现了”UsB\Cl aSS一08&subclas S—06&P r札一50’:设
备:’uS B M a ss st or ag e Devi ce’;驱动程序:’usB M as s s to ra ge Dev ice’;提供程序:”Mi crosof t”:制
造商:’兼容uSB存储设备”;段:’USBSToR—BULK’
#1023实际安装部分:[USBSTOR_BULK.NT]。等级:0xoo002000。驱动程序有效日期:07/0l/2001。
#一166设备安装函数:DIF—SELEcTBEsTc0MPATDRV。
#1063从[USBSToR—BuLK]中的”c:\windows\inf\usbstor.in,选择驱动器安装服务。
#1320设备的类别GuID依旧为:{36FC9E60—c465—1lCF一8056—444553540000)。
#1060设置所选的驱动器。
#1058选择最兼容的驱动器。
#一166设备安装函数:DIF_INsTALLDEvICEFILEs。
#1124正在做“仅复制”安装”UsB\VID.从从&PID—oo Ol\020*******”。
#一166设备安装函数:DIF-REGIsTER-c0INSTALLERS。
#1056注册了共同安装程序。
#一166设备安装函数:DIF—INSTALLINTERFAcES。
#一Oll正在从’c:\windows\inf\usbstor.in,安装段[USBSToR—BuLK.NT.Interfaces]。
#1054安装接口。
#一166设备安装函数:DIF-INSTALLDEVICE。
#I 123进行9uSB\VID AAAA&PID-000l\020lOl4346”的完整安装。
#112l’usB\VID AAA A&P ID—ooOl\020*******’的设备安装成功完成。
4.2注册表相关信息检查 windows注册表(Registry)是一个庞大的数据库,存储着计算机系统的人量设置和使
用信息,设备、服务的安装和启动都会在注册表中留下痕迹,它为我们提供了一个注册表编辑器(Regedit.exe)工具用来查看和维护注册表。
usB移动存储设备成功连接计算机后,操作系统会在注册表HKEY—LOCAL—MACHINE\SYSTEM\Current ControlSet\Enum\USB下创建’‘个子键,形如Vid_1043&Pid’8012,第一个四位数是usB协会分配给销售商的J。商代码,第二个四位数是由销售商分配其产品的
180
代码。该键的子键记录了设备序列号,查看序列号子键下Cl邪sGUID(USB移动设备在操
作系统中的全局唯一标识符)和Service,如果键值分别“36Fc9E60一C465一11cF一8056—444553540000”、“USBSTOR”,则表示为USB移动存储设备。
查看HI(EY LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR键值下的内容,可得到每一个正在连接和曾经连接过的uSB移动存储介质信息。展开USBsTOR键,形如Disk&Ven SMZY&Prod UDisk&Rev_0.00的字符串代表了USB移动存储设备的厂。商(SMZY)、型号(UDisk)和修正码(0.00),其子键为uSB移动存储设备的序列号。选择某’‘序列号,
查看窗口右侧,它记录了一些描述USB移动存储设备信息,其中DeviceDesc表示对USB移
动存储设备的描述,FriendlyN锄e表示设备的显示名称,HardWareID表示设备ID。
如果计算机接入USB存储设备,还会在Ⅷ江Y L O CA L MACHINE\SYSTEM\C删.cnt Con仃olSet\Con仃0l\DeviceCl嬲ses\下留有痕迹。打开<53f56307-b6bf一11 dO一
94f2—00aoc91efb8b),形如##?#USBSTOR#Disk&Ven—SMZY&Prod—UDisk&Rev—O.OO#020*******# 幅3f56307一b6bf一11do一94f2一00aOc91efb8b)子键,代表了计算机接
过SMZY厂。商的序列号为 020*******的USB移动存储设备。{53f5630d_b6bf一11d0—94f2
可移动存储设备一00aoc91efb8b)子键下形如
##?#STORAGE#RemovableMedia#8&15cbbf47&0&RM#{53f5630d—b6bf一1 ld0—94f2一00aoc91efb8
b)的字符串,其中“STORAGE#RemovableMedia”表明这是一个可移动存储设备。
{a5dcbfl0—6530一11d2—901f一00c04fb951ed)子键下也保存了计算机曾经和正在接入USB设
备的Vid和Pid。
为了获取usB移动存储设备的最近使用时间,我们可以展
开HKEY Lo CAL MACHINE\SYSTEM\CurrentContr01Set\EnuIn\USBSTOR键值,用鼠标选择子
键(USB 移动存储设备序列号),打开注册表编辑器的文件菜单,导出成txt文件,文件前置
处的最近写入时间为该USB移动设备最近使用时间。
5结束语
移动存储介质因可重复多次擦写、轻便而广泛使用,军工行业各单位不可避免使用移动
存储介质存储涉密信息,因此,移动存储介质信息安全是确保国家秘密安全的重要举措。但
目前USB移动存储介质管理中存在很大安全隐患,如何进行信息安全防范,及时有效发现
违规操作,堵塞漏洞,消除隐患,本文提出了多种防范对策,探讨了如何加强移动存储介质
的信息安全防范,研究了移动存储介质安全保密检查技术手段。由于本文只论述了移动存
储介质使用痕迹的手动常规检查方法,对于痕迹恢复的深度检查,还需要进一步研究。
181
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议