專(zhuān)利名稱(chēng):計(jì)算機(jī)安全取證裝置的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型涉及計(jì)算機(jī)的安全取證,特別涉及一種對(duì)上網(wǎng)信息進(jìn)行安全取證的計(jì)
算機(jī)安全取證裝置�。
背景技術(shù):
在信息化不斷推進(jìn)的今天,信息化引發(fā)的網(wǎng)絡(luò)信息安全問(wèn)題��,不僅僅涉及到國(guó)家 的經(jīng)濟(jì)安全���、金融安全和社會(huì)安全�����,同時(shí)也涉及到國(guó)防安全���、政治安全和文化安全。進(jìn)入新 世紀(jì)來(lái)���,我國(guó)的信息安全形勢(shì)更加嚴(yán)峻,解決我國(guó)的信息安全問(wèn)題刻不容緩�。國(guó)家信息化領(lǐng) 導(dǎo)小組第三次會(huì)議上強(qiáng)調(diào),加強(qiáng)信息安全保障工作,重點(diǎn)在于堅(jiān)持積極防御���、綜合防范����;全 面提高信息安全防護(hù)能力��,重點(diǎn)保障信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全�。 防止涉密計(jì)算機(jī)涉密文件泄密的技術(shù)手段通常是,將涉密計(jì)算機(jī)與外網(wǎng)進(jìn)行物理 隔離����,但是即便進(jìn)行物理隔離,人們還是可以采用管理中心不易發(fā)現(xiàn)的撥號(hào)連接方式上網(wǎng)�, 因而管理部門(mén)不能發(fā)現(xiàn)和確認(rèn)涉密文件是否通過(guò)上網(wǎng)傳播。
發(fā)明內(nèi)容本實(shí)用新型的目的是提供一種能夠發(fā)現(xiàn)計(jì)算機(jī)上網(wǎng)并報(bào)告在上網(wǎng)期間是否使用 涉密文件的計(jì)算機(jī)安全取證裝置�。 本實(shí)用新型的上述目的是這樣實(shí)現(xiàn)的,一種計(jì)算機(jī)安全取證裝置����,包括 連接計(jì)算機(jī)以收集計(jì)算機(jī)基本上網(wǎng)信息的基本上網(wǎng)信息搜索模塊; 連接計(jì)算機(jī)以收集計(jì)算機(jī)深度上網(wǎng)信息的深度上網(wǎng)信息搜索模塊��; 連接計(jì)算機(jī)以檢查計(jì)算機(jī)涉密信息的涉密信息檢查模塊��;以及 分別連接所述基本上網(wǎng)信息搜索模塊輸出、深度上網(wǎng)信息搜索模塊輸出和涉密信 息檢查模塊輸出的審計(jì)報(bào)告生成模塊�,用于生成關(guān)于計(jì)算機(jī)基本上網(wǎng)信息、深度上網(wǎng)信息 和涉密信息的審計(jì)報(bào)告��。 其中����,所述基本上網(wǎng)信息搜索模塊連接計(jì)算機(jī)的CPU,并通過(guò)所述CPU收集計(jì)算機(jī) 的上網(wǎng)記錄�。 其中,所述深度上網(wǎng)信息搜索模塊連接計(jì)算機(jī)的CPU���,并通過(guò)所述CPU收集計(jì)算機(jī) 存儲(chǔ)器中留下的上網(wǎng)痕跡�����。 其中����,所述涉密信息檢查模塊連接所述計(jì)算機(jī)的CPU�,并通過(guò)所述CPU搜索具有與 上網(wǎng)時(shí)間相吻合的時(shí)間屬性的涉密文件。 其中���,所述審計(jì)報(bào)告生成模塊的輸出連接所述計(jì)算機(jī)的CPU�,并通過(guò)所述CPU將所 生成的審計(jì)報(bào)告?zhèn)魉徒o計(jì)算機(jī)的輸出裝置�。 其中,所述計(jì)算機(jī)存儲(chǔ)器是硬盤(pán)或連接終端的移動(dòng)存儲(chǔ)介質(zhì)���。 其中�,所述終端輸出裝置是顯示器����。 本實(shí)用新型的計(jì)算機(jī)安全取證裝置,其特征在于還包括USB接口 �;該USB接口通過(guò) USB總線連接計(jì)算機(jī)的USB接口 。[0017] 本實(shí)用新型的技術(shù)效果為能快速�、準(zhǔn)確地收集到被檢查計(jì)算機(jī)的上網(wǎng)信息,即使 刪除了所有的歷史記錄和臨時(shí)文件��,拔下調(diào)制解調(diào)器��,刪除撥號(hào)連接�����,上網(wǎng)記錄和撥號(hào)信息 也會(huì)被準(zhǔn)確無(wú)誤的采集并保存����;此外�,本實(shí)用新型還可以根據(jù)文件名����、文件類(lèi)型、包含文字 等條件搜索涉密文件�。
以下結(jié)合附圖對(duì)本實(shí)用新型進(jìn)行詳細(xì)說(shuō)明��。
圖1是本實(shí)用新型的計(jì)算機(jī)安全取證裝置的原理圖; 圖2是本實(shí)用新型第一實(shí)施例的原理圖����; 圖3是本實(shí)用新型第二實(shí)施例的原理圖。
具體實(shí)施方式圖l顯示了本實(shí)用新型的計(jì)算機(jī)安全取證裝置的基本結(jié)構(gòu)����,如圖l所示���,本實(shí)用新 型的計(jì)算機(jī)安全取證裝置1包括 連接計(jì)算機(jī)以收集計(jì)算機(jī)基本上網(wǎng)信息的基本上網(wǎng)信息搜索模塊10 ;連接計(jì)算 機(jī)以收集計(jì)算機(jī)深度上網(wǎng)信息的深度上網(wǎng)信息搜索模塊11 ;連接計(jì)算機(jī)以檢查計(jì)算機(jī)涉 密信息的涉密信息檢查模塊12 ;以及分別連接所述基本上網(wǎng)信息搜索模塊10輸出(端)、 深度上網(wǎng)信息搜索模塊ll輸出(端)和涉密信息檢查模塊12輸出(端)的審計(jì)報(bào)告生成 模塊13,用于生成關(guān)于計(jì)算機(jī)基本上網(wǎng)信息�����、深度上網(wǎng)信息和涉密信息的審計(jì)報(bào)告��,即根據(jù) 上述模塊10 12的搜索和/或檢查結(jié)果���,生成包含這些結(jié)果的審計(jì)報(bào)告。 上述基本上網(wǎng)信息搜索模塊10能夠發(fā)現(xiàn)計(jì)算機(jī)中記錄的所有與上網(wǎng)有關(guān)上網(wǎng)信 息����,上述深度上網(wǎng)搜索模塊ll可以發(fā)現(xiàn)保留在存儲(chǔ)器扇區(qū)中的上網(wǎng)痕跡。因此利用上述兩 個(gè)上網(wǎng)搜索模塊可以準(zhǔn)確無(wú)誤地找到計(jì)算機(jī)上網(wǎng)信息����。 上述涉密信息檢查模塊12經(jīng)由計(jì)算機(jī)2得到基本上網(wǎng)信息搜索模塊10和深度上 網(wǎng)信息搜索模塊11搜索到的上網(wǎng)時(shí)間,由此檢查其訪問(wèn)和修改時(shí)間與上網(wǎng)時(shí)間相吻合的 涉密文件�,從而得到涉密信息檢查結(jié)果。 圖2顯示了本實(shí)用新型的第一實(shí)施例����,在該實(shí)施例中,計(jì)算機(jī)安全取證裝置l安 裝在計(jì)算機(jī)中,其中基本上網(wǎng)信息搜索模塊10連接計(jì)算機(jī)的CPU 20��,并通過(guò)所述CPU 20 收集計(jì)算機(jī)的上網(wǎng)記錄�����;深度上網(wǎng)信息搜索模塊11連接計(jì)算機(jī)的CPU 20,并通過(guò)所述CPU 20收集計(jì)算機(jī)存儲(chǔ)器22中留下的上網(wǎng)痕跡��;涉密信息檢查模塊12連接所述計(jì)算機(jī)的CPU 20,并通過(guò)所述CPU 2搜索具有與上網(wǎng)時(shí)間相吻合的時(shí)間屬性的涉密文件����;以及審計(jì)報(bào)告 生成模塊13的輸出連接所述計(jì)算機(jī)的CPU 20���,并通過(guò)所述CPU 20將所生成的審計(jì)報(bào)告?zhèn)?送給計(jì)算機(jī)的輸出裝置21��。 上述計(jì)算機(jī)存儲(chǔ)器22可以是硬盤(pán)或連接終端的移動(dòng)存儲(chǔ)介質(zhì)。以及上述計(jì)算機(jī) 輸出裝置21可以是液晶顯示器或陰極射線管顯示器。 圖3顯示了本實(shí)用新型的第二實(shí)施例,在該實(shí)施例中�����,計(jì)算機(jī)安全取證裝置1被安 裝在U盤(pán)中,在此情況下��,計(jì)算機(jī)安全取證裝置1還應(yīng)當(dāng)包括一個(gè)分別連接基本上網(wǎng)信息搜 索模塊10、深度上網(wǎng)信息搜索模塊11和涉密信息檢查模塊12和審計(jì)報(bào)告生成模塊13的 USB接口 14��,該USB接口 14通過(guò)USB總線連接計(jì)算機(jī)2的USB接口 (圖3未顯示)����。[0029] 本實(shí)用新型的計(jì)算機(jī)安全取證裝置1即可以由硬件構(gòu)成也可以由軟件構(gòu)成��。 下面對(duì)本實(shí)用新型的特點(diǎn)進(jìn)行詳細(xì)說(shuō)明�����。 本實(shí)用新型可以利用基本上網(wǎng)信息搜索模塊10對(duì)操作系統(tǒng)的上網(wǎng)日志進(jìn)行檢 查,因此即使刪除了所有的歷史記錄和臨時(shí)文件���,拔下調(diào)制解調(diào)器,刪除撥號(hào)連接�����,上網(wǎng)記 錄和撥號(hào)信息也會(huì)被準(zhǔn)確無(wú)誤的采集并保存��。 此外,本實(shí)用新型還可以利用基本上網(wǎng)信息搜索模塊10搜索最后一次撥號(hào)歷史 記錄和調(diào)制解調(diào)器的基本信息�����,如調(diào)制解調(diào)器類(lèi)型���,調(diào)制解調(diào)器的inf路徑�����,調(diào)制解調(diào)器的 inf區(qū)域,調(diào)制解調(diào)器撥號(hào)的詳細(xì)信息和對(duì)應(yīng)的時(shí)間���、綁定端口����、設(shè)備制造商和供應(yīng)商以及 最后一次撥號(hào)時(shí)間等等���,從而發(fā)現(xiàn)可信的上網(wǎng)信息��。 另外��,本發(fā)明可以以利用基本上網(wǎng)信息搜索模塊10搜索操作系統(tǒng)內(nèi)存儲(chǔ)的上網(wǎng) 信息�,以及網(wǎng)絡(luò)上流行的網(wǎng)絡(luò)應(yīng)用軟件信息����,最大程度上發(fā)現(xiàn)上網(wǎng)的蛛絲馬跡。具體如下 1)��、收集網(wǎng)頁(yè)瀏覽記錄��。包括瀏覽網(wǎng)站歷史記錄��,上網(wǎng)緩存臨時(shí)文件����,統(tǒng)一資源定 位(URL)歷史列表等等,上網(wǎng)記錄詳盡準(zhǔn)確�����,無(wú)一遺漏���,即使刪除歷史記錄和緩存文件����,上 網(wǎng)記錄仍一覽無(wú)余��。 2)�、收集網(wǎng)絡(luò)螞蟻、網(wǎng)際快車(chē)等下載工具的詳盡信息����。包括下載任務(wù)緩存和程序安 裝信息等等,違規(guī)人員上網(wǎng)痕跡盡收眼底�����。 3)、收集騰訊QQ的安裝信息����。騰訊QQ是廣東騰訊公司開(kāi)發(fā)的網(wǎng)絡(luò)工具,支持在 Internet上聊天�����,發(fā)送消息和文件等等����。本系統(tǒng)能準(zhǔn)確地定位出OICQ的安裝路徑,違規(guī)人 員的非法操作無(wú)法抵賴(lài)�����。 4)�、收集被檢計(jì)算機(jī)的網(wǎng)絡(luò)配置信息。包括網(wǎng)絡(luò)接口���、IP地址���、子網(wǎng)掩碼和MAC地
址等等。 5)、收集違規(guī)用戶(hù)列表�。主要包括違規(guī)用戶(hù)的姓名�����,所屬部門(mén)��,所使用的主機(jī)的IP 地址以及被檢查項(xiàng)目信息所保存于優(yōu)盤(pán)中的相應(yīng)文件夾的路徑�����。 本實(shí)用新型的涉密信息檢查模塊12集成Windows系統(tǒng)的文件搜索功能���,可以利用 文件名�����、包含文字�、日期���、大小等多種條件進(jìn)行組合搜索�,可以非常方便的查找涉密文件���。將 搜索出來(lái)的涉密文件的日期與上網(wǎng)日期相比較����,可以防止違規(guī)人員的抵賴(lài)。 本實(shí)用新型的基本上網(wǎng)信息搜索模塊10可以準(zhǔn)確的查找出PC機(jī)現(xiàn)在正在使用的 無(wú)線�����,藍(lán)牙�,紅外設(shè)備,并能詳細(xì)的對(duì)上述設(shè)備進(jìn)行型號(hào)描述��。 關(guān)鍵字搜索功能����,通過(guò)對(duì)硬盤(pán)一個(gè)或多個(gè)關(guān)鍵字組合搜索,精確的檢測(cè)出磁盤(pán)中 所有包含關(guān)鍵字的扇區(qū)��。并可以查看包含扇區(qū)的具體內(nèi)容�����。 設(shè)置深度上網(wǎng)信息搜索模塊11是本實(shí)用新型的一個(gè)特點(diǎn)����,以前檢查工具通過(guò)檢 查主機(jī)在連接INTERNET網(wǎng)站時(shí)會(huì)留下一些輕度的上網(wǎng)信息如web緩存或url歷史記錄等���。 但是這些輕度的上網(wǎng)信息很容易被被檢人員輕易的動(dòng)用一些工具或手動(dòng)的刪除掉,所以為 了加大檢查的力度���,本實(shí)用新型開(kāi)發(fā)了深度上網(wǎng)信息搜索功能。由于主機(jī)在連接INTERNET 網(wǎng)站會(huì)在磁盤(pán)的扇區(qū)中留下上網(wǎng)的痕跡���,本實(shí)用新型通過(guò)掃描磁盤(pán)扇區(qū)對(duì)比上網(wǎng)記錄在磁 盤(pán)留下痕跡的格式����,進(jìn)行準(zhǔn)確定位上網(wǎng)痕跡����,因此即使在用戶(hù)格式化硬盤(pán)或重做系統(tǒng)的情 況下也能查出主機(jī)的上網(wǎng)記錄。 本實(shí)用新型具有以下優(yōu)點(diǎn) 1�、檢查取證裝置使用方便,可安裝到U盤(pán)中�,無(wú)須安裝,即插即用���。傻瓜式操作�����,只要把U盤(pán)插入被檢查的計(jì)算機(jī)上����,點(diǎn)擊開(kāi)始,輕松收集上網(wǎng)信息�,自動(dòng)保存取證資料。 2��、能快速�、準(zhǔn)確地收集到被檢查計(jì)算機(jī)的上網(wǎng)信息,即使刪除了所有的歷史記錄
和臨時(shí)文件�����,拔下調(diào)制解調(diào)器�,刪除撥號(hào)連接,上網(wǎng)記錄和撥號(hào)信息也會(huì)被準(zhǔn)確無(wú)誤的采集
并保存���。本實(shí)用新型還可以根據(jù)文件名���、文件類(lèi)型、包含文字等條件搜索涉密文件�����。 3、對(duì)檢查記錄的查詢(xún)十分方便��,支持在任意計(jì)算機(jī)上瀏覽所有被檢查計(jì)算機(jī)的檢
查項(xiàng)目��。 盡管上文對(duì)本實(shí)用新型進(jìn)行了詳細(xì)說(shuō)明��,但是本實(shí)用新型不限于此��,本技術(shù)領(lǐng)域 技術(shù)人員可以根據(jù)本實(shí)用新型的原理進(jìn)行各種修改����。因此�,凡按照本實(shí)用新型原理所作的 修改,都應(yīng)當(dāng)理解為落入本實(shí)用新型的保護(hù)范圍���。
權(quán)利要求一種計(jì)算機(jī)安全取證裝置��,其特征在于包括連接計(jì)算機(jī)以收集計(jì)算機(jī)基本上網(wǎng)信息的基本上網(wǎng)信息搜索模塊(10)�;連接計(jì)算機(jī)以收集計(jì)算機(jī)深度上網(wǎng)信息的深度上網(wǎng)信息搜索模塊(11)����;連接計(jì)算機(jī)以檢查計(jì)算機(jī)涉密信息的涉密信息檢查模塊(12);以及分別連接所述基本上網(wǎng)信息搜索模塊(10)輸出�����、深度上網(wǎng)信息搜索模塊(11)輸出和涉密信息檢查模塊(12)輸出的審計(jì)報(bào)告生成模塊(13),用于生成關(guān)于計(jì)算機(jī)基本上網(wǎng)信息����、深度上網(wǎng)信息和涉密信息的審計(jì)報(bào)告。
2. 根據(jù)權(quán)利要求1所述的計(jì)算機(jī)安全取證裝置�,其特征在于所述基本上網(wǎng)信息搜索模 塊(10)連接計(jì)算機(jī)的CPU(20),并通過(guò)所述CPU(20)收集計(jì)算機(jī)的上網(wǎng)記錄����。
3. 根據(jù)權(quán)利要求1或2所述的計(jì)算機(jī)安全取證裝置,其特征在于所述深度上網(wǎng)信息搜 索模塊(11)連接計(jì)算機(jī)的CPU(20)�����,并通過(guò)所述CPU(20)收集計(jì)算機(jī)存儲(chǔ)器(22)中留下的 上網(wǎng)痕跡�。
4. 根據(jù)權(quán)利要求3所述的計(jì)算機(jī)安全取證裝置��,其特征在于所述涉密信息檢查模塊(12) 連接所述計(jì)算機(jī)的CPU(20)��,并通過(guò)所述CPU(2)搜索具有與上網(wǎng)時(shí)間相吻合的時(shí)間屬 性的涉密文件��。
5. 根據(jù)權(quán)利要求4所述的計(jì)算機(jī)安全取證裝置����,其特征在于所述審計(jì)報(bào)告生成模塊(13) 的輸出連接所述計(jì)算機(jī)的CPU(20),并通過(guò)所述CPU(20)將所生成的審計(jì)報(bào)告?zhèn)魉徒o 計(jì)算機(jī)的輸出裝置(21)�。
6. 根據(jù)權(quán)利要求4所述的計(jì)算機(jī)安全取證裝置,其特征在于���,所述計(jì)算機(jī)存儲(chǔ)器(22) 是硬盤(pán)或連接終端的移動(dòng)存儲(chǔ)介質(zhì)��。
7. 根據(jù)權(quán)利要求4所述的計(jì)算機(jī)安全取證裝置�����,其特征在于��,所述終端輸出裝置(21) 是顯示器。
8. 根據(jù)權(quán)利要求1所述的計(jì)算機(jī)安全取證裝置�,其特征在于還包括USB接口 (14).
9. 根據(jù)權(quán)利要求8所述的計(jì)算機(jī)安全取證裝置�,其特征在于所述USB接口 (14)通過(guò) USB總線連接計(jì)算機(jī)的USB接口 。
專(zhuān)利摘要本實(shí)用新型是一種計(jì)算機(jī)安全取證裝置���,包括收集計(jì)算機(jī)基本上網(wǎng)信息的基本上網(wǎng)信息搜索模塊��;收集計(jì)算機(jī)深度上網(wǎng)信息的深度上網(wǎng)信息搜索模塊����;檢查計(jì)算機(jī)涉密信息的涉密信息檢查模塊;以及分別連接所述基本上網(wǎng)信息搜索模塊輸出�、深度上網(wǎng)信息搜索模塊輸出和涉密信息檢查模塊輸出的審計(jì)報(bào)告生成模塊,用于生成關(guān)于計(jì)算機(jī)基本上網(wǎng)信息����、深度上網(wǎng)信息和涉密信息的審計(jì)報(bào)告�����。本實(shí)用新型能夠快速����、準(zhǔn)確地收集到被檢查計(jì)算機(jī)的任何上網(wǎng)信息。
文檔編號(hào)G06F21/20GK201489539SQ200920222310
公開(kāi)日2010年5月26日 申請(qǐng)日期2009年9月1日 優(yōu)先權(quán)日2009年9月1日
發(fā)明者于晴, 王海洋 申請(qǐng)人:北京鼎普科技股份有限公司