性能特点
中孚密保卫士系统V2.0
一键检查,检查策略支持管理端统一下发和终端用户自定义,实现对计算机终端违规存储、处理、传输涉密信息的保密检查,形成常态化的检查工作闭环。
用于管理终端进行自查生成的自查报告,可查看自查历史,也可对自查报告进行查看和判定。
对自查策略进行管理,可以查看管理中心下发的自查策略,也可以新建、编辑和删除自定义策略。
文件内容信息的检查越来越受到重视,它是整个检查的核心部分。如何检查的信息全面且准确是各检查工具厂商考虑的问题。针对文本文件,采用了多种编码格式的尝试判定;针对办公文件,如word、wps、中标普华、pdf等文件,深入研究了文件的存储格式,并能提取文本信息数据;针对图片文件,采用了OCR技术,并进行了机器学习,让图片检查更加准确。
针对文件可能会存在人为损坏等逃避检查情况,我们还对加密文件、损坏文件、修改后缀名文件、压缩文件等各类型的文件进行检查。
为了减轻人工判断的工作强度,准确的发现违规文件,通过分析国家规章制度文件的格式,添加对国家标密文件的自动识别,方便了用户的判定。
对于国家保密行政部门,时间紧、任务重的特点,研发文件抽查功能,根据用户关心的文件类型特点,对于每一个文件夹,优先检查用户关心的比较容易出问题的文件,在有限时间内较早的发现问题文件,方便用户进行判断。
对于文件信息常规展示,把电脑中检查出来的存在的多份副本文件,只要其中一个被判定,其它的会自动判定为已经判定的文件密级;对于摘要相同的文件,也会做同样的处理。
同时系统集成文件清除功能,可以将检查出来的文件方便快捷地进行清除,不留痕迹。
痕迹检查主要是检查电脑上用户关心的痕迹类的数据,包括上网痕迹检查、USB痕迹检查、文件操作记录检查。
Ø 上网痕迹检查
上网痕迹检查针对操作系统当前是否联网及是否存在历史上网记录的检查,同时还会对收藏夹信息、上网工具信息进行检查。
历史上网记录的检查不仅针对安可自带的浏览器检查。支持的浏览器主要包括Google chrome、Fire fox、opera等。同时也针对聊天工具、下载工具等进行了检查。
为了减轻人工判定上网记录违规的工作强度,根据互联网、内部网等域名的特点把正在连接互联网的疑似度设置为高,内网网址为低,依次类推。
Ø USB痕迹检查
随着社会的发展,U口设备越来越多,现在电脑上插拔手机等设备已经越来越频繁,用户对电脑上插拔手机等设备越来越关注,USB痕迹检查根据用户关心的数据特点,把USB记录分为手机设备、存储设备、无线蓝牙红外、其他USB设备。通过区分,能让用户可以针对关注的USB设备进行检查,方便了用户的违规判定。
Ø 文件操作记录检查
文件操作记录检查主要是操作系统记录文件打开文件的历史信息的检查。如果文件存在,则用户可以打开文件和文件所在的文件夹,如果文件不存在但是文件所在的文件夹存在,则用户只可以打开所在的文件夹,如果文件所在的文件夹都不在,则用户不能开文件和文件夹。
系统检查是检查系统的各种配置信息,包括基本信息检查、安装软件检查、系统安全检查、系统配置检查、其他检查。
Ø 基本信息检查
基本信息检查主要是针对操作系统的配置信息,包括操作系统、硬盘信息、硬盘更换情况、网卡信息和用户信息。
硬盘信息不但可以检查电脑上硬盘的当前使用情况,还可以检查硬盘的更换情况,除了检查物理硬盘还可以检查虚拟磁盘。
针对硬盘更换情况,通过深入分析操作系统中的数据,发现了多硬盘使用的痕迹,硬盘更换的痕迹,为检查提供了更有力的技术支持。
Ø 安装软件检查
安装软件检查主要是检查当前操作系统安装的软件情况,包括杀毒软件、虚拟机软件、已安装软件、已安装补丁和未安装补丁。
Ø 系统安全检查
系统安全检查主要检查系统进程服务类信息,包括服务信息、进程信息、开放端口、系统安全日志、系统驱动日志、用户登录日志、sheel日志、开关机日志。
Ø 系统配置检查
系统配置检查主要是检查系统的配置信息,包括安全策略、共享信息、日志设置、屏幕保护、用户组信息。
Ø 其他检查
其他检查包括硬件信息、系统驱动等。
深度核查是从磁盘扇区的角度出发,逐扇区搜索关心的信息,检查项包括深度文件内容、深度文件操作记录、深度上网记录、深度USB记录。
Ø 深度文件内容
深度文件内容主要是逐扇区搜索关心的关键字,如果命中就上报,一个扇区就上报一次。
Ø 深度文件操作记录
深度文件操作记录是逐扇区搜索文件操作记录,找到文件操作记录,就上报,即时用户删除了系统中的操作记录,一样可以检查到。
Ø 深度上网记录
深度上网记录是逐扇区搜索上网记录,找到上网记录就上报,即时用户删除了系统中的上网记录一样可以检查到。
Ø 深度USB记录
深度USB记录是逐扇区搜索USB记录,找到USB记录就上报,即使用户删除了系统中的USB记录一样可以检查到。
客户端首次安装运行会自动扫描本地磁盘所有文件并上报疑似文件。后期会根据用户的文件操作行为进行实时监测,如监控疑似文件的重命名、剪切、删除、回收站还原、复制、打开、本地磁盘和移动磁盘间的拷贝和剪切、打印、即时通讯工具文件(QQ、微信)传输、WEB邮件文件传输、outlook\foxmail文件传输等行为。
客户端监控到敏感信息操作时,如开启告警设置,会对发现的敏感信息操作行为进行弹框告警提示。并在终端告警界面进行分组列表展示,展示违规文件或疑似文件的文件名、文件路径、告警类型、告警时间等信息。
对终端APT攻击、远控木马等网络攻击进行监控告警,当发现终端访问恶意网址或回传数据时立即告警,提高终端攻击窃密威胁的感知能力。
当一键自查或实时监控发现敏感文件后,支持敏感文件安全、彻底清除,避免因数据恢复带来泄密隐患。
