产品背景
计算机技术在涉密业务中的广泛应用，给保密工作带来空前挑战：一方面，保密管理部门需要有效地检查涉密工作中存在的漏洞并及时采取应对措施；另一方面，涉密工作人员需要随时了解所使用的计算机系统中可能存在的安全隐患并采取防范措施。这些，都需要采用非常专业的工具和技术手段。
产品概述
朗威公司为了满足用户需求，依托在安全保密行业的技术积累，严格按照国家对计算机安全检查取证的技术要求，推出了一款功能强大的深度检查取证系统。该系统为安全保密检查人员提供了强大的技术手段，按照“上网不涉密、涉密不上网”的原则，能够准确、全面、有效地检查出计算机存在的违规行为，同时系统还提供弱口令检查、漏洞扫描、木马检测等功能，辅助安全保密检查人员提出安全防护完善意见。该工具适用于信息安全执法机构及其它指定的政府及关键部门的专用检测工具，具有极大的专业性和专用性。
产品功能


系统检查
系统检查主要包括硬件情况、软件情况两方面内容，并根据实际检查结果进行分类显示，生成信息列表。
1）  硬件情况，包括终端的各类接口信息，MAC地址、适配器类型、磁盘型号及磁盘物理序列号等。
2）  软件情况。包括操作系统类型、版本、安装时间和相关补丁情况。

安全检查
安全检查主要实现对受检查终端可能存在的潜在风险和泄密渠道进行检查。
1）  用户信息，检查相应的用户信息，如：用户名、用户类型、当前状态、是否使用等
2）  组信息，检查当前系统组信息，如：组名及相关组描述。
3）  系统共享信息，检查计算机中的共享目录名，目录下的共享内容及登录共享目录的口令等是否符合保密要求。
4）  计算机使用记录，检查用户的开、关机时间。
5）  网络工具信息，检查QQ、BT下载、网际快车、影音传送带、网络蚂蚁等网络工具的安装信息。
6）  弱口令检测，检测操作系统内的用户口令长度、强度等方面是否符合保密要求。
7）  物理隔离检查，检测计算机网络是否实施了物理隔离。
移动存储设备检查
移动存储设备检查主要实现在受检查终端中使用过的移动存储设备记录。
1）  USB设备使用记录，检查计算机中曾经使用过的USB移动存储介质的历史记录，包括设备名称、驱动类型、序列号以及使用时间等
2）  合法USB设备使用记录，主要用于查看在本机上曾经使用过的合法的USB设备信息，包括驱动类型、设备名称、序列号、使用时间、PID&VID和驱动信息。
3）  非法USB设备使用记录，用于查看在本机上曾经使用过的不符合USB设备信任列表的USB设备信息，包括驱动类型、设备名称、序列号、使用时间、PID&VID和驱动信息。
4）  创建、导入USB设备信任列表，将所信任的USB设备的信息存储为一个文件，在对计算机进行检查前，使用导入USB设备信任列表功能，将该文件导入，符合该文件的USB设备为合法USB设备，否则为非法USB设备。

拨号上网检查
拨号上网检查主要检查计算机是否曾经拨号上互联网或采用过何种方式上互联网。
1）  基本拨号信息，检查涉密计算机中是否存在拨号设备，判断该计算机是否具备拨号条件并能够显示其设备相应的设备描述、绑定端口、供应商等相关信息。
2）  拨号连接信息，检查该计算机中所有拨号连接信息，包括其连接名、设备名、拨出的号码等相关信息。
3）  拨号连接详细信息，检查该计算机中所有拨号连接的详细记录。

端口分析
端口分析主要用来查看本机的端口使用情况，包括通讯协议、本机地址（IP和端口号）、远端地址（IP和端口号）、状态、进程ID和程序名称。

行为检查
行为检查主要是检查计算机上网情况，并准确地对上网行为进行取证。
1）URL列表信息，主要用于查看本机用户通过浏览器访问网页留下的痕迹，包括名称和URL记录。
2）网络浏览记录，检查用户所浏览网页的记录信息，显示网址和访问时间等。
3）Cookies记录，检查当前用户Cookies记录信息、访问时间和修改时间等。
4）Web历史记录，主要用于查看本机用户曾经访问的文档，包括URL、到期时间、上次修改时间、上次访问时间、上次检查时间和大小。
5）收藏夹记录，用于检查用户在浏览器中保存收藏过的网页地址及文件名称等。
6）最近打开的文档，用于检查当前用户最近打开文件的记录，包括文件存放路径、创建时间及修改时间等。

深度搜索
深度搜索主要实现对已经被删除文件的查询功能。辅助检查人员准确地对上网行为进行取证。
1）  磁盘深度搜索，搜索磁盘中所有存在或删除的文件。
2）  文件分类搜索，根据指定的路径，文件名、扩展名或通匹符进行搜索。
3）  文件内容搜索，对文件正文内容进行搜索，支持txt、word、excel、wps、bmp等文件格式。
4）  文件恢复，将深度搜索查询到的文件进行恢复，包括对可疑的上网记录和文件操作记录的恢复。

审计报告导出
审计报告导出实现对检查结果进行汇总，并能生成报表和打印。支持生成WORD、HTML两种格式的审计报告

痕迹消除
文件粉碎主要实现对文件的彻底删除，删除后的文件不会在磁盘上留下任何痕迹，即使利用专业的数据恢复工具也无法恢复。系统按照粉碎方式分为对文件粉碎和对剩余空间粉碎。

木马检查
木马检查属于系统的一个辅助功能，主要对被检查计算机内是否存在木马进行检测，通过一键检测可准确查出木马、病毒或可疑的恶意程序的位置，并生成检测报告，作为检查人员对被检查计算机安全等级评估和指导的一个指标。

模拟攻击测试
模拟攻击测试属于系统的一个辅助功能，通过采用非破坏性的模拟攻击探测的方法，可以检测windows操作系统的安全漏洞，并提出相应解决方案。辅助检查人员对被检查计算机进行安全评估。

漏洞扫描测试
漏洞扫描测试属于系统的一个辅助功能，通过采用多线程技术快速扫描受检查计算机，探测主机信息，检测计算机中是否存在系统漏洞和配置漏洞，包括：Windows操作系统漏洞、NT-SERVER弱口令、SQL主机漏洞、FTP弱口令、IIS漏洞、开放端口等。然后，针对检测出的各种漏洞提出相应解决方案。辅助检查人员对被检查计算机进行安全评估和指导。

产品特点
1、能够准确的检查涉密计算机的上网记录，并进行数据取证，即使通过专业清理工具对上网信息进行了清除处理、格式化硬盘或重新安装操作系统，本系统仍能够获得准确的上网信息。并且用户可以根据自己需要选择不同的检索路径和文件格式进行深度检查取证，达到只要计算机上互联网无论怎样进行清理都能够获得上网数据的检查取证效果。
2、支持内容检索功能，防止计算机违规处理高等级涉密文件，并辅助检查人员对计算机定级定密。通过对文件信息检索技术，可以对不同的磁盘分区内的所有DOC、XLS、TXT、WPS、ZIP和BMP等格式文件进行内容搜索。即使用户把存在磁盘的涉密文件或处理过的涉密文件的操作记录清除掉，本系统也会应用数据恢复技术，把其恢复出来，并进行检查取证。
3、提供系统安全辅助检查功能，通过系统提供的漏洞扫描、木马检测和模拟攻击测试等功能，能够准确的分析出系统中存在的潜在威胁，并提供相关的解决方案。
4、深度扫描支持OCR识别，通过光学字符识别，实现检索关键字与图像内容的匹配查询。
5、系统使用简便，操作界面友好，本系统被存储在专用介质中，无需安装，可直接在被检查计算机上自动运行，检查人员仅需输入检测目标和必要的检测配置既可自动进行检测，检测整个过程无须用户干预，检测结束后自动生成检测报告。
6、自主知识产权，系统内部设计采用可扩充框架结构，实现检测模块化处理，方便满足用户个性化二次开发需求。
7、系统支持单机版和网络版两种检测方式，并提供免费升级。

典型应用
模式一
单机检测：通过使用内置检查工具软件的专用介质对受检测终端进行检查。当专用介质通过USB接口接入计算机后，软件自动运行，无需安装。
模式二
联网检测：首先设置检查主机，通过使用内置检查工具软件的专用介质进行安装，然后设置受检查主机的IP段。"检查主机"的IP地址根据实际情况设置，应和"受检查主机"的IP地址属于同一网段。如果涉密网存在多个网段，可在检查主机上绑定多个IP地址。

应用环境
硬件要求
CPU： PIII 400 以上
内存： 128M（建议256M）
显示分辨率： 800*600 256 色
软件要求
Windows 2000 / XP /2003 操作系统
特别说明：本产品不能运行在Windows95/98/NT/Me系统上。