主机监控与审计系统设计方案.docx
《主机监控与审计系统设计方案.docx》由会员分享,可在线阅读,更多相关《主机监控与审计系统设计方案.docx(18页珍藏版)》请在冰豆网上搜索。
主机监控与审计系统设计方案
主机监控与审计系统
设计方案
北京市爱威电子技术公司
2010年5月
1.系统简介1
2.系统总体结构2
系统架构及基本工作原理2
系统功能结构3
3.系统功能4
代理端功能4
数据采集功能4
控制功能5
其它功能6
控制管理中心功能7
系统管理功能7
计算机软硬件资产管理功能9
策略管理功能11
文件/补丁程序管理功能13
审计管理功能14
报警管理功能15
日志管理功能16
用户浏览功能16
4系统特点17
CPU占用少17
网络资源占用少18
非法内联监控效率高19
1.系统简介
随着网络信息化的高速推进,人类社会的行为与活动已经和网络系统紧密联系起来。
网络信息系统将人类传统的工作、管理模式“映射”到网络环境中,极大地提高了研究、工作和管理效率。
人们对于内部网络系统,曾经假定“内部环境是安全的”,但自从网络系统采用了开放互连的TCP/IP协议后,这种假设条件在事实上已经不能完全成立了。
各类单位(尤其是涉密单位)为了保证员工能通过网络(包括互联网)共享信息的同时,确保不会因为使用网络而有意或无意的泄漏敏感信息,都采取了相应的行政手段对本单位内部局域网的使用和操作规范进行强制性的、非技术性的管理,这些管理措施在特定时期和特定环境下是可用的,但仅依靠非技术性管理却是有悖于信息化初衷的,是不利于信息化进程发展的。
主机监控与审计系统的目的是:
按照国家标准和保密局标准,结合长峰集团的实际情况,研制开发一套完善的、可持续扩展的安全保密信息审计系统。
该系统的实现,对于在信息化高速发展的同时,严格保证涉密信息系统及其审计系统的特殊性、安全性、可靠性、可控性、及时性、可扩展性有着积极的促进作用。
2.系统总体结构
系统架构及基本工作原理
系统结构图
从统一管理的角度出发,主机监控与审计系统采用多极构架组成(如图),其基本工作原理描述如下:
第一层为计算机端机,通过安装的主机监控与审计系统的代理端软件,根据CMC对该端机的审计策略要求,对硬件设备的使用经行控制,对用户的操作行为进行数据采集,并将采集到的各类数据上传到CMC。
在系统管理员授权的情况下可通过IE对数据进行查询。
第二层为各子、分公司的CMC、UB管理层,负责对各代理端进行管理、数据收集及数据的统计、查询、分析。
第三层为集团CMC、UB管理层,可对下属各子、分公司的审计策略、数据进行统计、查询、分析。
各单位CMC把严重报警提交给第三层的CMC,第三层CMC履行监督报警的处理情况的职责。
系统功能结构
主机监控与审计系统是对计算机及网络的各种事件及行为实行信息采集、监测、控制和审计的应用系统。
客户端主要由BA、PA两部分组成:
BA(BaseAgent)基本代理:
指在计算机中驻留的基本代理模块,负责基本信息的采集及发送、存活状态信息的发送、其他代理的加载和卸载等功能实现的软件。
PA(PolicyAgent)策略代理:
指按照计算机实际情况制定的策略生成的代理模块,它通过基本代理进行加载和卸载,并和基本代理进行安全认证,保证代理端软件自身安全性。
服务器端即CMC(ControlandManagerCenter)控制管理中心,是安装于中心控制台的软件,它收集各代理发送的采集信息,根据报警策略产生报警,并推荐响应控制建议,管理各个计算机(组)策略并生成策略代理,产生审计报表等。
3.系统功能
代理端功能
代理端软件指安装于各端机上的主机监控与审计系统,由BA和PA模块组成。
其主要功能是根据CMC对端机审计要求和控制要求,对用户的操作行为进行审计,对端机的软、硬件使用进行控制,并对违规行为进行报警。
3.1.1数据采集功能
代理端数据采集是指对端机的环境信息、软、硬信息及操作、使用行为进行数据采集,具体包括以下几方面:
1)基本信息数据采集:
采集计算机操作系统的基础配置数据,其中包括:
用户名、主机名、域名、网络名、操作系统、MAC地址、CPU型号、IE版本号等。
2)软件信息数据采集:
采集该系统已经安装的软件信息。
3)设备信息数据采集:
采集该计算机的设备配置情况,包括:
DVD/CD-ROM驱动器、IDEATA/ATAPI控制器、处理器、磁盘驱动器、端口、键盘、软盘控制器、软盘驱动器、鼠标和其它指针设备、通用串行总线控制器、网络适配器、显示卡等。
4)日志信息数据采集:
对系统生成的日志信息进行数据采集,其中包括:
应用程序错误记录、安全审核记录、系统错误记录。
5)磁盘文件操作数据采集:
对用户对文件的增、删、改、重命名进行审计,同时对计算机IP地址、操作时间、文件操作类型、文件路径、文件名等数据进行提取、保存。
6)注册表操作数据采集:
对注册表项的“增、删、改”操作行为进行数据采集,采集的基本信息包括:
计算机名(IP地址)、用户名、程序名、键名、键值、操作时间等信息。
7)应用/进程信息数据采集:
对系统的应用程序和进程的启动及运行情况进行数据采集,包括:
计算机名(IP地址)、用户名、进程映像名称、进程ID、程序名称等。
8)打印信息数据采集:
对计算机进行的打印信息进行采集,采集的基本信息包括:
计算机名(IP地址)、用户名、打印机名、打印时间、打印文档名、打印页数、打印份数等信息。
9)网络行为数据采集:
对用户的上网行为进行数据采集,采集的基本信息包括:
计算机名(IP地址)、用户名、上网时间、网址名等信息。
10)非法外联行为数据采集:
对CMC允许以外的外联行为定义为非法外联行为,此操作威胁到涉密文件的安全,因此要产生报警信息,采集的基本信息包括:
计算机名(IP地址)、用户名、上网时间、网址名等信息。
11)非法内联行为数据采集:
进入内网的计算机是经过严格审批手续的,对没有进行审批就进入内网的计算机认为是非法内联行为,对计算机的非法内联行为的数据采集包括:
计算机名(IP地址)、用户名、时间等信息。
3.1.2控制功能
为了保证计算机上的数据安全,防止泄密事件的发生,要禁止用户在未经许可的情况下私自将涉密文件拷出,禁止进入不安全的网络,防止被他人恶意攻击,窃取涉密文件。
因此在对文件进行审计的同时,要对文件的出口加以控制。
为了保证数据的有效性,对系统的关键数据的修改权利也加以控制。
控制功能包括两部分设备使用的控制和操作系统参数设置的控制。
1)设备包括本机已有设备和外围设备两部分,控制主要指对设备的可用性进行控制,分为启用和禁用两种状态,设备启用时用户可以对设备正常使用,禁用时用户将无法使用该设备,如果用户采用其他技术手段改变了CMC对设备的控制属性,代理端检测到后将依据CMC对设备的使用权重新进行设置,并产生报警信息,通知CMC。
要进行控制的设备包括以下几方面:
光驱
软驱
USB设备
USB存储设备
串、并口
打印机
拨号上网
无线网卡上网
网络共享服务
2)操作系统部分功能使用的控制权
IP/MAC地址的更改:
为了保证数据的有效性,同时有效防止非法内联事件的发生,在未经审批、管理员授权的情况下禁止修改IP/MAC地址。
通过网络的文件、打印和命名管道共享:
为了保证计算机上的数据安全,防止他人的恶意窃取,严禁共享功能。
3.1.3其它功能
1)报警功能:
代理端报警策略的设置及事件的报警级别由CMC负责管理,管理员根据不同端机的工作要求可设置不同报警策略,并下发到各端机。
代理端软件则根据本机的报警策略对违规事件产生相应的报警信息,并立即上传到控制台,通知管理员有违规事件发生。
2)自动升级功能:
代理由BA基本代理和PA策略代理组成,BA运行于OS级,常驻内存,PA则动态加载。
当收到新版本PA后,BA动态卸载旧的PA,再加载新版本PA,这一切动作对用户透明,从而达到动态自动升级的目的,也无须管理人员在大规模实施后需要跑到每一个客户端去升级的大工作量行为。
3)自我防护功能:
BA代理是一个短小强悍的监控程序,驻留在涉密计算机的内存中,体积非常小,隐蔽性强,一但驻留,除SCMCA-HT安全管理员外,将无法删除,因此,可确保监控功能的持续、正常执行。
同时,PA和BA互相监视,并隐蔽存储多副本于计算机中,当监视到对方依托文件不存在时,快速从副本处复制一个依托文件到安装目录。
CMC中心也存储涉密计算机的BA和PA,一旦发现有恶意攻击行为攻击BA或者PA,CMC将产生报警,由响应的管理制度来制止这种恶意攻击行为。
控制管理中心功能
CMC控制管理中心是该系统的核心,实现对所管辖计算机代理采集信息的统一管理、审计和报警功能,同时负责该系统本身的管理功能的实现,功能如下图所示:
CMC功能示意图
3.2.1系统管理功能
系统功能主要完成系统本身的系统设置和维护功能,保证系统访问的用户安全性、系统登录和注销的合法性、系统配置的合理性、系统数据的安全备份与恢复、系统本身的操作日志记录的完整性。
1)登录与注销
管理员使用默认用户名和密码登录到CMC后,分别创建日志查看员和系统日志监督员,并赋予默认密码。
管理员、日志查看员和系统日志监督员分别使用自己的用户名和默认密码登录CMC,但是根据其权限显示不同的CMC界面。
所有用户在第一次使用默认密码登录后,CMC自动强制各用户更改默认密码为新密码。
所有用户空闲超过一定时间后,系统自动锁定,进入锁定界面。
2)用户及组管理
系统用户管理是对系统本身的用户进行管理的工具。
系统用户管理支持多管理员角色,可区分超级管理员、管理员、日志查看员、系统日志监督员。
用户管理员具备创建下级用户的权限;
管理员只具备系统进行配置、数据备份和恢复的权限,但是不具备下级管理员的权限具备。
日志查看员可以操作CMC查阅各代理采集信息、制定策略、进行控制等功能;
系统日志监督员负责对超级管理员、管理员、日志查看员的行为日志进行查阅和监督。
如果用户需要,还可在4类角色中再细分级别。
4两种角色的组合使用由用户自己决定。
用户管理主要包括管理人员的帐号、口令管理、人员信息的增、删、改、查等操作。
3)参数配置
管理员可以对系统本身的运行参数进行配置,包括:
系统显示方式、系统等待时间、计算机安全扫描时间间隔等。
4)数据备份与恢复
管理员可对数据进行备份和恢复,数据库中的数据超过数据保存最大容量之后或者超过数据最长保存时间之后,系统会强制管理员对数据作备份操作,备份数据存放于指定目录下,备份后数据库中的记录才可以删除,备份目录和记录的删除操作都会自动记录到系统日志中,由系统日志监督员进行监督。
所有数据不提供单条记录删除的功能。
系统万一出现崩溃,或者硬件原因造成了数据丢失,管理员可以把最近的一次备份数据恢复到系统中。
5)系统日志维护
系统日志记录管理员对CMC的操作,主要包括:
登录、退出、用户管理操作、部门管理操作、策略操作、控制操作等。
系统日志监督员可以对系统日志数据库表/记录进行备份/恢复等维护操作。
日志在备份后可以删除,不提供单条删除功能。
3.2.2计算机软硬件资产管理功能
计算机资源是指单位内部的计算机,这些计算机是单位信息网络的重要组成部分,通常来说,某台计算机会有明确的任务、使用范围和使用人。
目前,并没有效的措施指定计算机的使用者,计算机资源的使用难以控制,从而造成一定的信息安全隐患,比如财务部的计算机就不能允许非财务人员使用等等。
另外,计算机资源是一个单位非常重要的资产,一般包括硬件资产和软件资产。
CMC利用其超强的硬件获取能力使信息人员和资产管理人员可以很方便的查看到网络内部的硬件的分配情况,可以极大地方便了资产统计人员,避免了过去做资产统计必须拆机箱的做法,利用先进的自动捕获技术,及时的收集到所有的硬件信息,提高工作人员的效率。
CMC利用其强大的软件信息获取能力将单位所拥有的软件纳入资产的正常管理程序,以便掌握单位信息化的投资状况,包括采购、安装、分发、升级、维护、删除等整个软件使用的生命周期。
它经由一系列有效的管理措施,配合系统管理的使用,就可以合理地控制软件购置的经费支出,以此提升软件资产的利用率与整体效益,并且确保软件使用的合法性。
1)计算机单机资产管理
单机资产管理负责将网络内合法的计算机添加到本系统内,作为合法用户使用。
功能包括:
计算机信息的增、删、改、查。
单机资产管理功能包括硬件资产管理和软件资产管理两部分,并且提供强大的统计功能。
硬件资产管理
安装硬件信息:
在涉密计算机用户注册后,记录下计算机的所有硬件安装信息(处理器CPU,光驱,内存,软驱,声卡,显卡,硬盘的类型及其种类),同时把该信息和用户信息、固定资产编号信息进行关联形成该用户的硬件资产信息并且进行日志记录;
变动硬件信息:
检测计算机发生变动的硬件信息,并且记录日志。
软件资产管理
安装软件信息:
在计算机用户注册后,记录下涉密计算机的所有软件安装信息并且进行日志记录;
变动软件信息:
检测计算机发生变动的软件信息,并且记录日志。
2)组/部门资产管理
CMC支持群组/部门管理,即将被监控计算机群按照传统的业务组/工作组/部门进行划分,并按照组/部门的方式进行策略管理,组内的成员的计算机全部自动遵守该组的安全策略。
组的成员可随时添加或删除。
这一功能对于管理人员快速、准确识别涉密信息和安全状态很有帮助,并且可以大大减轻管理员的策略配置管理负担。
3.2.3监视管理功能
监视管理功能这部分是日志查看员的日常管理任务,他可以使日志查看员可实时掌握内部网络计算机的运行和安全状态,保证内部网络管理策略的正确执行。
1)在线状态监视
日志查看员可从查看全部主机的联网状态。
如果选择网络方式查看,则在CMC的监视界面上显示全部涉密计算机的联网状态。
其中,闪亮的表示在线,灰色的表示离线。
如果选择组/部门方式,则在CMC的监视界面上按部门显示,展开部门后,显示部门所辖涉密计算机的联网状态。
2)非法入网监视
CMC按照“安装了代理+IP/MAC地址白名单”的排除法发现非法计算机。
“安装了代理+IP/MAC地址白名单”是指:
定义安装了SCMCA-HT代理的、并且IP/MAC地址在白名单中的涉密计算机称为合法,只有这样的涉密计算机才能使用内网资源,否则强行禁止其使用内网,并且及时报警。
非法入网计算机在CMC中以非法入网计算机为组名称的进行拓扑显示,可以列出所有非法接入内部网络的主机(IP/MAC地址),而在监视界面中显示这些主机的入网行为记录。
3)安全扫描
CMC可以对指定网段内的涉密计算机进行安全检查,如果发现有未安装本代理以及IP/MAC地址不属于白名单的涉密计算机在线则报警。
3.2.4策略管理功能
主机监控与审计系统的策略是指代理对涉密计算机监视和控制规则的集合。
策略的制定、修改、添加、删除、存储/导入、下发和执行情况监督都由CMC完成,通过CMC统一或部分下发至各个代理。
1)策略模板管理
根据策略分级和继承原则,所有策略以模版形式生成后,才可以下发到代理。
策略模板管理可以制定4个级别的多种模板:
默认策略——本系统发行时提供,随基本代理一同安装于被监控涉密计算机上,该策略为最严格策略;
全局策略——一个单位全局范围的策略,对所有用户有效;
部门策略——部门范围内的策略,对该部门的所有用户有效;
用户策略——特定用户策略,只对该用户有效。
策略模板管理包括:
策略模板制定:
制定以上4级模板;
策略模板修改:
对指定好的模板进行修改;
策略模板添加:
同一级别下具有多个模板时,添加模板;
策略模板删除:
对不再有效的策略模板进行删除;
策略模板存储及导入:
所有模板可以以单位或者个人名称方式单独生成一个,并可以存储(或者打印),再遇到特殊情况重装系统后可以把先前存储的模板导入到系统中,方便策略的备份和恢复,减轻工作量。
策略模板的内容主要包括以下方面:
基本信息的采集策略:
对代理采集计算机的方式、提交频率等进行配置。
文件监控策略:
对磁盘文件的监控方式、过滤方式、操作方式、文件保护方式进行配置。
注册表监控策略:
对注册表监控方式、扫描频率、提交方式和频率进行配置。
打印监控策略:
对涉密计算机的打印行策略为进行配置。
应用程序/进程监控策略:
对应用程序/进程的启动、运行策略进行配置。
设备监控策略:
对涉密计算机所辖设备和新增的未知设备使用策略进行配置。
网络应用行为监控策略:
对网页浏览-HTTP、文件传输-FTP、发邮件-SMTP、收邮件-POP3、远程登录-Telnet,以及外部主动联接、IP/MAC地址绑定、非法外联、非法内联等的行为策略进行配置。
2)策略下发
针对不同的计算机用户和组,对计算机的审计行为、端口控制行为各不相同,CMC可根据实际情况制定不同的审计、控制策略模板,在下发审计策略时选择相应的模板即可。
这样对管理人员而言便于管理,方便使用。
策略下发方式分为立即执行和重新启动后执行两种模式,由管理人员在下发时根据实际情况进行选择,也可以采用策略模版中制定的选择。
立即执行模式:
代理收到CMC发送的策略更新命令,立即终止现行程序,按照新的策略去重新分配线程,在终止原策略启用新策略过程中,可能会造成部分数据的丢失。
重新启动后执行模式:
代理收到CMC发送的策略更新命令后,暂时不进行相应而只是把新策略存储于本地,强制计算机重新启动或者待计算机自然重新启动后,再加载新策略。
代理在计算机启动后和控制台进行通讯,如果要更新策略模板,则下载新的模板后继续运行。
策略的下发对用户透明,不会对用户的自然操作产生影响。
3)策略执行和状态监督
策略执行由代理完成,执行过程不会对用户自然操作产生影响。
策略下发成功或者失败时,代理会把策略更新记录提交给CMC。
CMC可以对所有涉密计算机的:
策略执行状态(成功/失败)、策略模板名称、策略模板内容、策略执行时间及有效时间等内容进行查看和监督。
3.2.5文件/补丁程序管理功能
1)文件/补丁管理
随着软件的不断完善,功能的不断增多,新的软件版本将不断发布,文件/补丁管理就是将每一版本软件保存到数据库中,并通过软件的启用、停用标志控制软件的可用性,通过文件/补丁分发功能,将新的软件下发到各代理端。
如果软件下发时发现该版本的软件已经是停用标志,将不再下发。
2)文件/补丁分发
代理的升级采用“静默式安装”方式自动升级,对用户透明,由CMC控制对全部涉密计算机进行统一在线升级。
在线升级是在涉密计算机已安装代理的前提下,可以实现软件的在线升级。
升级方式分为主动升级、下发后立即升级两种模式,具体升级方式同样由管理人员通过系统设置功能进行设置。
主动升级:
每次开机后代理主动和CMC进行通讯,如果有高于本机的软件版本发布,则主动下载,并自动升级。
下发后立即升级:
CMC向代理发送软件立即升级的命令,代理收到命令后,进行软件版本的判定,如果新版本确实高于现行版本,则进行新版本软件的下载,下载完毕后,立即执行软件更新。
在软件更新过程中可能会造成部分审计数据的丢失。
3.2.6审计管理功能
CMC审计管理功能基于已收到的各代理端采集到审计记录对各种的操作行为进行审计,审计内容包括:
1)磁盘文件操作行为审计
2)注册表审计
3)应用/进程使用审计
4)日志审计
5)账户信息审计
6)USB介质使用行为审计
7)外部设备使用行为审计
8)打印行为审计
9)主动网络连接操作行为审计
10)非法外联行为审计
为了方便管理员的审计操作,提高管理效率,系统对以上各审计内容提供多种审计方式:
按部门审计:
对该部门下的所有人员的某一操作行为进行审计。
按人员审计:
由于工作需要,存在大量一人多机的情况,为了方便对某人的所有操作行为进行审计,系统提供按人员进行审计的功能,即审计该人员管理下所有计算机的操作行为。
按IP地址审计:
按IP地址对某一台计算机的操作行为进行审计。
按时间段进行审计:
在以上某一条件下,有针对性的审计一段时间内操作行为。
3.2.7报警管理功能
管理人员面对数量巨大的审计日志的时候,如果没有合理的报警,将对其管理工作带来巨大的困难。
CMC将提供基础的报警策略,并提供报警定义、修改、删除、存储/导入等管理功能,使系统在得到和报警规则相匹配的操作行为的时候,自动产生报警,并向管理人员发出提示。
1)报警策略定义及管理
报警分为单一来源报警、组合报警和用户自定义报警:
单一来源报警:
由日志分级方式产生,即系统每产生的一条日志都有个安全等级字段,安全等级在制定安全策略时指定。
日志安全等级的目的是提高日志审计的效率,同时突出了报警的概念,如日志分为1~5共5个安全等级,5为最高等级,可定义安全等级>=3的日志产生预警。
组合报警:
对于不能由单一来源确定的恶意行为,这种报警可能需要依据多条日志进行分析才能产生。
系统会提供组合报警模板供用户参考,其安全等级由用户根据实际情况自己确定。
用户自定义报警:
对本系统没有规定的报警,用户可以根据实际情况就其所关心的日志设置安全级别产生报警。
报警策略的定义及其管理也采用策略模板的方式。
2)报警处理
当有符合报警策略的违规事件发生时,代理会在涉密计算机上给出提示,同时会把该日志记录发送到CMC。
CMC会在计算机浏览管理视图上产生色彩鲜艳的警示性报警信号,管理人员可以查看报警详细信息,CMC会给出对该类报警信息的处理建议。
管理人员可以选择忽略该报警,或者在处理完该报警之后代理自动监测到无违规记录时,报警取消。
3)报警查询和统计
对报警事件进行查询统计,管理方式同审计信息的查询和统计。
3.2.8日志管理功能
1)日志过滤查询
管理人员能够方便地定制过滤查询本系统产生的所有日志,可以灵活地设置查询条件,包括:
用户信息、日志等级、日志产生时间、日志内容等。
支持组合查询、模糊匹配查询等技术。
2)日志统计及报表输出
具备日志统计分析功能,能够展现一段时间内的日志趋势,安全管理员可以据此考虑调整相应的安全策略。
统计报表表现方式灵活,除了最基本的列表方式之外,还应该具备图形表现功能,包括饼图、柱状图以及曲线图等。
统计报表可以采用打印、存储、导出等方式输出。
用户浏览功能
审计数据的查询、统计、分析功能采用B/S方式完成,管理员通过IE浏览器在网络内的任何一台端机上可对数据进行浏览。
数据查询:
对审计数据、用户信息按照任意条件进行查询。
数据统计:
对审计数据按要求进行统计,并以饼状图、柱状图等直观形式表示出来。
数据分析:
对审计数据进行综合分析及事件追踪,找出其中可疑事件,提高系统的安全性。
4系统特点
CPU占用少
CPU资源的占用率也称为占有率,是外部设备使用时对CPU的占用时间。
如果CPU长期占用率过高,可造成CPU温度过高,从而影响CPU及周围的电路,降低电脑的使用寿命,同时也对CPU的并发处理能力造成影响,降低其它软件运行、处理速度。
一台计算机即使用户在不作任何操作时,操作系统为维持其正常运行在进行大量的操作,如动态库调用、注册表的修改、文件的建立、文件的修改、文件的删除等工作。
用户工作时在对各种应用软件的使用过程中,除了会产生所需要文件外,应用软件还会大量修改系统文件并生成临时文件,如何提高数据的有效性、降低CPU的占用率成为一个技术难点。
很多软件针对审计事件的采集采用轮寻方式,即定时扫描方式。
间隔时间过长会引起事件的漏记,间隔时间过短会引起CPU占有率过高。
对此采用以下两方面解决以下问题:
审计
升级会员 