主机审计与监控系统白皮书Word格式.docx
《主机审计与监控系统白皮书Word格式.docx》由会员分享,可在线阅读,更多相关《主机审计与监控系统白皮书Word格式.docx(10页珍藏版)》请在冰豆网上搜索。
同时,为了加强涉密计算机的管理,系统内置了注册管理功能,对计算机的IP地址、部门等信息进行集中管理,实现对计算机的实时跟踪和控制。
1.2系统结构
涉密计算机审计与监控系统.采用B/S设计架构,系统架构如图1-2-1所示。
从图中可以看出,系统由三部分组成:
控制台,主机监控代理、后台数据库。
其中控制台管理采用B/S模式,监控代理与控制台之间的通讯采用C/S模式。
控制台负责设置监控代理的安全策略、查看监控代理的活动状态、接受监控代理上传的报警事件并记入后台数据库以及对历史审计数据的查询以及报表等。
控制台主要采用了JAVA技术和WebService技术。
主机监控代理负责按照控制台制定的安全策略完成对主机软硬件资源、文件系统等的使用控制、监控和审计功能。
将报警信息上传到控制台。
监控代理按照模块化的设计思想,每个功能都是一个独立的模块,且各功能模块可按控制台的策略动态加载或移除。
这使得监控代理的功能升级非常方便。
后台数据库是提供数据信息存储和数据信息交换的平台。
本系统可根据管理的主机数量分别选择Oracle、SQLServer、MySQL等。
数据库主要存储报警和审计数据。
图1-2-1博睿勤主机审计与监控系统体系架构
二主要功能
2.1概述
本系统通过主机监控代理实现计算机的控制、监控与审计。
不论计算机是否联网、登陆用户是否有超级权限,都能够有效控制计算机相关资源的使用。
本系统主要包括控制功能、监控功能、审计功能和系统管理功能四大类。
控制功能包括计算机硬件资源控制、软件资源控制、移动存储设备使用控制、IP与MAC地址绑定等。
监控功能包括服务监控、进程监控、硬件操作监控、文件系统监控、打印机监控、非法外联监控、计算机用户账号监控等。
审计功能包括文件操作审计、外挂设备操作审计、非法外联审计、IP地址更改审计、服务与进程审计等。
系统管理功能包括系统用户管理、主机监控代理状态监控、安全策略管理、主机监控代理升级管理、计算机注册管理、实时报警、历史信息查询、统计与报表等。
另外,系统还包括其它一些辅助功能,例如资产管理、补丁分发、操作系统日志收集。
2.2控制功能
涉密计算机审计与监控系统的控制功能是指对安装主机监控代理的计算机上的各种硬件资源、软件资源的使用等用户行为进行控制,使得非法用户或未授权用户的行为得到有效控制,从而达到保护主机系统机密信息不被非法盗取或意外泄漏的目的。
2.2.1硬件资源控制
本系统能够管理控制(使用或禁用)的硬件设备包括所有的计算机外挂设备。
这些外挂设备包括:
USB设备、串口、并口、RAM盘、软驱、光驱、刻录机、红外设备等。
一旦控制中心设定的策略不允许使用某个设备,即使本机超级用户也无法使用该设备。
这种控制功能和系统内核进行了结合,达到了强制控制的目的,即被禁用的设备无法使用,即便超级管理员也无法启用该设备。
另外,系统还可控制新添加的外挂硬件设备。
只要控制台的策略不允许使用任何新添加的设备,计算机上的新加设备便不可使用。
2.2.2软件资源控制
软件资源的控制主要是指对用户可使用的应用软件进行控制即对已安装的应用软件的使用进行控制。
对于已经安装的应用软件,系统可以采用黑名单的形式,禁止用户运行黑名单上的应用程序。
2.2.3移动存储设备控制
系统可对移动存储设备的使用进行控制,包括U盘、移动硬盘、软盘。
禁止移动设备的使用,当禁用移动设备后,用户无法向移动设备上拷贝任何文件,也无法访问移动设备上的文件。
2.2.4IP与MAC地址绑定
系统可禁止用户自行修改主机的IP地址,这主要通过IP与MAC地址绑定来实现。
如果计算机采用了固定IP地址管理方式,系统可将IP和MAC地址绑定,如何试图改变IP地址的企图都将无效。
这为计算机的管理提供了方便。
也有效防止了用户通过私自更改计算机IP地址的方式,进行非法操作。
2.3监控功能
系统的监控功能主要是对计算机的运行状态和用户行为进行实时监视,并对出现的违规行为或非法行为采取必要的控制措施。
通过系统监控功能,管理人员能够及时发现被监控计算机可能的泄密行为,也能够发现一些正在危害系统安全的特殊行为,并可自动采取控制措施阻止泄密行为的发生。
2.3.1进程监控
进程监控是指对被监控计算机上正在运行的进程进行实时监视,并根据进程黑名单对进程进行控制。
如果某个正在运行的进程被加入黑名单,主机监控代理将立即杀死该进程。
其它位于黑名单中的未运行进程则永远不可运行,除非控制台将该进程从黑名单中移除。
2.3.2服务监控
服务监控是指对被监控计算机上正在运行的服务进行实时监视,并根据服务黑名单对服务进行控制。
如果某个已经启动的服务被加入黑名单,主机监控代理将立即停用该服务。
其它位于黑名单中的未启动服务则永远无法启动,除非控制台将该服务从黑名单中移除。
2.3.3硬件操作监控
本功能主要监视用户对外挂硬件设备的启用和禁用等操作,并对用户操作进行实时报警。
例如,如果安全策略不允许用户启用某个外围设备,当用户试图启用这个设备时系统便会报警。
2.3.4文件系统监控
该功能可针对被监控的计算机制定文件监控策略,对用户的文件操作进行监控,例如创建文件,更改文件名,删除文件等。
系统能够识别创建或拷贝的文件是位于移动硬盘还是固定介质。
监控策略包括文件类型、文件名等。
可使用通配符“*”,“?
”。
这样就可针对文件名中包含的涉密关键字,监控可能的用户泄密操作。
通过将用户操作事件写入数据库,还可为事后泄密责任的追查提供依据。
2.3.5打印机监控
打印机监控是指对被监控计算机的文件打印操作进行监控,只要发现打印任务,立即向控制台发送报警信息。
报警信息包括文档名、所有者、当前打印状态等。
可监控的打印机包括本地打印机、共享打印机和网络打印机。
2.3.6非法外联监控
非法外联是指未授权用户通过各种途径访问国际互联网的行为。
该功能可根据设定的策略允许或者禁止用户访问互联网。
可以禁止的互联网访问方式包括局域网上网、ADSL、MODEM拨号、无线上网、以及通过红外线和蓝牙设备上网等。
系统一旦发现用户计算机连通了互联网,可立即禁止网络连接。
该功能突破了传统的拨号上网连接控制,完全杜绝了非法上网行为。
2.3.7计算机用户账号监控
该功能主要对计算机用户账号的更改情况进行监控,包括增加、删除、改名、修改属性等。
一旦发现计算机用户账号有改动,立即向控制台发送报警信息。
2.4审计功能
审计功能主要是针对系统监控所涉及的内容进行记录,并上传到控制台保存。
如果被监控计算机处于离线状态,主机监控代理仍然可记录对于用户在离线状态下的行为,主机监控代理仍然进行记录,加密后保存在客户端。
当该机器连接到内部网上后,这些记录可继续传输到控制台服务器,并由控制台写入后台数据库中。
2.4.1文件操作审计
文件操作审计主要对用户进行的各种文件操作进行审计,如创建、读取、删除、修改等。
通过该功能可实现对特定文件的跟踪审计。
2.4.2外挂设备操作审计
该功能主要对用户企图启用或禁用计算机外挂设备的操作进行审计。
通过功能可对用户使用外挂设备的企图进行记录,为日后的责任追查提供依据。
2.4.3非法外联审计
在系统设置了禁止非法外联安全策略情况下(即禁止用户计算机连接互联网),该功能可对用户连接互联网的操作进行审计、审计内容包括非法外联类型(拨号、ADSL、局域网等)、事件发生时间、拨号号码、接入网关和DNS等。
2.4.4IP地址更改审计
在控制台设置地址绑定策略(MAC地址与IP地址绑定)后,如果用户擅自修改IP地址,系统会生成警报信息告知控制台,并将用户试图进行修改IP地址的操作记录下来,记录信息包括原IP地址、MAC地址、更改后的IP地址以及更改时间等。
2.4.5服务、进程审计
服务和进程审计主要是针对运行代理端的机器上的服务和进程的变化进行记录。
当位于服务或进程黑名单中的服务或进程启动时,系统将记录该服务和进程。
记录内容包括服务名、进程名、启动时间等。
2.5系统管理功能
2.5.1代理状态监控
该功能能够对安装的主机监控代理的运行状态进行监控,可实时监控主机代理的当前状态,包括活动、未活动、异常、未安装、安装后被卸载等情况。
通过代理状态监控,管理员可识别异常代理,也可对用户非法卸载或破坏代理的情况进行监控。
一旦发现异常,可通过控制台向管理员报警。
2.5.2安全策略管理
安全策略管理是指对各主机监控代理的安全策略进行统一管理,包括设置、查看、修改等。
策略分为主机策略和组策略,主机策略可自动继承组策略。
通过组策可实现安全策略的群发,从而为用户提供高效率的策略配置方案。
系统可对策略进行集中查看,这大大方便了系统管理员对主机策略的监控和管理。
2.5.3主机监控代理升级管理
该功能可实现主机监控代理的自动升级。
升级对用户本身是透明的,用户端感觉不到任何异常,且升级无须重新启动计算机。
系统由控制台对代理升级模块进行统一管理。
2.5.4计算机注册管理
计算机注册管理是指对内网的计算机进行统一的注册,注册信息包括主机IP地址、MAC地址、拥有者、所在部门、房间号、联系电话等。
通过注册实现内网计算机的统一管理。
2.5.5实时报警
系统接受来自各主机监控代理的报警信息,一旦有报警信息达到中央控制台,系统会立即报警,通过可视化报警显示,为管理员采取进一步的防范措施提供参考。
2.5.6历史信息查询
历史信息查询是指对系统存储的历史审计数据进行查询,查询可通过各种条件的组合进行,方便管理员对特定审计信息的检索。
2.5.7统计与报表
系统还提供历史审计信息的统计和报表功能。
管理员可按照各种模板实现历史日记的自动统计和报表(日报、周报、月报等),管理员还可自行定义统计和报表条件,对特定信息进行统计并生成报表。
报表支持html、doc、excel、pdf等格式。
2.6其它辅助功能
2.6.1资产管理
该辅助功能可为系统使用单位提供简单的资产管理。
系统可自动收集计算机各种软硬件资源信息、包括安装的各种应用程序、CPU、内存、硬盘等,并可对硬件的改动进行跟踪和报警。
该功能可为企业的资产清查、统计和管理提供一定的帮助。
2.6.2补丁分发
系统提供补丁分发功能。
管理员可将需要分发的各种操作系统补丁、应用系统补丁以及其它一些辅助工具等统一部署到控制台,以计算机或组的方式向各计算机下发。
计算机会自动提示用户有补丁程序需要安装,经计算机使用者确认后即可安装补丁程序。
2.6.3操作系统日志收集
通过该功能、主机监控代理可自动收集操作系统日志,并将日志上传到控制台存储。
为系统管理员诊断和检查各计算机的故障以及安全情况提供帮助。
三主要特色
3.1系统部署方式灵活、安装方便
本系统采用控制台和代理分离的设计方式,代理的安装可以通过控制台统一进行,大大简化了系统的安装。
控制台可以主动从监控代理提取数据,也可以由监控代理主动向控制台发送数据,这使得主机代理和控制台的部署可以满足复杂网络拓扑。
主机监控代理的安装支持两种方式:
本地安装和域安装。
3.2控