汉邦信息安全综合强审计监控系统技术白皮书v4.0(最新)Word文件下载.doc

1、2. 系统概述23. 系统组成24. 功能介绍34.1 主机审计监控子系统34.2 网络审计监控子系统64.3 数据库审计监控子系统65. 系统的安全性65.1 认证和传输方式65.2 记录方式75.3 审计数据的完整性75.4 处理方式76. 运行环境76.1 审计中心配置要求76.2 主机传感器配置要求87. 产品特点87.1 完善的安全审计功能87.2 模块化设计87.3 多级数据提取技术87.4 统一管理平台设计88. 技术特色88.1 分布式88.2 综合性98.3 扩展性109. 汉邦信息安全综合强审计系统在网络信息安全管理中的作用1010. 部分重大课题1111. 汉邦信息安全综

2、合强审计系统部分典型客户1112. 证书14内部资料 注意保管 严禁转载 违者必究 - 19 -1. 引言随着信息技术的发展，信息网络国际化、社会化、开放化和个人化的特点，在给人们带来方便、高效和信息共享的同时，也给信息安全带来许多问题。恶意、过失、不合理的信息上传、下载和发布，会造成敏感信息泄漏、有害信息扩散，危及社会、国家、团体和个人的利益。1.1 网络安全的重要性近几年来，随着计算机网络的迅猛发展，特别是互联网的不断推广应用，网络安全越来越成为人们关注的热点之一。如何保障网络的安全使用，如何制定并实施合理的网络安全规则，成为人们亟待解决的问题。网络安全不仅事关国家的安危与主权，而且关系到

3、企业、机构及个人的利益。据统计，在全球范围内，由于信息系统的脆弱性而导致的经济损失，每年高达数亿美元，并呈逐年上升趋势。1.2 什么是强审计审计的原始意义是指独立检查会计账目，监督财政、财务收支真实、合法、效益的行为。安全审计监控是指记录用户使用计算机网络系统的所有过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能指出系统正被怎样的使用。审计信息对于确定问题、是否有网络攻击和攻击源很重要。通过对安全事件的连续收集与积累并加以分析，对其中有疑问的某些站点或用户进行审计跟踪，以便为发现可能产生的破坏性行为提供有利的证据。信息安全综合强审计监控系统主要突出审计的综合性、强制性和全面性。

4、综合强审计系统从防御到事后取证，全面地对整个网络、主机、服务器、数据库、应用系统进行审计与保护，能够有力抵御各种破坏行为。同时，该系统采用分布式跨网段设计，集中统一管理，可对审计数据进行综合的统计与分析，可以更有效的防御外部的入侵和内部的非法违规操作。1.3 强审计的重要作用目前，国内外信息安全市场主要集中在防火墙、入侵监测、漏洞扫描等防外的产品上。网络安全以单点防护为主，大量安全产品简单堆砌，形不成规模化、体系化的立体防护体系。在网络信息安全发展的现阶段，网络规模不断扩大，网络设备和节点不断增加，同时网络安全事件层出不穷，有愈演愈烈之势，仅靠过去单一的网络安全产品已无力保障网络信息的安全运行

5、。同时，业界过分重视防范来自外部的信息安全事件，缺乏有效的内部人员威胁解决方案，甚至很少有这方面的研究项目，大多数人对内部人员威胁的认识仅限于概念层面上，更缺少针对内部人员威胁的安全审计监控系统的技术研究和产品开发。据统计，80%的攻击事件、失窃密事件来自内部，内部人员更容易接触到绝密、重要、敏感的信息，来自内部的安全问题更多、更难防范，一旦出现内部安全问题，损失更大。安全综合强审计监控系统是是当前乃至未来信息安全产业的焦点，是信息化建设中至关重要的一环，是确保信息化健康、稳定、持续发展的关键。2. 系统概述汉邦信息安全综合强审计监控系统是一个能够监控、审查内部人员操作行为，保护内网主机、服务

6、器、网络、数据库安全的管理工具，具有良好的可靠性和易用性。该产品可以广泛应用于电子党务、电子政务、电子商务、电子金融、数字化部队、武器装备科研生产单位、科研生产单位、传媒行业、大型企业、制造业等需要加强“内部人”行为控制、加强责任认定和完善授权管理的部门和领域。3. 系统组成汉邦信息安全综合强审计系统采用分布式、模块化的设计思想，整个系统由软硬件组成，包括审计中心（软件）、主机传感器（软件）、网络引擎（硬件）。l 主机传感器主机传感器直接安装于被审计的主机上，对主机的日志、网络操作、文件操作、重要资源使用等进行监控与审计。l 网络引擎连接到网络中的数据汇聚点设备上（如：集线器、交换机等），它抓

7、取网络中的数据包，并对抓到的数据包进行分析、匹配、统计，通过特定的协议规则，从而实现网络审计功能，并且将入侵的信息记录下来。l 审计中心审计中心提供图形化界面，方便用户使用。它是网络管理员操作审计系统的人机界面，通过它可以设置各种审计规则；接收数据采集器发送来的报警信息，查看具体的报警信息，浏览历史数据，生成各种报表等。4. 功能介绍汉邦信息安全综合强审计监控系统分为主机审计监控子系统、网络审计监控子系统、数据库审计监控子系统。各系统的具体功能说明如下：4.1 主机审计监控子系统主机审计监控采用主机传感器组件，安装于受控的主机系统中，通过对被审计主机资源和重要文件与信息的审计，起到审计和监控主

8、机资源的作用。4.1.1 网络审计监控能够禁止、记录计算机在某个时间段内访问某个IP地址、某个端口、某个网段、某进程，允许或禁止网络连接的行为并记录。4.1.2 拨号审计监控通过设置拨号规则进行拨号控制管理，允许或禁止用户通过拨号形式连接外网。同时，根据规则设置记录允许和禁止的拨号事件。4.1.3 文件审计监控能够根据文件的扩展名、文件名、路径名、移动盘，对各类文件的写入、拷贝、删除、创建、读取、覆盖、移动或重命名进行审计并记录，出现违规操作能及时报警。4.1.4 系统日志审计能对主机上的系统日志、安全日志进行统一收集，集中管理。4.1.5 进程审计监控集中收集主机上的进程信息，通过对进程黑白

9、名单的设置将进程设置为合法进程或非法进程，一旦主机上出现非法进程时，能及时报警。4.1.6 打印审计监控对主机的打印操作进行审计监控。允许或禁止打印行为，记录打印事件和打印文件内容，同时能实现打印内容回放。4.1.7 主机IP审计监控允许或禁止被审计主机的IP地址修改行为，同时可以记录被审计主机IP地址的修改信息。4.1.8 盘符审计监控通过设置规则，允许或禁止用户使用计算机的软驱、光驱、USB存贮设备、USB光驱、光驱只读、安全模式等，并记录被监控主机违规操作情况。4.1.9 硬件审计监控通过策略设置，对安装有审计客户端计算机的硬件资源进行审计监控，对于指定的硬件设备，审计系统可限制其使用。

10、对硬件的变更可以进行记录，方便日后追查。4.1.10 屏幕审计监控监控、记录被审计主机的屏幕信息，审计中心可按照策略对指定计算机在指定时间段内的屏幕信息进行截屏、保存，可以实时播放当前被审计计算机的屏幕信息以及历史屏幕信息回放，从而具备实时监控和事后追查能力。4.1.11 键盘审计监控监控、记录被审计主机的键盘操作信息，审计中心可按照策略对指定计算机在指定时间段内的键盘操作行为进行审计保存，可以实时播放当前被审计键盘操作信息以及历史键盘操作信息回放，并具备实时监控和事后追查能力。4.1.12 U盘认证可与汉邦安全U盘配套使用。汉邦安全U盘是在外网不能使用的高密级U盘。同时，在审计中心可对指定的

11、普通U盘进行认证，完成认证后的U盘为普密级的U盘，可在启用U盘认证的审计客户端的计算机上使用，未经过认证的U盘不能在启用U盘认证的审计客户端计算机上使用；认证过的U盘可在未启用认证的计算机（或外网的计算机）上正常使用，对于违规操作，系统将产生报警记录并阻断操作。4.1.13 U盘加密实现对U盘内文件的加密功能，采用高强度128BIT加密手段，有效杜绝U盘内文件被非授权终端查看的风险，并支持基于通配符的细粒度策略设置，能够精准定位目标文件，提供更有针对性的文件防护机制。同时，支持以终端为单位，实现对移动存储介质在该终端上的读、写控制功能。4.1.14 登录监管通过对原有WINDOWS操作系统登录

12、功能的托管，实现对用户登录终端各类途径的全方位监管，包括开机登录监管、锁屏登录监管等登录途径，从而取代原有用户名加口令的登录方式，以令牌（KEY、卡等介质）加pin码的方式登录系统，在加强系统登录灵活性的同时，也提高了系统登录的安全强度。同时，根据系统记录的详细登录信息（登录时间、登录用户、登录方式、登录结果等），能够及时发现任何企图违规登录系统的行为，并告知管理员。4.1.15 USB监管采用排它式加载策略，只对加载USB设备进行放行，有效杜绝违规USB设备任意使用的情况。配合针对特性终端的USB设备授权机制，可灵活调整各终端使用USB设备的权限。4.1.16 软件资源审计通过策略设置，对安

13、装有审计客户端计算机的软件资源进行审计监控，可远程查看安装有审计客户端计算机的软件资源情况。包括记录被审计客户端软件变更情况、安装非法软件情况、未安装指定软件情况等等。4.1.17 邮件审记监控记录被审记主机上通过OUTLOOK、FOXMAIL进行邮件收发的行为。 包括发信人、收信人、发送时间、邮件主题、邮件内容、附件内容。并可以进行允许或禁止其发送邮件的操作。4.1.18 文件扫描通过设置扫描关键字、扩展名以及路径名，对被审记主机上所有相关文件进行扫描，并显示符合上述设置的文件信息。4.1.19 文件发送通过审计中心和客户端的通信，可以把审计中心中的文件发送到目的地主机中，并进行安装操作。4

14、.2 网络审计监控子系统网络审计监控子系统将网络引擎（独立硬件设备）连接到网络中的数据汇聚设备上（如：集线器、交换机等），它抓取网络中的数据包，并对抓到的包进行分析、匹配、统计，通过特定的协议算法，从而实现入侵检测、协议审计等功能。4.2.1 网络入侵检测从网络中抓取数据包进行协议分析，从中分析入侵行为。同时记忆基于连接的网络数据包前后状态，发现入侵可疑企图即产生报警事件。4.2.2 MAC地址审计指定IP地址和MAC地址的对应关系，如果抓取到的数据包与此对应关系不符，则产生报警事件。4.2.3 流量审计对抓取的数据包进行规类统计，得到各种流量统计表或统计图。可以对某些地址的流量设定阀值，超过规定值时即产生报警事件。4.2.4 协议审计对应用协议的操作和内容进行分析，对有特殊内容或某些违规的操作产生报警事件，审计的协议类型包括：telnet、ftp、Tftp、SMB、Rlogin、Http、Netbios、Pop3、Smtp等等。4.3 数据库审计监控子系统数据库审计监控子系统采用旁路技术对数据库的远程连接操作进行分析，不依赖数据库自身日志，通过细粒度、多层次的策略设置，有效定位各种企图远程登录、操作数据库的行为，并记录下其源IP、访问时间、登录用户、操作行为、访问数据库和字段等详细信息，更能还原其原始操作语句。5. 系统的