蓝盾主机监控与审计系统操作手册.docx

1、蓝盾主机监控与审计系统操作手册 蓝盾主机监控与审计系统(BD-SECSYS)操作手册广东天海威数码技术有限公司2004年7月第一章 系统概述蓝盾主机监控与审计系统(BD-SECSYS)是由广东天海威数码技术有限公司自主研发的基于内网安全和防信息泄漏的内网安全集成系统。广东天海威数码技术有限公司基于多年来积累的安全产品研发和实施经验，集中强大的研发队伍推出具有完善功能、稳定可靠和出色性能的内网安全集成产品。1、系统组成蓝盾主机监控与审计系统(BD-SECSYS)主要包括两部分组件：主机代理(BD-SECSYS-H)和控制中心(BD-SECSYS-C)。主机代理以服务的方式运行在内网被保护主机上，

2、控制中心提供显示和管理配置功能。2、主机代理功能特点2.1、网络检测防护功能蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)拥有强大的桌面级防火墙功能，可以对系统提供的网络端口和IP进行监控、管理，允许自定义阻断策略，也可以定义事件对指定IP地址、协议和端口以及数据流向进行实时防护，从而隔断来自与网络中其他主机的非法连接请求。网络检测防护功能模块具有以下特点：网络检测防护特点内容描述主机网络资源审计审计主机网络连接状态、路由表、ARP缓存表、IP/TCP/ICMP/UDP统计表、IP地址表、网络连接状态等。自定义拦截规则用户可定义基于IP/TCP/UDP/ICMP和端口的拦截规则。AR

3、P欺骗防护使用ARP静态表保护技术防ARP欺骗。Modem拨号检测可实时发现Modem拨号等单点破网,并能按照策略进行实时处理。2.2、共享防护在Windows操作平台，共享交换数据非常方便，但由于共享不能控制到用户级，同时共享更不能保证基于用户级的访问安全，因此会导致数据丢失或破坏。基于此蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)研发出实用的基于共享安全控制技术，能控制到共享名和用户名绑定，访问文件夹和用户名绑定，访问用户与IP地址绑定。共享防护功能模块具有以下特点：共享防护特点内容描述共享名安全根据自定义策略，能控制登录用户与共享名绑定，即用户只能访问他允许访问的共享名。共享

4、文件夹安全根据自定义策略，能控制登录用户与共享文件夹绑定，即用户只能访问他允许访问的共享文件夹。访问用户绑定根据自定义策略，能控制登录用户与登录IP绑定，或不绑定。如果绑定IP，则用户只能在指定的IP进行登录访问，否则在任一IP可进行登录访问。安全的共享打印要使用共享打印机必须每次使用指定的用户登录后，方可打印，从而实现了安全的共享打印。2.3、文件检测防护蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)拥有强大的文件检测防护功能，无论来自本机还是网络对本主机的文件、文件夹的访问，用户都可设定访问控制策略，防止信息泄漏。文件检测防护模块的特点如下：文件检测防护特点内容描述读文件、文件夹

5、按照策略能记录、禁止读文件、文件夹。能记录读文件、文件夹使用的进程等。 写文件按照策略能记录、禁止写文件。记录写文件当前使用的进程。删除文件、文件夹按照策略能记录、禁止删除文件、文件夹。记录删除文件、文件夹的当前使用的进程。拷贝文件、文件夹按照策略能记录、禁止拷贝文件、文件夹。记录拷贝文件、文件夹的当使用的进程。改名文件、文件夹按照策略能记录、禁止改名文件、文件夹。记录拷贝文件、文件夹的当前使用的进程。新建文件、文件夹按照策略能记录、禁止新建文件、文件夹。记录新建文件、文件夹的当前使用的进程。改变文件、文件夹属性按照策略能记录、禁止改变文件、文件夹属性。记录改变文件、文件夹属性的当前使用的进程

6、。实时获取主机文件信息能够获取主机文件和文件夹信息，并能象在本机一样可选择文件路径。2.4、注册表检测防护由于入侵者经常修改注册表，以及各种木马软件也修改注册表，考虑到主机的安全性，蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)研发出实时的注册表监控能力，防止非法修改注册表。可定义监控注册表策略，以监控读、建立、打开、删除、修改注册表。2.5、主机日志监控蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)可以实时获取安全域内用户主机上的安全日志、系统日志、应用程序日志，并作为数据来源，进行入侵检测。日志监控模块特点有：日志模块特点内容描述安全日志检测进行安全日志检测系统日志检测

7、进行系统日志检测应用程序日志检测进行应用程序日志检测定义策略可定义策略有针对性获取日志数据。日志分析对获取的日志数据进行分析，并按照策略检测入侵行为2.6、设备管理和认证蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)能远程管理安全域内主机上的全部硬件设备，能禁止设备的使用。当新设备进入系统时，BD-SECSYS能自动发现并按照策略实施处理动作（记录、禁止、安全传输、报警、强制认证）。设备检测防护模块特点有：设备检测防护特点内容描述设备基线数据库对管理域内的主机上的设备建立基线数据库，以便需要时进行核查。自动发现设备功能当新设备进入计算机系统时，能自动发现新设备。无论没开机插入设备然后

8、启动或计算机工作时接入新设备，都能发现新设备，并根据策略进行管理(记录、禁止、安全通讯、加密传输)。拦截或禁止功能根据策略可对违反规定的设备可实时拦截或禁止。移动存储设备认证功能根据策略对移动存储设备进行认证。提供移动存储设备认证数据库。完备的设备管理能管理的设备有：软盘FD、 MO盘、 ZIP盘、 JAZZ盘、 Flash Device盘、CD-R、 CD-RW、 USB/1394 Storage Device、 红外线接口、打印机、键盘、鼠标等。完备的端口管理可管理的端口有：键盘鼠标端口控制、USB 端口、 IDE总线、 光驱控制、 软驱控制 、SCSI 控制 、红外控制、 1394 火线

9、端口控制、 并口控制 、串口控制等。2.7、主机资源审计蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)能对主机资源进行审计，并能实时监控主机资源状况。主机资源审计、监控模块特点有：主机资源审计、监控特点内容描述实用的主机资源监控可实时监控主机CPU、内存使用率主机进程管理可审计主机进程，并提供远程终止进程的能力，并设计禁止该程序运行策略主机系统信息审计审计主机系统信息，如CPU、内存、操作系统等。安装应用程序管理审计已安装的应用程序，并实时发现正在安装应用程序，按照策略进行禁止。能远程卸载应用程序。服务管理能远程管理（停止、启动）主机上的服务用户和组管理能审计主机用户和组信息2.8、

10、异常检测蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)以计算机资源为目标建立异常检测模块，在其中使用了统计学方法。可异常检测的资源有CPU、内存、IP流量、ICMP流量、TCP流量、UDP流量等。2.9、外联监控在内网安全管理严格的情况下，主机用户为了使用方便或基于某些违规行为，使用拨号等手段进入Internet，从而导致单点破网，给内网安全带来极大的隐患，同时主机用户会通过这种手段泄漏内网机密信息。蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)通过外联监控手段有效防止信息泄漏。2.10、关联安全功能蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)与防火墙、网络入侵

11、检测系统在安全架构内能按照策略进行联动或知识共享，从而形成整体、多层次的安全态势，产生关联安全效应。蓝盾主机监控与审计系统提供了开源的接口标准，以与其它安全设备进行有效联动。2.11、文件保密工具蓝盾文件加密工具提供文件数据加密、解密、安全删除、安全导入导出等几大功能，加密解密保证只有持有文件加密狗以及密码的文件主人才能对加密数据进行查看，修改。安全删除功能可以安全的将文件删除，避免被文件恢复工具所恢复。文件安全导入导出功能强制规定只有经过蓝盾文件保密工具加密过的的文件方可输出到usb闪存盘等移动存储设备上，以防止主机代理用户由于usb闪存盘等移动存储设备遗失等原因造成信息泄漏。2.12、安全

12、透明存储功能通过控制中心管理主机上安全透明存储磁盘。在主机上注册安全透明磁盘，用户将该安全透明磁盘当作普通磁盘使用，实际上存储在该盘中的数据是高强度加密的。用户只有通过认证锁认证后才能使用该盘。3、典型部署蓝盾主机监控与审计系统典型应用如下图。通过在内网安装BD-SECSYS，能从纵深的角度防御入侵和误用，同时能成功防止保密信息泄漏，并能采取集中管理的手段实施桌面级安全。第二章 系统安装1、控制中心安装1.1、安装Mysql安装Mysql数据库，并运行Mysql数库。可执行Mysql的winmysqladmin程序运行Mysql。注意：在安装控制中心后，要使用BD-SECSYS的Mysql数据

13、库管理工具使用Mysql更安全。1.2、安装主机监控与审计系统控制中心1.2.1、安装BD-SECSYS-C 安装过程界面如下：1.2.2、运行BD-SECSYS-C 第一次运行BD-SECSYS-C时应运行蓝盾主机监控与审计系统控制中心，注意运行BD-SECSYS-C要经过USB KEY才可运行。界面过程如下： 在登录Mysql服务器配置中配置Mysql，服务器地址是运行Mysql服务器的计算机IP地址，如果是本机，选择“本地”选择框。在用户名使用root，密码不要填，数据库名应输入当前BD-SECSYS-C存储各种信息的数据库名，Mysql目录选择Mysql命令目录，仅限本地服务器有用。

14、运行后在任务栏出现，如下：1.2.3、登录BD-SECSYS-C 在任务栏中选择登录BD-SECSYS-C菜单出线如下界面： 缺省用户名和密码都是：secsysadm。注意登录后应建立新用户，删除旧用户。1.2.4、配置BD-SECSYS-C选项 登录后选择BD-SECSYS-C的“选项”菜单，进行系统配置，具体操作见操作手册。2、主机代理安装2.1、制作主机代理端安装程序 在控制中心所在主机上运行主机代理端安装程序制作工具，界面如下图所示：填入输出IP和控制中心IP后点“制作”按钮，完成之后将在安装程序制作工具目录下出现“setup.exe”和“setup.conf”两个文件。在控制中心安装

15、目录下新建一个名为“tmp”的目录，将这两个文件拷贝到该目录下即可注册主机代理时首先请打开主机代理注册工具目录下面的“config.txt”文件，一般情况下里面内容只有一个ip地址（如192.168.0.144），将其改为控制中心的ip地址。然后启动主机代理注册工具，界面如下图所示：输入所需信息之后点击“注册”按钮，稍等一段时间，出现“注册成功”时即说明已经安装注册成功。2.2、控制中心配置和管理主机代理为了管理主机代理应在控制中心进行远程配置主机代理，配置主要界面如下，具体基本操作部分。第三章 控制中心基本操作1、主机代理部分操作1.1、文件菜单“文件”菜单共有如下操作：主机用户管理、添加主

16、机代理、删除主机代理、修改主机代理、修改主机代理密码、连接主机代理、断开主机代理、清除信息框。见图1.1。图1.11.1.1、主机用户管理通过“主机用户管理”操作，可录入内网主机用户信息，如姓名、电话、单位/部门、职责等。1.1.2、添加主机代理为了管理主机代理，必须增加主机代理有关信息，内容有：主机代理IP、MAC地址、主机用途、用户信息。注意主机代理IP是必须要。1.1.3、删除主机代理在主机代理管理中可删除主机代理的信息，但不能卸载主机代理软件。1.1.4、修改主机代理修改主机代理管理中的主机代理信息。不能修改主机代理软件配置。1.1.5、修改主机代理密码修改主机代理管理中的主机代理控制

17、中心密码，缺省密码：1234567890。控制中心管理主机代理必须与主机进行密码和身份确认。1.1.6、连接主机代理 要管理主机代理，必须通过“连接主机代理”操作与主机代理连接，才能进行后续操作。1.1.7、断开主机代理对主机代理操作完后，应选择 “断开主机代理”操作安全断开与主机代理的连接。1.1.8、清除信息框进行“清除信息框”操作，可清除信息框内容1.2、配置参数菜单1.2.1、修改配置文件1.2.1.1、系统信息主机代理获取主机信息情况，并进行分析后，可根据策略与防火墙、网络入侵检测系统等安全设备进行联动，有效拦截入侵者、误用行为、违规操作。联动IP和端口指的是防火墙、网络入侵检测系统

18、用来联动的IP和端口。密钥是用于联动信息的加密传输。根据网络结构，决定主机代理是否通过控制中心与防火墙、网络入侵检测系统联动。信息输出IP地址指的是主机代理各种日志信息输出到何处，控制中心IP地址决定主机代理能接受管理的控制中心IP地址。1.2.1.2、模块信息该功能是为了功能模块扩展需要，现在暂时没有扩展模块。1.2.2、上传配置文件修改配置文件后，应上传到主机代理并激活修改，具体操作见“执行命令”操作。1.2.3、修改模块配置文件1.2.3.1、网络检测防护蓝盾主机监控与审计系统主机代理模块拥有桌面级防火墙功能。通过集中管理的方式实施内网主机安全，增加规则见下图，增加规则后应选择，并激活修

19、改。 为了防Arp欺骗，蓝盾主机监控与审计系统主机代理能将IP和MAC地址静态绑定，绑定后应上传到主机代理并激活。绑定操作如下图：1.2.3.2、共享防护蓝盾主机监控与审计系统提供了安全的共享防护能力。在下图示例操作中，如这条规则上传到192.168.0.145，同时192.168.0.145上有共享名testshare和用户名testuser，那么要访问192.168.0.145的testshare共享目录，则只能在192.168.0.144使用testuser用户名共享登录访问192.168.0.145的共享目录testshare。提示：1、上传规则，应激活后才能应用。2、用户和IP地址可

20、绑定，也通过不填IP地址实施不绑定。在下图示例操作中，如这条规则上传到192.168.0.145，同时192.168.0.145上有共享名testshare和用户名testuser，那么要访问192.168.0.145的testshare共享目录下的testdir，则只能在192.168.0.144使用testuser用户名共享登录访问192.168.0.145的共享目录testshare下的testdir，从下图规则，该访问操作被拒绝。提示：1、上传规则，应激活后才能应用。2、用户和IP地址可绑定，也通过不填IP地址实施不绑定。3、访问目录表示方式：共享名目录 蓝盾主机监控与审计系统实施可控

21、性的共享打印。如192.168.0.144使用192.168.0.145提供testuser用户名访问该机的共享打印机，打印共享名是HPLaserJ，图示操作如下。提示：1、上传规则，应激活后才能应用。2、用户和IP地址可绑定，也通过不填IP地址实施不绑定。3、共享打印目录通过共享审计获取。1.2.3.3、文件检测防护蓝盾主机监控与审计系统提供实用的本地文件检测防护功能。下图是获取192.168.0.144文件信息。这样可象本地一样选择文件或目录。下图示例表示对e:sample文件夹下的目录和文件实施拒绝写操作。提示：1、上传规则，应激活后才能应用。1.2.3.4、注册表防护蓝盾主机监控与审计

22、系统提供实用的本地注册表检测防护功能。下图示例表示对根键HKEY_CURRENT_USER下的testregdir子键实施拒绝新建操作。提示：1、上传规则，应激活后才能应用。1.2.3.5、日志监控蓝盾主机监控与审计系统提供实用的日志监控功能。能将安装主机代理上的主机日志按照要求实时传送到控制中心备份。策略设计如下图。提示：1、上传规则，应激活后才能应用。1.2.3.6、设备管理蓝盾主机监控与审计系统提供强大的设备管理能力。操作如下图。提示：1、上传规则，应激活后才能应用。1.2.3.7、其它蓝盾主机监控与审计系统提供异常检测能力，可异常检测CPU、内存、IP、ICMP、UDP、TCP等。CP

23、U、内存的阀值是0-100，表示占用资源百分值只，IP、TCP、UDP的阀值是每秒发送和接收字节数。不能通讯处理方式是指人为断开主机代理和控制中心的联系，主机代理会根据策略禁止键盘和鼠标，在这种情况下，可使用蓝盾主机监控与审计系统USB-KEY解锁。1.2.4、上传模块配置文件修改模块配置文件后，应上传到主机代理并激活修改，具体操作见“执行命令”操作。1.2.5、移动存储设备管理蓝盾主机监控与审计系统主机代理强制移动存储设备认证。当移动存储设备进入主机代理所在的主机，主机代理能实时获取设备描述和该设备在主机中的逻辑盘符，然后在本地认证，如果本地认证没有，到控制中心认证，如果能找到认证结果，便将

24、结果返回到主机代理，对该移动存储设备进行相应的策略处理，如果没有认证结果，便返回只读认证结果到主机代理，同时等代理控制中心的认证。下图操作说明：如果选择主机型，该设备只能在指定的主机有效，否则该设备不绑定到指定的主机；如果选择禁止写，该设备不能写，否则该设备能写。1.2.6、上传移动存储设备文件为了实施主机代理所在主机的移动存储设备能进行本地认证，应将该主机能认证的移动存储设备信息上传到该主机。1.3、主机审计菜单“主机审计”菜单共有如下操作：主机代理版本、主机代理时钟、主机资源审计、主机设备审计、进程资源审计、网络资源审计、共享资源审计、主机用户资源审计、服务资源审计、驱动资源审计。1.3.

25、1、主机代理版本通过此操作能获取主机代理的版本号。1.3.2、主机代理时钟通过此操作能获取主机代理的所在主机时钟。1.3.3、安全透明存储空间审计 通过该审计操作可管理主机上的安全透明存储空间。在主机上出现如下盘：1.3.4、主机资源审计通过此操作能获取主机代理的所在主机的主机资源，并可按照条件刷新资源和图形显示CPU和内存资源。1.3.5、主机设备审计通过此操作能获取主机代理的所在主机的设备资源，并可远程禁止或取消禁止设备。1.3.6、进程资源审计通过此操作能获取主机代理的所在主机的进程资源，并可按照条件进程资源，可远程终止进程。1.3.7、网络资源审计通过此操作能获取主机代理的所在主机的网

26、络资源，如网络连接状态、IP地址、MAC地址、路由信息、流量统计信息等。1.3.8、共享资源审计通过此操作能获取主机代理的所在主机的共享资源信息、共享会话信息、共享访问文件信息。1.3.9、主机用户资源审计通过此操作能获取主机代理的所在主机的用户信息、本地组信息。1.3.10、服务资源审计通过此操作能获取主机代理的所在主机的服务资源，并能启动、停止、暂停、删除服务。1.3.11、驱动资源审计通过此操作能获取主机代理的所在主机的驱动资源，并能停止、删除驱动。1.3.12、安装软件资源审计通过此操作能获取主机代理的所在主机的安装程序列表，并能输出成报表，审计入库，和对不符合安全策略的程序进行卸载操

27、作。1.4、系统菜单“系统”菜单功能有：设计主机代理所在主机时钟、主机代理密码、执行命令。1.4.1、修改主机代理时钟通过此操作远程更改主机代理所在主机时钟。1.4.2、修改主机代理密码通过此操作远程更改主机代理密码，这个密码用来判断控制中心连接主机代理时使用的密码是否正确。1.4.3、执行命令蓝盾主机监控与审计系统主机代理部分提供了对主机代理操作如下命令： 应用网络规则使主机代理基于网络检测防护的规则生效。 启动网络规则模块启动主机代理基于网络检测防护模块。 停止网络规则模块停用主机代理基于网络检测防护模块。 应用IP和MAC绑定应用IP和MAC绑定规则，防ARP欺骗。 清除IP和MAC绑定

28、清除IP和MAC绑定规则。 应用共享信息应用共享信息，即用户名和共享名绑定。 清除共享信息清除共享信息，即清除用户名和共享名绑定。 应用共享防护规则信息应用共享防护规则信息，即用户名和共享名下目录绑定。 清除共享防护规则信息清除共享防护规则信息，即清除用户名和共享名下目录绑定。 启动文件监控模块启动文件检测防护模块。 停止文件监控模块停用文件检测防护模块。 应用文件监控规则信息应用文件检测防护的文件监控规则。 清除文件监控规则信息清除文件检测防护的文件监控规则。 启动注册表监控模块启用注册表检测防护模块。 停止注册表监控模块停用注册表检测防护模块。 应用注册表监控规则信息应用注册表检测防护模块

29、的监控规则。 清除注册表监控规则信息清除注册表检测防护模块的监控规则。 启动日志监控模块启动日志监控模块，对主机代理端主机日志进行实时监控并获取。 停止日志监控模块停用日志监控模块。 应用日志监控规则信息应用日志监控模块的监控规则。 清除日志监控规则信息停用日志监控模块的监控规则。 应用设备管理规则信息应用设备管理模块的管理规则。 清除设备管理规则信息清除设备管理模块的管理规则。 应用新的输出信息地址修改主机代理的信息输出地址。 记录移动存储设备从主机写数据到移动存储设备，将进行记录。 清除移动存储设备管理信息清除移动存储设备管理信息，这样，应用在设备上的规则无效。 禁止移动存储设备禁止使用移

30、动存储设备。 读取安全日志文件由于一些原因导致主机代理端日志不能送到控制中心，那么日志将存储主机代理端，通过这个操作能将日志读出并送到控制中心。 读取安全日志记录数由于一些原因导致主机代理端日志不能送到控制中心，那么日志将存储主机代理端，通过这个操作能将日志数。 禁止CD-RW禁止主机代理端使用CD-RW。 允许使用CD-RW允许主机代理端使用CD-RW。 禁止拨号禁止主机代理端使用Modem进行拨号。 允许拨号允许主机代理端使用Modem进行拨号。 禁止使用打印机禁止主机代理端使用打印机。 允许使用打印机 允许主机代理端使用打印机。1.5、主机日志查询蓝盾主机监控与审计系统控制中心能将主机代理端送来的日志存储在Mysql数据库中，事后为了分析方便，可使用主机日志查询功能，进行必要而有效的分析。提供的功能有：查询、删除单前记录、条件删除记录、生成报表。通过“查询” 操作能从Mysql查询到符合条件的记录。通过“删除单前记录” 操作能从Mysql中删除当前选中的记录。通过“条件删除”操作能从Mysql中删除符合条件的记录。通过“生成报表” 操作能