主机审计与监控系统白皮书

《主机审计与监控系统白皮书》由会员分享，可在线阅读，更多相关《主机审计与监控系统白皮书（18页珍藏版）》请在装配图网上搜索。

1、主机审计与监控系统V1.5技术白皮书北京博睿勤技术发展有限公司Beijing Bring Technology Development Co.,Ltd目 录一 系统简介11.1 系统概述11.2 系统构造1二 重要功能32.1 概述32.2 控制功能32.2.1 硬件资源控制32.2.2 软件资源控制42.2.3 移动存储设备控制42.2.4 IP与MAC地址绑定42.3 监控功能42.3.1 进程监控52.3.2 服务监控52.3.3 硬件操作监控52.3.4 文献系统监控52.3.5 打印机监控52.3.6 非法外联监控52.3.7 计算机顾客账号监控62.4 审计功能62.4.1 文献操

2、作审计62.4.2 外挂设备操作审计62.4.3 非法外联审计62.4.4 IP地址更改审计72.4.5 服务、进程审计72.5 系统管理功能72.5.1 代理状态监控72.5.2 安全方略管理72.5.3 主机监控代理升级管理72.5.4 计算机注册管理82.5.5 实时报警82.5.6 历史信息查询82.5.7 记录与报表82.6 其他辅助功能82.6.1 资产管理82.6.2 补丁分发82.6.3 操作系统日记收集9三 重要特色103.1 系统部署方式灵活、安装以便103.2 控制、监控与审计结合，全方位避免泄密103.3 高性能、高可靠性103.4主机代理安装卸载以便103.5监控模块

3、可动态加载与卸载113.6自动升级113.7灵活的分级管理架构113.8完善的自保护机制113.9丰富的报表、报表类型灵活多样113.10 高兼容性113.11系统通信安全性123.12 多方位的主机资源信息管理功能12四 系统重要性能参数13五 系统配备规定14一 系统简介1.1 系统概述博睿勤公司主机审计与监控系统V1.5是北京博睿勤技术发展有限公司根据安全计算机一般浮现的安全状况，独立研发的一款专门针对安全计算机系统进行控制、监控和审计的安全产品。该系统对主机的安全防护根据保密防护提成事前、事中和事后三个环节基本原理，采用了三大手段：控制、监控、审计,统筹考虑三个环节中也许浮现的各信息泄

4、密途径，对计算机的软硬件资源、文献系统进行集中的监控与管理。同步，为了加强涉密计算机的管理，系统内置了注册管理功能，对计算机的IP地址、部门等信息进行集中管理，实现对计算机的实时跟踪和控制。 1.2 系统构造涉密计算机审计与监控系统.采用B/S设计架构，系统架构如图1-2-1所示。从图中可以看出，系统由三部分构成：控制台，主机监控代理、后台数据库。其中控制台管理采用B/S模式，监控代理与控制台之间的通讯采用C/S模式。控制台负责设立监控代理的安全方略、查看监控代理的活动状态、接受监控代理上传的报警事件并记入后台数据库以及对历史审计数据的查询以及报表等。控制台重要采用了JAVA技术和Web Se

5、rvice技术。主机监控代理负责按照控制台制定的安全方略完毕对主机软硬件资源、文献系统等的使用控制、监控和审计功能。将报警信息上传到控制台。监控代理按照模块化的设计思想，每个功能都是一种独立的模块，且各功能模块可按控制台的方略动态加载或移除。这使得监控代理的功能升级非常以便。后台数据库是提供数据信息存储和数据信息互换的平台。本系统可根据管理的主机数量分别选择Oracle、SQL Server、My SQL等。数据库重要存储报警和审计数据。图1-2-1博睿勤主机审计与监控系统体系架构二 重要功能2.1 概述本系统通过主机监控代理实现计算机的控制、监控与审计。不管计算机与否联网、登陆顾客与否有超级

6、权限，都可以有效控制计算机有关资源的使用。本系统重要涉及控制功能、监控功能、审计功能和系统管理功能四大类。控制功能涉及计算机硬件资源控制、软件资源控制、移动存储设备使用控制、IP与MAC地址绑定等。监控功能涉及服务监控、进程监控、硬件操作监控、文献系统监控、打印机监控、非法外联监控、计算机顾客账号监控等。审计功能涉及文献操作审计、外挂设备操作审计、非法外联审计、IP地址更改审计、服务与进程审计等。系统管理功能涉及系统顾客管理、主机监控代理状态监控、安全方略管理、主机监控代理升级管理、计算机注册管理、实时报警、历史信息查询、记录与报表等。此外，系统还涉及其他某些辅助功能，例如资产管理、补丁分发、

7、操作系统日记收集。2.2 控制功能涉密计算机审计与监控系统的控制功能是指对安装主机监控代理的计算机上的多种硬件资源、软件资源的使用等顾客行为进行控制，使得非法顾客或未授权顾客的行为得到有效控制，从而达到保护主机系统机密信息不被非法盗取或意外泄漏的目的。2.2.1 硬件资源控制本系统可以管理控制（使用或禁用）的硬件设备涉及所有的计算机外挂设备。这些外挂设备涉及：USB设备、串口、并口、RAM盘、软驱、光驱、刻录机、红外设备等。一旦控制中心设定的方略不容许使用某个设备，虽然本机超级顾客也无法使用该设备。这种控制功能和系统内核进行了结合，达到了强制控制的目的，即被禁用的设备无法使用，即便超级管理员也

8、无法启用该设备。此外，系统还可控制新添加的外挂硬件设备。只要控制台的方略不容许使用任何新添加的设备，计算机上的新加设备便不可使用。2.2.2 软件资源控制软件资源的控制重要是指对顾客可使用的应用软件进行控制即对已安装的应用软件的使用进行控制。对于已经安装的应用软件，系统可以采用黑名单的形式，严禁顾客运营黑名单上的应用程序。2.2.3 移动存储设备控制系统可对移动存储设备的使用进行控制，涉及U盘、移动硬盘、软盘。严禁移动设备的使用，当禁用移动设备后，顾客无法向移动设备上拷贝任何文献，也无法访问移动设备上的文献。2.2.4 IP与MAC地址绑定系统可严禁顾客自行修改主机的IP地址，这重要通过IP与

9、MAC地址绑定来实现。如果计算机采用了固定IP地址管理方式，系统可将IP和MAC地址绑定，如何试图变化IP地址的企图都将无效。这为计算机的管理提供了以便。也有效避免了顾客通过擅自更改计算机IP地址的方式，进行非法操作。2.3 监控功能系统的监控功能重要是对计算机的运营状态和顾客行为进行实时监视，并对浮现的违规行为或非法行为采用必要的控制措施。通过系统监控功能，管理人员可以及时发现被监控计算机也许的泄密行为，也可以发现某些正在危害系统安全的特殊行为，并可自动采用控制措施制止泄密行为的发生。2.3.1 进程监控进程监控是指对被监控计算机上正在运营的进程进行实时监视，并根据进程黑名单对进程进行控制。

10、如果某个正在运营的进程被加入黑名单，主机监控代理将立即杀死该进程。其他位于黑名单中的未运营进程则永远不可运营，除非控制台将该进程从黑名单中移除。2.3.2 服务监控服务监控是指对被监控计算机上正在运营的服务进行实时监视，并根据服务黑名单对服务进行控制。如果某个已经启动的服务被加入黑名单，主机监控代理将立即停用该服务。其他位于黑名单中的未启动服务则永远无法启动，除非控制台将该服务从黑名单中移除。2.3.3 硬件操作监控本功能重要监视顾客对外挂硬件设备的启用和禁用等操作，并对顾客操作进行实时报警。例如，如果安全方略不容许顾客启用某个外围设备，当顾客试图启用这个设备时系统便会报警。2.3.4 文献系

11、统监控该功能可针对被监控的计算机制定文献监控方略，对顾客的文献操作进行监控，例如创立文献，更改文献名，删除文献等。系统可以辨认创立或拷贝的文献是位于移动硬盘还是固定介质。监控方略涉及文献类型、文献名等。可使用通配符“*”，“?”。这样就可针对文献名中涉及的涉密核心字，监控也许的顾客泄密操作。通过将顾客操作事件写入数据库，还可为事后泄密责任的追查提供根据。2.3.5 打印机监控打印机监控是指对被监控计算机的文献打印操作进行监控，只要发现打印任务，立即向控制台发送报警信息。报警信息涉及文档名、所有者、目前打印状态等。可监控的打印机涉及本地打印机、共享打印机和网络打印机。2.3.6 非法外联监控非法

12、外联是指未授权顾客通过多种途径访问国际互联网的行为。该功能可根据设定的方略容许或者严禁顾客访问互联网。可以严禁的互联网访问方式涉及局域网上网、ADSL、MODEM拨号、无线上网、以及通过红外线和蓝牙设备上网等。系统一旦发现顾客计算机连通了互联网，可立即严禁网络连接。该功能突破了老式的拨号上网连接控制，完全杜绝了非法上网行为。2.3.7 计算机顾客账号监控该功能重要对计算机顾客账号的更改状况进行监控，涉及增长、删除、改名、修改属性等。一旦发现计算机顾客账号有改动，立即向控制台发送报警信息。2.4 审计功能审计功能重要是针对系统监控所波及的内容进行记录，并上传到控制台保存。如果被监控计算机处在离线

13、状态，主机监控代理仍然可记录对于顾客在离线状态下的行为，主机监控代理仍然进行记录，加密后保存在客户端。当该机器连接到内部网上后，这些记录可继续传播到控制台服务器，并由控制台写入后台数据库中。2.4.1 文献操作审计文献操作审计重要对顾客进行的多种文献操作进行审计，如创立、读取、删除、修改等。通过该功能可实现对特定文献的跟踪审计。2.4.2 外挂设备操作审计该功能重要对顾客企图启用或禁用计算机外挂设备的操作进行审计。通过功能可对顾客使用外挂设备的企图进行记录，为后来的责任追查提供根据。2.4.3 非法外联审计在系统设立了严禁非法外联安全方略状况下（即严禁顾客计算机连接互联网），该功能可对顾客连接

14、互联网的操作进行审计、审计内容涉及非法外联类型（拨号、ADSL、局域网等）、事件发生时间、拨号号码、接入网关和DNS等。2.4.4 IP地址更改审计在控制台设立地址绑定方略（MAC地址与IP地址绑定）后，如果顾客擅自修改IP地址，系统会生成警报信息告知控制台，并将顾客试图进行修改IP地址的操作记录下来，记录信息涉及原IP地址、MAC地址、更改后的IP地址以及更改时间等。 2.4.5 服务、进程审计服务和进程审计重要是针对运营代理端的机器上的服务和进程的变化进行记录。当位于服务或进程黑名单中的服务或进程启动时，系统将记录该服务和进程。记录内容涉及服务名、进程名、启动时间等。2.5 系统管理功能

15、2.5.1 代理状态监控该功能可以对安装的主机监控代理的运营状态进行监控，可实时监控主机代理的目前状态，涉及活动、未活动、异常、未安装、安装后被卸载等状况。通过代理状态监控，管理员可辨认异常代理，也可对顾客非法卸载或破坏代理的状况进行监控。一旦发现异常，可通过控制台向管理员报警。2.5.2 安全方略管理安全方略管理是指对各主机监控代理的安全方略进行统一管理，涉及设立、查看、修改等。方略分为主机方略和组方略，主机方略可自动继承组方略。通过组策可实现安全方略的群发，从而为顾客提供高效率的方略配备方案。系统可对方略进行集中查看，这大大以便了系统管理员对主机方略的监控和管理。2.5.3 主机监控代理升

16、级管理该功能可实现主机监控代理的自动升级。升级对顾客自身是透明的，顾客端感觉不到任何异常，且升级不必重新启动计算机。系统由控制台对代理升级模块进行统一管理。2.5.4 计算机注册管理计算机注册管理是指对内网的计算机进行统一的注册，注册信息涉及主机IP地址、MAC地址、拥有者、所在部门、房间号、联系电话等。通过注册实现内网计算机的统一管理。2.5.5 实时报警系统接受来自各主机监控代理的报警信息，一旦有报警信息达到中央控制台，系统会立即报警，通过可视化报警显示，为管理员采用进一步的防备措施提供参照。2.5.6 历史信息查询历史信息查询是指对系统存储的历史审计数据进行查询，查询可通过多种条件的组合

17、进行，以便管理员对特定审计信息的检索。2.5.7 记录与报表系统还提供历史审计信息的记录和报表功能。管理员可按照多种模板实现历史日记的自动记录和报表（日报、周报、月报等），管理员还可自行定义记录和报表条件，对特定信息进行记录并生成报表。报表支持html、doc、excel、pdf等格式。2.6 其他辅助功能 2.6.1 资产管理该辅助功能可为系统使用单位提供简朴的资产管理。系统可自动收集计算机多种软硬件资源信息、涉及安装的多种应用程序、CPU、内存、硬盘等，并可对硬件的改动进行跟踪和报警。该功能可为公司的资产清查、记录和管理提供一定的协助。2.6.2 补丁分发系统提供补丁分发功能。管理员可将需

18、要分发的多种操作系统补丁、应用系统补丁以及其他某些辅助工具等统一部署到控制台，以计算机或组的方式向各计算机下发。计算机会自动提示顾客有补丁程序需要安装，经计算机使用者确认后即可安装补丁程序。2.6.3 操作系统日记收集通过该功能、主机监控代理可自动收集操作系统日记，并将日记上传到控制台存储。为系统管理员诊断和检查各计算机的故障以及安全状况提供协助。三 重要特色3.1 系统部署方式灵活、安装以便本系统采用控制台和代理分离的设计方式，代理的安装可以通过控制台统一进行，大大简化了系统的安装。控制台可以积极从监控代理提取数据，也可以由监控代理积极向控制台发送数据，这使得主机代理和控制台的部署可以满足复

19、杂网络拓扑。主机监控代理的安装支持两种方式：本地安装和域安装。3.2 控制、监控与审计结合，全方位避免泄密该系统将主机控制、监控和审计功能完美地集成到一起，共同完毕全方位的主机防护。审计可对主机的活动进行记录作为事后查询根据；监控可以实时发现主机的异常活动和入侵事件，为事中防护；控制可以严禁某些设备（如网络设备和存储设备）被使用，为事前防护。三者完美结合，完毕主机事前、事中和事后三个环节的全方位防护任务。3.3 高性能、高可靠性中央控制台可以同步监控管理1000台以上的主机，在同步管理1000台主机的状况下，可以及时解决各主机监控代理传送的报警信息、方略祈求、状态更新等。并能保证控制台稳定可靠

20、地运营。主机代理对系统资源的占用非常低，CPU占用率3%，对顾客的计算机使用影响甚微。3.4主机代理安装卸载以便管理人员可以通过本地安装和域安装等方式为有关客户端PC安装代理引擎。3.5监控模块可动态加载与卸载主机监控代理采用模块化开发技术，各个功能模块可根据控制台最新的安全方略实现动态加载与卸载，且在此过程中，主机代理仍然正常工作，顾客完全感觉不到主机代理模块的更改。3.6自动升级本系统的主机代理可根据控制台的指令自动进行升级，升级过程不影响正常的监控活动。3.7灵活的分级管理架构本系统采用分级管理的体系构造设计，增长了系统部署和管理的灵活性，极大地以便了大型跨地区公司的主机监控与管理。3.

21、8完善的自保护机制主机代理采用多种系统内核技术，保证了自身不可卸载、不可停止。即便在安全模式下，自保护机制仍能保证自身不被歹意破坏。3.9丰富的报表、报表类型灵活多样系统具有丰富的日记信息，并可对日记进行以便的查询和生成报表。报表方式灵活，类型多样，支持word、excel、pdf、html等多种常用的报表格式，可满足顾客和网络管理人员的报表规定。3.10 高兼容性系统在多种应用环境下的兼容性测试表白，本系统的兼容性非常好，目前兼容的应用涉及多种办公软件、设计软件、管理软件、安全软件等，如OFFICE系列、VISIO、UG、PRO e、MAT LAB、CAD、多种防病毒软件等，成为目前国内最成

22、熟的同类产品之一。3.11系统通信安全性本系统为了保证各主机监控代理和控制台之间通讯的安全性，对传播数据进行了加密解决。此外，系统还具有日记本地暂存的功能，如果在数据通讯过程中浮现网络故障，客户端代理将日记信息寄存在本机上，并会自动定期尝试恢复连接，一旦网络连通，立即将本地日记信息上传至控制台。3.12 多方位的主机资源信息管理功能该系统可以提供主机的硬件资源信息、软件资源信息功能，还可提供顾客组、办公室、房间号、联系电话、所在互换机端口等精确的主机定位管理功能。四 系统重要性能参数指 标参数1参数2说 明主机监控代理资源占用量（以CPM 800MHZ内存128M为准）CPU 占用率2%内存占

23、用量15M主机监控代理平均故障率3%安装本监控代理后浮现死机、蓝屏、应用系统变慢、某个应用系统控件变慢、控件功能失效的主机数量主机监控代理和控制台服务器之间数据传播平均网络占用量(100台客户机为准)2.5K/S重要涉及DOC类文献监控和硬件监控五 系统配备规定一、主机引擎软件环境：Windows XP/中英文版 硬件环境：奔III或更高主频的PC计算机，原则上主频不低于500MHZ，内存128M或更高，10/100MB网卡二、控制台软件环境：Redhat Linux 9.0或Federa 3A操作系统JAVA支持Python支持Tomcat Web服务系统Oracle 9i 数据库（linux版本）硬件环境：博睿勤公司提供专用硬件设备或由顾客自备高性能服务器，顾客可根据需要选择。可管理计算机数量系统配备方案一200以内博睿勤专用硬件设备l CPU Pentium 4 2.0G l 内存 512Ml 硬盘 40Gl 百兆网卡方案二200-500博睿勤专用硬件设备l 工业极主板l CPU Pentium 4 3.0 G l 内存 1Gl 硬盘 80Gl 千兆网卡方案三500-1000高性能服务器l CPU 3.0 G l 内存 2Gl 硬盘 80Gl 千兆网卡方案三1000以上高性能服务器l CPU 3.0 G2 l 内存 2Gl 硬盘 160Gl 千兆网卡