主机监控与审计系统设计方案

主机监控与审计系统

设计方案

北京市爱威电子技术公司

2010年5月

目录

1.系统简介

随着网络信息化的高速推进，人类社会的行为与活动已经和网络系统紧密联系起来。网络信息系统将人类传统的工作、管理模式“映射”到网络环境中，极大地提高了研究、工作和管理效率。人们对于内部网络系统，曾经假定“内部环境是安全的”，但自从网络系统采用了开放互连的TCP/IP协议后，这种假设条件在事实上已经不能完全成立了。各类单位（尤其是涉密单位）为了保证员工能通过网络（包括互联网）共享信息的同时，确保不会因为使用网络而有意或无意的泄漏敏感信息，都采取了相应的行政手段对本单位内部局域网的使用和操作规范进行强制性的、非技术性的管理，这些管理措施在特定时期和特定环境下是可用的，但仅依靠非技术性管理却是有悖于信息化初衷的，是不利于信息化进程发展的。

主机监控与审计系统的目的是：按照国家标准和保密局标准，结合长峰集团的实际情况，研制开发一套完善的、可持续扩展的安全保密信息审计系统。

该系统的实现，对于在信息化高速发展的同时，严格保证涉密信息系统及其审计系统的特殊性、安全性、可靠性、可控性、及时性、可扩展性有着积极的促进作用。

2.系统总体结构

2.1系统架构及基本工作原理

系统结构图

从统一管理的角度出发，主机监控与审计系统采用多极构架组成（如图），其基本工作原理描述如下：

第一层为计算机端机，通过安装的主机监控与审计系统的代理端软件，根据CMC对该端机的审计策略要求，对硬件设备的使用经行控制，对用户的操作行为进行数据采集，并将采集到的各类数据上传到CMC。在系统管理员授权的情况下

可通过IE对数据进行查询。

第二层为各子、分公司的CMC、UB管理层，负责对各代理端进行管理、数据收集及数据的统计、查询、分析。

第三层为集团CMC、UB管理层，可对下属各子、分公司的审计策略、数据进行统计、查询、分析。各单位CMC把严重报警提交给第三层的CMC，第三层CMC 履行监督报警的处理情况的职责。

2.2系统功能结构

主机监控与审计系统是对计算机及网络的各种事件及行为实行信息采集、监测、控制和审计的应用系统。

客户端主要由BA、PA两部分组成：

✧BA（Base Agent）基本代理：指在计算机中驻留的基本代理模块，负责

基本信息的采集及发送、存活状态信息的发送、其他代理的加载和卸载

等功能实现的软件。

✧PA（Policy Agent）策略代理：指按照计算机实际情况制定的策略生成

的代理模块，它通过基本代理进行加载和卸载，并和基本代理进行安全

认证，保证代理端软件自身安全性。

服务器端即CMC（Control and Manager Center）控制管理中心，是安装于中心控制台的软件，它收集各代理发送的采集信息，根据报警策略产生报警，并推荐响应控制建议，管理各个计算机（组）策略并生成策略代理，产生审计报表等。

3.系统功能

3.1代理端功能

代理端软件指安装于各端机上的主机监控与审计系统，由BA和PA模块组成。其主要功能是根据CMC对端机审计要求和控制要求，对用户的操作行为进行审计，对端机的软、硬件使用进行控制，并对违规行为进行报警。

3.1.1数据采集功能

代理端数据采集是指对端机的环境信息、软、硬信息及操作、使用行为进行数据采集，具体包括以下几方面：

1)基本信息数据采集：采集计算机操作系统的基础配置数据，其中包括：

用户名、主机名、域名、网络名、操作系统、MAC地址、CPU型号、IE

版本号等。

2)软件信息数据采集：采集该系统已经安装的软件信息。

3)设备信息数据采集：采集该计算机的设备配置情况，包括：DVD/CD-ROM

驱动器、IDE ATA/ATAPI控制器、处理器、磁盘驱动器、端口、键盘、

软盘控制器、软盘驱动器、鼠标和其它指针设备、通用串行总线控制器、

网络适配器、显示卡等。

4)日志信息数据采集：对系统生成的日志信息进行数据采集，其中包括：

应用程序错误记录、安全审核记录、系统错误记录。

5)磁盘文件操作数据采集：对用户对文件的增、删、改、重命名进行审计，

同时对计算机IP地址、操作时间、文件操作类型、文件路径、文件名

等数据进行提取、保存。

6)注册表操作数据采集：对注册表项的“增、删、改”操作行为进行数据

采集，采集的基本信息包括：计算机名（IP地址）、用户名、程序名、

键名、键值、操作时间等信息。

7)应用/进程信息数据采集：对系统的应用程序和进程的启动及运行情况

进行数据采集，包括：计算机名（IP地址）、用户名、进程映像名称、

进程ID、程序名称等。

8)打印信息数据采集：对计算机进行的打印信息进行采集，采集的基本信

息包括：计算机名（IP地址）、用户名、打印机名、打印时间、打印文

档名、打印页数、打印份数等信息。

9)网络行为数据采集：对用户的上网行为进行数据采集，采集的基本信息

包括：计算机名（IP地址）、用户名、上网时间、网址名等信息。

10)非法外联行为数据采集：对CMC允许以外的外联行为定义为非法外联行

为，此操作威胁到涉密文件的安全，因此要产生报警信息，采集的基本

信息包括：计算机名（IP地址）、用户名、上网时间、网址名等信息。

11)非法内联行为数据采集：进入内网的计算机是经过严格审批手续的，对

没有进行审批就进入内网的计算机认为是非法内联行为，对计算机的非

法内联行为的数据采集包括：计算机名（IP地址）、用户名、时间等信

息。

3.1.2控制功能

为了保证计算机上的数据安全，防止泄密事件的发生，要禁止用户在未经许可的情况下私自将涉密文件拷出，禁止进入不安全的网络，防止被他人恶意攻击，窃取涉密文件。因此在对文件进行审计的同时，要对文件的出口加以控制。为了保证数据的有效性，对系统的关键数据的修改权利也加以控制。

控制功能包括两部分设备使用的控制和操作系统参数设置的控制。

1）设备包括本机已有设备和外围设备两部分，控制主要指对设备的可用性进行控制，分为启用和禁用两种状态，设备启用时用户可以对设备正常使用，禁用时用户将无法使用该设备，如果用户采用其他技术手段改变了CMC对设备的控制属性，代理端检测到后将依据CMC对设备的使用权重新进行设置，并产生报警信息，通知CMC。要进行控制的设备包括以下几方面：

✧光驱

✧软驱

✧USB设备

✧USB存储设备

✧串、并口

✧打印机

✧拨号上网

✧无线网卡上网

✧网络共享服务

2）操作系统部分功能使用的控制权

✧IP/MAC地址的更改：为了保证数据的有效性，同时有效防止非法内联事

件的发生，在未经审批、管理员授权的情况下禁止修改IP/MAC地址。