涉密计算机审计与监控系统

功能可根据设定的策略允许或者禁止用户访问互联网。可以禁止的互联 网访问方式包括局域网上网、ADSL、MODEM拨号、无线上网、以及 通过红外线和蓝牙设备上网等。系统一旦发现用户计算机连通了互联 网，可立即禁止网络连接。该功能突破了传统的拨号上网连接控制，完 全杜绝了非法上网行为。
2.3.7 非法接入监控
控制功能包括计算机硬件资源控制、软件资源控制、移动存储设备 使用控制、IP与MAC地址绑定、计算机接入控制等。
监控功能包括服务监控、进程监控、硬件操作监控、文件系统监 控、打印机监控、非法外联监控、非法接入监控、计算机用户账号监控 等。
审计功能包括文件操作审计、外挂设备操作审计、非法外联审计、 非法接入审计、IP地址更改审计、服务与进程审计等、。
2.4.1 文件操作审计
文件操作审计主要对用户进行的各种文件操作进行审计，如创建、 读取、删除、修改等。通过该功能可实现对特定文件的跟踪审计。
2.4.2 外挂设备操作审计
该功能主要对用户企图启用或禁用计算机外挂设备的操作进行审 计。通过功能可对用户使用外挂设备的企图进行记录，为日后的责任追 查提供依据。
目录
三 主要特色
3.1 系统部署方式灵活、安装方便 3.2 控制、监控与审计结合，全方位防止泄密 3.3 高性能、高可靠性 3.4 高效的网管功能，实现跨网段主机管理 3.5主机代理安装卸载方便 3.6监控模块可动态加载与卸载 3.7自动升级 3.8灵活的分级管理架构 3.9完善的自保护机制 3.10丰富的报表、报表类型灵活多样 3.11 高兼容性 3.12 系统通信安全性 3.13 增强的网管功能 3.14 多方位的主机资源信息管理功能
涉密计算机审计与监控系统V2.0 技术白皮书
北京格方天一网络安全技术有限公司
一 系统简介
1.1 系统背景与概述 1.2 系统结构
二 主要功能
2.1 概述 2.2 控制功能
2.2.1 硬件资源控制 2.2.2 软件资源控制 2.2.3 移动存储设备控制 2.2.4 IP与MAC地址绑定 2.2.5 计算机接入控制 2.3 监控功能 2.3.1 进程监控 2.3.2 服务监控 2.3.3 硬件操作监控 2.3.4 文件系统监控 2.3.5 打印机监控 2.3.6 非法外联监控 2.3.7 非法接入监控 2.3.8 计算机用户账号监控 2.4 审计功能 2.4.1 文件操作审计 2.4.2 外挂设备操作审计 2.4.3 非法外联审计 2.4.4 非法接入审计 2.4.5 IP地址更改审计 2.4.6 服务、进程审计 2.5 网管功能 2.5.1 网络拓扑呈现 2.5.2 交换机管理 2.5.3 流量统计 2.6 系统管理功能 2.6.1 代理状态监控 2.6.2 安全策略管理 2.6.3 主机监控代理升级管理 2.6.4 计算机注册管理 2.6.5 实时报警 2.6.6 历史信息查询 2.6.7 统计与报表 2.7 其它辅助功能 2.7.1 资产管理 2.7.2 补丁分发 2.7.3 操作系统日志收集
2.4 审计功能
审计功能主要是针对系统监控所涉及的内容进行记录，并上传到控 制台保存。如果被监控计算机处于离线状态，主机监控代理仍然可记录 对于用户在离线状态下的行为，主机监控代理仍然进行记录，加密后保 存在客户端。当该机器连接到内部网上后，这些记录可继续传输到控制 台服务器，并由控制台写入后台数据库中。
网管功能包括网络拓扑呈现、交换机管理、流量统计等。 系统管理功能包括系统用户管理、主机监控代理状态监控、安全策 略管理、主机监控代理升级管理、计算机注册管理、实时报警、历史信 息查询、统计与报表等。 另外，系统还包括其它一些辅助功能，例如资产管理、补丁分发、 操作系统日志收集。
2.2 控制功能
涉密计算机审计与监控系统的控制功能是指对安装主机监控代理的 计算机上的各种硬件资源、软件资源的使用、网络接入和外联等用户行 为进行控制，使得非法用户或未授权用户的行为得到有效控制，从而达
四 典型部署
五 系统主要性能参数
五 系统主要性能参数
六 系统配置要求
一 系统简介
1.1 系统背景与概述
近年来，国防、军工、军队等行业对信息系统防泄密的需求越来越 强烈。这些行业由于自身保密的需要，一方面需要对内网网络以及个人 计算机终端进行严格的访问控制，防止由于外来攻击和非法接入导致的 被动信息泄密；另一方面，需要对内网网络和个人计算机终端的使用进 行授权或强制控制，以防止内部员工由于各种动机导致的主动信息泄 密。
2.2.5 计算机接入控制
计算机接入控制是指对计算机可否接入企业内网进行控制。系统可 自动将内网计算机IP、MAC等信息与计算机所位于的交换机地址和端口 号对应起来。如果禁止计算机接入内网，可通过禁用交换机端口实现； 如果限制计算机接入，则可通过将该计算机位于的交换机端口划分到独 立的VLAN中实现对该计算机的隔离。对交换机端口的控制以及VLAN 的划分通过SNMP协议自动实现，无须管理员登录到交换机进行设置。
2.3 监控功能
系统的监控功能主要是对计算机的运行状态和用户行为进行实时监 视，并对出现的违规行为或非法行为采取必要的控制措施。通过系统监 控功能，管理人员能够及时发现被监控计算机可能的泄密行为，也能够 发现一些正在危害系统安全的特殊行为，并可自动采取控制措施阻止泄 密行为的发生。
2.3.1 进程监控
2.3.3 硬件操作监控
本功能主要监视用户对外挂硬件设备的启用和禁用等操作，并对用 户操作进行实时报警。例如，如果安全策略不允许用户启用某个外围设 备，当用户试图启用这个设备时系统便会报警。
2.3.4 文件系统监控
该功能可针对被监控的计算机制定文件监控策略，对用户的文件操 作进行监控，例如创建文件，更改文件名，删除文件等。系统能够识别 创建或拷贝的文件是位于移动硬盘还是固定介质。监控策略包括文件类 型、文件名等。可使用通配符“*”，“?”。这样就可针对文件名中包含的 涉密关键字，监控可能的用户泄密操作。通过将用户操作事件写入数据 库，还可为事后泄密责任的追查提供依据。
Leabharlann Baidu
加密，该移动设备只能在企业内部网络内使用，一旦移动设备脱离企业 内网，移动设备上存储的文件将无法解密，从而保护了文件内容，防止 泄密事件的发生。
2.2.4 IP与MAC地址绑定
系统可禁止用户自行修改主机的IP地址，这主要通过IP与MAC地址 绑定来实现。如果计算机采用了固定IP地址管理方式，系统可将IP和 MAC地址绑定，如何试图改变IP地址的企图都将无效。这为计算机的管 理提供了方便。也有效防止了用户通过私自更改计算机IP地址的方式， 进行非法操作。
进程监控是指对被监控计算机上正在运行的进程进行实时监视，并 根据进程黑名单对进程进行控制。如果某个正在运行的进程被加入黑名
单，主机监控代理将立即杀死该进程。其它位于黑名单中的未运行进程 则永远不可运行，除非控制台将该进程从黑名单中移除。
2.3.2 服务监控
服务监控是指对被监控计算机上正在运行的服务进行实时监视，并 根据服务黑名单对服务进行控制。如果某个已经启动的服务被加入黑名 单，主机监控代理将立即停用该服务。其它位于黑名单中的未启动服务 则永远无法启动，除非控制台将该服务从黑名单中移除。
北京格方天一网络安全技术有限公司的涉密计算机审计与监控系 统，是根据这些行业的信息保密需求开发的一款对涉密计算机系统进行 强制或授权控制、监控和审计的安全产品。该产品为这些行业解决内部 信息泄密问题提供了良好的技术手段和完善的解决方案。
该系统将涉密计算机的安全与保密防护分成事前、事中和事后三个 环节，综合采用控制、监控、审计等安全防护手段，统筹考虑三个环节 中可能出现的各信息泄密途径，对计算机的软硬件资源、文件系统进行 集中的监控与管理。同时，为了加强涉密计算机的管理，系统内置了网 络管理功能和注册管理功能，对计算机的IP地址、MAC地址、使用人、 所在交换机端口等信息进行集中管理，实现对计算机的实时跟踪和控 制。
另外，系统还可控制新添加的外挂硬件设备。只要控制台的策略不 允许使用任何新添加的设备，计算机上的新加设备便不可使用。
2.2.2 软件资源控制
软件资源的控制主要是指对用户可使用的应用软件进行控制。控制 包括两个方面，一是通过禁止用户安装未授权应用软件，二是对已安装 的应用软件的使用进行控制。
如果系统策略不允许用户私自安装应用软件，则用户安装任何应用 软件时，主机监控代理均会要求用户输入正确的安装密码（该安装密码 由控制台设置）。只有当用户输入正确的安装密码后，才能够继续安装 应用软件。
网管子系统负责对内网网络以及网络设备进行管理和控制，实现网 络拓扑自动发现、交换机端口管理、VLAN管理功能，并可实现交换机 端口与主机的对应，从而可直接控制特定主机的网络接入，例如对可疑 主机的阻断和隔离等。
后台数据库是提供数据信息存储和数据信息交换的平台。本系统可 根据管理的主机数量分别选择Oracle、SQL Server、My SQL等。数据库 主要存储报警和审计数据。
到保护主机系统机密信息不被非法盗取或意外泄漏的目的。
2.2.1 硬件资源控制
本系统能够管理控制（使用或禁用）的硬件设备包括所有的计算机 外挂设备。这些外挂设备包括：USB设备、串口、并口、RAM盘、软 驱、光驱、刻录机、红外设备、网络设备等。
一旦控制中心设定的策略不允许使用某个设备，即使本机超级用户 也无法使用该设备。这种控制功能和系统内核进行了结合，达到了强制 控制的目的，即被禁用的设备无法使用，即便超级管理员也无法启用该 设备。
另外，对于已经安装的应用软件，系统可以采用黑名单的形式，禁 止用户运行黑名单上的应用程序。
2.2.3 移动存储设备控制
系统可对移动存储设备的使用进行控制，包括U盘、移动硬盘、软 盘。控制包括两个层次，一是禁止移动设备的使用，当禁用移动设备 后，用户无法向移动设备上拷贝任何文件，也无法访问移动设备上的文 件；二是可以使用移动设备，但是任何存储到移动设备上的文件将自动
1.2 系统结构
涉密计算机审计与监控系统.采用C/S与B/S混和设计架构，系统架 构如图1所示。从图中可以看出，系统由四部分组成：控制台，主机监 控代理、网管子系统和后台数据库。其中控制台管理采用B/S模式，监 控代理与控制台之间的通讯采用C/S模式。
控制台负责设置监控代理的安全策略、查看监控代理的活动状态、
图1 涉密计算机审计与监控系统体系架构
二 主要功能
2.1 概述
本系统通过主机监控代理实现计算机的控制、监控与审计。不论计 算机是否联网、登陆用户是否有超级权限，都能够有效控制计算机相关 资源的使用；通过网管子系统的交换机端口和主机映射功能，实现计算 机的精确定位和控制。
本系统主要包括控制功能、监控功能、审计功能、网管功能和系统 管理功能五大类。
非法接入是指未经注册的计算机接入企业内网。控制台的网络管理 子系统按照设定的周期自动扫描网络上新发现的计算机，一旦发现有非 注册的计算机接入了内网，立即发送报警信息。同时，根据控制台设置 的策略，还可对非法接入的计算机进行阻断或隔离。
2.3.8 计算机用户账号监控
该功能主要对计算机用户账号的更改情况进行监控，包括增加、删 除、改名、修改属性等。一旦发现计算机用户账号有改动，立即向控制 台发送报警信息。
2.3.5 打印机监控
打印机监控是指对被监控计算机的文件打印操作进行监控，只要发 现打印任务，立即向控制台发送报警信息。报警信息包括文档名、所有 者、当前打印状态等。可监控的打印机包括本地打印机、共享打印机和 网络打印机。
2.3.6 非法外联监控
非法外联是指未授权用户通过各种途径访问国际互联网的行为。该
接受监控代理上传的报警事件并记入后台数据库以及对历史审计数据的 查询以及报表等。另外，控制台还负责设置网络管理各项参数和网管策 略，实现系统的网络管理功能。控制台主要采用了JAVA技术和Web Service技术。
主机监控代理负责按照控制台制定的安全策略完成对主机软硬件资 源、文件系统等的使用控制、监控和审计功能。将报警信息上传到控制 台。监控代理按照模块化的设计思想，每个功能都是一个独立的模块， 且各功能模块可按控制台的策略动态加载或移除。这使得监控代理的功 能升级非常方便。