主机审计与监控系统白皮书

V1.5主机审计与监控系统

技术白皮书

北京博睿勤技术发展有限公司Beijing Bring Technology Development Co.,Ltd

目录

一系统简介 (1)

1.1系统概述 (1)

1.2系统结构 (1)

二主要功能 (3)

2.1概述 (3)

2.2控制功能 (3)

2.2.1 硬件资源控制 (3)

2.2.2 软件资源控制 (4)

2.2.3 移动存储设备控制 (4)

2.2.4 IP与MAC地址绑定 (4)

2.3监控功能 (4)

2.3.1 进程监控 (5)

2.3.2 服务监控 (5)

2.3.3 硬件操作监控 (5)

2.3.4 文件系统监控 (5)

2.3.5 打印机监控 (5)

2.3.6 非法外联监控 (6)

2.3.7 计算机用户账号监控 (6)

2.4审计功能 (6)

2.4.1 文件操作审计 (6)

2.4.2 外挂设备操作审计 (6)

2.4.3 非法外联审计 (6)

2.4.4 IP地址更改审计 (7)

2.4.5 服务、进程审计 (7)

2.5系统管理功能 (7)

2.5.1 代理状态监控 (7)

2.5.2 安全策略管理 (7)

2.5.3 主机监控代理升级管理 (7)

2.5.4 计算机注册管理 (8)

2.5.5 实时报警 (8)

2.5.6 历史信息查询 (8)

2.5.7 统计与报表 (8)

2.6其它辅助功能 (8)

2.6.1 资产管理 (8)

2.6.2 补丁分发 (8)

2.6.3 操作系统日志收集 (9)

三主要特色 (10)

3.1系统部署方式灵活、安装方便 (10)

3.2控制、监控与审计结合，全方位防止泄密 (10)

3.3高性能、高可靠性 (10)

3.4主机代理安装卸载方便 (10)

3.5监控模块可动态加载与卸载 (11)

3.6自动升级 (11)

3.7灵活的分级管理架构 (11)

3.8完善的自保护机制 (11)

3.9丰富的报表、报表类型灵活多样 (11)

3.10高兼容性 (11)

3.11系统通信安全性 (12)

3.12多方位的主机资源信息管理功能 (12)

四系统主要性能参数 (13)

五系统配置要求 (14)

一系统简介

1.1 系统概述

博睿勤公司《主机审计与监控系统V1.5》是北京博睿勤技术发展有限公司根据

安全计算机通常出现的安全情况，独立研发的一款专门针对安全计算机系统进行控制、监控和审计的安全产品。

该系统对主机的安全防护根据保密防护分成事前、事中和事后三个步骤基本原理，采用了三大手段：控制、监控、审计,统筹考虑三个环节中可能出现的各信息泄

密途径，对计算机的软硬件资源、文件系统进行集中的监控与管理。同时，为了加强涉密计算机的管理，系统内置了注册管理功能，对计算机的IP地址、部门

等信息进行集中管理，实现对计算机的实时跟踪和控制。

1.2 系统结构

涉密计算机审计与监控系统.采用B/S设计架构，系统架构如图1-2-1所示。从图中可以看出，系统由三部分组成：控制台，主机监控代理、后台数据库。其中控制台管理采用B/S模式，监控代理与控制台之间的通讯采用C/S模式。

控制台负责设置监控代理的安全策略、查看监控代理的活动状态、接受监控代理上传的报警事件并记入后台数据库以及对历史审计数据的查询以及报表等。控制台主要采用了JA V A技术和Web Service技术。

主机监控代理负责按照控制台制定的安全策略完成对主机软硬件资源、文件系统等的使用控制、监控和审计功能。将报警信息上传到控制台。监控代理按照模块化的设计思想，每个功能都是一个独立的模块，且各功能模块可按控制台的策略动态加载或移除。这使得监控代理的功能升级非常方便。

后台数据库是提供数据信息存储和数据信息交换的平台。本系统可根据管理的主机数量分别选择Oracle、SQL Server、My SQL等。数据库主要存储报警和审计

数据。

图1-2-1博睿勤主机审计与监控系统体系架构

二主要功能

2.1 概述

本系统通过主机监控代理实现计算机的控制、监控与审计。不论计算机是否联网、登陆用户是否有超级权限，都能够有效控制计算机相关资源的使用。

本系统主要包括控制功能、监控功能、审计功能和系统管理功能四大类。

控制功能包括计算机硬件资源控制、软件资源控制、移动存储设备使用控制、IP 与MAC地址绑定等。

监控功能包括服务监控、进程监控、硬件操作监控、文件系统监控、打印机监控、非法外联监控、计算机用户账号监控等。

审计功能包括文件操作审计、外挂设备操作审计、非法外联审计、IP地址更改审计、服务与进程审计等。

系统管理功能包括系统用户管理、主机监控代理状态监控、安全策略管理、主机

监控代理升级管理、计算机注册管理、实时报警、历史信息查询、统计与报表等。另外，系统还包括其它一些辅助功能，例如资产管理、补丁分发、操作系统日志收集。

2.2 控制功能

涉密计算机审计与监控系统的控制功能是指对安装主机监控代理的计算机上的各种硬件资源、软件资源的使用等用户行为进行控制，使得非法用户或未授权用户的行为得到有效控制，从而达到保护主机系统机密信息不被非法盗取或意外泄漏的目的。

2.2.1 硬件资源控制

本系统能够管理控制（使用或禁用）的硬件设备包括所有的计算机外挂设备。这些外挂设备包括：USB设备、串口、并口、RAM盘、软驱、光驱、刻录机、红外设备等。

一旦控制中心设定的策略不允许使用某个设备，即使本机超级用户也无法使用该设备。这种控制功能和系统内核进行了结合，达到了强制控制的目的，即被禁用的设备无法使用，即便超级管理员也无法启用该设备。

另外，系统还可控制新添加的外挂硬件设备。只要控制台的策略不允许使用任何新添加的设备，计算机上的新加设备便不可使用。

2.2.2 软件资源控制

软件资源的控制主要是指对用户可使用的应用软件进行控制即对已安装的应用软件的使用进行控制。

对于已经安装的应用软件，系统可以采用黑名单的形式，禁止用户运行黑名单上的应用程序。

2.2.3 移动存储设备控制

系统可对移动存储设备的使用进行控制，包括U盘、移动硬盘、软盘。禁止移动设备的使用，当禁用移动设备后，用户无法向移动设备上拷贝任何文件，也无法访问移动设备上的文件。

2.2.4 IP与MAC地址绑定

系统可禁止用户自行修改主机的IP地址，这主要通过IP与MAC地址绑定来实现。如果计算机采用了固定IP地址管理方式，系统可将IP和MAC地址绑定，如何试图改变IP地址的企图都将无效。这为计算机的管理提供了方便。也有效防止了用户通过私自更改计算机IP地址的方式，进行非法操作。

监控功能 2.3