神盾主机监控与审计系统简介

专业资料

西安市信息技术应用研究所

神盾主机监控与审计系统功能及实施简介文档版本：1.0

文档编号：SD-INAS™-Whitepaper

目录

1系统概述 (2)

1.1系统背景 (2)

1.2系统目标 (2)

1.3系统内容 (3)

1.4依据标准 (3)

2总体方案设计 (4)

2.1系统设计原则 (4)

2.2系统部署规划 (4)

2.3系统设计 (5)

2.3.1系统结构 (5)

2.3.2系统操作平台 (6)

3功能简介 (7)

3.1管理控制功能 (7)

3.2客户端主机审计 (8)

3.3客户端主机审计 (9)

3.4虚拟磁盘控制 (9)

3.5存储设备管理 (10)

4项目实施 (10)

4.1实施流程图 (10)

4.2实施环境确认 (11)

1系统概述

1.1系统背景

随着现代科学技术的发展，国与国之间的窃密与反窃密斗争越来越带有高科技抗衡的特点，发展内网保密技术已成为防止泄密的重要保障。特别是近几年来国家涉密单位网络失泄密事件的不断发生，为内网的安全防泄密敲响了警钟。国家涉密单位使用的内部局域网，都是范围不同的内网，内网从物理结构上与外部完全隔离，因此，防范来自于网络外部的各种入侵（比如黑客、非法入侵等）已经不是主要方面，相对而言，来自于网络内部的安全威胁就显得越来越严重了。以人为控制的教育加监督的安全管理方式是无法阻止内部工作人员运用现今的高科技信息载体主动或被动泄密，如利用EMAIL，FTP，光盘，打印，笔记本，可移动硬盘等方式造成的失泄密事件，根据近几年来的网络失泄密事件统计，87％的网络泄密都是内部人员或内外勾结造成的。针对上述的情况，为了给涉密单位提供一个更加安全而有效的内部网络环境，我们研制了神盾主机监控与审计系统。

内网安全防泄密系统就是从信息源头上抓安全。从终端电脑上信息产生后就加密，文件打出来加密存盘，在局域网中加密传输，在服务器中加密保存。在移动存贮介质中加密存放。信息无论是在移动中还是在固定磁盘中都处于加密状态，实现全程全网全过程的加密，这样即使泄露后也看不懂，解不开。

内网安全防泄密系统对电脑终端的各种接口都实行了控制，USB口、串口、并口、1394口等。外部非本单位的笔记本电脑、U盘、移动硬盘、数码相机等产品非法接入，不能使用并告警锁定，后台审计系统记录。你这台机子不能使用，只有与管理员联系解除锁定后才能使用。本单位经过认证的笔记本电脑、U盘、移动硬盘、数码相机等产品可以正常使用。

本单位经过认证的笔记本电脑、U盘、移动硬盘、数码相机等产品带到外部接入任何网络或插入任何外部电脑上也不能使用。内网安全防泄密系统从技术上解决了涉密产品的专用问题。

1.2系统目标

在此网络中，安全系统管理要求有着如下的部署效果：

（1）网络内部的数据安全交换平台；

依据于强大的域数据交换体系。可以保证在内部网络内，安全域之间的任何数

据在交换过程中是安全的，即使是有第三方能够获得传输过程中的数据，这些

数据对于其也是没有任何意义的。有效的防止了任何非法外联的主机窃取重要

数据。

（2）主机的资源审计和管理平台；

对于网络内部需要管理的重要主机信息进行实时的审计，并且根据相应的审计

信息定制科学的安全策略；包括软件信息、硬件信息、主机服务信息、网络连

接状况信息、可能非法外联信息等等。

（3）主机外设端口管理平台；

对于一切可能通过外设形成泄密的行为进行控制，有效地防止了核心数据区的

服务器被第三方通过各种网络接口直接从服务器将机密数据盗窃，保障了核心

区的数据安全。

（4）磁盘管理平台；

能够提供磁盘管理手段，保证了数据的存储介质——磁盘的科学使用，可以规

定每台主机上磁盘的存储方式（只度、正常读写、加密读写）及其磁盘的数据

有效范围（单机有效、域有效、第三方有效），从而可以保证了重要数据在未授

权的前提下，不可能被带出网络，解决了用户身份和数据身份的访问控制问题；

根据以上实际情况，为此网络信息系统安全管理规划了安全目标，我们认为规划、设计、实施此网络信息系统的安全系统的目标是：通过安全系统项目的实施，建立完整的网络信息系统的安全防护体系，在安全法律、法规、政策的支持与指导下，通过制定客户化的安全策略，采用合适的安全技术和制度化的安全管理，从安全策略、安全域、安全系统、安全管理多个层次，多个角度，构建网络内部信息安全保障技术框架，实现：

有效管理移动存储设备，防止非法（未注册）的移动存储设备的接入。

终端外设端口受控合法地使用。

对所需保护的主机进行详细的管理和审计。

内部安全解决方案的设计目标是在最小安全投资的前提下，最大限度的管理网络内部信息的安全。

1.3系统内容

内部网络安全管理的核心是数据的安全，神盾主机监控与审计系统通过对内网数据安全的关注和有效管理，建立了一个完整的内网数据安全保护体系。

1.4依据标准

国家保密标准BMB15-2004《涉及国家秘密信息系统安全审计产品技术要求》

GB/T18336-2001 《信息技术安全技术信息技术安全性评估准则》

2总体方案设计

2.1系统设计原则

系统的总体设计遵循以下原则：

✧实用性

充分理解并分析本单位各项管理的模式和特点，应用系统的开发应做到功能完善、使用方便、经济合理、切合实际、运作高效，力求达到科技人性化。

✧安全性

系统设计具有高度的可靠性，产品成熟，性能稳定，保证系统长时间无故障运行。系统严格划分不同操作权限，不同职能授予不同的管理权限；数据方面，通过定期备份数据库数据等，来保证数据库服务器的安全和正常运行。

✧方便性

简洁的界面，中文版的文字，易懂的文字，让每个操作员都能清楚的了解每个功能的意思。做到通俗易懂。

✧专用性

服务器里嵌有严格的保密系统，根据单位计算机数量等量身定做服务器，做到保密性和专用性的统一。

2.2系统部署规划

神盾主机监控与审计系统（LPS）是C/S/C结构，管理服务器（MS）通过客户端管理代理（MA）来实现对整个网络的管理和安全监控，管理员通过管理控制台（MC）来管理服务器（MS），并且定制相关的安全策略。LPS支持广域网络部署，其构造的安全控制域是逻辑上的，而不要求物理上是一个内部网络。

神盾主机监控与审计系统（LPS）自身是建立在一个安全架构中的，它使用PKI框架和密码学技术保护自身的安全，从而使系统自身具有可靠的安全性。下图是LPS的典型部署结构。