主机监控与审计系统设计方案

主机监控与审计系统

设计方案

北京市爱威电子技术公司

2010年5月

目录

1.系统简介 (1)

2.系统总体结构 (2)

2.1系统架构及基本工作原理 (2)

2.2系统功能结构 (3)

3.系统功能 (4)

3.1代理端功能 (4)

3.1.1数据采集功能 (4)

3.1.2控制功能 (5)

3.1.3其它功能 (6)

3.2控制管理中心功能 (7)

3.2.1系统管理功能 (7)

3.2.2计算机软硬件资产管理功能 (9)

3.2.3监视管理功能 (10)

3.2.4策略管理功能 (11)

3.2.5文件/补丁程序管理功能 (13)

3.2.6审计管理功能 (14)

3.2.7报警管理功能 (15)

3.2.8日志管理功能 (16)

3.3用户浏览功能 (16)

4系统特点 (17)

4.1 CPU占用少 (17)

4.2网络资源占用少 (18)

4.3非法内联监控效率高 (19)

1.系统简介

随着网络信息化的高速推进，人类社会的行为与活动已经和网络系统紧密联系起来。网络信息系统将人类传统的工作、管理模式“映射”到网络环境中，极大地提高了研究、工作和管理效率。人们对于内部网络系统，曾经假定“内部环境是安全的”，但自从网络系统采用了开放互连的TCP/IP协议后，这种假设条件在事实上已经不能完全成立了。各类单位（尤其是涉密单位）为了保证员工能通过网络（包括互联网）共享信息的同时，确保不会因为使用网络而有意或无意的泄漏敏感信息，都采取了相应的行政手段对本单位内部局域网的使用和操作规范进行强制性的、非技术性的管理，这些管理措施在特定时期和特定环境下是可用的，但仅依靠非技术性管理却是有悖于信息化初衷的，是不利于信息化进程发展的。

主机监控与审计系统的目的是：按照国家标准和保密局标准，结合长峰集团的实际情况，研制开发一套完善的、可持续扩展的安全保密信息审计系统。

该系统的实现，对于在信息化高速发展的同时，严格保证涉密信息系统及其审计系统的特殊性、安全性、可靠性、可控性、及时性、可扩展性有着积极的促进作用。

2.系统总体结构

2.1系统架构及基本工作原理

系统结构图

从统一管理的角度出发，主机监控与审计系统采用多极构架组成（如图），其基本工作原理描述如下：

第一层为计算机端机，通过安装的主机监控与审计系统的代理端软件，根据CMC对该端机的审计策略要求，对硬件设备的使用经行控制，对用户的操作行为进行数据采集，并将采集到的各类数据上传到CMC。在系统管理员授权的情况下可通过IE对数据进行查询。

第二层为各子、分公司的CMC、UB管理层，负责对各代理端进行管理、数据收集及数据的统计、查询、分析。

第三层为集团CMC、UB管理层，可对下属各子、分公司的审计策略、数据进行统计、查询、分析。各单位CMC把严重报警提交给第三层的CMC，第三层CMC履行监督报警的处理情况的职责。

2.2系统功能结构

主机监控与审计系统是对计算机及网络的各种事件及行为实行信息采集、监测、控制和审计的应用系统。

客户端主要由BA、PA两部分组成：

BA（Base Agent）基本代理：指在计算机中驻留的基本代理模块，负责基本信息的采集及发送、存活状态信息的发送、其他代理的加载和

卸载等功能实现的软件。

PA（Policy Agent）策略代理：指按照计算机实际情况制定的策略生成的代理模块，它通过基本代理进行加载和卸载，并和基本代理进行

安全认证，保证代理端软件自身安全性。

服务器端即CMC（Control and Manager Center）控制管理中心，是安装于中心控制台的软件，它收集各代理发送的采集信息，根据报警策略产生报警，并推荐响应控制建议，管理各个计算机（组）策略并生成策略代理，产生审计报表等。

3.系统功能

3.1代理端功能

代理端软件指安装于各端机上的主机监控与审计系统，由BA和PA模块组成。其主要功能是根据CMC对端机审计要求和控制要求，对用户的操作行为进行审计，对端机的软、硬件使用进行控制，并对违规行为进行报警。

3.1.1数据采集功能

代理端数据采集是指对端机的环境信息、软、硬信息及操作、使用行为进行数据采集，具体包括以下几方面：

1)基本信息数据采集：采集计算机操作系统的基础配置数据，其中

包括：用户名、主机名、域名、网络名、操作系统、MAC地址、CPU型

号、IE版本号等。

2)软件信息数据采集：采集该系统已经安装的软件信息。

3)设备信息数据采集：采集该计算机的设备配置情况，包括：

DVD/CD-ROM驱动器、IDE ATA/ATAPI控制器、处理器、磁盘驱动器、端

口、键盘、软盘控制器、软盘驱动器、鼠标和其它指针设备、通用串行

总线控制器、网络适配器、显示卡等。

4)日志信息数据采集：对系统生成的日志信息进行数据采集，其中

包括：应用程序错误记录、安全审核记录、系统错误记录。

5)磁盘文件操作数据采集：对用户对文件的增、删、改、重命名进

行审计，同时对计算机IP地址、操作时间、文件操作类型、文件路径、

文件名等数据进行提取、保存。

6)注册表操作数据采集：对注册表项的“增、删、改”操作行为进

行数据采集，采集的基本信息包括：计算机名（IP地址）、用户名、程

序名、键名、键值、操作时间等信息。

7)应用/进程信息数据采集：对系统的应用程序和进程的启动及运

行情况进行数据采集，包括：计算机名（IP地址）、用户名、进程映像