您的位置:360文档中心› 内部网络行为监控与审计110系统

内部网络行为监控与审计110系统

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

内部网络行为监管审计系统

在我国,国家政府部门、企事业单位已经越来越多地使用计算机网络开展日常工作和业务,但是越来越庞大的网络及其不断更新的相关技术也带来了不断增长的安全威胁,计算机网络的安全已经成为了一个国际化的问题。防病毒、防黑客、物理隔离、数据备份、防火墙等是人们常用的防止外部网络侵害的信息保护手段。然而更大的安全威胁来源于网络内部,据统计,大约有80% 的安全破坏是在网络内部发生的。所以防范来自内部的攻击更为重要、更为迫切。

首先,内部网络安全措施简单,防范疏漏。即使内部人员使用简单的网络窃取工具(黑客工具)也很容易非法使用、窃取保密数据或对数据进行破坏。另外,内部网络数据管理本身也很薄弱,核心机密数据通常仅采用简单的口令来保护,而正在开发过程中的各种技术资料就更没有任何防护手段,至少对项目组成员来说,全部的数据和资料都是共享的,几乎没有采取任何措施来防止数据破坏和资料失窃。因此,在内部网络中非法篡改数据和越权获取资料就变的非常容易,而且还不留下记录和证据,给事后追查带来很大的麻烦。

除了信息安全的破坏以外,信息不非法外泄也成为内部网络安全系统需要解决的一个重要问题,由于网络的复杂性和隐藏性,使得组织内部的机密信息更加容易透过网络(如一机两用等情况)被有意无意的泄露出去,其造成的危害和损失不亚于,有时甚至大大高于直接的数据破坏。

系统针对

内部网络行为监管审计系统是在网络整体安全解决方案的基础上,综合了党政机关内部网络的安全需求,采取多层架构、分布式设计,可满足党政机关以及企事业单位对保障数据、信息的安全性及完整性的迫切要求。对内部网络行为的管理监控结果有效,审计结果取证完整、记录可信。

本系统主要针对的是国家重点单位内部网络的一些越权获取数据、信息泄密、一机两用、非法接入等行为进行监查管理,可有效管理和阻止网络内部主要针对主机的有害行为,并且将过程记录下来提供给事后审计和查证,检查单位可以通过查看可靠的审计日志输出,对所有违规行为做到有据可查,取证准确。通过对行为而不是内容进行监管,还可防止管理人员接触无关的秘密,增加泄密的可能,使单位内部的秘密得到可靠保护。

系统组成

根据用户多点监控、集中管理的要求,本系统采用基于监控中心控制台/代理的分布式系统结构,参见下图。

系统主要由监控中心和安装在网络各节点的代理软件两大部分构成;控制中心由控制台、告警设备及身份认证服务器组成,可根据实际情况分为多级,例如:地市级、省厅级、部级。根据安装节点的不同,代理软件又分为受控主机代理、网络感应器代理,邮件监控器代理。各代理根据自身的功能采集、捕获信息,阻止有害行为造成危害,并根据控制台制定的策略及时将告警信息和采集的日志等信息上报到控制台。控制台可以很清楚的看到各个代理的运行情况,及网络中发生的危害信息安全事件。

1. 监控中心控制台:

运行在Windows2000各种版本/Windows XP下,对系统安全策略进行统一管理与发布,对系统的安全设备及配置进行统一管理,对系统的日志进行审计、分析、报告,对安全事件进行应急响应和处理,可随机抽查网络内受控主机的屏幕信息并可记录和回放。

2. 身份认证识别服务器

运行在Windows2000 Server版本下,采用一次一变的动态口令,有效的解决了一般静态口令易截取、易窃听、易猜测等安全隐患,用于内部网使用人员的身份管理和网络安全管理员身份的认证控制。

3. 受控主机代理:

运行在Windows2000各种版本/Windows XP下,根据监控中心控制台设置的策略规则(包括登录策略、文件策略、一机两用策略、屏幕监控策略、输入输出策略等),实时进行信息采集,阻止违规操作,将违规操作报警到控制台。

4. 邮件监控器代理:

运行在Windows2000各种版本下,安装在邮件服务器中,根据监控中心控制台设置的邮件策略规则,根据时间段、计算机的IP地址、Email地址进行阻止、报警,将违规操作报警到控制台。

5. 网络感应器代理:

运行在Windows2000各种版本/Windows XP下,采集网络中的信息流量,根据控制台的要求,将采集的网络信息流量上传到控制台,进行审计统计。并可实时检测出网络内非法接入的其它设备。

系统功能

本系统是分布式管理控制系统;

本系统可实现分级集中管理;

对受控主机的文件、目录进行保护,防止信息泄漏;

对受控主机根据用户身份、时间段进行登录控制;

对软驱、光驱、移动存储设备及打印机等设备进行输入输出控制;

对系统进程进行控制,可阻止非法进程运行。

对一机两用、非法外联、越权获取、非法侵入等行为进行控制;

可有选择的实时获取主机屏幕信息,可保存、回放;

将用户访问控制、网络行为监管、基于主机安全策略审计等功能集为一体;

具有完善的自我检测机制,策略文件和审计结果加密保存;

智能审计,生成可靠记录;审计结果不可删除、修改、非法拷贝,保证结果的可信性;

具有友好的人机操作界面,可直观的看到网络中各种主机的在线运行状况,可将告警信息采用多种方式通知管理人员;

系统安装运行后,进程不可被停止;

系统具有自我保护和完整性检测功能,不能被随意卸载。

系统运行环境

网络环境:

支持TCP/IP协议的10M/100M快速以太网;

软件环境:监控中心控制台:Windows2000;

受控主机代理软件:Windows2000/ WindowsXP;

网络感应器代理软件:Windows2000/ WindowsXP;

邮件监控器代理软件:Windows2000;

硬件环境:CPU为PentiumⅡ300以上的计算机;

128M或者更多容量的内存;

光盘驱动器;

512MB以上空余硬盘空间。

相关文档
最新文档