主机监控与审计系统设计方案

主机监控与审计系统

设计方案

北京市爱威电子技术公司

2010年5月

目录

1.系统简介................................................... 错误!未指定书签。

2.系统总体结构............................................... 错误!未指定书签。

系统架构及基本工作原理.................................. 错误!未指定书签。

系统功能结构............................................ 错误!未指定书签。

3.系统功能................................................... 错误!未指定书签。

代理端功能.............................................. 错误!未定义书签。

数据采集功能 ....................................... 错误!未指定书签。

控制功能 ........................................... 错误!未指定书签。

其它功能 ........................................... 错误!未指定书签。

控制管理中心功能........................................ 错误!未指定书签。

系统管理功能 ....................................... 错误!未指定书签。

计算机软硬件资产管理功能 ........................... 错误!未指定书签。

监视管理功能 ....................................... 错误!未指定书签。

策略管理功能 ....................................... 错误!未指定书签。

文件/补丁程序管理功能 .............................. 错误!未指定书签。

审计管理功能 ....................................... 错误!未指定书签。

报警管理功能 ....................................... 错误!未指定书签。

日志管理功能 ....................................... 错误!未指定书签。

用户浏览功能............................................ 错误!未定义书签。4系统特点................................................... 错误!未指定书签。

CPU占用少 ............................................. 错误!未指定书签。

网络资源占用少.......................................... 错误!未指定书签。

非法内联监控效率高...................................... 错误!未指定书签。

1.系统简介

随着网络信息化的高速推进，人类社会的行为与活动已经和网络系统紧密联系起来。网络信息系统将人类传统的工作、管理模式“映射”到网络环境中，极大地提高了研究、工作和管理效率。人们对于内部网络系统，曾经假定“内部环境是安全的”，但自从网络系统采用了开放互连的TCP/IP协议后，这种假设条件在事实上已经不能完全成立了。各类单位（尤其是涉密单位）为了保证员工能通过网络（包括互联网）共享信息的同时，确保不会因为使用网络而有意或无意的泄漏敏感信息，都采取了相应的行政手段对本单位内部局域网的使用和操作规范进行强制性的、非技术性的管理，这些管理措施在特定时期和特定环境下是可用的，但仅依靠非技术性管理却是有悖于信息化初衷的，是不利于信息化进程发展的。

主机监控与审计系统的目的是：按照国家标准和保密局标准，结合长峰集团的实际情况，研制开发一套完善的、可持续扩展的安全保密信息审计系统。

该系统的实现，对于在信息化高速发展的同时，严格保证涉密信息系统及其审计系统的特殊性、安全性、可靠性、可控性、及时性、可扩展性有着积极的促进作用。

2.系统总体结构

系统架构及基本工作原理

系统结构图

从统一管理的角度出发，主机监控与审计系统采用多极构架组成（如图），其基本工作原理描述如下：

第一层为计算机端机，通过安装的主机监控与审计系统的代理端软件，根据CMC对该端机的审计策略要求，对硬件设备的使用经行控制，对用户的操作行为

进行数据采集，并将采集到的各类数据上传到CMC。在系统管理员授权的情况下可通过IE对数据进行查询。

第二层为各子、分公司的CMC、UB管理层，负责对各代理端进行管理、数据收集及数据的统计、查询、分析。

第三层为集团CMC、UB管理层，可对下属各子、分公司的审计策略、数据进行统计、查询、分析。各单位CMC把严重报警提交给第三层的CMC，第三层CMC 履行监督报警的处理情况的职责。

系统功能结构

主机监控与审计系统是对计算机及网络的各种事件及行为实行信息采集、监测、控制和审计的应用系统。

客户端主要由BA、PA两部分组成：

BA（Base Agent）基本代理：指在计算机中驻留的基本代理模块，负责

基本信息的采集及发送、存活状态信息的发送、其他代理的加载和卸载

等功能实现的软件。

PA（Policy Agent）策略代理：指按照计算机实际情况制定的策略生成

的代理模块，它通过基本代理进行加载和卸载，并和基本代理进行安全

认证，保证代理端软件自身安全性。

服务器端即CMC（Control and Manager Center）控制管理中心，是安装于中心控制台的软件，它收集各代理发送的采集信息，根据报警策略产生报警，并推荐响应控制建议，管理各个计算机（组）策略并生成策略代理，产生审计报表等。