主机监控与审计系统设计方案

1主机监控与审计系统设计方案北京市爱威电子技术公司2010年5月2目录1.系统简介........................................................................................................................................12.系统总体结构................................................................................................................................22.1系统架构及基本工作原理.................................................................................................22.2系统功能结构.....................................................................................................................33.系统功能........................................................................................................................................43.1代理端功能.........................................................................................................................43.1.1数据采集功能..........................................................................................................43.1.2控制功能..................................................................................................................53.1.3其它功能..................................................................................................................63.2控制管理中心功能.............................................................................................................73.2.1系统管理功能..........................................................................................................73.2.2计算机软硬件资产管理功能..................................................................................93.2.3监视管理功能........................................................................................................103.2.4策略管理功能........................................................................................................113.2.5文件/补丁程序管理功能.......................................................................................133.2.6审计管理功能........................................................................................................143.2.7报警管理功能........................................................................................................153.2.8日志管理功能........................................................................................................163.3用户浏览功能...................................................................................................................164系统特点......................................................................................................................................174.1CPU占用少......................................................................................................................174.2网络资源占用少...............................................................................................................184.3非法内联监控效率高.......................................................................................................1911.系统简介随着网络信息化的高速推进，人类社会的行为与活动已经和网络系统紧密联系起来。网络信息系统将人类传统的工作、管理模式“映射”到网络环境中，极大地提高了研究、工作和管理效率。人们对于内部网络系统，曾经假定“内部环境是安全的”，但自从网络系统采用了开放互连的TCP/IP协议后，这种假设条件在事实上已经不能完全成立了。各类单位（尤其是涉密单位）为了保证员工能通过网络（包括互联网）共享信息的同时，确保不会因为使用网络而有意或无意的泄漏敏感信息，都采取了相应的行政手段对本单位内部局域网的使用和操作规范进行强制性的、非技术性的管理，这些管理措施在特定时期和特定环境下是可用的，但仅依靠非技术性管理却是有悖于信息化初衷的，是不利于信息化进程发展的。主机监控与审计系统的目的是：按照国家标准和保密局标准，结合长峰集团的实际情况，研制开发一套完善的、可持续扩展的安全保密信息审计系统。该系统的实现，对于在信息化高速发展的同时，严格保证涉密信息系统及其审计系统的特殊性、安全性、可靠性、可控性、及时性、可扩展性有着积极的促进作用。22.系统总体结构2.1系统架构及基本工作原理系统结构图从统一管理的角度出发，主机监控与审计系统采用多极构架组成（如图），其基本工作原理描述如下：第一层为计算机端机，通过安装的主机监控与审计系统的代理端软件，根据CMC对该端机的审计策略要求，对硬件设备的使用经行控制，对用户的操作行为进行数据采集，并将采集到的各类数据上传到CMC。在系统管理员授权的情况下可通过IE对数据进行查询。第二层为各子、分公司的CMC、UB管理层，负责对各代理端进行管理、数据收集及数据的统计、查询、分析。第三层为集团CMC、UB管理层，可对下属各子、分公司的审计策略、数据进行统计、查询、分析。各单位CMC把严重报警提交给第三层的CMC，第三层CMC履行监督报警的处理情况的职责。32.2系统功能结构主机监控与审计系统是对计算机及网络的各种事件及行为实行信息采集、监测、控制和审计的应用系统。客户端主要由BA、PA两部分组成：BA（BaseAgent）基本代理：指在计算机中驻留的基本代理模块，负责基本信息的采集及发送、存活状态信息的发送、其他代理的加载和卸载等功能实现的软件。PA（PolicyAgent）策略代理：指按照计算机实际情况制定的策略生成的代理模块，它通过基本代理进行加载和卸载，并和基本代理进行安全认证，保证代理端软件自身安全性。服务器端即CMC（ControlandManagerCenter）控制管理中心，是安装于中心控制台的软件，它收集各代理发送的采集信息，根据报警策略产生报警，并推荐响应控制建议，管理各个计算机（组）策略并生成策略代理，产生审计报表等。43.系统功能3.1代理端功能代理端软件指安装于各端机上的主机监控与审计系统，由BA和PA模块组成。其主要功能是根据CMC对端机审计要求和控制要求，对用户的操作行为进行审计，对端机的软、硬件使用进行控制，并对违规行为进行报警。3.1.1数据采集功能代理端数据采集是指对端机的环境信息、软、硬信息及操作、使用行为进行数据采集，具体包括以下几方面：1)基本信息数据采集：采集计算机操作系统的基础配置数据，其中包括：用户名、主机名、域名、网络名、操作系统、MAC地址、CPU型号、IE版本号等。2)软件信息数据采集：采集该系统已经安装的软件信息。3)设备信息数据采集：采集该计算机的设备配置情况，包括：DVD/CD-ROM驱动器、IDEATA/ATAPI控制器、处理器、磁盘驱动器、端口、键盘、软盘控制器、软盘驱动器、鼠标和其它指针设备、通用串行总线控制器、网络适配器、显示卡等。4)日志信息数据采集：对系统生成的日志信息进行数据采集，其中包括：应用程序错误记录、安全审核记录、系统错误记录。5)磁盘文件操作数据采集：对用户对文件的增、删、改、重命名进行审计，同时对计算机IP地址、操作时间、文件操作类型、文件路径、文件名等数据进行提取、保存。6)注册表操作数据采集：对注册表项的“增、删、改”操作行为进行数据采集，采集的基本信息包括：计算机名（IP地址）、用户名、程序名、键名、键值、操作时间等信息。7)应用/进程信息数据采集：对系统的应用程序和进程的启动及运行情况进行数据采集，包括：计算机名（IP地址）、用户名、进程映像名称、5进程ID、程序名称等。8)打印信息数据采集：对计算机进行的打印信息进行采集，采集的基本信息包括：计算机名（IP地址）、用户名、打印机名、打印时间、打印文档名、打印页数、打印份数等信息。9)网络行为数据采集：对用户的上网行为进行数据采集，采集的基本信息包括：计算机名（IP地址）、用户名、上网时间、网址名等信息。10)非法外联行为数据采集：对CMC允许以外的外联行为定义为非法外联行为，此操作威胁到涉密文件的安全，因此要产生报警信息，采集的基本信息包括：计算机名（IP地址）、用户名、上网时间、网址名等信息。11)非法内联行为数据采集：进入内网的计算机是经过严格审批手续的，对没有进行审批就进入内网的计算机认为是非法内联行为，对计算机的非法内联行为的数据采集包括：计算机名