主機審計與監(jiān)控系統(tǒng)白皮書

1、技術白皮書v1.5bring主機審計與監(jiān)控系統(tǒng)北京博睿勤技術發(fā)展有限公司beijing bring technology development co.,ltd-系統(tǒng)簡介 . 11.1 系統(tǒng)概述. 11.2 系統(tǒng)結構.主要功能 .2.1 概述.2.2 控制功能.2.2.1 硬件資源控制 .2.2.2 軟件資源控制 .2.2.3 移動存儲設備控制 .2.2.4 ip 與 mac 地址綁定 .2.3 監(jiān)控功能.2.3.1 進程監(jiān)控 .2.3.2 服務監(jiān)控 .2.3.3 硬件操作監(jiān)控 .2.3.4 文件系統(tǒng)監(jiān)控 .2.3.5 打印機監(jiān)控 .2.3.6 非法外聯(lián)監(jiān)控 .2.3.7 計算機用戶賬號監(jiān)控

2、.2.4 審計功能.2.4.1 文件操作審計 .2.4.2 外掛設備操作審計 .2.4.3 非法外聯(lián)審計 . 1 3 3 3 3 4 4 4 4 5 5 5 5 5 6 6 6 6 6 62.4.4 ip 地址更改審計 . 72.4.5 服務、進程審計 . 72.5 系統(tǒng)管理功能. 72.5.1 代理狀態(tài)監(jiān)控 . 72.5.2 安全策略管理 . 72.5.3 主機監(jiān)控代理升級管理 . 72.5.4 計算機注冊管理 . 82.5.5 實時報警 . 82.5.6 歷史信息查詢 . 82.5.7 統(tǒng)計與報表 . 82.6 其它輔助功能. 82.6.1 資產(chǎn)管理. 82.6.2 補丁分發(fā). 82.6.

3、3 操作系統(tǒng)日志收集 . 9三主要特色 . 103.1 系統(tǒng)部署方式靈活、安裝方便 . 103.2 控制、監(jiān)控與審計結合，全方位防止泄密 . 103.3 高性能、高可靠性 . 103.4 主機代理安裝卸載方便. 103.5 監(jiān)控模塊可動態(tài)加載與卸載 . 113.6 自動升級. 113.7 靈活的分級管理架構. 113.8 完善的自保護機制 . 113.9 豐富的報表、報表類型靈活多樣 . 113.10 高兼容性. 113.11 系統(tǒng)通信安全性 . 123.12 多方位的主機資源信息管理功能 . 12四系統(tǒng)主要性能參數(shù) . 13五系統(tǒng)配置要求 . 14系統(tǒng)簡介1.1系統(tǒng)概述博睿勤公司主機審計與監(jiān)

4、控系統(tǒng) v1.5是北京博睿勤技術發(fā)展有限公司 根據(jù)安全計算機通常出現(xiàn)的安全情況，獨立研發(fā)的一款專門針對安全計算機系 統(tǒng)進行控制、監(jiān)控和審計的安全產(chǎn)品。該系統(tǒng)對主機的安全防護根據(jù)保密防護分成事前、事中和事后三個步驟基 本原理，采用了三大手段：控制、監(jiān)控、審計，統(tǒng)籌考慮三個環(huán)節(jié)中可能出現(xiàn)的 各信息泄密途徑，對計算機的軟硬件資源、文件系統(tǒng)進行集中的監(jiān)控與管理。 同時，為了加強涉密計算機的管理，系統(tǒng)內置了注冊管理功能，對計算機的地址、部門等信息進行集中管理，實現(xiàn)對計算機的實時跟蹤和控制。ip1.2系統(tǒng)結構涉密計算機審計與監(jiān)控系統(tǒng)采用 b/s 設計架構，系統(tǒng)架構如圖 1-2-1 所示。從圖中可以看出，系

5、統(tǒng)由 三部分組成：控制臺，主機監(jiān)控代理、后臺數(shù)據(jù)庫。 其中控制臺管理采用 b/s 模式，監(jiān)控代理與控制臺之間的通訊采用c/s 模式。控制臺負責設置監(jiān)控代理的安全策略、查看監(jiān)控代理的活動狀態(tài)、接受監(jiān) 控代理上傳的報警事件并記入后臺數(shù)據(jù)庫以及對歷史審計數(shù)據(jù)的查詢以及報表 等?？刂婆_主要采用了 java 技術和 web service 技術。主機監(jiān)控代理負責按照控制臺制定的安全策略完成對主機軟硬件資源、文 件系統(tǒng)等的使用控制、監(jiān)控和審計功能。將報警信息上傳到控制臺。監(jiān)控代理 按照模塊化的設計思想，每個功能都是一個獨立的模塊，且各功能模塊可按控 制臺的策略動態(tài)加載或移除。這使得監(jiān)控代理的功能升級非常方

6、便。后臺數(shù)據(jù)庫是提供數(shù)據(jù)信息存儲和數(shù)據(jù)信息交換的平臺。本系統(tǒng)可根據(jù)管 理的主機數(shù)量分別選擇 oracle、sql server my sql 等。數(shù)據(jù)庫主要存儲報警 和審計數(shù)據(jù)。筆記本旳胴核心換機跑由器移動用戶si.i.二皴單氏二級交換機圭機審計與監(jiān)輕耒統(tǒng)菅理終瑞hrtcnict外網(wǎng)裟端f匚筆記本電脳線端代主機管理引擎drdmf1乂匚機胃訐勺監(jiān)控系統(tǒng)營理毛免圖 1-2-1 博睿勤主機審計與監(jiān)控系統(tǒng)體系架構二主要功能2.1概述本系統(tǒng)通過主機監(jiān)控代理實現(xiàn)計算機的控制、監(jiān)控與審計。不論計算機是 否聯(lián)網(wǎng)、登陸用戶是否有超級權限，都能夠有效控制計算機相關資源的使用。本系統(tǒng)主要包括控制功能、監(jiān)控功能、審計

7、功能和系統(tǒng)管理 功能四大類。控制功能包括計算機硬件資源控制、軟件資源控制、移動存儲設備使用控 制、ip 與 mac 地址綁定等。監(jiān)控功能包括服務監(jiān)控、進程監(jiān)控、硬件操作監(jiān)控、文件系統(tǒng)監(jiān)控、打印 機監(jiān)控、非法外聯(lián)監(jiān)控、計算機用戶賬號監(jiān)控等。審計功能包括文件操作審計、外掛設備操作審計、非法外聯(lián)審計、ip 地址更改審計、服務與進程審計等。系統(tǒng)管理功能包括系統(tǒng)用戶管理、主機監(jiān)控代理狀態(tài)監(jiān)控、安全策略管理、 主機監(jiān)控代理升級管理、計算機注冊管理、實時報警、歷史信息查詢、統(tǒng)計與 報表等。另外，系統(tǒng)還包括其它一些輔助功能，例如資產(chǎn)管理、補丁分發(fā)、操作系 統(tǒng)日志收集。2.2控制功能涉密計算機審計與監(jiān)控系統(tǒng)的控

8、制功能是指對安裝主機監(jiān)控代理的計算機 上的各種硬件資源、軟件資源的使用等用戶行為進行控制，使得非法用戶或未 授權用戶的行為得到有效控制，從而達到保護主機系統(tǒng)機密信息不被非法盜取 或意外泄漏的目的。2.2.1硬件資源控制本系統(tǒng)能夠管理控制（使用或禁用）的硬件設備包括所有的計算機外掛設 備。這些外掛設備包括：usb 設備、串口、并口、 ram 盤、軟驅、光驅、刻 錄機、紅外設備等。一旦控制中心設定的策略不允許使用某個設備，即使本機超級用戶也無法 使用該設備。這種控制功能和系統(tǒng)內核進行了結合，達到了強制控制的目的， 即被禁用的設備無法使用，即便超級管理員也無法啟用該設備。另外，系統(tǒng)還可控制新添加的外

9、掛硬件設備。只要控制臺的策略不允許使 用任何新添加的設備，計算機上的新加設備便不可使用。222軟件資源控制軟件資源的控制主要是指對用戶可使用的應用軟件進行控制即對已安裝的 應用軟件的使用進行控制。對于已經(jīng)安裝的應用軟件，系統(tǒng)可以采用黑名單的形式，禁止用戶運行黑 名單上的應用程序。2.2.32.2.3移動存儲設備控制系統(tǒng)可對移動存儲設備的使用進行控制，包括u 盤、移動硬盤、軟盤。禁止移動設備的使用，當禁用移動設備后，用戶無法向移動設備上拷貝任何文件， 也無法訪問移動設備上的文件。2.2.4 ip2.2.4 ip與macmac地址綁定系統(tǒng)可禁止用戶自行修改主機的 ip 地址，這主要通過 ip 與

10、mac 地址綁 定來實現(xiàn)。如果計算機采用了固定 ip 地址管理方式，系統(tǒng)可將 ip 和 mac 地 址綁定，如何試圖改變 ip 地址的企圖都將無效。這為計算機的管理提供了方便。 也有效防止了用戶通過私自更改計算機 ip 地址的方式，進行非法操作。2.3監(jiān)控功能系統(tǒng)的監(jiān)控功能主要是對計算機的運行狀態(tài)和用戶行為進行實時監(jiān)視，并 對出現(xiàn)的違規(guī)行為或非法行為采取必要的控制措施。通過系統(tǒng)監(jiān)控功能，管理 人員能夠及時發(fā)現(xiàn)被監(jiān)控計算機可能的泄密行為，也能夠發(fā)現(xiàn)一些正在危害系 統(tǒng)安全的特殊行為，并可自動采取控制措施阻止泄密行為的發(fā)生。2.3.12.3.1進程監(jiān)控進程監(jiān)控是指對被監(jiān)控計算機上正在運行的進程進行實

11、時監(jiān)視，并根據(jù)進 程黑名單對進程進行控制。如果某個正在運行的進程被加入黑名單，主機監(jiān)控 代理將立即殺死該進程。其它位于黑名單中的未運行進程則永遠不可運行，除 非控制臺將該進程從黑名單中移除。2.3.22.3.2服務監(jiān)控服務監(jiān)控是指對被監(jiān)控計算機上正在運行的服務進行實時監(jiān)視，并根據(jù)服 務黑名單對服務進行控制。如果某個已經(jīng)啟動的服務被加入黑名單，主機監(jiān)控 代理將立即停用該服務。其它位于黑名單中的未啟動服務則永遠無法啟動，除 非控制臺將該服務從黑名單中移除。2.3.32.3.3硬件操作監(jiān)控本功能主要監(jiān)視用戶對外掛硬件設備的啟用和禁用等操作，并對用戶操作 進行實時報警。例如，如果安全策略不允許用戶啟用

12、某個外圍設備，當用戶試 圖啟用這個設備時系統(tǒng)便會報警。2.3.42.3.4文件系統(tǒng)監(jiān)控該功能可針對被監(jiān)控的計算機制定文件監(jiān)控策略，對用戶的文件操作進行 監(jiān)控，例如創(chuàng)建文件，更改文件名，刪除文件等。系統(tǒng)能夠識別創(chuàng)建或拷貝的 文件是位于移動硬盤還是固定介質。監(jiān)控策略包括文件類型、文件名等?？墒?用通配符“ *”，“？”。這樣就可針對文件名中包含的涉密關鍵字，監(jiān)控可能的用 戶泄密操作。通過將用戶操作事件寫入數(shù)據(jù)庫，還可為事后泄密責任的追查提 供依據(jù)。2.3.52.3.5打印機監(jiān)控打印機監(jiān)控是指對被監(jiān)控計算機的文件打印操作進行監(jiān)控，只要發(fā)現(xiàn)打印 任務，立即向控制臺發(fā)送報警信息。報警信息包括文檔名、所有

13、者、當前打印 狀態(tài)等?？杀O(jiān)控的打印機包括本地打印機、共享打印機和網(wǎng)絡打印機。2 23 36 6非法外聯(lián)監(jiān)控非法外聯(lián)是指未授權用戶通過各種途徑訪問國際互聯(lián)網(wǎng)的行為。該功能可 根據(jù)設定的策略允許或者禁止用戶訪問互聯(lián)網(wǎng)?？梢越沟幕ヂ?lián)網(wǎng)訪問方式包 括局域網(wǎng)上網(wǎng)、adsl、modem 撥號、無線上網(wǎng)、以及通過紅外線和藍牙設 備上網(wǎng)等。系統(tǒng)一旦發(fā)現(xiàn)用戶計算機連通了互聯(lián)網(wǎng)，可立即禁止網(wǎng)絡連接。該 功能突破了傳統(tǒng)的撥號上網(wǎng)連接控制，完全杜絕了非法上網(wǎng)行為。2.3.72.3.7計算機用戶賬號監(jiān)控該功能主要對計算機用戶賬號的更改情況進行監(jiān)控，包括增加、刪除、改 名、修改屬性等。一旦發(fā)現(xiàn)計算機用戶賬號有改動，立即

14、向控制臺發(fā)送報警信 息。2.4審計功能審計功能主要是針對系統(tǒng)監(jiān)控所涉及的內容進行記錄，并上傳到控制臺保 存。如果被監(jiān)控計算機處于離線狀態(tài)，主機監(jiān)控代理仍然可記錄對于用戶在離 線狀態(tài)下的行為，主機監(jiān)控代理仍然進行記錄，加密后保存在客戶端。當該機 器連接到內部網(wǎng)上后，這些記錄可繼續(xù)傳輸?shù)娇刂婆_服務器，并由控制臺寫入 后臺數(shù)據(jù)庫中。2.4.12.4.1文件操作審計文件操作審計主要對用戶進行的各種文件操作進行審計，如創(chuàng)建、讀取、刪除、修改等。通過該功能可實現(xiàn)對特定文件的跟蹤審計。2.4.22.4.2外掛設備操作審計該功能主要對用戶企圖啟用或禁用計算機外掛設備的操作進行審計。通過功能可對用戶使用外掛設備

15、的企圖進行記錄，為日后的責任追查提供依據(jù)。2.4.32.4.3非法外聯(lián)審計在系統(tǒng)設置了禁止非法外聯(lián)安全策略情況下（即禁止用戶計算機連接互聯(lián)網(wǎng)），該功能可對用戶連接互聯(lián)網(wǎng)的操作進行審計、審計內容包括非法外聯(lián)類型（撥號、adsl、局域網(wǎng)等）、事件發(fā)生時間、撥號號碼、接入網(wǎng)關和 dns 等。2 24 44 ip4 ip地址更改審計在控制臺設置地址綁定策略（mac 地址與 ip 地址綁定）后，如果用戶擅 自修改 ip 地址，系統(tǒng)會生成警報信息告知控制臺，并將用戶試圖進行修改ip地址的操作記錄下來，記錄信息包括原 ip 地址、mac 地址、更改后的 ip 地址 以及更改時間等。2.4.52.4.5服務、

16、進程審計服務和進程審計主要是針對運行代理端的機器上的服務和進程的變化進行 記錄。當位于服務或進程黑名單中的服務或進程啟動時，系統(tǒng)將記錄該服務和 進程。記錄內容包括服務名、進程名、啟動時間等。2.5系統(tǒng)管理功能2.5.12.5.1代理狀態(tài)監(jiān)控該功能能夠對安裝的主機監(jiān)控代理的運行狀態(tài)進行監(jiān)控，可實時監(jiān)控主機 代理的當前狀態(tài)，包括活動、未活動、異常、未安裝、安裝后被卸載等情況。 通過代理狀態(tài)監(jiān)控，管理員可識別異常代理，也可對用戶非法卸載或破壞代理 的情況進行監(jiān)控。一旦發(fā)現(xiàn)異常，可通過控制臺向管理員報警。2.5.22.5.2安全策略管理安全策略管理是指對各主機監(jiān)控代理的安全策略進行統(tǒng)一管理，包括設置、

17、查看、修改等。策略分為主機策略和組策略，主機策略可自動繼承組策略。通 過組策可實現(xiàn)安全策略的群發(fā)，從而為用戶提供高效率的策略配置方案。系統(tǒng)可對策略進行集中查看，這大大方便了系統(tǒng)管理員對主機策略的監(jiān)控 和管理。2.5.32.5.3主機監(jiān)控代理升級管理該功能可實現(xiàn)主機監(jiān)控代理的自動升級。升級對用戶本身是透明的，用戶 端感覺不到任何異常，且升級無須重新啟動計算機。系統(tǒng)由控制臺對代理升級 模塊進行統(tǒng)一管理。2 25 54 4計算機注冊管理計算機注冊管理是指對內網(wǎng)的計算機進行統(tǒng)一的注冊，注冊信息包括主機 ip地址、mac 地址、擁有者、所在部門、房間號、聯(lián)系電話等。通過注冊實 現(xiàn)內網(wǎng)計算機的統(tǒng)一管理。2

18、.5.52.5.5實時報警系統(tǒng)接受來自各主機監(jiān)控代理的報警信息，一旦有報警信息達到中央控制 臺，系統(tǒng)會立即報警，通過可視化報警顯示，為管理員采取進一步的防范措施 提供參考。2.5.62.5.6歷史信息查詢歷史信息查詢是指對系統(tǒng)存儲的歷史審計數(shù)據(jù)進行查詢，查詢可通過各種 條件的組合進行，方便管理員對特定審計信息的檢索。2.5.72.5.7統(tǒng)計與報表系統(tǒng)還提供歷史審計信息的統(tǒng)計和報表功能。管理員可按照各種模板實現(xiàn) 歷史日記的自動統(tǒng)計和報表（日報、 周報、月報等），管理員還可自行定義統(tǒng)計 和報表條件，對特定信息進行統(tǒng)計并生成報表。報表支持pdf 等格式。html、doc、excel、2.6其它輔助功

19、能2.6.12.6.1資產(chǎn)管理該輔助功能可為系統(tǒng)使用單位提供簡單的資產(chǎn)管理。系統(tǒng)可自動收集計算 機各種軟硬件資源信息、包括安裝的各種應用程序、cpu、內存、硬盤等，并可對硬件的改動進行跟蹤和報警。該功能可為企業(yè)的資產(chǎn)清查、統(tǒng)計和管理提 供一定的幫助。2.6.22.6.2補丁分發(fā)系統(tǒng)提供補丁分發(fā)功能。管理員可將需要分發(fā)的各種操作系統(tǒng)補丁、應用 系統(tǒng)補丁以及其它一些輔助工具等統(tǒng)一部署到控制臺，以計算機或組的方式向 各計算機下發(fā)。計算機會自動提示用戶有補丁程序需要安裝，經(jīng)計算機使用者確認后即可安裝補丁程序。263263操作系統(tǒng)日志收集通過該功能、主機監(jiān)控代理可自動收集操作系統(tǒng)日志，并將日志上傳到控

20、制臺存儲。為系統(tǒng)管理員診斷和檢查各計算機的故障以及安全情況提供幫助。三主要特色3.1系統(tǒng)部署方式靈活、安裝方便本系統(tǒng)采用控制臺和代理分離的設計方式，代理的安裝可以通過控制臺統(tǒng) 一進行，大大簡化了系統(tǒng)的安裝?？刂婆_可以主動從監(jiān)控代理提取數(shù)據(jù)，也可 以由監(jiān)控代理主動向控制臺發(fā)送數(shù)據(jù)，這使得主機代理和控制臺的部署可以滿 足復雜網(wǎng)絡拓撲。主機監(jiān)控代理的安裝支持兩種方式：本地安裝和域安裝。3.2控制、監(jiān)控與審計結合，全方位防止泄密該系統(tǒng)將主機控制、監(jiān)控和審計功能完美地集成到一起，共同完成全方位 的主機防護。審計可對主機的活動進行記錄作為事后查詢依據(jù)；監(jiān)控可以實時 發(fā)現(xiàn)主機的異?；顒雍腿肭质录?，為事中防護

21、；控制可以禁止某些設備（如網(wǎng) 絡設備和存儲設備）被使用，為事前防護。三者完美結合，完成主機事前、事 中和事后三個環(huán)節(jié)的全方位防護任務。3.3高性能、高可靠性中央控制臺可以同時監(jiān)控管理 1000 臺以上的主機，在同時管理 1000 臺主 機的情況下，能夠及時處理各主機監(jiān)控代理傳送的報警信息、策略請求、狀態(tài) 更新等。并能保證控制臺穩(wěn)定可靠地運行。主機代理對系統(tǒng)資源的占用非常低， cpu 占用率3%對用戶的計算機使用影響甚微。3.4主機代理安裝卸載方便管理人員可以通過本地安裝和域安裝等方式為有關客戶端pc 安裝代理引3.5監(jiān)控模塊可動態(tài)加載與卸載主機監(jiān)控代理采取模塊化開發(fā)技術，各個功能模塊可根據(jù)控制

22、臺最新的安 全策略實現(xiàn)動態(tài)加載與卸載，且在此過程中，主機代理仍然正常工作，用戶完 全感覺不到主機代理模塊的更改。3.6自動升級本系統(tǒng)的主機代理可根據(jù)控制臺的指令自動進行升級，升級過程不影響正 常的監(jiān)控活動。3.7靈活的分級管理架構本系統(tǒng)采用分級管理的體系結構設計，增加了系統(tǒng)部署和管理的靈活性， 極大地方便了大型跨地域企業(yè)的主機監(jiān)控與管理。3.8完善的自保護機制主機代理采用多種系統(tǒng)內核技術，保證了自身不可卸載、不可停止。即便 在安全模式下，自保護機制仍能保證自身不被惡意破壞。3.9豐富的報表、報表類型靈活多樣系統(tǒng)具有豐富的日志信息，并可對日志進行方便的查詢和生成報表。報表 方式靈活，類型多樣，支

23、持 word、excel、pdf、html 等各種常見的報表格式， 可滿足用戶和網(wǎng)絡管理人員的報表要求。3.10高兼容性系統(tǒng)在多種應用環(huán)境下的兼容性測試表明，本系統(tǒng)的兼容性非常好，目前 兼容的應用包括各種辦公軟件、 設計軟件、管理軟件、安全軟件等，如 office 系列、visio、ug、pro e mat lab、cad、各種防病毒軟件等，成為目前 國內最成熟的同類產(chǎn)品之一。3.11系統(tǒng)通信安全性本系統(tǒng)為了確保各主機監(jiān)控代理和控制臺之間通訊的安全性，對傳輸數(shù)據(jù) 進行了加密處理。另外，系統(tǒng)還具有日志本地暫存的功能，如果在數(shù)據(jù)通訊過 程中出現(xiàn)網(wǎng)絡故障，客戶端代理將日志信息存放在本機上，并會自動定時嘗試 恢復連接，一旦網(wǎng)絡連通