主機(jī)監(jiān)控與審計(jì)系統(tǒng)設(shè)計(jì)方案

1、初品文檔主機(jī)監(jiān)控與審計(jì)系統(tǒng)設(shè)計(jì)方案北京市愛威電子技術(shù)公司2010年5月3歡迎卜載目錄1.系統(tǒng)簡(jiǎn)介12系統(tǒng)總體結(jié)構(gòu)22.1系統(tǒng)架構(gòu)及基本工作原理22.2系統(tǒng)功能結(jié)構(gòu) 33.系統(tǒng)功能43.1代理端功能43.1.1數(shù)據(jù)采集功能43.1.2控制功能53.1.3其它功能63.2控制管理中心功能73.2.1系統(tǒng)管理功能73.2.2計(jì)算機(jī)軟硬件資產(chǎn)管理功能93.2.3監(jiān)視管理功能103.2.4策略管理功能 113.2.5文件/補(bǔ)丁程序管理功能 133.2.6審計(jì)管理功能143.2.7報(bào)警管理功能 153.2.8日志管理功能163.3用戶瀏覽功能164系統(tǒng)特點(diǎn)174.1 CPU占用少174.2網(wǎng)絡(luò)資源占用少1

2、84.3非法內(nèi)聯(lián)監(jiān)控效率高 19初品文檔1 系統(tǒng)簡(jiǎn)介隨著網(wǎng)絡(luò)信息化的高速推進(jìn)，人類社會(huì)的行為與活動(dòng)已經(jīng)和網(wǎng)絡(luò)系統(tǒng)緊密聯(lián) 系起來。網(wǎng)絡(luò)信息系統(tǒng)將人類傳統(tǒng)的工作、管理模式“映射”到網(wǎng)絡(luò)環(huán)境中，極 大 地提高了研究、工作和管理效率。人們對(duì)于內(nèi)部網(wǎng)絡(luò)系統(tǒng)，曾經(jīng)假定“內(nèi)部環(huán)境是 安全的”，但自從網(wǎng)絡(luò)系統(tǒng)采用了開放互連的TCP/IP協(xié)議后，這種假設(shè)條件在事 實(shí)上已經(jīng)不能完全成立了。各類單位（尤其是涉密單位）為了保證員工能 通過網(wǎng) 絡(luò)（包括互聯(lián)網(wǎng)）共享信息的同時(shí)，確保不會(huì)因?yàn)槭褂镁W(wǎng)絡(luò)而有意或無(wú)意的泄漏 敏感信息，都采取了相應(yīng)的行政手段對(duì)本單位內(nèi)部局域網(wǎng)的使用和操作規(guī)范進(jìn)行強(qiáng) 制性的、非技術(shù)性的管理，這些管理

3、措施在特定時(shí)期和特定環(huán)境下是可用的，但 僅依靠非技術(shù)性管理卻是有悖于信息化初衷的，是不利于信息化進(jìn)程發(fā)展的。主機(jī)監(jiān)控與審計(jì)系統(tǒng)的目的是：按照國(guó)家標(biāo)準(zhǔn)和保密局標(biāo)準(zhǔn)，結(jié)合長(zhǎng)峰集團(tuán) 的實(shí)際情況，研制開發(fā)一套完善的、可持續(xù)擴(kuò)展的安全保密信息審計(jì)系統(tǒng)。該系統(tǒng)的實(shí)現(xiàn)，對(duì)于在信息化高速發(fā)展的同時(shí)，嚴(yán)格保證涉密信息系統(tǒng)及其 審計(jì)系統(tǒng)的特殊性、安全性、可靠性、可控性、及時(shí)性、可擴(kuò)展性有著積極的促 進(jìn) 作用。2. 系統(tǒng)總體結(jié)構(gòu)2.1系統(tǒng)架構(gòu)及基本工作原理?yè)?dān)三層歆詈 統(tǒng)一業(yè)務(wù)邏輯應(yīng)-亠第一層邳署系統(tǒng)結(jié)構(gòu)圖從統(tǒng)一管理的角度出發(fā)，主機(jī)監(jiān)控與審計(jì)系統(tǒng)采用多極構(gòu)架組成（如圖），其基本工作原理描述如下：第一層為計(jì)算機(jī)端機(jī)，通

4、過安裝的主機(jī)監(jiān)控與審計(jì)系統(tǒng)的代理端軟件，根據(jù)CMC 寸該端機(jī)的審計(jì)策略要求，對(duì)硬件設(shè)備的使用經(jīng)行控制，對(duì)用戶的操作行為進(jìn)行數(shù)據(jù) 采集，并將采集到的各類數(shù)據(jù)上傳到CMC在系統(tǒng)管理員授權(quán)的情況下 可通過IE對(duì)數(shù) 據(jù)進(jìn)行查詢。第二層為各子、分公司的CMCUB管理層，負(fù)責(zé)對(duì)各代理端進(jìn)行管理、數(shù)據(jù)收集及 數(shù)據(jù)的統(tǒng)計(jì)、查詢、分析。第三層為集團(tuán)CMC UB管理層，可對(duì)下屬各子、分公司的審計(jì)策略、數(shù)據(jù)進(jìn)行統(tǒng) 計(jì)、查詢、分析。各單位CMCG嚴(yán)重報(bào)警提交給第三層的CMC第三層CMC履行監(jiān)督報(bào) 警的處理情況的職責(zé)。5歡迎卜載2.2系統(tǒng)功能結(jié)構(gòu)數(shù)站進(jìn)寶it制F苦咄左hCMC客戶端腫務(wù)器端主機(jī)監(jiān)控與審計(jì)系統(tǒng)是對(duì)計(jì)算機(jī)及

5、網(wǎng)絡(luò)的各種事件及行為實(shí)行信息采集、監(jiān)測(cè)、 控制和審計(jì)的應(yīng)用系統(tǒng)。客戶端主要由BA PA兩部分組成：BA( Base Age nt)基本代理：指在計(jì)算機(jī)中駐留的基本代理模塊，負(fù)責(zé) 基本信 息的采集及發(fā)送、存活狀態(tài)信息的發(fā)送、其他代理的加載和卸載等功能實(shí)現(xiàn)的 軟件。PA( Policy Age nt )策略代理：指按照計(jì)算機(jī)實(shí)際情況制定的策略生成的代 理模塊，它通過基本代理進(jìn)行加載和卸載，并和基本代理進(jìn)行安全認(rèn)證，保證 代理端軟件自身安全性。服務(wù)器端即CMCX Co ntrol a nd Ma nager Center )控制管理中心，是安裝于中心控制臺(tái)的軟件，它收集各代理發(fā)送的采集信息，根據(jù)報(bào)警

6、策略產(chǎn)生報(bào)警，并推薦響應(yīng)控制建議，管理各個(gè)計(jì)算機(jī)(組)策略并生成策略代理，產(chǎn)生審計(jì)報(bào)表精品文檔3. 系統(tǒng)功能3.1代理端功能代理端軟件指安裝于各端機(jī)上的主機(jī)監(jiān)控與審計(jì)系統(tǒng)，由BA和PA模塊組成。其 主要功能是根據(jù)CMC對(duì)端機(jī)審計(jì)要求和控制要求，對(duì)用戶的操作行為進(jìn)行審計(jì)，對(duì)端 機(jī)的軟、硬件使用進(jìn)行控制，并對(duì)違規(guī)行為進(jìn)行報(bào)警。3.1.1數(shù)據(jù)米集功能代理端數(shù)據(jù)采集是指對(duì)端機(jī)的環(huán)境信息、軟、硬信息及操作、使用行為進(jìn)行數(shù) 據(jù)采集，具體包括以下幾方面：1）基本信息數(shù)據(jù)采集：采集計(jì)算機(jī)操作系統(tǒng)的基礎(chǔ)配置數(shù)據(jù)，其中包括： 用戶名、主機(jī)名、域名、網(wǎng)絡(luò)名、操作系統(tǒng)、MAC地址、CPU型號(hào)、IE 版本號(hào)等。2）軟件

7、信息數(shù)據(jù)采集：采集該系統(tǒng)已經(jīng)安裝的軟件信息。3）設(shè)備信息數(shù)據(jù)采集：采集該計(jì)算機(jī)的設(shè)備配置情況，包括：DVD/CD-ROM驅(qū)動(dòng) 器、IDE ATA/ATAPI控制器、處理器、磁盤驅(qū)動(dòng)器、端口、鍵盤、軟盤控制 器、軟盤驅(qū)動(dòng)器、鼠標(biāo)和其它指針設(shè)備、通用串行總線控制器、網(wǎng)絡(luò)適配 器、顯示卡等。4）日志信息數(shù)據(jù)采集：對(duì)系統(tǒng)生成的日志信息進(jìn)行數(shù)據(jù)采集，其中包括：應(yīng)用 程序錯(cuò)誤記錄、安全審核記錄、系統(tǒng)錯(cuò)誤記錄。5）磁盤文件操作數(shù)據(jù)采集：對(duì)用戶對(duì)文件的增、刪、改、重命名進(jìn)行審計(jì)， 同時(shí)對(duì)計(jì)算機(jī)IP地址、操作時(shí)間、文件操作類型、文件路徑、文件名等數(shù) 據(jù)進(jìn)行提取、保存。6）注冊(cè)表操作數(shù)據(jù)采集：對(duì)注冊(cè)表項(xiàng)的“增、刪

8、、改”操作行為進(jìn)行數(shù)據(jù)采 集，采集的基本信息包括：計(jì)算機(jī)名（IP地址）、用戶名、程序名、鍵名、 鍵值、操作時(shí)間等信息。7）應(yīng)用/進(jìn)程信息數(shù)據(jù)采集：對(duì)系統(tǒng)的應(yīng)用程序和進(jìn)程的啟動(dòng)及運(yùn)行情況進(jìn)行 數(shù)據(jù)采集，包括：計(jì)算機(jī)名（IP地址）、用戶名、進(jìn)程映像名稱、進(jìn)程ID、程序名稱等。8）打印信息數(shù)據(jù)采集：對(duì)計(jì)算機(jī)進(jìn)行的打印信息進(jìn)行采集，采集的基本信息包 括：計(jì)算機(jī)名（IP地址）、用戶名、打印機(jī)名、打印時(shí)間、打印文檔名、 打印頁(yè)數(shù)、打印份數(shù)等信息。9）網(wǎng)絡(luò)行為數(shù)據(jù)采集：對(duì)用戶的上網(wǎng)行為進(jìn)行數(shù)據(jù)采集，采集的基本信息包括：計(jì)算機(jī)名（IP地址）、用戶名、上網(wǎng)時(shí)間、網(wǎng)址名等信息。10）非法外聯(lián)行為數(shù)據(jù)采集：對(duì)CM

9、（允許以外的外聯(lián)行為定義為非法外聯(lián)行為， 此操作威脅到涉密文件的安全，因此要產(chǎn)生報(bào)警信息，采集的基本信息包 括：計(jì)算機(jī)名（IP地址）、用戶名、上網(wǎng)時(shí)間、網(wǎng)址名等信息。11）非法內(nèi)聯(lián)行為數(shù)據(jù)采集：進(jìn)入內(nèi)網(wǎng)的計(jì)算機(jī)是經(jīng)過嚴(yán)格審批手續(xù)的，對(duì) 沒有 進(jìn)行審批就進(jìn)入內(nèi)網(wǎng)的計(jì)算機(jī)認(rèn)為是非法內(nèi)聯(lián)行為，對(duì)計(jì)算機(jī)的非法內(nèi)聯(lián)行 為的數(shù)據(jù)采集包括：計(jì)算機(jī)名（IP地址）、用戶名、時(shí)間等信 息。3.1.2控制功能為了保證計(jì)算機(jī)上的數(shù)據(jù)安全，防止泄密事件的發(fā)生，要禁止用戶在未經(jīng)許可 的情況下私自將涉密文件拷出，禁止進(jìn)入不安全的網(wǎng)絡(luò)，防止被他人惡意攻擊，竊取 涉密文件。因此在對(duì)文件進(jìn)行審計(jì)的同時(shí)，要對(duì)文件的出口加以控制。為

10、了保證數(shù) 據(jù)的有效性，對(duì)系統(tǒng)的尖鍵數(shù)據(jù)的修改權(quán)利也加以控制。控制功能包括兩部分設(shè)備使用的控制和操作系統(tǒng)參數(shù)設(shè)置的控制。1）設(shè)備包括本機(jī)已有設(shè)備和外圍設(shè)備兩部分，控制主要指對(duì)設(shè)備的可用性 進(jìn)行控 制，分為啟用和禁用兩犬態(tài)，設(shè)備啟用時(shí)用戶可以對(duì)設(shè)備正常使用，禁用時(shí)用戶 將無(wú)法使用該設(shè)備，如果用戶采用其他技術(shù)手段改變了 CMC寸設(shè)備的控 制屬性，代理 端檢測(cè)到后將依據(jù)CMC寸設(shè)備的使用權(quán)重新進(jìn)行設(shè)置，并產(chǎn)生報(bào)警信息，通知CMC要進(jìn) 行控制的設(shè)備包括以下幾方面：光驅(qū)軟驅(qū)USB設(shè)備USB存儲(chǔ)設(shè)備串、并口打印機(jī)撥號(hào)上網(wǎng)無(wú)線網(wǎng)卡上網(wǎng)網(wǎng)絡(luò)共享服務(wù)2）操作系統(tǒng)部分功能使用的控制權(quán)IP/MAC地址的更改：為了保證

11、數(shù)據(jù)的有效性，同時(shí)有效防止非法內(nèi)聯(lián)事 件的 發(fā)生，在未經(jīng)審批、管理員授權(quán)的情況下禁止修改IP/MAC地址。通過網(wǎng)絡(luò)的 文件、打印和命名管道共享：為了保證計(jì)算機(jī)上的數(shù)據(jù)安全，防止他人的 惡意竊取，嚴(yán)禁共享功能。3.1.3其它功能1）報(bào)警功能：代理端報(bào)警策略的設(shè)置及事件的報(bào)警級(jí)別由CMC負(fù)責(zé)管理，管理員根據(jù)不同端機(jī)的工作要求可設(shè)置不同報(bào)警策略，并下發(fā)到各端機(jī)。代理 端軟 件則根據(jù)本機(jī)的報(bào)警策略對(duì)違規(guī)事件產(chǎn)生相應(yīng)的報(bào)警信息，并立即上傳到控 制臺(tái)，通知管理員有違規(guī)事件發(fā)生。2）自動(dòng)升級(jí)功能：代理由BA基本代理和PA策略代理組成，BA運(yùn)行于OS級(jí)，常駐內(nèi)存，PA 則動(dòng)態(tài)加載。當(dāng)收到新版本PA后，BA動(dòng)態(tài)

12、卸載舊的PA再加載新版 本PA這一 切動(dòng)作對(duì)用戶透明，從而達(dá)到動(dòng)態(tài)自動(dòng)升級(jí)的目的，也無(wú)須管理人員在大規(guī) 模實(shí)施后需要跑到每一個(gè)客戶端去升級(jí)的大工作量行為。3）自我防護(hù)功能：BA代理是一個(gè)短小強(qiáng)悍的監(jiān)控程序，駐留在涉密計(jì)算機(jī)的內(nèi)存中，8歡迎卜載箱品文檔體積非常小，隱蔽性強(qiáng)，一但駐留，除SCMCA-H安全管理員外，將無(wú)法刪 除，因此，可確保監(jiān)控功能的持續(xù)、正常執(zhí)行。同時(shí)，PA和BA互相監(jiān)視，并隱蔽存儲(chǔ)多副本于計(jì)算機(jī)中，當(dāng)監(jiān)視到 對(duì)方 依托文件不存在時(shí)，快速?gòu)母北咎帍?fù)制一個(gè)依托文件到安裝目錄。CMC中心也存儲(chǔ)涉密計(jì)算機(jī)的BA和PA 旦發(fā)現(xiàn)有惡意攻擊行為攻 擊BA 或者PA CMC將產(chǎn)生報(bào)警'

13、由響應(yīng)的管理制度來制止這種惡意攻擊行為。3.2控制管理中心功能CM （控制管理中心是該系統(tǒng)的核心，實(shí)現(xiàn)對(duì)所管轄計(jì)算機(jī)代理采集信息的統(tǒng)一管理、審計(jì)和報(bào)警功能，同時(shí)負(fù)責(zé)該系統(tǒng)本身的管理功能的實(shí)現(xiàn)，功能如下圖所示:7歡迎下載宙計(jì)儈理非法>5作土動(dòng) 網(wǎng)紹逵接打印行 為審計(jì)外認(rèn)設(shè)沃 使用， 一味瞌 -e用JK戶信息 審計(jì)冃志審計(jì)， 應(yīng)用7®稈使用沃 注nu衣操岸磁 盤文件15作系統(tǒng)目志S護(hù)數(shù) 擁備ffi與恢fe 參數(shù)I 用戶及組管1T文件、補(bǔ)丁管理 H志統(tǒng)計(jì)及報(bào)沃 ooaF 一旬單機(jī)資產(chǎn)管1T5全掃描在線U態(tài)監(jiān)觀 策略策略下發(fā)策略 模扳管理報(bào)警杳 詢和統(tǒng)計(jì)普處坪報(bào)善策略T文件管理視管岬資

14、盧骨珂報(bào)警管腳策略管呼CMC功能示意圖3.2.1系統(tǒng)管理功能系統(tǒng)功能主要完成系統(tǒng)本身的系統(tǒng)設(shè)置和維護(hù)功能，保證系統(tǒng)訪問的用戶安 全性、系統(tǒng)登錄和注銷的合法性、系統(tǒng)配置的合理性、系統(tǒng)數(shù)據(jù)的安全備份與恢復(fù)、系統(tǒng)本身的操作日志記錄的完整性。精品文檔1）登錄與注銷管理員使用默認(rèn)用戶名和密碼登錄到CMC后，分別創(chuàng)建日志查看員和系統(tǒng)日志監(jiān)督 員，并賦予默認(rèn)密碼。管理員、日志查看員和系統(tǒng)日志監(jiān)督員分別使用自己的用戶名和默認(rèn)密碼登 錄CMC 但是根據(jù)其權(quán)限顯示不同的CM （界面。所有用戶在第一次使用默認(rèn)密碼登錄后，CMC自動(dòng)強(qiáng)制各用戶更改默認(rèn)密碼為新密 碼。所有用戶空閑超過一定時(shí)間后，系統(tǒng)自動(dòng)鎖定，進(jìn)入鎖定界

15、面。2）用戶及組管理系統(tǒng)用戶管理是對(duì)系統(tǒng)本身的用戶進(jìn)行管理的工具。系統(tǒng)用戶 管理支持多管理員角色，可區(qū)分超級(jí)管理員、管理員、日志查看員、系統(tǒng)日志監(jiān)督員。用戶管理員具備創(chuàng)建下級(jí)用戶的權(quán)限；管理員只具備系統(tǒng)進(jìn)行配置、數(shù)據(jù)備 份和恢復(fù)的權(quán)限，但是不具備下級(jí)管理員的權(quán)限具備。日志查看員可以操作CM （查閱各代理采集信息、制定策略、進(jìn)行控制等功能；系統(tǒng)日志監(jiān)督員負(fù)責(zé)對(duì)超級(jí)管理員、管理員、日志查看員的行為日志進(jìn) 行查閱和監(jiān)督。如果用戶需要，還可在4類角色中再細(xì)分級(jí)別。4兩角色的組合使用由用戶自 己決定。用戶管理主要包括管理人員的帳號(hào)、口令管理、人員信息的增、刪、改、查等操 作。3）參數(shù)配置管理員可以對(duì)系統(tǒng)

16、本身的運(yùn)行參數(shù)進(jìn)行配置，包括：系統(tǒng)顯示方式、系統(tǒng)等待 時(shí)間、計(jì)算機(jī)安全掃描時(shí)間間隔等。4）數(shù)據(jù)備份與恢復(fù)管理員可對(duì)數(shù)據(jù)進(jìn)行備份和恢復(fù)，數(shù)據(jù)庫(kù)中的數(shù)據(jù)超過數(shù)據(jù) 保存最大容量之后或者超過數(shù)據(jù)最長(zhǎng)保存時(shí)間之后，系統(tǒng)會(huì)強(qiáng)制管理員對(duì)數(shù)據(jù)作 備份操作，備份數(shù)據(jù)存放于指定目錄下，備份后數(shù)據(jù)庫(kù)中的記錄才可以刪除， 備份目錄和記錄的刪除操作都會(huì)自動(dòng)記錄到系統(tǒng)日志中，由系統(tǒng)日志監(jiān)督員進(jìn)行 監(jiān)督。所有數(shù)據(jù)不提供單條記錄刪除的功能。系統(tǒng)萬(wàn)一出現(xiàn)崩潰，或者硬件原因造成了數(shù)據(jù)丟失，管理員可以把最近的一次 備份數(shù)據(jù)恢復(fù)到系統(tǒng)中。5）系統(tǒng)日志維護(hù)系統(tǒng)日志記錄管理員對(duì)CMC勺操作，主要包括：登錄、退出、用戶管理操作、部 門管理

17、操作、策略操作、控制操作等。系統(tǒng)日志監(jiān)督員可以對(duì)系統(tǒng)日志數(shù)據(jù)庫(kù)表/記錄進(jìn)行備份/恢復(fù)等維護(hù)操作。日志在備份后可以刪除，不提供單條刪除功能。3.2.2計(jì)算機(jī)軟硬件資產(chǎn)管理功能計(jì)算機(jī)資源是指單位內(nèi)部勺計(jì)算機(jī)，這些計(jì)算機(jī)是單位信息網(wǎng)絡(luò)勺重要組成部 分，通常來說，某臺(tái)計(jì)算機(jī)會(huì)有明確勺任務(wù)、使用范圍和使用人。目前，并沒有效勺措 施指定計(jì)算機(jī)勺使用者，計(jì)算機(jī)資源勺使用難以控制，從而造成一定勺信息安全隱 患，比如財(cái)務(wù)部勺計(jì)算機(jī)就不能允許非財(cái)務(wù)人員使用等等。另外，計(jì)算機(jī)資源是一個(gè) 單位非常重要勺資產(chǎn)，一般包括硬件資產(chǎn)和軟件資產(chǎn)。CMC利用其超強(qiáng)的硬件獲取能力使信息人員和資產(chǎn)管理人員可以很方便的查看到網(wǎng) 絡(luò)內(nèi)部

18、勺硬件勺分配情況，可以極大地方便了資產(chǎn)統(tǒng)計(jì)人員，避免了過去做資產(chǎn)統(tǒng)計(jì) 必須拆機(jī)箱的做法，利用先進(jìn)的自動(dòng)捕獲技術(shù)，及時(shí)的收集到所有 的硬件信息，提高 工作人員的效率。CMC利用其強(qiáng)大的軟件信息獲取能力將單位所擁有的軟件納入資產(chǎn)的正常管理程 序，以便掌握單位信息化的投資狀況，包括采購(gòu)、安裝、分發(fā)、升級(jí)、維護(hù)、刪除等整 個(gè)軟件使用的生命周期。它經(jīng)由一系列有效的管理措施，配合系統(tǒng)管理的使用，就 可以合理地控制軟件購(gòu)置的經(jīng)費(fèi)支出，以此提升軟件資產(chǎn)的利用 率與整體效益，并且 確保軟件使用的合法性。1）計(jì)算機(jī)單機(jī)資產(chǎn)管理單機(jī)資產(chǎn)管理負(fù)責(zé)將網(wǎng)絡(luò)內(nèi)合法的計(jì)算機(jī)添加到本系統(tǒng)內(nèi)，作為合法用戶使用。 10歡迎卜載情品

19、文檔功能包括：計(jì)算機(jī)信息的增、刪、改、查。單機(jī)資產(chǎn)管理功能包括硬件資產(chǎn)管理和軟件資產(chǎn)管理兩部分，并且提供強(qiáng)大的統(tǒng) 計(jì)功能。硬件資產(chǎn)管理安裝硬件信息：在涉密計(jì)算機(jī)用戶注冊(cè)后，記錄下計(jì)算機(jī)的所有硬件安裝信息（處理器CPU光驅(qū)，內(nèi)存，軟驅(qū)，聲卡，顯卡，硬盤的類型及其種類），同時(shí)把該信息 和用戶信息、固定資產(chǎn)編號(hào)信息進(jìn)行尖聯(lián)形成該用戶的硬件資產(chǎn)信息 并且進(jìn)行日志記 錄；變動(dòng)硬件信息：檢測(cè)計(jì)算機(jī)發(fā)生變動(dòng)的硬件信息，并且記錄日志。軟件資產(chǎn)管理安裝軟件信息：在計(jì)算機(jī)用戶注冊(cè)后，記錄下涉密計(jì)算機(jī)的所有軟件安裝信息 并且進(jìn)行日志記錄；變動(dòng)軟件信息：檢測(cè)計(jì)算機(jī)發(fā)生變動(dòng)的軟件信息，并且記錄日志。2）組/部門資產(chǎn)管理

20、CMC支持群組/部門管理，即將被監(jiān)控計(jì)算機(jī)群按照傳統(tǒng)的業(yè)務(wù)組/工作組/部門進(jìn) 行劃分，并按照組/部門的方式進(jìn)行策略管理，組內(nèi)的成員的計(jì)算機(jī)全部自動(dòng)遵守該組 的安全策略。組的成員可隨時(shí)添加或刪除。這一功能對(duì)于管理人員快速、準(zhǔn)確識(shí)別涉 密信息和安全狀態(tài)很有幫助，并且可以大大減輕管理員的策略配置管理負(fù)擔(dān)。3.2.3監(jiān)視管理功能監(jiān)視管理功能這部分是日志查看員的日常管理任務(wù)，他可以使日志查看員可實(shí)時(shí) 掌握內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)的運(yùn)行和安全狀態(tài)，保證內(nèi)部網(wǎng)絡(luò)管理策略的正確執(zhí) 行。1）在線狀態(tài)監(jiān)視日志查看員可從查看全部主機(jī)的聯(lián)網(wǎng)狀態(tài)。如果選擇網(wǎng)絡(luò)方式查看，則在CMC勺監(jiān)視界面上顯示全部涉密計(jì)算機(jī)的聯(lián)網(wǎng)狀 態(tài)。其中，

21、閃亮的表示在線，灰色的表示離線。如果選擇組/部門方式，則在CMC勺監(jiān)視界面上按部門顯示，展開部門后，顯示部 門所轄涉密計(jì)算機(jī)的聯(lián)網(wǎng)狀態(tài)。2）非法入網(wǎng)監(jiān)視CMC按照“安裝了代理+ IP/MAC地址白名單”的排除法發(fā)現(xiàn)非法計(jì)算機(jī)。“安裝了代理+ IP/MAC地址白名單”是指：定義安裝了 SCMCA-H代理的、并 且 IP/MAC地址在白名單中的涉密計(jì)算機(jī)稱為合法，只有這樣的涉密計(jì)算機(jī)才能 使用內(nèi)網(wǎng) 資源，否則強(qiáng)行禁止其使用內(nèi)網(wǎng)，并且及時(shí)報(bào)警。非法入網(wǎng)計(jì)算機(jī)在CMC中以非法入網(wǎng)計(jì)算機(jī)為組名稱的進(jìn)行拓?fù)滹@示，可以列出 所有非法接入內(nèi)部網(wǎng)絡(luò)的主機(jī)（IP/MAC地址），而在監(jiān)視界面中顯示這些主 機(jī)的入網(wǎng)

22、行為記錄。3）安全掃描CM （可以對(duì)指定網(wǎng)段內(nèi)的涉密計(jì)算機(jī)進(jìn)行安全檢查，如果發(fā)現(xiàn)有未安裝本代 理以 及IP/MAC地址不屬于白名單的涉密計(jì)算機(jī)在線則報(bào)警。3.2.4策略管理功能主機(jī)監(jiān)控與審計(jì)系統(tǒng)的策略是指代理對(duì)涉密計(jì)算機(jī)監(jiān)視和控制規(guī)則的集合。策略的制定、修改、添加、刪除、存儲(chǔ)/導(dǎo)入、下發(fā)和執(zhí)行情況監(jiān)督都由CMC完 成，通過CMC統(tǒng)一或部分下發(fā)至各個(gè)代理。1）策略模板管理根據(jù)策略分級(jí)和繼承原則，所有策略以模版形式生成后，才可以下發(fā)到代理。策略模板管理可以制定4個(gè)級(jí)別的多種模板：默認(rèn)策略一一本系統(tǒng)發(fā)行時(shí)提供， 隨基本代理一同安裝于被監(jiān)控涉密計(jì)算機(jī)上，該策略為最嚴(yán)格策略；全局策 略個(gè)單位全局范圍的策

23、略，對(duì)所有用戶有效；部門策略一一部門范圍內(nèi)的策略，對(duì)該部門的所有用戶有效；用戶策略一一特定用戶策略，只對(duì)該用戶有效。策略模板管理包括：策略模板制定：制定以上4級(jí)模板；策略模板修改：對(duì)指 定好的模板進(jìn)行修改；策略模板添加：同一級(jí)別下具有多個(gè)模板時(shí)，添加模 板；策略模板刪除：對(duì)不再有效的策略模板進(jìn)行刪除；策略模板存儲(chǔ)及導(dǎo) 入：所有模板可以以單位或者個(gè)人名稱方式單獨(dú)生成一個(gè)，并可以存儲(chǔ)（或 者打印），再遇到特殊情況重裝系統(tǒng)后可以把先前存儲(chǔ)的模板導(dǎo)入到系統(tǒng) 中5方便策略的備份和恢復(fù)，減輕工作量。策略模板的內(nèi)容主要包括以下方面：基本信息的采集策略：對(duì)代理采集計(jì)算機(jī)的方式、提交頻率等進(jìn)行配置。文 件監(jiān)控策

24、略：對(duì)磁盤文件的監(jiān)控方式、過濾方式、操作方式、文件保 護(hù)方式進(jìn) 行配置。注冊(cè)表監(jiān)控策略：對(duì)注冊(cè)表監(jiān)控方式、掃描頻率、提交方式和頻率進(jìn) 行配置。打印監(jiān)控策略：對(duì)涉密計(jì)算機(jī)的打印行策略為進(jìn)行配置。應(yīng)用程序/進(jìn)程監(jiān)控 策略：對(duì)應(yīng)用程序/進(jìn)程的啟動(dòng)、運(yùn)行策略進(jìn)行配置。設(shè)備監(jiān)控策略：對(duì)涉 密計(jì)算機(jī)所轄設(shè)備和新增的未知設(shè)備使用策略進(jìn)行配置。網(wǎng)絡(luò)應(yīng)用行為監(jiān)控策略：對(duì)網(wǎng)頁(yè)瀏覽-HTIP、文件傳輸-FTP、發(fā)郵件-SMTP收郵件-POP3遠(yuǎn)程登錄-Telnet，以及外部主動(dòng)聯(lián)接、IP/MAC地址綁定、 非法外聯(lián)、非法內(nèi)聯(lián)等的行為策略進(jìn)行配置。2）策略下發(fā)針對(duì)不同的計(jì)算機(jī)用戶和組，對(duì)計(jì)算機(jī)的審計(jì)行為、端口控制行為

25、各不相同， CM （可根據(jù)實(shí)際情況制定不同的審計(jì)、控制策略模板，在下發(fā)審計(jì)策略時(shí)選擇相應(yīng)的模 板即可。這樣對(duì)管理人員而言便于管理，方便使用。策略下發(fā)方式分為立即執(zhí)行和重新啟動(dòng)后執(zhí)行兩種模式，由管理人員在下發(fā)時(shí)根 據(jù)實(shí)際情況進(jìn)行選擇，也可以采用策略模版中制定的選擇。立即執(zhí)行模式：代理收到CM （發(fā)送的策略更新命令，立即終止現(xiàn)行程序，按 照新的策略去重新分配線程，在終止原策略啟用新策略過程中，可能會(huì)造成 部分?jǐn)?shù)據(jù)的丟失。重新啟動(dòng)后執(zhí)行模式：代理收到CM （發(fā)送的策略更新命令后，暫時(shí)不進(jìn)行相 應(yīng)而只是把新策略存儲(chǔ)于本地，強(qiáng)制計(jì)算機(jī)重新啟動(dòng)或者待計(jì)算機(jī)自然重新 啟動(dòng)后，再加載新策略。代理在計(jì)算機(jī)啟動(dòng)后

26、和控制臺(tái)進(jìn)行通訊，如果要更 新策略模板，則下載新的模板后繼續(xù)運(yùn)行。策略的下發(fā)對(duì)用戶透明，不會(huì)對(duì)用戶的自然操作產(chǎn)生影響。3）策略執(zhí)行和狀態(tài)監(jiān)督策略執(zhí)行由代理完成，執(zhí)行過程不會(huì)對(duì)用戶自然操作產(chǎn)生 影響。策略下發(fā)成功或者失敗時(shí)，代理會(huì)把策略更新記錄提交給CMC。CMC可以對(duì)所有涉密計(jì)算機(jī)的：策略執(zhí)行狀態(tài)（成功/失敗）、策略模板名 稱、策略模板內(nèi)容、策略執(zhí)行時(shí)間及有效時(shí)間等內(nèi)容進(jìn)行查看和監(jiān)督。3.2.5文件/補(bǔ)丁程序管理功能1）文件/補(bǔ)丁管理隨著軟件的不斷完善，功能的不斷增多，新的軟件版本將不斷 發(fā)布，文件/補(bǔ)丁管理就是將每一版本軟件保存到數(shù)據(jù)庫(kù)中，并通過軟件的啟用、停用標(biāo)志控制軟 件的可用性，通過文

27、件/補(bǔ)丁分發(fā)功能，將新的軟件下發(fā)到各代理端。如果 軟件下發(fā)時(shí) 發(fā)現(xiàn)該版本的軟件已經(jīng)是停用標(biāo)志，將不再下發(fā)。2）文件/補(bǔ)丁分發(fā)代理的升級(jí)采用“靜默式安裝"方式自動(dòng)升級(jí)，對(duì)用戶透明，由CMC空制對(duì)全部 涉密計(jì)算機(jī)進(jìn)行統(tǒng)一在線升級(jí)。在線升級(jí)是在涉密計(jì)算機(jī)已安裝代理的前提下，可以實(shí)現(xiàn)軟件的在線升級(jí)。升級(jí) 方式分為主動(dòng)升級(jí)、下發(fā)后立即升級(jí)兩種模式，具體升級(jí)方式同樣由管理人員通過系 統(tǒng)設(shè)置功能進(jìn)行設(shè)置。主動(dòng)升級(jí)：每次開機(jī)后代理主動(dòng)和GT遊行通訊，如果有高于本機(jī)的軟件版 本發(fā)布5則主動(dòng)下載5并自動(dòng)升級(jí)。下發(fā)后立即升級(jí)：CMC向代理發(fā)送軟件立即升級(jí)的命令，代理收到命令后，進(jìn) 行軟件版本的判定，如果新

28、版本確實(shí)高于現(xiàn)行版本，則進(jìn)行新版本軟件的下 載，下載完畢后，立即執(zhí)行軟件更新。在軟件更新過程中可能會(huì)造成部分審 計(jì)數(shù)據(jù)的丟失。326審計(jì)管理功能CMC審計(jì)管理功能基于已收到的各代理端采集到審計(jì)記錄對(duì)各種的操作行 為進(jìn)行審計(jì)，審計(jì)內(nèi)容包括：1）磁盤文件操作行為審計(jì)2）注冊(cè)表審計(jì)3）應(yīng)用/進(jìn)程使用審計(jì)4）日志審計(jì)5）賬戶信息審計(jì)6）USB介質(zhì)使用行為審計(jì)7）外部設(shè)備使用行為審計(jì)8）打印行為審計(jì)9）主動(dòng)網(wǎng)絡(luò)連接操作行為審計(jì)10）非法外聯(lián)行為審計(jì)為了方便管理員的審計(jì)操作，提高管理效率，系統(tǒng)對(duì)以上各審計(jì)內(nèi)容提供多種 審計(jì)方式：按部門審計(jì)：對(duì)該部門下的所有人員的某一操作行為進(jìn)行審計(jì)。按人員 審計(jì)：由于工作

29、需要，存在大量一人多機(jī)的情況，為了方便對(duì)某人的所有 操作行為進(jìn)行審計(jì)，系統(tǒng)提供按人員進(jìn)行審計(jì)的功能，即審計(jì)該人員管 理下所有計(jì)算機(jī)的操作行為。按IP地址審計(jì)：按IP地址對(duì)某一臺(tái)計(jì)算機(jī)的操作行為進(jìn)行審計(jì)。按時(shí)間段進(jìn)行審計(jì)：在以上某一條件下，有針對(duì)性的審計(jì)一段時(shí)間內(nèi)操作行為。3.2.7報(bào)警管理功能管理人員面對(duì)數(shù)量巨大的審計(jì)日志的時(shí)候，如果沒有合理的報(bào)警，將對(duì)其管理 工作帶來巨大的困難。CMC將提供基礎(chǔ)的報(bào)警策略，并提供報(bào)警定義、修改、刪除、存儲(chǔ)/導(dǎo)入等管理功 能，使系統(tǒng)在得到和報(bào)警規(guī)則相匹配的操作行為的時(shí)候，自動(dòng)產(chǎn)生報(bào)警，并向管理人員 發(fā)出提示。1）報(bào)警策略定義及管理報(bào)警分為單一來源報(bào)警、組合報(bào)警

30、和用戶自定義報(bào)警：?jiǎn)我粊碓磮?bào)警：由日志分級(jí)方式產(chǎn)生，即系統(tǒng)每產(chǎn)生的一條日志都有個(gè)安全等 級(jí)字段，安全等級(jí)在制定安全策略時(shí)指定。日志安全等級(jí)的目的是提高日志審計(jì)的效 率，同時(shí)突出了報(bào)警的概念，如日志分為15共5個(gè)安全等級(jí)，5為最高等級(jí)，可定 義安全等級(jí)=3的日志產(chǎn)生預(yù)警。組合報(bào)警：對(duì)于不能由單一來源確定的惡意行為，這種報(bào)警可能需要依據(jù)多條日 志進(jìn)行分析才能產(chǎn)生。系統(tǒng)會(huì)提供組合報(bào)警模板供用戶參考，其安全等級(jí)由用戶根據(jù) 實(shí)際情況自己確定。用戶自定義報(bào)警：對(duì)本系統(tǒng)沒有規(guī)定的報(bào)警，用戶可以根據(jù)實(shí)際情況就其所矢 心的日志設(shè)置安全級(jí)別產(chǎn)生報(bào)警。報(bào)警策略的定義及其管理也采用策略模板的方式。2）報(bào)警處理當(dāng)有符合

31、報(bào)警策略的違規(guī)事件發(fā)生時(shí)，代理會(huì)在涉密計(jì)算機(jī)上給出提示，同時(shí) 會(huì)把該日志記錄發(fā)送到CMC。CM（會(huì)在計(jì)算機(jī)瀏覽管理視圖上產(chǎn)生色彩鮮艷的警示性報(bào)警信號(hào)，管理人員可以查看報(bào)警詳細(xì)信息，CM（會(huì)給出對(duì)該類報(bào)警信息的處理建議。管理人員可以選擇忽略該報(bào)警，或者在處理完該報(bào)警之后代理自動(dòng)監(jiān)測(cè)到無(wú) 違規(guī) 記錄時(shí)，報(bào)警取消3）報(bào)警查詢和統(tǒng)計(jì)對(duì)報(bào)警事件進(jìn)行查詢統(tǒng)計(jì)，管理方式同審計(jì)信息的查詢和統(tǒng)計(jì)。3.2.8日志管理功能1）日志過濾查詢管理人員能夠方便地定制過濾查詢本系統(tǒng)產(chǎn)生的所有日志，可 以靈活地設(shè)置 查詢條件，包括：用戶信息、日志等級(jí)、日志產(chǎn)生時(shí)間、日志內(nèi)容等。支 持組合 查詢、模糊匹配查詢等技術(shù)。2）日志統(tǒng)

32、計(jì)及報(bào)表輸出具備日志統(tǒng)計(jì)分析功能，能夠展現(xiàn)一段時(shí)間內(nèi)的日志趨 勢(shì)，安全管理員可以據(jù)此考慮調(diào)整相應(yīng)的安全策略。統(tǒng)計(jì)報(bào)表表現(xiàn)方式靈活，除了最基本的列表方式之外，還應(yīng)該具備圖形表現(xiàn)功 能，包括餅圖、柱狀圖以及曲線圖等。統(tǒng)計(jì)報(bào)表可以采用打印、存儲(chǔ)、導(dǎo)出等方式輸出。3.3用戶瀏覽功能審計(jì)數(shù)據(jù)的查詢、統(tǒng)計(jì)、分析功能采用B/S方式完成，管理員通過IE瀏覽器在 網(wǎng)絡(luò)內(nèi)的任何一臺(tái)端機(jī)上可對(duì)數(shù)據(jù)進(jìn)行瀏覽。數(shù)據(jù)查詢：對(duì)審計(jì)數(shù)據(jù)、用戶信息按照任意條件進(jìn)行查詢。數(shù)據(jù)統(tǒng)計(jì)：對(duì)審計(jì)數(shù) 據(jù)按要求進(jìn)行統(tǒng)計(jì)，并以餅狀圖、柱狀圖等直觀形式表示出來。數(shù)據(jù)分析：對(duì)審計(jì)數(shù)據(jù)進(jìn)行綜合分析及事件追蹤，找出其中可疑事件，提高系 統(tǒng)的安全性。4

33、系統(tǒng)特點(diǎn)4.1 CPU占用少CPI資源的占用率也稱為占有率，是外部設(shè)備使用時(shí)對(duì)CPU的占用時(shí)間。如 果 CPU長(zhǎng)期占用率過高，可造成CPU溫度過高，從而影響CPU及周圍的電路，降低電腦的 使用壽命，同時(shí)也對(duì)CPU勺并發(fā)處理能力造成影響，降低其它軟件運(yùn)行、處理速度。一臺(tái)計(jì)算機(jī)即使用戶在不作任何操作時(shí)，操作系統(tǒng)為維持其正常運(yùn)行在進(jìn)行大量 的操作，如動(dòng)態(tài)庫(kù)調(diào)用、注冊(cè)表的修改、文件的建立、文件的修改、文件的刪除等工 作。用戶工作時(shí)在對(duì)各種應(yīng)用軟件的使用過程中，除了會(huì)產(chǎn)生所需要文 件外，應(yīng)用軟 件還會(huì)大量修改系統(tǒng)文件并生成臨時(shí)文件，如何提高數(shù)據(jù)的有效性、降低CPU的占用 率成為一個(gè)技術(shù)難點(diǎn)。很多軟件針對(duì)

34、審計(jì)事件的采集采用輪尋方式，即定時(shí)掃描方式。間隔時(shí)間過長(zhǎng) 會(huì)引起事件的漏記，間隔時(shí)間過短會(huì)引起CPU占有率過高。對(duì)此采用以下兩方面解決以下問題：17歡迎卜載情品文檔審計(jì)事件的產(chǎn)生：事件的產(chǎn)生采用觸發(fā)方式，即只有該事件發(fā)生了，才觸發(fā) 對(duì) 該事件的審計(jì)，符合審計(jì)策略要求的保存、上傳，不符合的丟棄。與輪詢方式相比其優(yōu) 點(diǎn)在于即可以防止在兩次輪詢期間產(chǎn)生審計(jì)數(shù)據(jù)的漏審情況的發(fā)生，又可以避免在沒 有審計(jì)事件發(fā)生時(shí)對(duì)事件進(jìn)行查詢，造成不必要的資源浪費(fèi)。審計(jì)策略的制定：按照管理員對(duì)該機(jī)審計(jì)策略的要求對(duì)各審計(jì)模塊進(jìn)行加 載，如 果不需要監(jiān)控的功能則不予以加載。避免了模塊加載后，在檢測(cè)到審計(jì)事件時(shí)再按策 略要求對(duì)事件不予記錄造成系統(tǒng)資源浪費(fèi)。17歡迎F載情品文檔丈陣 Tj 1 啜 Q) K« CTJ 工機(jī) CV.I WUJ :MBF iqg.zi 1¥*住“門>T crv gE WI-uJ護(hù)懺誼BI就忙1ROW 卸1記*»HKII<B>S14 叮啓 iffl EM3«i安裝代理端末咋任何操作fl ft *67/ ZS2rv : JtifLrUJ VihCHJ廣6 Ix/flu/nff <>MFR ®3町