主机监控与审计系统设计方案

1、褶品文档主机监控与审计系统设计方案北京市爱威电子技术公司2010年5月1欢迎卜,载褶品文档目录1 .系统简介12 系统总体结构. 22.1 系统架构及基本工作原理 22.2 系统功能结构 33 .系统功能43.1 代理端功能43.1.1 数据采集功能43.1.2 控制功能53.1.3 其它功能63.2 控制管理中心功能73.2.1 系统管理功能73.2.2 计算机软硬件资产管理功能93.2.3 监视管理功能103.2.4 策略管理功能 113.2.5 文件/补丁程序管理功能 133.2.6 审计管理功能143.2.7 报警管理功能 153.2.8 日志管理功能163.3 用户浏览功能164系统

2、特点174.1 cpu占用少174.2 网络资源占用少184.3 非法内联监控效率高 192双迎卜.载褶品文档1 .系统简介随着网络信息化的高速推进，人类社会的行为与活动已经和网络系统紧密联 系起来。网络信息系统将人类传统的工作、管理模式“映射”到网络环境中，极 大 地提高了研究、工作和管理效率。人们对于内部网络系统，曾经假定“内部环境是 安全的”，但自从网络系统采用了开放互连的tcp/ip协议后，这种假设条件在事 实上已经不能完全成立了。各类单位（尤其是涉密单位）为了保证员工能 通过网 络（包括互联网）共享信息的同时，确保不会因为使用网络而有意或无意的泄漏 敏感信息，都采取了相应的行政手段对

3、本单位内部局域网的使用和操作规范进行强 制性的、非技术性的管理，这些管理措施在特定时期和特定环境下是可用的，但 仅依靠非技术性管理却是有悖于信息化初衷的，是不利于信息化进程发展的。主机监控与审计系统的目的是：按照国家标准和保密局标准，结合长峰集团 的实际情况，研制开发一套完善的、可持续扩展的安全保密信息审计系统。该系统的实现，对于在信息化高速发展的同时，严格保证涉密信息系统及其 审计系统的特殊性、安全性、可靠性、可控性、及时性、可扩展性有着积极的促 进 作用。2 .系统总体结构2.1 系统架构及基本工作原理湾三层软等统一业务谭嫌应薮械社务柝.虢制定、预第一层都署致据茨里及美峪系统结构图从统一管

4、理的角度出发，主机监控与审计系统采用多极构架组成（如图），其基本工作原理描述如下：第一层为计算机端机，通过安装的主机监控与审计系统的代理端软件，根据cmc 寸该端机的审计策略要求，对硬件设备的使用经行控制，对用户的操作行为进行数据 采集，并将采集到的各类数据上传到cmc在系统管理员授权的情况下 可通过ie对数 据进行查询。第二层为各子、分公司的cmcub管理层，负责对各代理端进行管理、数据收集及 数据的统计、查询、分析。第三层为集团cmc ub管理层，可对下属各子、分公司的审计策略、数据进行统 计、查询、分析。各单位cmcg严重报警提交给第三层的cmc第三层cmc履行监督报 警的处理情况的职责

5、。5欢迎卜.载2.2 系统功能结构数站筵宝it制f苦咄左h出日帐文本工后息根注应外打网尊网ffl即措法sfi sfi 外校视庭监守通和cmcip:1 : indors客户端月重务器端主机监控与审计系统是对计算机及网络的各种事件及行为实行信息采集、监测、 控制和审计的应用系统。客户端主要由ba pa两部分组成：ba( base age nt)基本代理：指在计算机中驻留的基本代理模块，负责 基本信 息的采集及发送、存活状态信息的发送、其他代理的加载和卸载等功能实现的 软件。pa( policy age nt )策略代理：指按照计算机实际情况制定的策略生成的代 理模块，它通过基本代理进行加载和卸载，

6、并和基本代理进行安全认证，保证 代理端软件自身安全性。服务器端即cmcxco ntrol a nd ma nager center )控制管理中心，是安装于中心控制台的软件，它收集各代理发送的采集信息，根据报警策略产生报警，并 推荐响应控制建议，管理各个计算机(组)策略并生成策略代理，产生审计报表精品文档3 .系统功能3.1 代理端功能代理端软件指安装于各端机上的主机监控与审计系统，由ba和pa模块组成。其 主要功能是根据cmc对端机审计要求和控制要求，对用户的操作行为进行审计，对端 机的软、硬件使用进行控制，并对违规行为进行报警。4 .1.1数据采集功能代理端数据采集是指对端机的环境信息、软

7、、硬信息及操作、使用行为进行数 据采集，具体包括以下几方面：1）基本信息数据采集：采集计算机操作系统的基础配置数据，其中包括： 用户名、主机名、域名、网络名、操作系统、mac地址、cpu型号、ie 版本号等。2）软件信息数据采集：采集该系统已经安装的软件信息。3）设备信息数据采集：采集该计算机的设备配置情况，包括：dvd/cd-rom驱动 器、ide ata/atapi控制器、处理器、磁盘驱动器、端口、键盘、软盘控制 器、软盘驱动器、鼠标和其它指针设备、通用串行总线控制器、网络适配 器、显示卡等。4）日志信息数据采集：对系统生成的日志信息进行数据采集，其中包括：应用 程序错误记录、安全审核记录

8、、系统错误记录。5）磁盘文件操作数据采集：对用户对文件的增、删、改、重命名进行审计， 同时对计算机ip地址、操作时间、文件操作类型、文件路径、文件名等数 据进行提取、保存。6）注册表操作数据采集：对注册表项的“增、删、改”操作行为进行数据采 集，采集的基本信息包括：计算机名（ip地址）、用户名、程序名、键名、 键值、操作时间等信息。7）应用/进程信息数据采集：对系统的应用程序和进程的启动及运行情况进行 数据采集，包括：计算机名（ip地址）、用户名、进程映像名称、进程id、程序名称等。8）打印信息数据采集：对计算机进行的打印信息进行采集，采集的基本信息包 括：计算机名（ip地址）、用户名、打印机

9、名、打印时间、打印文档名、 打印页数、打印份数等信息。9）网络行为数据采集：对用户的上网行为进行数据采集，采集的基本信息包 括：计算机名（ip地址）、用户名、上网时间、网址名等信息。10）非法外联行为数据采集：对cm （允许以外的外联行为定义为非法外联行为， 此操作威胁到涉密文件的安全，因此要产生报警信息，采集的基本信息包 括：计算机名（ip地址）、用户名、上网时间、网址名等信息。11）非法内联行为数据采集：进入内网的计算机是经过严格审批手续的，对 没有 进行审批就进入内网的计算机认为是非法内联行为，对计算机的非法内联行 为的数据采集包括：计算机名（ip地址）、用户名、时间等信 息。5 .1.

10、2控制功能为了保证计算机上的数据安全，防止泄密事件的发生，要禁止用户在未经许可 的情况下私自将涉密文件拷出，禁止进入不安全的网络，防止被他人恶意攻击，窃取 涉密文件。因此在对文件进行审计的同时，要对文件的出口加以控制。为了保证数 据的有效性，对系统的关键数据的修改权利也加以控制。控制功能包括两部分设备使用的控制和操作系统参数设置的控制。1）设备包括本机已有设备和外围设备两部分，控制主要指对设备的可用性 进行控 制，分为启用和禁用两种状态，设备启用时用户可以对设备正常使用，禁用时用户 将无法使用该设备，如果用户采用其他技术手段改变了 cmc寸设备的控 制属性，代理 端检测到后将依据cmc寸设备的

11、使用权重新进行设置，并产生报警信息，通知cmc要进 行控制的设备包括以下几方面：光驱软驱usb设备usb存储设备串、并口打印机拨号上网无线网卡上网网络共享服务2）操作系统部分功能使用的控制权ip/mac地址的更改：为了保证数据的有效性，同时有效防止非法内联事 件的 发生，在未经审批、管理员授权的情况下禁止修改ip/mac地址。通过网络的 文件、打印和命名管道共享：为了保证计算机上的数据安全，防止他人的 恶意窃取，严禁共享功能。6 .1.3其它功能1）报警功能：代理端报警策略的设置及事件的报警级别由cmc负责管理，管理员根据不同端机的工作要求可设置不同报警策略，并下发到各端机。代理 端软 件则根

12、据本机的报警策略对违规事件产生相应的报警信息，并立即上传到控 制台，通知管理员有违规事件发生。2）自动升级功能：代理由ba基本代理和pa策略代理组成，ba运行于os级，常驻内存，pa 则动态加载。当收到新版本pa后，ba动态卸载旧的pa再加载新版 本pa这一 切动作对用户透明，从而达到动态自动升级的目的，也无须管理人员在大规 模实施后需要跑到每一个客户端去升级的大工作量行为。3）自我防护功能：ba代理是一个短小强悍的监控程序，驻留在涉密计算机的内存中，7欢迎卜.载精品文档体积非常小，隐蔽性强，一但驻留，除scmca-h安全管理员外，将无法删除，因此，可确保监控功能的持续、正常执行。同时，pa和

13、ba互相监视，并隐蔽存储多副本于计算机中，当监视到 对方 依托文件不存在时，快速从副本处复制一个依托文件到安装目录。cmc中心也存储涉密计算机的ba和pa 一旦发现有恶意攻击行为攻 击ba 或者pa cmc将产生报警,由响应的管理制度来制止这种恶意攻击行为。32控制管理中心功能cm （控制管理中心是该系统的核心，实现对所管辖计算机代理采集信息的统一管 理、审计和报警功能，同时负责该系统本身的管理功能的实现，功能如下图所示：宙计僧理系统目志s护数 拥备ffi与恢fe 参数j 用户及组管1t非法5作土动 网绍逵接打印行 为审计外bs设关 使用， 一味瞌 用jk户信息 审计ge志审计， 应用7ff使

14、用关 注nu衣操岸磁 盘文件15作文件、补丁管理 一 : 、 a h志统计及报*里可单机资产管1t 5全扫描 在线u态监观 策略策略下发策略 模扳管理报警杳 询和统计公普处坪报善策略报警管脚策略管呼视管岬资卢骨珂t文件管理cmc功能示意图3.2.1 系统管理功能系统功能主要完成系统本身的系统设置和维护功能，保证系统访问的用户安全 性、系统登录和注销的合法性、系统配置的合理性、系统数据的安全备份与恢复、系统 本身的操作日志记录的完整性。7次迎下我精品文档1）登录与注销管理员使用默认用户名和密码登录到cmc后，分别创建日志查看员和系统日志监督 员，并赋予默认密码。管理员、日志查看员和系统日志监督员

15、分别使用自己的用户名和默认密码登 录cmc 但是根据其权限显示不同的cm （界面。所有用户在第一次使用默认密码登录后，cmc自动强制各用户更改默认密码为新密 码。所有用户空闲超过一定时间后，系统自动锁定，进入锁定界面。2）用户及组管理系统用户管理是对系统本身的用户进行管理的工具。系统用户 管理支持多管理员角色，可区分超级管理员、管理员、日志查看员、系统日志监督员。用户管理员具备创建下级用户的权限；管理员只具备系统进行配置、数据备 份和恢复的权限，但是不具备下级管理员的权限具备。日志查看员可以操作cm （查阅各代理采集信息、制定策略、进行控制等功 能；系统日志监督员负责对超级管理员、管理员、日志

16、查看员的行为日志进 行查阅和监督。如果用户需要，还可在4类角色中再细分级别。4两种角色的组合使用由用户自 己决定。用户管理主要包括管理人员的帐号、口令管理、人员信息的增、删、改、查等操 作。3）参数配置管理员可以对系统本身的运行参数进行配置，包括：系统显示方式、系统等待 时间、计算机安全扫描时间间隔等。4）数据备份与恢复管理员可对数据进行备份和恢复，数据库中的数据超过数据 保存最大容量之后或者超过数据最长保存时间之后，系统会强制管理员对数据作 备份操作，备份数据存放于指定目录下，备份后数据库中的记录才可以删除， 备份目录和记录的删除操作都会自动记录到系统日志中，由系统日志监督员进行9欢迎卜.载

17、搐品文档监督。所有数据不提供单条记录删除的功能。系统万一出现崩溃，或者硬件原因造成了数据丢失，管理员可以把最近的一次 备份数据恢复到系统中。5）系统日志维护系统日志记录管理员对cmc勺操作，主要包括：登录、退出、用户管理操作、部 门管理操作、策略操作、控制操作等。系统日志监督员可以对系统日志数据库表/记录进行备份/恢复等维护操作。日 志在备份后可以删除，不提供单条删除功能。3.2.2 计算机软硬件资产管理功能计算机资源是指单位内部勺计算机，这些计算机是单位信息网络勺重要组成部 分，通常来说，某台计算机会有明确勺任务、使用范围和使用人。目前，并没有效勺措 施指定计算机勺使用者，计算机资源勺使用难

18、以控制，从而造成一定勺信息安全隐 患，比如财务部勺计算机就不能允许非财务人员使用等等。另外，计算机资源是一个 单位非常重要勺资产，一般包括硬件资产和软件资产。cmc利用其超强的硬件获取能力使信息人员和资产管理人员可以很方便的查看到网 络内部勺硬件勺分配情况，可以极大地方便了资产统计人员，避免了过去做资产统计 必须拆机箱的做法，利用先进的自动捕获技术，及时的收集到所有 的硬件信息，提高 工作人员的效率。cmc利用其强大的软件信息获取能力将单位所拥有的软件纳入资产的正常管理程 序，以便掌握单位信息化的投资状况，包括采购、安装、分发、升级、维护、删除等整 个软件使用的生命周期。它经由一系列有效的管理

19、措施，配合系统管理的使用，就 可以合理地控制软件购置的经费支出，以此提升软件资产的利用 率与整体效益，并且 确保软件使用的合法性。1）计算机单机资产管理单机资产管理负责将网络内合法的计算机添加到本系统内，作为合法用户使用。 功能包括：计算机信息的增、删、改、查。单机资产管理功能包括硬件资产管理和软件资产管理两部分，并且提供强大的统 计功能。硬件资产管理安装硬件信息：在涉密计算机用户注册后，记录下计算机的所有硬件安装信息 （处理器cpu光驱，内存，软驱，声卡，显卡，硬盘的类型及其种类），同时把该信息 和用户信息、固定资产编号信息进行关联形成该用户的硬件资产信息 并且进行日志记 录；变动硬件信息：

20、检测计算机发生变动的硬件信息，并且记录日志。软件资产管理安装软件信息：在计算机用户注册后，记录下涉密计算机的所有软件安装信息 并且进行日志记录；变动软件信息：检测计算机发生变动的软件信息，并且记录日志。2）组/部门资产管理cmc支持群组/部门管理，即将被监控计算机群按照传统的业务组/工作组/部门进 行划分，并按照组/部门的方式进行策略管理，组内的成员的计算机全部自动遵守该组 的安全策略。组的成员可随时添加或删除。这一功能对于管理人员快速、准确识别涉 密信息和安全状态很有帮助，并且可以大大减轻管理员的策略配置管理负担。3.2.3 监视管理功能监视管理功能这部分是日志查看员的日常管理任务，他可以使

21、日志查看员可实时 掌握内部网络计算机的运行和安全状态，保证内部网络管理策略的正确执 行。1）在线状态监视日志查看员可从查看全部主机的联网状态。如果选择网络方式查看，则在cmc勺监视界面上显示全部涉密计算机的联网状 态。其中，闪亮的表示在线，灰色的表示离线。如果选择组/部门方式，则在cmc勺监视界面上按部门显示，展开部门后，显示部 门所辖涉密计算机的联网状态。1。欢迎f载搐品文档2）非法入网监视cmc按照“安装了代理+ ip/mac地址白名单”的排除法发现非法计算机。“安装了代理+ ip/mac地址白名单”是指：定义安装了 scmca-h代理的、并 且 ip/mac地址在白名单中的涉密计算机称为

22、合法，只有这样的涉密计算机才能 使用内网 资源，否则强行禁止其使用内网，并且及时报警。非法入网计算机在cmc中以非法入网计算机为组名称的进行拓扑显示，可以列出 所有非法接入内部网络的主机（ip/mac地址），而在监视界面中显示这些主 机的入网 行为记录。3）安全扫描cm （可以对指定网段内的涉密计算机进行安全检查，如果发现有未安装本代 理以 及ip/mac地址不属于白名单的涉密计算机在线则报警。3.2.4 策略管理功能主机监控与审计系统的策略是指代理对涉密计算机监视和控制规则的集合。策略的制定、修改、添加、删除、存储/导入、下发和执行情况监督都由cmc完 成，通过cmc统一或部分下发至各个代理

23、。1）策略模板管理根据策略分级和继承原则，所有策略以模版形式生成后，才可以下发到代理。策略模板管理可以制定4个级别的多种模板：默认策略一一本系统发行时提供， 随基本代理一同安装于被监控涉密计算机上，该策略为最严格策略；全局策 略个单位全局范围的策略，对所有用户有效；部门策略一一部门范围内的策略，对该部门的所有用户有效；用户策略一一特定用户策略，只对该用户有效。策略模板管理包括：策略模板制定：制定以上4级模板；策略模板修改：对指 定好的模板进行修改；策略模板添加：同一级别下具有多个模板时，添加模 板；策略模板删除：对不再有效的策略模板进行删除；策略模板存储及导入：所有模板可以以单位或者个人名称方

24、式单独生成一个，并可以存储（或 者打印），再遇到特殊情况重装系统后可以把先前存储的模板导入到系统 中，方便策略的备份和恢复，减轻工作量。策略模板的内容主要包括以下方面：基本信息的采集策略：对代理采集计算机的方式、提交频率等进行配置。文 件监控策略：对磁盘文件的监控方式、过滤方式、操作方式、文件保 护方式进 行配置。注册表监控策略：对注册表监控方式、扫描频率、提交方式和频率进 行配置。打印监控策略：对涉密计算机的打印行策略为进行配置。应用程序/进程监控 策略：对应用程序/进程的启动、运行策略进行配置。设备监控策略：对涉 密计算机所辖设备和新增的未知设备使用策略进行配置。网络应用行为监控策略：对网

25、页浏览-http、文件传输-ftp、发邮件smtp收邮件p0p3远程登录-telnet，以及外部主动联接、ip/mac地址绑定、非法外联、非法内联等的行为策略进行配置。2）策略下发针对不同的计算机用户和组，对计算机的审计行为、端口控制行为各不相同， cm （可根据实际情况制定不同的审计、控制策略模板，在下发审计策略时选择相应的模 板即可。这样对管理人员而言便于管理，方便使用。策略下发方式分为立即执行和重新启动后执行两种模式，由管理人员在下发时根 据实际情况进行选择，也可以采用策略模版中制定的选择。立即执行模式：代理收到cm （发送的策略更新命令，立即终止现行程序，按 照新的策略去重新分配线程，

26、在终止原策略启用新策略过程中，可能会造成 部分数据的丢失。重新启动后执行模式：代理收到cm （发送的策略更新命令后，暂时不进行相 应而只是把新策略存储于本地，强制计算机重新启动或者待计算机自然重新 启动后，再加载新策略。代理在计算机启动后和控制台进行通讯，如果要更 新策略模板，则下载新的模板后继续运行。策略的下发对用户透明，不会对用户的自然操作产生影响。3）策略执行和状态监督策略执行由代理完成，执行过程不会对用户自然操作产生 影响。策略下发成功或者失败时，代理会把策略更新记录提交给cmc。cmc可以对所有涉密计算机的：策略执行状态（成功/失败）、策略模板名 称、策略模板内容、策略执行时间及有效

27、时间等内容进行查看和监督。3.2.5 文件/补丁程序管理功能1）文件/补丁管理随着软件的不断完善，功能的不断增多，新的软件版本将不断 发布，文件/补丁管理就是将每一版本软件保存到数据库中，并通过软件的启用、停用标志控制软 件的可用性，通过文件/补丁分发功能，将新的软件下发到各代理端。如果 软件下发时 发现该版本的软件已经是停用标志，将不再下发。2）文件/补丁分发代理的升级采用“静默式安装”方式自动升级，对用户透明，由cmc空制对全部 涉密计算机进行统一在线升级。在线升级是在涉密计算机已安装代理的前提下，可以实现软件的在线升级。升级 方式分为主动升级、下发后立即升级两种模式，具体升级方式同样由管

28、理人员通过系 统设置功能进行设置。主动升级：每次开机后代理主动和er透行通讯，如果有高于本机的软件版 本发布，则主动下载，并自动升级。下发后立即升级：cmc向代理发送软件立即升级的命令，代理收到命令后，进 行软件版本的判定，如果新版本确实高于现行版本，则进行新版 本软件的下 载，下载完毕后，立即执行软件更新。在软件更新过程中可能会造成部分审 计数据的丢失。13欢迎卜我搐品文档3.2.6 审计管理功能cmc审计管理功能基于已收到的各代理端采集到审计记录对各种的操作行为进行审计，审计内容包括：1）磁盘文件操作行为审计2）注册表审计3）应用/进程使用审计4）日志审计5）账户信息审计6） usb介质使

29、用行为审计7）外部设备使用行为审计8）打印行为审计9）主动网络连接操作行为审计10）非法外联行为审计为了方便管理员的审计操作，提高管理效率，系统对以上各审计内容提供多种 审计方式：按部门审计：对该部门下的所有人员的某一操作行为进行审计。按人员 审计：由于工作需要，存在大量一人多机的情况，为了方便对某人的所有 操作行为进行审计，系统提供按人员进行审计的功能，即审计该人员管 理下所有计算机的操作行为。按ip地址审计：按ip地址对某一台计算机的操作行为进行审计。按时间段进行审计：在以上某一条件下，有针对性的审计一段时间内操作行为。3.2.7 报警管理功能管理人员面对数量巨大的审计日志的时候，如果没有

30、合理的报警，将对其管理 工作带来巨大的困难。cmc将提供基础的报警策略，并提供报警定义、修改、删除、存储/导入等管理功 能，使系统在得到和报警规则相匹配的操作行为的时候，自动产生报警，并向管理人员 发出提示。1）报警策略定义及管理报警分为单一来源报警、组合报警和用户自定义报警：单一来源报警：由日志分级方式产生，即系统每产生的一条日志都有个安全等 级字段，安全等级在制定安全策略时指定。日志安全等级的目的是提高日志审计的效 率，同时突出了报警的概念，如日志分为15共5个安全等级，5为最高等级，可定 义安全等级=3的日志产生预警。组合报警：对于不能由单一来源确定的恶意行为，这种报警可能需要依据多条日

31、 志进行分析才能产生。系统会提供组合报警模板供用户参考，其安全等级由用户根据 实际情况自己确定。用户自定义报警：对本系统没有规定的报警，用户可以根据实际情况就其所关 心的日志设置安全级别产生报警。报警策略的定义及其管理也采用策略模板的方式。2）报警处理当有符合报警策略的违规事件发生时，代理会在涉密计算机上给出提示，同时 会把该日志记录发送到cmc。cm（会在计算机浏览管理视图上产生色彩鲜艳的警示性报警信号，管理人员可以查看报警详细信息，cm（会给出对该类报警信息的处理建议。管理人员可以选择忽略该报警，或者在处理完该报警之后代理自动监测到无 违规 记录时，报警取消3）报警查询和统计对报警事件进行

32、查询统计管理方式同审计信息的查询和统计。3.2.8 日志管理功能1）日志过滤查询管理人员能够方便地定制过滤查询本系统产生的所有日志，可 以灵活地设置 查询条件，包括：用户信息、日志等级、日志产生时间、日志内容等。支 持组合 查询、模糊匹配查询等技术。2）日志统计及报表输出具备日志统计分析功能，能够展现一段时间内的日志趋 势，安全管理员可以据此考虑调整相应的安全策略。统计报表表现方式灵活，除了最基本的列表方式之外，还应该具备图形表现功 能，包括饼图、柱状图以及曲线图等。统计报表可以采用打印、存储、导出等方式输出。3.3用户浏览功能审计数据的查询、统计、分析功能采用b/s方式完成，管理员通过ie浏

33、览器在 网络内的任何一台端机上可对数据进行浏览。数据查询：对审计数据、用户信息按照任意条件进行查询。数据统计：对审计数 据按要求进行统计，并以饼状图、柱状图等直观形式表示出来。数据分析：对审计数据进行综合分析及事件追踪，找出其中可疑事件，提高系 统的安全性。4系统特点4.1 cpu占用少cpi资源的占用率也称为占有率，是外部设备使用时对cpu的占用时间。如 果 cpu长期占用率过高，可造成cpu温度过高，从而影响cpu及周围的电路，降低电脑的 使用寿命，同时也对cpu勺并发处理能力造成影响，降低其它软件运行、处理速度。一台计算机即使用户在不作任何操作时，操作系统为维持其正常运行在进行大量 的操

34、作，如动态库调用、注册表的修改、文件的建立、文件的修改、文件的删除等工 作。用户工作时在对各种应用软件的使用过程中，除了会产生所需要文 件外，应用软 件还会大量修改系统文件并生成临时文件，如何提高数据的有效性、降低cpu的占用 率成为一个技术难点。很多软件针对审计事件的采集采用轮寻方式，即定时扫描方式。间隔时间过长 会引起事件的漏记，间隔时间过短会引起cpu占有率过高。对此采用以下两方面解决以下问题：17欢迎卜我搐品文档审计事件的产生：事件的产生采用触发方式，即只有该事件发生了，才触发对 该事件的审计，符合审计策略要求的保存、上传，不符合的丢弃。与轮询方式相比其优 点在于即可以防止在两次轮询期

35、间产生审计数据的漏审情况的发生，又可以避免在没 有审计事件发生时对事件进行查询，造成不必要的资源浪费。审计策略的制定：按照管理员对该机审计策略的要求对各审计模块进行加 载，如 果不需要监控的功能则不予以加载。避免了模块加载后，在检测到审计事件时再按策 略要求对事件不予记录造成系统资源浪费。#款迎卜我搐品文档f iqg.zi 1*住口rv : jtiflruj vihchjl: titcrv g14 叮兽 iffl em3i舞-ig g6 豆brx.案3*tangvf . rxrmla/l c 8*wctt&om*armkf okjgm安装代理端末咋任何操作未安装代瑾端拷贝1 o。个dx文件.医用加 an ，汽 用c errerv wuiarr 用 vranafey15c31f71b44rr ag一面文”即9叶5加9” 00.jmaerotows