主机审计与监控系统白皮书

主机审计与监控系统V1.5技术白皮书北京博睿勤技术发展有限公司BeijingBringTechnologyDevelopmentCo.,Ltd和目刑录TOC\o"1-3"\h\z抵一拉败系统简介处把1真1.1着系统概述也哭1进1.2井系统结构捐考1错二盯裳主要功能斩折3甚2.1非概述中惧3掩2.2波控制功能蜘尸3婚俯园硬件资源控样制员尺3烤狠款软件资源控唉制鼠告4隙封放移动存储设廊备控制葡插4翼惊IP越与佛MAC早地址绑定共促4马2.3央监控功能饥课4部暮赴进程监控史散5鬼松年服务监控堤袄5泡桥秩硬件操作监顶控趋筝5久飘改文件系统监颠控司轿5晴浑灶打印机监控孟合5爷悄瞒非法外联监我控滋咳5芝痕节计算机用户捷账号监控善碰6立2.4吨审计功能摩极6闭酒腊文件操作审呼计掀态6甘棵权外挂设备操勇作审计府雨6寄它脏非法外联审卫计模搭6虑乒IP退地址更改审电计拢弟7缴献述服务、进程慎审计惠标7腔2.5璃系统管理功野能析着7秋局师代理状态监犁控稳兽7幻跌朋安全策略管炸理底幕7描咱夫主机监控代汁理升级管理方趁7牧绿前计算机注册喊管理乡膀8哲洋寸实时报警冷碎8饮白蒜历史信息查岭询按狐8鲁藏牺统计与报表备野8悟2.6扶其它辅助功脂能肉志8稼蛋弟资产管理灰船8厅愈葬补丁分发涨每8矩王系操作系统日妻志收集份抄9贯三赛成主要特色禽拘10睬3.1胶系统部署方盲式灵活、安葡装方便通巡10崖3.2娃控制、监控漠与审计结合瓶，全方位防景止泄密宁梳10称3.3敬高性能、高偶可靠性当光10未3.4潮主机代理安哥装卸载方便紫存10茅3.5艘监控模块可茅动态加载与从卸载客允11肚3.6怎自动升级苦溪11忠3.7胆灵活的分级歪管理架构亭志11仔3.8屑完善的自保稼护机制肺茂11蛾3.9在丰富的报表座、报表类型氧灵活多样抹爸11大3.10远高兼容性祖援11做3.11造系统通信安否全性嫂吗12煌3.12援多方位的主毫机资源信息恢管理功能格摇12堆四爱钢系统主要性闲能参数泊青13榴五焰惭系统配置要间求询坏14堆一系统简路介旗1.1系混统概述尽博睿勤公司溜《主机审计芳与监控系统嫂V1.5》淡是北京博睿律勤技术发展雅有限公司根摄据安全计算库机通常出现货的安全情况考，独立研发钞的扣一款专门针果对安全计算统机系统进行叨控制、监控妈和审计的安泻全产品。掩该系统对主弓机的安全防恩护根据保密滨防护分成事恒前、事中和榴事后三个步录骤基本原理港，采用了三轮大手段：控辽制、监控、伤审计,统筹嗽考虑三个环访节中可能出穿现的各信息戒泄密途径，料对计算机的松软硬件资源色、文件系统颗进行集中的嘴监控与管理貌。同时，为帖了加强涉密膏计算机的管拣理，系统内秃置了注册管箩理功能，对耳计算机的I骄P地址、部尽门等信息进逃行集中管理吗，实现对计招算机的实时墙跟踪和控制功。游1.2系笑统结构午涉密计算机似审计与监控赢系统.采用照B/S设计海架构，系统菊架构如图档1-2-1狡所示。从图盐中可以看出桐，系统由焦三部分锹组成：控制榨台，主机监拾控代理、后铸台数据库。杆其中控制台异管理采用B严/S模式，土监控代理与触控制台之间梳的通讯采用伯C/S模式铃。调控制台负责明设置监控代菌理的安全策籍略、查看监玩控代理的活驰动状态、接谜受监控代理站上传的报警模事件并记入纽后台数据库夹以及对历史纽审计数据的捷查询以及报歌表等。控制笛台主要采用果了JAVA肥技术和抚WebS夹ervic岭e乓技术。浸主机监控代肠理负责按照捧控制台制定敌的安全策略更完成对主机逆软硬件资源禾、文件系统路等的使用控短制、监控和刃审计功能。酬将报警信息总上传到控制恢台。监控代扭理按照模块挺化的设计思絮想，每个功断能都是一个区独立的模块拘，且各功能马模块可按控兔制台的策略潜动态加载或范移除。这使峰得监控代理缠的功能升级织非常方便。涂后台数据库殊是提供数据梳信息存储和膝数据信息交建换的平台。嗓本系统可根派据管理的主枯机数量分别彩选择Ora秆cle、S智QLSe译rver、跟MySQ丧L等。数据骨库主要存储善报警和审计督数据。花图汁1-2-1萄博睿勤主机鉴审计与监控宏系统体系架捉构补二枣主要功能筋2.1概字述浆本系统通过屋主机监控代酬理实现计算勒机的控制、愧监控与审计论。不论计算音机是否联网纺、登陆用户双是否有超级算权限，都能诊够有效控制收计算机至相关资源的邻使用。饱本系统主要境包括控制功朋能、监控功至能、审计功若能和系统管左理策功能四大类携。反控制功能包吐括计算机硬蚊件资源控制趁、软件资源膝控制、移动闸存储设备使肥用控制、I气P与MAC框地址绑定等端。律监控功能包拴括服务监控讯、进程监控牌、硬件操作缺监控、文件优系统监控、总打印机监控芳、非法外联举监控、计算咳机用户账号据监控等。舌审计功能包及括文件操作竹审计、外挂完设备操作审惰计、非法外两联审计、I清P地址更改蛇审计、服务膝与进程审计屠等。正系统管理功庆能包括系统瓶用户管理、菠主机监控代础理状态监控谜、安全策略转管理、主机宰监控代理升恒级管理、计体算机注册管债理、实时报弄警、历史信路息查询、统慎计与报表等赔。点另外，系统床还包括其它垃一些辅助功衔能，例如蔽资产管理、弟补丁分发、拿操作系统日用志收集。刘2.2控遥制功能押涉密计算机玉审计与监控蔽系统的控制勒功能是指对维安装主机监丢控代理的计可算机上的各滚种硬件资源境、软件资源开的使用等用诸户行为进行晋控制，使得愁非法用户或腥未授权用户存的行为得到挖有效控制，胃从而达到保芒护主机系统自机密信息不料被非法盗取茂或意外泄漏倾的目的。贞难硬件资源洪控制当本系统能够床管理控制（抗使用或禁用保）的硬件设触备包括所有貌的计算机外魔挂设备。这区些外挂设备穗包括：US经B设备、串叛口、并口、尊RAM盘、忧软驱、光驱盯、刻录机、与红外设备等技。榜一旦控制中天心设定的策薪略不允许使喝用某个设备君，即使本机圣超级用户也篮无法使用该辜设备。这种亮控制功能和创系统内核进浙行了结合，广达到了强制侄控制的目的罢，即被禁用细的设备无法贴使用，即便证超级管理员逮也无法启用结该设备。涨另外，系统衣还可控制新嘴添加的外挂蔽硬件设备。警只要控制台绢的策略不允同许使用任何忠新添加的设办备，计算机屡上的新加设纪备便不可使尝用。喜沸软件资源室控制效软件资源的严控制主要是逢指对用户可铁使用的应用崭软件进行控安制即对已安辰装的应用软泰件的使用进律行控制。畏对于已经安嗽装的应用软亚件，系统可辅以采用黑名聚单的形式，及禁止用户运流行黑名单上千的应用程序宽。漏锐移动存储妙设备控制葵系统可对移耕动存储设备廊的使用进行秤控制，包括弄U盘、移动和硬盘、软盘篮。禁止移动饼设备的使用省，当禁用移长动设备后，树用户无法向乘移动设备上祸拷贝任何文丧件，也无法旗访问移动设检备上的文件笼。衡富IP与M纯AC地址绑驴定糊系统可禁止张用户自行修链改主机的I灿P地址，这互主要通过I吐P与MAC企地址绑定来守实现。如果危计算机采用躁了固定IP踩地址管理方肆式，系统可际将IP和M督AC地址绑雄定，如何试曾图改变IP啊地址的企图两都将无效。决这为计算机但的管理提供隔了方便。也批有效防止了甲用户通过私袍自更改计算香机IP地址齿的方式，进郑行非法操作纪。至2.3泰监控功能水系统的监控确功能主要是课对计算机的纺运行状态和畅用户行为进疑行实时监视伯，并对出现酬的违规行为禽或非法行为依采取必要的趁控制措施。粒通过系统监茅控功能，管技理人员能够寻及时发现被足监控计算机洁可能的泄密丘行为，也能絮够发现一些株正在危害系启统安全的特狭殊行为，并僵可自动采取潮控制措施阻躁止泄密行为仿的发生。坦秀进程监控品进程监控是始指对被监控疮计算机上正穷在运行的进税程进行实时嘱监视，并根爆据进程黑名管单对进程进轻行控制。如碌果某个正在大运行的进程您被加入黑名挽单，主机监冷控代理将立雹即杀死该进席程。其它位来于黑名单中飞的未运行进式程则永远不弃可运行，除邮非控制台将葱该进程从黑禁名单中移除形。阻闪服务监控疏服务监控是拜指对被监控算计算机上正室在运行的服沉务进行实时穿监视，并根胜据服务黑名协单对服务进皇行控制。如表果某个已经他启动的服务摔被加入黑名霸单，主机监寄控代理将立芬即停用该服效务。其它位近于黑名单中手的未启动服哑务则永远无多法启动，除迟非控制台将掠该服务从黑锈名单中移除坛。归敞硬件操作兽监控离本功能主要购监视用户对药外挂硬件设恒备的启用和锈禁用等操作梦，并对用户枝操作进行实娇时报警。例坏如，如果安缠全策略不允膨许用户启用吐某个外围设即备，当用户驻试图启用这勒个设备时系厅统便会报警垫。由僚文件系统笨监控苹该功能可针岸对被监控的狠计算机制定改文件监控策更略，对用户槽的文件操作批进行监控，患例如创建文傲件，更改文协件名，删除瑞文件等。系骄统能够识别叨创建或拷贝惯的文件是位竟于移动硬盘筒还是固定介喊质。监控策撑略包括文件头类型、文件灯名等。可使歉用通配符摇“荡*喷”樱，还“烈?店”采。这样就可绕针对文件名寒中包含的涉拢密关键字，沙监控可能的斑用户泄密操筒作。通过将滴用户操作事嗽件写入数据股库，还可为辉事后泄密责段任的追查提碑供依据。意射打印机监扯控脚打印机监控绣是指对被监书控计算机的羽文件打印操礼作进行监控破，只要发现隔打印任务，忽立即向控制掩台发送报警因信息。报警丙信息包括文你档名、所有屡者、当前打宝印状态等。赤可监控的打撒印机包括本泽地打印机、纹共享打印机联和网络打印笛机。混累非法外联皆监控巾非法外联是姑指未授权用塑户通过各种浓途径访问国含际互联网的伐行为。该功沫能可根据设崭定的策略允周许或者禁止结用户访问互洞联网。可以骆禁止的互联渐网访问方式输包括局域网万上网、AD吓SL、MO龄DEM拨号锅、无线上网抱、以及通过追红外线和蓝井牙设备上网苏等。系统一扶旦发现用户耕计算机连通得了互联网，养可立即禁止白网络连接。间该功能突破烛了传统的拨寸号上网连接旅控制，完全妄杜绝了非法陪上网行为。克疼计算机用牙户账号监控秀该功能主要蜂对计算机用贼户账号的更赶改情况进行笋监控，包括充增加、删除幼、改名、修限改属性等。诵一旦发现计伞算机用户账骆号有改动，趁立即向控制找台发送报警张信息。恶2.4审锐计功能至审计功能主握要是针对系征统监控所涉学及的内容进匠行记录，并异上传到控制聋台保存。如挑果被监控计爬算机处于离涌线状态，主须机监控代理令仍然可记录赖对于用户在翼离线状态下扭的行为，主椒机监控代理课仍然进行记灯录，加密后乱保存在客户腐端。当该机罪器连接到内漏部网上后，笔这些记录可只继续传输到烟控制台服务辽器，并由控于制台写入后富台数据库中砖。么冶文件操作蛙审计否文件操作审堆计主要对用善户进行的各党种文件操作扮进行审计，晋如创建、读迷取、删除、巨修改等。通会过该功能可摩实现对特定青文件的跟踪猎审计。草盯外挂设备灾操作审计求该功能主要衡对用户企图链启用或禁用至计算机外挂飞设备的操作观进行审计。回通过功能可寇对用户使用棵外挂设备的清企图进行记荷录，为日后饰的责任追查盲提供依据。跌裕非法外联晚审计络在系统设置命了禁止非法糕外联安全策膝略情况下（韵即禁止用户塞计算机连接威互联网），维该功能可对陡用户连接互孔联网的操作沃进行审计、饺审计内容包构括非法外联黎类型（拨号计、ADSL傍、局域网等虏）、事件发柄生时间、拨吴号号码、接浙入网关和D叶NS等。伶俭IP地址尺更改审计涉在控制台设仪置地址绑定耍策略（MA岔C地址与I炉P地址绑定俯）后，如果板用户擅自修晋改IP地址处，系统会生惑成警报信息风告知控制台速，并将用户恩试图进行修车改IP地址随的操作记录贸下来，记录垄信息包括原屋IP地址、芽MAC地址不、更改后的增IP地址以奴及更改时间莲等。粱堵服务、进秀程审计亲服务和进程忌审计主要是欺针对运行代杀理端的机器殖上的服务和廊进程的变化尤进行记录。鉴当位于服务连或进程黑名遣单中的服务壁或进程启动则时，系统将天记录该服务丽和进程。记要录内容包括脖服务名、进肠程名、启动由时间等。鼓2.5系歇统管理功能伐刻碑代理状态必监控萝该功能能够市对安装的主笋机监控代理催的运行状态劲进行监控，崭可实时监控蓬主机代理的碧当前状态，去包括活动、珍未活动、异荷常、未安装暑、安装后被诉卸载等情况惑。通过代理轧状态监控，轻管理员可识拉别异常代理顷，也可对用菜户非法卸载威或破坏代理钥的情况进行遇监控。一旦劳发现异常，浴可通过控制谱台向管理员父报警。匆西安全策略裂管理脸安全策略管上理是指对各燥主机监控代斥理的安全策顶略进行统一注管理，包括掉设置、查看交、修改等。葱策略分为主昏机策略和组污策略，主机蜡策略可自动秆继承组策略社。通过组策宝可实现安全披策略的群发浅，从而为用默户提供高效仓率的策略配锅置方案。为系统可对策率略进行集中勒查看，这大口大方便了系妇统管理员对惠主机策略的型监控和管理荷。聋它主机监控朴代理升级管手理洒该功能可实叶现主机监控疫代理的自动锯升级。升级饺对用户本身坛是透明的，促用户端感觉键不到任何异柱常，且升级展无须重新启适动计算机。冻系统由控制室台对代理升较级模块进行苦统一管理。证虾计算机注航册管理菌计算机注册叶管理是指对暑内网的计算苹机进行统一盯的注册，注绢册信息包括疼主机IP地盲址、MAC欺地址、拥有伴者、所在部秆门、房间号度、联系电话沫等。通过注棵册实现内网辆计算机的统川一管理。校革实时报警热系统接受来加自各主机监伍控代理的报鼻警信息，一域旦有报警信誉息达到中央锹控制台，系秆统会立即报严警，通过可扩视化报警显洒示，为管理隶员采取进一尊步的防范措厌施提供参考此。浅扛历史信息混查询偏历史信息查错询是指对系私统存储的历纪史审计数据循进行查询，犹查询可通过做各种条件的亡组合进行，杂方便管理员占对特定审计算信息的检索榴。狸普统计与报帽表慰系统还提供胖历史审计信美息的统计和欺报表功能。能管理员可按娱照各种模板索实现历史日袜记的自动统艳计和报表（咽日报、周报是、月报等）令，管理员还咏可自行定义挣统计和报表因条件，对特壮定信息进行宽统计并生成爷报表。报表索支持htm砍l、doc欧、exce炭l、pdf撑等格式。岁2.6其加它辅助功能式愿崇资产管理原该辅助功能剖可为系统使或用单位提供喂简单的资产躬管理。系统海可自动收集脖计算机各种膀软硬件资源惧信息、包括秀安装的各种更应用程序、洗CPU、内这存、硬盘等杆，并可对硬胸件的改动进扰行跟踪和报社警。该功能摸可为企业的饥资产清查、欢统计和管理拜提供一定的醒帮助。分灾补丁分发疯系统提供补城丁分发功能至。管理员可忍将需要分发贯的各种操作精系统补丁、妥应用系统补壮丁以及其它助一些辅助工作具等统一部助署到控制台害，以计算机纤或组的方式断向各计算机柿下发。计算毒机会自动提齿示用户有补芹丁程序需要将安装，经计挂算机使用者让确认后即可火安装补丁程芒序。助莫操作系统欺日志收集寸通过该功能皮、主机监控期代理可自动宇收集操作系跑统日志，并器将日志上传伟到控制台存阵储。为系统舍管理员诊断况和检查各计供算机的故障到以及安全情怎况提供帮助殃。句三主要特疑色肚3.1系祖统部署方式哀灵活、安装惹方便叹本系统采用厘控制台和代腔理分离的设厘计方式，代生理的安装可失以通过控制献台统一进行骑，大大简化犹了系统的安墓装。控制台范可以主动从染监控代理提探取数据，也嫌可以由监控螺代理主动向乒控制台发送啄数据，这使可得主机代理般和控制台的径部署可以满饲足复杂网络哪拓扑。番主机监控代秋理的安装支繁持两种方式垫：本地安装沙和域安装。才3.2控读制、监控与反审计结合，质全方位防止组泄密特该系统将主脚机控制、监毁控和审计功耻能完美地集疾成到一起，精共同完成全让方位的主机剂防护。审计短可对主机的衔活动进行记方录作为事后著查询依据；川监控可以实甘时发现主机助的异常活动裕和入侵事件歌，为事中防蒜护；控制可伴以禁止某些泛设备（如网吩络设备和存扶储设备）被扭使用，为事捏前防护。三尾者完美结合悉，完成主机民事前、事中右和事后三个颈环节的全方纳位防护任务劳。浊3.3高天性能、高可想靠性壮中央控制台颜可以同时监罗控管理10鬼00台以上胜的主机，槽在同时管理赞1000台贝主机的情况纯下，能够及兴时处理各主糖机监控代理壶传送的报警协信息、策略妄请求、状态蠢更新等。并慌能保证控制岗台稳定可靠晃地运行。主触机代理对系硬统资源的占岭用非常低，惧CPU占用基率<3%，饶对用户的计既算机使用影半响甚微。控3.4主机船代理安装卸叹载方便牧管理人员可谎以通过本地减安装和域安近装等方式为服有关客户端晕PC安装代修理引擎。抽3.5监控娇模块可动态抬加载与卸载毙主机监控代桂理采取模块分化开发技术蛮，各个功能改模块可根据恢控制台最新障的安全策略于实现动态加盆载与卸载，密且在此过程必中，主机代骄理仍然正常贺工作，用户托完全感觉不份到主机代理粱模块的更改粉。回3.6公自动升级甚本系统的主酒机代理可根兰据控制台的驰指令自动进未行升级，升冻级过程不影损响正常的监船控活动。迫3.7巷灵活的分级康管理架构鹊本系统采用赌分级管理的撑体系结构设肢计，增加了雁系统部署和龙管理的灵活兔性，极大地糠方便了大型桨跨地域企业酒的主机监控运与管理。衔3.8荷完善的自保刷护机制刮主机代理采深用多种系统渣内核技术，亦保证了自身抽不可卸载、伏不可停止。帆即便在安全抢模式下，自绝保护机制仍尿能保证自身黎不被恶意破葵坏。群3.9马丰富的报表踪、报表类型慌灵活多样孤系统具有丰码富的日志信救息，并可对回日志进行方碍便的查询和斩生成报表。闪报表方式灵运活，类型多最样，支持w餐ord、e珍xcel、驴pdf、h福tml等各我种常见的报紫表格式，可臣满足用户和陆网络管理人侧员的报表要民求。虎3.10尖高兼容性蔬系统在多种昆应用环境下围的兼容性测耳试表明，本繁系统的兼容计性非常好，送目前兼容的裹应用包括各巷种办公软件扛、设计软件咳、管理软件萄、安全