主机监控基本技术.docVIP

概述 主机监控审计是指：利用UniAccess此类监控管理系统，监控计算机各个终端是否未经允许随意安装计算机应用程序，导致网络感染病毒和木马、引发知识产权泄露、上网行为混乱、访问非法网站行为导致网络泄密等行为事件等。其宗旨是为企业构建完善的授权管理、资产管理保护体系。 从统一管理的角度出发，主机监控与审计系统采用多极构架组成，其基本工作原理描述如下： 第一层为计算机端机，通过安装的主机监控与审计系统的代理端软件，根据CMC对该端机的审计策略要求，对硬件设备的使用经行控制，对用户的操作行为进行数据采集，并将采集到的各类数据上传到CMC。在系统管理员授权的情况下可通过IE对数据进行查询。 第二层为各子、分公司的CMC、UB管理层，负责对各代理端进行管理、数据收集及数据的统计、查询、分析。 第三层为集团CMC、UB管理层，可对下属各子、分公司的审计策略、数据进行统计、查询、分析。各单位CMC把严重报警提交给第三层的CMC，第三层CMC履行监督报警的处理情况的职责。 主机监控与审计系统是对计算机及网络的各种事件及行为实行信息采集、监测、控制和审计的应用系统。 客户端主要由BA、PA两部分组成： 2 BA（Base Agent）基本代理：指在计算机中驻留的基本代理模块，负责基本信息的采集及发送、存活状态信息的发送、其他代理的加载和卸载等功能实现的软件。 2 PA（Policy Agent）策略代理：指按照计算机实际情况制定的策略生成的代理模块，它通过基本代理进行加载和卸载，并和基本代理进行安全认证，保证代理端软件自身安全性。 服务器端即CMC（Control and Manager Center）控制管理中心，是安装于中心控制台的软件，它收集各代理发送的采集信息，根据报警策略产生报警，并推荐响应控制建议，管理各个计算机（组）策略并生成策略代理，产生审计报表等。 代理端软件指安装于各端机上的主机监控与审计系统，由BA和PA模块组成。其主要功能是根据CMC对端机审计要求和控制要求，对用户的操作行为进行审计，对端机的软、硬件使用进行控制，并对违规行为进行报警。 代理端数据采集是指对端机的环境信息、软、硬信息及操作、使用行为进行数据采集，具体包括以下几方面： 1) 基本信息数据采集：采集计算机操作系统的基础配置数据，其中包括：用户名、主机名、域名、网络名、操作系统、MAC地址、CPU型号、IE版本号等。 2) 软件信息数据采集：采集该系统已经安装的软件信息。 3) 设备信息数据采集：采集该计算机的设备配置情况，包括：DVD/CD-ROM驱动器、IDE ATA/ATAPI控制器、处理器、磁盘驱动器、端口、键盘、软盘控制器、软盘驱动器、鼠标和其它指针设备、通用串行总线控制器、网络适配器、显示卡等。 4) 日志信息数据采集：对系统生成的日志信息进行数据采集，其中包括：应用程序错误记录、安全审核记录、系统错误记录。 5) 磁盘文件操作数据采集：对用户对文件的增、删、改、重命名进行审计，同时对计算机IP地址、操作时间、文件操作类型、文件路径、文件名等数据进行提取、保存。 6) 注册表操作数据采集：对注册表项的“增、删、改”操作行为进行数据采集，采集的基本信息包括：计算机名（IP地址）、用户名、程序名、键名、键值、操作时间等信息。 7) 应用/进程信息数据采集：对系统的应用程序和进程的启动及运行情况进行数据采集，包括：计算机名（IP地址）、用户名、进程映像名称、进程ID、程序名称等。 8) 打印信息数据采集：对计算机进行的打印信息进行采集，采集的基本信息包括：计算机名（IP地址）、用户名、打印机名、打印时间、打印文档名、打印页数、打印份数等信息。 9) 网络行为数据采集：对用户的上网行为进行数据采集，采集的基本信息包括：计算机名（IP地址）、用户名、上网时间、网址名等信息。 10) 非法外联行为数据采集：对CMC允许以外的外联行为定义为非法外联行为，此操作威胁到涉密文件的安全，因此要产生报警信息。 11) 非法内联行为数据采集：进入内网的计算机是经过严格审批手续的，对没有进行审批就进入内网的计算机认为是非法内联行为，对计算机的非法内联行为的数据采集包括：计算机名（IP地址）、用户名、时间等信息。 为了保证计算机上的数据安全，防止泄密事件的发生，部署联软终端安全管理系统，禁止用户在未经许可的情况下私自将涉密文件拷出，禁止进入不安全的网络，防止被他人恶意攻击，窃取涉密文件。因此在对文件进行审计的同时，要对文件的出口加以控制。为了保证数据的有效性，对系统的关键数据的修改权利也加以控制。 控制功能包括两部分设备使用的控制和操作系统参数设置的控制。 1）设备包括本机已有设备和外围设备两部分，控制主要指对设备的可用性进行控制，分为启用和禁用两种状态，设备启用时用户可以