主机监控与审计系统设计方案北京市爱威电子技术公司2010年5月目录1.系统简介随着网络信息化的高速推进，人类社会的行为与活动已经和网络系统紧密联系起来。

网络信息系统将人类传统的工作、管理模式“映射”到网络环境中，极大地提高了研究、工作和管理效率。

人们对于内部网络系统，曾经假定“内部环境是安全的”，但自从网络系统采用了开放互连的TCP/IP协议后，这种假设条件在事实上已经不能完全成立了。

各类单位（尤其是涉密单位）为了保证员工能通过网络（包括互联网）共享信息的同时，确保不会因为使用网络而有意或无意的泄漏敏感信息，都采取了相应的行政手段对本单位内部局域网的使用和操作规范进行强制性的、非技术性的管理，这些管理措施在特定时期和特定环境下是可用的，但仅依靠非技术性管理却是有悖于信息化初衷的，是不利于信息化进程发展的。

主机监控与审计系统的目的是：按照国家标准和保密局标准，结合长峰集团的实际情况，研制开发一套完善的、可持续扩展的安全保密信息审计系统。

该系统的实现，对于在信息化高速发展的同时，严格保证涉密信息系统及其审计系统的特殊性、安全性、可靠性、可控性、及时性、可扩展性有着积极的促进作用。

2.系统总体结构2.1系统架构及基本工作原理系统结构图从统一管理的角度出发，主机监控与审计系统采用多极构架组成（如图），其基本工作原理描述如下：第一层为计算机端机，通过安装的主机监控与审计系统的代理端软件，根据CMC对该端机的审计策略要求，对硬件设备的使用经行控制，对用户的操作行为进行数据采集，并将采集到的各类数据上传到CMC。

在系统管理员授权的情况下可通过IE对数据进行查询。

第二层为各子、分公司的CMC、UB管理层，负责对各代理端进行管理、数据收集及数据的统计、查询、分析。

第三层为集团CMC、UB管理层，可对下属各子、分公司的审计策略、数据进行统计、查询、分析。

各单位CMC把严重报警提交给第三层的CMC，第三层CMC 履行监督报警的处理情况的职责。

2.2系统功能结构主机监控与审计系统是对计算机及网络的各种事件及行为实行信息采集、监测、控制和审计的应用系统。

客户端主要由BA、PA两部分组成：✧BA（Base Agent）基本代理：指在计算机中驻留的基本代理模块，负责基本信息的采集及发送、存活状态信息的发送、其他代理的加载和卸载等功能实现的软件。

✧PA（Policy Agent）策略代理：指按照计算机实际情况制定的策略生成的代理模块，它通过基本代理进行加载和卸载，并和基本代理进行安全认证，保证代理端软件自身安全性。

服务器端即CMC（Control and Manager Center）控制管理中心，是安装于中心控制台的软件，它收集各代理发送的采集信息，根据报警策略产生报警，并推荐响应控制建议，管理各个计算机（组）策略并生成策略代理，产生审计报表等。

3.系统功能3.1代理端功能代理端软件指安装于各端机上的主机监控与审计系统，由BA和PA模块组成。

其主要功能是根据CMC对端机审计要求和控制要求，对用户的操作行为进行审计，对端机的软、硬件使用进行控制，并对违规行为进行报警。

3.1.1数据采集功能代理端数据采集是指对端机的环境信息、软、硬信息及操作、使用行为进行数据采集，具体包括以下几方面：1)基本信息数据采集：采集计算机操作系统的基础配置数据，其中包括：用户名、主机名、域名、网络名、操作系统、MAC地址、CPU型号、IE版本号等。

2)软件信息数据采集：采集该系统已经安装的软件信息。

3)设备信息数据采集：采集该计算机的设备配置情况，包括：DVD/CD-ROM驱动器、IDE ATA/ATAPI控制器、处理器、磁盘驱动器、端口、键盘、软盘控制器、软盘驱动器、鼠标和其它指针设备、通用串行总线控制器、网络适配器、显示卡等。

4)日志信息数据采集：对系统生成的日志信息进行数据采集，其中包括：应用程序错误记录、安全审核记录、系统错误记录。

5)磁盘文件操作数据采集：对用户对文件的增、删、改、重命名进行审计，同时对计算机IP地址、操作时间、文件操作类型、文件路径、文件名等数据进行提取、保存。

6)注册表操作数据采集：对注册表项的“增、删、改”操作行为进行数据采集，采集的基本信息包括：计算机名（IP地址）、用户名、程序名、键名、键值、操作时间等信息。

7)应用/进程信息数据采集：对系统的应用程序和进程的启动及运行情况进行数据采集，包括：计算机名（IP地址）、用户名、进程映像名称、进程ID、程序名称等。

8)打印信息数据采集：对计算机进行的打印信息进行采集，采集的基本信息包括：计算机名（IP地址）、用户名、打印机名、打印时间、打印文档名、打印页数、打印份数等信息。

9)网络行为数据采集：对用户的上网行为进行数据采集，采集的基本信息包括：计算机名（IP地址）、用户名、上网时间、网址名等信息。

10)非法外联行为数据采集：对CMC允许以外的外联行为定义为非法外联行为，此操作威胁到涉密文件的安全，因此要产生报警信息，采集的基本信息包括：计算机名（IP地址）、用户名、上网时间、网址名等信息。

11)非法内联行为数据采集：进入内网的计算机是经过严格审批手续的，对没有进行审批就进入内网的计算机认为是非法内联行为，对计算机的非法内联行为的数据采集包括：计算机名（IP地址）、用户名、时间等信息。

3.1.2控制功能为了保证计算机上的数据安全，防止泄密事件的发生，要禁止用户在未经许可的情况下私自将涉密文件拷出，禁止进入不安全的网络，防止被他人恶意攻击，窃取涉密文件。

因此在对文件进行审计的同时，要对文件的出口加以控制。

为了保证数据的有效性，对系统的关键数据的修改权利也加以控制。

控制功能包括两部分设备使用的控制和操作系统参数设置的控制。

1）设备包括本机已有设备和外围设备两部分，控制主要指对设备的可用性进行控制，分为启用和禁用两种状态，设备启用时用户可以对设备正常使用，禁用时用户将无法使用该设备，如果用户采用其他技术手段改变了CMC对设备的控制属性，代理端检测到后将依据CMC对设备的使用权重新进行设置，并产生报警信息，通知CMC。

要进行控制的设备包括以下几方面：✧光驱✧软驱✧USB设备✧USB存储设备✧串、并口✧打印机✧拨号上网✧无线网卡上网✧网络共享服务2）操作系统部分功能使用的控制权✧IP/MAC地址的更改：为了保证数据的有效性，同时有效防止非法内联事件的发生，在未经审批、管理员授权的情况下禁止修改IP/MAC地址。

通过网络的文件、打印和命名管道共享：为了保证计算机上的数据安全，防止他人的恶意窃取，严禁共享功能。

3.1.3其它功能1)报警功能：代理端报警策略的设置及事件的报警级别由CMC负责管理，管理员根据不同端机的工作要求可设置不同报警策略，并下发到各端机。

代理端软件则根据本机的报警策略对违规事件产生相应的报警信息，并立即上传到控制台，通知管理员有违规事件发生。

2)自动升级功能：代理由BA基本代理和PA策略代理组成，BA运行于OS级，常驻内存，PA则动态加载。

当收到新版本PA后，BA动态卸载旧的PA，再加载新版本PA，这一切动作对用户透明，从而达到动态自动升级的目的，也无须管理人员在大规模实施后需要跑到每一个客户端去升级的大工作量行为。

3)自我防护功能：BA代理是一个短小强悍的监控程序，驻留在涉密计算机的内存中，体积非常小，隐蔽性强，一但驻留，除SCMCA-HT安全管理员外，将无法删除，因此，可确保监控功能的持续、正常执行。

同时，PA和BA互相监视，并隐蔽存储多副本于计算机中，当监视到对方依托文件不存在时，快速从副本处复制一个依托文件到安装目录。

CMC中心也存储涉密计算机的BA和PA，一旦发现有恶意攻击行为攻击BA或者PA，CMC将产生报警，由响应的管理制度来制止这种恶意攻击行为。

3.2控制管理中心功能CMC控制管理中心是该系统的核心，实现对所管辖计算机代理采集信息的统一管理、审计和报警功能，同时负责该系统本身的管理功能的实现，功能如下图所示：CMC功能示意图3.2.1系统管理功能系统功能主要完成系统本身的系统设置和维护功能，保证系统访问的用户安全性、系统登录和注销的合法性、系统配置的合理性、系统数据的安全备份与恢复、系统本身的操作日志记录的完整性。

1) 登录与注销管理员使用默认用户名和密码登录到CMC后，分别创建日志查看员和系统日志监督员，并赋予默认密码。

管理员、日志查看员和系统日志监督员分别使用自己的用户名和默认密码登录CMC，但是根据其权限显示不同的CMC界面。

所有用户在第一次使用默认密码登录后，CMC自动强制各用户更改默认密码为新密码。

所有用户空闲超过一定时间后，系统自动锁定，进入锁定界面。

2）用户及组管理系统用户管理是对系统本身的用户进行管理的工具。

系统用户管理支持多管理员角色，可区分超级管理员、管理员、日志查看员、系统日志监督员。

✧用户管理员具备创建下级用户的权限；✧管理员只具备系统进行配置、数据备份和恢复的权限，但是不具备下级管理员的权限具备。

✧日志查看员可以操作CMC查阅各代理采集信息、制定策略、进行控制等功能；✧系统日志监督员负责对超级管理员、管理员、日志查看员的行为日志进行查阅和监督。

如果用户需要，还可在4类角色中再细分级别。

4两种角色的组合使用由用户自己决定。

用户管理主要包括管理人员的帐号、口令管理、人员信息的增、删、改、查等操作。

3）参数配置管理员可以对系统本身的运行参数进行配置，包括：系统显示方式、系统等待时间、计算机安全扫描时间间隔等。

4）数据备份与恢复管理员可对数据进行备份和恢复，数据库中的数据超过数据保存最大容量之后或者超过数据最长保存时间之后，系统会强制管理员对数据作备份操作，备份数据存放于指定目录下，备份后数据库中的记录才可以删除，备份目录和记录的删除操作都会自动记录到系统日志中，由系统日志监督员进行监督。

所有数据不提供单条记录删除的功能。

系统万一出现崩溃，或者硬件原因造成了数据丢失，管理员可以把最近的一次备份数据恢复到系统中。

5）系统日志维护系统日志记录管理员对CMC的操作，主要包括：登录、退出、用户管理操作、部门管理操作、策略操作、控制操作等。

系统日志监督员可以对系统日志数据库表/记录进行备份/恢复等维护操作。

日志在备份后可以删除，不提供单条删除功能。

3.2.2计算机软硬件资产管理功能计算机资源是指单位内部的计算机，这些计算机是单位信息网络的重要组成部分，通常来说，某台计算机会有明确的任务、使用范围和使用人。

目前，并没有效的措施指定计算机的使用者，计算机资源的使用难以控制，从而造成一定的信息安全隐患，比如财务部的计算机就不能允许非财务人员使用等等。

另外，计算机资源是一个单位非常重要的资产，一般包括硬件资产和软件资产。