主机监控与审计专业系统设计专项方案.doc

主机监控和审计系统 设计方案 北京市爱威电子技术企业 5月 目录 TOC \o 1-3 \h \z \u 1.系统介绍 1 2.系统总体结构 2 2.1系统架构及基础工作原理 2 2.2系统功效结构 3 3.系统功效 4 3.1代理端功效 4 3.1.1数据采集功效 4 3.1.2控制功效 5 3.1.3其它功效 6 3.2控制管理中心功效 7 3.2.1系统管理功效 7 3.2.2计算机软硬件资产管理功效 9 3.2.3监视管理功效 10 3.2.4策略管理功效 11 3.2.5文件/补丁程序管理功效 13 3.2.6审计管理功效 14 3.2.7报警管理功效 15 3.2.8日志管理功效 16 3.3用户浏览功效 16 4系统特点 17 4.1 CPU占用少 17 4.2网络资源占用少 18 4.3非法内联监控效率高 19 1.系统介绍 伴随网络信息化高速推进，人类社会行为和活动已经和网络系统紧密联络起来。网络信息系统将人类传统工作、管理模式“映射”到网络环境中，极大地提升了研究、工作和管理效率。大家对于内部网络系统，曾经假定 “内部环境是安全”，但自从网络系统采取了开放互连TCP/IP协议后，这种假设条件在实际上已经不能完全成立了。各类单位（尤其是涉密单位）为了确保职员能经过网络（包含互联网）共享信息同时，确保不会因为使用网络而有意或无意泄漏敏感信息，全部采取了对应行政手段对本单位内部局域网使用和操作规范进行强制性、非技术性管理，这些管理方法在特定时期和特定环境下是可用，但仅依靠非技术性管理却是有悖于信息化初衷，是不利于信息化进程发展。 主机监控和审计系统目标是：根据国家标准和保密局标准，结合长峰集团实际情况，研制开发一套完善、可连续扩展安全保密信息审计系统。 该系统实现，对于在信息化高速发展同时，严格确保涉密信息系统及其审计系统特殊性、安全性、可靠性、可控性、立即性、可扩展性有着主动促进作用。 2.系统总体结构 2.1系统架构及基础工作原理 系统结构图 从统一管理角度出发，主机监控和审计系统采取多极构架组成（图），其基础工作原理描述以下： 第一层为计算机端机，经过安装主机监控和审计系统代理端软件，依据CMC对该端机审计策略要求，对硬件设备使用经行控制，对用户操作行为进行数据采集，并将采集到各类数据上传到CMC。在系统管理员授权情况下可经过IE对数据进行查询。 第二层为各子、分企业CMC、UB管理层，负责对各代理端进行管理、数据搜集及数据统计、查询、分析。 第三层为集团CMC、UB管理层，可对下属各子、分企业审计策略、数据进行统计、查询、分析。各单位CMC把严重报警提交给第三层CMC，第三层CMC推行监督报警处理情况职责。 2.2系统功效结构 主机监控和审计系统是对计算机及网络多种事件及行为实施信息采集、监测、控制和审计应用系统。 用户端关键由BA、PA两部分组成： BA（Base Agent）基础代理：指在计算机中驻留基础代理模块，负责基础信息采集及发送、存活状态信息发送、其它代理加载和卸载等功效实现软件。 PA（Policy Agent）策略代理：指根据计算机实际情况制订策略生成代理模块，它经过基础代理进行加载和卸载，并和基础代理进行安全认证，确保代理端软件本身安全性。 服务器端即CMC（Control and Manager Center）控制管理中心，是安装于中心控制台软件，它搜集各代剪发送采集信息，依据报警策略产生报警，并推荐响应控制提议，管理各个计算机（组）策略并生成策略代理，产生审计报表等。 3.系统功效 3.1代理端功效 代理端软件指安装于各端机上主机监控和审计系统，由BA和PA模块组成。其关键功效是依据CMC对端机审计要求和控制要求，对用户操作行为进行审计，对端机软、硬件使用进行控制，并对违规行为进行报警。 3.1.1数据采集功效 代理端数据采集是指对端机环境信息、软、硬信息及操作、使用行为进行数据采集，具体包含以下几方面： 基础信息数据采集：采集计算机操作系统基础配置数据，其中包含：用户名、主机名、域名、网络名、操作系统、MAC地址、CPU型号、IE版本号等。 软件信息数据采集：采集该系统已经安装软件信息。 设备信息数据采集：采集该计算机设备配置情况，包含：DVD/CD-ROM驱动器、IDE ATA/ATAPI控制器、处理器、磁盘驱动器、端口、键盘、软盘控制器、软盘驱动器、鼠标和其它指针设备、通用串行总线控制器、网络适配器、显示卡等。 日志信息数据采集：对系统生成日志信息进行数据采集，其中包含：应用程序错误统计、安全审核统计、系统错误统计。 磁盘文件操作数据采