ahref=341主机服务器审计监控子系统

目录1.系统概述....................................................22.系统在网络信息安全管理中的作用..............................23.系统组成....................................................34.功能介绍....................................................34.1主机/服务器审计监控子系统...............................34.2网络审计监控子系统......................................54.3数据库审计监控子系统....................................54.4应用审计监控子系统......................................65.系统的安全性................................................65.1认证和传输方式..........................................65.2记录方式................................................65.3审计数据的完整性........................................65.4处理方式................................................66.运行环境....................................................76.1审计中心配置要求........................................76.2主机传感器配置要求......................................77.产品特点....................................................77.1完善的安全审计功能......................................77.2模块化设计..............................................77.3多级数据提取技术........................................77.4统一管理平台设计........................................7-1-8.技术特色....................................................88.1分布式..................................................88.2综合性..................................................88.3扩展性..................................................99.重大课题...................................................1010.典型案例..................................................1111.安全集成及售后服务能力....................................1312.公司资质..................................................141.系统概述汉邦信息安全综合强审计监控系统是一个能够监控、审查内部人员操作行为，保护内网主机、服务器、网络、数据库安全的管理工具，具有良好的可靠性和易用性。该产品可以广泛应用于电子党务、电子政务、电子商务、电子金融、数字化部队、武器装备科研生产单位、科研生产单位、传媒行业、大型企业、制造业等需要加强“内部人员”行为控制、加强责任认定和完善授权管理的部门和领域。2.系统在网络信息安全管理中的作用取证作用对内网公务人员和工作人员的泄密、违规操作、误操作、失密、窃密、篡改、删除、非法拨号等行为提供责任认定查处的依据。防范作用对光驱、软驱、USB口、打印机、无线、蓝牙、1394口、Modem、网络映射盘符驱动器等设备的使用进行授权。安全管理作用：安全管理模式经历了从“规章制度建设”到“三分技术、七分管理”再到目-2--3-前的“技管并重”，综合强审计系统实质上是“技管并重”管理中的重要一环，初步实现了运用技术手段解决信息安全管理中的问题。3.系统组成汉邦信息安全综合强审计系统采用分布式、模块化的设计思想，整个系统由软硬件组成，包括审计中心（软件）、主机传感器（软件）、网络引擎（硬件）。主机传感器主机传感器直接安装于被审计的主机/服务器上，对主机/服务器的日志、网络操作、文件操作、重要资源使用等进行监控与审计。网络引擎连接到网络中的数据汇聚点设备上（如：集线器、交换机等），它抓取网络中的数据包，并对抓到的数据包进行分析、匹配、统计，通过特定的协议规则，从而实现网络审计功能，并且将入侵的信息记录下来。审计中心审计中心提供图形化界面，方便用户使用。它是网络管理员操作审计系统的人机界面，通过它可以设置各种审计规则；接收数据采集器发送来的报警信息，查看具体的报警信息，浏览历史数据，生成各种报表等。4.功能介绍汉邦信息安全综合强审计监控系统分为主机/服务器审计监控子系统、网络审计监控子系统、数据库审计监控子系统、应用审计监控子系统。各系统的具体功能说明如下：4.1主机/服务器审计监控子系统主机/服务器审计监控采用主机传感器组件，安装于受控的主机、服务器系统中，通过对被审计主机、服务器资源和重要文件与信息的审计，起到审计和监控主机、服务器资源的作用。系统信息审计监控对系统的配置信息和运行情况进行审计，包括机器名、操作系统、网络配置、用户登录、进程情况、CPU和内存使用情况、硬盘容量等。-4-非U网单拨文系进打主盘法内外联监控通过IP地址、网络协议的控制以及对硬件设备、端口、双网卡的控制，阻止一切可能的非法手段连入内网或互联网并产生报警事件。盘监管系统络版：采用特有的控制方法、保证汉邦U盘在内网的使用可控、可查；可以基于工作职责的不同按工作组或部门分类，不同权限的U盘不能互用。机版：汉邦U盘结合身份认证技术，提高单机使用U盘的可控性；安全U盘划分出普通区和安全区，普通区方便使用，安全区不输入正确的密码或指纹无法打开。号审计监控通过设置拨号规则进行拨号控制管理，允许或禁止用户通过拨号连接外网。同时，记录任何允许和禁止的拨号事件。件审计监控能够根据文件的扩展名、文件名、路径名，对各类文件的写入、拷贝、删除、创建、读取、覆盖、移动或重命名进行审计记录，出现违规操作能及时报警。统日志审计能对主机/服务器上的系统日志、安全日志、应用日志进行统一收集，集中管理。程审计监控集中收集主机/服务器上的进程信息，能够手动将进程设置为合法进程或非法进程，一旦主机/服务器上出现非法进程时，能及时报警。印审计监控对主机的打印操作进行审计监控。允许或禁止打印行为，同时能实现打印内容回放。机IP审计监控允许或禁止被审计主机的IP地址修改行为，同时可以记录被审计主机IP地址的修改信息。符审计监控-5-通过设置规则，允许或禁止用户使用计算机的软驱、光驱、安全模式等。邮件审计监控、记录被审计主机上通过OUTLOOK、FOXMAIL进行收发邮件的行为。4.2网络审计监控子系统网络审计监控子系统将网络引擎（独立硬件设备）连接到网络中的数据汇聚设备上（如：集线器、交换机等），它抓取网络中的数据包，并对抓到的包进行分析、匹配、统计，通过特定的协议算法，从而实现入侵检测、协议审计等功能。网络入侵检测从网络中抓取数据包进行协议分析，从中分析入侵行为。同时记忆基于连接的网络数据包前后状态，发现入侵可疑企图即产生报警事件。MAC地址审计指定IP地址和MAC地址的对应关系，如果抓取到的数据包与此对应关系不符，则产生报警事件。流量审计对抓取的数据包进行归类统计，得到各种流量统计表或统计图。可以对某些地址的流量设定阀值，超过规定值时即产生报警事件。协议审计对应用协议的操作和内容进行分析，对有特殊内容或某些违规的操作产生报警事件，审计的协议类型包括：telnet、ftp、Http、Icmp、Snmp、Mail、Arp、Dns、Netbios等等非法计算机接入审计监控对通过非法途径接入网络的终端进行审计监控，并能及时阻断报警。4.3数据库审计监控子系统数据库审计监控子系统采用旁路技术对数据库的远程连接操作进行分析，从数据库访问操作入手，对抓到的数据包进行语法分析（支持采用SQL语法的数据库），对违规操作行为产生报警事件。4.4应用审计监控子系统采用代理方式对应用系统进行审计，结合审计日志进行应用系统审计数据分析。（需根据用户的实际情况进行二次开发）5.系统的安全性5.1认证和传输方式审计数据的传输采用一次性密码认证的帧传输方式，一帧包括帧头、内容和帧尾，对整个帧进行加密，并且增加了完整性校验。5.2记录方式各传感器启动时按最近的一次策略设置进行审计，如果与审计中心连接不成功，则审计数据加密后临时保存于本地，等与审计中心连接后这些信息再发往审计中心，同时本地信息删除；连接成功之后的日志事件信息直接发往审计中心。审计中心收到的日志事件信息存放于大型数据库中，采用专用的API接口对信息数据进行存取。对于保存于大型数据库中的审计数据都进行了加密处理，同时对大型数据库的访问增设密码，以禁止审计数据的非授权访问。5.3审计数据的完整性在向大型数据库写入数据时出现异常，例如数据库连接失败、数据库数据溢出等，则系统自动把加密后的审计数据临时保存于本地并报警，等数据库恢复后自动把保存于本地的数据写入数据库，本地数据删除。5.4处理方式主机传感器在目标主机安装成功后，没有专门的反安装软件将不能卸载，在每次启动系统时自动启动并进行审计监控。传感器从审计中心接收到审计策略后保存于本地，启动时按最近的策略进行审计监控。用户可以在审计中心对每一个传感器定制审计策略。传感器并不提供任何报警信息，它把报警信息传送到审计中心，由审计中心决定是否要蜂鸣、发送邮件等。除了实时的事件处理外，通过报表统计模块对所有的日志事件信息进行查询、统计、分析等。-6-6.运行环境6.1审计中心配置要求z处理器：奔腾IV以上z内存：256MB（建议512MB以上）z操作系统：WinNT/2000/2003serverz硬盘：80GB以上6.2主机传感器配置要求z处理器：奔腾II以上z内存：128MB及以上内存（RAM）z操作系统：WinNT/2000/XP/2003z硬盘:1G以上7.产品特点7.1完善的安全审计功能不仅可以收集到用户关心的多种审计数据，审计的结果也具有绝对的权威性，同时可以生成多种格式的报表。7.2模块化设计一旦系统安全管理员指定好安全策略并发布成功，各模块之间独立运行，整个系统运行效率非常高，同时也便于用户结合自身特点购买使用。7.3多级数据提取技术可以设置多个层次的安全审计中心，每层审计中心可以制定个性化的审计策略。7.4统一管理平台设计集成各子系统的控制模块，实现对各子系统的集中管理，向子系统下达各种规则。-7-8.技术特色8.1分布式汉邦综合强审计系统以实现实时分散处理和集中统一审计为目的，对跨网段、跨区域的大规模网络环境，集中设置审计策略和获取审计日志，分级管理，大大提高了网络安全运行系数。汉邦综合强审计系统分布式架构示意图，如下所示：8.2综合性该系统是集主机审计、网络审计、数据库审计、应用审计于一体的审计监控系统。汉邦综合强审计系统综合架构示意图，如下所示：-8-8.3扩展性汉邦综合强审计