漢邦信息安全綜合強審計系統(tǒng)是一套可以實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)資源進行全方位審計管理的綜合管理系統(tǒng)�,通過對網(wǎng)絡(luò)中的主機���、服務(wù)器��、網(wǎng)絡(luò)環(huán)境以及數(shù)據(jù)庫進行分散監(jiān)控��,并通過審計中心對整個系統(tǒng)的相關(guān)信息進行集中審計管理��。該系統(tǒng)可以全面體現(xiàn)系統(tǒng)內(nèi)各級管理層對系統(tǒng)資源的全局控制�、把握和調(diào)度能力。
一���、漢邦綜合強審計系統(tǒng)主要特點
1��、分布式:漢邦綜合強審計系統(tǒng)以實現(xiàn)實時分散處理和集中統(tǒng)一審計為目的�����,對于跨網(wǎng)段�、跨區(qū)域的大規(guī)模網(wǎng)絡(luò)環(huán)境����,集中設(shè)置審計策略和獲取審計日志,分級管理�����,大大提高了網(wǎng)絡(luò)運行效率���。
漢邦綜合強審計系統(tǒng)分布式架構(gòu)示意圖
2�、綜合性:該系統(tǒng)是集主機審計��、網(wǎng)絡(luò)審計��、數(shù)據(jù)庫審計����、應(yīng)用審計于一體的審計系統(tǒng)。
漢邦綜合強審計系統(tǒng)綜合性結(jié)構(gòu)示意圖
3�����、擴展性:漢邦綜合強審計系統(tǒng)不只有事后責(zé)任認定的審計功能����,還兼有絕大部分的授權(quán)功能。
4���、便捷性:漢邦綜合強審計系統(tǒng)的便捷性主要體現(xiàn)在以下幾點:
- 功能實現(xiàn)模塊化管理��;
- 中心實現(xiàn)域內(nèi)自動升級����;
- 報表提供了自定義檢索功能;
二�����、漢邦綜合強審計系統(tǒng)主要功能介紹
對系統(tǒng)的配置信息和運行情況進行審計�,包括主機機器名、網(wǎng)絡(luò)配置�����、用戶登錄���、進程情況�����、CPU和內(nèi)存使用情況����、硬盤容量等�,可以設(shè)置閾值,如果性能降底到閾值以下則產(chǎn)生報警事件�����。
對主機網(wǎng)絡(luò)實時信息的監(jiān)控、設(shè)置網(wǎng)絡(luò)規(guī)則和查詢網(wǎng)絡(luò)日志信息的功能����。記錄和監(jiān)控主機的網(wǎng)絡(luò)連接情況����,審計主機開啟的服務(wù),制定網(wǎng)絡(luò)連接規(guī)則��,允許或禁止指定的網(wǎng)絡(luò)連接�,對數(shù)據(jù)包內(nèi)容進行過濾,對非法的連接產(chǎn)生報警事件���。
通過設(shè)置撥號規(guī)則進行撥號控制管理����,實時對撥號信息進行監(jiān)控����,可以禁止或者允許撥號,也可以設(shè)定允許在某一時間段內(nèi)通過某一號碼訪問某一網(wǎng)址�����。
通過在客戶端對系統(tǒng)的文件操作進行驅(qū)動級審計與保護,對用戶指定的文件實行讀寫操作授權(quán)����,對重要的系統(tǒng)文件進行保護,非法的文件操作將產(chǎn)生報警事件�����。
設(shè)置進程為合法或非法后����,提供非法進程報警和報警信息查詢功能。
打印審計是對所有連接到審計中心的主機傳感器的打印信息審計���。審計的內(nèi)容包括:傳感器名���、打印機名稱以及實現(xiàn)打印再現(xiàn)等功能。
對主機的有關(guān)郵件的操作進行監(jiān)控����,用于實時監(jiān)控和事后查詢郵件操作。
主機的用戶帳戶監(jiān)控����,包括創(chuàng)建�����、更改本地用戶���、用戶組等行為�。
主機IP審計功能實現(xiàn)的是對被審計主機IP地址的修改進行記錄和禁止。同時可以查詢到在指定時間段的被審計主機IP地址的修改信息���。
主機軟硬件資源審查�����,列出各個被控計算機的硬件和軟件清單并根據(jù)列表自動發(fā)現(xiàn)未安裝指定軟件等非法行為���。
對網(wǎng)絡(luò)計算機的光驅(qū)、軟驅(qū)����、USB接口、網(wǎng)絡(luò)映射驅(qū)動器的操作進行審計�。
對被審計主機的所有網(wǎng)絡(luò)端口進行監(jiān)控、審計����,及時發(fā)現(xiàn)和阻斷異常網(wǎng)絡(luò)通信�。
注冊表是Windows的重要配置系統(tǒng)��,實時審計注冊表的操作過程����,并對重要的注冊項進行保護。
通過對文件的訪問控制與授權(quán)�����、盤符的操作控制與審計來達到防拷貝的目的���。
針對windows的網(wǎng)絡(luò)共享協(xié)議進行審計����,提供主機間的共享行為和操作信息�����。
根據(jù)日志類型可以查詢:應(yīng)用日志�、系統(tǒng)日志、安全日志和開關(guān)機日志等信息,也可以查詢實時查詢被審計主機的以上四種類型日志信息�。
對從網(wǎng)絡(luò)中抓取到的數(shù)據(jù)包進行協(xié)議分析,與相應(yīng)的入侵檢測審計規(guī)則庫進行模式匹配��,從而發(fā)現(xiàn)有入侵特征的數(shù)據(jù)包��;同時記憶基于連接的網(wǎng)絡(luò)數(shù)據(jù)包前后狀態(tài)�,從中分析入侵的可能或企圖,發(fā)現(xiàn)入侵或入侵企圖即產(chǎn)生報警�。
對網(wǎng)絡(luò)協(xié)議的操作和內(nèi)容進行進一步的分析,對有特殊內(nèi)容或某些違規(guī)的操作產(chǎn)生報警事件��。管理員可以定義違反規(guī)則的內(nèi)容策略�,在匹配到相應(yīng)內(nèi)容后記錄并產(chǎn)生報警事件通知管理員���。
對抓取的數(shù)據(jù)包根據(jù)某一類特征進行歸類統(tǒng)計�,可以得到各種流量統(tǒng)計表或統(tǒng)計圖��?����?梢詫δ承┑刂返牧髁克俣冗M行限制��,超過規(guī)定值時即產(chǎn)生報警事件。
制定IP地址與MAC地址的對應(yīng)關(guān)系����,如果抓取到的數(shù)據(jù)包與此對應(yīng)關(guān)系不符,則產(chǎn)生報警事件����。
信息還原審計是根據(jù)跟蹤檢測、協(xié)議還原技術(shù)監(jiān)測和審查網(wǎng)上信息�,它能以旁路、透明的方式實時高速的對進出內(nèi)部網(wǎng)絡(luò)的電子郵件和傳輸信息等進行數(shù)據(jù)截取和還原�����,并可根據(jù)用戶需求對通信內(nèi)容進行審計����,提供高速的敏感關(guān)鍵詞檢索和標記功能,從而為防止內(nèi)部網(wǎng)絡(luò)敏感信息的泄漏以及非法信息的傳播���,它能完整的記錄各種信息的起始地址和使用者���,為調(diào)查取證提供第一手的資料���。
對傳輸?shù)闹饕獌?nèi)容�,如:郵件及其附件(壓縮文檔��、word文檔����、Text文檔等)、www頁面文檔等進行有效的匹配過濾�����,定義安全審計級別����。
數(shù)據(jù)庫審計傳感器根據(jù)對控制中心的設(shè)置,對相應(yīng)的操作進行審計處理�����。有效判斷遠程操作是否合法���。
數(shù)據(jù)庫審計傳感器根據(jù)對控制中心的設(shè)置,對遠程操作的數(shù)據(jù)庫表名進行審計處理�����。有效判斷被操作的表是否被允許。
數(shù)據(jù)庫審計傳感器根據(jù)對控制中心的設(shè)置����,對遠程操作的字段名進行審計處理。有效判斷被操作的字段是否允許��。
當數(shù)據(jù)庫審計傳感器審計到相關(guān)信息時�����,根據(jù)風(fēng)險等級���,做出相應(yīng)處理���。及時向報警中心發(fā)出報警信息,以便管理員迅速做出處理����。
- 日志檢索功能
記錄相關(guān)的日志,使管理員可以方便管理和查看有關(guān)信息��。
- 非代理式應(yīng)用審計
通過對特定應(yīng)用程序資源使用情況的監(jiān)控�,實現(xiàn)對應(yīng)用的控制與信息的獲取,同時實時監(jiān)視應(yīng)用進程狀態(tài)����。
- 代理式應(yīng)用審計
通過對應(yīng)用程序值入定制的代理程序模塊�����,實現(xiàn)對應(yīng)用的監(jiān)控和審計���。
三、漢邦綜合強審計系統(tǒng)在內(nèi)網(wǎng)安全管理中的作用
1����、取證作用:對內(nèi)網(wǎng)公務(wù)人員和工作人員的泄密、違規(guī)操作����、誤操作、失密��、竊密�、篡改、刪除���、非法撥號等行為提供責(zé)任認定查處的依據(jù)。(實質(zhì)上就是初步構(gòu)建了網(wǎng)絡(luò)安全的責(zé)任認定體系) 2�����、防范作用:對光驅(qū)、軟驅(qū)��、USB口����、打印機、1394口�����、modem�、網(wǎng)絡(luò)映射盤符驅(qū)動器等設(shè)備的使用進行授權(quán)。(實質(zhì)上實現(xiàn)了絕大部分的授權(quán)功能) 3�、安全管理作用:安全管理模式經(jīng)歷了從“規(guī)章制度建設(shè)”到“三分技術(shù)、七分管理”再到目前的“技管并重”����,綜合強審計系統(tǒng)實質(zhì)上是“技管并重”管理中的重要的一環(huán),初步構(gòu)建了運用技術(shù)手段解決信息安全管理中的問題�。
四、漢邦綜合強審計系統(tǒng)適用范圍:
政府機關(guān)�����、軍隊、證券���、教育����、電力��、電信�、企事業(yè)單位等網(wǎng)絡(luò)。
