技术白皮书-网络卫士主机监控与审计系统TopDesk-V3.0-SS-20110728

主机审计与监控系统V1.5技术白皮书北京博睿勤技术进展有限公司Beijing Bring Technology Development Co.,Ltd目录一系统简介 (1)1.1系统概述 (1)1.2系统结构 (1)二要紧功能 (4)2.1概述 (4)2.2操纵功能 (5)2.2.1 硬件资源操纵 (5)2.2.2 软件资源操纵 (6)2.2.3 移动存储设备操纵 (6)2.2.4 IP与MAC地址绑定 (6)2.3监控功能 (7)2.3.1 进程监控 (7)2.3.2 服务监控 (7)2.3.3 硬件操作监控 (8)2.3.4 文件系统监控 (8)2.3.5 打印机监控 (8)2.3.6 非法外联监控 (9)2.3.7 计算机用户账号监控 (9)2.4审计功能 (9)2.4.1 文件操作审计 (10)2.4.2 外挂设备操作审计 (10)2.4.3 非法外联审计 (10)2.4.4 IP地址更改审计 (10)2.4.5 服务、进程审计 (11)2.5系统治理功能 (11)2.5.1 代理状态监控 (11)2.5.2 安全策略治理 (11)2.5.3 主机监控代理升级治理 (12)2.5.4 计算机注册治理 (12)2.5.5 实时报警 (12)2.5.6 历史信息查询 (13)2.5.7 统计与报表 (13)2.6其它辅助功能 (13)2.6.1 资产治理 (13)2.6.2 补丁分发 (13)2.6.3 操作系统日志收集 (14)三要紧特色 (15)3.1系统部署方式灵活、安装方便 (15)3.2操纵、监控与审计结合，全方位防止泄密 (15)3.3高性能、高可靠性 (15)3.4主机代理安装卸载方便 (16)3.5监控模块可动态加载与卸载 (16)3.6自动升级 (16)3.7灵活的分级治理架构 (16)3.8完善的自爱护机制 (17)3.9丰富的报表、报表类型灵活多样 (17)3.10高兼容性 (17)3.11系统通信安全性 (17)3.12多方位的主机资源信息治理功能 (18)四系统要紧性能参数 (19)五系统配置要求 (20)一系统简介1.1 系统概述博睿勤公司《主机审计与监控系统V1.5》是北京博睿勤技术进展有限公司依照安全计算机通常出现的安全情况，独立研发的一款专门针对安全计算机系统进行操纵、监控和审计的安全产品。

目录第一章系统简介 (1)第二章产品功能 (2)1.1 系统模块 (2)1.2 技术优点 (2)1.2.1 零拷贝技术 (2)1.2.2 全面检查各种病毒 (2)1.2.3 能够查获未知病毒引擎 (3)1.2.4 支持千兆网络的863.3M处理能力 (3)1.2.5 检测口无IP地址 (3)1.2.6 完善的升级机制和迅速更新的特征库 (3)1.2.7 独有的智能分析技术 (3)1.2.8 安全事件的关联分析 (3)1.2.9 迅速定位安全事件相关IP地址的物理位置 (4)1.2.10 详细的安全事件信息 (4)1.2.11 完善安全事件报告系统 (4)1.2.12 集中管理和控制 (6)第三章典型应用案例 (8)第四章技术支持 (9)第一章系统简介瑞星网络安全预警系统集病毒扫描、入侵检测和网络监视功能于一身，它能实时捕获网络之间传输的所有数据，利用内置的病毒和攻击特征库，通过使用模式匹配和统计分析的方法，可以检测出网络上发生的病毒入侵、违反安全策略的行为和异常现象，并在数据库中记录有关事件，作为事后分析的依据。

瑞星网络安全预警系统的目标是：全面，准确，高效，稳定，安全，快速。

全面是指能检测已知的各种病毒和攻击；准确是指检测的结果准确，误报率低；高效是指检测引擎的运行效率高，由于现在的网络带宽越来越宽，只有高效的引擎才能在检测时不丢包；稳定是指系统运行稳定可靠；安全是指预警系统自身的安全，由于引擎中保存了大量检测到的敏感信息，因此对其自身的保护是十分重要的；快速是指对新的漏洞和新的攻击方法反应快，系统升级简便。

第二章产品功能1.1 系统模块反病毒探针：基于瑞星的病毒查获“流引擎”，通过网络虚拟机对网络数据报文进行完整的数据重组和恢复，实时监测网络中的病毒数据, 通过病毒事件接口将病毒信息报告给管理控制中心。

入侵检测探针：对网络中的异常行为和攻击行为进行探测和监控，通过攻击事件接口将检测到的攻击信息报告给管理控制中心。

天融信产品白皮书网络卫士日志审计系统TA-L系列日志审计平台TA-L天融信网络卫士安全审计系统日志审计平台TA-L为不同的网设备及系统提供了统一的日志管理分析平台，打破了企业中不同设备及系统之间存在的信息鸿沟。

系统提供了强大监控能力，实现了从网络到设备直至应用系统的监控。

在对日志信息的集中、关联分析的基础上，有效地实现了全网的安全预警、入侵行为的实时发现、入侵事件动态响应，通过与其它设备的联动来实现动态防御。

天融信日志审计系统主要由日志代理、安全审计中心、日志数据库、审计系统管理器四个部分组成。

1.日志代理收集各种操作系统、网络设备、安全设备、应用程序，过滤后发送给安全审计中心处理。

2.日志审计中心接收日志代理和各种设备、系统转发的日志信息，集中保存在日志数据库，通过审计系统管理器将结果呈现给用户。

3.日志数据库保存各种日志信息、系统配置信息等。

4.审计系统管理器提供给用户一个方便、直观的管理接口。

通过管理器用户可以查看日志、报表等各种信息。

海量日志的集中处理工具全面支持安全设备 (如防火墙，IDS、AV)、网络设备 (如Router、Switch)、应用系统 (如WEB、Mail、F tp、Database)、操作系统 (如Windows、Linux、Unix) 等多种产品及系统日志数据的收集和分析。

安全状况的全面监控帮助管理员对网络事件进行深度的挖掘分析，系统提供多达300多种的报表模板，支持管理员从不同角度进行网络事件的可视化分析。

同时系统还支持对网络设备、主机、系统应用、多种网络服务的全面监视。

隐患漏洞的不断发现提供全局安全视图，帮助管理员发现网络、系统及应用中存在的安全漏洞和隐患，并进行不断改进。

安全事件的及时响应可自定义安全事件的危险级别，并实现基于EMAIL，铃声、手机短信等多种响应方式。

先进的多级架构设计TA-L采用业界领先的多级架构设计，系统具有良好的网络适应性和伸缩性；支持多套系统级联部署，上级系统能方便地管理下级系统，系统可以非常方便、快捷地部署在大型复杂的网络环境中，有效的解决了含有NAT等复杂网络中事件的收集和审计问题。

各系列产品概述:1.防火墙系列十几年来，天融信专注于信息平安，国首家开发出自主知识产权的防火墙系统，率先提出TOPSEC联动技术体系，领先的TopASIC自主平安芯片，在不断的技术创新中网络卫士防火墙引领了包过滤、应用代理、核检测等突破性变革，目前已进入以自主平安操作系统TOS (Topsec Operating System) 为根底，以完全容检测为标志的全新技术阶段，形成了适用于中小企业级到电信级各种网络应用需求的NGFW4000、NGFW4000-UF系列60多个型号的防火墙产品。

网络卫士防火墙系统集成了防火墙、IPSEC VPN、SSL VPN、带宽管理、防病毒、入侵防御、容过滤等多种平安功能；用户可根据实际需求灵活选择针对行业应用特点及不同性能的产品。

目前天融信防火墙已在政府、金融、电信、教育、能源、交通等各行业普遍应用。

据TOPSEC统计：遍布全国的29810多个网络和业务在其保护下平稳运行。

据权威数据机构IDC、CCID统计，天融信已连续十多年在网络平安硬件市场处于领先地位。

2.网络卫士VPN系统作为国最早从事信息平安产品研发生产的专业平安厂商，天融信自2000年开场向国市场提供VPN产品，历经近十年的技术积累与市场考验，目前网络卫士VPN系统包括IPSEC VPN、VONE(IPSEC/SSL VPN多合一网关)两大系列，向用户提供成熟、完善的高性能VPN 接入方案；拥有包括政府、金融、能源、物流、连锁效劳等行业在的两万余名用户。

国家部委全球工程的实施、NPD产品开发流程及ISO9001质量体系的成功实践，验证着天融信VPN 产品凭借卓越的品质与技术进入了国际领先行列。

自主知识产权的TOS〔Topsec Operating System〕系统平台，采用开放性系统架构及模块化设计，融合了数据加密、身份认证、访问控制等平安手段，使网络卫士VPN产品具有平安、高效、易于管理和扩展等特点。

V i s g r e a t桌面管理系统D e s k t o p3技术白皮书伟思国瑞信息技术有限公司2009年10月版权声明福州伟思国瑞信息技术有限公司有权随时更改文件的内容，恕不另行通知。

除非另外注明，否则文件范例中所使用的公司、人名，以及数据都是虚构的。

没有福州伟思国瑞信息技术有限公司的许可，您不得为任何目的而使用任何形式或方法（包括电子的或机械的），复制或传送文件的任何部分。

福州伟思国瑞信息技术有限公司对于其应用程序、商标、版权或文件中所涵盖的其它知识产权拥有专利或正在申请专利中。

除非取得福州伟思国瑞信息技术有限公司的书面授权合约，否则不得擅用文件中的专利、商标、版权或其它知识产权。

此文件为通用手册，产品规格如有变更，恕不另行通知。

版权所有©福州伟思国瑞信息技术有限公司目录1.网管人员的困境 (4)2.DESKTOP解决之道 (6)2.1功能简介 (6)2.1.1资产管理 (6)2.1.2应用程序管理 (6)2.1.3设备禁用管理 (7)2.1.4软件分发/补丁管理 (7)2.1.5远程管理 (7)2.1.6网络访问管理 (7)2.1.7文件访问管理 (8)2.1.8客户端管理 (8)2.1.9报表中心 (8)2.2系统结构 (8)3.技术特点 (10)3.1极小的资源占用 (10)3.2高效率的网络通信 (10)3.3与操作系统的紧密结合 (11)3.4客户端自动升级 (11)3.5良好的兼容性 (11)4.运行环境 (12)5.实施DESKTOP的收益 (13)5.1软硬件资产一目了然 (13)5.2规范应用程序的使用 (13)5.3提高机密文件的安全性 (14)5.4凸现自动化管理的整体效益 (14)5.5快速灵活响应业务变化 (14)1 网管人员的困境近年来，互联网的高速发展，催生了企业网络信息化的进程，推动了经济的发展，同样也带来了黑客利益焦点的转移。

利益焦点从外网转移到内网，正由于这些转移，也就导致了恶意攻击受到这些吸引，产生了一些新兴的攻击方法，给内网安全带来了新的安全威胁。

天融信产品白皮书网络卫士入侵防御系统 TopIDP系列网络卫士入侵防御系统 TopIDP天融信公司为了满足市场上用户对入侵防御产品的需求，推出了“网络卫士入侵防御系统TopIDP”。

它是基于新一代并行处理技术开发的网络入侵防御系统，通过设置检测与阻断策略对流经TopIDP的网络流量进行分析过滤，并对异常及可疑流量进行积极阻断，同时向管理员通报攻击信息，从而提供对网络系统内部IT资源的安全保护。

TopIDP采用天融信自主研发的TOS操作系统和多核处理器的硬件平台，保证了TopIDP 产品更高性能地对网络入侵进行防护。

TopIDP能够阻断各种非法攻击行为，比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的DoS攻击等。

入侵防御策略库随时防护目前业内最流行的入侵攻击行为。

与现在市场上的入侵防御系统相比，TopIDP系列入侵防御系统具有更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持，代表了最新的网络安全设备和解决方案发展方向，堪称网络入侵检测和防御系统的典范。

强大的高性能多核并行处理架构TopIDP产品采用了先进的多核处理器硬件平台，将并行处理技术成功地融入到天融信自主知识产权操作系统TOS（Topsec Operating System）系统，集成多项发明专利，形成了先进的多核并发运算的架构技术体系。

在此基础上的TopIDP产品具有高速的数据并行检测处理和转发能力，能够胜任高速网络的安全防护要求。

图1 多核CPU内部运算示意图●精确的基于目标系统的流重组检测引擎传统的基于单个数据包检测的入侵防御产品无法有效抵御TCP流分段重叠的攻击，任何一个攻击行为通过简单的TCP流分段组合即可轻松穿透这种引擎，在受保护的目标服务器主机上形成真正的攻击。

TopIDP产品采用了先进的基于目标系统的流重组检测引擎，首先对到达的TCP数据包按照其目标服务器主机的操作系统类型进行流重组，然后对重组后的完整数据进行攻击检测，从而从根源上彻底阻断了TCP流分段重叠攻击行为。