主机监控与审计系统的设计
主机监控与审计系统
设计方案
目录
1.系统简介 (1)
2.系统总体结构 (2)
2.1系统架构及基本工作原理 (2)
2.2系统功能结构 (3)
3.系统功能 (4)
3.1代理端功能 (4)
3.1.1数据采集功能 (4)
3.1.2控制功能 (5)
3.1.3其它功能 (6)
3.2控制管理中心功能 (7)
3.2.1系统管理功能 (7)
3.2.2计算机软硬件资产管理功能 (9)
3.2.3监视管理功能 (10)
3.2.4策略管理功能 (11)
3.2.5文件/补丁程序管理功能 (13)
3.2.6审计管理功能 (14)
3.2.7报警管理功能 (15)
3.2.8日志管理功能 (16)
3.3用户浏览功能 (16)
4系统特点 (17)
4.1 CPU占用少 (17)
4.2网络资源占用少 (18)
4.3非法内联监控效率高 (19)
1.系统简介
随着网络信息化的高速推进,人类社会的行为与活动已经和网络系统紧密联系起来。网络信息系统将人类传统的工作、管理模式“映射”到网络环境中,极大地提高了研究、工作和管理效率。人们对于内部网络系统,曾经假定“内部环境是安全的”,但自从网络系统采用了开放互连的TCP/IP协议后,这种假设条件在事实上已经不能完全成立了。各类单位(尤其是涉密单位)为了保证员工能通过网络(包括互联网)共享信息的同时,确保不会因为使用网络而有意或无意的泄漏敏感信息,都采取了相应的行政手段对本单位内部局域网的使用和操作规范进行强制性的、非技术性的管理,这些管理措施在特定时期和特定环境下是可用的,但仅依靠非技术性管理却是有悖于信息化初衷的,是不利于信息化进程发展的。
主机监控与审计系统的目的是:按照国家标准和保密局标准,结合长峰集团的实际情况,研制开发一套完善的、可持续扩展的安全保密信息审计系统。
该系统的实现,对于在信息化高速发展的同时,严格保证涉密信息系统及其审计系统的特殊性、安全性、可靠性、可控性、及时性、可扩展性有着积极的促进作用。
2.系统总体结构
2.1系统架构及基本工作原理
系统结构图
从统一管理的角度出发,主机监控与审计系统采用多极构架组成(如图),其基本工作原理描述如下:
第一层为计算机端机,通过安装的主机监控与审计系统的代理端软件,根据CMC对该端机的审计策略要求,对硬件设备的使用经行控制,对用户的操作行为进行数据采集,并将采集到的各类数据上传到CMC。在系统管理员授权的情况下可通过IE对数据进行查询。
第二层为各子、分公司的CMC、UB管理层,负责对各代理端进行管理、数据收集及数据的统计、查询、分析。
第三层为集团CMC、UB管理层,可对下属各子、分公司的审计策略、数据进行统计、查询、分析。各单位CMC把严重报警提交给第三层的CMC,第三层CMC 履行监督报警的处理情况的职责。
2.2系统功能结构
主机监控与审计系统是对计算机及网络的各种事件及行为实行信息采集、监测、控制和审计的应用系统。
客户端主要由BA、PA两部分组成:
?BA(Base Agent)基本代理:指在计算机中驻留的基本代理模块,负责
基本信息的采集及发送、存活状态信息的发送、其他代理的加载和卸载
等功能实现的软件。
?PA(Policy Agent)策略代理:指按照计算机实际情况制定的策略生成
的代理模块,它通过基本代理进行加载和卸载,并和基本代理进行安全
认证,保证代理端软件自身安全性。
服务器端即CMC(Control and Manager Center)控制管理中心,是安装于中心控制台的软件,它收集各代理发送的采集信息,根据报警策略产生报警,并推荐响应控制建议,管理各个计算机(组)策略并生成策略代理,产生审计报表等。
3.系统功能
3.1代理端功能
代理端软件指安装于各端机上的主机监控与审计系统,由BA和PA模块组成。其主要功能是根据CMC对端机审计要求和控制要求,对用户的操作行为进行审计,对端机的软、硬件使用进行控制,并对违规行为进行报警。
3.1.1数据采集功能
代理端数据采集是指对端机的环境信息、软、硬信息及操作、使用行为进行数据采集,具体包括以下几方面:
1)基本信息数据采集:采集计算机操作系统的基础配置数据,其中包括:
用户名、主机名、域名、网络名、操作系统、MAC地址、CPU型号、IE
版本号等。
2)软件信息数据采集:采集该系统已经安装的软件信息。
3)设备信息数据采集:采集该计算机的设备配置情况,包括:DVD/CD-ROM
驱动器、IDE ATA/ATAPI控制器、处理器、磁盘驱动器、端口、键盘、
软盘控制器、软盘驱动器、鼠标和其它指针设备、通用串行总线控制器、
网络适配器、显示卡等。
4)日志信息数据采集:对系统生成的日志信息进行数据采集,其中包括:
应用程序错误记录、安全审核记录、系统错误记录。
5)磁盘文件操作数据采集:对用户对文件的增、删、改、重命名进行审计,
同时对计算机IP地址、操作时间、文件操作类型、文件路径、文件名
等数据进行提取、保存。
6)注册表操作数据采集:对注册表项的“增、删、改”操作行为进行数据
采集,采集的基本信息包括:计算机名(IP地址)、用户名、程序名、
键名、键值、操作时间等信息。
7)应用/进程信息数据采集:对系统的应用程序和进程的启动及运行情况
进行数据采集,包括:计算机名(IP地址)、用户名、进程映像名称、
进程ID、程序名称等。
8)打印信息数据采集:对计算机进行的打印信息进行采集,采集的基本信
息包括:计算机名(IP地址)、用户名、打印机名、打印时间、打印文
档名、打印页数、打印份数等信息。
9)网络行为数据采集:对用户的上网行为进行数据采集,采集的基本信息
包括:计算机名(IP地址)、用户名、上网时间、网址名等信息。
10)非法外联行为数据采集:对CMC允许以外的外联行为定义为非法外联行
为,此操作威胁到涉密文件的安全,因此要产生报警信息,采集的基本
信息包括:计算机名(IP地址)、用户名、上网时间、网址名等信息。
11)非法内联行为数据采集:进入内网的计算机是经过严格审批手续的,对
没有进行审批就进入内网的计算机认为是非法内联行为,对计算机的非
法内联行为的数据采集包括:计算机名(IP地址)、用户名、时间等信
息。
3.1.2控制功能
为了保证计算机上的数据安全,防止泄密事件的发生,要禁止用户在未经许可的情况下私自将涉密文件拷出,禁止进入不安全的网络,防止被他人恶意攻击,窃取涉密文件。因此在对文件进行审计的同时,要对文件的出口加以控制。为了保证数据的有效性,对系统的关键数据的修改权利也加以控制。
控制功能包括两部分设备使用的控制和操作系统参数设置的控制。
1)设备包括本机已有设备和外围设备两部分,控制主要指对设备的可用性进行控制,分为启用和禁用两种状态,设备启用时用户可以对设备正常使用,禁用时用户将无法使用该设备,如果用户采用其他技术手段改变了CMC对设备的控制属性,代理端检测到后将依据CMC对设备的使用权重新进行设置,并产生报警信息,通知CMC。要进行控制的设备包括以下几方面:
?光驱
?软驱
?USB设备
?USB存储设备
?串、并口
?打印机
?拨号上网
?无线网卡上网
?网络共享服务
2)操作系统部分功能使用的控制权
?IP/MAC地址的更改:为了保证数据的有效性,同时有效防止非法内联事
件的发生,在未经审批、管理员授权的情况下禁止修改IP/MAC地址。
?通过网络的文件、打印和命名管道共享:为了保证计算机上的数据安全,
防止他人的恶意窃取,严禁共享功能。
3.1.3其它功能
1)报警功能:
代理端报警策略的设置及事件的报警级别由CMC负责管理,管理员根据不同端机的工作要求可设置不同报警策略,并下发到各端机。代理
端软件则根据本机的报警策略对违规事件产生相应的报警信息,并立即
上传到控制台,通知管理员有违规事件发生。
2)自动升级功能:
代理由BA基本代理和PA策略代理组成,BA运行于OS级,常驻内存,PA则动态加载。当收到新版本PA后,BA动态卸载旧的PA,再加载新版
本PA,这一切动作对用户透明,从而达到动态自动升级的目的,也无须
管理人员在大规模实施后需要跑到每一个客户端去升级的大工作量行
为。
3)自我防护功能:
BA代理是一个短小强悍的监控程序,驻留在涉密计算机的内存中,
体积非常小,隐蔽性强,一但驻留,除SCMCA-HT安全管理员外,将无
法删除,因此,可确保监控功能的持续、正常执行。
同时,PA和BA互相监视,并隐蔽存储多副本于计算机中,当监视到对方依托文件不存在时,快速从副本处复制一个依托文件到安装目录。
CMC中心也存储涉密计算机的BA和PA,一旦发现有恶意攻击行为攻击BA或者PA,CMC将产生报警,由响应的管理制度来制止这种恶意攻
击行为。
3.2控制管理中心功能
CMC控制管理中心是该系统的核心,实现对所管辖计算机代理采集信息的统一管理、审计和报警功能,同时负责该系统本身的管理功能的实现,功能如下图所示:
CMC功能示意图
3.2.1系统管理功能
系统功能主要完成系统本身的系统设置和维护功能,保证系统访问的用户安全性、系统登录和注销的合法性、系统配置的合理性、系统数据的安全备份与恢复、系统本身的操作日志记录的完整性。
1) 登录与注销
管理员使用默认用户名和密码登录到CMC后,分别创建日志查看员和系统日志监督员,并赋予默认密码。
管理员、日志查看员和系统日志监督员分别使用自己的用户名和默认密码登录CMC,但是根据其权限显示不同的CMC界面。
所有用户在第一次使用默认密码登录后,CMC自动强制各用户更改默认密码为新密码。
所有用户空闲超过一定时间后,系统自动锁定,进入锁定界面。
2)用户及组管理
系统用户管理是对系统本身的用户进行管理的工具。系统用户管理支持多管理员角色,可区分超级管理员、管理员、日志查看员、系统日志监督员。
?用户管理员具备创建下级用户的权限;
?管理员只具备系统进行配置、数据备份和恢复的权限,但是不具备下级
管理员的权限具备。
?日志查看员可以操作CMC查阅各代理采集信息、制定策略、进行控制等
功能;
?系统日志监督员负责对超级管理员、管理员、日志查看员的行为日志进
行查阅和监督。
如果用户需要,还可在4类角色中再细分级别。4两种角色的组合使用由用户自己决定。
用户管理主要包括管理人员的帐号、口令管理、人员信息的增、删、改、查等操作。
3)参数配置
管理员可以对系统本身的运行参数进行配置,包括:系统显示方式、系统等待时间、计算机安全扫描时间间隔等。
4)数据备份与恢复
管理员可对数据进行备份和恢复,数据库中的数据超过数据保存最大容量之
后或者超过数据最长保存时间之后,系统会强制管理员对数据作备份操作,备份数据存放于指定目录下,备份后数据库中的记录才可以删除,备份目录和记录的删除操作都会自动记录到系统日志中,由系统日志监督员进行监督。
所有数据不提供单条记录删除的功能。
系统万一出现崩溃,或者硬件原因造成了数据丢失,管理员可以把最近的一次备份数据恢复到系统中。
5)系统日志维护
系统日志记录管理员对CMC的操作,主要包括:登录、退出、用户管理操作、部门管理操作、策略操作、控制操作等。
系统日志监督员可以对系统日志数据库表/记录进行备份/恢复等维护操作。
日志在备份后可以删除,不提供单条删除功能。
3.2.2计算机软硬件资产管理功能
计算机资源是指单位内部的计算机,这些计算机是单位信息网络的重要组成部分,通常来说,某台计算机会有明确的任务、使用范围和使用人。目前,并没有效的措施指定计算机的使用者,计算机资源的使用难以控制,从而造成一定的信息安全隐患,比如财务部的计算机就不能允许非财务人员使用等等。另外,计算机资源是一个单位非常重要的资产,一般包括硬件资产和软件资产。
CMC利用其超强的硬件获取能力使信息人员和资产管理人员可以很方便的查看到网络内部的硬件的分配情况,可以极大地方便了资产统计人员,避免了过去做资产统计必须拆机箱的做法,利用先进的自动捕获技术,及时的收集到所有的硬件信息,提高工作人员的效率。
CMC利用其强大的软件信息获取能力将单位所拥有的软件纳入资产的正常管理程序,以便掌握单位信息化的投资状况,包括采购、安装、分发、升级、维护、删除等整个软件使用的生命周期。它经由一系列有效的管理措施,配合系统管理的使用,就可以合理地控制软件购置的经费支出,以此提升软件资产的利用率与整体效益,并且确保软件使用的合法性。
1)计算机单机资产管理
单机资产管理负责将网络内合法的计算机添加到本系统内,作为合法用户使用。功能包括:计算机信息的增、删、改、查。
单机资产管理功能包括硬件资产管理和软件资产管理两部分,并且提供强大的统计功能。
?硬件资产管理
安装硬件信息:在涉密计算机用户注册后,记录下计算机的所有硬件安装信息(处理器CPU,光驱,内存,软驱,声卡,显卡,硬盘的类型及其种类),同时把该信息和用户信息、固定资产编号信息进行关联形成该用户的硬件资产信息并且进行日志记录;
变动硬件信息:检测计算机发生变动的硬件信息,并且记录日志。
?软件资产管理
安装软件信息:在计算机用户注册后,记录下涉密计算机的所有软件安装信息并且进行日志记录;
变动软件信息:检测计算机发生变动的软件信息,并且记录日志。
2)组/部门资产管理
CMC支持群组/部门管理,即将被监控计算机群按照传统的业务组/工作组/部门进行划分,并按照组/部门的方式进行策略管理,组内的成员的计算机全部自动遵守该组的安全策略。组的成员可随时添加或删除。这一功能对于管理人员快速、准确识别涉密信息和安全状态很有帮助,并且可以大大减轻管理员的策略配置管理负担。
3.2.3监视管理功能
监视管理功能这部分是日志查看员的日常管理任务,他可以使日志查看员可实时掌握内部网络计算机的运行和安全状态,保证内部网络管理策略的正确执行。
1) 在线状态监视
日志查看员可从查看全部主机的联网状态。
如果选择网络方式查看,则在CMC的监视界面上显示全部涉密计算机的联网状态。其中,闪亮的表示在线,灰色的表示离线。
如果选择组/部门方式,则在CMC的监视界面上按部门显示,展开部门后,显示部门所辖涉密计算机的联网状态。
2) 非法入网监视
CMC按照“安装了代理 + IP/MAC地址白名单”的排除法发现非法计算机。“安装了代理 + IP/MAC 地址白名单”是指:定义安装了SCMCA-HT代理的、并且IP/MAC地址在白名单中的涉密计算机称为合法,只有这样的涉密计算机才能使用内网资源,否则强行禁止其使用内网,并且及时报警。
非法入网计算机在CMC中以非法入网计算机为组名称的进行拓扑显示,可以列出所有非法接入内部网络的主机(IP/MAC地址),而在监视界面中显示这些主机的入网行为记录。
3) 安全扫描
CMC可以对指定网段内的涉密计算机进行安全检查,如果发现有未安装本代理以及IP/MAC地址不属于白名单的涉密计算机在线则报警。
3.2.4策略管理功能
主机监控与审计系统的策略是指代理对涉密计算机监视和控制规则的集合。
策略的制定、修改、添加、删除、存储/导入、下发和执行情况监督都由CMC 完成,通过CMC统一或部分下发至各个代理。
1) 策略模板管理
根据策略分级和继承原则,所有策略以模版形式生成后,才可以下发到代理。
策略模板管理可以制定4个级别的多种模板:
?默认策略——本系统发行时提供,随基本代理一同安装于被监控涉密计
算机上,该策略为最严格策略;
?全局策略——一个单位全局范围的策略,对所有用户有效;
?部门策略——部门范围内的策略,对该部门的所有用户有效;
?用户策略——特定用户策略,只对该用户有效。
策略模板管理包括:
?策略模板制定:制定以上4级模板;
?策略模板修改:对指定好的模板进行修改;
?策略模板添加:同一级别下具有多个模板时,添加模板;
?策略模板删除:对不再有效的策略模板进行删除;
?策略模板存储及导入:所有模板可以以单位或者个人名称方式单独生成
一个,并可以存储(或者打印),再遇到特殊情况重装系统后可以把先
前存储的模板导入到系统中,方便策略的备份和恢复,减轻工作量。
策略模板的内容主要包括以下方面:
?基本信息的采集策略:对代理采集计算机的方式、提交频率等进行配置。
?文件监控策略:对磁盘文件的监控方式、过滤方式、操作方式、文件保
护方式进行配置。
?注册表监控策略:对注册表监控方式、扫描频率、提交方式和频率进行
配置。
?打印监控策略:对涉密计算机的打印行策略为进行配置。
?应用程序/进程监控策略:对应用程序/进程的启动、运行策略进行配置。
?设备监控策略:对涉密计算机所辖设备和新增的未知设备使用策略进行
配置。
?网络应用行为监控策略:对网页浏览-HTTP、文件传输-FTP、发邮件
-SMTP、收邮件-POP3、远程登录-Telnet,以及外部主动联接、IP/MAC
地址绑定、非法外联、非法内联等的行为策略进行配置。
2) 策略下发
针对不同的计算机用户和组,对计算机的审计行为、端口控制行为各不相同,CMC可根据实际情况制定不同的审计、控制策略模板,在下发审计策略时选择相应的模板即可。这样对管理人员而言便于管理,方便使用。
策略下发方式分为立即执行和重新启动后执行两种模式,由管理人员在下发时根据实际情况进行选择,也可以采用策略模版中制定的选择。
?立即执行模式:代理收到CMC发送的策略更新命令,立即终止现行程序,
按照新的策略去重新分配线程,在终止原策略启用新策略过程中,可能
会造成部分数据的丢失。
?重新启动后执行模式:代理收到CMC发送的策略更新命令后,暂时不进
行相应而只是把新策略存储于本地,强制计算机重新启动或者待计算机
自然重新启动后,再加载新策略。代理在计算机启动后和控制台进行通
讯,如果要更新策略模板,则下载新的模板后继续运行。
策略的下发对用户透明,不会对用户的自然操作产生影响。
3)策略执行和状态监督
?策略执行由代理完成,执行过程不会对用户自然操作产生影响。
?策略下发成功或者失败时,代理会把策略更新记录提交给CMC。
?CMC可以对所有涉密计算机的:策略执行状态(成功/失败)、策略模板
名称、策略模板内容、策略执行时间及有效时间等内容进行查看和监督。
3.2.5文件/补丁程序管理功能
1) 文件/补丁管理
随着软件的不断完善,功能的不断增多,新的软件版本将不断发布,文件/补丁管理就是将每一版本软件保存到数据库中,并通过软件的启用、停用标志控制软件的可用性,通过文件/补丁分发功能,将新的软件下发到各代理端。如果软件下发时发现该版本的软件已经是停用标志,将不再下发。
2) 文件/补丁分发
代理的升级采用“静默式安装”方式自动升级,对用户透明,由CMC控制对全部涉密计算机进行统一在线升级。
在线升级是在涉密计算机已安装代理的前提下,可以实现软件的在线升级。升级方式分为主动升级、下发后立即升级两种模式,具体升级方式同样由管理人
员通过系统设置功能进行设置。
?主动升级:每次开机后代理主动和CMC进行通讯,如果有高于本机的软
件版本发布,则主动下载,并自动升级。
?下发后立即升级:CMC向代理发送软件立即升级的命令,代理收到命令
后,进行软件版本的判定,如果新版本确实高于现行版本,则进行新版
本软件的下载,下载完毕后,立即执行软件更新。在软件更新过程中可
能会造成部分审计数据的丢失。
3.2.6审计管理功能
CMC审计管理功能基于已收到的各代理端采集到审计记录对各种的操作行为进行审计,审计内容包括:
1)磁盘文件操作行为审计
2)注册表审计
3)应用/进程使用审计
4)日志审计
5)账户信息审计
6)USB介质使用行为审计
7)外部设备使用行为审计
8)打印行为审计
9)主动网络连接操作行为审计
10)非法外联行为审计
为了方便管理员的审计操作,提高管理效率,系统对以上各审计内容提供多种审计方式:
?按部门审计:对该部门下的所有人员的某一操作行为进行审计。
?按人员审计:由于工作需要,存在大量一人多机的情况,为了方便
对某人的所有操作行为进行审计,系统提供按人员进行审计的功能,
即审计该人员管理下所有计算机的操作行为。
按IP地址审计:按IP地址对某一台计算机的操作行为进行审计。
按时间段进行审计:在以上某一条件下,有针对性的审计一段时间内操作行为。
3.2.7报警管理功能
管理人员面对数量巨大的审计日志的时候,如果没有合理的报警,将对其管理工作带来巨大的困难。
CMC将提供基础的报警策略,并提供报警定义、修改、删除、存储/导入等管理功能,使系统在得到和报警规则相匹配的操作行为的时候,自动产生报警,并向管理人员发出提示。
1) 报警策略定义及管理
报警分为单一来源报警、组合报警和用户自定义报警:
单一来源报警:由日志分级方式产生,即系统每产生的一条日志都有个安全等级字段,安全等级在制定安全策略时指定。日志安全等级的目的是提高日志审计的效率,同时突出了报警的概念,如日志分为1~5 共5个安全等级,5 为最高等级,可定义安全等级>=3 的日志产生预警。
组合报警:对于不能由单一来源确定的恶意行为,这种报警可能需要依据多条日志进行分析才能产生。系统会提供组合报警模板供用户参考,其安全等级由用户根据实际情况自己确定。
用户自定义报警:对本系统没有规定的报警,用户可以根据实际情况就其所关心的日志设置安全级别产生报警。
报警策略的定义及其管理也采用策略模板的方式。
2) 报警处理
当有符合报警策略的违规事件发生时,代理会在涉密计算机上给出提示,同时会把该日志记录发送到CMC。
CMC会在计算机浏览管理视图上产生色彩鲜艳的警示性报警信号,管理人员可以查看报警详细信息,CMC会给出对该类报警信息的处理建议。
管理人员可以选择忽略该报警,或者在处理完该报警之后代理自动监测到无违规记录时,报警取消。
3) 报警查询和统计
对报警事件进行查询统计,管理方式同审计信息的查询和统计。
3.2.8日志管理功能
1) 日志过滤查询
管理人员能够方便地定制过滤查询本系统产生的所有日志,可以灵活地设置查询条件,包括:用户信息、日志等级、日志产生时间、日志内容等。支持组合查询、模糊匹配查询等技术。
2) 日志统计及报表输出
具备日志统计分析功能,能够展现一段时间内的日志趋势,安全管理员可以据此考虑调整相应的安全策略。
统计报表表现方式灵活,除了最基本的列表方式之外,还应该具备图形表现功能,包括饼图、柱状图以及曲线图等。
统计报表可以采用打印、存储、导出等方式输出。
3.3用户浏览功能
审计数据的查询、统计、分析功能采用B/S方式完成,管理员通过IE浏览器在网络内的任何一台端机上可对数据进行浏览。
数据查询:对审计数据、用户信息按照任意条件进行查询。
数据统计:对审计数据按要求进行统计,并以饼状图、柱状图等直观形式表示出来。
数据分析:对审计数据进行综合分析及事件追踪,找出其中可疑事件,提高系统的安全性。
4系统特点
4.1 CPU占用少
CPU资源的占用率也称为占有率,是外部设备使用时对CPU的占用时间。如果CPU长期占用率过高,可造成CPU温度过高,从而影响CPU及周围的电路,降低电脑的使用寿命,同时也对CPU的并发处理能力造成影响,降低其它软件运行、处理速度。
一台计算机即使用户在不作任何操作时,操作系统为维持其正常运行在进行大量的操作,如动态库调用、注册表的修改、文件的建立、文件的修改、文件的删除等工作。用户工作时在对各种应用软件的使用过程中,除了会产生所需要文件外,应用软件还会大量修改系统文件并生成临时文件,如何提高数据的有效性、降低CPU的占用率成为一个技术难点。
很多软件针对审计事件的采集采用轮寻方式,即定时扫描方式。间隔时间过长会引起事件的漏记,间隔时间过短会引起CPU占有率过高。
对此采用以下两方面解决以下问题:
审计事件的产生:事件的产生采用触发方式,即只有该事件发生了,才触发对该事件的审计,符合审计策略要求的保存、上传,不符合的丢弃。与轮询方式相比其优点在于即可以防止在两次轮询期间产生审计数据的漏审情况的发生,又可以避免在没有审计事件发生时对事件进行查询,造成不必要的资源浪费。
审计策略的制定:按照管理员对该机审计策略的要求对各审计模块进行加载,如果不需要监控的功能则不予以加载。避免了模块加载后,在检测到审计事件时再按策略要求对事件不予记录造成系统资源浪费。
CPU占用率比较
4.2网络资源占用少
代理端软件要根据审计策略、报警策略的要求对相应的事件产生不同信息,这些信息均要通过网络上传到服务器。在端机数据多,审计数据量大时,必然会占用大量的网络资源,同时也会对服务器处理能力产生过大的压力。
涉密计算机监控与审计系统采用以下方式在保证数据的可靠传输的情况下减少对网络的压力。
CMC对上传审计数据的端机的控制:代理端要上传审计数据前先向CMC发出传输请求,在得到CMC的许可信息后方可进行数据的上传。CMC在得到端机的上传审计数据的许可后,要对当前正在上传审计数据的端机数进行统计,如果已经达到管理员规定的数目,则通知其排队等候,如果正在上传审计数据的端机数未达到要求,同时网络流量又未达到限值时,通知其进行数据上传,并对数据进行
接收。同时CMC还将预留出部分可连接数量用于处理紧急事件的发生。
打印监控与审计系统简介
{安辰打印安全监控与审计系统} 使用说明 光电安辰信息安全
目录 1 服务端软件安装 (1) 1.1系统运行环境 (1) 1.2 Apache安装 (2) 1.3 PHP安装 (4) 1.4 MYSQL安装 (4) 1.5 修改配置文件 (5) 1.6 管理系统安装 (6) 1.7 MYSQL连接器安装 (6) 1.8 安装通信服务器 (8) 2 客户端软件安装 (10) 2.1 客户端安装 (10) 2.2 刷卡认证打印终端安装 (10) 3 用户管理 (11) 3.1 用户登录 (11) 3.2 修改登录密码 (12) 3.3 添加用户 (12) 3.4 用户查询 (13) 3.5 锁定激活 (14) 4 部门管理 (15) 4.1 添加部门 (15) 4.2 部门查询 (15) 5 组管理 (16)
5.1 添加组 (16) 5.2 组查询 (16) 6 审批流程 (17) 6.1 添加审批 (17) 6.2 审批查询 (17) 7 系统设置 (18) 7.1 设置默认存储路径 (18) 7.2 设置磁盘预警 (18) 7.3 设置磁盘预警 (18) 7.4 系统校时 (18) 8 作业管理 (19) 8.1 打印作业 (19) 8.2 统计分析 (20) 9 作业审批 (21) 9.1 审批结果 (21) 9.2 作业审批 (21) 9.3审批历史 (21) 10 日志审计 (23) 10.1 操作日志 (23) 11 用户打印作业 (25) 11.1 用户提交打印作业 (25) 11.2用户刷卡打印 (25)
1 服务端软件安装1.1系统运行环境 服务端 客户端
中软主机监控与审计系统8.0系统介绍
中软主机监控与审计系统8.0
目录 第一章系统概述 (1) 第二章体系结构和运行环境 (3) 2.1系统体系结构 (3) 2.2推荐硬件需求 (4) 2.3推荐软件需求 (4) 第三章系统功能 (6) 3.1终端安全管理 (8) 3.1.1 终端健康检查 (8) 3.1.2 安全策略管理 (8) 3.1.3 用户身份认证 (8) 3.1.4 网络进程管理 (9) 3.1.5 防病毒软件监测 (9) 3.1.6 补丁分发管理 (10) 3.1.7文件安全删除 (10) 3.2终端运维管理 (11) 3.2.1软件分发管理 (11) 3.2.2 软硬件资产管理 (11) 3.2.3 系统运行状况监控 (12) 3.2.4 远程管理 (13) 3.3用户行为管理 (14) 3.3.1 网络行为管理 (14) 3.3.2 非法外联控制 (14) 3.3.3 存储介质管理 (14) 3.3.4 打印机管理 (15) 3.3.5 外设接口管理 (15) 3.4数据安全管理 (16) 3.4.1 我的加密文件夹 (16) 3.4.2 硬盘保护区 (16) 3.4.3 文件安全分发 (16) 3.4.4 安全文档管理 (16) 3.4.5可信移动存储介质管理 (17) 3.4.6 基于密级标识的文档安全管理 (18) 3.5终端接入管理 (19) 3.5.1终端接入认证 (19) 3.5.2 内网安全扫描 (19) 3.6系统管理与审计 (19) 3.6.1 组织结构管理 (19) 3.6.2 统计审计分析 (20) 3.6.3分级报警管理 (20)
3.6.4 响应与知识库管理 (20) 3.6.5 服务器数据存储空间管理 (20) 3.6.6 系统升级管理 (20) 3.6.7 B/S管理功能支持 (21) 3.6.7系统参数设置 (21) 3.7文档外发管理 (21) 3.7.1外发包的制作方式 (21) 3.7.2 外发包的使用方式 (22) 3.7.3 外发包的权限控制 (22) 3.7.4日志信息的查看 (23) 第四章系统特点 (24) 4.1全面的终端防护能力 (24) 4.2分权分级的管理模式 (24) 4.3方便灵活的安全策略 (24) 4.4终端安全风险量化管理 (24) 4.5周全详细的系统报表 (25) 4.6丰富的应急响应知识库 (25) 4.7完善的插件式系统架构 (25) 4.8方便快捷的安装、卸载和升级 (25) 4.9多级部署支持 (26) 附件一:名词解释 (27)
主机监控与审计系统设计方案
主机监控与审计系统 设计方案 北京市爱威电子技术公司 2010年5月
目录
1.系统简介 随着网络信息化的高速推进,人类社会的行为与活动已经和网络系统紧密联系起来。网络信息系统将人类传统的工作、管理模式“映射”到网络环境中,极大地提高了研究、工作和管理效率。人们对于内部网络系统,曾经假定“内部环境是安全的”,但自从网络系统采用了开放互连的TCP/IP协议后,这种假设条件在事实上已经不能完全成立了。各类单位(尤其是涉密单位)为了保证员工能通过网络(包括互联网)共享信息的同时,确保不会因为使用网络而有意或无意的泄漏敏感信息,都采取了相应的行政手段对本单位内部局域网的使用和操作规范进行强制性的、非技术性的管理,这些管理措施在特定时期和特定环境下是可用的,但仅依靠非技术性管理却是有悖于信息化初衷的,是不利于信息化进程发展的。 主机监控与审计系统的目的是:按照国家标准和保密局标准,结合长峰集团的实际情况,研制开发一套完善的、可持续扩展的安全保密信息审计系统。 该系统的实现,对于在信息化高速发展的同时,严格保证涉密信息系统及其审计系统的特殊性、安全性、可靠性、可控性、及时性、可扩展性有着积极的促进作用。 2.系统总体结构 2.1系统架构及基本工作原理 系统结构图 从统一管理的角度出发,主机监控与审计系统采用多极构架组成(如图),其基本工作原理描述如下: 第一层为计算机端机,通过安装的主机监控与审计系统的代理端软件,根据CMC对该端机的审计策略要求,对硬件设备的使用经行控制,对用户的操作行为进行数据采集,并将采集到的各类数据上传到CMC。在系统管理员授权的情况下
标准解决方案_北信源打印安全监控审计系统解决方案
北信源打印安全监控审计系统 解决方案 北京北信源软件股份有限公司
一、前言 随着网络应用的不断普及和发展,网络应用向多层次、立体化、空间化方向发展,网络空间数据的安全问题越来越突出,电子文档和敏感信息被有意无意的窃取、丢失、泄密等给建设高效、安全的网络空间带来很大挑战。 而纵观目前各个政府、企事业单位的信息安全建设状况,数据安全防御理念往往局限在网关级别、网络边界(防火墙、IDS、漏洞扫描)等方面,重要的安全设施大致集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁大大减小。相反,来自网络内部计算机终端的数据安全防护却往往被忽视。 在国家行业信息化推进的大环境下,信息安全在国民经济建设中日益显得举足轻重。特别是在政府机关网络中,工作秘密的泄露会使政府机关工作遭受损失,带来不必要的被动;而国家秘密的泄露会使国家的安全和利益遭到严重损害,泄密者也难免受到降职、降衔的严肃处理,甚至移交司法机关处理。 由此,如何应对数据安全问题,减少直至杜绝内部敏感信息的泄漏和重要数据的丢失而引发的安全事故,建设面向网络空间的、安全和谐的终端运行环境,形成有效的数据安全防护体系,则成为了政府机关网络、行业信息网络主管领导日常工作的重中之重。 而根据《计算机犯罪与安全调查报告》的调查结果显示,泄密的主要途径有三种:电子邮件泄密、移动存储泄密、打印信息泄密。通常,电子邮件泄密和移动存储泄密都得到了较好的控制,而来自内部的网络打印安全却很容易受到忽视,打印信息泄密,涉及到了用户较高等级甚至是核心级的机密,破坏力大,破案率低,极大地损害了个人、集体的利益,甚至是国家。 北信源公司由此推出自主研发的新产品—北信源打印安全监控审计系统,为用户彻底解决以打印方式造成数据泄漏的问题。
2020新版安全审计及监控管理办法
( 安全管理 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 2020新版安全审计及监控管理 办法 Safety management is an important part of production management. Safety and production are in the implementation process
2020新版安全审计及监控管理办法 第一章总则 制度目标:为了加强信息安全保障能力,建立健全的安全管理体系,提高整体的网络与信息安全水平,保证网络通信畅通和业务系统的正常运营,提高网络服务质量,在安全体系框架下,本制度为加强信息安全事件的管理,规范安全事件的响应和操作流程。 适用范围:本制度适用于TCP/IP网络、以及所承载的业务系统。 使用人员及角色职责:本制度适用于网络信息系统维护及相关人员。 制度相关性:本制度与安全检查及监控等管理办法相关。 第二章职责 安全管理员负责所有系统及设备的超级用户帐号及权限管理员。 安全设备管理员负责安全设备的日常维护监控工作。
网络管理员负责网络系统的日常维护监控工作。 主机系统管理员负责主机、服务器、操作系统的监控工作。 数据库管理员负责数据库系统的监控工作。 应用系统管理员负责应用系统的监控工作。 安全审计员 负责信息安全审计的日常工作; 负责组织、计划定期的审计活动。 第三章规定 安全监控及审计职责 信息安全日常监控由各系统管理员、各数据库管理员、各应用系统管理员、各网络管理员等进行操作; 安全审计员根据各信息系统管理员的监控结果审计网络、各数据库、各计算机系统、各应用系统等的安全状况。 安全审计员定期将审计结果上报到信息安全管理工作组; 信息安全管理工作组根据安全审计员上报审计结果进行抽检和改进。
《审计信息管理系统》使用介绍
《审计信息管理系统》使用说明 第一章概述 欢迎使用《审计信息管理系统》,本文介绍《审计信息管理系统》的使用方法。本系统是针对XXX市审计局日常行政办公、信息管理和设计的应用系统,充分考虑了XXX市审计局的办公内容、行文流程、组织结构等相关内容,给用户提供丰富、完整、方便的功能,正确处理企业日常工作中的各种常规事务,如收文、发文、信息管理、信访管理、档案管理等,通过对各种办公过程的流程化分析、图形表示、自动控制行文流转过程,提高办公效率,保证日常工作高效、规范的进行,实现无纸化办公。 本系统主要以审计项目的实施与管理为核心,同时提供人事管理和各科室之间的信息交换功能,方便领导和各科室成员迅速掌握当前工作的内容和工作进度。 本系统使用了高度安全的Lotus Notes/Domino R5作为开发平台,能适应用户在不同环境和条件下的需求,有着极为可靠的安全性。本系统有广泛的适用性。它是标准的工作流办公自动化软件,稍加改进即可与其他企事业单位自身组织机构相配置,用户单位无需更改现有组织机构,可快速部署整个系统,迅速从中获得效率提升。 第二章主界面 一、启动审计信息管理系统 办公自动化系统的启动,操作员单击[开始]→[程序]→[Lotus 应用程序]→[Lotus Notes],系统会出现一对话框(如图2-1),输入正确的口令,系统就会进入审计信息管理系统主界面。 图2-1
如果操作员要选择其它的人员的ID(即以其他人员的身份登录,前提是直到其他人员的密码),操作员可单击[取消],系统会弹出(如图2-2)的对话框,操作员从中挑选需要的ID,再输入正确的口令,系统就以他的身份进入审计信息管理系统主界面。 图2-2 二、主界面的操作 打开Lotus Notes,《审计信息管理系统》的主界面(如图2-3)自动作为缺省首页出现。主界面上有8个标题,分别是打开以下8个功能模块的链接:人事管理、文件审批、审批进度、审计档案、综合查询、流转定稿、电子邮件和文档模板。 图2-3 退出办公自动化系统,用户只需单[退出]即可。
安全监控及审计管理办法
编号:SM-ZD-46311 安全监控及审计管理办法Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:____________________ 审核:____________________ 批准:____________________ 本文档下载后可任意修改
安全监控及审计管理办法 简介:该制度资料适用于公司或组织通过程序化、标准化的流程约定,达成上下级或不同的人员之间形成统一的行动方针,从而协调行动,增强主动性,减少盲目性,使工作有条不紊地进行。文档可直接下载或修改,使用时请详细阅读内容。 第一章总则 第一条策略目标:为了加强公司信息安全保障能力,建立健全公司的安全管理体系,提高整体的网络与信息安全水平,保证网络通信畅通和业务系统的正常运营,提高网络服务质量,在公司安全体系框架下,本策略规范公司安全监控及审计机制,和公司其他安全风险策略一起构建公司安全风险预防体系。 第二条适用范围:本策略适用于公司科技信息部。 第二章安全监控及审计管理 第一节安全监控及审计工作办法 第三条各部门安全管理组织中专、兼职安全管理员应监控并定期审计本部门各系统安全状况。 第四条各部门安全管理组织定期向公司网络与信息安全办公室汇报监控及安全审计结果。 第五条公司网络部根据各部门安全管理员上报审计结
果进行抽检和检验。 第六条公司网络部每半年巡检,进行安全审计,由公司科技信息部牵头,各部门协助执行。 第二节安全监控及审计的职责 第七条公司安全管理工作组负责: (一) 组织策划公司信息安全审计工作; (二) 协调有关部门,以获得对信息安全审计工作的理解和支持; (三) 确定信息安全审计工作的目的、范围和要求; (四) 制订信息安全审计工作具体实施计划和有关资源配置; (五) 监控信息安全审计工作进度和质量; (六) 审核信息安全审计工作情况汇报; (七) 负责向公司网络与信息安全领导小组汇报公司信息安全审计工作情况。 第八条各部门安全组织负责: (一) 参与公司信息安全审计制度的制订、修改和维护; (二) 参与公司信息安全审计工作具体实施计划的制订;
安华金和数据库监控与审计系统(DBAudit)
安华金和数据库监控与审计系统 (DBAudit) 一. 产品概述 安华金和数据库监控与审计系统(简称DBAudit),是一款面向数据库运维和安全管理人员,提供安全、诊断与维护能力为一体的安全管理工具;DBAudit实现了数据库访问的全面精确审计,100%准确应用用户关联审计;DBAudit具备风险状况、运行状况、性能状况、语句分布的实时监控能力。 DBAudit通过数据库化的界面语言、智能化的协议识别、可视化的运行状况呈现、可交互可下钻的风险追踪能力,完美实现免实施、免培训、免维护的二代数据库审计产品。 二. 产品价值 2.1 安全事件追查 提供语句、会话、IP、数据库用户、业务用户、响应时间、影响行等多种维度的数据库操作记录和事后分析能力,成为安全事件后最为可靠的追查依据和来源。 通过SQL行为与业务用户的准确关联,使数据库访问行为有效定位到业务工作人员,可有效追责、定责。 2.2 数据库性能诊断 实时显示数据库的运行状况、数据库访问流量、并发吞吐量、SQL语句的响应速度;提供最慢语句、访问量最大语句的分析,帮助运维人员进行性能诊断。
2.3 发现程序后门 系统提供SQL学习和SQL白名单能力,实现对业务系统的SQL建模;通过合法系统行为的建模,使隐藏在软件系统中的后门程序在启动时,提供实时的告警能力,降低数据泄漏损失。 2.4 数据库攻击响应 系统提供数据库风险告警能力,对于SQL注入、数据库漏洞攻击、过量数据下载、危险SQL语句(如No where delete)等风险行为的策略制定能力,提供实时告警能力。 提供短信、邮件、SNMP、Syslog等多种告警方式。 三. 产品优势 3.1 全面审计(全) 挑战:基于网络流量镜像的数据库审计产品,无法有效实现加密通道下的审计、无法实现对数据库主机上的操作行为的审计、在网络流量过载时容易丢包,从而导致审计信息缺失,给入侵者提供了绕开审计设备的途径。 优势:DBAudit在网络镜像技术基础上,通过可配置的主机探针技术实现了数据库主机的流量捕获,从而实现了对数据库访问流量的全捕获。 3.2 准确审计(准) 挑战:不准确的审计记录,对于审计信息的有效性具有着致命的伤害,使其极大地失去了可信性。
涉密系统设计解决方案 三员管理
涉密系统设计解决方案——三员管理 一、“三员”职责 系统管理员:主要负责系统的日常运行维护工作。包括网络设备、安全保密产品、服务器和用户终端、操作系统数据库、涉密业务系统的安装、配置、升级、维护、运行管理;网络和系统的用户增加或删除;网络和系统的数据备份、运行日志审查和运行情况监控;应急条件下的安全恢复。 安全保密管理员:主要负责系统的日常安全保密管理工作。包括网络和系统用户权限的授予与撤销;用户操作行为的安全设计;安全保密设备管理;系统安全事件的审计、分析和处理;应急条件下的安全恢复。 安全审计员:主要负责对系统管理员和安全保密员的操作行为进行审计跟踪、分析和监督检查,及时发现违规行为,并定期向系统安全保密管理机构汇报情况。 二、“三员”配置要求 1、系统管理员、安全保密管理员和安全审计员不能以其他用户身份登录系统;不能查看和修改任何业务数据库中的信息;不能增删改日志内容。 2、涉密信息系统三员应由本单位内部人员担任,要求政治上可靠,熟悉涉密信息系统管理操作流程,具有较强的责任意识和风险防控意识;并签署保密承诺书。 3、系统管理人员和安全保密管理人员可由信息化部门
专业技术人员担任,对于业务性较强的涉密信息系统可由相关业务部门担任;安全审计员根据工作需要由保密部门或其他能胜任安全审计员工作的人员担任。 4、同一设备或系统的系统管理员和安全审计员不能由同一人兼任,安全保密管理员员和安全审计员不得由同一人兼任。 三、“三员”权限管理流程 当用户需要使用涉密信息系统时,应该首先在本部门提出书面申请,该部门主管领导批准后,根据实际情况对此用户在系统中的权限进行说明,并将整个情况报本单位的保密工作机构备案。 系统管理员收到用户书面申请后,根据该部门主管领导
蓝盾主机监控与审计系统操作手册
蓝盾主机监控与审计系统操作手册(BD-SECSYS) 操 作 手 册 广东天海威数码技术有限公司 2004年7月 广东天海威数码技术有限公司蓝盾内网安全保密系统(BD-SECSYS) 目录 第一章系统概述...................................................................... ............................. 4 1、系统组成...................................................................... ..................................... 4 2、主机代理功能特 点 ..................................................................... .. (4) 2.1、网络检测防护功能...................................................................... . (4) 2.2、共享防护...................................................................... .. (5)
2.3、文件检测防护...................................................................... (5) 2.4、注册表检测防护...................................................................... .. (6) 2.5、主机日志监控...................................................................... (6) 2.6、设备管理和认证...................................................................... .. (7) 2.7、主机资源审计...................................................................... (7) 2.8、异常检测...................................................................... .. (8) 2.9、外联监控...................................................................... .. (8) 2.10、关联安全功能...................................................................... . (8)
连续审计:对保证、监控和风险评估的意义
GLOBAL TECHNOLOGY AUDIT AUIDE 全球技术审计指南(第3号) (2005 年 9 月公布) Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment 连续审计:对保证、监控和风险评估的意义 Author David Coderre, Royal Canadian Mounted Police (RCMP) 作者 戴维德·科德里(加拿大皇家骑警) Subject Matter Experts John G. Verver, ACL Services Ltd. Donald J. Warren, Center for Continuous Auditing, Rutgers University
主题专家 约翰·G·沃沃(ACL公司) 唐纳德·J·倭仁(鲁特格斯大学,连续审计研究中心)湘潭大学商学院阳杰译(2006年11月) *注:原指南附录部分由于篇幅限制,未加翻译 作者水平有限,如有错误之处,请email到yang-jie1891@https://www.360docs.net/doc/c49431968.html, 目录
今天的法规环境下,首席审计师们都发觉他们的部门变得越来越被为满足遵循要求的监控和内部操纵测试所吞噬。然而,大多数的运营和财务审计行为保留下来了。许多内部审计部门正借助技术来减轻
负担,并提升效率和生产率,推动经营绩效。 这份全球技术审计指南“连续审计:对保证、监控和风险评估的意义”给首席审计师们提供关于如何实施一个理想的策略,结合连续审计和连续监控方案来应对这些挑战。ACL的数据分析技术和连续操纵监控方案能够最好地提升审计实践,以满足当今对有效操纵地高度要求。ACL能够关心你证明适当的技术投资的好处,同时支持持续的遵循需要,增加运营效率,并对提高收益有关心。 第一部分首席审计师简述 对风险治理和操纵系统的有效性进行及时和连续的保证的需求特不关键。组织频繁地暴露在重大错误、舞弊或者无效率下,这些会导致财务损失和风险升级。一个变化的法规环境,经营的全球化,市场方面要求改善经营的压力,以及快速变化的商业环境要求更加及时和连续地对正在运行的操纵的有效性和风险水平正在降低作出保证。 这些要求给首席审计师们和他们的职员不断增加压力。内部审计部门卷入遵循工作的程度持续增加,尤其是由于法规的缘故,例如美国2002年的萨班斯法案第404节。关注度的提高不仅与期望值的增长有关,还与内部审计师在评价内部操纵的有效性、风险治理和治理流程中保持独立性和客观性的能力能力有关。 今天,内部审计师面临着的挑战来自一系列的领域:
安全审计及监控管理规定
安全审计及监控管理规 定 Document number:NOCG-YUNOO-BUYTT-UU986-1986UT
《XXXX安全管理制度汇编》安全审计及监控管理办法
目录
第一章总则 第一条制度目标:为了加强信息安全保障能力,建立健全的安全管理体系,提高整体的网络与信息安全水平,保证网络通信畅通和业务系统的正常运营,提高网络服务质量,在安全体系框架下,本制度为加强信息安全事件的管理,规范安全事件的响应和操作流程。 第二条适用范围:本制度适用于TCP/IP网络、以及所承载的业务系统。 第三条使用人员及角色职责:本制度适用于网络信息系统维护及相关人员。 第四条制度相关性:本制度与安全检查及监控等管理办法相关。 第二章职责 第五条安全管理员负责所有系统及设备的超级用户帐号及权限管理员。 第六条安全设备管理员负责安全设备的日常维护监控工作。 第七条网络管理员负责网络系统的日常维护监控工作。 第八条主机系统管理员负责主机、服务器、操作系统的监控工作。 第九条数据库管理员负责数据库系统的监控工作。 第十条应用系统管理员负责应用系统的监控工作。 第十一条安全审计员 (一)负责信息安全审计的日常工作; (二)负责组织、计划定期的审计活动。 第三章规定 第一节安全监控及审计职责 第十二条信息安全日常监控由各系统管理员、各数据库管理员、各应用系统管理员、各网络管理员等进行操作;
第十三条安全审计员根据各信息系统管理员的监控结果审计网络、各数据库、各计算机系统、各应用系统等的安全状况。 第十四条安全审计员定期将审计结果上报到信息安全管理工作组; 第十五条信息安全管理工作组根据安全审计员上报审计结果进行抽检和改进。 第二节安全监控内容 第十六条网络监控 网络监控的内容主要包括数据流异常分析和黑客入侵监控。分别是指: (一)网络设备运行性能监控; (二)数据流分析通过全OSI七层解码,包括对数据库数据包进行分析,发现网络中数据流类型和内容,从中发现是否有违反安全策略的 行为和被攻击的迹象;同时根据数据协议类型发现当前数据趋势,帮 助分析网络状况,避免大规模病毒爆发; (三)黑客入侵监控要不仅能检测来自外部的入侵行为,同时也监控内部用户的未授权活动。 第十七条主机监控 主机监控的内容主要包括主机系统信息监控、主机重要文件和资源监控、主机网络连接的监控、主机系统进程的监控。分别是指: (一)主机系统信息监控对系统的配置信息和运行情况进行监控,包括主机机器名、网络配置、用户登录、进程情况、CPU和内存使用情 况、硬盘容量等; (二)对主机的重要文件和资源使用进行监控; (三)监控重要主机网络连接情况,监控主机开启的服务,对传输数据包内容进行过滤监控,对非法的连接进行跟踪。 第十八条数据库监控 (一)数据库性能监控; (二)数据库监控是对数据库的操作进行监控,以保护数据库的安全。 (三)数据库容量监控; (四)用户安全登录监控;
信息系统审计(IT审计)操作流程(精)
信息系统审计(IT审计操作流程 一、审计计划阶段 计划阶段是整个审计过程的起点。其主要工作包括: (1了解被审系统基本情况 了解被审系统基本情况是实施任何信息系统审计的必经程序,对基本情况的了解有助于审计组织对系统的组成、环境、运行年限、控制等有初步印象,以决定是否对该系统进行审计,明确审计的难度,所需时间以及人员配备情况等。 了解了基本情况,审计组织就可以大致判断系统的复杂性、管理层对审计的态度、内部控制的状况、以前审计的状况、审计难点与重点,以决定是否对其进行审计。 (2初步评价被审单位系统的内部控制及外部控制 传统的内部控制制度是为防止舞弊和差错而形成的以内部稽核和相互牵制为核心的工作制度。随着信息技术特别是以Internet为代表的网络技术的发展和应用,企业信息系统进一步向深层次发展,这些变革无疑给企业带来了巨大的效益,但同时也给内部控制带来了新的问题和挑战。加强内部控制制度是信息系统安全可靠运行的有力保证。依据控制对象的范围和环境,信息系统内控制度的审计内容包括一般控制和应用控制两类。 一般控制是系统运行环境方而的控制,指对信息系统构成要素(人、机器、文件的控制。它已为应用程序的正常运行提供外围保障,影响到计算机应用的成败及应用控制的强弱。主要包括:组织控制、操作控制、硬件及系统软件控制和系统安全控制。 应用控制是对信息系统中具体的数据处理活动所进行的控制,是具体的应用系统中用来预测、检测和更正错误和处置不法行为的控制措施,信息系统的应用控制主要体现在输入控制、处理控制和输出控制。应用控制具有特殊性,不同的应用系
统有着不同的处理方式和处理环节,因而有着不同的控制问题和不同的控制要求,但是一般可把它划分为:输入控制、处理控制和输出控制。 通过对信息系统组织机构控制,系统开发与维护控制,安全性控制,硬件、软件资源控制,输入控制,处理控制,输出控制等方而的审计分析,建立内部控制强弱评价的指标系统及评价模型,审计人员通过交互式人机对话,输入各评价指标的评分,内控制审计评价系统则可以进行多级综合审计评价。通过内控制度的审计,实现对系统的预防性控制,检测性控制和纠正性控制。 (3识别重要性 为了有效实现审计目标,合理使用审计资源,在制定审计计划时,信息系统审计人员应对系统重要性进行适当评估。对重要性的评估一般需要运用专业判断。考虑重要性水平时要根据审计人员的职业判断或公用标准,系统的服务对象及业务性质,内控的初评结果。重要性的判断离不开特定环境,审计人员必须根据具体的信息系统环境确定重要性。重要性具有数量和质量两个方面的特征。越是重要的子系统,就越需要获取充分的审计证据,以支持审计结论或意见。 (4编制审计计划 经过以上程序,为编制审计计划提供了良好准备,审计人员就可以据以编制总体及具体审计计划。 总体计划包括:被审单位基本情况;审计目的、审计范围及策略;重要问题及重要审计领域;工作进度及时间;审计小组成员分工;重要性确定及风险评估等。 具体计划包括:具体审计目标;审计程序;执行人员及时间限制等。 二、审计实施阶段 做好上诉材料的充分的准备,便可进行审计实施,具体包括以下内容: (1对信息系统计划开发阶段的审计
涉密网络主机审计(1)
涉密网络主机审计 1引言 随着网络与信息系统的广泛使用,网络与信息系统安全问题逐渐成为 人们注重的焦点。 涉密网与因特网之间一般采取了物理隔离的安全措施,在一定水准上 保证了内部网络的安全性。不过,网络安全管理人员仍然会对所管理 网络的安全状况感到担忧,因为整个网络安全的薄弱环节往往出现在 终端用户。网络安全存有着“木桶”效应,单个用户计算机的安全性 不足时刻威胁着整个网络的安全1。如何增强对终端用户计算机的安全管理成为一个急待解决的问题。 本文从系统的、整体的、动态的角度,参照国家对安全审计产品的技 术要求和对部分主机审计软件的了解,结合实际的信息安全管理需求,讨论主机审计系统的设计,达到对终端用户的有效管理和控制。 2安全审计概念。 计算机网络信息系统中信息的机密性、完整性、可控性、可用性和不 可否认性,简称“五性”,安全审计是这“五性”的重要保障之一2。 凡是对于网络信息系统的薄弱环节实行测试、评估和分析,以找到极 佳途径在最大限度保障安全的基础上使得业务正常运行的一切行为和 手段,都能够叫做安全审计3。 传统的安全审计多为“日志记录”,注重事后的审计,强调审计的威 慑作用和安全事件的可核查性。随着国家信息安全政策的改变,美国 首先在信息保障技术框架(IATF)中提出在信息基础设置中实行所谓“深层防御策略(Defense2in2DepthStrategy)”,对安全审计系统 提出了参与主动保护和主动响应的要求4。这就是现代网络安全审计的雏形,突破了以往“日志记录”
等浅层次的安全审计概念,是全方位、分布式、多层次的强审计概念,符合信息保障技术框架提出的保护、检测、反应和恢复(PDRR)动态 过程的要求,在提升审计广度和深度的基础上,做到对信息的主动保 护和主动响应。 3主机审计系统设计。 安全审计从技术上分为网络审计、数据库审计、主机审计、应用审计 和综合审计。主机审计就是获取、记录被审计主机的状态信息和敏感 操作,并从已有的主机系统审计记录中提取信息,依据审计规则分析 判断是否有违规行为。 一般网络系统的主机审计多采用传统的审计,涉密系统的主机审计应 采用现代综合审计,做到对信息的主动保护和主动响应。所以,涉密 网络的主机审计在设计时就应该全方位实行考虑。 3.1体系架构。 主机审计系统由控制中心、受控端、管理端等三部分组成。管理端和 控制中心间为B/S架构,管理端通过浏览器访问控制中心。对于管理端,其操作系统应不限于Windows,浏览器也不是只有IE。管理端地位 重要,应有一定保护措施,同时管理端和控制中心的通讯应有安全保障,可考虑隔离措施和SHTTP协议。 主机审计能够分不同的角色来使用,至少划分安全策略管理员、审计 管理员、系统管理员。 安全策略管理员按照制定的监控审计策略实行实施;审计管理员负责 定期审计收集的信息,根据策略判断用户行为(包括三个管理员的行为)是否违规,出审计报告;系统管理员负责分配安全策略管理员和 审计管理员的权限。三员的任何操作系统有相对应记录,对系统的操 作互相配合,同时互相监督,既方便管理,又保证整个监控体系和系 统本身的安全。控制中心是审计系统的核心,所有信息都保存有控制 中心。所以,控制中心的操作系统和数据库最好是国内自己研发的。
信息系统审计
信息系统审计 电子数据处理系统发展分为三阶段:数据的单项处理阶段(1953-1965)、数据的综合处理阶段(1965-1970)、数据的系统处理阶段(1970年以后),对传统审计产生了巨大的影响,主要表现在(1)对审计线索的影响:传统的审计线索缺失;EDP下:数据处理、存储电子化,不可见,难辨真伪。(2)对审计方法和技术的影响:技术方法复杂化;EDP下:利用计算机——审计技术变得复杂化(3)对审计人员的影响:知识构成要求发生变化;EDP下:会计、审计、计算机等知识和技能(4)对审计准则的影响:信息化下审计准则与标准的缺失;EDP下:在原有审计准则的基础上,建立一系列新的准则(5)对内部控制的影响:内部控制方式发生改变:传统方式下:强调对业务活动及会计活动使用授权批准和职责分工等控制程序来保证。EDP下:数据处理根据既定的指令程序自动进行,信息的处理和存储高度集中于计算机,控制依赖于计算机信息系统,控制方式发生改变。 2、信息系统审计的定义:指根据公认的标准和指导规范,对信息系统从计划、研发、实施到运行维护各个环节进行审查评价,对信息系统及其业务应用的完整、效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现,并提出一系列改进建议的管理活动。 3、信息系统审计的特点(1)审计范围的广泛性(2)审计线索的隐蔽性、易逝性(3)审计取证的动态性(4)审计技术的复杂性:首先,由于不同被审单位的信息系统所配备的计算机设备各式各样,各个机器的功能各异,所配备的系统软件也各不相同。审计人员在审计过程中,必然要和计算机的硬件和系统软件打交道,各种机型功能不一,配备的系统软件各异,必然增加了审计技术的复杂性,其次,由于不同被审单位的业务规模和性质不同,所采用的数据处理及存储方式也不同,不同的数据处理,存储方式,审计所采用的方法、技术也不同。此外,不同被审单位其应用软甲你的开发方式、软件开发的程序设计语言也不尽相同,不同开发方式以及用不同的程序设计语言开发的应用软件,其审计方法与技术也不一样。 4、信息系统审计的目标:(1)保护资产的完整性:信息系统的资产包括硬件、软件、设备、人员、数据文件、系统档案等;(2)保证数据的准确性:数据准确性是指数据能满足规定的条件,防止粗无信息的输入和输出,一级非授权状态下的修改信息所造成的无效操作和错误后果;(3)提高系统的有效性:系统的有效性表明系统能否获得预期的目标;(4)提高系统的效率性:系统效率是指系统达到预定目标所消耗的资源,一个效率高的信息系统能够以尽量少的资源达到需要的目标;(5)保证信息系统的合规性合法性:信息系统及其运用必须遵守有关法律、法规和规章制度。 5、信息系统审计的主要内容:内部控制系统审计内部控制系统包括一般控制系统(包含组织控制、系统开发控制、系统安全控制、硬件和系统软件控制等方面)应用控制系统(输入、处理、输出);系统开发审计;应用程序审计(决定了数据处理的合规性、正确性目的:一是测试应用控制系统的符合性;二是通过检查程序运行和逻辑的正确性达到实质性测试目的。测试应用控制的符合性是指对嵌入应用程序中的控制措施进行测试,看它们是否按设计要求在运行和起作用);数据文件审计(目的:一是数据文件进行实质性测试;而是通过数据文件的审计,测试一般控制或应用控制的复合型,但数据文件审计主要是为了实质性测试) 6、基本方法:绕过信息系统审计:基于黑箱(Black box)原理,审计人员不审查系统内的程序和文件,只审查I/O数据及其管理制度。优点:审计技术简单、较少干扰被审系统。缺点:审计结果不太可靠、要求I/O联系紧密 通过信息系统审计:基于黑箱(Black box)原理,审计人员不审查系统内的程序和文件,只审查I/O数据及其管理制度。优点:审计技术简单、较少干扰被审系统。缺点:审计结果不太可靠、要求I/O联系紧密。 7、步骤:准备阶段(明确审计任务、组成信息系统小组、了解被审系统的基本情况、制定
主机审计与监控系统白皮书
主机审计与监控系统V1.5 技 术 白 皮 书 北京博睿勤技术发展有限公司 Beijing Bring Technology Development Co.,Ltd
目录 一系统简介 (1) 1.1系统概述 (1) 1.2系统结构 (1) 二主要功能 (3) 2.1概述 (3) 2.2控制功能 (3) 2.2.1 硬件资源控制 (3) 2.2.2 软件资源控制 (4) 2.2.3 移动存储设备控制 (4) 2.2.4 IP与MAC地址绑定 (4) 2.3监控功能 (4) 2.3.1 进程监控 (5) 2.3.2 服务监控 (5) 2.3.3 硬件操作监控 (5) 2.3.4 文件系统监控 (5) 2.3.5 打印机监控 (5) 2.3.6 非法外联监控 (6) 2.3.7 计算机用户账号监控 (6) 2.4审计功能 (6) 2.4.1 文件操作审计 (6) 2.4.2 外挂设备操作审计 (6) 2.4.3 非法外联审计 (6) 2.4.4 IP地址更改审计 (7) 2.4.5 服务、进程审计 (7) 2.5系统管理功能 (7) 2.5.1 代理状态监控 (7)
2.5.2 安全策略管理 (7) 2.5.3 主机监控代理升级管理 (7) 2.5.4 计算机注册管理 (8) 2.5.5 实时报警 (8) 2.5.6 历史信息查询 (8) 2.5.7 统计与报表 (8) 2.6其它辅助功能 (8) 2.6.1 资产管理 (8) 2.6.2 补丁分发 (8) 2.6.3 操作系统日志收集 (9) 三主要特色 (10) 3.1系统部署方式灵活、安装方便 (10) 3.2控制、监控与审计结合,全方位防止泄密 (10) 3.3高性能、高可靠性 (10) 3.4主机代理安装卸载方便 (10) 3.5监控模块可动态加载与卸载 (11) 3.6自动升级 (11) 3.7灵活的分级管理架构 (11) 3.8完善的自保护机制 (11) 3.9丰富的报表、报表类型灵活多样 (11) 3.10高兼容性 (11) 3.11系统通信安全性 (12) 3.12多方位的主机资源信息管理功能 (12) 四系统主要性能参数 (13) 五系统配置要求 (14)
主机审计与监控系统白皮书
V1.5主机审计与监控系统 技术白皮书 北京博睿勤技术发展有限公司Beijing Bring Technology Development Co.,Ltd 目录
一系统简介 (1) 1.1系统概述 (1) 1.2系统结构 (1) 二主要功能 (3) 2.1概述 (3) 2.2控制功能 (3) 2.2.1 硬件资源控制 (3) 2.2.2 软件资源控制 (4) 2.2.3 移动存储设备控制 (4) 2.2.4 IP与MAC地址绑定 (4) 2.3监控功能 (4) 2.3.1 进程监控 (5) 2.3.2 服务监控 (5) 2.3.3 硬件操作监控 (5) 2.3.4 文件系统监控 (5) 2.3.5 打印机监控 (5) 2.3.6 非法外联监控 (6) 2.3.7 计算机用户账号监控 (6) 2.4审计功能 (6) 2.4.1 文件操作审计 (6) 2.4.2 外挂设备操作审计 (6) 2.4.3 非法外联审计 (6) 2.4.4 IP地址更改审计 (7) 2.4.5 服务、进程审计 (7) 2.5系统管理功能 (7) 2.5.1 代理状态监控 (7) 2.5.2 安全策略管理 (7) 2.5.3 主机监控代理升级管理 (7) 2.5.4 计算机注册管理 (8) 2.5.5 实时报警 (8) 2.5.6 历史信息查询 (8) 2.5.7 统计与报表 (8) 2.6其它辅助功能 (8) 2.6.1 资产管理 (8) 2.6.2 补丁分发 (8) 2.6.3 操作系统日志收集 (9) 三主要特色 (10) 3.1系统部署方式灵活、安装方便 (10) 3.2控制、监控与审计结合,全方位防止泄密 (10) 3.3高性能、高可靠性 (10)
审计部管理信息系统项目概要
审计部管理信息系统项目 概要 The document was prepared on January 2, 2021
海量免费资料尽在此 项目概要 项目名称:审计管理信息系统 联系人:杨军毛可联系电话: 7944,7333 1. 项目背景 全行审计系统拥有八个审计分部、38个总审计室和123个审计办事处,审计人员3300余名,每年完成审计项目近4000个。但是,长期以来,审计工作成果包括审计底稿、审计中发现的问题、审计报告等一直都以纸介质形式分散保存在各级审计机构,对于审计项目、审计人员、审计机构的管理也没有相应科技手段的支持,不利于审计整体优势的发挥、审计成果的有效再利用。为改变这种局面,我部提出开发“审计管理信息系统”。目前,我部正在会同信息技术管理部进行该项目可行性研究工作,计划明年3月份进入项目的正式立项与开发实施。 2. 项目目标 加强审计工作信息化管理,充分利用现代科技手段,实现全行审计人员、审计机构、审计项目、审计成果等信息的综合管理和利用。 3. 需求概述
系统功能需求覆盖了大部分审计日常管理业务和部分现场审计业务,系统主要包括七个子功能:底稿及问题台帐录入、审计机构管理、审计人员管理、审计项目管理、审计成果管理、查询及分析、系统管理。 4. 与相关系统关系 无。 5. 设备配置概述 初步计划,38个一级分行各安装一台PC服务器,总行两台PC服务器。 6. 投资概算 资本性支出-固定资产:750万,费用230万。 7. 项目计划概述 可行性研究阶段:完成可行性研究报告,进行专家论证, 申请立项。 系统开发阶段:完成系统开发。 系统测试阶段:完成系统测试。 系统试运行阶段:完成试运行及推广。 系统验收阶段:完成验收。