漢邦信息安全綜合強審計系統是一套可以實現對網絡系統資源進行全方位審計管理的綜合管理系統��,通過對網絡中的主機�����、服務器、網絡環境以及數據庫進行分散監控����,并通過審計中心對整個系統的相關信息進行集中審計管理����。該系統可以全面體現系統內各級管理層對系統資源的全局控制、把握和調度能力。
一、漢邦綜合強審計系統主要特點
1����、分布式:漢邦綜合強審計系統以實現實時分散處理和集中統一審計為目的��,對于跨網段、跨區域的大規模網絡環境,集中設置審計策略和獲取審計日志,分級管理,大大提高了網絡運行效率��。
漢邦綜合強審計系統分布式架構示意圖
2����、綜合性:該系統是集主機審計、網絡審計��、數據庫審計�����、應用審計于一體的審計系統��。
漢邦綜合強審計系統綜合性結構示意圖
3、擴展性:漢邦綜合強審計系統不只有事后責任認定的審計功能,還兼有絕大部分的授權功能�����。
4��、便捷性:漢邦綜合強審計系統的便捷性主要體現在以下幾點:
- 功能實現模塊化管理��;
- 中心實現域內自動升級����;
- 報表提供了自定義檢索功能;
二����、漢邦綜合強審計系統主要功能介紹
對系統的配置信息和運行情況進行審計����,包括主機機器名����、網絡配置、用戶登錄、進程情況、CPU和內存使用情況����、硬盤容量等��,可以設置閾值,如果性能降底到閾值以下則產生報警事件�����。
對主機網絡實時信息的監控��、設置網絡規則和查詢網絡日志信息的功能����。記錄和監控主機的網絡連接情況����,審計主機開啟的服務,制定網絡連接規則��,允許或禁止指定的網絡連接�����,對數據包內容進行過濾,對非法的連接產生報警事件��。
通過設置撥號規則進行撥號控制管理�����,實時對撥號信息進行監控�����,可以禁止或者允許撥號�����,也可以設定允許在某一時間段內通過某一號碼訪問某一網址。
通過在客戶端對系統的文件操作進行驅動級審計與保護��,對用戶指定的文件實行讀寫操作授權�����,對重要的系統文件進行保護����,非法的文件操作將產生報警事件��。
設置進程為合法或非法后����,提供非法進程報警和報警信息查詢功能����。
打印審計是對所有連接到審計中心的主機傳感器的打印信息審計��。審計的內容包括:傳感器名��、打印機名稱以及實現打印再現等功能。
對主機的有關郵件的操作進行監控����,用于實時監控和事后查詢郵件操作����。
主機的用戶帳戶監控��,包括創建�����、更改本地用戶、用戶組等行為����。
主機IP審計功能實現的是對被審計主機IP地址的修改進行記錄和禁止����。同時可以查詢到在指定時間段的被審計主機IP地址的修改信息�����。
主機軟硬件資源審查����,列出各個被控計算機的硬件和軟件清單并根據列表自動發現未安裝指定軟件等非法行為�����。
對網絡計算機的光驅、軟驅、USB接口�����、網絡映射驅動器的操作進行審計�����。
對被審計主機的所有網絡端口進行監控����、審計,及時發現和阻斷異常網絡通信。
注冊表是Windows的重要配置系統,實時審計注冊表的操作過程�����,并對重要的注冊項進行保護����。
通過對文件的訪問控制與授權、盤符的操作控制與審計來達到防拷貝的目的。
針對windows的網絡共享協議進行審計��,提供主機間的共享行為和操作信息����。
根據日志類型可以查詢:應用日志、系統日志、安全日志和開關機日志等信息,也可以查詢實時查詢被審計主機的以上四種類型日志信息。
對從網絡中抓取到的數據包進行協議分析�����,與相應的入侵檢測審計規則庫進行模式匹配��,從而發現有入侵特征的數據包;同時記憶基于連接的網絡數據包前后狀態,從中分析入侵的可能或企圖��,發現入侵或入侵企圖即產生報警�����。
對網絡協議的操作和內容進行進一步的分析��,對有特殊內容或某些違規的操作產生報警事件。管理員可以定義違反規則的內容策略����,在匹配到相應內容后記錄并產生報警事件通知管理員����。
對抓取的數據包根據某一類特征進行歸類統計��,可以得到各種流量統計表或統計圖��。可以對某些地址的流量速度進行限制��,超過規定值時即產生報警事件����。
制定IP地址與MAC地址的對應關系,如果抓取到的數據包與此對應關系不符�����,則產生報警事件�����。
信息還原審計是根據跟蹤檢測、協議還原技術監測和審查網上信息����,它能以旁路�����、透明的方式實時高速的對進出內部網絡的電子郵件和傳輸信息等進行數據截取和還原,并可根據用戶需求對通信內容進行審計�����,提供高速的敏感關鍵詞檢索和標記功能��,從而為防止內部網絡敏感信息的泄漏以及非法信息的傳播��,它能完整的記錄各種信息的起始地址和使用者,為調查取證提供第一手的資料����。
對傳輸的主要內容����,如:郵件及其附件(壓縮文檔、word文檔�����、Text文檔等)����、www頁面文檔等進行有效的匹配過濾,定義安全審計級別��。
數據庫審計傳感器根據對控制中心的設置�����,對相應的操作進行審計處理。有效判斷遠程操作是否合法����。
數據庫審計傳感器根據對控制中心的設置��,對遠程操作的數據庫表名進行審計處理。有效判斷被操作的表是否被允許�����。
數據庫審計傳感器根據對控制中心的設置��,對遠程操作的字段名進行審計處理�����。有效判斷被操作的字段是否允許。
當數據庫審計傳感器審計到相關信息時,根據風險等級�����,做出相應處理��。及時向報警中心發出報警信息�����,以便管理員迅速做出處理。
- 日志檢索功能
記錄相關的日志��,使管理員可以方便管理和查看有關信息����。
- 非代理式應用審計
通過對特定應用程序資源使用情況的監控����,實現對應用的控制與信息的獲取,同時實時監視應用進程狀態��。
- 代理式應用審計
通過對應用程序值入定制的代理程序模塊�����,實現對應用的監控和審計��。
三、漢邦綜合強審計系統在內網安全管理中的作用
1��、取證作用:對內網公務人員和工作人員的泄密�����、違規操作��、誤操作、失密��、竊密�����、篡改�����、刪除����、非法撥號等行為提供責任認定查處的依據��。(實質上就是初步構建了網絡安全的責任認定體系) 2、防范作用:對光驅����、軟驅��、USB口、打印機����、1394口�����、modem、網絡映射盤符驅動器等設備的使用進行授權�����。(實質上實現了絕大部分的授權功能) 3�����、安全管理作用:安全管理模式經歷了從“規章制度建設”到“三分技術����、七分管理”再到目前的“技管并重”�����,綜合強審計系統實質上是“技管并重”管理中的重要的一環����,初步構建了運用技術手段解決信息安全管理中的問題��。
四、漢邦綜合強審計系統適用范圍:
政府機關����、軍隊��、證券、教育、電力��、電信�����、企事業單位等網絡����。
