汉邦信息安全综合强审计系统是一套可以实现对网络系统资源进行全方位审计管理的综合管理系统,通过对网络中的主机、服务器、网络环境以及数据库进行分散监控,并通过审计中心对整个系统的相关信息进行集中审计管理。该系统可以全面体现系统内各级管理层对系统资源的全局控制、把握和调度能力。
一、汉邦综合强审计系统主要特点
1、分布式:汉邦综合强审计系统以实现实时分散处理和集中统一审计为目的,对于跨网段、跨区域的大规模网络环境,集中设置审计策略和获取审计日志,分级管理,大大提高了网络运行效率。
 |
汉邦综合强审计系统分布式架构示意图
2、综合性:该系统是集主机审计、网络审计、数据库审计、应用审计于一体的审计系统。
 |
汉邦综合强审计系统综合性结构示意图
3、扩展性:汉邦综合强审计系统不只有事后责任认定的审计功能,还兼有绝大部分的授权功能。
4、便捷性:汉邦综合强审计系统的便捷性主要体现在以下几点:
- 功能实现模块化管理;
- 中心实现域内自动升级;
- 报表提供了自定义检索功能;
二、汉邦综合强审计系统主要功能介绍
- 系统信息综合审计
对系统的配置信息和运行情况进行审计,包括主机机器名、网络配置、用户登录、进程情况、CPU和内存使用情况、硬盘容量等,可以设置阈值,如果性能降底到阈值以下则产生报警事件。
-
网络审计
对主机网络实时信息的监控、设置网络规则和查询网络日志信息的功能。记录和监控主机的网络连接情况,审计主机开启的服务,制定网络连接规则,允许或禁止指定的网络连接,对数据包内容进行过滤,对非法的连接产生报警事件。
- 拨号审计
通过设置拨号规则进行拨号控制管理,实时对拨号信息进行监控,可以禁止或者允许拨号,也可以设定允许在某一时间段内通过某一号码访问某一网址。
-
文件审计
通过在客户端对系统的文件操作进行驱动级审计与保护,对用户指定的文件实行读写操作授权,对重要的系统文件进行保护,非法的文件操作将产生报警事件。
-
进程审计
设置进程为合法或非法后,提供非法进程报警和报警信息查询功能。
-
打印审计
打印审计是对所有连接到审计中心的主机传感器的打印信息审计。审计的内容包括:传感器名、打印机名称以及实现打印再现等功能。
-
邮件审计
对主机的有关邮件的操作进行监控,用于实时监控和事后查询邮件操作。
-
主机帐号审计
主机的用户帐户监控,包括创建、更改本地用户、用户组等行为。
-
主机IP审计
主机IP审计功能实现的是对被审计主机IP地址的修改进行记录和禁止。同时可以查询到在指定时间段的被审计主机IP地址的修改信息。
-
软硬件资源审计
主机软硬件资源审查,列出各个被控计算机的硬件和软件清单并根据列表自动发现未安装指定软件等非法行为。
-
盘符审计
对网络计算机的光驱、软驱、USB接口、网络映射驱动器的操作进行审计。
-
网络端口审计
对被审计主机的所有网络端口进行监控、审计,及时发现和阻断异常网络通信。
-
注册表审计
注册表是Windows的重要配置系统,实时审计注册表的操作过程,并对重要的注册项进行保护。
-
防拷贝审计
通过对文件的访问控制与授权、盘符的操作控制与审计来达到防拷贝的目的。
-
文件共享审计
针对windows的网络共享协议进行审计,提供主机间的共享行为和操作信息。
-
日志审计
根据日志类型可以查询:应用日志、系统日志、安全日志和开关机日志等信息,也可以查询实时查询被审计主机的以上四种类型日志信息。
-
入侵检测审计
对从网络中抓取到的数据包进行协议分析,与相应的入侵检测审计规则库进行模式匹配,从而发现有入侵特征的数据包;同时记忆基于连接的网络数据包前后状态,从中分析入侵的可能或企图,发现入侵或入侵企图即产生报警。
-
协议审计
对网络协议的操作和内容进行进一步的分析,对有特殊内容或某些违规的操作产生报警事件。管理员可以定义违反规则的内容策略,在匹配到相应内容后记录并产生报警事件通知管理员。
-
流量审计
对抓取的数据包根据某一类特征进行归类统计,可以得到各种流量统计表或统计图。可以对某些地址的流量速度进行限制,超过规定值时即产生报警事件。
-
MAC地址审计
制定IP地址与MAC地址的对应关系,如果抓取到的数据包与此对应关系不符,则产生报警事件。
-
信息还原审计
信息还原审计是根据跟踪检测、协议还原技术监测和审查网上信息,它能以旁路、透明的方式实时高速的对进出内部网络的电子邮件和传输信息等进行数据截取和还原,并可根据用户需求对通信内容进行审计,提供高速的敏感关键词检索和标记功能,从而为防止内部网络敏感信息的泄漏以及非法信息的传播,它能完整的记录各种信息的起始地址和使用者,为调查取证提供第一手的资料。
-
关键字过滤审计
对传输的主要内容,如:邮件及其附件(压缩文档、word文档、Text文档等)、www页面文档等进行有效的匹配过滤,定义安全审计级别。
-
数据库操作审计
数据库审计传感器根据对控制中心的设置,对相应的操作进行审计处理。有效判断远程操作是否合法。
-
数据库表名审计
数据库审计传感器根据对控制中心的设置,对远程操作的数据库表名进行审计处理。有效判断被操作的表是否被允许。
-
数据库字段名审计
数据库审计传感器根据对控制中心的设置,对远程操作的字段名进行审计处理。有效判断被操作的字段是否允许。
-
报警功能
当数据库审计传感器审计到相关信息时,根据风险等级,做出相应处理。及时向报警中心发出报警信息,以便管理员迅速做出处理。
- 日志检索功能
记录相关的日志,使管理员可以方便管理和查看有关信息。 - 非代理式应用审计
通过对特定应用程序资源使用情况的监控,实现对应用的控制与信息的获取,同时实时监视应用进程状态。
- 代理式应用审计
通过对应用程序值入定制的代理程序模块,实现对应用的监控和审计。
三、汉邦综合强审计系统在内网安全管理中的作用
1、取证作用:对内网公务人员和工作人员的泄密、违规操作、误操作、失密、窃密、篡改、删除、非法拨号等行为提供责任认定查处的依据。(实质上就是初步构建了网络安全的责任认定体系)2、防范作用:对光驱、软驱、USB口、打印机、1394口、modem、网络映射盘符驱动器等设备的使用进行授权。(实质上实现了绝大部分的授权功能)
3、安全管理作用:安全管理模式经历了从“规章制度建设”到“三分技术、七分管理”再到目前的“技管并重”,综合强审计系统实质上是“技管并重”管理中的重要的一环,初步构建了运用技术手段解决信息安全管理中的问题。
