主机监控非法内联监控效率高

为了确保涉密文件的安全，在防止端机非法外联同时也要保证内网的安全，防止非法内联事件的发生。非法计算机指在本系统内没有注册登记的计算机。非法内联指没有注册的计算机连接入网。

在发现有非法计算机连接入网时要及时报警，通知管理员有非法事件发生。非法内联行为的发现可通过服务器定时扫描方式实现，即定时对网段内所有计算机进行扫描。此方法存在以下缺点：

1）服务器要对整个网段的所有IP地址进行扫描，轮询一次必要花费一定的时间，如果非法计算机在其服务器扫描时间间隔内上网并断网，服务器根本无法检测到。

2）非法计算机可以通过端口禁用、安装防火墙等软件方式对系统进行设置，对服务器的扫描不予任何回应，这样服务器也无法检测到非法内联行为的发生。

为了防止以上现象的发生，涉密计算机监控与审计系统在服务器进行定时扫描的功能同时，利用代理端的网络民兵功能进行非法内联计算机的扫描，可有效的对非法内联行为进行检测。

1）指定网络民兵进行定时扫描：服务器通过对在线计算机的检测，在每一网段指定一台计算机对该网段内的计算机进行安全扫描，如果发现非法计算机入网则产生报警信息。网络民兵只扫描本网段内的计算机，被控计算机数量大幅下降，可大量缩短扫描时间间隔，减少未检测到的非法内联行为的发生。

2）通过截获进出本机的数据包分析：代理端软件可以截获进出本机的数据包，通过对TCP/IP数据包的分析可以得到要访问本机的客户机的IP地址。如果该IP 地址已经注册，则认为是合法的，如果没有注册则认为是非法内联计算机，产生报警信息。

代理端软件要根据审计策略、报警策略的要求对相应的事件产生不同信息，这些信息均要通过网络上传到服务器。在端机数据多，审计数据量大时，必然会占用大量的网络资源，同时也会对服务器处理能力产生过大的压力。

涉密计算机监控与审计系统采用以下方式在保证数据的可靠传输的情况下减少对网络的压力。

CMC对上传审计数据的端机的控制：代理端要上传审计数据前先向CMC发出传输请求，在得到的许可信息后方可进行数据的上传。得到端机的上传审计数据的许可后，要对当前正在上传审计数据的端机数进行统计，如果已经达到管理员规定的数目，则通知其排队等候，如果正在上传审计数据的端机数未达到要求，同时网络流量又未达到限值时，通知其进行数据上传，并对数据进行接收。同时还将预留出部分可连接数量用于处理紧急事件的发生。

1) 报警功能：

代理端报警策略的设置及事件的报警级别由CMC负责管理，管理员根据不同端机的工作要求可设置不同报警策略，并下发到各端机。代理端软件则根据本机的报警策略对违规事件产生相应的报警信息，并立即上传到控制台，通知管理员有违规事件发生。

2) 自动升级功能：

代理由BA基本代理和PA策略代理组成，BA运行于OS级，常驻内存，PA则动态加载。当收到新版本PA后，BA动态卸载旧的PA，再加载新版本PA，这一切动作对用户透明，从而达到动态自动升级的目的，也无须管理人员在大规模实施后需要跑到每一个客户端去升级的大工作量行为。

3) 自我防护功能：

BA代理是一个短小强悍的监控程序，驻留在涉密计算机的内存中，体积非常小，隐蔽性强，一但驻留，除SCMCA-HT安全管理员外，将无法删除，因此，可确保监控功能的持续、正常执行。

同时，PA和BA互相监视，并隐蔽存储多副本于计算机中，当监视到对方依托文件不存在时，快速从副本处复制一个依托文件到安装目录。

CMC中心也存储涉密计算机的BA和PA，一旦发现有恶意攻击行为攻击BA或者PA，CMC将产生报警，由响应的管理制度来制止这种恶意攻击行为。

控制管理中心功能

CMC控制管理中心是该系统的核心，实现对所管辖计算机代理采集信息的统一管理、审计和报警功能，同时负责该系统本身的管理功能的实现。

系统功能主要完成系统本身的系统设置和维护功能，保证系统访问的用户安全性、系统登录和注销的合法性、系统配置的合理性、系统数据的安全备份与恢复、系统本身的操作日志记录的完整性。

1) 登录与注销

管理员使用默认用户名和密码登录到CMC后，分别创建日志查看员和系统日志监督员，并赋予默认密码。

管理员、日志查看员和系统日志监督员分别使用自己的用户名和默认密码登录CMC，但是根据其权限显示不同的CMC界面。

所有用户在第一次使用默认密码登录后，CMC自动强制各用户更改默认密码为新密码。

所有用户空闲超过一定时间后，系统自动锁定，进入锁定界面。

2）用户及组管理

系统用户管理是对系统本身的用户进行管理的工具。系统用户管理支持多管理员角色，可区分超级管理员、管理员、日志查看员、系统日志监督员。

² 用户管理员具备创建下级用户的权限；

² 管理员只具备系统进行配置、数据备份和恢复的权限，但是不具备下级管理员的权限具备。

² 日志查看员可以操作CMC查阅各代理采集信息、制定策略、进行控制等功能；

² 系统日志监督员负责对超级管理员、管理员、日志查看员的行为日志进行查阅和监督。

如果用户需要，还可在4类角色中再细分级别。4两种角色的组合使用由用户自己决定。

用户管理主要包括管理人员的帐号、口令管理、人员信息的增、删、改、查等操作。

3）参数配置

管理员可以对系统本身的运行参数进行配置，包括：系统显示方式、系统等待时间、计算机安全扫描时间间隔等。

4）数据备份与恢复

管理员可对数据进行备份和恢复，数据库中的数据超过数据保存最大容量之后或者超过数据最长保存时间之后，系统会强制管理员对数据作备份操作，备份数据存放于指定目录下，备份后数据库中的记录才可以删除，备份目录和记录的删除操作都会自动记录到系统日志中，由系统日志监督员进行监督。

所有数据不提供单条记录删除的功能。

系统万一出现崩溃，或者硬件原因造成了数据丢失，管理员可以把最近的一次备份数据恢复到系统中。

5）系统日志维护

系统日志记录管理员对CMC的操作，主要包括：登录、退出、用户管理操作、部门管理操作、策略操作、控制操作等。

系统日志监督员可以对系统日志数据库表/记录进行备份/恢复等维护操作。

日志在备份后可以删除，不提供单条删除功能。

计算机资源是指单位内部的计算机，这些计算机是单位信息网络的重要组成部分，通常来说，某台计算机会有明确的任务、使用范围和使用人。因并没有效的措施指定计算机的使用者，计算机资源的使用难以控制，从而造成一定的信息安全隐患，比如财务部的计算机就不能允许非财务人员使用等等。另外，计算机资源是一个单位非常重要的资产，一般包括硬件资产和软件资产。

CMC利用其超强的硬件获取能力使信息人员和资产管理人员可以很方便的查看到网络内部的硬件的分配情况，可以极大地方便了资产统计人员，避免了过去做资产统计必须拆机箱的做法，利用先进的自动捕获技术，及时的收集到所有的硬件信息，提高工作人员的效率。

CMC利用其强大的软件信息获取能力将单位所拥有的软件纳入资产的正常管理程序，以便掌握单位信息化的投资状况，包括采购、安装、分发、升级、维护、删除等整个软件使用的生命周期。它经由一系列有效的管理措施，配合系统管理的使用，就可以合理地控制软件购置的经费支出，以此提升软件资产的利用率与整体效益，并且确保软件使用的合法性。

1）计算机单机资产管理

单机资产管理负责将网络内合法的计算机添加到本系统内，作为合法用户使用。功能包括：计算机信息的增、删、改、查。

单机资产管理功能包括硬件资产管理和软件资产管理两部分，并且提供强大的统计功能。

² 硬件资产管理

安装硬件信息：在涉密计算机用户注册后，记录下计算机的所有硬件安装信息（处理器CPU，光驱，内存，软驱，声卡，显卡，硬盘的类型及其种类），同时把该信息和用户信息、固定资产编号信息进行关联形成该用户的硬件资产信息并且进行日志记录；

变动硬件信息：检测计算机发生变动的硬件信息，并且记录日志。

² 软件资产管理

安装软件信息：在计算机用户注册后，记录下涉密计算机的所有软件安装信息并且进行日志记录；

变动软件信息：检测计算机发生变动的软件信息，并且记录日志。

2)组/部门资产管理

CMC支持群组/部门管理，即将被监控计算机群按照传统的业务组/工作组/部门进行划分，并按照组/部门的方式进行策略管理，组内的成员的计算机全部自动遵守该组的安全策略。组的成员可随时添加或删除。这一功能对于管理人员快速、准确识别涉密信息和安全状态很有帮助，并且可以大大减轻管理员的策略配置管理负担。

监视管理功能这部分是日志查看员的日常管理任务，他可以使日志查看员可实时掌握内部网络计算机的运行和安全状态，保证内部网络管理策略的正确执行。

1) 在线状态监视

日志查看员可从查看全部主机的联网状态。

如果选择网络方式查看，则在CMC的监视界面上显示全部涉密计算机的联网状态。其中，闪亮的表示在线，灰色的表示离线。

如果选择组/部门方式，则在CMC的监视界面上按部门显示，展开部门后，显示部门所辖涉密计算机的联网状态。

2) 非法入网监视

CMC按照“安装了代理 + IP/MAC地址白名单”的排除法发现非法计算机。“安装了代理 + IP/MAC 地址白名单”是指：定义安装了SCMCA-HT代理的、并且IP/MAC地址在白名单中的涉密计算机称为合法，只有这样的涉密计算机才能使用内网资源，否则强行禁止其使用内网，并且及时报警。

非法入网计算机在CMC中以非法入网计算机为组名称的进行拓扑显示，可以列出所有非法接入内部网络的主机（IP/MAC地址），而在监视界面中显示这些主机的入网行为记录。

3) 安全扫描

CMC可以对指定网段内的涉密计算机进行安全检查，如果发现有未安装本代理以及IP/MAC地址不属于白名单的涉密计算机在线则报警。

主机监控与审计系统UniAccess的策略是指代理对涉密计算机监视和控制规则的集合。

策略的制定、修改、添加、删除、存储/导入、下发和执行情况监督都由CMC完成，通过CMC统一或部分下发至各个代理。

1) 策略模板管理

根据策略分级和继承原则，所有策略以模版形式生成后，才可以下发到代理。

策略模板管理可以制定4个级别的多种模板：

² 默认策略——本系统发行时提供，随基本代理一同安装于被监控涉密计算机上，该策略为最严格策略；

² 全局策略——一个单位全局范围的策略，对所有用户有效；

² 部门策略——部门范围内的策略，对该部门的所有用户有效；

² 用户策略——特定用户策略，只对该用户有效。

策略模板管理包括：

² 策略模板制定：制定以上4级模板；

² 策略模板修改：对指定好的模板进行修改；

² 策略模板添加：同一级别下具有多个模板时，添加模板；

² 策略模板删除：对不再有效的策略模板进行删除；

² 策略模板存储及导入：所有模板可以以单位或者个人名称方式单独生成一个，并可以存储（或者打印），再遇到特殊情况重装系统后可以把先前存储的模板导入到系统中，方便策略的备份和恢复，减轻工作量。

策略模板的内容主要包括以下方面：

² 基本信息的采集策略：对代理采集计算机的方式、提交频率等进行配置。

² 文件监控策略：对磁盘文件的监控方式、过滤方式、操作方式、文件保护方式进行配置。

² 注册表监控策略：对注册表监控方式、扫描频率、提交方式和频率进行配置。

² 打印监控策略：对涉密计算机的打印行策略为进行配置。

² 应用程序/进程监控策略：对应用程序/进程的启动、运行策略进行配置。

² 设备监控策略：对涉密计算机所辖设备和新增的未知设备使用策略进行配置。

² 网络应用行为监控策略：对网页浏览-HTTP、文件传输-FTP、发邮件-SMTP、收邮件-POP3、远程登录-Telnet，以及外部主动联接、IP/MAC地址绑定、非法外联、非法内联等的行为策略进行配置。

2) 策略下发

针对不同的计算机用户和组，联软终端安全管理系统对计算机的审计行为、端口控制行为各不相同，可根据实际情况制定不同的审计、控制策略模板，在下发审计策略时选择相应的模板即可。这样对管理人员而言便于管理，方便使用。

策略下发方式分为立即执行和重新启动后执行两种模式，由管理人员在下发时根据实际情况进行选择，也可以采用策略模版中制定的选择。

² 立即执行模式：代理收到CMC发送的策略更新命令，立即终止现行程序，按照新的策略去重新分配线程，在终止原策略启用新策略过程中，可能会造成部分数据的丢失。

² 重新启动后执行模式：代理收到CMC发送的策略更新命令后，暂时不进行相应而只是把新策略存储于本地，强制计算机重新启动或者待计算机自然重新启动后，再加载新策略。代理在计算机启动后和控制台进行通讯，如果要更新策略模板，则下载新的模板后继续运行。

策略的下发对用户透明，不会对用户的自然操作产生影响。

3)策略执行和状态监督

² 策略执行由代理完成，执行过程不会对用户自然操作产生影响。

² 策略下发成功或者失败时，代理会把策略更新记录提交给CMC。

² CMC可以对所有涉密计算机的：策略执行状态（成功/失败）、策略模板名称、策略模板内容、策略执行时间及有效时间等内容进行查看和监督。

1) 文件/补丁管理

随着软件的不断完善，功能的不断增多，新的软件版本将不断发布，文件/补丁管理就是将每一版本软件保存到数据库中，并通过软件的启用、停用标志控制软件的可用性，通过文件/补丁分发功能，将新的软件下发到各代理端。如果软件下发时发现该版本的软件已经是停用标志，将不再下发。

2) 文件/补丁分发

代理的升级采用“静默式安装”方式自动升级，对用户透明，由CMC控制对全部涉密计算机进行统一在线升级。

在线升级是在涉密计算机已安装代理的前提下，可以实现软件的在线升级。升级方式分为主动升级、下发后立即升级两种模式，具体升级方式同样由管理人员通过系统设置功能进行设置。

² 主动升级：每次开机后代理主动和CMC进行通讯，如果有高于本机的软件版本发布，则主动下载，并自动升级。

² 下发后立即升级：CMC向代理发送软件立即升级的命令，代理收到命令后，进行软件版本的判定，如果新版本确实高于现行版本，则进行新版本软件的下载，下载完毕后，立即执行软件更新。在软件更新过程中可能会造成部分审计数据的丢失。

审计管理功能基于已收到的各代理端采集到审计记录对各种的操作行为进行审计，审计内容包括：

1) 磁盘文件操作行为审计

2) 注册表审计

3) 应用/进程使用审计

4) 日志审计

5) 账户信息审计

6) USB介质使用行为审计

7) 外部设备使用行为审计

8) 打印行为审计

9) 主动网络连接操作行为审计

10) 非法外联行为审计

为了方便管理员的审计操作，提高管理效率，系统对以上各审计内容提供多种审计方式：

² 按部门审计：对该部门下的所有人员的某一操作行为进行审计。

² 按人员审计：由于工作需要，存在大量一人多机的情况，为了方便对某人的所有操作行为进行审计，系统提供按人员进行审计的功能，即审计该人员管理下所有计算机的操作行为。

按IP地址审计：按IP地址对某一台计算机的操作行为进行审计。

按时间段进行审计：在以上某一条件下，有针对性的审计一段时间内操作行为。

管理人员面对数量巨大的审计日志的时候，如果没有合理的报警，将对其管理工作带来巨大的困难。

CMC将提供基础的报警策略，并提供报警定义、修改、删除、存储/导入等管理功能，使系统在得到和报警规则相匹配的操作行为的时候，自动产生报警，并向管理人员发出提示。

1) 报警策略定义及管理

报警分为单一来源报警、组合报警和用户自定义报警：

单一来源报警：由日志分级方式产生，即系统每产生的一条日志都有个安全等级字段，安全等级在制定安全策略时指定。日志安全等级的目的是提高日志审计的效率，同时突出了报警的概念，如日志分为1～5 共5个安全等级，5 为最高等级，可定义安全等级>=3 的日志产生预警。

组合报警：对于不能由单一来源确定的恶意行为，这种报警可能需要依据多条日志进行分析才能产生。系统会提供组合报警模板供用户参考，其安全等级由用户根据实际情况自己确定。

用户自定义报警：对本系统没有规定的报警，用户可以根据实际情况就其所关心的日志设置安全级别产生报警。

报警策略的定义及其管理也采用策略模板的方式。

2) 报警处理

当有符合报警策略的违规事件发生时，代理会在涉密计算机上给出提示，同时会把该日志记录发送到CMC。

CMC会在计算机浏览管理视图上产生色彩鲜艳的警示性报警信号，管理人员可以查看报警详细信息，CMC会给出对该类报警信息的处理建议。

管理人员可以选择忽略该报警，或者在处理完该报警之后代理自动监测到无违规记录时，报警取消。

3) 报警查询和统计

对报警事件进行查询统计，管理方式同审计信息的查询和统计。

1) 日志过滤查询

管理人员能够方便地定制过滤查询本系统产生的所有日志，可以灵活地设置查询条件，包括：用户信息、日志等级、日志产生时间、日志内容等。支持组合查询、模糊匹配查询等技术。

2) 日志统计及报表输出

具备日志统计分析功能，能够展现一段时间内的日志趋势，安全管理员可以据此考虑调整相应的安全策略。

统计报表表现方式灵活，除了最基本的列表方式之外，还应该具备图形表现功能，包括饼图、柱状图以及曲线图等。

统计报表可以采用打印、存储、导出等方式输出。

为了保证计算机上的数据安全，防止泄密事件的发生，部署联软终端安全管理系统，禁止用户在未经许可的情况下私自将涉密文件拷出，禁止进入不安全的网络，防止被他人恶意攻击，窃取涉密文件。因此在对文件进行审计的同时，要对文件的出口加以控制。为了保证数据的有效性，对系统的关键数据的修改权利也加以控制。

控制功能包括两部分设备使用的控制和操作系统参数设置的控制。

1）设备包括本机已有设备和外围设备两部分，控制主要指对设备的可用性进行控制，分为启用和禁用两种状态，设备启用时用户可以对设备正常使用，禁用时用户将无法使用该设备，如果用户采用其他技术手段改变了CMC对设备的控制属性，代理端检测到后将依据CMC对设备的使用权重新进行设置，并产生报警信息，通知CMC。要进行控制的设备包括以下几方面：

² 光驱

² 软驱

² USB设备

² USB存储设备

² 串、并口

² 打印机

² 拨号上网

² 无线网卡上网

² 网络共享服务

2）操作系统部分功能使用的控制权

² IP/MAC地址的更改：为了保证数据的有效性，同时有效防止非法内联事件的发生，在未经审批、管理员授权的情况下禁止修改IP/MAC地址。

² 通过网络的文件、打印和命名管道共享：为了保证计算机上的数据安全，防止他人的恶意窃取，严禁共享功能。

代理端数据采集是指对端机的环境信息、软、硬信息及操作、使用行为进行数据采集，具体包括以下几方面：

1) 基本信息数据采集：采集计算机操作系统的基础配置数据，其中包括：用户名、主机名、域名、网络名、操作系统、MAC地址、CPU型号、IE版本号等。

2) 软件信息数据采集：采集该系统已经安装的软件信息。

3) 设备信息数据采集：采集该计算机的设备配置情况，包括：DVD/CD-ROM驱动器、IDE ATA/ATAPI控制器、处理器、磁盘驱动器、端口、键盘、软盘控制器、软盘驱动器、鼠标和其它指针设备、通用串行总线控制器、网络适配器、显示卡等。

4) 日志信息数据采集：对系统生成的日志信息进行数据采集，其中包括：应用程序错误记录、安全审核记录、系统错误记录。

5) 磁盘文件操作数据采集：对用户对文件的增、删、改、重命名进行审计，同时对计算机IP地址、操作时间、文件操作类型、文件路径、文件名等数据进行提取、保存。

6) 注册表操作数据采集：对注册表项的“增、删、改”操作行为进行数据采集，采集的基本信息包括：计算机名（IP地址）、用户名、程序名、键名、键值、操作时间等信息。

7) 应用/进程信息数据采集：对系统的应用程序和进程的启动及运行情况进行数据采集，包括：计算机名（IP地址）、用户名、进程映像名称、进程ID、程序名称等。

8) 打印信息数据采集：对计算机进行的打印信息进行采集，采集的基本信息包括：计算机名（IP地址）、用户名、打印机名、打印时间、打印文档名、打印页数、打印份数等信息。

9) 网络行为数据采集：对用户的上网行为进行数据采集，采集的基本信息包括：计算机名（IP地址）、用户名、上网时间、网址名等信息。

10) 非法外联行为数据采集：对CMC允许以外的外联行为定义为非法外联行为，此操作威胁到涉密文件的安全，因此要产生报警信息。

11) 非法内联行为数据采集：进入内网的计算机是经过严格审批手续的，对没有进行审批就进入内网的计算机认为是非法内联行为，对计算机的非法内联行为的数据采集包括：计算机名（IP地址）、用户名、时间等信息。

主机监控审计是指：利用UniAccess此类监控管理系统，监控计算机各个终端是否未经允许随意安装计算机应用程序，导致网络感染病毒和木马、引发知识产权泄露、上网行为混乱、访问非法网站行为导致网络泄密等行为事件等。其宗旨是为企业构建完善的授权管理、资产管理保护体系。

曾经的文档加密软件以及主机监控与审计、桌面管理、上网行为管理、终端安全、补丁管理等内网安全产品，已经被实践所证明难以满足用户数据泄露防护个性化需求。而以防止各类敏感数据有意或无意泄露、扩散与丢失为安全目标所构建的DLP数据泄露防护体系已迈向标准化时代，成为国内外数据泄露防护的主流产品。