主機(jī)監(jiān)控

為了保證計算機(jī)上的數(shù)據(jù)安全，防止泄密事件的發(fā)生，部署聯(lián)軟終端安全管理系統(tǒng)，禁止用戶在未經(jīng)許可的情況下私自將涉密文件拷出，禁止進(jìn)入不安全的網(wǎng)絡(luò)，防止被他人惡意攻擊，竊取涉密文件。因此在對文件進(jìn)行審計的同時，要對文件的出口加以控制。為了保證數(shù)據(jù)的有效性，對系統(tǒng)的關(guān)鍵數(shù)據(jù)的修改權(quán)利也加以控制。

控制功能包括兩部分設(shè)備使用的控制和操作系統(tǒng)參數(shù)設(shè)置的控制。

1）設(shè)備包括本機(jī)已有設(shè)備和外圍設(shè)備兩部分，控制主要指對設(shè)備的可用性進(jìn)行控制，分為啟用和禁用兩種狀態(tài)，設(shè)備啟用時用戶可以對設(shè)備正常使用，禁用時用戶將無法使用該設(shè)備，如果用戶采用其他技術(shù)手段改變了CMC對設(shè)備的控制屬性，代理端檢測到后將依據(jù)CMC對設(shè)備的使用權(quán)重新進(jìn)行設(shè)置，并產(chǎn)生報警信息，通知CMC。要進(jìn)行控制的設(shè)備包括以下幾方面：

2 光驅(qū)

2 軟驅(qū)

2 USB設(shè)備

2 USB存儲設(shè)備

2 串、并口

2 打印機(jī)

2 撥號上網(wǎng)

2 無線網(wǎng)卡上網(wǎng)

2 網(wǎng)絡(luò)共享服務(wù)

2）操作系統(tǒng)部分功能使用的控制權(quán)

2 IP/MAC地址的更改：為了保證數(shù)據(jù)的有效性，同時有效防止非法內(nèi)聯(lián)事件的發(fā)生，在未經(jīng)審批、管理員授權(quán)的情況下禁止修改IP/MAC地址。

2 通過網(wǎng)絡(luò)的文件、打印和命名管道共享：為了保證計算機(jī)上的數(shù)據(jù)安全，防止他人的惡意竊取，嚴(yán)禁共享功能。

1) 報警功能：

代理端報警策略的設(shè)置及事件的報警級別由CMC負(fù)責(zé)管理，管理員根據(jù)不同端機(jī)的工作要求可設(shè)置不同報警策略，并下發(fā)到各端機(jī)。代理端軟件則根據(jù)本機(jī)的報警策略對違規(guī)事件產(chǎn)生相應(yīng)的報警信息，并立即上傳到控制臺，通知管理員有違規(guī)事件發(fā)生。

2) 自動升級功能：

代理由BA基本代理和PA策略代理組成，BA運(yùn)行于OS級，常駐內(nèi)存，PA則動態(tài)加載。當(dāng)收到新版本PA后，BA動態(tài)卸載舊的PA，再加載新版本PA，這一切動作對用戶透明，從而達(dá)到動態(tài)自動升級的目的，也無須管理人員在大規(guī)模實(shí)施后需要跑到每一個客戶端去升級的大工作量行為。

3) 自我防護(hù)功能：

BA代理是一個短小強(qiáng)悍的監(jiān)控程序，駐留在涉密計算機(jī)的內(nèi)存中，體積非常小，隱蔽性強(qiáng)，一但駐留，除SCMCA-HT安全管理員外，將無法刪除，因此，可確保監(jiān)控功能的持續(xù)、正常執(zhí)行。

同時，PA和BA互相監(jiān)視，并隱蔽存儲多副本于計算機(jī)中，當(dāng)監(jiān)視到對方依托文件不存在時，快速從副本處復(fù)制一個依托文件到安裝目錄。

CMC中心也存儲涉密計算機(jī)的BA和PA，一旦發(fā)現(xiàn)有惡意攻擊行為攻擊BA或者PA，CMC將產(chǎn)生報警，由響應(yīng)的管理制度來制止這種惡意攻擊行為。

控制管理中心功能

CMC控制管理中心是該系統(tǒng)的核心，實(shí)現(xiàn)對所管轄計算機(jī)代理采集信息的統(tǒng)一管理、審計和報警功能，同時負(fù)責(zé)該系統(tǒng)本身的管理功能的實(shí)現(xiàn)。

系統(tǒng)功能主要完成系統(tǒng)本身的系統(tǒng)設(shè)置和維護(hù)功能，保證系統(tǒng)訪問的用戶安全性、系統(tǒng)登錄和注銷的合法性、系統(tǒng)配置的合理性、系統(tǒng)數(shù)據(jù)的安全備份與恢復(fù)、系統(tǒng)本身的操作日志記錄的完整性。

1) 登錄與注銷

管理員使用默認(rèn)用戶名和密碼登錄到CMC后，分別創(chuàng)建日志查看員和系統(tǒng)日志監(jiān)督員，并賦予默認(rèn)密碼。

管理員、日志查看員和系統(tǒng)日志監(jiān)督員分別使用自己的用戶名和默認(rèn)密碼登錄CMC，但是根據(jù)其權(quán)限顯示不同的CMC界面。

所有用戶在第一次使用默認(rèn)密碼登錄后，CMC自動強(qiáng)制各用戶更改默認(rèn)密碼為新密碼。

所有用戶空閑超過一定時間后，系統(tǒng)自動鎖定，進(jìn)入鎖定界面。

2）用戶及組管理

系統(tǒng)用戶管理是對系統(tǒng)本身的用戶進(jìn)行管理的工具。系統(tǒng)用戶管理支持多管理員角色，可區(qū)分超級管理員、管理員、日志查看員、系統(tǒng)日志監(jiān)督員。

2 用戶管理員具備創(chuàng)建下級用戶的權(quán)限；

2 管理員只具備系統(tǒng)進(jìn)行配置、數(shù)據(jù)備份和恢復(fù)的權(quán)限，但是不具備下級管理員的權(quán)限具備。

2 日志查看員可以操作CMC查閱各代理采集信息、制定策略、進(jìn)行控制等功能；

2 系統(tǒng)日志監(jiān)督員負(fù)責(zé)對超級管理員、管理員、日志查看員的行為日志進(jìn)行查閱和監(jiān)督。

如果用戶需要，還可在4類角色中再細(xì)分級別。4兩種角色的組合使用由用戶自己決定。

用戶管理主要包括管理人員的帳號、口令管理、人員信息的增、刪、改、查等操作。

3）參數(shù)配置

管理員可以對系統(tǒng)本身的運(yùn)行參數(shù)進(jìn)行配置，包括：系統(tǒng)顯示方式、系統(tǒng)等待時間、計算機(jī)安全掃描時間間隔等。

4）數(shù)據(jù)備份與恢復(fù)

管理員可對數(shù)據(jù)進(jìn)行備份和恢復(fù)，數(shù)據(jù)庫中的數(shù)據(jù)超過數(shù)據(jù)保存最大容量之后或者超過數(shù)據(jù)最長保存時間之后，系統(tǒng)會強(qiáng)制管理員對數(shù)據(jù)作備份操作，備份數(shù)據(jù)存放于指定目錄下，備份后數(shù)據(jù)庫中的記錄才可以刪除，備份目錄和記錄的刪除操作都會自動記錄到系統(tǒng)日志中，由系統(tǒng)日志監(jiān)督員進(jìn)行監(jiān)督。

所有數(shù)據(jù)不提供單條記錄刪除的功能。

系統(tǒng)萬一出現(xiàn)崩潰，或者硬件原因造成了數(shù)據(jù)丟失，管理員可以把最近的一次備份數(shù)據(jù)恢復(fù)到系統(tǒng)中。

5）系統(tǒng)日志維護(hù)

系統(tǒng)日志記錄管理員對CMC的操作，主要包括：登錄、退出、用戶管理操作、部門管理操作、策略操作、控制操作等。

系統(tǒng)日志監(jiān)督員可以對系統(tǒng)日志數(shù)據(jù)庫表/記錄進(jìn)行備份/恢復(fù)等維護(hù)操作。

日志在備份后可以刪除，不提供單條刪除功能。

計算機(jī)資源是指單位內(nèi)部的計算機(jī)，這些計算機(jī)是單位信息網(wǎng)絡(luò)的重要組成部分，通常來說，某臺計算機(jī)會有明確的任務(wù)、使用范圍和使用人。因并沒有效的措施指定計算機(jī)的使用者，計算機(jī)資源的使用難以控制，從而造成一定的信息安全隱患，比如財務(wù)部的計算機(jī)就不能允許非財務(wù)人員使用等等。另外，計算機(jī)資源是一個單位非常重要的資產(chǎn)，一般包括硬件資產(chǎn)和軟件資產(chǎn)。

CMC利用其超強(qiáng)的硬件獲取能力使信息人員和資產(chǎn)管理人員可以很方便的查看到網(wǎng)絡(luò)內(nèi)部的硬件的分配情況，可以極大地方便了資產(chǎn)統(tǒng)計人員，避免了過去做資產(chǎn)統(tǒng)計必須拆機(jī)箱的做法，利用先進(jìn)的自動捕獲技術(shù)，及時的收集到所有的硬件信息，提高工作人員的效率。

CMC利用其強(qiáng)大的軟件信息獲取能力將單位所擁有的軟件納入資產(chǎn)的正常管理程序，以便掌握單位信息化的投資狀況，包括采購、安裝、分發(fā)、升級、維護(hù)、刪除等整個軟件使用的生命周期。它經(jīng)由一系列有效的管理措施，配合系統(tǒng)管理的使用，就可以合理地控制軟件購置的經(jīng)費(fèi)支出，以此提升軟件資產(chǎn)的利用率與整體效益，并且確保軟件使用的合法性。

1）計算機(jī)單機(jī)資產(chǎn)管理

單機(jī)資產(chǎn)管理負(fù)責(zé)將網(wǎng)絡(luò)內(nèi)合法的計算機(jī)添加到本系統(tǒng)內(nèi)，作為合法用戶使用。功能包括：計算機(jī)信息的增、刪、改、查。

單機(jī)資產(chǎn)管理功能包括硬件資產(chǎn)管理和軟件資產(chǎn)管理兩部分，并且提供強(qiáng)大的統(tǒng)計功能。

2 硬件資產(chǎn)管理

安裝硬件信息：在涉密計算機(jī)用戶注冊后，記錄下計算機(jī)的所有硬件安裝信息（處理器CPU，光驅(qū)，內(nèi)存，軟驅(qū)，聲卡，顯卡，硬盤的類型及其種類），同時把該信息和用戶信息、固定資產(chǎn)編號信息進(jìn)行關(guān)聯(lián)形成該用戶的硬件資產(chǎn)信息并且進(jìn)行日志記錄；

變動硬件信息：檢測計算機(jī)發(fā)生變動的硬件信息，并且記錄日志。

2 軟件資產(chǎn)管理

安裝軟件信息：在計算機(jī)用戶注冊后，記錄下涉密計算機(jī)的所有軟件安裝信息并且進(jìn)行日志記錄；

變動軟件信息：檢測計算機(jī)發(fā)生變動的軟件信息，并且記錄日志。

2)組/部門資產(chǎn)管理

CMC支持群組/部門管理，即將被監(jiān)控計算機(jī)群按照傳統(tǒng)的業(yè)務(wù)組/工作組/部門進(jìn)行劃分，并按照組/部門的方式進(jìn)行策略管理，組內(nèi)的成員的計算機(jī)全部自動遵守該組的安全策略。組的成員可隨時添加或刪除。這一功能對于管理人員快速、準(zhǔn)確識別涉密信息和安全狀態(tài)很有幫助，并且可以大大減輕管理員的策略配置管理負(fù)擔(dān)。

監(jiān)視管理功能這部分是日志查看員的日常管理任務(wù)，他可以使日志查看員可實(shí)時掌握內(nèi)部網(wǎng)絡(luò)計算機(jī)的運(yùn)行和安全狀態(tài)，保證內(nèi)部網(wǎng)絡(luò)管理策略的正確執(zhí)行。

1) 在線狀態(tài)監(jiān)視

日志查看員可從查看全部主機(jī)的聯(lián)網(wǎng)狀態(tài)。

如果選擇網(wǎng)絡(luò)方式查看，則在CMC的監(jiān)視界面上顯示全部涉密計算機(jī)的聯(lián)網(wǎng)狀態(tài)。其中，閃亮的表示在線，灰色的表示離線。

如果選擇組/部門方式，則在CMC的監(jiān)視界面上按部門顯示，展開部門后，顯示部門所轄涉密計算機(jī)的聯(lián)網(wǎng)狀態(tài)。

2) 非法入網(wǎng)監(jiān)視

CMC按照“安裝了代理 + IP/MAC地址白名單”的排除法發(fā)現(xiàn)非法計算機(jī)?！鞍惭b了代理 + IP/MAC 地址白名單”是指：定義安裝了SCMCA-HT代理的、并且IP/MAC地址在白名單中的涉密計算機(jī)稱為合法，只有這樣的涉密計算機(jī)才能使用內(nèi)網(wǎng)資源，否則強(qiáng)行禁止其使用內(nèi)網(wǎng)，并且及時報警。

非法入網(wǎng)計算機(jī)在CMC中以非法入網(wǎng)計算機(jī)為組名稱的進(jìn)行拓?fù)滹@示，可以列出所有非法接入內(nèi)部網(wǎng)絡(luò)的主機(jī)（IP/MAC地址），而在監(jiān)視界面中顯示這些主機(jī)的入網(wǎng)行為記錄。

3) 安全掃描

CMC可以對指定網(wǎng)段內(nèi)的涉密計算機(jī)進(jìn)行安全檢查，如果發(fā)現(xiàn)有未安裝本代理以及IP/MAC地址不屬于白名單的涉密計算機(jī)在線則報警。

主機(jī)監(jiān)控與審計系統(tǒng)UniAccess的策略是指代理對涉密計算機(jī)監(jiān)視和控制規(guī)則的集合。

策略的制定、修改、添加、刪除、存儲/導(dǎo)入、下發(fā)和執(zhí)行情況監(jiān)督都由CMC完成，通過CMC統(tǒng)一或部分下發(fā)至各個代理。

1) 策略模板管理

根據(jù)策略分級和繼承原則，所有策略以模版形式生成后，才可以下發(fā)到代理。

策略模板管理可以制定4個級別的多種模板：

2 默認(rèn)策略——本系統(tǒng)發(fā)行時提供，隨基本代理一同安裝于被監(jiān)控涉密計算機(jī)上，該策略為最嚴(yán)格策略；

2 全局策略——一個單位全局范圍的策略，對所有用戶有效；

2 部門策略——部門范圍內(nèi)的策略，對該部門的所有用戶有效；

2 用戶策略——特定用戶策略，只對該用戶有效。

策略模板管理包括：

2 策略模板制定：制定以上4級模板；

2 策略模板修改：對指定好的模板進(jìn)行修改；

2 策略模板添加：同一級別下具有多個模板時，添加模板；

2 策略模板刪除：對不再有效的策略模板進(jìn)行刪除；

2 策略模板存儲及導(dǎo)入：所有模板可以以單位或者個人名稱方式單獨(dú)生成一個，并可以存儲（或者打?。?，再遇到特殊情況重裝系統(tǒng)后可以把先前存儲的模板導(dǎo)入到系統(tǒng)中，方便策略的備份和恢復(fù)，減輕工作量。

策略模板的內(nèi)容主要包括以下方面：

2 基本信息的采集策略：對代理采集計算機(jī)的方式、提交頻率等進(jìn)行配置。

2 文件監(jiān)控策略：對磁盤文件的監(jiān)控方式、過濾方式、操作方式、文件保護(hù)方式進(jìn)行配置。

2 注冊表監(jiān)控策略：對注冊表監(jiān)控方式、掃描頻率、提交方式和頻率進(jìn)行配置。

2 打印監(jiān)控策略：對涉密計算機(jī)的打印行策略為進(jìn)行配置。

2 應(yīng)用程序/進(jìn)程監(jiān)控策略：對應(yīng)用程序/進(jìn)程的啟動、運(yùn)行策略進(jìn)行配置。

2 設(shè)備監(jiān)控策略：對涉密計算機(jī)所轄設(shè)備和新增的未知設(shè)備使用策略進(jìn)行配置。

2 網(wǎng)絡(luò)應(yīng)用行為監(jiān)控策略：對網(wǎng)頁瀏覽-HTTP、文件傳輸-FTP、發(fā)郵件-SMTP、收郵件-POP3、遠(yuǎn)程登錄-Telnet，以及外部主動聯(lián)接、IP/MAC地址綁定、非法外聯(lián)、非法內(nèi)聯(lián)等的行為策略進(jìn)行配置。

2) 策略下發(fā)

針對不同的計算機(jī)用戶和組，聯(lián)軟終端安全管理系統(tǒng)對計算機(jī)的審計行為、端口控制行為各不相同，可根據(jù)實(shí)際情況制定不同的審計、控制策略模板，在下發(fā)審計策略時選擇相應(yīng)的模板即可。這樣對管理人員而言便于管理，方便使用。

策略下發(fā)方式分為立即執(zhí)行和重新啟動后執(zhí)行兩種模式，由管理人員在下發(fā)時根據(jù)實(shí)際情況進(jìn)行選擇，也可以采用策略模版中制定的選擇。

2 立即執(zhí)行模式：代理收到CMC發(fā)送的策略更新命令，立即終止現(xiàn)行程序，按照新的策略去重新分配線程，在終止原策略啟用新策略過程中，可能會造成部分?jǐn)?shù)據(jù)的丟失。

2 重新啟動后執(zhí)行模式：代理收到CMC發(fā)送的策略更新命令后，暫時不進(jìn)行相應(yīng)而只是把新策略存儲于本地，強(qiáng)制計算機(jī)重新啟動或者待計算機(jī)自然重新啟動后，再加載新策略。代理在計算機(jī)啟動后和控制臺進(jìn)行通訊，如果要更新策略模板，則下載新的模板后繼續(xù)運(yùn)行。

策略的下發(fā)對用戶透明，不會對用戶的自然操作產(chǎn)生影響。

3)策略執(zhí)行和狀態(tài)監(jiān)督

2 策略執(zhí)行由代理完成，執(zhí)行過程不會對用戶自然操作產(chǎn)生影響。

2 策略下發(fā)成功或者失敗時，代理會把策略更新記錄提交給CMC。

2 CMC可以對所有涉密計算機(jī)的：策略執(zhí)行狀態(tài)（成功/失敗）、策略模板名稱、策略模板內(nèi)容、策略執(zhí)行時間及有效時間等內(nèi)容進(jìn)行查看和監(jiān)督。

1) 文件/補(bǔ)丁管理

隨著軟件的不斷完善，功能的不斷增多，新的軟件版本將不斷發(fā)布，文件/補(bǔ)丁管理就是將每一版本軟件保存到數(shù)據(jù)庫中，并通過軟件的啟用、停用標(biāo)志控制軟件的可用性，通過文件/補(bǔ)丁分發(fā)功能，將新的軟件下發(fā)到各代理端。如果軟件下發(fā)時發(fā)現(xiàn)該版本的軟件已經(jīng)是停用標(biāo)志，將不再下發(fā)。

2) 文件/補(bǔ)丁分發(fā)

代理的升級采用“靜默式安裝”方式自動升級，對用戶透明，由CMC控制對全部涉密計算機(jī)進(jìn)行統(tǒng)一在線升級。

在線升級是在涉密計算機(jī)已安裝代理的前提下，可以實(shí)現(xiàn)軟件的在線升級。升級方式分為主動升級、下發(fā)后立即升級兩種模式，具體升級方式同樣由管理人員通過系統(tǒng)設(shè)置功能進(jìn)行設(shè)置。

2 主動升級：每次開機(jī)后代理主動和CMC進(jìn)行通訊，如果有高于本機(jī)的軟件版本發(fā)布，則主動下載，并自動升級。

2 下發(fā)后立即升級：CMC向代理發(fā)送軟件立即升級的命令，代理收到命令后，進(jìn)行軟件版本的判定，如果新版本確實(shí)高于現(xiàn)行版本，則進(jìn)行新版本軟件的下載，下載完畢后，立即執(zhí)行軟件更新。在軟件更新過程中可能會造成部分審計數(shù)據(jù)的丟失。

審計管理功能基于已收到的各代理端采集到審計記錄對各種的操作行為進(jìn)行審計，審計內(nèi)容包括：

1) 磁盤文件操作行為審計

2) 注冊表審計

3) 應(yīng)用/進(jìn)程使用審計

4) 日志審計

5) 賬戶信息審計

6) USB介質(zhì)使用行為審計

7) 外部設(shè)備使用行為審計

8) 打印行為審計

9) 主動網(wǎng)絡(luò)連接操作行為審計

10) 非法外聯(lián)行為審計

為了方便管理員的審計操作，提高管理效率，系統(tǒng)對以上各審計內(nèi)容提供多種審計方式：

2 按部門審計：對該部門下的所有人員的某一操作行為進(jìn)行審計。

2 按人員審計：由于工作需要，存在大量一人多機(jī)的情況，為了方便對某人的所有操作行為進(jìn)行審計，系統(tǒng)提供按人員進(jìn)行審計的功能，即審計該人員管理下所有計算機(jī)的操作行為。

按IP地址審計：按IP地址對某一臺計算機(jī)的操作行為進(jìn)行審計。

按時間段進(jìn)行審計：在以上某一條件下，有針對性的審計一段時間內(nèi)操作行為。

管理人員面對數(shù)量巨大的審計日志的時候，如果沒有合理的報警，將對其管理工作帶來巨大的困難。

CMC將提供基礎(chǔ)的報警策略，并提供報警定義、修改、刪除、存儲/導(dǎo)入等管理功能，使系統(tǒng)在得到和報警規(guī)則相匹配的操作行為的時候，自動產(chǎn)生報警，并向管理人員發(fā)出提示。

1) 報警策略定義及管理

報警分為單一來源報警、組合報警和用戶自定義報警：

單一來源報警：由日志分級方式產(chǎn)生，即系統(tǒng)每產(chǎn)生的一條日志都有個安全等級字段，安全等級在制定安全策略時指定。日志安全等級的目的是提高日志審計的效率，同時突出了報警的概念，如日志分為1～5 共5個安全等級，5 為最高等級，可定義安全等級>=3 的日志產(chǎn)生預(yù)警。

組合報警：對于不能由單一來源確定的惡意行為，這種報警可能需要依據(jù)多條日志進(jìn)行分析才能產(chǎn)生。系統(tǒng)會提供組合報警模板供用戶參考，其安全等級由用戶根據(jù)實(shí)際情況自己確定。

用戶自定義報警：對本系統(tǒng)沒有規(guī)定的報警，用戶可以根據(jù)實(shí)際情況就其所關(guān)心的日志設(shè)置安全級別產(chǎn)生報警。

報警策略的定義及其管理也采用策略模板的方式。

2) 報警處理

當(dāng)有符合報警策略的違規(guī)事件發(fā)生時，代理會在涉密計算機(jī)上給出提示，同時會把該日志記錄發(fā)送到CMC。

CMC會在計算機(jī)瀏覽管理視圖上產(chǎn)生色彩鮮艷的警示性報警信號，管理人員可以查看報警詳細(xì)信息，CMC會給出對該類報警信息的處理建議。

管理人員可以選擇忽略該報警，或者在處理完該報警之后代理自動監(jiān)測到無違規(guī)記錄時，報警取消。

3) 報警查詢和統(tǒng)計

對報警事件進(jìn)行查詢統(tǒng)計，管理方式同審計信息的查詢和統(tǒng)計。

1) 日志過濾查詢

管理人員能夠方便地定制過濾查詢本系統(tǒng)產(chǎn)生的所有日志，可以靈活地設(shè)置查詢條件，包括：用戶信息、日志等級、日志產(chǎn)生時間、日志內(nèi)容等。支持組合查詢、模糊匹配查詢等技術(shù)。

2) 日志統(tǒng)計及報表輸出

具備日志統(tǒng)計分析功能，能夠展現(xiàn)一段時間內(nèi)的日志趨勢，安全管理員可以據(jù)此考慮調(diào)整相應(yīng)的安全策略。

統(tǒng)計報表表現(xiàn)方式靈活，除了最基本的列表方式之外，還應(yīng)該具備圖形表現(xiàn)功能，包括餅圖、柱狀圖以及曲線圖等。

統(tǒng)計報表可以采用打印、存儲、導(dǎo)出等方式輸出。

主機(jī)監(jiān)控審計是指：利用UniAccess此類監(jiān)控管理系統(tǒng)，監(jiān)控計算機(jī)各個終端是否未經(jīng)允許隨意安裝計算機(jī)應(yīng)用程序，導(dǎo)致網(wǎng)絡(luò)感染病毒和木馬、引發(fā)知識產(chǎn)權(quán)泄露、上網(wǎng)行為混亂、訪問非法網(wǎng)站行為導(dǎo)致網(wǎng)絡(luò)泄密等行為事件等。其宗旨是為企業(yè)構(gòu)建完善的授權(quán)管理、資產(chǎn)管理保護(hù)體系。

代理端數(shù)據(jù)采集是指對端機(jī)的環(huán)境信息、軟、硬信息及操作、使用行為進(jìn)行數(shù)據(jù)采集，具體包括以下幾方面：

1) 基本信息數(shù)據(jù)采集：采集計算機(jī)操作系統(tǒng)的基礎(chǔ)配置數(shù)據(jù)，其中包括：用戶名、主機(jī)名、域名、網(wǎng)絡(luò)名、操作系統(tǒng)、MAC地址、CPU型號、IE版本號等。

2) 軟件信息數(shù)據(jù)采集：采集該系統(tǒng)已經(jīng)安裝的軟件信息。

3) 設(shè)備信息數(shù)據(jù)采集：采集該計算機(jī)的設(shè)備配置情況，包括：DVD/CD-ROM驅(qū)動器、IDE ATA/ATAPI控制器、處理器、磁盤驅(qū)動器、端口、鍵盤、軟盤控制器、軟盤驅(qū)動器、鼠標(biāo)和其它指針設(shè)備、通用串行總線控制器、網(wǎng)絡(luò)適配器、顯示卡等。

4) 日志信息數(shù)據(jù)采集：對系統(tǒng)生成的日志信息進(jìn)行數(shù)據(jù)采集，其中包括：應(yīng)用程序錯誤記錄、安全審核記錄、系統(tǒng)錯誤記錄。

5) 磁盤文件操作數(shù)據(jù)采集：對用戶對文件的增、刪、改、重命名進(jìn)行審計，同時對計算機(jī)IP地址、操作時間、文件操作類型、文件路徑、文件名等數(shù)據(jù)進(jìn)行提取、保存。

6) 注冊表操作數(shù)據(jù)采集：對注冊表項(xiàng)的“增、刪、改”操作行為進(jìn)行數(shù)據(jù)采集，采集的基本信息包括：計算機(jī)名（IP地址）、用戶名、程序名、鍵名、鍵值、操作時間等信息。

7) 應(yīng)用/進(jìn)程信息數(shù)據(jù)采集：對系統(tǒng)的應(yīng)用程序和進(jìn)程的啟動及運(yùn)行情況進(jìn)行數(shù)據(jù)采集，包括：計算機(jī)名（IP地址）、用戶名、進(jìn)程映像名稱、進(jìn)程ID、程序名稱等。

8) 打印信息數(shù)據(jù)采集：對計算機(jī)進(jìn)行的打印信息進(jìn)行采集，采集的基本信息包括：計算機(jī)名（IP地址）、用戶名、打印機(jī)名、打印時間、打印文檔名、打印頁數(shù)、打印份數(shù)等信息。

9) 網(wǎng)絡(luò)行為數(shù)據(jù)采集：對用戶的上網(wǎng)行為進(jìn)行數(shù)據(jù)采集，采集的基本信息包括：計算機(jī)名（IP地址）、用戶名、上網(wǎng)時間、網(wǎng)址名等信息。

10) 非法外聯(lián)行為數(shù)據(jù)采集：對CMC允許以外的外聯(lián)行為定義為非法外聯(lián)行為，此操作威脅到涉密文件的安全，因此要產(chǎn)生報警信息。

11) 非法內(nèi)聯(lián)行為數(shù)據(jù)采集：進(jìn)入內(nèi)網(wǎng)的計算機(jī)是經(jīng)過嚴(yán)格審批手續(xù)的，對沒有進(jìn)行審批就進(jìn)入內(nèi)網(wǎng)的計算機(jī)認(rèn)為是非法內(nèi)聯(lián)行為，對計算機(jī)的非法內(nèi)聯(lián)行為的數(shù)據(jù)采集包括：計算機(jī)名（IP地址）、用戶名、時間等信息。

代理端軟件要根據(jù)審計策略、報警策略的要求對相應(yīng)的事件產(chǎn)生不同信息，這些信息均要通過網(wǎng)絡(luò)上傳到服務(wù)器。在端機(jī)數(shù)據(jù)多，審計數(shù)據(jù)量大時，必然會占用大量的網(wǎng)絡(luò)資源，同時也會對服務(wù)器處理能力產(chǎn)生過大的壓力。

涉密計算機(jī)監(jiān)控與審計系統(tǒng)采用以下方式在保證數(shù)據(jù)的可靠傳輸?shù)那闆r下減少對網(wǎng)絡(luò)的壓力。

CMC對上傳審計數(shù)據(jù)的端機(jī)的控制：代理端要上傳審計數(shù)據(jù)前先向CMC發(fā)出傳輸請求，在得到的許可信息后方可進(jìn)行數(shù)據(jù)的上傳。得到端機(jī)的上傳審計數(shù)據(jù)的許可后，要對當(dāng)前正在上傳審計數(shù)據(jù)的端機(jī)數(shù)進(jìn)行統(tǒng)計，如果已經(jīng)達(dá)到管理員規(guī)定的數(shù)目，則通知其排隊(duì)等候，如果正在上傳審計數(shù)據(jù)的端機(jī)數(shù)未達(dá)到要求，同時網(wǎng)絡(luò)流量又未達(dá)到限值時，通知其進(jìn)行數(shù)據(jù)上傳，并對數(shù)據(jù)進(jìn)行接收。同時還將預(yù)留出部分可連接數(shù)量用于處理緊急事件的發(fā)生。

為了確保涉密文件的安全，在防止端機(jī)非法外聯(lián)同時也要保證內(nèi)網(wǎng)的安全，防止非法內(nèi)聯(lián)事件的發(fā)生。非法計算機(jī)指在本系統(tǒng)內(nèi)沒有注冊登記的計算機(jī)。非法內(nèi)聯(lián)指沒有注冊的計算機(jī)連接入網(wǎng)。

在發(fā)現(xiàn)有非法計算機(jī)連接入網(wǎng)時要及時報警，通知管理員有非法事件發(fā)生。非法內(nèi)聯(lián)行為的發(fā)現(xiàn)可通過服務(wù)器定時掃描方式實(shí)現(xiàn)，即定時對網(wǎng)段內(nèi)所有計算機(jī)進(jìn)行掃描。此方法存在以下缺點(diǎn)：

1）服務(wù)器要對整個網(wǎng)段的所有IP地址進(jìn)行掃描，輪詢一次必要花費(fèi)一定的時間，如果非法計算機(jī)在其服務(wù)器掃描時間間隔內(nèi)上網(wǎng)并斷網(wǎng)，服務(wù)器根本無法檢測到。

2）非法計算機(jī)可以通過端口禁用、安裝防火墻等軟件方式對系統(tǒng)進(jìn)行設(shè)置，對服務(wù)器的掃描不予任何回應(yīng)，這樣服務(wù)器也無法檢測到非法內(nèi)聯(lián)行為的發(fā)生。

為了防止以上現(xiàn)象的發(fā)生，涉密計算機(jī)監(jiān)控與審計系統(tǒng)在服務(wù)器進(jìn)行定時掃描的功能同時，利用代理端的網(wǎng)絡(luò)民兵功能進(jìn)行非法內(nèi)聯(lián)計算機(jī)的掃描，可有效的對非法內(nèi)聯(lián)行為進(jìn)行檢測。

1）指定網(wǎng)絡(luò)民兵進(jìn)行定時掃描：服務(wù)器通過對在線計算機(jī)的檢測，在每一網(wǎng)段指定一臺計算機(jī)對該網(wǎng)段內(nèi)的計算機(jī)進(jìn)行安全掃描，如果發(fā)現(xiàn)非法計算機(jī)入網(wǎng)則產(chǎn)生報警信息。網(wǎng)絡(luò)民兵只掃描本網(wǎng)段內(nèi)的計算機(jī)，被控計算機(jī)數(shù)量大幅下降，可大量縮短掃描時間間隔，減少未檢測到的非法內(nèi)聯(lián)行為的發(fā)生。

2）通過截獲進(jìn)出本機(jī)的數(shù)據(jù)包分析：代理端軟件可以截獲進(jìn)出本機(jī)的數(shù)據(jù)包，通過對TCP/IP數(shù)據(jù)包的分析可以得到要訪問本機(jī)的客戶機(jī)的IP地址。如果該IP 地址已經(jīng)注冊，則認(rèn)為是合法的，如果沒有注冊則認(rèn)為是非法內(nèi)聯(lián)計算機(jī)，產(chǎn)生報警信息。

曾經(jīng)的文檔加密軟件以及主機(jī)監(jiān)控與審計、桌面管理、上網(wǎng)行為管理、終端安全、補(bǔ)丁管理等內(nèi)網(wǎng)安全產(chǎn)品，已經(jīng)被實(shí)踐所證明難以滿足用戶數(shù)據(jù)泄露防護(hù)個性化需求。而以防止各類敏感數(shù)據(jù)有意或無意泄露、擴(kuò)散與丟失為安全目標(biāo)所構(gòu)建的DLP數(shù)據(jù)泄露防護(hù)體系已邁向標(biāo)準(zhǔn)化時代，成為國內(nèi)外數(shù)據(jù)泄露防護(hù)的主流產(chǎn)品。