主機(jī)監(jiān)控網(wǎng)絡(luò)資源占用少

代理端軟件要根據(jù)審計(jì)策略、報(bào)警策略的要求對(duì)相應(yīng)的事件產(chǎn)生不同信息，這些信息均要通過(guò)網(wǎng)絡(luò)上傳到服務(wù)器。在端機(jī)數(shù)據(jù)多，審計(jì)數(shù)據(jù)量大時(shí)，必然會(huì)占用大量的網(wǎng)絡(luò)資源，同時(shí)也會(huì)對(duì)服務(wù)器處理能力產(chǎn)生過(guò)大的壓力。

涉密計(jì)算機(jī)監(jiān)控與審計(jì)系統(tǒng)采用以下方式在保證數(shù)據(jù)的可靠傳輸?shù)那闆r下減少對(duì)網(wǎng)絡(luò)的壓力。

CMC對(duì)上傳審計(jì)數(shù)據(jù)的端機(jī)的控制：代理端要上傳審計(jì)數(shù)據(jù)前先向CMC發(fā)出傳輸請(qǐng)求，在得到的許可信息后方可進(jìn)行數(shù)據(jù)的上傳。得到端機(jī)的上傳審計(jì)數(shù)據(jù)的許可后，要對(duì)當(dāng)前正在上傳審計(jì)數(shù)據(jù)的端機(jī)數(shù)進(jìn)行統(tǒng)計(jì)，如果已經(jīng)達(dá)到管理員規(guī)定的數(shù)目，則通知其排隊(duì)等候，如果正在上傳審計(jì)數(shù)據(jù)的端機(jī)數(shù)未達(dá)到要求，同時(shí)網(wǎng)絡(luò)流量又未達(dá)到限值時(shí)，通知其進(jìn)行數(shù)據(jù)上傳，并對(duì)數(shù)據(jù)進(jìn)行接收。同時(shí)還將預(yù)留出部分可連接數(shù)量用于處理緊急事件的發(fā)生。

1) 報(bào)警功能：

代理端報(bào)警策略的設(shè)置及事件的報(bào)警級(jí)別由CMC負(fù)責(zé)管理，管理員根據(jù)不同端機(jī)的工作要求可設(shè)置不同報(bào)警策略，并下發(fā)到各端機(jī)。代理端軟件則根據(jù)本機(jī)的報(bào)警策略對(duì)違規(guī)事件產(chǎn)生相應(yīng)的報(bào)警信息，并立即上傳到控制臺(tái)，通知管理員有違規(guī)事件發(fā)生。

2) 自動(dòng)升級(jí)功能：

代理由BA基本代理和PA策略代理組成，BA運(yùn)行于OS級(jí)，常駐內(nèi)存，PA則動(dòng)態(tài)加載。當(dāng)收到新版本PA后，BA動(dòng)態(tài)卸載舊的PA，再加載新版本PA，這一切動(dòng)作對(duì)用戶(hù)透明，從而達(dá)到動(dòng)態(tài)自動(dòng)升級(jí)的目的，也無(wú)須管理人員在大規(guī)模實(shí)施后需要跑到每一個(gè)客戶(hù)端去升級(jí)的大工作量行為。

3) 自我防護(hù)功能：

BA代理是一個(gè)短小強(qiáng)悍的監(jiān)控程序，駐留在涉密計(jì)算機(jī)的內(nèi)存中，體積非常小，隱蔽性強(qiáng)，一但駐留，除SCMCA-HT安全管理員外，將無(wú)法刪除，因此，可確保監(jiān)控功能的持續(xù)、正常執(zhí)行。

同時(shí)，PA和BA互相監(jiān)視，并隱蔽存儲(chǔ)多副本于計(jì)算機(jī)中，當(dāng)監(jiān)視到對(duì)方依托文件不存在時(shí)，快速?gòu)母北咎帍?fù)制一個(gè)依托文件到安裝目錄。

CMC中心也存儲(chǔ)涉密計(jì)算機(jī)的BA和PA，一旦發(fā)現(xiàn)有惡意攻擊行為攻擊BA或者PA，CMC將產(chǎn)生報(bào)警，由響應(yīng)的管理制度來(lái)制止這種惡意攻擊行為。

控制管理中心功能

CMC控制管理中心是該系統(tǒng)的核心，實(shí)現(xiàn)對(duì)所管轄計(jì)算機(jī)代理采集信息的統(tǒng)一管理、審計(jì)和報(bào)警功能，同時(shí)負(fù)責(zé)該系統(tǒng)本身的管理功能的實(shí)現(xiàn)。

系統(tǒng)功能主要完成系統(tǒng)本身的系統(tǒng)設(shè)置和維護(hù)功能，保證系統(tǒng)訪問(wèn)的用戶(hù)安全性、系統(tǒng)登錄和注銷(xiāo)的合法性、系統(tǒng)配置的合理性、系統(tǒng)數(shù)據(jù)的安全備份與恢復(fù)、系統(tǒng)本身的操作日志記錄的完整性。

1) 登錄與注銷(xiāo)

管理員使用默認(rèn)用戶(hù)名和密碼登錄到CMC后，分別創(chuàng)建日志查看員和系統(tǒng)日志監(jiān)督員，并賦予默認(rèn)密碼。

管理員、日志查看員和系統(tǒng)日志監(jiān)督員分別使用自己的用戶(hù)名和默認(rèn)密碼登錄CMC，但是根據(jù)其權(quán)限顯示不同的CMC界面。

所有用戶(hù)在第一次使用默認(rèn)密碼登錄后，CMC自動(dòng)強(qiáng)制各用戶(hù)更改默認(rèn)密碼為新密碼。

所有用戶(hù)空閑超過(guò)一定時(shí)間后，系統(tǒng)自動(dòng)鎖定，進(jìn)入鎖定界面。

2）用戶(hù)及組管理

系統(tǒng)用戶(hù)管理是對(duì)系統(tǒng)本身的用戶(hù)進(jìn)行管理的工具。系統(tǒng)用戶(hù)管理支持多管理員角色，可區(qū)分超級(jí)管理員、管理員、日志查看員、系統(tǒng)日志監(jiān)督員。

2 用戶(hù)管理員具備創(chuàng)建下級(jí)用戶(hù)的權(quán)限；

2 管理員只具備系統(tǒng)進(jìn)行配置、數(shù)據(jù)備份和恢復(fù)的權(quán)限，但是不具備下級(jí)管理員的權(quán)限具備。

2 日志查看員可以操作CMC查閱各代理采集信息、制定策略、進(jìn)行控制等功能；

2 系統(tǒng)日志監(jiān)督員負(fù)責(zé)對(duì)超級(jí)管理員、管理員、日志查看員的行為日志進(jìn)行查閱和監(jiān)督。

如果用戶(hù)需要，還可在4類(lèi)角色中再細(xì)分級(jí)別。4兩種角色的組合使用由用戶(hù)自己決定。

用戶(hù)管理主要包括管理人員的帳號(hào)、口令管理、人員信息的增、刪、改、查等操作。

3）參數(shù)配置

管理員可以對(duì)系統(tǒng)本身的運(yùn)行參數(shù)進(jìn)行配置，包括：系統(tǒng)顯示方式、系統(tǒng)等待時(shí)間、計(jì)算機(jī)安全掃描時(shí)間間隔等。

4）數(shù)據(jù)備份與恢復(fù)

管理員可對(duì)數(shù)據(jù)進(jìn)行備份和恢復(fù)，數(shù)據(jù)庫(kù)中的數(shù)據(jù)超過(guò)數(shù)據(jù)保存最大容量之后或者超過(guò)數(shù)據(jù)最長(zhǎng)保存時(shí)間之后，系統(tǒng)會(huì)強(qiáng)制管理員對(duì)數(shù)據(jù)作備份操作，備份數(shù)據(jù)存放于指定目錄下，備份后數(shù)據(jù)庫(kù)中的記錄才可以刪除，備份目錄和記錄的刪除操作都會(huì)自動(dòng)記錄到系統(tǒng)日志中，由系統(tǒng)日志監(jiān)督員進(jìn)行監(jiān)督。

所有數(shù)據(jù)不提供單條記錄刪除的功能。

系統(tǒng)萬(wàn)一出現(xiàn)崩潰，或者硬件原因造成了數(shù)據(jù)丟失，管理員可以把最近的一次備份數(shù)據(jù)恢復(fù)到系統(tǒng)中。

5）系統(tǒng)日志維護(hù)

系統(tǒng)日志記錄管理員對(duì)CMC的操作，主要包括：登錄、退出、用戶(hù)管理操作、部門(mén)管理操作、策略操作、控制操作等。

系統(tǒng)日志監(jiān)督員可以對(duì)系統(tǒng)日志數(shù)據(jù)庫(kù)表/記錄進(jìn)行備份/恢復(fù)等維護(hù)操作。

日志在備份后可以刪除，不提供單條刪除功能。

計(jì)算機(jī)資源是指單位內(nèi)部的計(jì)算機(jī)，這些計(jì)算機(jī)是單位信息網(wǎng)絡(luò)的重要組成部分，通常來(lái)說(shuō)，某臺(tái)計(jì)算機(jī)會(huì)有明確的任務(wù)、使用范圍和使用人。因并沒(méi)有效的措施指定計(jì)算機(jī)的使用者，計(jì)算機(jī)資源的使用難以控制，從而造成一定的信息安全隱患，比如財(cái)務(wù)部的計(jì)算機(jī)就不能允許非財(cái)務(wù)人員使用等等。另外，計(jì)算機(jī)資源是一個(gè)單位非常重要的資產(chǎn)，一般包括硬件資產(chǎn)和軟件資產(chǎn)。

CMC利用其超強(qiáng)的硬件獲取能力使信息人員和資產(chǎn)管理人員可以很方便的查看到網(wǎng)絡(luò)內(nèi)部的硬件的分配情況，可以極大地方便了資產(chǎn)統(tǒng)計(jì)人員，避免了過(guò)去做資產(chǎn)統(tǒng)計(jì)必須拆機(jī)箱的做法，利用先進(jìn)的自動(dòng)捕獲技術(shù)，及時(shí)的收集到所有的硬件信息，提高工作人員的效率。

CMC利用其強(qiáng)大的軟件信息獲取能力將單位所擁有的軟件納入資產(chǎn)的正常管理程序，以便掌握單位信息化的投資狀況，包括采購(gòu)、安裝、分發(fā)、升級(jí)、維護(hù)、刪除等整個(gè)軟件使用的生命周期。它經(jīng)由一系列有效的管理措施，配合系統(tǒng)管理的使用，就可以合理地控制軟件購(gòu)置的經(jīng)費(fèi)支出，以此提升軟件資產(chǎn)的利用率與整體效益，并且確保軟件使用的合法性。

1）計(jì)算機(jī)單機(jī)資產(chǎn)管理

單機(jī)資產(chǎn)管理負(fù)責(zé)將網(wǎng)絡(luò)內(nèi)合法的計(jì)算機(jī)添加到本系統(tǒng)內(nèi)，作為合法用戶(hù)使用。功能包括：計(jì)算機(jī)信息的增、刪、改、查。

單機(jī)資產(chǎn)管理功能包括硬件資產(chǎn)管理和軟件資產(chǎn)管理兩部分，并且提供強(qiáng)大的統(tǒng)計(jì)功能。

2 硬件資產(chǎn)管理

安裝硬件信息：在涉密計(jì)算機(jī)用戶(hù)注冊(cè)后，記錄下計(jì)算機(jī)的所有硬件安裝信息（處理器CPU，光驅(qū)，內(nèi)存，軟驅(qū)，聲卡，顯卡，硬盤(pán)的類(lèi)型及其種類(lèi)），同時(shí)把該信息和用戶(hù)信息、固定資產(chǎn)編號(hào)信息進(jìn)行關(guān)聯(lián)形成該用戶(hù)的硬件資產(chǎn)信息并且進(jìn)行日志記錄；

變動(dòng)硬件信息：檢測(cè)計(jì)算機(jī)發(fā)生變動(dòng)的硬件信息，并且記錄日志。

2 軟件資產(chǎn)管理

安裝軟件信息：在計(jì)算機(jī)用戶(hù)注冊(cè)后，記錄下涉密計(jì)算機(jī)的所有軟件安裝信息并且進(jìn)行日志記錄；

變動(dòng)軟件信息：檢測(cè)計(jì)算機(jī)發(fā)生變動(dòng)的軟件信息，并且記錄日志。

2)組/部門(mén)資產(chǎn)管理

CMC支持群組/部門(mén)管理，即將被監(jiān)控計(jì)算機(jī)群按照傳統(tǒng)的業(yè)務(wù)組/工作組/部門(mén)進(jìn)行劃分，并按照組/部門(mén)的方式進(jìn)行策略管理，組內(nèi)的成員的計(jì)算機(jī)全部自動(dòng)遵守該組的安全策略。組的成員可隨時(shí)添加或刪除。這一功能對(duì)于管理人員快速、準(zhǔn)確識(shí)別涉密信息和安全狀態(tài)很有幫助，并且可以大大減輕管理員的策略配置管理負(fù)擔(dān)。

監(jiān)視管理功能這部分是日志查看員的日常管理任務(wù)，他可以使日志查看員可實(shí)時(shí)掌握內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)的運(yùn)行和安全狀態(tài)，保證內(nèi)部網(wǎng)絡(luò)管理策略的正確執(zhí)行。

1) 在線狀態(tài)監(jiān)視

日志查看員可從查看全部主機(jī)的聯(lián)網(wǎng)狀態(tài)。

如果選擇網(wǎng)絡(luò)方式查看，則在CMC的監(jiān)視界面上顯示全部涉密計(jì)算機(jī)的聯(lián)網(wǎng)狀態(tài)。其中，閃亮的表示在線，灰色的表示離線。

如果選擇組/部門(mén)方式，則在CMC的監(jiān)視界面上按部門(mén)顯示，展開(kāi)部門(mén)后，顯示部門(mén)所轄涉密計(jì)算機(jī)的聯(lián)網(wǎng)狀態(tài)。

2) 非法入網(wǎng)監(jiān)視

CMC按照“安裝了代理 + IP/MAC地址白名單”的排除法發(fā)現(xiàn)非法計(jì)算機(jī)?！鞍惭b了代理 + IP/MAC 地址白名單”是指：定義安裝了SCMCA-HT代理的、并且IP/MAC地址在白名單中的涉密計(jì)算機(jī)稱(chēng)為合法，只有這樣的涉密計(jì)算機(jī)才能使用內(nèi)網(wǎng)資源，否則強(qiáng)行禁止其使用內(nèi)網(wǎng)，并且及時(shí)報(bào)警。

非法入網(wǎng)計(jì)算機(jī)在CMC中以非法入網(wǎng)計(jì)算機(jī)為組名稱(chēng)的進(jìn)行拓?fù)滹@示，可以列出所有非法接入內(nèi)部網(wǎng)絡(luò)的主機(jī)（IP/MAC地址），而在監(jiān)視界面中顯示這些主機(jī)的入網(wǎng)行為記錄。

3) 安全掃描

CMC可以對(duì)指定網(wǎng)段內(nèi)的涉密計(jì)算機(jī)進(jìn)行安全檢查，如果發(fā)現(xiàn)有未安裝本代理以及IP/MAC地址不屬于白名單的涉密計(jì)算機(jī)在線則報(bào)警。

主機(jī)監(jiān)控與審計(jì)系統(tǒng)UniAccess的策略是指代理對(duì)涉密計(jì)算機(jī)監(jiān)視和控制規(guī)則的集合。

策略的制定、修改、添加、刪除、存儲(chǔ)/導(dǎo)入、下發(fā)和執(zhí)行情況監(jiān)督都由CMC完成，通過(guò)CMC統(tǒng)一或部分下發(fā)至各個(gè)代理。

1) 策略模板管理

根據(jù)策略分級(jí)和繼承原則，所有策略以模版形式生成后，才可以下發(fā)到代理。

策略模板管理可以制定4個(gè)級(jí)別的多種模板：

2 默認(rèn)策略——本系統(tǒng)發(fā)行時(shí)提供，隨基本代理一同安裝于被監(jiān)控涉密計(jì)算機(jī)上，該策略為最嚴(yán)格策略；

2 全局策略——一個(gè)單位全局范圍的策略，對(duì)所有用戶(hù)有效；

2 部門(mén)策略——部門(mén)范圍內(nèi)的策略，對(duì)該部門(mén)的所有用戶(hù)有效；

2 用戶(hù)策略——特定用戶(hù)策略，只對(duì)該用戶(hù)有效。

策略模板管理包括：

2 策略模板制定：制定以上4級(jí)模板；

2 策略模板修改：對(duì)指定好的模板進(jìn)行修改；

2 策略模板添加：同一級(jí)別下具有多個(gè)模板時(shí)，添加模板；

2 策略模板刪除：對(duì)不再有效的策略模板進(jìn)行刪除；

2 策略模板存儲(chǔ)及導(dǎo)入：所有模板可以以單位或者個(gè)人名稱(chēng)方式單獨(dú)生成一個(gè)，并可以存儲(chǔ)（或者打?。?，再遇到特殊情況重裝系統(tǒng)后可以把先前存儲(chǔ)的模板導(dǎo)入到系統(tǒng)中，方便策略的備份和恢復(fù)，減輕工作量。

策略模板的內(nèi)容主要包括以下方面：

2 基本信息的采集策略：對(duì)代理采集計(jì)算機(jī)的方式、提交頻率等進(jìn)行配置。

2 文件監(jiān)控策略：對(duì)磁盤(pán)文件的監(jiān)控方式、過(guò)濾方式、操作方式、文件保護(hù)方式進(jìn)行配置。

2 注冊(cè)表監(jiān)控策略：對(duì)注冊(cè)表監(jiān)控方式、掃描頻率、提交方式和頻率進(jìn)行配置。

2 打印監(jiān)控策略：對(duì)涉密計(jì)算機(jī)的打印行策略為進(jìn)行配置。

2 應(yīng)用程序/進(jìn)程監(jiān)控策略：對(duì)應(yīng)用程序/進(jìn)程的啟動(dòng)、運(yùn)行策略進(jìn)行配置。

2 設(shè)備監(jiān)控策略：對(duì)涉密計(jì)算機(jī)所轄設(shè)備和新增的未知設(shè)備使用策略進(jìn)行配置。

2 網(wǎng)絡(luò)應(yīng)用行為監(jiān)控策略：對(duì)網(wǎng)頁(yè)瀏覽-HTTP、文件傳輸-FTP、發(fā)郵件-SMTP、收郵件-POP3、遠(yuǎn)程登錄-Telnet，以及外部主動(dòng)聯(lián)接、IP/MAC地址綁定、非法外聯(lián)、非法內(nèi)聯(lián)等的行為策略進(jìn)行配置。

2) 策略下發(fā)

針對(duì)不同的計(jì)算機(jī)用戶(hù)和組，聯(lián)軟終端安全管理系統(tǒng)對(duì)計(jì)算機(jī)的審計(jì)行為、端口控制行為各不相同，可根據(jù)實(shí)際情況制定不同的審計(jì)、控制策略模板，在下發(fā)審計(jì)策略時(shí)選擇相應(yīng)的模板即可。這樣對(duì)管理人員而言便于管理，方便使用。

策略下發(fā)方式分為立即執(zhí)行和重新啟動(dòng)后執(zhí)行兩種模式，由管理人員在下發(fā)時(shí)根據(jù)實(shí)際情況進(jìn)行選擇，也可以采用策略模版中制定的選擇。

2 立即執(zhí)行模式：代理收到CMC發(fā)送的策略更新命令，立即終止現(xiàn)行程序，按照新的策略去重新分配線程，在終止原策略啟用新策略過(guò)程中，可能會(huì)造成部分?jǐn)?shù)據(jù)的丟失。

2 重新啟動(dòng)后執(zhí)行模式：代理收到CMC發(fā)送的策略更新命令后，暫時(shí)不進(jìn)行相應(yīng)而只是把新策略存儲(chǔ)于本地，強(qiáng)制計(jì)算機(jī)重新啟動(dòng)或者待計(jì)算機(jī)自然重新啟動(dòng)后，再加載新策略。代理在計(jì)算機(jī)啟動(dòng)后和控制臺(tái)進(jìn)行通訊，如果要更新策略模板，則下載新的模板后繼續(xù)運(yùn)行。

策略的下發(fā)對(duì)用戶(hù)透明，不會(huì)對(duì)用戶(hù)的自然操作產(chǎn)生影響。

3)策略執(zhí)行和狀態(tài)監(jiān)督

2 策略執(zhí)行由代理完成，執(zhí)行過(guò)程不會(huì)對(duì)用戶(hù)自然操作產(chǎn)生影響。

2 策略下發(fā)成功或者失敗時(shí)，代理會(huì)把策略更新記錄提交給CMC。

2 CMC可以對(duì)所有涉密計(jì)算機(jī)的：策略執(zhí)行狀態(tài)（成功/失?。?、策略模板名稱(chēng)、策略模板內(nèi)容、策略執(zhí)行時(shí)間及有效時(shí)間等內(nèi)容進(jìn)行查看和監(jiān)督。

1) 文件/補(bǔ)丁管理

隨著軟件的不斷完善，功能的不斷增多，新的軟件版本將不斷發(fā)布，文件/補(bǔ)丁管理就是將每一版本軟件保存到數(shù)據(jù)庫(kù)中，并通過(guò)軟件的啟用、停用標(biāo)志控制軟件的可用性，通過(guò)文件/補(bǔ)丁分發(fā)功能，將新的軟件下發(fā)到各代理端。如果軟件下發(fā)時(shí)發(fā)現(xiàn)該版本的軟件已經(jīng)是停用標(biāo)志，將不再下發(fā)。

2) 文件/補(bǔ)丁分發(fā)

代理的升級(jí)采用“靜默式安裝”方式自動(dòng)升級(jí)，對(duì)用戶(hù)透明，由CMC控制對(duì)全部涉密計(jì)算機(jī)進(jìn)行統(tǒng)一在線升級(jí)。

在線升級(jí)是在涉密計(jì)算機(jī)已安裝代理的前提下，可以實(shí)現(xiàn)軟件的在線升級(jí)。升級(jí)方式分為主動(dòng)升級(jí)、下發(fā)后立即升級(jí)兩種模式，具體升級(jí)方式同樣由管理人員通過(guò)系統(tǒng)設(shè)置功能進(jìn)行設(shè)置。

2 主動(dòng)升級(jí)：每次開(kāi)機(jī)后代理主動(dòng)和CMC進(jìn)行通訊，如果有高于本機(jī)的軟件版本發(fā)布，則主動(dòng)下載，并自動(dòng)升級(jí)。

2 下發(fā)后立即升級(jí)：CMC向代理發(fā)送軟件立即升級(jí)的命令，代理收到命令后，進(jìn)行軟件版本的判定，如果新版本確實(shí)高于現(xiàn)行版本，則進(jìn)行新版本軟件的下載，下載完畢后，立即執(zhí)行軟件更新。在軟件更新過(guò)程中可能會(huì)造成部分審計(jì)數(shù)據(jù)的丟失。

審計(jì)管理功能基于已收到的各代理端采集到審計(jì)記錄對(duì)各種的操作行為進(jìn)行審計(jì)，審計(jì)內(nèi)容包括：

1) 磁盤(pán)文件操作行為審計(jì)

2) 注冊(cè)表審計(jì)

3) 應(yīng)用/進(jìn)程使用審計(jì)

4) 日志審計(jì)

5) 賬戶(hù)信息審計(jì)

6) USB介質(zhì)使用行為審計(jì)

7) 外部設(shè)備使用行為審計(jì)

8) 打印行為審計(jì)

9) 主動(dòng)網(wǎng)絡(luò)連接操作行為審計(jì)

10) 非法外聯(lián)行為審計(jì)

為了方便管理員的審計(jì)操作，提高管理效率，系統(tǒng)對(duì)以上各審計(jì)內(nèi)容提供多種審計(jì)方式：

2 按部門(mén)審計(jì)：對(duì)該部門(mén)下的所有人員的某一操作行為進(jìn)行審計(jì)。

2 按人員審計(jì)：由于工作需要，存在大量一人多機(jī)的情況，為了方便對(duì)某人的所有操作行為進(jìn)行審計(jì)，系統(tǒng)提供按人員進(jìn)行審計(jì)的功能，即審計(jì)該人員管理下所有計(jì)算機(jī)的操作行為。

按IP地址審計(jì)：按IP地址對(duì)某一臺(tái)計(jì)算機(jī)的操作行為進(jìn)行審計(jì)。

按時(shí)間段進(jìn)行審計(jì)：在以上某一條件下，有針對(duì)性的審計(jì)一段時(shí)間內(nèi)操作行為。

管理人員面對(duì)數(shù)量巨大的審計(jì)日志的時(shí)候，如果沒(méi)有合理的報(bào)警，將對(duì)其管理工作帶來(lái)巨大的困難。

CMC將提供基礎(chǔ)的報(bào)警策略，并提供報(bào)警定義、修改、刪除、存儲(chǔ)/導(dǎo)入等管理功能，使系統(tǒng)在得到和報(bào)警規(guī)則相匹配的操作行為的時(shí)候，自動(dòng)產(chǎn)生報(bào)警，并向管理人員發(fā)出提示。

1) 報(bào)警策略定義及管理

報(bào)警分為單一來(lái)源報(bào)警、組合報(bào)警和用戶(hù)自定義報(bào)警：

單一來(lái)源報(bào)警：由日志分級(jí)方式產(chǎn)生，即系統(tǒng)每產(chǎn)生的一條日志都有個(gè)安全等級(jí)字段，安全等級(jí)在制定安全策略時(shí)指定。日志安全等級(jí)的目的是提高日志審計(jì)的效率，同時(shí)突出了報(bào)警的概念，如日志分為1～5 共5個(gè)安全等級(jí)，5 為最高等級(jí)，可定義安全等級(jí)>=3 的日志產(chǎn)生預(yù)警。

組合報(bào)警：對(duì)于不能由單一來(lái)源確定的惡意行為，這種報(bào)警可能需要依據(jù)多條日志進(jìn)行分析才能產(chǎn)生。系統(tǒng)會(huì)提供組合報(bào)警模板供用戶(hù)參考，其安全等級(jí)由用戶(hù)根據(jù)實(shí)際情況自己確定。

用戶(hù)自定義報(bào)警：對(duì)本系統(tǒng)沒(méi)有規(guī)定的報(bào)警，用戶(hù)可以根據(jù)實(shí)際情況就其所關(guān)心的日志設(shè)置安全級(jí)別產(chǎn)生報(bào)警。

報(bào)警策略的定義及其管理也采用策略模板的方式。

2) 報(bào)警處理

當(dāng)有符合報(bào)警策略的違規(guī)事件發(fā)生時(shí)，代理會(huì)在涉密計(jì)算機(jī)上給出提示，同時(shí)會(huì)把該日志記錄發(fā)送到CMC。

CMC會(huì)在計(jì)算機(jī)瀏覽管理視圖上產(chǎn)生色彩鮮艷的警示性報(bào)警信號(hào)，管理人員可以查看報(bào)警詳細(xì)信息，CMC會(huì)給出對(duì)該類(lèi)報(bào)警信息的處理建議。

管理人員可以選擇忽略該報(bào)警，或者在處理完該報(bào)警之后代理自動(dòng)監(jiān)測(cè)到無(wú)違規(guī)記錄時(shí)，報(bào)警取消。

3) 報(bào)警查詢(xún)和統(tǒng)計(jì)

對(duì)報(bào)警事件進(jìn)行查詢(xún)統(tǒng)計(jì)，管理方式同審計(jì)信息的查詢(xún)和統(tǒng)計(jì)。

1) 日志過(guò)濾查詢(xún)

管理人員能夠方便地定制過(guò)濾查詢(xún)本系統(tǒng)產(chǎn)生的所有日志，可以靈活地設(shè)置查詢(xún)條件，包括：用戶(hù)信息、日志等級(jí)、日志產(chǎn)生時(shí)間、日志內(nèi)容等。支持組合查詢(xún)、模糊匹配查詢(xún)等技術(shù)。

2) 日志統(tǒng)計(jì)及報(bào)表輸出

具備日志統(tǒng)計(jì)分析功能，能夠展現(xiàn)一段時(shí)間內(nèi)的日志趨勢(shì)，安全管理員可以據(jù)此考慮調(diào)整相應(yīng)的安全策略。

統(tǒng)計(jì)報(bào)表表現(xiàn)方式靈活，除了最基本的列表方式之外，還應(yīng)該具備圖形表現(xiàn)功能，包括餅圖、柱狀圖以及曲線圖等。

統(tǒng)計(jì)報(bào)表可以采用打印、存儲(chǔ)、導(dǎo)出等方式輸出。

為了保證計(jì)算機(jī)上的數(shù)據(jù)安全，防止泄密事件的發(fā)生，部署聯(lián)軟終端安全管理系統(tǒng)，禁止用戶(hù)在未經(jīng)許可的情況下私自將涉密文件拷出，禁止進(jìn)入不安全的網(wǎng)絡(luò)，防止被他人惡意攻擊，竊取涉密文件。因此在對(duì)文件進(jìn)行審計(jì)的同時(shí)，要對(duì)文件的出口加以控制。為了保證數(shù)據(jù)的有效性，對(duì)系統(tǒng)的關(guān)鍵數(shù)據(jù)的修改權(quán)利也加以控制。

控制功能包括兩部分設(shè)備使用的控制和操作系統(tǒng)參數(shù)設(shè)置的控制。

1）設(shè)備包括本機(jī)已有設(shè)備和外圍設(shè)備兩部分，控制主要指對(duì)設(shè)備的可用性進(jìn)行控制，分為啟用和禁用兩種狀態(tài)，設(shè)備啟用時(shí)用戶(hù)可以對(duì)設(shè)備正常使用，禁用時(shí)用戶(hù)將無(wú)法使用該設(shè)備，如果用戶(hù)采用其他技術(shù)手段改變了CMC對(duì)設(shè)備的控制屬性，代理端檢測(cè)到后將依據(jù)CMC對(duì)設(shè)備的使用權(quán)重新進(jìn)行設(shè)置，并產(chǎn)生報(bào)警信息，通知CMC。要進(jìn)行控制的設(shè)備包括以下幾方面：

2 光驅(qū)

2 軟驅(qū)

2 USB設(shè)備

2 USB存儲(chǔ)設(shè)備

2 串、并口

2 打印機(jī)

2 撥號(hào)上網(wǎng)

2 無(wú)線網(wǎng)卡上網(wǎng)

2 網(wǎng)絡(luò)共享服務(wù)

2）操作系統(tǒng)部分功能使用的控制權(quán)

2 IP/MAC地址的更改：為了保證數(shù)據(jù)的有效性，同時(shí)有效防止非法內(nèi)聯(lián)事件的發(fā)生，在未經(jīng)審批、管理員授權(quán)的情況下禁止修改IP/MAC地址。

2 通過(guò)網(wǎng)絡(luò)的文件、打印和命名管道共享：為了保證計(jì)算機(jī)上的數(shù)據(jù)安全，防止他人的惡意竊取，嚴(yán)禁共享功能。

代理端數(shù)據(jù)采集是指對(duì)端機(jī)的環(huán)境信息、軟、硬信息及操作、使用行為進(jìn)行數(shù)據(jù)采集，具體包括以下幾方面：

1) 基本信息數(shù)據(jù)采集：采集計(jì)算機(jī)操作系統(tǒng)的基礎(chǔ)配置數(shù)據(jù)，其中包括：用戶(hù)名、主機(jī)名、域名、網(wǎng)絡(luò)名、操作系統(tǒng)、MAC地址、CPU型號(hào)、IE版本號(hào)等。

2) 軟件信息數(shù)據(jù)采集：采集該系統(tǒng)已經(jīng)安裝的軟件信息。

3) 設(shè)備信息數(shù)據(jù)采集：采集該計(jì)算機(jī)的設(shè)備配置情況，包括：DVD/CD-ROM驅(qū)動(dòng)器、IDE ATA/ATAPI控制器、處理器、磁盤(pán)驅(qū)動(dòng)器、端口、鍵盤(pán)、軟盤(pán)控制器、軟盤(pán)驅(qū)動(dòng)器、鼠標(biāo)和其它指針設(shè)備、通用串行總線控制器、網(wǎng)絡(luò)適配器、顯示卡等。

4) 日志信息數(shù)據(jù)采集：對(duì)系統(tǒng)生成的日志信息進(jìn)行數(shù)據(jù)采集，其中包括：應(yīng)用程序錯(cuò)誤記錄、安全審核記錄、系統(tǒng)錯(cuò)誤記錄。

5) 磁盤(pán)文件操作數(shù)據(jù)采集：對(duì)用戶(hù)對(duì)文件的增、刪、改、重命名進(jìn)行審計(jì)，同時(shí)對(duì)計(jì)算機(jī)IP地址、操作時(shí)間、文件操作類(lèi)型、文件路徑、文件名等數(shù)據(jù)進(jìn)行提取、保存。

6) 注冊(cè)表操作數(shù)據(jù)采集：對(duì)注冊(cè)表項(xiàng)的“增、刪、改”操作行為進(jìn)行數(shù)據(jù)采集，采集的基本信息包括：計(jì)算機(jī)名（IP地址）、用戶(hù)名、程序名、鍵名、鍵值、操作時(shí)間等信息。

7) 應(yīng)用/進(jìn)程信息數(shù)據(jù)采集：對(duì)系統(tǒng)的應(yīng)用程序和進(jìn)程的啟動(dòng)及運(yùn)行情況進(jìn)行數(shù)據(jù)采集，包括：計(jì)算機(jī)名（IP地址）、用戶(hù)名、進(jìn)程映像名稱(chēng)、進(jìn)程ID、程序名稱(chēng)等。

8) 打印信息數(shù)據(jù)采集：對(duì)計(jì)算機(jī)進(jìn)行的打印信息進(jìn)行采集，采集的基本信息包括：計(jì)算機(jī)名（IP地址）、用戶(hù)名、打印機(jī)名、打印時(shí)間、打印文檔名、打印頁(yè)數(shù)、打印份數(shù)等信息。

9) 網(wǎng)絡(luò)行為數(shù)據(jù)采集：對(duì)用戶(hù)的上網(wǎng)行為進(jìn)行數(shù)據(jù)采集，采集的基本信息包括：計(jì)算機(jī)名（IP地址）、用戶(hù)名、上網(wǎng)時(shí)間、網(wǎng)址名等信息。

10) 非法外聯(lián)行為數(shù)據(jù)采集：對(duì)CMC允許以外的外聯(lián)行為定義為非法外聯(lián)行為，此操作威脅到涉密文件的安全，因此要產(chǎn)生報(bào)警信息。

11) 非法內(nèi)聯(lián)行為數(shù)據(jù)采集：進(jìn)入內(nèi)網(wǎng)的計(jì)算機(jī)是經(jīng)過(guò)嚴(yán)格審批手續(xù)的，對(duì)沒(méi)有進(jìn)行審批就進(jìn)入內(nèi)網(wǎng)的計(jì)算機(jī)認(rèn)為是非法內(nèi)聯(lián)行為，對(duì)計(jì)算機(jī)的非法內(nèi)聯(lián)行為的數(shù)據(jù)采集包括：計(jì)算機(jī)名（IP地址）、用戶(hù)名、時(shí)間等信息。

主機(jī)監(jiān)控審計(jì)是指：利用UniAccess此類(lèi)監(jiān)控管理系統(tǒng)，監(jiān)控計(jì)算機(jī)各個(gè)終端是否未經(jīng)允許隨意安裝計(jì)算機(jī)應(yīng)用程序，導(dǎo)致網(wǎng)絡(luò)感染病毒和木馬、引發(fā)知識(shí)產(chǎn)權(quán)泄露、上網(wǎng)行為混亂、訪問(wèn)非法網(wǎng)站行為導(dǎo)致網(wǎng)絡(luò)泄密等行為事件等。其宗旨是為企業(yè)構(gòu)建完善的授權(quán)管理、資產(chǎn)管理保護(hù)體系。

為了確保涉密文件的安全，在防止端機(jī)非法外聯(lián)同時(shí)也要保證內(nèi)網(wǎng)的安全，防止非法內(nèi)聯(lián)事件的發(fā)生。非法計(jì)算機(jī)指在本系統(tǒng)內(nèi)沒(méi)有注冊(cè)登記的計(jì)算機(jī)。非法內(nèi)聯(lián)指沒(méi)有注冊(cè)的計(jì)算機(jī)連接入網(wǎng)。

在發(fā)現(xiàn)有非法計(jì)算機(jī)連接入網(wǎng)時(shí)要及時(shí)報(bào)警，通知管理員有非法事件發(fā)生。非法內(nèi)聯(lián)行為的發(fā)現(xiàn)可通過(guò)服務(wù)器定時(shí)掃描方式實(shí)現(xiàn)，即定時(shí)對(duì)網(wǎng)段內(nèi)所有計(jì)算機(jī)進(jìn)行掃描。此方法存在以下缺點(diǎn)：

1）服務(wù)器要對(duì)整個(gè)網(wǎng)段的所有IP地址進(jìn)行掃描，輪詢(xún)一次必要花費(fèi)一定的時(shí)間，如果非法計(jì)算機(jī)在其服務(wù)器掃描時(shí)間間隔內(nèi)上網(wǎng)并斷網(wǎng)，服務(wù)器根本無(wú)法檢測(cè)到。

2）非法計(jì)算機(jī)可以通過(guò)端口禁用、安裝防火墻等軟件方式對(duì)系統(tǒng)進(jìn)行設(shè)置，對(duì)服務(wù)器的掃描不予任何回應(yīng)，這樣服務(wù)器也無(wú)法檢測(cè)到非法內(nèi)聯(lián)行為的發(fā)生。

為了防止以上現(xiàn)象的發(fā)生，涉密計(jì)算機(jī)監(jiān)控與審計(jì)系統(tǒng)在服務(wù)器進(jìn)行定時(shí)掃描的功能同時(shí)，利用代理端的網(wǎng)絡(luò)民兵功能進(jìn)行非法內(nèi)聯(lián)計(jì)算機(jī)的掃描，可有效的對(duì)非法內(nèi)聯(lián)行為進(jìn)行檢測(cè)。

1）指定網(wǎng)絡(luò)民兵進(jìn)行定時(shí)掃描：服務(wù)器通過(guò)對(duì)在線計(jì)算機(jī)的檢測(cè)，在每一網(wǎng)段指定一臺(tái)計(jì)算機(jī)對(duì)該網(wǎng)段內(nèi)的計(jì)算機(jī)進(jìn)行安全掃描，如果發(fā)現(xiàn)非法計(jì)算機(jī)入網(wǎng)則產(chǎn)生報(bào)警信息。網(wǎng)絡(luò)民兵只掃描本網(wǎng)段內(nèi)的計(jì)算機(jī)，被控計(jì)算機(jī)數(shù)量大幅下降，可大量縮短掃描時(shí)間間隔，減少未檢測(cè)到的非法內(nèi)聯(lián)行為的發(fā)生。

2）通過(guò)截獲進(jìn)出本機(jī)的數(shù)據(jù)包分析：代理端軟件可以截獲進(jìn)出本機(jī)的數(shù)據(jù)包，通過(guò)對(duì)TCP/IP數(shù)據(jù)包的分析可以得到要訪問(wèn)本機(jī)的客戶(hù)機(jī)的IP地址。如果該IP 地址已經(jīng)注冊(cè)，則認(rèn)為是合法的，如果沒(méi)有注冊(cè)則認(rèn)為是非法內(nèi)聯(lián)計(jì)算機(jī)，產(chǎn)生報(bào)警信息。

曾經(jīng)的文檔加密軟件以及主機(jī)監(jiān)控與審計(jì)、桌面管理、上網(wǎng)行為管理、終端安全、補(bǔ)丁管理等內(nèi)網(wǎng)安全產(chǎn)品，已經(jīng)被實(shí)踐所證明難以滿(mǎn)足用戶(hù)數(shù)據(jù)泄露防護(hù)個(gè)性化需求。而以防止各類(lèi)敏感數(shù)據(jù)有意或無(wú)意泄露、擴(kuò)散與丟失為安全目標(biāo)所構(gòu)建的DLP數(shù)據(jù)泄露防護(hù)體系已邁向標(biāo)準(zhǔn)化時(shí)代，成為國(guó)內(nèi)外數(shù)據(jù)泄露防護(hù)的主流產(chǎn)品。