主机监控审计范文

主机监控审计范文（精选4篇）

主机监控审计 第1篇

因此,建设主机监控与审计平台,采用先进的内网管理技术手段主动降低网络安全风险,同时注重内网安全体系建设、有效防范源自内部的安全问题,其意义较之于外网安全防范更为重大。

1技术手段

企业内网信息外泄主要途径集中于移动存储介质拷贝、计算机外设端口输出、违规连接互联网传输、非法接入企业内网窃取等,因此,主机监控与审计平台主要以移动存储介质的使用控制、端口设备使用管理、违规外联告警、网络准接入控制、操作日志审计为管理对象,基于Windows操作系统,利用广泛使用的高级程序设计语言及数据库构建技术来实现,主要应用以下技术手段:

(1)功能开发:利用一种面向对象、解释型、动态数据类型的高级程序设计语言-Python,实现主机监控与审计功能开发。Python语言非常干净,设计优雅,具有出色的模块化特性。

(2)数据库管理:利用成熟的、高性能的开源数据库系统-My SQL实现数据的结构化管理,并利用结构化查询语言-SQL存取数据以及查询、更新和管理数据库。

(3)外设端口控制:运用注册表控制、中间层驱动、驱动程序拦截、I/O中断控制、线程注入等技术手段,对计算机外设端口进行启停控制。定时检查注册表、进程运行状态,一旦有异常现象,自动进行修复。

(4)移动存储设备管理:通过获取移动存储设备驱动信息、设备序列号,实现设备的逻辑认证,以控制存储设备的使用。

(5)网络准接入限制:IEEE802.1x协议是一种基于端口的网络接入控制协议,“基于端口的网络接入控制”是指在局域网接入设备的端口这一级,对所接入的用户设备进行认证和控制。IEEE 802.1x协议可为每个通过认证的用户建立专用逻辑的认证通道,该逻辑通道无法被其他用户使用,因此不存在端口打开后被其他用户利用问题。

(6)违规连接互联网监测:通过发包探测技术,实时、准确地检测复杂网络环境下内外网线的各种链路连接,包括交换设备接入和直连线对等网接入等。实时监视通过使用AD-SL、无线网卡、手机连接等多种方式的拨号上网行为。

(7)审计信息收集:实时监控客户端设备进程启动与停止活动,并捕捉进程启动参数,记录目录和文件属性变化、USB端口设备插拔信息,并捕捉客户端Arp变化信息等。

(8)客户端与操作系统:客户端核心采用深度嵌入系统的模式,与Windows深度绑定,可对操作系统进行全面接管,安全模式下同样可以监控。操作系统启动后,客户端以服务的形式在后台启动。

2部署方案

主机监控与审计平台主要部署于内网系统,采用C/S结构,整体分为三层架构:数据管理层、用户界面层、中间层。这三层结构在层与层之间相互独立,任何一层的改变不会影响其他层功能。系统主要由服务端、客户端构成。

服务器端上主要部署管理控制台及数据库系统,实现对客户端的集中管理,负责在线、离线策略制订与分发、终端登记及控制、移动存储及外部设备认证、审计信息收集、数据存储等功能。

客户端是运行在终端上的管理引擎;负责对计算机终端的安全管理,记录计算机终端用户行为并与管理服务器进行通信。它深入系统内核,在任何模式下不可删除、不可停止。客户端第一次成功连接网络后,主动从服务器下载在线及离线策略。如果客户端断网使用,离线策略即时生效,并具有与在线策略同等权限,可实现计算机离线监管与控制。

局域网内部署的交换机需采用网管型二层或三层交换机,要求支持IEEE802.1x协议,可通过其Web管理界面或利用Telnet命令行方式对指定端口认证和控制。

3安全管理功能

3.1移动存储介质管理

移动存储介质以其使用方便、存储量大、隐蔽难以防范的特点,成为内部网络泄密的主要途径。加强移动存储介质的风险分析和风险管理已成为有效保障内网中信息安全的重要工作。

移动存储介质管理功能通过登记介质硬件信息来实现介质识别,可针对每个介质使用方式及接入内网的权限进行配置,并将相关信息记录到平台数据库中及下发到每个客户端上。当介质插入客户端接口时,驻后台服务自动比对介质信息数据库,允许或拒绝介质在终端上使用,并弹出窗口温馨提示。

3.2计算机外部端口管理

层出不穷的外设端口增加了泄密的途径,针对这些泄密途径,结合平台端口管理功能对外设端口进行控制及监测使用情况,可实现对计算机的光驱、软驱、调制解调器、串行通信口、并行通信口、本地打印机、无线网卡、蓝牙、红外等设备的启停管理,借此实现封死泄密出口,保障数据信息安全。

3.3计算机准接入限制

如果企业内网不做任何安全认证,外来用户私自接入网络就不受任何限制,外来接入往往会影响到公司内网的正常运行,对内网信息安全造成很大的威胁。计算机准接入限制功能主要针对外来计算机接入网络的行为做控制,防止非法接入。通过在网络中部署认证服务器及支持IEEE802.1x协议的交换机设备,终端接入网络前通过已安装的客户端程序提交认证信息,由服务器匹配有关记录来判断是否允许用户接入内部网络,从而实现计算机终端网络接入控制功能。

3.4用户身份认证

基于Windows底层内核开发,完全接管计算机登录界面,提供用户普通登录和特殊登录两种方式:使用普通登录就和正常登录计算机一致,输入密码即可登录计算机;使用特殊登录方式可结合USB Key登录。USB Key是一种USB接口的硬件设备,内置智能卡芯片,采用一次一密的认证模式,使用USB Key内置的密码算法实现对用户身份的认证,很好地解决了安全性和易用性之间的矛盾。通过登录身份认证,可以保证非授权人员不能登录内网用户终端,对于终端边缘登录有最大的控制权限。

3.5违规外联互联网告警

违规外联使原本封闭的系统环境暴露在互联网中,内部网络将面临病毒、木马、非授权访问、数据泄密、数据被篡改等多种安全威胁。一旦监测到用户终端违规连接互联网行为,立即阻断与互联网连接,并生成行为审计及告警信息发送到服务器上。告警方式包括:短信告警、邮件告警和管理台告警。便于能够让管理员及时收到违规告警信息,进而能够及时阻止安全事件的发生。

3.6计算机操作行为的审计

系统可针对收集的终端信息进行整理,并提供多层次、多级别的系统审计报告,如安全事件分析报告、计算机配置报告、运行状况报告、安全现状和安全趋势预警报告,从而辅助管理员进行已有网络计算资源调配,并对将来进行网络资源投资提供决策能力。

4管理员权责分配

为进一步提高内网数据安全,在管理上应引入三员管理制度,将网络管理员划分为:安全管理员、安全操作员、安全审计员。其各自职责如下:

(1)安全管理员:负责用户增删、群组编辑、功能模块配置、管理员等系统配置维护。

(2)安全操作员:负责终端策略配置、授权、日志查询及服务器的配置。

(3)安全审计员:负责所有审计信息的查看,包括管理员操作日志。

为保证安全管理员、安全操作管理员和安全审计员能够充分发挥实效作用,平台开发建设过程必须考虑该方面的需求,在服务器端管理控制台提供相应的管理员账号,以及权限划分和审计日志功能。在平台设计过程中应避免超级用户,即该用户具有完全的资源访问权限。对于一般用户的权限,必须按照最小授权原则进行划分,将其权限设定在完成工作所需的最小授权范围内。

5预期使用效果

企业建设主机监控及审计平台可针对网络安全事件从开始、到事发过程的跟踪、以及安全事件的事后追溯和查处,全程管理整个网络运行过程,具备“事前防范,事发跟踪,事后查处”的全程管理能力,可有效帮助企业极大地提升信息安全管理水平,强化信息安全及网络管理的力度与深度。

6结语

建设主机监控及审计平台仅是多种保障内网信息安全措施中的一部分,为了更好地解决内网的安全问题,需要有更为开阔的思路看待内网的安全问题,同时应持积极主动的态度来面对来自安全的挑战。提升内网安全管理水平,健全的内网安全治理制度及措施是保障内网安全必不可少的措施。

摘要：在企业实现信息化过程中,做好内网信息安全是当前不容忽视的问题。建设主机监控与审计平台,可主动有效地降低网络安全风险,使IT管理模式从被动式转换为主动式、预防性的管理模式,保证企业内网信息得到安全保护,为企业未来发展保驾护航。

关键词：主机监控与审计技术,信息安全,信息化建设

参考文献

[1][挪]Magnus Lie Hetland.Python基础教程[M].2版.司维,曾军崴,谭颖华,译.北京:人民邮电出版社,2014:45.

[2]殷人昆.实用软件工程[M].3版.北京:清华大学出版社,2010:105.

[3]唐汉明.深入浅出My SQL:数据库开发、优化与管理维护[M].2版.北京:人民邮电出版社,2014:47.

[4]马宏斌.数据通信与网络协议[M].北京:清华大学出版社发行部,2015:78.

主机监控审计 第2篇

随着全球信息化技术的快速发展以及计算机信息技术在各行各业的深入运用, 计算机信息化技术已经深入的覆盖到工作及生产的每一个角落, 传统的手工生产已经逐渐的被信息化生产所替代, 信息化生产大大的提高了社会化生产的效率, 但是同时, 作为生产工具的信息化系统存在着可能导致生产崩溃的风险和威胁, 信息系统遭受内部攻击、违法违规操作以及信息泄露的事件时有发生并且呈不断升温的趋势。

在国外, 美国于2002年颁布了SOX法案 (国内简称萨班斯法案) , 用以规范上市公司在计算机信息系统的安全性和可审计性, 从而消除或者减少信息系统中导致生产崩溃的风险和威胁。我国在加入WTO之后, 生产和信息技术上不断地向发达国家靠拢的同时, 也产生了完善计算机信息系统安全及审计规范和方式的技术及产品需求。

近年来, 我国相继颁布了《互联网安全保护技术措施规定》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护定级指南》、《企业内部基本控制规范》及涉密信息系统安全管理的正常法规、技术标准等文件, 其中均提出了对信息系统进行审计与控制的明确要求。与此同时, 在安全管理严格、保密需求较高的政务单位、军队军工、金融、能源、医疗等行业, 已经开始把安全管理的重点从设备本身, 扩展到人员行为、信息状态, 不断强化安全事件处理的可追踪型和抗抵赖性, 以保障单位和机构信息安全策略制定的完整性。

因此, “主机监控审计”系统是相关法规、规范及技术标准等文件的重点建设要求, 该系统对所有接入局域网的计算机设备进行统一的注册管理, 对“主机监控”违规外联进行监控和阻断, 并通过各级系统的级联, 形成网络完整、统一的安全监控管理体系。为巩固“主机监控审计”系统正常运转的可控性, 各级系统管理员能够及时掌握相应考核数据的变化情况, 提高运行考核成绩, 建立一套商用状态监测及短信报警平台, 势在必行。

二、商用状态监测系统架构及关键技术

1. 系统设计构架

1) 构建“主机监控审计”系统区域级状态监测及短信报警框架的系统模型。

2) 进行现有的“主机监控审计”系统的关键相关信息的研究分析。

3) 研发状态监测及短信报警平台系统中对本级注册管理、本级系统状态监测管理、本级防病毒软件管理、下级系统状态监测管理等模块的相关考核数据预警模型。

4) 构建区域级预警管理模式设计, 要能够对各级“主机监控审计”系统平台单独实现自动预警功能, 并要求上级短信报警平台能够对下级短信平台的重要考核数据进行联动监测预警。

5) 利用现有短信平台环境或市场常见短信设备进行预警联动。

6) 系统要求全部采用模块化设计, 自动配置系统资源, 保证系统软硬件资源的合理使用。

7) 系统运行稳定可靠, 故障率低。

2. 系统功能构架

1) 逻辑构架

实现对各级“主机监控审计”系统平台单独实现自SYS PRACTICE系统实践动预警功能。系统逻辑结构示意图如下:

整体设计采用3层逻辑结构:

●接口层:对应于“主机监控审计”系统建立的数据接口和短信设备间建立的数据接口。

●模型层:对应于商用状态监测及短信报警平台管理系统, 包含数据库服务器和系统应用服务器。

●展示层:对应于设置的手机终端。

2) 物理构架

系统基于“主机监控审计”系统的异常数据开发, 通过后台管理设定预警条件, 通过已有的短信平台或短信设备进行预警。系统物理架构示意图如下:

3. 系统关键技术

商用状态监测及短信报警平台以底层开发技术为核心, 以提高“监控效率”为应用导向, 建立一套状态监测及短信报警平台管理系统。依托局域网内的短信发送平台, 采用XML技术、ADO技术等方法, 对“主机监控审计”系统关键信息进行监控, 以提高工作效率, 满足新形势下考核的工作需要。

1) 对预警的数据进行阀值判断, 一旦触发设置的正常范围, 立即发出报警短信;

2) 策略设点采用XML技术, 构建存储模型, 通过XML增加新的监管项, “主机监控审计”系统的监控项可配置不需要再改动;

3) 采用ADO技术与数据库建立连接, 构建区域级管理模式;

4) 研发多项监测内容, 对局域网系统信息化指标进行监测、考核, 并通过短信报警平台进行网络安全事件预警, 增强对局域网监控能力, 提高运维考核成绩;

5) 采用表达式方式, 如“注册率”为“已注册数”除以“设备总数” (已注册数和设备总数均有各自计算方法) , 经过公式计算后形成新的计算点, 通过XML策略可以通过表达式方式重复计算, 先计算各个数值, 如已被计算过数值则不需要重复计算, 增加计算效率。

三、短信报警平台架构及关键技术

1. 系统功能架构

实现上级短信报警平台能够对下级短信平台的重要考核数据进行联动监测预警功能。系统设计示意图如下:

1) 一级主机监控审计系统:局域网“主机监控审计”一级监控管理系统, 作为短信报警平台的一级系统;

2) 二级主机监控审计系统:局域网“主机监控审计”二级监控管理系统, 作为短信报警平台的二级系统;

3) 一级短信报警平台:是提供探测 (监控) 、报警信息采集、报警信息记录、报警信息发送与报警信息汇总分析的一级短信预警系统;

4) 二级短信报警平台:是提供探测 (监控) 、报警信息采集、报警信息记录、报警信息发送与报警信息汇总分析的二级短信预警系统;

5) 短信设备:包括已有的短信平台或市面上SIM卡短信发送设备;

6) 预设接收目的手机:对各级管理员提供接收目的手机号码预设功能;

7) 指定报警类型:提供本级管理器状态、本级杀毒软件覆盖率、本级注册率、下级管理器状态。

2. 系统关键技术

1) 采用tcp/ip socket通讯, tcp协议, 长连接方式, 建立可信计算平台TPM, 构建公安“主机监控审计”系统;

2) 发送短信过程:首先发登陆协议包, 登陆成功后在发送短信协议包或者接收短信协议包;

3) 发送短信例子

四、“主机监控审计”接口设计与实现

1. 系统设计:

商用状态监测及短信报警平台管理系统可实现对全局各“主机监控审计”系统做实时监控, 如发现某系统出现异常情况, 或者相关考核数据变化, 系统将立即以短信方式将事件信息发送给相应的管理员, 以便管理员做出及时的处理等功能。

由“主机监控审计”进行数据采集, 实现商用状态监测及短信报警平台管理系统与短信设备联动功能:将系统异常报警数据与短信平台提供的设备接口程序进行联动功能。

2. 预设接收目的手机号码功能:

在异常报警情况发生时, 商用状态监测及短信报警平台管理系统中设置告警目的接收号码能够及时接收到报警信息。

3. 指定报警类型的告警功能:

对指定报警类型 (本级管理器状态、本级杀毒软件覆盖率、本级违规外联、本级注册率、下级管理器状态) 进行短信告警功能。

4.

预设指定报警类型的预警条件, 告警条件可选择匹配大于、不小于、等于、不大于、小于五种模式, 并根据预警条件设定阀值, 根据不同;

5. 目的手机接收信息的准确性:

确保短信报警平台发送信息内容与系统管理员手机接受信息内容的一致性。

五、结束语

商用状态监测及短信报警平台管理系统是建立在主机监控审计系统基础上的, 主机监控审计能够通过对主机的设备状态、信息状态和用户行为进行有效审计, 给企业单位的网络提供强有力的技术追踪手段和事件处理依据。

商用状态监测及短信报警平台管理系统的建立, 恰恰改变了由管理员人工登陆“主机监控审计”系统来检测系统是否正常运转和相关考核数据的工作模式, 创造性地建立了由软件系统判断、短信平台自动报警的工作模式。由人工检测改为自动报警, 工作模式的转变, 使得工作人员从繁忙地日常巡检工作中摆脱出来, 提高了系统管理员的工作效率, 有效地降低了广大系统管理员的工作强度。同时利用该系统的自动报警功能, 提供对“主机监控审计”系统的稳定运行的有力保障, 以避免由于系统异常不能监控而发生的网络安全事件。

商用状态监测及短信报警平台管理系统的建设是实现办公自动化, 缓解人力紧张的集中体现, 进一步增强了“主机监控审计”系统的监控能力, 提高了运维考核的成绩, 进一步提升局域网完整、统一的安全监控管理体系, 为实现局域网“专网专用、专机专用”提供有效的技术保证和手段。

摘要：商用状态监测及短信报警平台管理系统是通过对全局“主机监控审计”系统的正常运转情况和相关考核数据进行监控, 当发现系统异常和考核数据问题时, 自动通过短信平台报警, 通知各系统管理员, 以便及时处理、恢复系统的正常运行, 提高考核成绩。

关键词：商用,监测,短信平台,主机监控审计

参考文献

[1]佚名.北信源主机监控审计违规联网监控产品[J].网络安全技术与应用, 2003 (4) :71.

[2]李焕洲, 张健, 陈麟.涉密网资源监控体系的研究与实现[J].计算机应用, 2006, 26 (5) :1090-1092.

[3]吴晓昶, 李名世.办公业务网信息系统设计[J].厦门大学学报:自然科学版, 2004, 43 (B08) :332-335.

[4]河北省国家安全厅技术安全保卫办公室.涉密内网IP资源动态监测系统[J].中国科技成果数据库, 0500630761.

[5]赵玖玲 (第二炮兵工程学院) .基于以太网的网络信息安全系统设计及关键技术研究[C].第十四届中国计算机学会网络与数据通信学术会议论文集, 2004.

[6]于晴, 王海洋.网络信息检测系统[P].中国专利:201491027U, 2010-05-26.

[7]CMPPV2.0, 中国移动通信互联网短消息网关接口协议[S].

[8]SMGPFv2.0, 中国电信集团公司短消息网关接口协议[S].

主机安全审计系统的设计与实现 第3篇

电力信息系统作为国家信息安全重要的组成部分, 贯穿于电力企业生产、经营、管理、决策的全过程。因此, 电力信息系统极易受到敌对势力以及一些非法用户、别有用心者的威胁和攻击。据统计, 83%的信息安全事故来自泄密和内部人员犯罪, 而非病毒和外来黑客引起。所有的入侵攻击都是从计算机终端上发起的, 不控制问题的根源, 而在外围进行封堵, 无法从根本上解决安全问题。

1 主机安全审计系统功能需求

主机安全审计要从终端主机密码口令、终端主机账户权限、终端主机系统资源耗用、终端主机流量、终端主机运行进程、终端主机通信访问控制、安全风险防护、主机盘符控制、IP/MAC地址管理、移动存储设备数据控制等方面来对终端主机安全进行风险审计管理, 实时采取审计源信息, 必要时能够提供系统自我防护。

2 主机安全审计模型设计

审计系统由事件产生器 (Event generators) 、事件分析器 (Event analyzers) 、响应单元 (Response units) 、事件数据库 (Event databases) 组成, 组件结构如图1所示。

事件产生器的目的是从整个计算环境中获得事件, 并向系统的其他部分提供此事件。事件分析器的作用是分析得到的数据, 并产生分析结果。响应单元则是对分析结果做出反应的功能单元, 它可以做出切断连接、改变文件属性等强烈反应, 也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称, 它可以是复杂的数据库, 也可以是简单的文本文件。

3 主机安全审计系统的实现

主机安全审计系统以智能审计代理主机、系统中心、管理与报警处置控制台来分别代替事件产生器、事件分析器和响应单元, 如图2所示。智能审计代理主机安装在网络用户计算机上, 按照审计策略监视用户行为操作, 并智能分析安全事件, 审计代理主机功能包括了多种审计功能应用模块程序, 不同的审计功能由不同的程序模块执行, 程序支持动态功能扩展。系统中心是系统数据处理中心, 将采集完毕的审计数据和数据库内已有审计数据进行整理, 并分析, 然后根据情况进行数据更新, 详细功能包括数据分析处理、数据存储、行为审计信息变化检测等。管理与报警处置控制台为本系统的用户管理界面, 基于HTTP协议统一调度管理系统各任务模块, 包括各模块工作参数配置、网络通信管理配置、模块连接、审计策略制定、审计报警显示等。

从面向防护的对象可分为系统安全审计、主机应用安全审计、用户行为审计、移动数据防护审计等方面。

3.1 系统安全审计

(1) 终端状态审计:对终端主机状态进行审计, 包括在线、离线、合法、非法、操作系统、当前登陆授权账户、访问授权信息等情况;

(2) 硬件资源审计:审计硬件外设的使用, 启用或禁用光驱、软驱、USB移动存储、USB全部接口、打印机并行口、调制解调器、串行口、并行口、1394控制器、红外设备、蓝牙设备、PCMCIA卡、冗余硬盘、磁带机、冗余SCSI设备等, 支持设备动态添加;

(3) 系统资源安全审计:对主机的CPU、内存、硬盘的资源占用率和剩余空间进行审计, 设定危险等级报警阀门;

(4) 用户权限变化审计:审计操作系统用户、用户组的权限改变和系统用户、系统用户组的增加或减少, 防范恶意攻击者非法入侵或病毒添加后门权限;

(5) 注册表安全审计:审计系统注册表项名称和键值是否存在异常, 如异常进行报警提示, 需要时, 可以对注册表中的特定项、键值进行限定, 禁止修改;

(6) 其他操作系统项安全审计:如资产变化、操作系统补丁安装、操作系统日志、进程运行、IP与MAC绑定等审计。

3.2 主机应用安全审计

(1) 流量审计:系统能够根据不同协议和自定义模式, 实时审计网络中流量数据的变化, 实现对指病毒、木马、扫描、垃圾邮件等恶意攻击性流量和以P2P技术应用为代表的、大量占用消耗网络资源的非理性流量的管理, 包括:1) 主机流量审计:对内网主机进行按每台主机独立进行流量检测;2) 系统根据用户自定义的统计时间、统计排名能够实现按源IP、目的IP、IP端口等进行流量分析;

(2) 杀毒软件安装审计:对主机安装杀毒软件的情况进行监控和管理, 并能够对主机杀毒软件实施远程操作 (病毒查杀、升级、软件安装等) ;

(3) 文档敏感内容审计:系统能够根据用户定义的关键字字典文件进行针对文档标题和正文内容的实时匹配检测, 并将匹配成功的内容数据进行实时告警;

(4) 主机弱口令审计:系统内置密码口令审计功能, 提供对操作系统登录、本地账户、系统屏保、以及应用系统安全账户的口令管理, 通过设定统一安全密码策略, 使得每个计算机用户能够具有强壮的密码;系统还提供口令检测库以及验证加固功能, 根据应用软件安全性管理要求进行口令检测并加固, 如SQL、OA、邮件等系统;

(5) 其他:如主机端口开放、网络连接状态等。

3.3 用户行为审计

(1) 邮件收发协议 (SMTP、POP3协议) 审计:系统能够记录收发邮件的时间、地址、主题、附件名、收发人等信息;并能够回放所收发的邮件内容;

(2) 网页浏览 (HTTP协议) 审计:系统能够记录用户访问网页的时间、地址、域名等信息;并能够回放所浏览的网页内容;

(3) 文件共享 (NetBIOS协议) 审计:系统能够对Windows网络环境中基于NetBIOS (网络输入输出系统) 的文件共享服务进行审计, 实时监控并记录网络用户对网络资源中的文件共享操作, 并对文件共享操作命令进行回放;

(4) 文件传输 (FTP协议) 审计:系统能够记录用户对FTP服务器的远程登录时间、读、写、添加、修改以及删除等操作, 并可以对操作过程进行完整回放;

(5) 远程TELNET访问审计:系统能够记录用户对TELNET服务器的远程登录时间、各种操作命令, 并可以对操作过程进行完整回放;

(6) 文件审计:文件监控功能可以实现对指定的文件/文件夹进行保护, 保护策略为只读、可写、可删除等级别, 对于非策略允许的文件访问请求可以阻断, 同时报警和日志, 以供审计;

(7) 泄密打印审计:打印是文件泄密的三大途径之一 (另外两大途径为拷贝和网络传输) , 重要文件被打印后带出办公室, 也是令涉密单位领导头疼的问题。打印监控功能对打印行为进行监控, 可以有效控制打印带走涉密文件的行为。打印监控功能可以实现允许/禁止使用打印机, 允许使用打印机时记录打印文件名字、打印份数等信息;

(8) 非法外联审计:通过在被审计主机上驻留的程序来实时监测主机的非法外联行为, 实时截获系统向拨号设备 (Modem、GPRS、ADSL等) 发出的AT命令, 并根据审计策略对主机的非法外联行为实时进行阻断, 坚决杜绝由于非法外联所带来的安全隐患;

(9) 软件安装行为审计:针对恶意程序、木马、非法禁用以及绿色软件等程序进行安装限制, 防止对操作系统的破坏, 同时, 可以强制安全程序的安装如防病毒软件、正版软件等;

(10) 其他:如计算机带入带出网络、非法扫描等。

3.4移动数据防护审计

(1) 普通标签:将该标签写入移动存储设备认证, 在管理范围内, 根据策略的设置, 来限制移动存储设备的读、写功能;如果在管理范围外使用移动存储设备认证, 则不限制移动存储设备认证读、写功能;

(2) 保护标签:将该标签写入移动存储设备认证, 在管理范围内、外都有效。在管理范围外, 不能对移动存储设备认证进行读、写操作。在管理范围内, 如果符合“可移动存储审计”策略, 则可以正常使用;如果不符合, 则无法对移动存储设备认证进行操作;

(3) 加密标签:将该标签写入移动存储设备认证, 在管理范围内、外都有效。在管理范围外, 不能对移动存储设备认证进行读、写操作;在管理范围内, 如果符合“可移动存储审计”策略, 则可以正常使用;如果不符合, 则显示为乱码, 无法对移动存储设备认证进行操作。

4结语

主机安全审计系统提供了对网络计算机终端状态、行为以及事件的全面监测与审计, 包括诸如对网络中主机的上网访问、移动存储防护、主机行为、涉密内容、敏感信息等多个方面安全要素进行监测。目前, 主机安全审计系统已广泛应用于电力企业, 取得了显著的效果。

摘要：从计算机终端防护角度, 剖析了审计系统功能需求, 根据主机安全审计模型设计了主机审计系统, 分别描述了系统安全审计、主机应用安全审计、用户行为审计、移动数据防护审计等方面的功能。

主机监控审计 第4篇

关键词：虚拟仪器,主机监控系统,数据采集,自动测试系统

船舶主机监控系统是舰艇动力系统的重要组成部分, 主要由控制系统、监测报警系统、安全系统构成[1]。它需要采集并处理柴油机转速、供油齿杆的位置、启动及控制空气压力等信号, 因此监控系统直接关系到整个动力系统能否正常工作。在智能化、无人机舱[2]的发展趋势下, 改善、提高主机监控系统性能的同时, 也大大增加了系统的复杂性[3], 使得其故障检测、维修难度增大。因此, 展开自动测试系统研究成为必然。

1 自动测试系统的功能要求及设计思路

某主机监控系统主要用于自动化遥控主柴油机, 实现主柴油机工作过程的自动控制 (盘车、启动、加减速、停车、反转) 、主要参数的监测报警和重要参数的安全保护。电路模块是其主要监控组件, 系统全部由模块化结构的电路模块组成, 通过接线插头实现模块间、模块与外部装置的信号传递。在系统的运行过程中, 需要完成柴油机各信号装置、驾驶室的信号采集, 经处理后产生相应的控制信号并实现主柴油机的自动控制功能及监测和保护, 同时使主柴油机避开临界转速。

通过对被测电路模块的分析, 全面掌握了其工作原理、结构组成、信号特征、使用规则和维护方式。在主机监控系统自动测试系统的设计中, 采用了Lab VIEW软件和PCI总线技术进行系统设计, 该系统的功能如下:

(1) 测试系统本身自检能力:通过系统自检, 完成对系统内部的仪器设备、输入和输出通道的自检及初始化;

(2) 测试信号生成和分析处理功能:测试系统能够模拟生成柴油机各信号装置的信号, 对主机监控系统的电路模块施加相应的激励信号并对采集的信号进行分析处理;

(3) 功能测试功能:在模拟信号状态下对各硬件系统进行初始化和检测, 完成其主柴油机的启动及正车和倒车的转换, 测试模块功能的好坏;

(4) 监测报警及故障诊断功能:测试系统具有信号处理、故障分析、故障定位能力, 能对测试模块进行故障定位;

(5) 测试记录查询打印功能:该监控系统电路模块种类和数量都对数据分析的结果能够显示及记录。

现代的测试工作远非人工测试所能胜任, 必须实现测试系统的自动, 即在测试系统中对主机监控系统电路模块和测试仪器端分别实现自动控制。综合考虑某舰主机监控系统的测试需求及自动测试系统的可靠性、成本和软件开发等因素, 参照已有测试系统的结构[4,5,6,7], 采用如图1所示的测试系统总体框图。

如图1所示由计算机控制测试软件对主机监控系统测试端施加激励信号并实现自动控制, 对响应信号进行快速、准确地捕捉和测量并完成处理、显示和存储。

2 系统硬件设计

2.1 数据采集卡的选型及激励信号生成

数据采集是指从传感器和其他待测设备等模拟和数字被测单元中自动采集非电量或电量信号, 送到上位机中进行分析、处理[4]。而数据采集卡, 即实现数据采集 (DAQ) 功能的计算机扩展卡, 目前大部分的是通过USB, PCI, VXI, ISA等总线接入计算机。在本测试测试系统数据采集卡选型中, 基于PCI总线的产品在灵活性、易用性和性价比等方面有很大的优势而选择PCI总线型数据采集卡。其插卡式的硬件可以直接插入计算机的PCI插槽, 可充分利用计算机资源来实现数据采集及处理、故障诊断和过程控制等功能。结合某主机监控系统对测试通道的需求同时为了保证测试系统的精度和可靠性, 数据采集卡采用泛华恒兴基于PCI总线的高精度多功能数据采集卡——PS PCI-3361。该板卡主要由MFIO模块、ADC模块、DAC模块、DIO模块、FPGA控制模块及PCI桥芯片模块, 可实现如下功能:ADC、DAC、数字IO、MFIO及计数器, 能够满足测试系统的要求。主机监控系统在工作过程中涉及到的信号有转速、油压、齿杆位移及其他开关量等信号。在实际维修测试中, 出于对主机安全考虑一般都是在停机状态下测试, 而在模块测试中却需要主机正常工作的信号, 因此激励信号的生成是否准确对测试系统正常测试显得尤为重要。在对某主机监控系统的电路模块进行测试时, 通过采用转速、压力及开关量等传感器来模拟主机监控系统的工作信号, 严格校准模拟信号与实际工作信号幅值及频率。而对于常用的正弦、脉冲等激励信号, Lab VIEW语言都有这些信号的库函数[5]。本文调用动态链接库中的模块Waveform Buffer Generation.vi子VI来实现信号生成。将模块所需要的激励信号连接到被测电路模块相应的端口, 同时将测试端连接到数据采集卡的模拟量输入端。

2.2 信号接口及转接电路

测试系统的硬件结构主要功能是完成对激励信号源的自动接入、测试信号的采集、测试端口的自动选择等[5]。根据该型主机监控系统的结构特点, 设计测试系统硬件主要由电源、接线板、数字采集卡、信号调理电路板和工控机等组成。根据被测电路模块的特点, 该系统主要实现对45针接插件插板的检测, 同时预留了相应的扩展电路, 使其具有可扩展性。该系统的单一模块测试结构如图2所示。

为了保证测试系统的精度和可靠性, 数据采集卡采用泛华恒兴基于PCI总线的高精度多功能数据采集卡——PS PCI-3361。该板卡主要由MFIO模块、ADC模块、DAC模块、DIO模块、FPGA控制模块及PCI桥芯片模块, 可实现如下功能:ADC、DAC、数字IO、MFIO及计数器。同时选用GPS-3303C型直流电源, 能够提供0~27 V的直流电压, 用于给电路模块提供+5 V的电源, 并能提供继电器工作的+27 V电压。针对信号接入中存在的信号变换及多路复用的问题, 参考现有成熟的技术选用了MAX14778芯片进行信号的控制, 如图3所示。组建好测试系统后, 可实现单一模块的自动测试, 也可以依据主机监控系统的功能对模块进行联合功能测试。同时根据引进模块的接口特征和测试端输出信号的特点添加相应的信号调理电路和模拟滤波电路, 将输出的信号调整到数据采集卡最大允许的输入电压范围。另外, 根据测试需要, 待测电路模块接口系统还添加了一些特殊的外部辅助电路, 用来模拟负载电阻和负载电容等。

3 测试程序设计

自动测试系统软件与硬件有机结合, 构成功能完整的测试系统。本测试系统在Windows XP操作系统环境下运行, 基于Lab VIEW 8.6进行软件编程, Lab VIEW是美国国家仪器公司 (National Instruments Corp, NI公司) 推出的面向计算机测控领域的虚拟仪器软件开发平台, 被视为标准的数据采集和仪器控制软件。该平台不仅提供了对虚拟仪器的支持, 还具有各种测试、通信、控制和数值分析能力, 具有控制能力强大、库函数丰富、实时性强、编程容易等优点[6]。

根据某舰主机监控系统的测试需求和PCI平台的硬件特性, 设计了功能完善的测试程序, 并且操作界面直观, 浅显易懂, 维护操作人员能够快速理解使用。为使软件具有较好的维护性和扩展性, 采用模块化设计思想, 测试系统软件框图如图4所示。

启动系统后, 测试系统先进行自检, 对系统内部的仪器设备、输入和输出通道初始化。无故障以后显示主程序界面, 用户可根据测试需要进行相应的测试操作。

4 维修测试实验及结论