漢邦信息安全綜合強(qiáng)審計系統(tǒng)是一套可以實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)資源進(jìn)行全方位審計管理的綜合管理系統(tǒng),通過對網(wǎng)絡(luò)中的主機(jī)、服務(wù)器、網(wǎng)絡(luò)環(huán)境以及數(shù)據(jù)庫進(jìn)行分散監(jiān)控,并通過審計中心對整個系統(tǒng)的相關(guān)信息進(jìn)行集中審計管理。該系統(tǒng)可以全面體現(xiàn)系統(tǒng)內(nèi)各級管理層對系統(tǒng)資源的全局控制、把握和調(diào)度能力。
一、漢邦綜合強(qiáng)審計系統(tǒng)主要特點(diǎn)
1、分布式:漢邦綜合強(qiáng)審計系統(tǒng)以實現(xiàn)實時分散處理和集中統(tǒng)一審計為目的,對于跨網(wǎng)段、跨區(qū)域的大規(guī)模網(wǎng)絡(luò)環(huán)境,集中設(shè)置審計策略和獲取審計日志,分級管理,大大提高了網(wǎng)絡(luò)運(yùn)行效率。
漢邦綜合強(qiáng)審計系統(tǒng)分布式架構(gòu)示意圖
2、綜合性:該系統(tǒng)是集主機(jī)審計、網(wǎng)絡(luò)審計、數(shù)據(jù)庫審計、應(yīng)用審計于一體的審計系統(tǒng)。
漢邦綜合強(qiáng)審計系統(tǒng)綜合性結(jié)構(gòu)示意圖
3、擴(kuò)展性:漢邦綜合強(qiáng)審計系統(tǒng)不只有事后責(zé)任認(rèn)定的審計功能,還兼有絕大部分的授權(quán)功能。
4、便捷性:漢邦綜合強(qiáng)審計系統(tǒng)的便捷性主要體現(xiàn)在以下幾點(diǎn):
對系統(tǒng)的配置信息和運(yùn)行情況進(jìn)行審計,包括主機(jī)機(jī)器名、網(wǎng)絡(luò)配置、用戶登錄、進(jìn)程情況、CPU和內(nèi)存使用情況、硬盤容量等,可以設(shè)置閾值,如果性能降底到閾值以下則產(chǎn)生報警事件。
網(wǎng)絡(luò)審計
對主機(jī)網(wǎng)絡(luò)實時信息的監(jiān)控、設(shè)置網(wǎng)絡(luò)規(guī)則和查詢網(wǎng)絡(luò)日志信息的功能。記錄和監(jiān)控主機(jī)的網(wǎng)絡(luò)連接情況,審計主機(jī)開啟的服務(wù),制定網(wǎng)絡(luò)連接規(guī)則,允許或禁止指定的網(wǎng)絡(luò)連接,對數(shù)據(jù)包內(nèi)容進(jìn)行過濾,對非法的連接產(chǎn)生報警事件。
通過設(shè)置撥號規(guī)則進(jìn)行撥號控制管理,實時對撥號信息進(jìn)行監(jiān)控,可以禁止或者允許撥號,也可以設(shè)定允許在某一時間段內(nèi)通過某一號碼訪問某一網(wǎng)址。
文件審計
通過在客戶端對系統(tǒng)的文件操作進(jìn)行驅(qū)動級審計與保護(hù),對用戶指定的文件實行讀寫操作授權(quán),對重要的系統(tǒng)文件進(jìn)行保護(hù),非法的文件操作將產(chǎn)生報警事件。
進(jìn)程審計
設(shè)置進(jìn)程為合法或非法后,提供非法進(jìn)程報警和報警信息查詢功能。
打印審計
打印審計是對所有連接到審計中心的主機(jī)傳感器的打印信息審計。審計的內(nèi)容包括:傳感器名、打印機(jī)名稱以及實現(xiàn)打印再現(xiàn)等功能。
郵件審計
對主機(jī)的有關(guān)郵件的操作進(jìn)行監(jiān)控,用于實時監(jiān)控和事后查詢郵件操作。
主機(jī)帳號審計
主機(jī)的用戶帳戶監(jiān)控,包括創(chuàng)建、更改本地用戶、用戶組等行為。
主機(jī)IP審計
主機(jī)IP審計功能實現(xiàn)的是對被審計主機(jī)IP地址的修改進(jìn)行記錄和禁止。同時可以查詢到在指定時間段的被審計主機(jī)IP地址的修改信息。
軟硬件資源審計
主機(jī)軟硬件資源審查,列出各個被控計算機(jī)的硬件和軟件清單并根據(jù)列表自動發(fā)現(xiàn)未安裝指定軟件等非法行為。
盤符審計
對網(wǎng)絡(luò)計算機(jī)的光驅(qū)、軟驅(qū)、USB接口、網(wǎng)絡(luò)映射驅(qū)動器的操作進(jìn)行審計。
網(wǎng)絡(luò)端口審計
對被審計主機(jī)的所有網(wǎng)絡(luò)端口進(jìn)行監(jiān)控、審計,及時發(fā)現(xiàn)和阻斷異常網(wǎng)絡(luò)通信。
注冊表審計
注冊表是Windows的重要配置系統(tǒng),實時審計注冊表的操作過程,并對重要的注冊項進(jìn)行保護(hù)。
防拷貝審計
通過對文件的訪問控制與授權(quán)、盤符的操作控制與審計來達(dá)到防拷貝的目的。
文件共享審計
針對windows的網(wǎng)絡(luò)共享協(xié)議進(jìn)行審計,提供主機(jī)間的共享行為和操作信息。
日志審計
根據(jù)日志類型可以查詢:應(yīng)用日志、系統(tǒng)日志、安全日志和開關(guān)機(jī)日志等信息,也可以查詢實時查詢被審計主機(jī)的以上四種類型日志信息。
入侵檢測審計
對從網(wǎng)絡(luò)中抓取到的數(shù)據(jù)包進(jìn)行協(xié)議分析,與相應(yīng)的入侵檢測審計規(guī)則庫進(jìn)行模式匹配,從而發(fā)現(xiàn)有入侵特征的數(shù)據(jù)包;同時記憶基于連接的網(wǎng)絡(luò)數(shù)據(jù)包前后狀態(tài),從中分析入侵的可能或企圖,發(fā)現(xiàn)入侵或入侵企圖即產(chǎn)生報警。
協(xié)議審計
對網(wǎng)絡(luò)協(xié)議的操作和內(nèi)容進(jìn)行進(jìn)一步的分析,對有特殊內(nèi)容或某些違規(guī)的操作產(chǎn)生報警事件。管理員可以定義違反規(guī)則的內(nèi)容策略,在匹配到相應(yīng)內(nèi)容后記錄并產(chǎn)生報警事件通知管理員。
流量審計
對抓取的數(shù)據(jù)包根據(jù)某一類特征進(jìn)行歸類統(tǒng)計,可以得到各種流量統(tǒng)計表或統(tǒng)計圖??梢詫δ承┑刂返牧髁克俣冗M(jìn)行限制,超過規(guī)定值時即產(chǎn)生報警事件。
MAC地址審計
制定IP地址與MAC地址的對應(yīng)關(guān)系,如果抓取到的數(shù)據(jù)包與此對應(yīng)關(guān)系不符,則產(chǎn)生報警事件。
信息還原審計
信息還原審計是根據(jù)跟蹤檢測、協(xié)議還原技術(shù)監(jiān)測和審查網(wǎng)上信息,它能以旁路、透明的方式實時高速的對進(jìn)出內(nèi)部網(wǎng)絡(luò)的電子郵件和傳輸信息等進(jìn)行數(shù)據(jù)截取和還原,并可根據(jù)用戶需求對通信內(nèi)容進(jìn)行審計,提供高速的敏感關(guān)鍵詞檢索和標(biāo)記功能,從而為防止內(nèi)部網(wǎng)絡(luò)敏感信息的泄漏以及非法信息的傳播,它能完整的記錄各種信息的起始地址和使用者,為調(diào)查取證提供第一手的資料。
關(guān)鍵字過濾審計
對傳輸?shù)闹饕獌?nèi)容,如:郵件及其附件(壓縮文檔、word文檔、Text文檔等)、www頁面文檔等進(jìn)行有效的匹配過濾,定義安全審計級別。
數(shù)據(jù)庫操作審計
數(shù)據(jù)庫審計傳感器根據(jù)對控制中心的設(shè)置,對相應(yīng)的操作進(jìn)行審計處理。有效判斷遠(yuǎn)程操作是否合法。
數(shù)據(jù)庫表名審計
數(shù)據(jù)庫審計傳感器根據(jù)對控制中心的設(shè)置,對遠(yuǎn)程操作的數(shù)據(jù)庫表名進(jìn)行審計處理。有效判斷被操作的表是否被允許。
數(shù)據(jù)庫字段名審計
數(shù)據(jù)庫審計傳感器根據(jù)對控制中心的設(shè)置,對遠(yuǎn)程操作的字段名進(jìn)行審計處理。有效判斷被操作的字段是否允許。
報警功能
當(dāng)數(shù)據(jù)庫審計傳感器審計到相關(guān)信息時,根據(jù)風(fēng)險等級,做出相應(yīng)處理。及時向報警中心發(fā)出報警信息,以便管理員迅速做出處理。