信果主机监控与审计系统(国产版)
在线咨询- 产品介绍
- 内网安全问题
- 产品功能
- 产品特点
随着信息安全技术和理念的发展,用户对于设备使用人行为控制与审计的需求越来越突出,国内外均已颁布相关的政策和法规,明确的提出了对主机行为的监控和安全性要求。必须通过技术手段使各种管理条例落实,增强用户的安全和保密意识,保护内部的信息不外泄。
针对涉密单位用户行为控制,如计算机打印刻录、移动存储设备、账户变化、进程服务、用户行为监控等问题。因此采用监控存储设备内容的技术手段,可以灵活地监控涉密计算机外设、用户行为等情况,自动上报非法文件操作并及时报警,集中分发与部署策略,对受控计算机的各种操作行为进行监控和记录,及时发现违规行为。使涉密信息交换工程中得到了安全保障,给涉密单位涉密计算机、敏感、涉密信息的管理、工作效率与安全性提供了最好的解决方案。
信果主机监控与审计系统(国产版)能够对计算机进行全面的监控,包括对系统信息及配置监控、文件操作监控、软件硬件监控、进程及服务监控、账户变更等登录开关机时间监控,局域网内可对网络及端口进行全方位的监控,并能对审计信息及告警进行统一整理和分析,做到事中监控、事后审计,实现对内网主机系统的统一监控、管理和维护,全方位帮助单位加强计算机的安全防护及管理,保证网内信息安全。
当谈起网络安全问题时,人们自然就会想到在因特网中木马窃取数据信息和病毒恶意破坏。随着人们对互联网安全意识增强,重要的安全设施集中于机房或网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁确实得到大大减小,可是我们发现内部安全问题似乎并没有按照我们的预期在发展。相反,来自网络内部的计算机客户端的安全威胁却是众多安全管理人员所普遍反映的问题。
以“宏病毒”、“AV终结者”、“变种木马”等连续性爆发为起点,到计算机文件泄密、硬件资产丢失、服务器系统瘫痪等诸多客户端安全事件在各地网络频繁中发生,让涉密单位管理人员头痛不已。具体面临以下一些常见问题:
(1)移动存储设备的文件操作。
(2)用户随意插拔硬件、添加卸载软件。
(3)部分进程服务的启动停止无法查看。
(4)用户随意上网无限制。
(5)用户随意打印刻录,造成信息外泄。
(6)是否受到ARP攻击。
(7)上传下载数据无限制。
(8)用户操作行为导致泄密,无法追踪来源。
在这些问题中,系统安全性问题越来越突出,解决问题的最有效办法就是管控部分端口,违规操作上传日志并报警,限制用户的部分操作。将会极大地保护网络和其所承载的机密,同时也可以使更少的用户免受ARP攻击。对于客户端多的涉密单位,繁杂的日志已经远远不能适应大规模网络的管理,必须依靠新的技术手段来实现对操作系统的日志进行整合,方便管理和管控。
1)计算机状态监控
- 软件、硬件监控。本系统可监控主机的软件、硬件信息,当发生变更时,产生日志并告警。
- 进程、服务监控。本系统可监控主机的进程、监控进程的子进程、服务,出现异常及时进行报警。
- 性能监控。本系统可监控主机的CPU、磁盘剩余空间、内存的使用情况,超出阀值及时进行报警。
- HTTP、端口监控。监控端口和HTTP时,可使用黑白名单两种方式,双重保证主机网络状态的可控性。
2) 报警策略
根据为系统部署的各种监控策略,系统会发出报警事件,提供管理者查看相关事件,修改部分报警策略,解决处理相关问题。
3) 用户行为监控
- 端口的控制,禁止或者允许用户对端口的使用。
- 对涉密计算机的文件操作记录进行监控。
- 对涉密计算机是否受到ARP攻击进行监控。
- 对文件类型与文件路径进行监控。
- 对用户修改网络设置进行监控,用户修改网络相关配置(如IP地址、子网掩码、网关等)。
- 对用户上网HTTP进行监控,禁止或者允许用户访问部分域名或IP。
- 对用户安装软件、硬件变更进行监控。
- 对用户打印刻录、进程服务进行监控。
4) 策略部署
- 多种不同策略部署多台主机。
- 部署同一策略的主机,修改策略会自动部署修改后的策略。
- 通过级联,上级服务器可实现监控与管控下发服务器下的客户端。客户端所产生的日志会传输到下级服务器,再通过下级服务器传输到上级服务器。
- 系统产生的白名单操作、强访开关操作等非法操作,不论有没有部署策略都会上传到服务器。
5)端口监控
对被监控计算机上正在占用的端口或端口范围进行实时监视,并根据端口或端口范围黑名单对端口进行控制。如果某个端口或端口范围被加入黑名单,主机监控代理将禁止该端口或端口范围的使用,并产生日志。对于白名单内的端口或端口范围,没有管控,只会产生日志。
6)计算机用户账号监控
该功能主要对计算机用户账号的更改情况进行监控,包括增加、删除、改名、修改属性等。一旦发现计算机用户账号有改动,立即向控制台发送报警信息。
7)网络配置管控
对系统中配置的IP、子网掩码、网关等自动扫描,通过主机审计系统时刻监控。
8 )文件监控
对主机上的某些特定文件,需要制定一定的保护策略,管理员能够设置受控上制定文件的操作监控,包括访问、读、写、复制、粘贴、重复名,有效的监控文件。
9) 软件安装/卸载监控
监控受控主机上的软件安装/卸载行为,根据策略控制要求,可以记录用户安装/卸载软件,监控受控主机安装/卸载软件。
10) 主机管理
对安装了客户端的受控制的主机进行管理,帮助管理员对主机用户进行监控管理,包括正在运行的进程、服务、已安装软件、占用端口、传输流量等。
11) 主机信息获取
获取主机上的各种详细信息,如用户名、运行时间、IP、MAC地址、策略应用情况等 ,对主机的运行进行监控。
12)时间段管理
在管理端设置指定时间段,非指定时间段开启计算机,会产生日志并报警。
(1) 监控端口使用情况、实时阻止与报警
当用户非法使用端口时,系统会发出报警事件,迅速阻断操作行为,给管理者提供日志查询。
(2)用户行为监控
对用户操作的文件类型与路径、用户的刻录、网卡设置、软件运行等方面全面监控,保证时刻能够对用户的行为进行审计。
(3)ARP攻击监控,客户端受到ARP攻击,给管理者提供日志查询并报警,使得系统安全性稳定。
(4)提供完整日志审计,不仅详细的记录用户登录信息,同时记录用户各种操作行为的信息。
(5)系统部署方式灵活、安装方便
本系统采用管理端和客户端分离设计方式,大大简化了系统的安装使用。
(6)高性能,高可靠性,管理端可以同时监控管理主机数量大,能 够及时处理各主机监控代理传送的报警信息、策略请求、状态更 新等。并能保证控制台稳定可靠地运行。
(7)系统具有丰富的日志信息,并可对日志进行方便的查询和生成报表,可满足用户和网络管理人员的报表要求。