漢邦信息安全綜合強(qiáng)審計(jì)系統(tǒng)是一套可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)資源進(jìn)行全方位審計(jì)管理的綜合管理系統(tǒng),通過(guò)對(duì)網(wǎng)絡(luò)中的主機(jī)、服務(wù)器、網(wǎng)絡(luò)環(huán)境以及數(shù)據(jù)庫(kù)進(jìn)行分散監(jiān)控,并通過(guò)審計(jì)中心對(duì)整個(gè)系統(tǒng)的相關(guān)信息進(jìn)行集中審計(jì)管理。該系統(tǒng)可以全面體現(xiàn)系統(tǒng)內(nèi)各級(jí)管理層對(duì)系統(tǒng)資源的全局控制、把握和調(diào)度能力。
一、漢邦綜合強(qiáng)審計(jì)系統(tǒng)主要特點(diǎn)
1、分布式:漢邦綜合強(qiáng)審計(jì)系統(tǒng)以實(shí)現(xiàn)實(shí)時(shí)分散處理和集中統(tǒng)一審計(jì)為目的,對(duì)于跨網(wǎng)段、跨區(qū)域的大規(guī)模網(wǎng)絡(luò)環(huán)境,集中設(shè)置審計(jì)策略和獲取審計(jì)日志,分級(jí)管理,大大提高了網(wǎng)絡(luò)運(yùn)行效率。
 |
漢邦綜合強(qiáng)審計(jì)系統(tǒng)分布式架構(gòu)示意圖
2、綜合性:該系統(tǒng)是集主機(jī)審計(jì)、網(wǎng)絡(luò)審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、應(yīng)用審計(jì)于一體的審計(jì)系統(tǒng)。
 |
漢邦綜合強(qiáng)審計(jì)系統(tǒng)綜合性結(jié)構(gòu)示意圖
3、擴(kuò)展性:漢邦綜合強(qiáng)審計(jì)系統(tǒng)不只有事后責(zé)任認(rèn)定的審計(jì)功能,還兼有絕大部分的授權(quán)功能。
4、便捷性:漢邦綜合強(qiáng)審計(jì)系統(tǒng)的便捷性主要體現(xiàn)在以下幾點(diǎn):
對(duì)系統(tǒng)的配置信息和運(yùn)行情況進(jìn)行審計(jì),包括主機(jī)機(jī)器名、網(wǎng)絡(luò)配置、用戶登錄、進(jìn)程情況、CPU和內(nèi)存使用情況、硬盤容量等,可以設(shè)置閾值,如果性能降底到閾值以下則產(chǎn)生報(bào)警事件。
網(wǎng)絡(luò)審計(jì)
對(duì)主機(jī)網(wǎng)絡(luò)實(shí)時(shí)信息的監(jiān)控、設(shè)置網(wǎng)絡(luò)規(guī)則和查詢網(wǎng)絡(luò)日志信息的功能。記錄和監(jiān)控主機(jī)的網(wǎng)絡(luò)連接情況,審計(jì)主機(jī)開(kāi)啟的服務(wù),制定網(wǎng)絡(luò)連接規(guī)則,允許或禁止指定的網(wǎng)絡(luò)連接,對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行過(guò)濾,對(duì)非法的連接產(chǎn)生報(bào)警事件。
通過(guò)設(shè)置撥號(hào)規(guī)則進(jìn)行撥號(hào)控制管理,實(shí)時(shí)對(duì)撥號(hào)信息進(jìn)行監(jiān)控,可以禁止或者允許撥號(hào),也可以設(shè)定允許在某一時(shí)間段內(nèi)通過(guò)某一號(hào)碼訪問(wèn)某一網(wǎng)址。
文件審計(jì)
通過(guò)在客戶端對(duì)系統(tǒng)的文件操作進(jìn)行驅(qū)動(dòng)級(jí)審計(jì)與保護(hù),對(duì)用戶指定的文件實(shí)行讀寫(xiě)操作授權(quán),對(duì)重要的系統(tǒng)文件進(jìn)行保護(hù),非法的文件操作將產(chǎn)生報(bào)警事件。
進(jìn)程審計(jì)
設(shè)置進(jìn)程為合法或非法后,提供非法進(jìn)程報(bào)警和報(bào)警信息查詢功能。
打印審計(jì)
打印審計(jì)是對(duì)所有連接到審計(jì)中心的主機(jī)傳感器的打印信息審計(jì)。審計(jì)的內(nèi)容包括:傳感器名、打印機(jī)名稱以及實(shí)現(xiàn)打印再現(xiàn)等功能。
郵件審計(jì)
對(duì)主機(jī)的有關(guān)郵件的操作進(jìn)行監(jiān)控,用于實(shí)時(shí)監(jiān)控和事后查詢郵件操作。
主機(jī)帳號(hào)審計(jì)
主機(jī)的用戶帳戶監(jiān)控,包括創(chuàng)建、更改本地用戶、用戶組等行為。
主機(jī)IP審計(jì)
主機(jī)IP審計(jì)功能實(shí)現(xiàn)的是對(duì)被審計(jì)主機(jī)IP地址的修改進(jìn)行記錄和禁止。同時(shí)可以查詢到在指定時(shí)間段的被審計(jì)主機(jī)IP地址的修改信息。
軟硬件資源審計(jì)
主機(jī)軟硬件資源審查,列出各個(gè)被控計(jì)算機(jī)的硬件和軟件清單并根據(jù)列表自動(dòng)發(fā)現(xiàn)未安裝指定軟件等非法行為。
盤符審計(jì)
對(duì)網(wǎng)絡(luò)計(jì)算機(jī)的光驅(qū)、軟驅(qū)、USB接口、網(wǎng)絡(luò)映射驅(qū)動(dòng)器的操作進(jìn)行審計(jì)。
網(wǎng)絡(luò)端口審計(jì)
對(duì)被審計(jì)主機(jī)的所有網(wǎng)絡(luò)端口進(jìn)行監(jiān)控、審計(jì),及時(shí)發(fā)現(xiàn)和阻斷異常網(wǎng)絡(luò)通信。
注冊(cè)表審計(jì)
注冊(cè)表是Windows的重要配置系統(tǒng),實(shí)時(shí)審計(jì)注冊(cè)表的操作過(guò)程,并對(duì)重要的注冊(cè)項(xiàng)進(jìn)行保護(hù)。
防拷貝審計(jì)
通過(guò)對(duì)文件的訪問(wèn)控制與授權(quán)、盤符的操作控制與審計(jì)來(lái)達(dá)到防拷貝的目的。
文件共享審計(jì)
針對(duì)windows的網(wǎng)絡(luò)共享協(xié)議進(jìn)行審計(jì),提供主機(jī)間的共享行為和操作信息。
日志審計(jì)
根據(jù)日志類型可以查詢:應(yīng)用日志、系統(tǒng)日志、安全日志和開(kāi)關(guān)機(jī)日志等信息,也可以查詢實(shí)時(shí)查詢被審計(jì)主機(jī)的以上四種類型日志信息。
入侵檢測(cè)審計(jì)
對(duì)從網(wǎng)絡(luò)中抓取到的數(shù)據(jù)包進(jìn)行協(xié)議分析,與相應(yīng)的入侵檢測(cè)審計(jì)規(guī)則庫(kù)進(jìn)行模式匹配,從而發(fā)現(xiàn)有入侵特征的數(shù)據(jù)包;同時(shí)記憶基于連接的網(wǎng)絡(luò)數(shù)據(jù)包前后狀態(tài),從中分析入侵的可能或企圖,發(fā)現(xiàn)入侵或入侵企圖即產(chǎn)生報(bào)警。
協(xié)議審計(jì)
對(duì)網(wǎng)絡(luò)協(xié)議的操作和內(nèi)容進(jìn)行進(jìn)一步的分析,對(duì)有特殊內(nèi)容或某些違規(guī)的操作產(chǎn)生報(bào)警事件。管理員可以定義違反規(guī)則的內(nèi)容策略,在匹配到相應(yīng)內(nèi)容后記錄并產(chǎn)生報(bào)警事件通知管理員。
流量審計(jì)
對(duì)抓取的數(shù)據(jù)包根據(jù)某一類特征進(jìn)行歸類統(tǒng)計(jì),可以得到各種流量統(tǒng)計(jì)表或統(tǒng)計(jì)圖。可以對(duì)某些地址的流量速度進(jìn)行限制,超過(guò)規(guī)定值時(shí)即產(chǎn)生報(bào)警事件。
MAC地址審計(jì)
制定IP地址與MAC地址的對(duì)應(yīng)關(guān)系,如果抓取到的數(shù)據(jù)包與此對(duì)應(yīng)關(guān)系不符,則產(chǎn)生報(bào)警事件。
信息還原審計(jì)
信息還原審計(jì)是根據(jù)跟蹤檢測(cè)、協(xié)議還原技術(shù)監(jiān)測(cè)和審查網(wǎng)上信息,它能以旁路、透明的方式實(shí)時(shí)高速的對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的電子郵件和傳輸信息等進(jìn)行數(shù)據(jù)截取和還原,并可根據(jù)用戶需求對(duì)通信內(nèi)容進(jìn)行審計(jì),提供高速的敏感關(guān)鍵詞檢索和標(biāo)記功能,從而為防止內(nèi)部網(wǎng)絡(luò)敏感信息的泄漏以及非法信息的傳播,它能完整的記錄各種信息的起始地址和使用者,為調(diào)查取證提供第一手的資料。
關(guān)鍵字過(guò)濾審計(jì)
對(duì)傳輸?shù)闹饕獌?nèi)容,如:郵件及其附件(壓縮文檔、word文檔、Text文檔等)、www頁(yè)面文檔等進(jìn)行有效的匹配過(guò)濾,定義安全審計(jì)級(jí)別。
數(shù)據(jù)庫(kù)操作審計(jì)
數(shù)據(jù)庫(kù)審計(jì)傳感器根據(jù)對(duì)控制中心的設(shè)置,對(duì)相應(yīng)的操作進(jìn)行審計(jì)處理。有效判斷遠(yuǎn)程操作是否合法。
數(shù)據(jù)庫(kù)表名審計(jì)
數(shù)據(jù)庫(kù)審計(jì)傳感器根據(jù)對(duì)控制中心的設(shè)置,對(duì)遠(yuǎn)程操作的數(shù)據(jù)庫(kù)表名進(jìn)行審計(jì)處理。有效判斷被操作的表是否被允許。
數(shù)據(jù)庫(kù)字段名審計(jì)
數(shù)據(jù)庫(kù)審計(jì)傳感器根據(jù)對(duì)控制中心的設(shè)置,對(duì)遠(yuǎn)程操作的字段名進(jìn)行審計(jì)處理。有效判斷被操作的字段是否允許。
報(bào)警功能
當(dāng)數(shù)據(jù)庫(kù)審計(jì)傳感器審計(jì)到相關(guān)信息時(shí),根據(jù)風(fēng)險(xiǎn)等級(jí),做出相應(yīng)處理。及時(shí)向報(bào)警中心發(fā)出報(bào)警信息,以便管理員迅速做出處理。
