信果服务器审计系统（国产版）

当谈起网络安全问题时，人们自然就会想到在因特网中木马窃取数据信息和病毒恶意破坏。随着人们对互联网安全意识增强，重要的安全设施集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁确实得到大大减小，可是我们发现内部安全问题似乎并没有按照我们的预期在发展。相反，来自网络内部的计算机客户端的安全威胁却是众多安全管理人员所普遍反映的问题。

以“宏病毒”、“AV终结者”、“变种木马”等连续性爆发为起点，到计算机文件泄密、硬件资产丢失、服务器系统瘫痪等诸多客户端安全事件在各地网络频繁中发生，让涉密单位管理人员头痛不已。具体面临以下一些常见问题：

（1）用户随意插拔硬件、添加卸载软件。

（2）部分进程服务的启动停止无法查看。

（3）系统资源占用情况。

（4）用户操作行为导致泄密，无法追踪来源。

在这些问题中，系统安全性问题越来越突出，解决问题的最有效办法就是管控部分端口，违规操作上传日志并报警，限制用户的部分操作。将会极大地保护网络和其所承载的机密，同时也可以使更少的用户免受ARP攻击。对于客户端多的涉密单位，繁杂的日志已经远远不能适应大规模网络的管理，必须依靠新的技术手段来实现对操作系统的日志进行整合，方便管理和管控。

1）计算机状态监控

• 软件、硬件监控
• 本系统可监控主机的软件、硬件信息，当发生变更时，产生日志并告警。
• 进程、服务监控
• 本系统可监控主机的进程、监控进程的子进程、服务，出现异常及时进行报警。
• 性能监控
• 本系统可监控主机的CPU、磁盘剩余空间、内存的使用情况，超出阀值及时进行报警。

2） 报警策略

根据为系统部署的各种监控策略，系统会发出报警事件，提供管理者查看相关事件，修改部分报警策略，解决处理相关问题。

3） 用户行为监控

• 对用户安装软件、硬件变更进行监控。
• 对用户系统信息、进程服务进行监控。
• 对主机账户添加、删除、修改进行监控。
• 非指定时间开关机、登录、注销等进行监控。

4） 策略部署

• 多种不同策略部署多台主机。
• 部署同一策略的主机，修改策略会自动部署修改后的策略。
• 通过级联，上级服务器可实现监控与管控下发服务器下的客户端。客户端所产生的日志会传输到下级服务器，再通过下级服务器传输到上级服务器。

5）计算机用户账号监控

该功能主要对计算机用户账号的更改情况进行监控，包括增加、删除、改名等。一旦发现计算机用户账号有改动，立即向控制台发送报警信息。

6） 软件安装/卸载监控

监控受控主机上的软件安装/卸载行为，根据策略控制要求，可以记录用户安装/卸载软件，监控受控主机安装/卸载软件。

7） 主机管理

对安装了客户端的受控制的主机进行管理，帮助管理员对主机用户进行监控管理，包括正在运行的进程、服务、已安装软件等。

8） 主机信息获取

获取主机上的各种详细信息，如用户名、运行时间、IP、MAC地址、策略应用情况等 ，对主机的运行进行监控。

9）时间段管理

在管理端设置指定时间段，非指定时间段开启计算机，会产生日志并报警。

(1) 用户行为监控

对用户操作的软件安装卸载、硬件变更、进程服务运行等方面全面监控，保证时刻能够对用户的行为进行审计。

(2)提供完整日志审计，不仅详细的记录用户登录信息，同时记录用户各种操作行为的信息。

(3)系统部署方式灵活、安装方便

本系统采用管理端和客户端分离设计方式，大大简化了系统的安装使用。

(4)高性能，高可靠性，管理端可以同时监控管理主机数量大，能够及时处理各主机监控代理传送的报警信息、策略请求、状态更新等。并能保证控制台稳定可靠地运行。

(5)系统具有丰富的日志信息，并可对日志进行方便的查询和生成报表，可满足用户和网络管理人员的报表要求。