主机安全审计系统设计与实现 摘要:结合主机安全状态监控与主机违规行为审计的需求,实现了一个主机安全审计系统。本文从系统架构和功能角度提出了系统设计和实现方案,系统实现了文件监控、上网记录、非法外联、打印、光盘刻录、U 盘使用等主机审计功能。 关键词:主机安全;安全审计;信息安全 0 引言 安全问题是各类信息系统共同面临的威胁。主机是信息系统的基本组成部分,是猎取、存储和传递信息的载体。主机安全是信息系统安全的基石。很大比例的安全事件是由内部人员对主机的违规使用引起的,例如,使用主机非法外联,非法主机违规进入内部网络、存储或处理过办公网信息的移动载体并连接到互联网等为了有效防止违规操作的发生,加强对主机终端的安全管理并对主机行为进行审计取证势在必行。通过主机审计系统能够对主机的各类行为进行有效管控,保障主机安全稳定运行,构建一个安全的内网环境提升信息系统的安全性能。 1 主机安全审计技术原理 主机安全审计技术是一门传统审计与信息安全相结合的技术。主机安全审计对与安全活动相关的信息进行记录和存储,在此基础上根据一定的安全策略,对历史操作数据进行分析,为事后追踪和处理奠定基础。主机安全审计应用于主机的使用与管理,包含很多具体功能,如针对主机非法外联的报警和控制,针对文件的拷贝、删除等访问的监控,针对打印、上网、光盘刻录等行为的监控,并将这些行为通过日志记录下来,以便事后审计。安全审计保证了用户违反规则、越权的操作的不可抵赖性,对潜在的内部违规或攻击行为起到震慑作用,安全人员可以通过分析积累的日志数据发现攻击行为,为已经发生的违规或攻击行为提供追查凭证。 2 系统设计与实现 系统架构 本系统的架构希望达到如下目的:(1)高可用性,管理用户的输入,如查询特定人员的安全日志,和审计结果的呈现(2)满足系统所需,提供可以运行在windows 系统上的各类主机安全审计功能;(3)高平台适应性,对操作系统的各类文件操作、注册表操作的调用进行封装。根据上述目标,系统架构如图 1 所示,分为用户呈现层、功能处理层和系统封装层。 系统功能 本系统功能从主机安全审计的具体需求出发,包含主机基本信息、操作系统日志审计、文件监控、上网记录、非法外联报警、打印审计、光盘刻录,U 盘记录,日志查询,审计结果导出等。(1)主机基本信息主机基本信息包括主机的 IP 地址、网卡 mAc 地址、操作系统类型、操作系统安装日期...
