蓝盾主机监控与审计系统技术白皮书.docx

1、蓝盾主机监控与审计系统技术白皮书蓝盾主机监控与审计系统(BD-SECSYS)技术白皮书广东天海威数码技术有限公司2004年7月一、概述1.1、网络安全现状 为了保护计算机及计算机网络的安全性，许多专家、学者和相关机构从不同角度提出了各种解决方案和技术方案。边界安全产品在网络安全中得到了认可，但是从2003年的网络安全情况看，边界安全产品略显不足。同时在内网中存在着有意或无意的信息泄漏情况。因此应从纵深防御的角度考虑，研究基于内网安全防护的安全产品，其目标是保证内网资源的可用性、数据存储的安全性、数据内部传输的安全性。同时我们应该从管理的角度来看待网络安全，从而实现对内网的可控性。1.2、主机监

2、控与审计系统的必要性 目前通常通过防火墙进行网络安全防范。从理论上讲，防火墙可以说是第一层安全防范手段，通常安装在网络入口来阻止来自外部的攻击。入侵检测系统作为防火墙的有效补充，为网络安全达到安全极限作出了贡献。但对内网安全要求极高的行业或部门，还需要解决信息泄密问题，同时希望将基于内网安全和防信息泄密技术有机集成。主机监控与审计系统根据内网安全现状，从而有效的检测和防御内部入侵行为、防止内网信息泄漏、成功实施内网安全管理。二、产品简介2.1、产品概述蓝盾主机监控与审计系统(BD-SECSYS)是由广东天海威数码技术有限公司自主研发的基于内网安全和防信息泄漏的内网安全集成系统。广东天海威数码技

3、术有限公司基于多年来积累的安全产品研发和实施经验，集中强大的研发队伍推出具有完善功能、稳定可靠和出色性能的内网安全集成产品。国际国内安全公司都采取了一定的手段进行内网安全防护，但没有从总体上分析内网真正的安全需求，更没有将安全和防信息泄漏有机集成确保内网的安全和可控性。因此能够成功推出并应用主机监控与审计系统将起到巨大的社会作用。蓝盾主机监控与审计系统(BD-SECSYS)是一个基于内网安全及保密理论研发的内网安全保密管理产品，它综合使用数据挖掘技术、安全联动技术、密码学技术、操作系统核心技术以及网络驱动技术，构造了一个逻辑上的内部网络安全域，对这个安全网络域所有计算机上的重要信息进行安全管理

4、，并有效的对网络资源进行管理。它可以实现桌面级防火墙功能、对主机的文件进行有效的控制、实时监控主机的各种日志、对主机上的设备和待使用的设备进行监控或强制认证、实时监控主机注册表以发现异常情况、实时监控主机资源等。蓝盾主机监控与审计系统提供完善的集中管理控制机制、有效的安全策略管理方法和细致清晰的审计分析报告，能成功防止内部网络重要信息通过各种可能途径被非法泄漏和破坏，同时通过有效的管理对内网资源进行有效的控制。2.2、产品组成 蓝盾主机监控与审计系统主要包括两部分组件：主机代理(BD-SECSYS-H)和控制中心(BD-SECSYS-C)。主机代理以服务的方式运行在内网被保护主机上，控制中心提

5、供显示和管理配置功能。体系结构图如下：2.3、主机代理体系结构主机代理(BD-SECSYS-H)体系结构图如下。蓝盾主机监控与审计系统包括以下模块：网络安全防护模块、共享安全模块、文件防护模块、注册表防护模块、日志监控模块、设备管理和认证模块、主机审计模块、异常检测模块等。2.4、集中管理控制中心 蓝盾主机监控与审计系统控制中心(BD-SECSYS-C)主要包括如下模块：主机代理管理模块、控制中心用户管理模块、控制中心日志管理模块、主机代理日志管理模块、蓝盾主机监控与审计系统配置模块、mySQL数据库管理模块等。集中管理控制中心体系结构图如下：三、功能说明3.1、主机代理功能3.1.1、网络检

6、测防护功能蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)拥有强大的桌面级防火墙功能，可以对系统提供的网络端口和IP进行监控、管理，允许自定义阻断策略，也可以定义事件对指定IP地址、协议和端口以及数据流向进行实时防护，从而隔断来自与网络中其他主机的非法连接请求。网络检测防护功能模块具有以下特点：网络检测防护特点内容描述主机网络资源审计审计主机网络连接状态、路由表、ARP缓存表、IP/TCP/ICMP/UDP统计表、IP地址表、网络连接状态等。自定义拦截规则用户可定义基于IP/TCP/UDP/ICMP和端口的拦截规则。ARP欺骗防护使用ARP静态表保护技术防ARP欺骗。Modem拨号检测

7、可实时发现Modem拨号等单点破网,并能按照策略进行实时处理。3.2.2、共享防护 在Windows操作平台，共享交换数据非常方便，但由于共享不能控制到用户级，同时共享更不能保证基于用户级的访问安全，因此会导致数据丢失或破坏。基于此蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)研发出实用的基于共享安全控制技术，能控制到共享名和用户名绑定，访问文件夹和用户名绑定，访问用户与IP地址绑定。共享防护功能模块具有以下特点：共享防护特点内容描述共享名安全根据自定义策略，能控制登录用户与共享名绑定，即用户只能访问他允许访问的共享名。共享文件夹安全根据自定义策略，能控制登录用户与共享文件夹绑定，即

8、用户只能访问他允许访问的共享文件夹。访问用户绑定根据自定义策略，能控制登录用户与登录IP绑定，或不绑定。如果绑定IP，则用户只能在指定的IP进行登录访问，否则在任一IP可进行登录访问。安全的共享打印要使用共享打印机必须每次使用指定的用户登录后，方可打印，从而实现了安全的共享打印。3.2.3、文件检测防护蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)拥有强大的文件检测防护功能，无论来自本机还是网络对本主机的文件、文件夹的访问，用户都可设定访问控制策略，防止信息泄漏。文件检测防护模块的特点如下：文件检测防护特点内容描述读文件、文件夹按照策略能记录、禁止读文件、文件夹。能记录读文件、文件夹

9、使用的进程等。 写文件按照策略能记录、禁止写文件。记录写文件当前使用的进程。删除文件、文件夹按照策略能记录、禁止删除文件、文件夹。记录删除文件、文件夹的当前使用的进程。拷贝文件、文件夹按照策略能记录、禁止拷贝文件、文件夹。记录拷贝文件、文件夹的当使用的进程。改名文件、文件夹按照策略能记录、禁止改名文件、文件夹。记录拷贝文件、文件夹的当前使用的进程。新建文件、文件夹按照策略能记录、禁止新建文件、文件夹。记录新建文件、文件夹的当前使用的进程。改变文件、文件夹属性按照策略能记录、禁止改变文件、文件夹属性。记录改变文件、文件夹属性的当前使用的进程。实时获取主机文件信息能够获取主机文件和文件夹信息，并能

10、象在本机一样可选择文件路径。3.2.4、注册表检测防护由于入侵者经常修改注册表，以及各种木马软件也修改注册表，考虑到主机的安全性，蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)研发出实时的注册表监控能力，防止非法修改注册表。可定义监控注册表策略，以监控读、建立、打开、删除、修改注册表。3.2.5、主机日志监控蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)可以实时获取安全域内用户主机上的安全日志、系统日志、应用程序日志，并作为数据来源，进行入侵检测。日志监控模块特点有：日志模块特点内容描述安全日志检测进行安全日志检测系统日志检测进行系统日志检测应用程序日志检测进行应用程序日志

11、检测定义策略可定义策略有针对性获取日志数据。日志分析对获取的日志数据进行分析，并按照策略检测入侵行为3.2.6、设备管理和认证蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)能远程管理安全域内主机上的全部硬件设备，能禁止设备的使用。当新设备进入系统时，BD-SECSYS能自动发现并按照策略实施处理动作（记录、禁止、安全传输、报警、强制认证）。设备检测防护模块特点有：设备检测防护特点内容描述设备基线数据库对管理域内的主机上的设备建立基线数据库，以便需要时进行核查。自动发现设备功能当新设备进入计算机系统时，能自动发现新设备。无论没开机插入设备然后启动或计算机工作时接入新设备，都能发现新设备

12、，并根据策略进行管理(记录、禁止、安全通讯、加密传输)。拦截或禁止功能根据策略可对违反规定的设备可实时拦截或禁止。移动存储设备认证功能根据策略对移动存储设备进行认证。提供移动存储设备认证数据库。完备的设备管理能管理的设备有：软盘FD、 MO盘、 ZIP盘、 JAZZ盘、 Flash Device盘、CD-R、 CD-RW、 USB/1394 Storage Device、 红外线接口、打印机、键盘、鼠标等。完备的端口管理可管理的端口有：键盘鼠标端口控制、USB 端口、 IDE总线、 光驱控制、 软驱控制 、SCSI 控制 、红外控制、 1394 火线端口控制、 并口控制 、串口控制等。3.2.

13、7、主机资源审计蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)能对主机资源进行审计，并能实时监控主机资源状况。主机资源审计、监控模块特点有：主机资源审计、监控特点内容描述实用的主机资源监控可实时监控主机CPU、内存使用率主机进程管理可审计主机进程，并提供远程终止进程的能力，并设计禁止该程序运行策略主机系统信息审计审计主机系统信息，如CPU、内存、操作系统等。安装应用程序管理审计已安装的应用程序，并实时发现正在安装应用程序，按照策略进行禁止。能远程卸载应用程序。服务管理能远程管理（停止、启动）主机上的服务用户和组管理能审计主机用户和组信息3.2.8、异常检测蓝盾主机监控与审计系统主机代

14、理(BD-SECSYS-H)以计算机资源为目标建立异常检测模块，在其中使用了统计学方法。可异常检测的资源有CPU、内存、IP流量、ICMP流量、TCP流量、UDP流量等。3.2.9、外联监控 在内网安全管理严格的情况下，主机用户为了使用方便或基于某些违规行为，使用拨号等手段进入Internet，从而导致单点破网，给内网安全带来极大的隐患，同时主机用户会通过这种手段泄漏内网机密信息。蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)通过外联监控手段有效防止信息泄漏。3.2.10、关联安全功能蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)与防火墙、网络入侵检测系统在安全架构内能按照

15、策略进行联动或知识共享，从而形成整体、多层次的安全态势，产生关联安全效应。蓝盾主机监控与审计系统提供了开源的接口标准，以与其它安全设备进行有效联动。3.2、集中管理控制中心功能3.2.1、主机代理管理蓝盾主机监控与审计系统控制中心(BD-SECSYS-C)提供对主机代理管理的管理，具体功能有：主机用户管理、配置文件管理、主机代理各功能模块管理、实时审计或管理主机资源、移动存储设备认证管理、远程执行主机代理命令等。3.2.2、Mysql数据库管理 为了减少用户投资，蓝盾主机监控与审计系统控制中心(BD-SECSYS-C)使用Mysql数据库存储各种日志及其它重要信息。考虑到Mysql数据库没提供

16、方便易用的管理工具，特开发了一个Mysql使用工具。3.2.3、控制中心用户管理 蓝盾主机监控与审计系统控制中心(BD-SECSYS-C)采取用户组的形式管理控制中心用户。3.2.4、控制中心日志管理 蓝盾主机监控与审计系统控制中心(BD-SECSYS-C)提供控制中心日志管理功能。用户在控制的关键操作都存储在日志库中，以便查询和生成报表。3.2.5、主机信息管理蓝盾主机监控与审计系统控制中心(BD-SECSYS-C)提供主机信息管理功能，能分析主机代理的细节信息。3.2.6、选项配置管理蓝盾主机监控与审计系统控制中心(BD-SECSYS-C)提供选项管理功能，具体有：报警配置、安全存储配置、

17、端口/服务查询、邮件/短信配置、登录控制中心等。四、技术特点4.1、主机代理技术特点4.1.1、周密的内网系统信息泄漏防护体系采用了周密的内网系统主机代理(BD-SECSYS-H)信息泄漏防护体系，防止信息从网络、计算机各种端口、打印机以及移动存储设备等各种可能途径泄漏出去，不会遗漏任何一个可能泄密的途径。4.1.2、强大的主机资源监控能力蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)不仅仅拥有防止内网系统信息泄漏能力，而且集成了强大的个人主机资源监控功能。计算机的硬件配置可以进行远程管理，并且可以动态获取信息、更新、卸载和审计，能够做到不经管理员许可就无法安装和运行任何一款新硬件设

18、备和软件系统。4.1.3、强健的系统自身安全保护体系蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)是广东天海威数码技术有限公司自主研发的安全产品，为了保证该产品自身安全的安全性，将多年安全产品研发和实施经验融合在一起。BD-SECSYS是基于安全的架构进行设计和构建的，系统本身具有优越的安全保障体系。采用密码学技术，在安全框架内分别对控制中心以及主机代理各组件之间的通信信道进行了全面的保护，通过技术手段确保了BD-SECSYS系统的防攻击能力、防欺骗能力、用户身份的安全以及内部信息的保密性和数据完整性，具有较高的安全性能。特别是主机代理是采用嵌入式开发模式，从而使该产品与操作系统有机

19、的结合在一起。4.1.4、采用移动存储设备认证技术蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)采用了移动存储设备认证技术，对接入计算机的存储介质进行认证和控制，防止信息被有意或者无意从移动存储设备泄漏出去，同时防止了资源的滥用。该技术支持灵活的策略管理模式，使得用户能够根据需要设定设备的使用权限（即保留了设备的方便性，又堵截了设备可能带来的安全隐患。4.1.5、安全的数据共享方式蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)支持安全的主机共享或者安全域用户共享存储介质数据。在主机共享模式下，用户可以使用移动存储硬盘或者其它任何存储介质扩展主机的存储空间，但是所有存储的数据

20、只有在该指定主机上才能使用。在安全域用户共享模式下，用户可以在同一个指定安全域的计算机之间使用移动磁盘相互共享数据，但是在这些指定计算机之外的计算机中则不能使用这些数据。该技术使得在保密要求严格的单位用户既能享受移动存储带来的方便，又可以防止数据从移动存储设备中泄漏出去。4.1.6、全网防护体系 蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)拥有强大的桌面级防火墙功能，并且采取集中管理的方式，从而避免了因主机用户对网络安全知识的缺乏导致单点危险，同时保证了内网安全管理员能从全网的角度实施桌面级安全，守住了网络安全最后一道屏障。4.1.7、主机日志安全管理蓝盾主机监控与审计系统主机代理

21、(BD-SECSYS-H)能实时将主机上的日志按照策略送到控制中心，并进行入侵分析，从而保证主机的安全存储，同时有效的使用了主机日志。4.1.8、与防火墙、网络入侵检测系统进行有效联动蓝盾主机监控与审计系统主机代理(BD-SECSYS-H)通过与防火墙、网络入侵检测系统等安全设备进行有效联动，从而构成一个整体、多层次的防护系统。蓝盾主机监控与审计系统与防火墙、网络入侵检测系统互通、共享安全信息，使得安全设备发挥它更大的安全作用，并形成关联安全，同时保证安全管理的智能性。4.2、集中管理控制中心技术特点4.2.1、分布式集中管理 蓝盾主机监控与审计系统控制中心(BD-SECSYS-C)能分布式管

22、理内网全部主机代理。通过集中管理的方式，既方便管理员管理，同时使管理员能从总体的高度制定内网安全策略，并能及时了解内网安全状况。4.2.2、实用的主机代理管理 蓝盾主机监控与审计系统控制中心(BD-SECSYS-C)能实时管理主机代理，并提供了强大的管理功能。4.2.3、灵活的日志查询及实用的报表 蓝盾主机监控与审计系统控制中心(BD-SECSYS-C)提供符合网络协议的条件查询功能，能查询任一细节，并能生成方便实用的报表。五、指标说明 蓝盾主机监控与审计系统指标说明如下表：组件指标描述主机代理端口0-65535任意制定安全策略。协议IP/ICMP/TCP/UDP/IGMPPSTN(By Mo

23、dem)监控、禁止基于NetBios共享对文件和打印机进行安全共享管理。设备管理对主机任意硬件可进行审计或管理移动存储设备认证内网使用的设备可分为主机型和网络型，并可设计只读策略。可实施网络认证和本地认证。资源审计能审计系统信息、设备信息、进程信息、网络信息、服务信息、驱动信息、用户和组信息、共享资源信息等。文件检测防护能对本地文件和文件夹进行安全保护，可成功控制读、写、新建、删除、改名、拷贝、修改属性。注册表检测防护能对注册表进行安全保护，可成功控制读、写、新建、删除、改名。在线主机监测能监测主机是否在线，并能监测主机代理版本。日志监控能记录系统日志信息，并进行入侵分析异常检测能异常检测CP

24、U、内存、IP流量、ICMP流量、TCP流量、UDP流量主机代理保护使用操作系统低层技术成功保护主机代理，能防通过安全模式卸载主机代理。设备认证登录经过开机设备认证后才能正常启动计算机。操作系统平台全面支持Windows 2000系列、Windows XP系列、Windows 2003系列。Windows 9x系列、Windows NT 系列、Windows Me等有部分功能支持。联动技术能与防火墙、网络入侵检测系统等安全设备联动共同防御入侵。提供公开的联动接口。控制中心管理多主机代理能够移动存储设备认证功能提供日志查询提供对主机代理信息、控制中心日志查询功能生成报表TXT、PDF、HTML格式报表各种日志接收接收主机代理日志并实时显示实时报警根据策略通过各种方式报警安全日志存储以防入侵者采取日志耗尽攻击手段，采用快照技术，进行安全存储数据库采用免费的Mysql数据库六、典型应用 蓝盾主机监控与审计系统典型应用如下图。通过在内网安装BD-SECSYS，能从纵深的角度防止保密信息泄漏，并能采取集中管理的手段实施桌面级安全。