主机审计系统设计

 

安全审计技术上分为网络审计、数据库审计、主机审计、应用审计和综合审计。主机审计是获取和记录被审计主机的状态信息和敏感操作，从现有主机系统的审计记录中提取信息，根据审计规则分析判断是否有违规操作。

 

一般网络系统主机审计采用传统审计，保密系统主机审计采用现代综合审计，实现信息的积极保护和响应。因此，在设计涉密网络的主机审计时应综合考虑。

 

1. 体系架构。

 

主机审计系统由控制中心、受控端、管理端三部分组成。管理端和控制中心之间有B/ S架构，管理端通过浏览器访问控制中心。对于管理端，其操作系统不应限于Windows。 ,浏览器不仅仅是IE。管理端的地位很重要，应该有一定的保障措施。同时，管理端和控制中心之间的通信应该是安全的，可以考虑隔离措施和SHTTP。协议。

 

主机审计可以分为不同的角色，至少分为安全设置管理员、审计管理员和系统管理员。

 

安全设置管理员按照制定的监控审计策略实施；审计管理员负责定期审计收集的信息，判断用户行为（包括三名管理员）是否违反规定，并根据策略出具审计报告；系统管理员负责安全设置管理员和审计管理员的权限。三人的所有操作系统都有相应的记录，相互配合，相互制约，便于管理，保证整个监控系统和系统本身的安全。控制中心是审计系统的核心，所有信息都存储在控制中心。因此，控制中心的操作系统和数据库最好由中国自己开发。控制中心的存储空间在一定限度内报警，提示管理员及时备份和删除信息，确保审计系统能够收集新信息。

 

2. 安全设置管理。

 

不同的安全设置获得不同的审计信息。安全设置与管理模式密切相关，反映了安全管理的意志。在审计系统实施安全设置前，应根据安全管理理念和审计系统可实现的技术渠道制定详细的安全设置，由安全人员根据安全设置实施。如果安全设置可以由部门和小组制定和实施。安全设置越完善，审计就越完整，主机的安全状态就越好。

 

主机审计的安全设置由控制中心统一管理，策略发布采用推拉相结合的方式，即从控制中心向受控端推送方案，从受控端向控制中心推送策略。当安全设置发生变化时，控制中心可以及时将策略发送到受控端。但当受控端安装防火墙时，推送方式会受阻，安全设置无法发送到受控端。从受控端到控制中心的定期拉动策略，可以保证受控端和控制中心的通信不会因安装个人防火墙或其他认证保障措施而中断。联网主机(服务器、联网PC 机器)通过网络接收控制中心的管理模式将审计信息传递给控制中心。单机(桌面PC) 或笔记本)通过外磁介质(如UU)(如UU) 盘子、移动盘子）接收控制中心的管理模式。审计信息存储在主机中，管理员定期通过外部磁介质将审计信息传递给控制中心。所有通信均为SSL 加密算法传输，确保数据在传输过程中不会被篡改或欺骗。

 

为避免受控端离开控制中心管理，安全员应将受控端程序安装在受控主机上，并与受控主机网卡地址、IP 地址绑定。该程序不能随意卸载，不能随意关闭审计服务，不影响控制端的运行性能。一旦控制端安装了控制程序，只有重新安装操作系统或由安全员卸载，才能脱离控制中心的管理。信息自动传输到控制中心，以确保审计服务不会被绕过。

 

3. 审计主机的范围。

 

秘密信息系统中的主机有联网主机、单机等。常见的操作系统包括Windows98 ,Windows20000000 ,WindowsXP ,Linux ,Unix等等。主机审计系统的受控端支持配备不同操作系统的联网主机和单机，使用同一软件处理网机、单机和笔记本的审计问题。

 

根据国家有关规定，机密信息系统分为不同的安全区域。安全区域可以通过划分虚拟网络或设置安全隔离设备（如防火墙）来实现。主机审计系统应考虑不同安全区域的主机管理和控制，即控制不同网段的控制端和安装防火墙的控制端，并将信息收集到控制中心进行统一审计。同时，它可以提供一个简单的网络拓扑，为管理者提供方便。