综合审计和处置措施

1. 监控主机行为

 

一般来说，计算机用户对计算机软件和硬件，特别是信息安全知识了解不多，对计算机的安全状态也不清楚。主机审计系统的控制端软件应具有主机安全状态自检功能，主要用于检查终端安全设置的实施情况，包括补丁安装、弱密码、程序安装、杀毒软件安装等，形成检查报告，使用户对机器的安全状况有清晰的了解，然后采取有针对性的措施。自检功能可由用户自行打开或关闭。检查报告上传至监控中心。

 

主机审计系统限制、监控和记录受控端主机人员的行为，包括文档修改、复制和打印的监控和记录、拨号和互联网行为的监控和记录、禁止或使用各种外部接口（并口、串口、USB 接口等） ,对USB 系统进行分类管理，如USB 存储设备（U 盘子，活动硬盘)、USB 输入设备（USB 键盘、鼠标)、USB2KEY和自定义设备。通过分类和灵活设置，增强实用性，监控和记录被控主机的添加和删除设备，拒绝并报警未安装的主机接入网络，避免非法主机接入。

 

主机审计系统对接入计算机存储设备进行审计、控制和报警。认证的合法介质可以从主机复制信息；未经认证的非法介质只能将信息复制到主机，不能从主机复制到介质，否则会产生报警信息，避免有意或无意从存储设备（特别是移动存储设备）泄露信息。认证时，将介质分类为非秘密、秘密和秘密。当合法介质从主机复制信息时，判断信息密度（国家有关部门规定，秘密信息必须有密度标志） ,拒绝低密度介质复制高密度信息。

 

认证时，将移动介质编号与用户对应。当移动介质接入主机时，记录移动介质编号，以便在审计过程中与人对应。当涉密信息被复制时，它们会自动加密并存储在移动介质上，加密存储在移动介质上的信息只能在配备控制端的主机上读写，读写时会自动解密。认证信息只能在移动介质格式化时去除，否则无法删除。它具有避免系统读取介质中文档的功能，防止移动介质接入计算机（无论是合法还是非法计算机），系统将所有文档读取到计算机上。

 

2. 综合审计和处置措施

 

为了实现综合审计，主机审计系统需要通过标准接口管理各种类型、多品牌的安全产品，如主机IDS、主机防火墙、防病毒软件等，集中收集和管理这些安全产品的日志和安全事故，实现日志的集中分析、审计和报告。同时，通过对安全事故的相关分析，发现隐藏的攻击迹象和安全趋势，确保对任何安全事故和事故的及时响应和处理。将原本分离的网络安全产品连接成一个有机合作的整体，实现即时状态监控、动态策略调整、综合安全审计、数据相关处理和适当及时的威胁响应，有效提高用户主机的管理和安全水平，为整体安全设置的制定和实施提供可靠的依据。

 

系统的安全风险可以从审计报告中反映出来，因此审计系统的审计报告非常重要。审计报告应当按照要求对所获得的所有信息进行综合审计、显示和打印，可以用图形解释问题，并按照标准格式进行（WORD、HTML 、文本文档等。)导出。但审计信息数据较多，收集到的信息直接收集整理形成报告，不能很好地解释问题，还应配合审计人员的人工分析。这些信息可以由审计人员定期从监控中心的数据库中备份和恢复。备份数据自动加密，恢复时自动解密。审计信息也可以删除，但删除操作只能由审计人员发起，经安全员确认后才能实施，以确保审计信息的安全性和完整性。

 

审计系统发现问题的修复措施一般包括补丁、停止服务、升级或更换程序、清除特洛伊等后门程序、修改配置和权限、特殊解决方案等。为了确保所有主机都能得到有效的处理，软件升级包和软件补丁通过监控中心发送到受控端。对于不同版本的操作系统，受控端选择是否自动执行。因为一些软件升级包、软件补丁和应用程序之间存在冲突，会影响终端用户的工作。在这种情况下，只能采取特殊的解决方案。

 

在复杂的网络环境中，保密网通常由许多安全产品组成，如不同的操作系统、服务器、防火墙和入侵检测。一旦网络受到攻击，专业人员将从不同的日志系统中提取日志进行分析。不同系统的时间未经任何校正，将不必要地增加日志分析人员的工作量。系统需要为整个网络提供统一的时钟服务，并将控制中心设置为标准时间。在接收管理的同时，控制端与监控中心保持时间同步，实现审计系统的时间一致性，提供有效的入侵检测和后续追查机制。