淺談主機監控與審計系統的發展方向

吳玉明　王海洋

摘 要：主機監控與審計系統作為一種常用且主要的內網安全管理系統對很多單位和部門的信息安全起到了至關重要的作用。通過對現有主機監控與審計系統的功能進行分析和梳理，指出當前主機審計系統普遍存在的問題和缺陷。結合主機監控與審計系統既有標準和新的技術發展趨勢，從技術、架構、用戶體驗等多維度多角度展望主機監控與審計系統的發展方向，其中包括：平臺化、跨平臺、網絡化、智能化、虛擬化和標準化。

關鍵詞：主機監控與審計 平臺化 智能化 虛擬化

中圖分類號：TP393 文獻標識碼：A 文章編號：1672-3791（2015）10（c）-0016-02

Abstract：Host computer monitoring and auditing system， as an intranet security management system， it plays an important role of the computer information security in some units and departments.We point out the shortcomings of this system by analyzing the functions of the current host computer auditing system.Combining existing standards of host computer auditing system and the new trend of IT technology，we look ahead the direction of future host computer monitoring and auditing system from different aspects and angles.Such as platformization，cross-platform compatibility，networking，intelligentialize，virtualization， standardizing.

Key Words：Host computer monitoring and auditing system； Platformization； Intelligentialize； Virtualization

隨著計算機信息技術不斷發展和普及，計算機及網絡已成為人們日常生產、生活所必須的重要組成部分，然而在享受著計算機和網絡帶給人們方便、快捷的同時，信息安全問題隨之顯現并日益突出。目前，從國家到企業到個人對信息安全重要性的認識都有了很大的提升，在此背景下，主機監控與審計系統開始快速發展并得到廣泛應用。但目前市場上主流的主機監控與審計系統基本上還屬于傳統模式。而新的軟、硬件技術和網絡技術的快速發展以及用戶需求的不斷提升，促使主機監控與審計系統也要趕上時代的步伐。對于未來主機監控與審計系統的發展方向，該文從技術和架構的六個不同方面進行簡要的分析和闡述。

1 主機監控與審計系統的六個發展方向

1.1 系統平臺化

現有的主機監控與審計系統所監控內容相對局限，擴展性較差，系統無法快速適應新的軟、硬件的變化。當有新需求時很難在既有系統上無縫添加新功能，即便可以添加，也可能由于不同功能的兼容性問題形成繁多的系統版本分支，大大提高了系統維護難度。

為解決上述問題，就需要把系統抽象為平臺，把主機審計系統變為基礎安全管理平臺。將各種與安全和管理相關的功能都作為不同的業務模塊集成于該平臺之上。作為一個綜合的安全業務承載平臺，應實現多種業務模塊的在線熱插拔。當需要添加或修改某些業務模塊時，在安全許可的前提下隨時可將某些業務模塊插入或拔除，從而提高系統的穩定性和可擴展性，并減少系統維護的工作量。

1.2 受控主機端跨平臺

傳統的桌面操作系統市場份額幾乎被Windows獨攬，而手機、平板等移動智能設備的出現和快速發展打破了Windows一方獨霸的格局。操作系統的種類和份額在發生著重大變化，而且隨著嵌入式技術的普及和國家對操作系統安全的重視，Linux也逐漸得到發展。因此實現統一的、跨不同操作系統的綜合監控審計平臺至關重要。

受控主機端應支持常用操作系統，包括windows系列，如：Windows7、Windows8、windows Server 2008等；Linux系列，如：CentOS、Ubuntu、Debian等；UNIX系列，如：Mac OS、solaris、AIX等；支持手機操作系統，如：android和iOS等。

1.3 系統網絡化

原有的主機監控與審計系統基本上都是以獨立的受控主機為主要的被監控對象。但是近年來隨著網絡技術的不斷發展與進步，尤其是無線網絡的快速發展，使得很多智能設備實現網絡互連成為可能，在同一網絡內各種智能設備共享系統網絡資源。為了保證網絡的整體安全性，不僅需要加強對網絡自身的監控，同時也需要將連入網絡中的各種智能設備逐步納入到被監控范圍內。

系統應支持多種不同的網絡類型，包括：內網、專網、公網、移動網絡等。監控的智能設備不僅包括PC、服務器等傳統的計算機設備，還應支持更多的網絡設備以及終端設備，如：交換機、路由器、防火墻、ISCSI、IPSAN、NAS、網絡打印機、網絡傳真機、平板電腦、手機等。

支持RFID，提供資產管理、臺賬等輔助功能。

支持UTM，支持與UTM設備的深度結合。把主機監控與網絡監控形成一個整體，支持對UTM設置策略，收集并審計UTM上報的日志信息。

把所有可能連入網絡的設備都集中監控起來，在有效網絡邊界內形成對各種固定或移動終端的綜合安全監控防護體系，提高系統監控范圍的完備性。

1.4 分析智能化

現有主機監控與審計系統中兩個重要的功能就是日志審計和下發策略，但目前的日志審計和下發策略基本上都是由三員中的安全保密管理員進行人工操作的。由于技術所限，人工審計和人工下發策略在現有條件下確實有其長期存在的必要性，但從長遠發展趨勢來看，自動或半自動審計必將成為審計和策略下發的一種常用輔助手段。

后臺的中心服務應提供專家系統，通過知識庫、推理機、人工神經網絡、模式識別等一系列技術對日志及策略進行不斷的分類、整理、學習和鍛煉，從而實現自動審計、自動統計、自動策略優化等高級別自動化功能，提供技術建議，提供事前預警機制和事后分析追溯機制。進而減少人工參與度，提高系統的可用性和易用性。

1.5 系統虛擬化

隨著IDC和云的發展，虛擬化隨之蓬勃發展。虛擬化的發展徹底顛覆了人們對傳統主機概念的理解，很多國際大型虛擬化廠商均推出了以資源池為基礎的虛擬化方案，在此之上建立云或智能IDC。該方案中所有物理主機的資源被整合為一個大的資源池，用戶可以根據具體的需求生成特有的虛擬主機，各種業務運行于這些虛擬主機之上。

虛擬化很好的解決了負載均衡、容災備份、資源動態分配等物理主機較難解決的問題，但硬件軟件化也可能會產生出很多安全風險和隱患。因此需要主機審計系統與虛擬化系統在底層建立更加緊密的聯系，促成主機審計系統與虛擬化系統的深度結合，更好的保證虛擬主機的信息安全。

1.6 日志標準化

該系統應支持以SYSLOG服務器為代表的標準化日志服務器系統，可以把各種日志信息轉換為SYSLOG日志，并上傳SYSLOG服務器，從而實現日志標準化。這方面目前很多主機監控與審計系統已實現。

2 結語

綜上所述，未來的主機監控與審計系統必定會隨著各種信息技術的發展而快速發展，為了更好的保護系統安全，平臺化、跨平臺、網絡化、智能化、虛擬化和標準化等都可能成為未來主機監控與審計系統發展的方向。

參考文獻

[1] 袁萌.內網主機監控與審計系統解決方案[J].計算機安全，2008（12）：44-45.

[2] 程云鵬.涉密信息系統中的應用服務安全防護解決方案[J].信息安全與通信保密，2011，9（8）：26-28.

[3] 劉海寶，蔡皖東，許俊杰，等.分布式網絡行為監控系統設計與實現[J].微電子學與計算機，2006，23（3）：76-79.

[4] 蔡家楣，蔡其星，江頡.基于遺傳神經網絡分析的內網用戶行為審計系統[J].計算機系統應用，2009，18（2）：5-8.