主機安全審計系統的設計與實現

◆鄒蘊珂 張小坤 房 瀟 溫太行

主機安全審計系統的設計與實現

◆鄒蘊珂1張小坤1房 瀟1溫太行2

（1.91977部隊 北京 100036；2.91991部隊 浙江 316000)

結合主機安全狀態監控與主機違規行為審計的需求，實現了一個主機安全審計系統。本文從系統架構和功能角度提出了系統設計和實現方案，系統實現了文件監控、上網記錄、非法外聯、打印、光盤刻錄、U盤使用等主機審計功能。

主機安全；安全審計；信息安全

0 引言

安全問題是各類信息系統共同面臨的威脅。主機是信息系統的基本組成部分，是獲取、存儲和傳遞信息的載體。主機安全是信息系統安全的基石。很大比例的安全事件是由內部人員對主機的違規使用引起的，例如，使用主機非法外聯，非法主機違規進入內部網絡、存儲或處理過辦公網信息的移動載體并連接到互聯網等。為了有效防止違規操作的發生，加強對主機終端的安全管理并對主機行為進行審計取證勢在必行。通過主機審計系統能夠對主機的各類行為進行有效管控，保障主機安全穩定運行，構建一個安全的內網環境，提升信息系統的安全性能。

1 主機安全審計技術原理

主機安全審計技術是一門傳統審計與信息安全相結合的技術。主機安全審計對與安全活動相關的信息進行記錄和存儲，在此基礎上根據一定的安全策略，對歷史操作數據進行分析，為事后追蹤和處理奠定基礎。

主機安全審計應用于主機的使用與管理，包含很多具體功能，如針對主機非法外聯的報警和控制，針對文件的拷貝、刪除等訪問的監控，針對打印、上網、光盤刻錄等行為的監控，并將這些行為通過日志記錄下來，以便事后審計。

安全審計保證了用戶違反規則、越權的操作的不可抵賴性，對潛在的內部違規或攻擊行為起到震懾作用，安全人員可以通過分析積累的日志數據發現攻擊行為，為已經發生的違規或攻擊行為提供追查憑證。

2 系統設計與實現

2.1 系統架構

本系統的架構希望達到如下目的：

（1）高可用性，管理用戶的輸入，如查詢特定人員的安全日志，和審計結果的呈現；

（2）滿足系統所需，提供可以運行在Windows系統上的各類主機安全審計功能；

（3）高平臺適應性，對操作系統的各類文件操作、注冊表操作的調用進行封裝。

根據上述目標，系統架構如圖1所示，分為用戶呈現層、功能處理層和系統封裝層。

圖1 系統架構示意圖

2.2 系統功能

本系統功能從主機安全審計的具體需求出發，包含主機基本信息、操作系統日志審計、文件監控、上網記錄、非法外聯報警、打印審計、光盤刻錄，U盤記錄，日志查詢，審計結果導出等。

（1）主機基本信息

主機基本信息包括主機的IP地址、網卡MAC地址、操作系統類型、操作系統安裝日期與時間、內存情況、CPU序列號和磁盤情況等信息。

（2）操作系統日志審計

操作系統日志審計提供主機開關機等事件信息，可以藉此查看主機使用情況。

（3）文件監控

對主機的任何文件操作，包括建立文件、文件夾，拷貝和刪除文件，改變文件大小等操作都可以記錄在案。

（4）上網記錄

提供網頁瀏覽記錄、cookie和IE賬號信息等，顯示用瀏覽器瀏覽過的網址并將其按時間進行排序，提供按網址過濾等功能。

（5）非法外聯報警

監控主機非法外聯，一旦發生主機非法外聯，立刻向控制服務器發出報警，并切斷非法外聯。

（6）打印審計

對打印用戶、打印文件名，打印時間，打印文件份數，文件頁數，打印機名稱，打印狀態燈信息進行審計。

（7）光盤刻錄

對刻錄行為進行審計，包括刻錄文件名稱、刻錄時間等。

（8）U盤記錄

可以查看主機插拔過哪些U盤、插拔時間、移動載體品牌、類型以及版本號等信息。

（9）審計日志查詢

提供對審計日志的查詢功能，安全管理人員可以針對特定的人員或行為進行查詢，以分析違規或攻擊行為。

（10）審計結果導出

審計結果可以以HTML或XML文件形式導出。

3 總結

主機安全審計技術對主機安全狀態監控與主機違規行為審計具有重要意義。本系統實現了對主機的基本信息、操作系統日志、文件監控、上網記錄、非法外聯、打印、光盤刻錄、U盤使用等方面的審計，能較全面地對主機進行安全審計，為信息系統的安全管理和審計提供了一種有效工具。

[1]Mark, R.信息安全完全參考手冊(第2版)[M].清華大學出版社,2014.

[2]潘愛民.深入解析Windows操作系統. 北京：電子工業出版社,2007.