1) 报警功能:
代理端报警策略的设置及事件的报警级别由CMC负责管理,管理员根据不同端机的工作要求可设置不同报警策略,并下发到各端机。代理端软件则根据本机的报警策略对违规事件产生相应的报警信息,并立即上传到控制台,通知管理员有违规事件发生。
2) 自动升级功能:
代理由BA基本代理和PA策略代理组成,BA运行于OS级,常驻内存,PA则动态加载。当收到新版本PA后,BA动态卸载旧的PA,再加载新版本PA,这一切动作对用户透明,从而达到动态自动升级的目的,也无须管理人员在大规模实施后需要跑到每一个客户端去升级的大工作量行为。
3) 自我防护功能:
BA代理是一个短小强悍的监控程序,驻留在涉密计算机的内存中,体积非常小,隐蔽性强,一但驻留,除SCMCA-HT安全管理员外,将无法删除,因此,可确保监控功能的持续、正常执行。
同时,PA和BA互相监视,并隐蔽存储多副本于计算机中,当监视到对方依托文件不存在时,快速从副本处复制一个依托文件到安装目录。
CMC中心也存储涉密计算机的BA和PA,一旦发现有恶意攻击行为攻击BA或者PA,CMC将产生报警,由响应的管理制度来制止这种恶意攻击行为。
控制管理中心功能
CMC控制管理中心是该系统的核心,实现对所管辖计算机代理采集信息的统一管理、审计和报警功能,同时负责该系统本身的管理功能的实现。
系统功能主要完成系统本身的系统设置和维护功能,保证系统访问的用户安全性、系统登录和注销的合法性、系统配置的合理性、系统数据的安全备份与恢复、系统本身的操作日志记录的完整性。
1) 登录与注销
管理员使用默认用户名和密码登录到CMC后,分别创建日志查看员和系统日志监督员,并赋予默认密码。
管理员、日志查看员和系统日志监督员分别使用自己的用户名和默认密码登录CMC,但是根据其权限显示不同的CMC界面。
所有用户在第一次使用默认密码登录后,CMC自动强制各用户更改默认密码为新密码。
所有用户空闲超过一定时间后,系统自动锁定,进入锁定界面。
2)用户及组管理
系统用户管理是对系统本身的用户进行管理的工具。系统用户管理支持多管理员角色,可区分超级管理员、管理员、日志查看员、系统日志监督员。
² 用户管理员具备创建下级用户的权限;
² 管理员只具备系统进行配置、数据备份和恢复的权限,但是不具备下级管理员的权限具备。
² 日志查看员可以操作CMC查阅各代理采集信息、制定策略、进行控制等功能;
² 系统日志监督员负责对超级管理员、管理员、日志查看员的行为日志进行查阅和监督。
如果用户需要,还可在4类角色中再细分级别。4两种角色的组合使用由用户自己决定。
用户管理主要包括管理人员的帐号、口令管理、人员信息的增、删、改、查等操作。
3)参数配置
管理员可以对系统本身的运行参数进行配置,包括:系统显示方式、系统等待时间、计算机安全扫描时间间隔等。
4)数据备份与恢复
管理员可对数据进行备份和恢复,数据库中的数据超过数据保存最大容量之后或者超过数据最长保存时间之后,系统会强制管理员对数据作备份操作,备份数据存放于指定目录下,备份后数据库中的记录才可以删除,备份目录和记录的删除操作都会自动记录到系统日志中,由系统日志监督员进行监督。
所有数据不提供单条记录删除的功能。
系统万一出现崩溃,或者硬件原因造成了数据丢失,管理员可以把最近的一次备份数据恢复到系统中。
5)系统日志维护
系统日志记录管理员对CMC的操作,主要包括:登录、退出、用户管理操作、部门管理操作、策略操作、控制操作等。
系统日志监督员可以对系统日志数据库表/记录进行备份/恢复等维护操作。
日志在备份后可以删除,不提供单条删除功能。
计算机资源是指单位内部的计算机,这些计算机是单位信息网络的重要组成部分,通常来说,某台计算机会有明确的任务、使用范围和使用人。因并没有效的措施指定计算机的使用者,计算机资源的使用难以控制,从而造成一定的信息安全隐患,比如财务部的计算机就不能允许非财务人员使用等等。另外,计算机资源是一个单位非常重要的资产,一般包括硬件资产和软件资产。
CMC利用其超强的硬件获取能力使信息人员和资产管理人员可以很方便的查看到网络内部的硬件的分配情况,可以极大地方便了资产统计人员,避免了过去做资产统计必须拆机箱的做法,利用先进的自动捕获技术,及时的收集到所有的硬件信息,提高工作人员的效率。
CMC利用其强大的软件信息获取能力将单位所拥有的软件纳入资产的正常管理程序,以便掌握单位信息化的投资状况,包括采购、安装、分发、升级、维护、删除等整个软件使用的生命周期。它经由一系列有效的管理措施,配合系统管理的使用,就可以合理地控制软件购置的经费支出,以此提升软件资产的利用率与整体效益,并且确保软件使用的合法性。
1)计算机单机资产管理
单机资产管理负责将网络内合法的计算机添加到本系统内,作为合法用户使用。功能包括:计算机信息的增、删、改、查。
单机资产管理功能包括硬件资产管理和软件资产管理两部分,并且提供强大的统计功能。
² 硬件资产管理
安装硬件信息:在涉密计算机用户注册后,记录下计算机的所有硬件安装信息(处理器CPU,光驱,内存,软驱,声卡,显卡,硬盘的类型及其种类),同时把该信息和用户信息、固定资产编号信息进行关联形成该用户的硬件资产信息并且进行日志记录;
变动硬件信息:检测计算机发生变动的硬件信息,并且记录日志。
² 软件资产管理
安装软件信息:在计算机用户注册后,记录下涉密计算机的所有软件安装信息并且进行日志记录;
变动软件信息:检测计算机发生变动的软件信息,并且记录日志。
2)组/部门资产管理
CMC支持群组/部门管理,即将被监控计算机群按照传统的业务组/工作组/部门进行划分,并按照组/部门的方式进行策略管理,组内的成员的计算机全部自动遵守该组的安全策略。组的成员可随时添加或删除。这一功能对于管理人员快速、准确识别涉密信息和安全状态很有帮助,并且可以大大减轻管理员的策略配置管理负担。
监视管理功能这部分是日志查看员的日常管理任务,他可以使日志查看员可实时掌握内部网络计算机的运行和安全状态,保证内部网络管理策略的正确执行。
1) 在线状态监视
日志查看员可从查看全部主机的联网状态。
如果选择网络方式查看,则在CMC的监视界面上显示全部涉密计算机的联网状态。其中,闪亮的表示在线,灰色的表示离线。
如果选择组/部门方式,则在CMC的监视界面上按部门显示,展开部门后,显示部门所辖涉密计算机的联网状态。
2) 非法入网监视
CMC按照“安装了代理 + IP/MAC地址白名单”的排除法发现非法计算机。“安装了代理 + IP/MAC 地址白名单”是指:定义安装了SCMCA-HT代理的、并且IP/MAC地址在白名单中的涉密计算机称为合法,只有这样的涉密计算机才能使用内网资源,否则强行禁止其使用内网,并且及时报警。
非法入网计算机在CMC中以非法入网计算机为组名称的进行拓扑显示,可以列出所有非法接入内部网络的主机(IP/MAC地址),而在监视界面中显示这些主机的入网行为记录。
3) 安全扫描
CMC可以对指定网段内的涉密计算机进行安全检查,如果发现有未安装本代理以及IP/MAC地址不属于白名单的涉密计算机在线则报警。
主机监控与审计系统UniAccess的策略是指代理对涉密计算机监视和控制规则的集合。
策略的制定、修改、添加、删除、存储/导入、下发和执行情况监督都由CMC完成,通过CMC统一或部分下发至各个代理。
1) 策略模板管理
根据策略分级和继承原则,所有策略以模版形式生成后,才可以下发到代理。
策略模板管理可以制定4个级别的多种模板:
² 默认策略——本系统发行时提供,随基本代理一同安装于被监控涉密计算机上,该策略为最严格策略;
² 全局策略——一个单位全局范围的策略,对所有用户有效;
² 部门策略——部门范围内的策略,对该部门的所有用户有效;
² 用户策略——特定用户策略,只对该用户有效。
策略模板管理包括:
² 策略模板制定:制定以上4级模板;
² 策略模板修改:对指定好的模板进行修改;
² 策略模板添加:同一级别下具有多个模板时,添加模板;
² 策略模板删除:对不再有效的策略模板进行删除;
² 策略模板存储及导入:所有模板可以以单位或者个人名称方式单独生成一个,并可以存储(或者打印),再遇到特殊情况重装系统后可以把先前存储的模板导入到系统中,方便策略的备份和恢复,减轻工作量。
策略模板的内容主要包括以下方面:
² 基本信息的采集策略:对代理采集计算机的方式、提交频率等进行配置。
² 文件监控策略:对磁盘文件的监控方式、过滤方式、操作方式、文件保护方式进行配置。
² 注册表监控策略:对注册表监控方式、扫描频率、提交方式和频率进行配置。
² 打印监控策略:对涉密计算机的打印行策略为进行配置。
² 应用程序/进程监控策略:对应用程序/进程的启动、运行策略进行配置。
² 设备监控策略:对涉密计算机所辖设备和新增的未知设备使用策略进行配置。
² 网络应用行为监控策略:对网页浏览-HTTP、文件传输-FTP、发邮件-SMTP、收邮件-POP3、远程登录-Telnet,以及外部主动联接、IP/MAC地址绑定、非法外联、非法内联等的行为策略进行配置。
2) 策略下发
针对不同的计算机用户和组,联软终端安全管理系统对计算机的审计行为、端口控制行为各不相同,可根据实际情况制定不同的审计、控制策略模板,在下发审计策略时选择相应的模板即可。这样对管理人员而言便于管理,方便使用。
策略下发方式分为立即执行和重新启动后执行两种模式,由管理人员在下发时根据实际情况进行选择,也可以采用策略模版中制定的选择。
² 立即执行模式:代理收到CMC发送的策略更新命令,立即终止现行程序,按照新的策略去重新分配线程,在终止原策略启用新策略过程中,可能会造成部分数据的丢失。
² 重新启动后执行模式:代理收到CMC发送的策略更新命令后,暂时不进行相应而只是把新策略存储于本地,强制计算机重新启动或者待计算机自然重新启动后,再加载新策略。代理在计算机启动后和控制台进行通讯,如果要更新策略模板,则下载新的模板后继续运行。
策略的下发对用户透明,不会对用户的自然操作产生影响。
3)策略执行和状态监督
² 策略执行由代理完成,执行过程不会对用户自然操作产生影响。
² 策略下发成功或者失败时,代理会把策略更新记录提交给CMC。
² CMC可以对所有涉密计算机的:策略执行状态(成功/失败)、策略模板名称、策略模板内容、策略执行时间及有效时间等内容进行查看和监督。
1) 文件/补丁管理
随着软件的不断完善,功能的不断增多,新的软件版本将不断发布,文件/补丁管理就是将每一版本软件保存到数据库中,并通过软件的启用、停用标志控制软件的可用性,通过文件/补丁分发功能,将新的软件下发到各代理端。如果软件下发时发现该版本的软件已经是停用标志,将不再下发。
2) 文件/补丁分发
代理的升级采用“静默式安装”方式自动升级,对用户透明,由CMC控制对全部涉密计算机进行统一在线升级。
在线升级是在涉密计算机已安装代理的前提下,可以实现软件的在线升级。升级方式分为主动升级、下发后立即升级两种模式,具体升级方式同样由管理人员通过系统设置功能进行设置。
² 主动升级:每次开机后代理主动和CMC进行通讯,如果有高于本机的软件版本发布,则主动下载,并自动升级。
² 下发后立即升级:CMC向代理发送软件立即升级的命令,代理收到命令后,进行软件版本的判定,如果新版本确实高于现行版本,则进行新版本软件的下载,下载完毕后,立即执行软件更新。在软件更新过程中可能会造成部分审计数据的丢失。
审计管理功能基于已收到的各代理端采集到审计记录对各种的操作行为进行审计,审计内容包括:
1) 磁盘文件操作行为审计
2) 注册表审计
3) 应用/进程使用审计
4) 日志审计
5) 账户信息审计
6) USB介质使用行为审计
7) 外部设备使用行为审计
8) 打印行为审计
9) 主动网络连接操作行为审计
10) 非法外联行为审计
为了方便管理员的审计操作,提高管理效率,系统对以上各审计内容提供多种审计方式:
² 按部门审计:对该部门下的所有人员的某一操作行为进行审计。
² 按人员审计:由于工作需要,存在大量一人多机的情况,为了方便对某人的所有操作行为进行审计,系统提供按人员进行审计的功能,即审计该人员管理下所有计算机的操作行为。
按IP地址审计:按IP地址对某一台计算机的操作行为进行审计。
按时间段进行审计:在以上某一条件下,有针对性的审计一段时间内操作行为。
管理人员面对数量巨大的审计日志的时候,如果没有合理的报警,将对其管理工作带来巨大的困难。
CMC将提供基础的报警策略,并提供报警定义、修改、删除、存储/导入等管理功能,使系统在得到和报警规则相匹配的操作行为的时候,自动产生报警,并向管理人员发出提示。
1) 报警策略定义及管理
报警分为单一来源报警、组合报警和用户自定义报警:
单一来源报警:由日志分级方式产生,即系统每产生的一条日志都有个安全等级字段,安全等级在制定安全策略时指定。日志安全等级的目的是提高日志审计的效率,同时突出了报警的概念,如日志分为1~5 共5个安全等级,5 为最高等级,可定义安全等级>=3 的日志产生预警。
组合报警:对于不能由单一来源确定的恶意行为,这种报警可能需要依据多条日志进行分析才能产生。系统会提供组合报警模板供用户参考,其安全等级由用户根据实际情况自己确定。
用户自定义报警:对本系统没有规定的报警,用户可以根据实际情况就其所关心的日志设置安全级别产生报警。
报警策略的定义及其管理也采用策略模板的方式。
2) 报警处理
当有符合报警策略的违规事件发生时,代理会在涉密计算机上给出提示,同时会把该日志记录发送到CMC。
CMC会在计算机浏览管理视图上产生色彩鲜艳的警示性报警信号,管理人员可以查看报警详细信息,CMC会给出对该类报警信息的处理建议。
管理人员可以选择忽略该报警,或者在处理完该报警之后代理自动监测到无违规记录时,报警取消。
3) 报警查询和统计
对报警事件进行查询统计,管理方式同审计信息的查询和统计。
1) 日志过滤查询
管理人员能够方便地定制过滤查询本系统产生的所有日志,可以灵活地设置查询条件,包括:用户信息、日志等级、日志产生时间、日志内容等。支持组合查询、模糊匹配查询等技术。
2) 日志统计及报表输出
具备日志统计分析功能,能够展现一段时间内的日志趋势,安全管理员可以据此考虑调整相应的安全策略。
统计报表表现方式灵活,除了最基本的列表方式之外,还应该具备图形表现功能,包括饼图、柱状图以及曲线图等。
统计报表可以采用打印、存储、导出等方式输出。
