主机事件审计系统开发方案
通软主机事件审计系统
1.产品概述
通软主机事件审计系统,能够对主机产生的安全事件进行监控和审计,包括终端网络连接事件、软硬件配置变更事件、外围设备使用事件、文件使用事件等四类管理功能,实现对主机安全事件行为的全方位审计管理,保障主机及网络环境的安全可控。并且能根据用户的违规记录生成统计报表,对违规事件进行统计分析和关联危害分析,让管理者随时明确当前网内终端的状态,实现管理效果透明化。
2.功能介绍
|
功 能 |
功能简介 |
|
主机信息管理 |
能够展示终端设备的基本信息,包括在线状态、使用人及IP地址等,并可对终端的相关信息进行修改,包括部门、责任人等信息。能够采集和展示终端的基础信息,系统资源信息、软硬件信息、帐户信息、操作系统日志、磁盘挂载、共享文件、浏览器信息、进程清单、网络流量信息、网络端口信息等等。 |
|
网络连接审计 |
通过网络连接审计功能,能够审计终端的网络连接行为,并且支持通过IP、端口、协议和数据流向对终端网络连接行为进行筛选,对使用指定IP或端口连接的行为进行管理,并对阻止违规连接,防止用户的违规网络连接增加网内安全风险。 |
|
HTTP审计 |
提供HTTP审计功能,能够对用户访问的URL进行限制,防止用户访问违规网站,支持黑白名单配置,可禁止访问黑名单中的URL,审计白名单之外的所有URL。 |
|
软件变更审计 |
能够审计终端的软件应用变化,当终端的软件应用发生变化时,将会发出告警,防止用户私自安装或卸载指定软件,造成软件资源流失和重要软件卸载而产生的安全风险。 |
|
硬件变更审计 |
能够审计终端的硬件资产变化,当终端发生硬件资产变化时,能对终端硬件资产变化情况进行审计,并记录日志,为用户私自更换硬件资产的追溯提供依据,从而有效的避免硬件资产的流失。 |
|
移动设备审计 |
提供移动设备审计功能,能够审计对终端移动设备的插拔和移动设备上的文件执行操作,并记录日志,防止用户非法操作移动设备上的文件导致信息泄密的情况发生。 |
|
打印审计 |
提供打印审计功能,能够审计终端打印文件的行为,可记录是哪台计算机打印过哪些文件,防止用户非法打印导致文件泄密而无法追溯的情况发生。 |
|
刻录审计 |
能够审计用户的刻录行为,并记录日志,防止用户非法刻录导致文件泄密,保证泄密事件发生后的可追溯性。 |
|
文件监测 |
能够严格监测文档的流向,记录用户对文档的操作行为,并在用户违规操作文件时发出告警,在发生泄密事件后,可通过审计日志追溯泄密源。 |
|
文件校验 |
能够审计文件的MD5值,从而判断文件是否有修改。 |
|
共享审计 |
终端用户共享文件时,能够审计用户的共享行为,因用户共享文件导致文件泄密后,提供泄密追溯的依据。 |
|
syslog策略 |
提供Syslog服务器配置功能,可将平台告警记录、审计日志数据同步到Syslog服务器中。 |
|
外围设备监控 |
能够监控终端的外围设备使用情况,当终端发生违规行为时,可禁止终端使用外围设备,如USB设备/串口设备等,同时,可发出告警。 |
3.应用场景
适用于党政、财政、银行、民航等行业在信创建设过程中,有明确主机事件审计标准要求的用户。
(1)全方位监控主机发生的安全事件,包括文件使用安全、网络连接安全、操作系统日志备份、软硬件资源变更审计等安全策略。
(2)出现安全事件后,依据详细的审计记录,为事后追查定责提供证据。
(3)提供多样、全面的数据统计分析、关联分析、潜在风险分析。
4.独特优势
(1)完整的安全审计策略:涵盖了针对文件、系统、行为等多方面的管理策略。
(2)策略配置灵活:支持自定义策略,能够对各类管理功能灵活组合;支持默认策略,能够对主机提供基础管理,防止出现管理盲区。
(3)提供多样、全面的数据统计分析、关联分析、潜在风险分析。
(4)建立可视化管理平台,对网络静态配置、动态资源运行情况心中有数,彻底消除黑箱现象。
(5)从外联、外设等多方面做好安全保障,保障用户办公网成为真正封闭的安全内网。
