吳玉明　王海洋

摘 要：主機(jī)監(jiān)控與審計(jì)系統(tǒng)作為一種常用且主要的內(nèi)網(wǎng)安全管理系統(tǒng)對(duì)很多單位和部門的信息安全起到了至關(guān)重要的作用。通過(guò)對(duì)現(xiàn)有主機(jī)監(jiān)控與審計(jì)系統(tǒng)的功能進(jìn)行分析和梳理，指出當(dāng)前主機(jī)審計(jì)系統(tǒng)普遍存在的問(wèn)題和缺陷。結(jié)合主機(jī)監(jiān)控與審計(jì)系統(tǒng)既有標(biāo)準(zhǔn)和新的技術(shù)發(fā)展趨勢(shì)，從技術(shù)、架構(gòu)、用戶體驗(yàn)等多維度多角度展望主機(jī)監(jiān)控與審計(jì)系統(tǒng)的發(fā)展方向，其中包括：平臺(tái)化、跨平臺(tái)、網(wǎng)絡(luò)化、智能化、虛擬化和標(biāo)準(zhǔn)化。

關(guān)鍵詞：主機(jī)監(jiān)控與審計(jì) 平臺(tái)化 智能化 虛擬化

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2015）10（c）-0016-02

Abstract：Host computer monitoring and auditing system， as an intranet security management system， it plays an important role of the computer information security in some units and departments.We point out the shortcomings of this system by analyzing the functions of the current host computer auditing system.Combining existing standards of host computer auditing system and the new trend of IT technology，we look ahead the direction of future host computer monitoring and auditing system from different aspects and angles.Such as platformization，cross-platform compatibility，networking，intelligentialize，virtualization， standardizing.

Key Words：Host computer monitoring and auditing system； Platformization； Intelligentialize； Virtualization

隨著計(jì)算機(jī)信息技術(shù)不斷發(fā)展和普及，計(jì)算機(jī)及網(wǎng)絡(luò)已成為人們?nèi)粘Ｉa(chǎn)、生活所必須的重要組成部分，然而在享受著計(jì)算機(jī)和網(wǎng)絡(luò)帶給人們方便、快捷的同時(shí)，信息安全問(wèn)題隨之顯現(xiàn)并日益突出。目前，從國(guó)家到企業(yè)到個(gè)人對(duì)信息安全重要性的認(rèn)識(shí)都有了很大的提升，在此背景下，主機(jī)監(jiān)控與審計(jì)系統(tǒng)開始快速發(fā)展并得到廣泛應(yīng)用。但目前市場(chǎng)上主流的主機(jī)監(jiān)控與審計(jì)系統(tǒng)基本上還屬于傳統(tǒng)模式。而新的軟、硬件技術(shù)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展以及用戶需求的不斷提升，促使主機(jī)監(jiān)控與審計(jì)系統(tǒng)也要趕上時(shí)代的步伐。對(duì)于未來(lái)主機(jī)監(jiān)控與審計(jì)系統(tǒng)的發(fā)展方向，該文從技術(shù)和架構(gòu)的六個(gè)不同方面進(jìn)行簡(jiǎn)要的分析和闡述。

1 主機(jī)監(jiān)控與審計(jì)系統(tǒng)的六個(gè)發(fā)展方向

1.1 系統(tǒng)平臺(tái)化

現(xiàn)有的主機(jī)監(jiān)控與審計(jì)系統(tǒng)所監(jiān)控內(nèi)容相對(duì)局限，擴(kuò)展性較差，系統(tǒng)無(wú)法快速適應(yīng)新的軟、硬件的變化。當(dāng)有新需求時(shí)很難在既有系統(tǒng)上無(wú)縫添加新功能，即便可以添加，也可能由于不同功能的兼容性問(wèn)題形成繁多的系統(tǒng)版本分支，大大提高了系統(tǒng)維護(hù)難度。

為解決上述問(wèn)題，就需要把系統(tǒng)抽象為平臺(tái)，把主機(jī)審計(jì)系統(tǒng)變?yōu)榛A(chǔ)安全管理平臺(tái)。將各種與安全和管理相關(guān)的功能都作為不同的業(yè)務(wù)模塊集成于該平臺(tái)之上。作為一個(gè)綜合的安全業(yè)務(wù)承載平臺(tái)，應(yīng)實(shí)現(xiàn)多種業(yè)務(wù)模塊的在線熱插拔。當(dāng)需要添加或修改某些業(yè)務(wù)模塊時(shí)，在安全許可的前提下隨時(shí)可將某些業(yè)務(wù)模塊插入或拔除，從而提高系統(tǒng)的穩(wěn)定性和可擴(kuò)展性，并減少系統(tǒng)維護(hù)的工作量。

1.2 受控主機(jī)端跨平臺(tái)

傳統(tǒng)的桌面操作系統(tǒng)市場(chǎng)份額幾乎被Windows獨(dú)攬，而手機(jī)、平板等移動(dòng)智能設(shè)備的出現(xiàn)和快速發(fā)展打破了Windows一方獨(dú)霸的格局。操作系統(tǒng)的種類和份額在發(fā)生著重大變化，而且隨著嵌入式技術(shù)的普及和國(guó)家對(duì)操作系統(tǒng)安全的重視，Linux也逐漸得到發(fā)展。因此實(shí)現(xiàn)統(tǒng)一的、跨不同操作系統(tǒng)的綜合監(jiān)控審計(jì)平臺(tái)至關(guān)重要。

受控主機(jī)端應(yīng)支持常用操作系統(tǒng)，包括windows系列，如：Windows7、Windows8、windows Server 2008等；Linux系列，如：CentOS、Ubuntu、Debian等；UNIX系列，如：Mac OS、solaris、AIX等；支持手機(jī)操作系統(tǒng)，如：android和iOS等。

1.3 系統(tǒng)網(wǎng)絡(luò)化

原有的主機(jī)監(jiān)控與審計(jì)系統(tǒng)基本上都是以獨(dú)立的受控主機(jī)為主要的被監(jiān)控對(duì)象。但是近年來(lái)隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展與進(jìn)步，尤其是無(wú)線網(wǎng)絡(luò)的快速發(fā)展，使得很多智能設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)互連成為可能，在同一網(wǎng)絡(luò)內(nèi)各種智能設(shè)備共享系統(tǒng)網(wǎng)絡(luò)資源。為了保證網(wǎng)絡(luò)的整體安全性，不僅需要加強(qiáng)對(duì)網(wǎng)絡(luò)自身的監(jiān)控，同時(shí)也需要將連入網(wǎng)絡(luò)中的各種智能設(shè)備逐步納入到被監(jiān)控范圍內(nèi)。

系統(tǒng)應(yīng)支持多種不同的網(wǎng)絡(luò)類型，包括：內(nèi)網(wǎng)、專網(wǎng)、公網(wǎng)、移動(dòng)網(wǎng)絡(luò)等。監(jiān)控的智能設(shè)備不僅包括PC、服務(wù)器等傳統(tǒng)的計(jì)算機(jī)設(shè)備，還應(yīng)支持更多的網(wǎng)絡(luò)設(shè)備以及終端設(shè)備，如：交換機(jī)、路由器、防火墻、ISCSI、IPSAN、NAS、網(wǎng)絡(luò)打印機(jī)、網(wǎng)絡(luò)傳真機(jī)、平板電腦、手機(jī)等。

支持RFID，提供資產(chǎn)管理、臺(tái)賬等輔助功能。

支持UTM，支持與UTM設(shè)備的深度結(jié)合。把主機(jī)監(jiān)控與網(wǎng)絡(luò)監(jiān)控形成一個(gè)整體，支持對(duì)UTM設(shè)置策略，收集并審計(jì)UTM上報(bào)的日志信息。

把所有可能連入網(wǎng)絡(luò)的設(shè)備都集中監(jiān)控起來(lái)，在有效網(wǎng)絡(luò)邊界內(nèi)形成對(duì)各種固定或移動(dòng)終端的綜合安全監(jiān)控防護(hù)體系，提高系統(tǒng)監(jiān)控范圍的完備性。

1.4 分析智能化

現(xiàn)有主機(jī)監(jiān)控與審計(jì)系統(tǒng)中兩個(gè)重要的功能就是日志審計(jì)和下發(fā)策略，但目前的日志審計(jì)和下發(fā)策略基本上都是由三員中的安全保密管理員進(jìn)行人工操作的。由于技術(shù)所限，人工審計(jì)和人工下發(fā)策略在現(xiàn)有條件下確實(shí)有其長(zhǎng)期存在的必要性，但從長(zhǎng)遠(yuǎn)發(fā)展趨勢(shì)來(lái)看，自動(dòng)或半自動(dòng)審計(jì)必將成為審計(jì)和策略下發(fā)的一種常用輔助手段。

后臺(tái)的中心服務(wù)應(yīng)提供專家系統(tǒng)，通過(guò)知識(shí)庫(kù)、推理機(jī)、人工神經(jīng)網(wǎng)絡(luò)、模式識(shí)別等一系列技術(shù)對(duì)日志及策略進(jìn)行不斷的分類、整理、學(xué)習(xí)和鍛煉，從而實(shí)現(xiàn)自動(dòng)審計(jì)、自動(dòng)統(tǒng)計(jì)、自動(dòng)策略優(yōu)化等高級(jí)別自動(dòng)化功能，提供技術(shù)建議，提供事前預(yù)警機(jī)制和事后分析追溯機(jī)制。進(jìn)而減少人工參與度，提高系統(tǒng)的可用性和易用性。

1.5 系統(tǒng)虛擬化

隨著IDC和云的發(fā)展，虛擬化隨之蓬勃發(fā)展。虛擬化的發(fā)展徹底顛覆了人們對(duì)傳統(tǒng)主機(jī)概念的理解，很多國(guó)際大型虛擬化廠商均推出了以資源池為基礎(chǔ)的虛擬化方案，在此之上建立云或智能IDC。該方案中所有物理主機(jī)的資源被整合為一個(gè)大的資源池，用戶可以根據(jù)具體的需求生成特有的虛擬主機(jī)，各種業(yè)務(wù)運(yùn)行于這些虛擬主機(jī)之上。

虛擬化很好的解決了負(fù)載均衡、容災(zāi)備份、資源動(dòng)態(tài)分配等物理主機(jī)較難解決的問(wèn)題，但硬件軟件化也可能會(huì)產(chǎn)生出很多安全風(fēng)險(xiǎn)和隱患。因此需要主機(jī)審計(jì)系統(tǒng)與虛擬化系統(tǒng)在底層建立更加緊密的聯(lián)系，促成主機(jī)審計(jì)系統(tǒng)與虛擬化系統(tǒng)的深度結(jié)合，更好的保證虛擬主機(jī)的信息安全。

1.6 日志標(biāo)準(zhǔn)化

該系統(tǒng)應(yīng)支持以SYSLOG服務(wù)器為代表的標(biāo)準(zhǔn)化日志服務(wù)器系統(tǒng)，可以把各種日志信息轉(zhuǎn)換為SYSLOG日志，并上傳SYSLOG服務(wù)器，從而實(shí)現(xiàn)日志標(biāo)準(zhǔn)化。這方面目前很多主機(jī)監(jiān)控與審計(jì)系統(tǒng)已實(shí)現(xiàn)。

2 結(jié)語(yǔ)

綜上所述，未來(lái)的主機(jī)監(jiān)控與審計(jì)系統(tǒng)必定會(huì)隨著各種信息技術(shù)的發(fā)展而快速發(fā)展，為了更好的保護(hù)系統(tǒng)安全，平臺(tái)化、跨平臺(tái)、網(wǎng)絡(luò)化、智能化、虛擬化和標(biāo)準(zhǔn)化等都可能成為未來(lái)主機(jī)監(jiān)控與審計(jì)系統(tǒng)發(fā)展的方向。

參考文獻(xiàn)

[1] 袁萌.內(nèi)網(wǎng)主機(jī)監(jiān)控與審計(jì)系統(tǒng)解決方案[J].計(jì)算機(jī)安全，2008（12）：44-45.

[2] 程云鵬.涉密信息系統(tǒng)中的應(yīng)用服務(wù)安全防護(hù)解決方案[J].信息安全與通信保密，2011，9（8）：26-28.

[3] 劉海寶，蔡皖東，許俊杰，等.分布式網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].微電子學(xué)與計(jì)算機(jī)，2006，23（3）：76-79.

[4] 蔡家楣，蔡其星，江頡.基于遺傳神經(jīng)網(wǎng)絡(luò)分析的內(nèi)網(wǎng)用戶行為審計(jì)系統(tǒng)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2009，18（2）：5-8.