用于向被监控计算机I下发权限指令,并接收被监控计算机21上传的日志及警报。
[0051]图6为根据本实用新型实施例的基于服务器架构的主机监控与审计系统的工作原理图。
[0052]以被监控计算机A、B和C为例,如图2所示,假定在被监控计算机A、B和C中,被监控计算机A和B能够通过认证,被监控计算机C是非法接入的计算机。当计算机A?C启动时,分别经由交换机2向认证服务器3发送认证请求。由于计算机A和B能够通过认证,因此认证服务器3向交换机2发送“被监控计算机A和B认证成功”的认证结果,使交换机2打开分别连接计算A和B的受控端口。而由于被监控计算机C是非法接入的计算机,因此认证服务器3向交换机2发送“被监控计算机C认证失败”的认证结果,使交换机2的与被监控计算机C连接的受控端口处于断开状态,从而拒绝被监控计算机C入网。对于已成功通过认证请求的管理中心3计算机A和B,通过管理中心6发送管理指令来进行管理。管理中心控制台61负责已通过认证的计算机的安全策略规划和权限分配,监控与审计服务器62通过与已通过认证的计算机通信下发关于计算机权限的指令。
[0053]根据本实用新型实施例的基于服务器架构的主机监控与审计系统,通过设置交换机作为中转设备,认证服务器、网络监控服务器、漏洞扫描服务器与交换机相连,将被监控计算机的相关信息通过交换机传输至管理中心,拓扑结构简单,可以实现对被监控计算机的认证和监控。
[0054]本实用新型采用C/S架构,使用中间层驱动、驱动拦截、线程注入等技术手段对内网可信计算机的数据输入/输出接口、设备和计算机用户对系统操作、文件操作、外接设备操作等行为进行实时监控和监测,并提供详尽的审计日志,防止通过认证的被监控计算机的数据泄漏。对通过认证的被监控计算机随意使用的外设进行监控和审查,防止计算机非法外联的行为,加强了被监控计算机的安全管理和涉密数据泄漏的发生,为安全管理者和安全技术人员,智能化、综合化、高效运维地、长期稳定地同时监控与审计大量计算机的系统。
[0055]本实用新型具有以下有益效果:
[0056](I)由于利用了服务器架构,其可以高效地、全面地、同时地、实时监控与审计大量计算机,避免监控过程中出现监控设备运行负担过大而导致的监控中断。
[0057](2)可以对被监控计算机的数据输入/输出接口、设备和计算机用户对系统操作、文件操作、外接设备操作等行为进行实时监控和监测,并提供详尽的审计日志,防止被监控计算机的数据信息泄露。
[0058](3)可以保证只有经过主管部门认证的被监控计算机,才可以顺利通过基于交换机端口的访问控制认证,才可以自由的应用计算机网络及其中的资源,防止外来计算机随意接入等违规行为。
[0059](4)通过管理中心发送管理指令管理终端计算机,防止被监控计算机的非法外联行为。
[0060](5)通过网络监控服务器和漏洞扫描服务器对网络安全进行实时检测,将网络安全检测与监控审计有机的结合在一起,进而避免了现有安全产品不断发生安全事故的问题,还可减少用户的重复投资。
[0061]在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本实用新型的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
[0062]尽管上面已经示出和描述了本实用新型的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本实用新型的限制,本领域的普通技术人员在不脱离本实用新型的原理和宗旨的情况下在本实用新型的范围内可以对上述实施例进行变化、修改、替换和变型。本实用新型的范围由所附权利要求极其等同限定。
【主权项】
1.一种基于服务器架构的主机监控与审计系统,其特征在于,包括: 多台被监控计算机,其中,每台所述被监控计算机内安装有中央处理器CPU和与所述中央处理器CPU相连的主机监控客户端; 交换机,所述交换机与每台所述被监控计算机相连以接收所述被监控计算机的认证请求; 认证服务器,所述认证服务器与所述交换机相连以对所述认证请求进行认证或识别;用于对所述被监控计算机进行实时网络监控的网络监控服务器,所述网络监控服务器与所述交换机相连以将监控数据发送至所述交换机; 用于对所述被监控计算机进行漏洞扫描的漏洞扫描服务器,所述漏洞扫描服务器与所述交换机相连以将漏洞扫描数据发送至所述交换机; 用于对所述被监控计算机进行监控和管理的管理中心,所述管理中心与所述交换机相连,所述管理中心包括:用于对通过认证的被监控计算机进行安全策略规划和权限分配的管理中心控制台,以及用于向所述被监控计算机下发权限指令和接收日志和警报的监控与审计服务器。
2.如权利要求1所述的基于服务器架构的主机监控与审计系统,其特征在于,所述交换机包括:交换芯片和端口控制模块,所述端口控制模块与所述交换芯片相连,其中,所述交换芯片包括: 多个受控端口,每个所述受控端口与每台所述被监控计算机--对应连接; 第一至第五端口,所述第一端口与所述认证服务器相连,所述第二端口与所述网络监控服务器相连,所述第三端口与所述漏洞扫描服务器相连,所述第四端口与所述管理中心控制平台相连;所述第五端口与所述监控与审计服务器相连; 数据流交换单元,与每个所述受控端口相连; 认证信息传送单元,与第一至第五端口相连。
3.如权利要求1所述的基于服务器架构的主机监控与审计系统,其特征在于,每台所述被监控计算机还包括USB密钥认证装置。
4.如权利要求1所述的基于服务器架构的主机监控与审计系统,其特征在于,所述网络监控服务器包括: 分组捕捉器; 网络协议解码器,所述网络协议解码的输入端连接至所述分组捕捉器的输出端; 信息处理分中心,所述信息处理分中心的输入端连接至所述网络协议解码器的输出端; 入侵检测模块,所述入侵检测模块的输入端连接至所述网络协议解码器的输出端,且所述入侵检测模块与入侵模式库双向通信; 敏感内容监控模块,所述敏感内容监控模块的输入端连接至所述网络协议解码器的输出端,且所述敏感内容监控模块与敏感信息库双向通信; 预警模块,所述预警模块的输入端连接至所述入侵检测模块的输出端和所述敏感内容监控模块的输出端。
5.如权利要求1所述的基于服务器架构的主机监控与审计系统,其特征在于,所述漏洞扫描服务器包括:扫描器、扫描策略模块和系统漏洞库,其中,所述扫描器的输入端与所述扫描策略模块的输出端相连,所述扫描器的输出端与所述系统漏洞库的输入端相连。
6.如权利要求1所述的基于服务器架构的主机监控与审计系统,其特征在于,所述管理中心控制台包括:主机防护模块、策略模式库、告警模块和应急响应模块,其中,所述主机防护模块分别与所述策略模式库、告警模块和应急响应模块相连。
7.如权利要求1所述的基于服务器架构的主机监控与审计系统,其特征在于,所述主机监控客户端包括:与所述中央处理器CPU相连的指令管理模块、外联检查模块、网卡禁用模块、日志生成模块和警报发送模块。
【专利摘要】本实用新型提出了一种基于服务器架构的主机监控与审计系统,包括:多台被监控计算机;交换机与每台被监控计算机相连;认证服务器、网络监控服务器、漏洞扫描服务器和管理中心与交换机相连;管理中心包括:用于对通过认证的被监控计算机进行安全策略规划和权限分配的管理中心控制台,用于向被监控计算机下发权限指令和接收日志和警报的监控与审计服务器。本实用新型通过设置交换机作为中转设备,认证服务器、网络监控服务器、漏洞扫描服务器与交换机相连,将被监控计算机的相关信息通过交换机传输至管理中心,拓扑结构简单,可以实现对被监控计算机的认证和监控。
【IPC分类】H04L12-24, H04L29-06
【公开号】CN204465588
【申请号】CN201520188838
【发明人】罗远哲, 刘瑞景, 孟莹, 燕楠, 叶俊卫
【申请人】北京亿中景科技发展有限公司
【公开日】2015年7月8日
【申请日】2015年3月31日