1) 分级管理
光盘刻录监控与审计系统支持对管理员分级管理,实现不同管理员管理不同内容,可进行授权、管理和审计等多种角色划分,用户分为超级用户、普通用户和审计用户。
超级用户:开设并分配用户及权限。设定权限时根据工作需要,规定该用户所能操作的策略、管理的区域及查看的信息。设定权限时还可以根据工作需要设定用户为只读(只能看数据,不能改数据)、读写权限用户。
普通用户:根据超级用户设定的权限进行日常工作的维护与管理。
审计用户:提供对系统管理用户的操作行为记录,记录管理员操作执行的策略详细内容。
2) 通信保护
光盘刻录监控与审计系统的组件间通信时,数据传输是经过加密的。
服务器端使用TCP协议80、88端口,终端使用TCP协议22105端口,同时终端数据上报和服务器端指令、策略下发采用加密算法,防止他人旁路嗅探信息。
终端和服务器端相互通信使用双向认证机制,防止已安装同类终端的非本网络计算机非法进入网络,同时也防止模拟的假终端和服务器进行通信。
3) 终端保护机制
光盘刻录监控与审计系统的终端系统具备极强的自我保护功能,在正常模式和安全模式下均提供终端安全代理自身防护功能。并可防止用户停止代理进程、破坏代理运行目录和相关文件、停止代理相关服务。如需要,终端安全代理的程序和进程可做到用户不可见。
若网管要求强制卸载客端时,系统对终端安全代理提供特定的卸载程序,用户只能通过运行卸载程序停用/删除终端安全代理或通过管理平台远程卸载。
4) 系统日志
光盘刻录监控与审计系统提供局域网终端光盘刻录监控审计和操作审计机制,保证系统的稳定运行。
用户登录日志:详细记录登录用户登录时间、IP地址、登录用户名称等,以备进行事后审计。
策略操作日志:针对管理员对系统策略的修改、增删等各种操作进行详细记录。
5) 系统安全性设计
保证管理系统服务器端使用的安全性,保证其受到恶意修改IP地址的方式攻击时的仍可正常工作,保证其在遭受DDOS攻击时仍可正常工作。管理系统终端不会被用户手动卸载或意外停止,仅能通过特殊工具卸载。要求终端出现异常(如停止工作)时管理端可自动获知情况并可进行相应的处理。
6) 服务器安全设计
服务器系统具备保护服务器的终端数据包过滤功能。网络中出现恶意修改成与管理服务器相同信息(如相同的IP地址、相同的MAC地址等)的机器时,出现IP地址或MAC地址冲突等现象时,管理服务器将不会被阻断出网(即不会出现地址冲突的现象),只有发起恶意攻击的设备会被自动阻断,不会影响管理服务器的正常管理。
主机监控审计系统应用于局域网、广域网构架,支持跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等。
系统应用主要分为以下两种构架:
基本构架:对于一般网络(例如1个C类地址或若干个C类地址的局域网范围),可使用一套本系统软件,通过一个管理器集中管理所属区域内的所有设备。
扩展构架:对于大规模的多个局域网或者跨地域广域网(包括基于国家、省、市、县等多级管理模式的网络结构),可使用本系统提供的多区域集中管理构架,即一个或多个网段各拥有一套独立终端安全管理的同时,将本级所有设备信息再转发给上级管理数据库,使得上一级管理人员对整个网络的设备状况也能够完全掌握。