對于涉密內網來說，最重要的資產是涉密數據，因此，如何保護這些重要資產不被非授權拷貝出網、不被拷貝進網的病毒或惡意代碼所破壞，就成為一個非常重要的問題，國家保密標準中對于涉密網內數據的進出控制也進行了相應的要求。

一、系統概述

    主機監控系統是綜合利用密碼、訪問控制和審計跟蹤等技術手段，對涉密信息、重要業務數據和技術專利等敏感信息的存儲、傳播和處理過程實施安全保護的軟件系統，能最大限度地防止敏感信息的泄漏、被破壞和違規外傳，并完整記錄涉及敏感信息的操作日志以便事后審計和追究泄密責任。目前，個人計算機系統成為組成企業、單位網絡的主體，也是絕大多數泄密事件發生的源頭。針對這一現狀，主機監控系統將保護對象定位于個人計算機系統，主要功能是防止個人桌面系統的信息泄漏，同時對個人桌面系統的軟硬件資源實施安全管理，并對個人桌面系統的工作狀況進行監控和審計。

二、主機監控與審計系統的要求

    目前各軟件企業推出的主機監控與審計系統一般都由三部分組成：客戶端、服務器端和管理端。客戶端，即安裝在計算機上的代理軟件，用來收集主機數據信息，并接收從服務器端下發，由管理員配置的安全策略和指令，其最終目的是對主機行為進行監控，當有非法行為發生時，客戶端可以中斷非法行為，保護主機和各種軟、硬件資源及機密信息的安全。同時，還能夠產生相應的報警日志，方便管理者進行追查、處理。服務器端，一般安裝在內網中一個具有較高性能的平臺上，用于接收受控主機客戶端發送的各類信息，進行存儲、管理。管理端，通常是一個Web服務或者其他應用程序，經過用戶登錄后，管理者能夠進入對應的管理界面，配置和下發適當的安全策略，查詢和分析客戶端日志，以及統計和管理各種主機資產信息。

三、解決措施

    （一）非正常啟動系統的防護

    本文所闡述的問題均是假定采取了相關的安全產品后的遺留風險，下面給出的解決方法也是基于該假設前提。無論是從光盤啟動還是從USB啟動，必須先調整設備的啟動順序，因此可以控制BIOS的修改權限來防止用戶繞過硬盤啟動。具體的做法如下：

    首先，從管理上進行統一管理，BIOS的密碼由管理員統一管理，有需要的時候由管理員進行權限開放。其次，規定機箱不得隨意打開，必須有相關管理人員在場或同意后打開，這樣能夠防止對CMOS放電而開啟BIOS的控制權限。最后，對主板電池的使用時間做預估，如果主機還繼續使用，確保在其主板電池失效前更換。

    （二）與其他機器直連的防護

    Windows主機與其他機器采用交叉線直接連接的問題，目前單從技術上還沒有很好的解決方案，原因是聯網的計算機本身需要使用網卡，所以不能從底層將網卡禁用。目前有些監控產品通過監控網線的拔插進行控制，即探測到網線被拔掉后即觸發關機指令，但這也只是針對系統啟動后對網卡的監控，沒有從根本上解決該問題。若主機監控產品提供了網卡的審計功能，與其他機器的直連操作是能夠被審計到的。因此在管理上應充分利用安全產品的審計功能，嚴格控制非工作需要的筆記本計算機帶入工作區，同時教育員工增強保密意識。

    （三）基于數字信封的文件輸入輸出控制系統

    文件正常的進出網絡也是客觀的需求，因此為了保證數據的安全進出，又滿足正常的工作需要，需要建立一套文件輸入輸出控制系統。數字信封是數字證書的一個基本應用，其功效類似于普通信封，其采用密碼技術保證只有規定的接收人才能閱讀“信件”內容。客戶端A將欲拷出的文件生成數字信封后上傳到文件服務器，在文件服務器上加入了審批工作流，只有經過審批后才能將文件從服務器上拷出。正如本文前言所述我們重點保護的是敏感信息不被非授權拷貝出網，因此對于拷入網絡的數據不需要經過審批流程，文件輸出的流程如下：

    （1）客戶端A生成對稱密鑰；（2）客戶端A使用堆成密鑰對需要發送的信息進行加密，得到密文；（3）客戶端A使用自己的數字證書中的公鑰加密對稱密鑰，得到數字信封；（4）客戶端A將密文和數字信封上傳至文件服務器；（5）然后經過審批流程后，客戶端A在文件進出終端使用自己的私鑰拆解數字信封，得到對稱密鑰；（6）客戶端A使用對稱密鑰解密密文，得到明文。

    上述系統的部署模式是每個單位或部門僅提供一臺機器作為文件輸入輸出終端，該機器可以正常使用存儲介質，其他網上的機器均禁用所有存儲介質。本系統的優點是文件在整個傳輸過程中是密文的，只有擁有私鑰的上傳者才可以解開密文，并且不經過審批流程，無法從文件服務器上下載該文件。

四、總結

    本文提出的一種新的主機監控系統，綜合利用密碼、訪問控制和審計跟蹤等技術手段，對涉密信息、重要業務數據和技術專利等敏感信息的存儲、傳播和處理過程實施安全保護，最大限度地防止敏感信息的泄漏、被破壞和違規外傳，并完整記錄涉及敏感信息的操作日志以便事后審計和追究泄密者的責任，大大提高了網絡系統的內部安全。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：涉密企業主機審計與監控的方案

本文網址：http://www.guhuozai8.cn/html/consultation/1083952635.html