于明達，田彥明

(沈陽發(fā)動機設(shè)計研究所 信息技術(shù)中心，沈陽 110015)

基于WMI的計算機安全監(jiān)測

于明達，田彥明

(沈陽發(fā)動機設(shè)計研究所 信息技術(shù)中心，沈陽 110015)

為加強企業(yè)信息安全管理，對涉密計算機的安全性監(jiān)控管理進行了具體的研究。根據(jù)某軍工單位保密檢查的要求，提出了采用WMI技術(shù)對計算機進行檢查的方法，實現(xiàn)對違規(guī)計算機的快速定位和及時修復(fù)?；谠摲椒ㄔO(shè)計并開發(fā)了一套能夠檢查系統(tǒng)運行、安全策略以及漏洞的計算機安全監(jiān)測系統(tǒng)，不僅有效地提高了計算機安全檢查的效率及監(jiān)控能力，同時對用戶操作行為進行了規(guī)范化和制度化，有效地避免了數(shù)據(jù)信息泄露的問題。

信息安全；WMI；安全監(jiān)測；.Net

隨著計算機網(wǎng)絡(luò)信息化建設(shè)的不斷推進與深入發(fā)展，許多企業(yè)都存在業(yè)務(wù)操作越來越復(fù)雜以及信息數(shù)據(jù)日益龐大的現(xiàn)象，帶來了大量的網(wǎng)絡(luò)安全隱患問題，使得企業(yè)對應(yīng)用系統(tǒng)和數(shù)據(jù)信息的維護、監(jiān)控等要求也越來越高。尤其對于軍工單位，隨著信息的安全性及保密性意識的不斷提高，如何對網(wǎng)絡(luò)中的各種計算機終端進行有效的安全管理，防止涉密數(shù)據(jù)外泄，進而保證計算機正常運行并實現(xiàn)數(shù)字化與網(wǎng)絡(luò)化已日益受到重視。

在傳統(tǒng)的計算機網(wǎng)絡(luò)安全管理中，許多研究都采用Windows API提供的接口來實現(xiàn)對計算機信息的管理和控制，進而維護整個網(wǎng)絡(luò)環(huán)境的安全性、完整性與實用性[1]。然而由于Windows API不具備開放性，往往需要程序開發(fā)者查閱大量的資料和不斷地測試才能制定出一套合理的檢測方案。WMI技術(shù)作為一種內(nèi)置在操作系統(tǒng)核心的管理支持技術(shù)，具有良好的開放性及可靠性，能夠彌補Windows API的缺陷[2]，因此目前許多研究[3-7]都采用WMI技術(shù)來實現(xiàn)對計算機網(wǎng)絡(luò)的集中監(jiān)控管理。如Wang和Peng等[8-9]對企業(yè)數(shù)據(jù)資源監(jiān)控問題采用WMI技術(shù)來實現(xiàn)對數(shù)據(jù)信息的監(jiān)控管理；閻偉等[10]和雷濤等[11]采用WMI等技術(shù)分別對應(yīng)用系統(tǒng)的運行狀態(tài)及服務(wù)器性能進行全面監(jiān)控；此外還有研究從防止數(shù)據(jù)泄露角度展開對計算機的安全管理，如Ismail等[12]和王志飛等[13]分別提出一種基于WMI的方法來對網(wǎng)絡(luò)環(huán)境中的移動存儲設(shè)備進行監(jiān)控。雖然上述研究都采用WMI技術(shù)對計算機進行監(jiān)控，但相關(guān)研究大都針對操作系統(tǒng)硬件和軟件的運行狀態(tài)來進行監(jiān)控，很少有研究在實際監(jiān)控中針對用戶對計算機的操作進行檢查。實際上，用戶對操作系統(tǒng)的不當(dāng)或非法操作行為往往會導(dǎo)致信息丟失或混亂等問題。

為此，針對軍工單位的計算機安全保護問題，本研究提出一種基于WMI技術(shù)的計算機安全檢查方法，通過對用戶操作行為及系統(tǒng)軟硬件運行狀態(tài)的檢查來實現(xiàn)對網(wǎng)絡(luò)終端的整體監(jiān)控?；谠摲椒ㄔO(shè)計的計算機安全監(jiān)測系統(tǒng)不僅能夠有效提高計算機安全檢查的效率及監(jiān)控能力，同時能在用戶操作行為上進行有效控制，可杜絕信息數(shù)據(jù)的丟失及泄露問題的發(fā)生，實現(xiàn)用戶對計算機操作的規(guī)范化及制度化。

1 WMI的結(jié)構(gòu)及實現(xiàn)操作

1.1 WMI體系結(jié)構(gòu)

WMI(Windows Management Instrumentation,Windows管理規(guī)范)是一項內(nèi)置在操作系統(tǒng)中核心的Windows管理支持技術(shù)，作為一種規(guī)范和基礎(chǔ)結(jié)構(gòu)，通過它可以訪問、配置、管理和監(jiān)視幾乎所有的Windows資源[2]。WMI的體系結(jié)構(gòu)主要分為托管資源、WMI基礎(chǔ)結(jié)構(gòu)和WMI使用者3部分[14]，如圖1所示。

(1)托管資源

托管資源是計算機中可以使用WMI進行管理的任意邏輯或物理組件[11]，如計算機系統(tǒng)、操作系統(tǒng)的子系統(tǒng)、性能計數(shù)器、網(wǎng)絡(luò)組件、磁盤、外圍設(shè)備以及事件日志等。WMI托管資源能夠通過一個程序接口實現(xiàn)與WMI的通訊。

(2)WMI基礎(chǔ)結(jié)構(gòu)

WMI基礎(chǔ)結(jié)構(gòu)主要針對公共信息模型(Common Information Model，CIM)提供各種服務(wù)，其中公共信息模型是一個用于存儲對象的對象數(shù)據(jù)庫，包括用于訪問和操作各種托管資源的靜態(tài)類的定義以及實例。WMI基礎(chǔ)結(jié)構(gòu)由CIM對象管理器、WMI腳本庫以及WMI提供程序三個組件構(gòu)成，這三個組件面向公共信息模型分別對應(yīng)了應(yīng)用層、接口層和服務(wù)層三個層次。

CIM對象管理器可以對CIM進行管理，利用從CIM中獲取的信息，將請求傳遞到相應(yīng)的WMI提供程序，同時向WMI基礎(chǔ)結(jié)構(gòu)提供注冊、請求傳送、遠程訪問、查詢處理以及事件處理等核心服務(wù)；WMI提供程序在托管資源和CIM對象管理器之間扮演中間方的角色，作為一個服務(wù)性的代理，它通過與需要托管的資源相應(yīng)的接口獲取數(shù)據(jù)信息，再將該信息對應(yīng)到CIM對象管理器中；而WMI腳本庫主要提供一種自動化對象集，通過自動化對象為WMI基礎(chǔ)結(jié)構(gòu)提供一個一致且統(tǒng)一的腳本模型，并將WMI基礎(chǔ)結(jié)構(gòu)與托管資源間交互的數(shù)據(jù)信息呈現(xiàn)給WMI使用者。

(3)WMI使用者

WMI使用者是一種管理應(yīng)用程序，主要通過應(yīng)用程序或WMI腳本對計算機系統(tǒng)進行管理和控制，具體的信息獲取過程被WMI隱藏起來，對WMI使用者來說是透明的。

圖1 WMI體系結(jié)構(gòu)圖

1.2 WMI實現(xiàn)的相關(guān)操作

WMI作為組件與Windows操作系統(tǒng)集成，為多種信息的獲取和管理提供了一系列標(biāo)準(zhǔn)[2]。WMI采用一種通用、標(biāo)準(zhǔn)且具有邏輯組織的方式將不同來源的數(shù)據(jù)進行映射，并且無需考慮這些數(shù)據(jù)的類型及內(nèi)容而對這些管理數(shù)據(jù)之間建立相互的聯(lián)系。通過WMI服務(wù)，不僅可檢索任何硬件和軟件的常見參數(shù)，還可以進行系統(tǒng)進程、服務(wù)、策略等一系列系統(tǒng)信息的檢索，以及實現(xiàn)腳本API、遠程管理以及事件處理等功能。

WMI的使用必須通過三個步驟[15]，即WMI的初始化、WMI命名空間的創(chuàng)建以及通過WQL(WMI Query Language，Windows管理規(guī)范查詢語言)進行查詢?nèi)齻€過程。WQL是WMI中的查詢語言，主要用來檢索某WMI類實例集合，它是標(biāo)準(zhǔn)SQL的一個子集上WMI的擴展，只能執(zhí)行查詢(SELECT)操作，不能進行更新和刪除操作。

2 基于WMI的計算機安全檢查流程

目前，對于計算機的安全管理主要是通過WMI技術(shù)實現(xiàn)對計算機硬件、軟件等運行狀態(tài)以及數(shù)據(jù)安全的監(jiān)控。本研究考慮到軍工單位業(yè)務(wù)流程操作以及數(shù)據(jù)信息的涉密性問題，提出從安全檢查的角度來實現(xiàn)對計算機的安全監(jiān)控管理，并采用WMI技術(shù)來實現(xiàn)該檢查的過程。

對于保密安全檢查，目前主要針對涉密計算機的安全策略和違規(guī)使用記錄問題，將安全監(jiān)測系統(tǒng)部署在計算機終端，然后通過域策略指令和光盤拷貝兩個方式進行檢測，進而實現(xiàn)計算機安全檢查過程。如圖2所示為計算機安全監(jiān)測系統(tǒng)的檢查流程。

從圖2可以看出，上述涉密計算機的安全檢查主要針對局域網(wǎng)計算機中的域策略指令，以及單機/互聯(lián)網(wǎng)計算機中的光盤拷貝操作進行檢查，并通過檢測判斷及檢測修復(fù)兩個過程來實現(xiàn)該檢查流程。

(1)檢測判斷

檢測判斷過程主要是針對域策略指令和光盤拷貝操作，通過一系列檢測方法來判斷計算機安全策略和違規(guī)使用情況。在檢測判斷過程中，首先根據(jù)保密要求來判斷檢測過程的對象。

圖2 計算機安全監(jiān)測系統(tǒng)檢查流程

針對局域網(wǎng)計算機，主要通過域操作指令進行檢查。在該部分檢查過程中，系統(tǒng)根據(jù)WMI、Windows API和軟件SDK等相關(guān)接口檢查操作系統(tǒng)的服務(wù)策略、系統(tǒng)信息、殺毒補丁等；而針對單機/互聯(lián)網(wǎng)計算機，則對光盤拷貝操作進行檢查，該部分主要通過WMI和注冊表接口對系統(tǒng)的進程、服務(wù)及軟件的運行狀態(tài)進行檢測判斷。

最后，根據(jù)上述檢查過程，判斷其檢查結(jié)果是否符合要求。根據(jù)計算機和人員的密級，將通過檢查要求的歸檔到符合要求的結(jié)果集中，而對于系統(tǒng)出現(xiàn)的安全策略問題和違規(guī)使用情況及時的匯總到數(shù)據(jù)庫中，并進一步進行檢測修復(fù)?；谠摲椒ǖ臋z測判斷過程通過對用戶操作的集中檢測和管理，進而有效實現(xiàn)了計算機的數(shù)字化監(jiān)控管理。

(2)檢測修復(fù)

檢測修復(fù)過程主要是修復(fù)計算機的安全策略和違規(guī)使用情況，即根據(jù)步驟(1)中的檢查結(jié)果，首先判斷該計算機檢測結(jié)果的類別，進而根據(jù)類別的不同進行不同的修復(fù)過程。

該過程主要分為兩種類別：對于計算機的非法操作行為，需要用戶提交白名單申請，然后檢查部門根據(jù)保密的要求對進程、服務(wù)以及軟件的白名單申請進行審批；而對于檢查結(jié)果存在安全隱患的情況，需要用戶對計算機進行安全修復(fù)，即主要對臺賬、注冊表、補丁和策略進行修復(fù)，直到計算機安全監(jiān)測系統(tǒng)檢查通過為止。通過集中式的監(jiān)控檢測以及分散式的檢測修復(fù)過程，使得計算機安全檢查過程更加數(shù)字化和智能化，更有利于加強對計算機的安全管理。

3 計算機安全監(jiān)測系統(tǒng)的設(shè)計與實現(xiàn)

3.1 系統(tǒng)結(jié)構(gòu)

根據(jù)上述所提出的計算機安全檢查過程，本研究以實現(xiàn)計算機安全監(jiān)測的網(wǎng)絡(luò)化、數(shù)字化為目標(biāo)，基于WMI服務(wù)設(shè)計一個計算機安全檢測系統(tǒng)，進而實現(xiàn)對計算機系統(tǒng)運行、安全策略、進程服務(wù)等信息的實時監(jiān)控。

該系統(tǒng)主要分為數(shù)據(jù)層、服務(wù)層、功能層和表示層四部分。如圖3所示，系統(tǒng)針對功能層中計算機的狀態(tài)以及用戶的操作行為，采用服務(wù)層提供的WMI服務(wù)對計算機的各個狀態(tài)進行檢測，然后將監(jiān)控的數(shù)據(jù)通過Web Service服務(wù)傳輸?shù)綌?shù)據(jù)庫中，最后根據(jù)保密的相關(guān)要求對監(jiān)控的信息進行處理分析，并通過Web將審計匯總展現(xiàn)出來。

3.2 系統(tǒng)功能模塊

本研究設(shè)計的計算機安全監(jiān)測系統(tǒng)主要分為系統(tǒng)運行監(jiān)控、安全策略監(jiān)控、進程服務(wù)監(jiān)控以及安全審計匯總四個功能模塊，如圖3中功能層所示。

(1)系統(tǒng)運行監(jiān)控

該模塊主要實時監(jiān)控系統(tǒng)的運行狀態(tài)，實現(xiàn)計算機系統(tǒng)及硬件的相關(guān)信息實時監(jiān)控，包括CPU使用百分比、內(nèi)存使用百分比、硬盤使用百分比等。系統(tǒng)自動將這些監(jiān)控信息上傳至數(shù)據(jù)庫服務(wù)器并將計算機終端狀態(tài)適時提醒用戶，實現(xiàn)系統(tǒng)監(jiān)控的實時化、集中化以及數(shù)字化管理。根據(jù)人員的密級和計算機的密級，界定用戶訪問涉密系統(tǒng)的權(quán)限并給與相應(yīng)的限制。

圖3 系統(tǒng)結(jié)構(gòu)圖

(2)安全策略監(jiān)控

安全策略的實時監(jiān)控，主要是檢查計算機安全策略并監(jiān)控用戶違規(guī)操作。針對安全策略存在漏洞的計算機及時給出提醒，并提供自動修復(fù)等功能；針對定期檢查的項目，如計算機補丁修復(fù)、殺毒軟件更新并查殺等，在到期之前給出提醒，督促用戶自行檢查；從分散式角度進行數(shù)字化管理，針對用戶的違規(guī)操作，及時定位違規(guī)計算機，分析問題后，對計算機進行安全保密整改。

(3)系統(tǒng)進程與服務(wù)監(jiān)控

該模塊在系統(tǒng)進程或服務(wù)在啟動或停止時，在服務(wù)器中記錄進程和服務(wù)的使用日志并將這些信息與白名單信息進行比對，針對未出現(xiàn)在白名單的進程和服務(wù)，向用戶發(fā)送提醒，并提交相關(guān)白名單申請。

(4)安全審計匯總

安全審計匯總模塊是對系統(tǒng)運行監(jiān)控、安全策略監(jiān)控、進程與服務(wù)監(jiān)控的日志內(nèi)容進行分析處理和歸類。當(dāng)管理人員發(fā)現(xiàn)日志異常時，便于對違規(guī)計算機的及時定位并修復(fù)。通過對計算機安全監(jiān)控信息的集中存儲及管理，有效提高了計算機安全監(jiān)測的網(wǎng)絡(luò)化、數(shù)字化及智能化，進而保證了計算機安全監(jiān)控的高效性。

3.3 系統(tǒng)實現(xiàn)

根據(jù)計算機檢查的流程，本研究利用WMI對對系統(tǒng)補丁、進程和服務(wù)、開機啟動項、安裝軟件和共享文件夾等條目運進行監(jiān)控。通過WMI服務(wù)提供的rootCIMV2命名空間，對監(jiān)控項目及相關(guān)查詢方法如表1所示。

在.NET平臺中，首先引入System.Management的命名空間，然后通過WMI提供的類操作以及WQL查詢語句的查詢進而得到相應(yīng)的檢查項信息。例如計算機安全監(jiān)測系統(tǒng)查詢軟件的安裝信息，輸入“Select * from Win32_Product”，WMI通過遞歸式搜索，展現(xiàn)“Win32_Product”中軟件名稱和版本等屬性信息。通過Web Service服務(wù)提供的軟件白名單列表，監(jiān)測系統(tǒng)逐條比對軟件的使用情況，確定計算機是否出現(xiàn)違規(guī)記錄，并將報警信息通過Web服務(wù)傳輸?shù)綌?shù)據(jù)庫中。如圖4所示為監(jiān)測系統(tǒng)在安全檢查過程中對白名單軟件的處理情況。

表1 監(jiān)控項目及先關(guān)查詢方法

圖4 計算機安全監(jiān)測系統(tǒng)中的白名單軟件

4 結(jié)論

軍工保密單位對信息安全的重視程度越來越高，實現(xiàn)對計算機終端的監(jiān)控與管理成為軍工單位信息化發(fā)展的必然要求。本文從網(wǎng)絡(luò)化、數(shù)字化角度提出了一種基于WMI服務(wù)進行計算機安全檢查的方法來實現(xiàn)對涉密計算機的監(jiān)控與管理，并設(shè)計開發(fā)一套監(jiān)測系統(tǒng)在實際中取得應(yīng)用。通過建立統(tǒng)一、規(guī)范、高效的計算機安全監(jiān)測系統(tǒng)，以計算機安全檢測軟件為載體在計算機終端運行，涵蓋了硬件檢測、系統(tǒng)補丁、安全策略、系統(tǒng)服務(wù)、進程管理和應(yīng)用軟件白名單等檢查常用功能，有效地提高了計算機相關(guān)信息搜集的實時性、準(zhǔn)確性，以及對計算機終端的防護能力。

[1]Chen Lei,Wei Jian,Li Yanbo,et al.Research of performance monitoring for spatial information system[C].International Conference on Future Information Technology and Management Engineering,2010:104-106.

[2]宋昕,盛晨,王新華.基于WMI的計算機管理技術(shù)的研究與實現(xiàn)[J].浙江科技學(xué)院學(xué)報，2007,19(1)：23-26.

[3]胡闊海.一種基于WMI技術(shù)的計算機自動化管理[J].信息科技，2012,7(14)：180-181.

[4]F Varela Rodriguez.Centralized monitoring of the microsoft windows-based computers of the LHC experiment control systems[J].Journal of Physics,2011,331(2):1-7.

[5]周美佳,王一鳴.基于開放網(wǎng)絡(luò)協(xié)議的監(jiān)控技術(shù)[J].上海船舶運輸科學(xué)研究所學(xué)報,2014,37(3):50-53.

[6]姜勁松，吳禮發(fā)，張萍.基于WMI的系統(tǒng)管理的設(shè)計與實現(xiàn)[J].計算機應(yīng)用,2004,24(3):16-17.

[7]郭建明,戴琳,周琳.服務(wù)器文件監(jiān)控系統(tǒng)的開發(fā)與應(yīng)用[J].西北水電，2011(5):99-102.

[8]Wang Yao,Yu Yongquan.WMIC in the remote monitoring system[C].International Conference on Multimedia Technology(ICMT),Ningbo,2010:1-4.

[9]Peng Hui,Wang Yao.WMIC realize enterprise remote information management[C].2010 Second Pacific-Asia Conference on Circuits,Communications and System(PACCS),2010,Beijing,1:323-326.

[10]閻偉,劉瑜,郝達睿.應(yīng)用系統(tǒng)運行狀態(tài)監(jiān)管的設(shè)計與開發(fā)[J].計算機系統(tǒng)應(yīng)用,2012,21(5):126-129.

[11]雷濤,井鵬程.基于WMI的計算機監(jiān)控系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機技術(shù)與發(fā)展,2010,20(12):232-235.

[12]Anis Ismail,Mohammad Hajjar,Mazen El-Sayed.A new management tools for remote-access through lan(P2P)using WMI technology[J].Social and Behavioral Sciences,2012,62(10):824-831.

[13]王志飛,王巍.試析利用WMI監(jiān)控USB存儲設(shè)備[J].南寧職業(yè)技術(shù)學(xué)院學(xué)報,2010,15(1):98-100.

[14]閻偉,劉瑜,郝達睿.應(yīng)用系統(tǒng)運行狀態(tài)監(jiān)管的設(shè)計與開發(fā)[J].計算機系統(tǒng)應(yīng)用,2012,21(5):126-129.

[15]劉意先，劉宏偉.計算機安全檢測與評估系統(tǒng)的設(shè)計與實現(xiàn)[J].電腦知識與技術(shù)，2014,10(17):4034-4037.

(責(zé)任編輯：劉劃 英文審校：劉敬鈺)

Computer security monitoring based on WMI

YU Ming-da，TIAN Yan-ming

(IT Center,AVIC Shenyang Engine Design and Research Institute,Shenyang 110015,China)

In order to strengthen the enterprise information security management,the paper studied the security monitoring management for secret-related computers.According to the confidential requirements of certain military enterprise,the WMI-based inspecting method was proposed for the computer security monitoring management,which realized the rapid positioning and prompt repairing for the illegal computer.Based on this method,a monitoring system is designed and developed for computer security that may check operation,security strategy and security protection.The system not only improved efficiency of the security inspection and monitoring ability,but also normalized and institutionalized the user operation behavior,effectively avoiding the problem of information leakage.

Information Security;WMI;Security Monitoring;.Net

2015-01-19

國家國防科技工業(yè)局航空推進技術(shù)驗證計劃(項目編號：APXX)

于明達(1984-)，男，遼寧沈陽人，工程師，主要研究方向：IT架構(gòu)和數(shù)據(jù)挖掘，E-mail：yumingda606@163.com。

2095-1248(2015)03-0053-05

TP393.07

A

10.3969/j.issn.2095-1248.2015.03.010