吳玉明　王海洋

摘 要：主機監(jiān)控與審計系統(tǒng)作為一種常用且主要的內(nèi)網(wǎng)安全管理系統(tǒng)對很多單位和部門的信息安全起到了至關(guān)重要的作用。通過對現(xiàn)有主機監(jiān)控與審計系統(tǒng)的功能進行分析和梳理，指出當(dāng)前主機審計系統(tǒng)普遍存在的問題和缺陷。結(jié)合主機監(jiān)控與審計系統(tǒng)既有標準和新的技術(shù)發(fā)展趨勢，從技術(shù)、架構(gòu)、用戶體驗等多維度多角度展望主機監(jiān)控與審計系統(tǒng)的發(fā)展方向，其中包括：平臺化、跨平臺、網(wǎng)絡(luò)化、智能化、虛擬化和標準化。

關(guān)鍵詞：主機監(jiān)控與審計 平臺化 智能化 虛擬化

中圖分類號：TP393 文獻標識碼：A 文章編號：1672-3791（2015）10（c）-0016-02

Abstract：Host computer monitoring and auditing system， as an intranet security management system， it plays an important role of the computer information security in some units and departments.We point out the shortcomings of this system by analyzing the functions of the current host computer auditing system.Combining existing standards of host computer auditing system and the new trend of IT technology，we look ahead the direction of future host computer monitoring and auditing system from different aspects and angles.Such as platformization，cross-platform compatibility，networking，intelligentialize，virtualization， standardizing.

Key Words：Host computer monitoring and auditing system； Platformization； Intelligentialize； Virtualization

隨著計算機信息技術(shù)不斷發(fā)展和普及，計算機及網(wǎng)絡(luò)已成為人們?nèi)粘Ｉa(chǎn)、生活所必須的重要組成部分，然而在享受著計算機和網(wǎng)絡(luò)帶給人們方便、快捷的同時，信息安全問題隨之顯現(xiàn)并日益突出。目前，從國家到企業(yè)到個人對信息安全重要性的認識都有了很大的提升，在此背景下，主機監(jiān)控與審計系統(tǒng)開始快速發(fā)展并得到廣泛應(yīng)用。但目前市場上主流的主機監(jiān)控與審計系統(tǒng)基本上還屬于傳統(tǒng)模式。而新的軟、硬件技術(shù)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展以及用戶需求的不斷提升，促使主機監(jiān)控與審計系統(tǒng)也要趕上時代的步伐。對于未來主機監(jiān)控與審計系統(tǒng)的發(fā)展方向，該文從技術(shù)和架構(gòu)的六個不同方面進行簡要的分析和闡述。

1 主機監(jiān)控與審計系統(tǒng)的六個發(fā)展方向

1.1 系統(tǒng)平臺化

現(xiàn)有的主機監(jiān)控與審計系統(tǒng)所監(jiān)控內(nèi)容相對局限，擴展性較差，系統(tǒng)無法快速適應(yīng)新的軟、硬件的變化。當(dāng)有新需求時很難在既有系統(tǒng)上無縫添加新功能，即便可以添加，也可能由于不同功能的兼容性問題形成繁多的系統(tǒng)版本分支，大大提高了系統(tǒng)維護難度。

為解決上述問題，就需要把系統(tǒng)抽象為平臺，把主機審計系統(tǒng)變?yōu)榛A(chǔ)安全管理平臺。將各種與安全和管理相關(guān)的功能都作為不同的業(yè)務(wù)模塊集成于該平臺之上。作為一個綜合的安全業(yè)務(wù)承載平臺，應(yīng)實現(xiàn)多種業(yè)務(wù)模塊的在線熱插拔。當(dāng)需要添加或修改某些業(yè)務(wù)模塊時，在安全許可的前提下隨時可將某些業(yè)務(wù)模塊插入或拔除，從而提高系統(tǒng)的穩(wěn)定性和可擴展性，并減少系統(tǒng)維護的工作量。

1.2 受控主機端跨平臺

傳統(tǒng)的桌面操作系統(tǒng)市場份額幾乎被Windows獨攬，而手機、平板等移動智能設(shè)備的出現(xiàn)和快速發(fā)展打破了Windows一方獨霸的格局。操作系統(tǒng)的種類和份額在發(fā)生著重大變化，而且隨著嵌入式技術(shù)的普及和國家對操作系統(tǒng)安全的重視，Linux也逐漸得到發(fā)展。因此實現(xiàn)統(tǒng)一的、跨不同操作系統(tǒng)的綜合監(jiān)控審計平臺至關(guān)重要。

受控主機端應(yīng)支持常用操作系統(tǒng)，包括windows系列，如：Windows7、Windows8、windows Server 2008等；Linux系列，如：CentOS、Ubuntu、Debian等；UNIX系列，如：Mac OS、solaris、AIX等；支持手機操作系統(tǒng)，如：android和iOS等。

1.3 系統(tǒng)網(wǎng)絡(luò)化

原有的主機監(jiān)控與審計系統(tǒng)基本上都是以獨立的受控主機為主要的被監(jiān)控對象。但是近年來隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展與進步，尤其是無線網(wǎng)絡(luò)的快速發(fā)展，使得很多智能設(shè)備實現(xiàn)網(wǎng)絡(luò)互連成為可能，在同一網(wǎng)絡(luò)內(nèi)各種智能設(shè)備共享系統(tǒng)網(wǎng)絡(luò)資源。為了保證網(wǎng)絡(luò)的整體安全性，不僅需要加強對網(wǎng)絡(luò)自身的監(jiān)控，同時也需要將連入網(wǎng)絡(luò)中的各種智能設(shè)備逐步納入到被監(jiān)控范圍內(nèi)。

系統(tǒng)應(yīng)支持多種不同的網(wǎng)絡(luò)類型，包括：內(nèi)網(wǎng)、專網(wǎng)、公網(wǎng)、移動網(wǎng)絡(luò)等。監(jiān)控的智能設(shè)備不僅包括PC、服務(wù)器等傳統(tǒng)的計算機設(shè)備，還應(yīng)支持更多的網(wǎng)絡(luò)設(shè)備以及終端設(shè)備，如：交換機、路由器、防火墻、ISCSI、IPSAN、NAS、網(wǎng)絡(luò)打印機、網(wǎng)絡(luò)傳真機、平板電腦、手機等。

支持RFID，提供資產(chǎn)管理、臺賬等輔助功能。

支持UTM，支持與UTM設(shè)備的深度結(jié)合。把主機監(jiān)控與網(wǎng)絡(luò)監(jiān)控形成一個整體，支持對UTM設(shè)置策略，收集并審計UTM上報的日志信息。

把所有可能連入網(wǎng)絡(luò)的設(shè)備都集中監(jiān)控起來，在有效網(wǎng)絡(luò)邊界內(nèi)形成對各種固定或移動終端的綜合安全監(jiān)控防護體系，提高系統(tǒng)監(jiān)控范圍的完備性。

1.4 分析智能化

現(xiàn)有主機監(jiān)控與審計系統(tǒng)中兩個重要的功能就是日志審計和下發(fā)策略，但目前的日志審計和下發(fā)策略基本上都是由三員中的安全保密管理員進行人工操作的。由于技術(shù)所限，人工審計和人工下發(fā)策略在現(xiàn)有條件下確實有其長期存在的必要性，但從長遠發(fā)展趨勢來看，自動或半自動審計必將成為審計和策略下發(fā)的一種常用輔助手段。

后臺的中心服務(wù)應(yīng)提供專家系統(tǒng)，通過知識庫、推理機、人工神經(jīng)網(wǎng)絡(luò)、模式識別等一系列技術(shù)對日志及策略進行不斷的分類、整理、學(xué)習(xí)和鍛煉，從而實現(xiàn)自動審計、自動統(tǒng)計、自動策略優(yōu)化等高級別自動化功能，提供技術(shù)建議，提供事前預(yù)警機制和事后分析追溯機制。進而減少人工參與度，提高系統(tǒng)的可用性和易用性。

1.5 系統(tǒng)虛擬化

隨著IDC和云的發(fā)展，虛擬化隨之蓬勃發(fā)展。虛擬化的發(fā)展徹底顛覆了人們對傳統(tǒng)主機概念的理解，很多國際大型虛擬化廠商均推出了以資源池為基礎(chǔ)的虛擬化方案，在此之上建立云或智能IDC。該方案中所有物理主機的資源被整合為一個大的資源池，用戶可以根據(jù)具體的需求生成特有的虛擬主機，各種業(yè)務(wù)運行于這些虛擬主機之上。

虛擬化很好的解決了負載均衡、容災(zāi)備份、資源動態(tài)分配等物理主機較難解決的問題，但硬件軟件化也可能會產(chǎn)生出很多安全風(fēng)險和隱患。因此需要主機審計系統(tǒng)與虛擬化系統(tǒng)在底層建立更加緊密的聯(lián)系，促成主機審計系統(tǒng)與虛擬化系統(tǒng)的深度結(jié)合，更好的保證虛擬主機的信息安全。

1.6 日志標準化

該系統(tǒng)應(yīng)支持以SYSLOG服務(wù)器為代表的標準化日志服務(wù)器系統(tǒng)，可以把各種日志信息轉(zhuǎn)換為SYSLOG日志，并上傳SYSLOG服務(wù)器，從而實現(xiàn)日志標準化。這方面目前很多主機監(jiān)控與審計系統(tǒng)已實現(xiàn)。

2 結(jié)語

綜上所述，未來的主機監(jiān)控與審計系統(tǒng)必定會隨著各種信息技術(shù)的發(fā)展而快速發(fā)展，為了更好的保護系統(tǒng)安全，平臺化、跨平臺、網(wǎng)絡(luò)化、智能化、虛擬化和標準化等都可能成為未來主機監(jiān)控與審計系統(tǒng)發(fā)展的方向。

參考文獻

[1] 袁萌.內(nèi)網(wǎng)主機監(jiān)控與審計系統(tǒng)解決方案[J].計算機安全，2008（12）：44-45.

[2] 程云鵬.涉密信息系統(tǒng)中的應(yīng)用服務(wù)安全防護解決方案[J].信息安全與通信保密，2011，9（8）：26-28.

[3] 劉海寶，蔡皖東，許俊杰，等.分布式網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)設(shè)計與實現(xiàn)[J].微電子學(xué)與計算機，2006，23（3）：76-79.

[4] 蔡家楣，蔡其星，江頡.基于遺傳神經(jīng)網(wǎng)絡(luò)分析的內(nèi)網(wǎng)用戶行為審計系統(tǒng)[J].計算機系統(tǒng)應(yīng)用，2009，18（2）：5-8.