浅谈主机监控与审计系统的发展方向

主机监控与审计系统作为一种常用且主要的内网安全管理系统对很多单位和部门的信息安全起到了至关重要的作用。通过对现有主机监控与审计系统的功能进行分析和梳理,指出当前主机审计系统普遍存在的问题和缺陷。结合主机监控与审计系统既有标准和新的技术发展趋势,从技术、架构、用户体验等多维度多角度展望主机监控与审计系统的发展方向,其中包括:平台化、跨平台、网络化、智能化、虚拟化和标准化。     

基于内控堡垒主机的运维审计实践~(￠ù)

为了解决信息系统存在的运维审计的难题,同时为了满足国家信息安全等级保护三级的要求,该研究者所在部门实施了新一代内控堡垒主机系统的建设。该文从系统的概念和功能出发,结合信息安全等级保护三级的相应要求,展开介绍堡垒主机在运维审计方面为信息系统的内控管理提供的一个完整解决方案。而后通过在局域网中的实际部署经验整理了技术要点和实施细节。通过该文,可以了解堡垒主机在运维审计当中的作用以及实施案例。     

基于Windows日志的安全审计技术研究

事件日志记录着操作系统或应用程序中重要的事件。通过对日志进行分析,发现所需事件信息和规律是安全审计的根本目的。文章讨论了对Windows系统日志文件进行集中式统一管理,采用API钩子技术实现Windows下的审计数据的获取,并通过对Windows日志的分析给出了一种基于主机日志分析的安全审计通用模型。     

主机特征信息被动识别的研究与实现

被动主机信息识别是指通过嗅探发现的方式获取主机的特征信息,主要有旗帜和指纹识别两种方法。主机特征信息是对网络环境下设备的特征描述,而被动方式有对环境影响小的优点。通过结合两种方法完成了被动主机特征信息的实现,为其他网络安全方向的研究提供了数据准备。特别是可以用以对网络入侵检测系统进行改进。     

针对信号安全数据网主机指令日志新的安全审计算法

通过对多家信号安全数据网核心设备厂商进行的调研,发现列控中心、联锁系统、临时限速服务器和无线闭塞中心都没有对其主机指令日志进行审计.主要原因是现有的模式匹配算法并不适合信号安全数据网的主机日志.为此提出了一种针对信号安全数据网主机指令日志的改进审计算法,该算法结合两种改进的模式匹配算法.描述了该算法的匹配原理,结合现有的无线闭塞中心日志数据进行了实验测试.实验结果表明该审计算法效率较高,可以满足功能需求.     

主机审计与监控系统的开发应用

主机审计与监控系统是通过主机监控代理实现计算机的控制、监控与审计。不论计算机是否联网、登陆用户是否有超级权限,都能够有效控制计算机相关资源的使用。这套网络管理软件将对北皂煤矿信息化建设起到很大的促进作用。     

基于内网的安全综合审计监管系统设计

本文在分析内网安全审计相关技术的基础上,针对其存在的不足之处,深入研究了内网的行为安全审计和监管,提出了基于系统API替换的Windows内网安全审计和监管技术,将监控代码编译成一个DLL,再将该DLL注入到目标进程中,利用APIHook功能,通过替换系统API实现对内网行为的审计监管。在此基础上设计和实现了内网安全综合审计监管系统的进程监控、打印模块、主机性能监视模块。     

基于COBIT信息系统审计研究

信息系统加大了注册会计师的审计风险,而COBIT可以成为注册会计师评价信息系统内部控制的重要参考标准。本文结合注册会计师的审计介绍了COBIT的主要内容和信息评价标准,为注册会计师在进行符合性测试、业务和信息风险评价、网络环境下审计测试、数据文件实质性测试方面提供了许多参考性审计方法。     

基于内控堡垒主机加固企业网络安全平台

企业网络安全需求日益提高,传统安全管理平台在单点登录、账号管理及审计中存在问题,该文利用堡垒主机进行集中登陆、身份授权等功能,实际测试采用极地银河内控堡垒主机加固后的企业完全平台,可实现统一的账号管理、双向可备份审计、审计查询检索等功能。系统部署便捷,极大地提高了企业内部网络安全性。     

基于安装测试的审计轨迹记录自动化研究

简要介绍软件的安装测试和其中的审计轨迹记录,基于Windows系统开发了审计轨迹记录中注册表信息自动记录和对比工具,运行该工具,能够自动记录注册表信息的变化,并通过安装前后注册表信息的对比获得安装程序写入注册表的内容.     

审计信息系统全覆盖联网数据精准定位方法

针对传统数据定位方法中存在的定位精度较低、时间较长等问题,提出审计信息系统全覆盖联网数据精 准定位方法。采用近邻方法对审计信息系统全覆盖联网数据关联进行分析,引入相关品质函数理论,将传感器 获取的多特征数据转入到关联判决过程,计算关联测度。在此基础上,根据关联测度的计算结果,通过改进的 KCF 算法组建目标跟踪器,利用跟踪器获取目标具体的运行状态,采用数据关联算法得到目标相对应的跟踪集 以及检测集,根据加权融合三特征的跟踪结果,准确获取审计信息系统中各个目标数据的具体位置,实现数据 精准定位。仿真实验结果表明,所提方法能快速准确获取审计信息系统全覆盖联网数据的具体位置。     

企业两化融合管理信息系统设计与开发

针对两化融合体系推进过程中,涉及体系文件、指标体系、内审管理、贯标管理、成果管理等多个方面,存在工作涉及面广、环节多、指标复杂等问题,提出通过开发信息化系统,指导员工高效开展两化融合管理工作。通过对标分析两化融合管理需求并采用信息化技术开发两化融合管理信息系统,企业员工借助系统开展两化融合管理工作。系统实现了文件、内部审核流程、项目实施过程、新型能力指标规范化管理;整合、简化了体系文件、内审标准基础资源的采集渠道,确保数据来源的唯一性;同时实现了在线化、流程化管理两化融合推进过程各环节,统一信息采集渠道与数据来源,指导各岗位人员高效开展两化融合管理工作,有效提升了企业两化融合过程管理水平。     

客车质量与可靠性信息管理系统

为贯彻ＩＳＯ９０００系列标准，提高客车质量水平和企业管理水平，研制了客车质量与可靠性信息管理系统。该文阐述该系统的功能、结构设计、数据采集与预处理；重点探讨客车质量审核的目的、内容及功能，给出客车质量审核数据处理结果的实例；论述缺陷模式代码的编制规则；并介绍客车质量水平的综合评价。该管理系统的开发应用和客车质量审核规范的编制在国内客车行业中尚属首次。     

基于AHP的信息系统审计风险评估方法

信息系统审计的兴起和迅速发展对传统审计风险的评估提出了新的挑战.将AHP方法应用于信息系统审计风险的评估,可以有效识别信息系统审计备选方案中信息系统审计风险的优劣次序,为审计人员量化信息系统审计风险,选择合理的审计实施方案提供借鉴.     

一个实用审计子系统的设计

针对湖北省电力试验研究院馆藏图书信息管理系统的特点，设计了一个安全，实用的审计子系统．系统的设计原则是：详细记录用户所有符合审计开关所定义的活动，增强对审计数据的有效利用，减小对系统性能的影响并对用户透明．该系统的审计目的是为了监视、记录和控制用户活动，以便检测和判定对系统的恶意攻击和误操作，并且提供日志作为事后追查的证据．应用结果表明，该系统能有效减少非法入侵行为，提高系统的安全性能．     

信息系统审计问题研究

简要介绍了信息系统审计的发展概况,分析了信息系统审计过程中的主要问题,并预测了信息系统审计未来的发展趋势.     

异常数据的挖掘分析

随着国网“SG186工程”的深入推广应用,数据挖掘分析技术必将成为未来营销稽查部门反窃电工作的重要工具之一。充分利用营销自动化系统、用电信息采集系统的综合信息以及95598客户服务系统,通过对系统数据的筛查分析,可发现电压数据偏低的情况以及电流数据异常情况,从而打击窃电和违约用电行为。     

网络处理器平台下基于角色的分片审计研究

提出了一种基于角色的分片审计模型，以解决因利用各个操作系统分片重组策略不同的特点进行网络渗透而导致安全审计系统识别能力降低的问题．其主要思想是：在处理畸形的分片数据包的同时，将采集终端主机的操作系统类型写入角色信息库，并根据角色信息进行分片重组转发，从而消除了分片语义歧义性．同时，提出了BSD-Linux、BSD-Right和First先行转发策略，以提高系统的性能．采用分阶段流水处理的微引擎设计模型，可使系统原型在网络处理器上得以实现．从实验结果中看出，该模型能有效提高安全审计系统的识别精度，消除分片语义歧义性．在处理大负载的情况下，先行转发策略的运用可使系统的识别精度维持在90％左右。     

关于Linux审计信息的获取

为了达到安全管理单机或网络系统的目的,需要全面地获取Linux系统下各种所需的审计信息。通过分析Linux内核源代码,并根据Linux系统提供的内核可加载模块以及系统调用的机制,找出获取Linux审计信息的方法。通过编写核心监控模块和记录构造模块,实出了在Linux系统下获取各种审计信息。证明了利用改造内核获取系统审计信息方法的可行性,并且克服了Linux系统原有日志信息的不足。