基于构件的桌面监控审计系统.pdf

基于构件的桌面监控审计系统
    【技术领域】

    本发明涉及一种计算机桌面监控系统，尤其是一种网络管理信息系统内的远程桌面察看、控制和远程资源管理系统，属于计算机远程监控审计技术领域。

    背景技术

    据申请人了解，计算机信息远程安全监控技术发展至今，已经形成了物理监控技术、入侵检测技术、安全扫描技术等典型有效的技术方案。

    随着计算机信息系统的普及应用，信息化程度迅速提高。与此同时，利用远程监控系统对计算机系统的运行进行实时监控、记录保存远程业务人员的操作，以防范计算机犯罪和保证信息系统的安全、平稳运行的要求越来越突出。

    为了保障计算机信息系统安全平稳地运行，目前广泛采用了视频监控的方法对系统人员活动进行实时的监控、记录、保存。

    然而，视频监控系统难以全面、清晰地对系统内所有的终端屏幕画面进行监控，并且使用视频监控系统很容易采用遮蔽摄像头等方法使监控系统失效。同时，视频监控记录的检索、监视比较麻烦，为对信息系统运行进行实时监控，需要耗费大量人力采取手工方式监视，而且比较容易疏漏。此外，建立这样的一套视频监控系统的硬件投资代价巨大。

    【发明内容】

    本发明的目的在于：针对以上视频监控技术存在地缺陷，提出一种可以有效地实现对WINDOWS系统桌面操作行为自动监控审计和察看、并记录操作行为的、基于构件的桌面监控审计系统，以防范操作风险、保障信息安全，促进系统管理效率和管理水平的不断提高。

    本发明技术方案的形成基于以下思考：在WINDOWS等系统中，于桌面上进行的各种违规操作必然有其区别正常操作的行为特征，借助于这些行为特征信息，采取适当的审计策略，就可以及时地发现系统中正在实施的违规操作。当检测到违规行为发生时，可以启动针对WINDOWS桌面操作的录像程序，采取适当的压缩、加密传输方法，将其集中传送到一个黑匣子上进行记录保存，并通过桌面仿真软件进行控制回放，就可以对全系统的桌面操作进行记录取证，通过监测和审计这些信息更可及时发现业务信息系统安全问题，预防和制止计算机违规操作，保证系统平稳运行。

    当今，各种系统软件组件、数据库以及WEB方式的可视化软件组件和软件系统已比较成熟，因此为实现本发明奠定了基础。

    从总体上说，本发明的基于构件的桌面监控审计系统主要由AGENT、监控服务器主机、User Console组成网络，其中——AGENT(代理)：基于构件，安装并驻留在被监控的WINDOWS目标机上，用以自动完成按监控审计规则对桌面的操作行为特征进行监控，在满足审计规则条件时自动启动桌面画面录像程序，并将录像数据实时上传监控服务器主机。由于AGENT采用构件技术，因此具有很好的适应性和可演化性，当需要对系统中新的对象和行为进行审计监控时，只需要调整、替换或新增相应的功能构件即可，其功能类似于视频监控系统中监控人员的角色。

    ——监控服务器主机：作为整个系统的中心，提供规则库和构件库的管理以及监控数据存储和管理控制，具体实施时是一个封闭的黑匣子，以保证数据的安全性，其中包含

    A、存放Agent采集的、通常经过过滤以及格式化后的监控记录、桌面操作录像数据的数据库；

    B、完成对采集的桌面会话数据格式化、压缩和存储的的控制器；

    C、保存桌面用户行为特征的行为特征库和相应的审计规则库；

    D、保存数据采集构件、行为审计构件的构件库和构件分发管理器；

    E、接收User Console用户控制台的控制，控制Agent转入实时监控状态，进行数据转储类数据管理操作的调度器；

    F、用以与其他系统连接的实时报警或SNMP(简单网络管理协议)接口；

    ——User Console：基于WEB方式可视化图形、并供用户配置系统和查看录像以及管理工作的用户控制台。

    这样，便构成了在视频监控之外的行为监控平台，为系统安全管理人员提供了一个防范操作风险和发现操作差错的远程监控和记录工具。

    工作时，安装在WINDOWS工作站上的Agent对受监控的目标机用户桌面操作的行为特征(以WINDOWS中最常见的运行程序行为例，其行为特征包含运行程序路径、运行时间、运行方式等)进行连续的监控并根据监控规则自动审计，在满足审计规则条件时自动启动桌面画面录像程序，将监控数据进行采集、压缩、上传到监控服务器主机。监控服务器主机对Agent上传的数据进行格式化并压缩存储到数据库中；调度器可以接收User Console端的控制，控制Agent转入实时监控状态，并可以根据预先定义的数据存储策略(如数据循环覆盖、磁盘限额策略)进行数据转储等数据管理操作；通过实时报警/SNMP接口传输到用户控制台，供用户配置规则和查看报表以及其它相关信息，从而实现对WINDOWS桌面进行实时、连续的监测与审核，将各种违规、可疑事件及时报警，并提交各种审计报告。

    由此可见，本发明是面向WINDOWS桌面应用的监控审计平台，应用了构件技术、安全管理、安全审计技术，采用了行为特征审计的方法，在信息中心便可实现对分布在各个地点的所有桌面的集中监控和管理，在视频监控之外构造了一个安全、可靠的行为监控平台，为系统管理人员提供了一个防范违规操作的远程监控审计工具，从而有效地实现对各种WINDOWS等系统的桌面操作行为的监控和察看以及记录桌面操作，防范操作风险、保障信息安全，促进系统管理效率和管理水平的不断提高。该系统不仅具有管理安全、方便灵活的特点，而且具有良好的操作性，便于安装、使用和维护。

    应用本发明，通过监控远程桌面的工作状态，察看、控制、管理远程资源，可以促进提高办公效率；通过设置监控规则，监督操作行为，以防范操作风险、保障信息安全、提高系统的安全性；并提供远程管理、支持维护能力，减少管理成本。

    与现有技术相比，本发明具有全系统自动监控、记录和集中存储、集中管理能力。录制的终端操作准确、清晰，可以用作事后取证。提供远程帮助、远程支持功能，能够实时同步远程终端画面以帮助用户解决问题。具有足够的安全性，对采集的数据有防篡改措施。进而从根本上预防和杜绝计算机犯罪，确保信息系统的安全。

    与远程视频监控系统系统相比可以下表反映其本质区别：比较项目本系统远程视频监控系统数据采集监控方式通过Agent对系统操作行为特征进行自动监控审计并对桌面画面进行截取通过摄像机进行拍摄，需要人员干预管理的对象WINDOWS等桌面操作人员的活动存储方式数据库方式压缩存储一般为录像带，必须数字化后才能压缩传输方式网络压缩传送方式多根同轴电缆存储设备黑匣子集中存放一般为多台录像机，数字化后可以记录到硬盘记录效果准确清晰，易于检索对桌面画面的记录效果比较差监控范围所有桌面因为桌面数量很多，很难做到监控全部桌面安全性普通用户无法使系统失效容易因为桌面位置调整或遮蔽失效用户计算机管理人员、信息安全管理人员安保人员适应性构件化平台，易于部署和调整功能单一造价低高

    与远程管理系统相比可以下表反映其本质区别：比较项目本系统远程管理系统关注的内容桌面操作监控、审计与报警远程控制与屏幕监控管理的对象由监控审计触发自动记录与回放手工记录与回放审计的方式行为规则匹配无关注的焦点业务应用为中心网络、系统为中心用户行政管理人员、信息系统管理维护人员信息系统管理人员适应性构件化平台，可二次开发功能单一，不可二次开发可演化性可调整审计规则描述或进行构件调整，适应需求变化，具有良好的演化性不能应对系统的多样性

    【附图说明】

    下面结合附图对本发明作进一步的说明。

    图1为本发明实施例一的系统结构示意图。

    图2是图1实施例一的拓朴示意图。

    【具体实施方式】

    实施例一

    本实施例为应用于企业、政府内部网的桌面监控审计系统(可以利用信息系统原有的计算机网络，无需另外构建监控线路)，其基本构成如图1所示，以下主要部分构成：

    Agent——安装在被监控的WINDOWS工作站上，自动完成按监控审计规则对桌面的操作的行为特征进行监控，并对异常行为触发报警，在触发报警时自动启动桌面画面录像程序，并将报警数据以及录像数据实时上传监控服务器主机；AGENT采用构件技术，担负视频监控系统中监控人员的角色，具有很好的适应性和可演化性，当需要对系统中新的对象和行为进行审计监控时，只需要调整、替换或新增相应的功能构件即可。

    监控服务器主机——作为整个系统的中心，提供规则库和构件库的管理以及监控数据存储和管理控制功能，形式为封闭的黑匣子，其中包含

    A、存放Agent采集的、经过过滤以及格式化后的监控报警记录、桌面操作录像数据的数据库；

    B、完成对采集的桌面会话数据格式化、压缩和存储的的控制器；

    C、保存桌面用户行为特征的行为特征库和相应的审计规则库；

    D、保存数据采集构件、行为审计构件的构件库和构件分发管理器；

    E、接收User Console用户控制台的控制，控制Agent转入实时监控状态，进行数据转储类数据管理操作的调度器；

    F、用以与其他系统连接的实时报警或SNMP(简单网络管理协议)接口；

    User Console——供用户配置规则和查看报表以及其它相关信息的可视化用户控制台。

    该系统可以用形象的拓朴图2表示，其具体的配置情况如下：

    1、Agent——安装在现有系统地所有WINDOWS工作站和WINDOWS服务器上，Agent安装完成后，需要根据系统监控目标设置其审计规则。Agent支持的操作系统有WINDOWS 98、WINDOWS NT、WINDOWS 2000、WINDOWS XP等，所有的Agent均连接到独立的监控服务器主机上。

    2、监控服务器主机——安装在信息中心，是整个系统的核心，提供了分别连接用户生产环境与监控管理环境的端口，具有较高安全性，监控服务器主机完成数据的过滤、格式化、存储、搜索等功能。

    3、用户控制台(User Console)——可视化的图形用户台，供用户配置规则和查看桌面录像以及其它相关信息。所有的管理都在用户控制台上进行。

    下面以企业内部网的管理监控部署以及一次审计监控过程为例，具体说明本实施例的系统工作情况。

    首先由企业高层领导、行政管理人员、系统管理人员一起根据企业的规章制度确定监控审计的目标，例如：为确保系统安全，禁止桌面私自使用光驱、软驱、U盘等移动设备，以防涉秘文件外泄和系统感染病毒；为提高工作效率，限制工作人员在上班时间玩游戏、看电影、使用QQ聊天；为工作环境遭受破坏，禁止未经许可改变、删除系统配置行为等等......

    当审计监控目标确定后，系统管理员选择合适的审计监控构件、并根据监控目标制定具体的监控规则，通过用户控制台配置并自动分发构件、审计规则到系统的Agent端，对系统内的WINDOWS桌面用户的操作按照行为特征审计规则进行实时连续的监控审计。当操作人员发生各种差错、越轨操作时，自动进行画面的纪录保存，为事后取证提供了最直接和最权威的资料。

    以实现禁止桌面私自使用光驱、软驱、U盘等移动设备监控目标为例，可以使用系统硬件配置监视器构件，对系统硬件配置更改的行为进行监控，并设置监控规则为系统硬件配置更改的类型为增加、硬件配置更改的设备种类为光驱、软驱、USB存储设备。

    一旦桌面用户违反管理规定，私自在工作站上安装光驱、软驱、U盘等移动设备时，系统硬件配置监视器构件将侦测到系统硬件配置的改变，并将其行为特征与审计规则匹配，匹配通过则立即触发报警，向后台监控服务器主机发送报警信息，启动实时录像器开始录制一段固定时间长度(可设置)的桌面操作画面，并将录像数据压缩、并利用企业的计算机网络传送到监控服务器主机。

    此外，Agent可以接受监控服务器传送的用户实时监控指令，启动实时录像器并将截获的桌面操作以最快的速度压缩、传送至监控服务器。

    当监控服务器接收Agent上载的数据后，将对数据进行解包、格式化和加密操作并存储到监控服务器磁盘上。监控服务器主机采用黑匣子的形式，用户无法直接操作存储的终端录像数据，从而提高了系统的安全性。用户也可以定时地将数据备份出监控服务器并存放在安全处，同样地，这些备份数据也是加密的。

    当系统管理人员监控的用户控制台收到Agent的报警信息后，为确认桌面用户的操作是否合乎企业管理规定，可以从监控服务器数据库中快速检索到桌面用户的操作录像并播放重现其操作，为取证提供了最直接和最权威的资料。

    由此可以看出，本实施例的系统具有如下创新之处：

    1、面向WINDOWS桌面的操作，通过对用户的行为特征进行实时扫描分析，并依据行为特征的合理性、合法性、真实性审计，进行信息的实时分析和预警，整个监控过程全自动处理。

    2、建立行为特征库。行为特征库中保存了各种违规操作的行为特征描述以及规则模板、事件风险等级定义、审计事件的处理建议等内容，具有极强的通用性，易于扩充。

    3、利用信息系统原有的计算机网络，在中心实现了对分布在各个地点的所有桌面进行集中监控和管理，无需另外构建监控线路，节约投资。在视频监控之外构造了一个安全、可靠的行为监控平台，为系统安全管理人员提供了一个防范操作风险和操作差错发现的远程监控和记录工具。

    4、实时审计触发报警后，系统将用户在WINDOWS桌面的违规操作实时通过网络传输到系统主机上进行加密、压缩记录，在需要时可以调出回放重现。系统具有很高的安全性，检索、回放处理很方便快捷。

    5、审计平台构件化。平台融入了软件框架技术、分布式计算模型和接口标准的先进思想，可以在平台基础上快速开发、部署新的探针、分析器等构件，从而灵活扩展系统功能，适应各种应用的复杂性。

    除上述实施例外，本发明还可以有其他实施方式。凡采用等同替换或等效变换形成的技术方案，均落在本发明要求的保护范围内。