第一篇:监控主机检测报告
检测报告
一、主板存在隐患
1.1供电口烧毁,断脚、部分电容、电子容器件损伤。1.2内存槽松动,DDR-2端口烧坏。(会导致系统间歇性花屏、死机、启动过程中停止)。
二、硬盘故障
2.1 master硬盘烧坏,只能识别出30个GB(会导致系统蓝屏、死机)现已经卸载。
2.2目前只挂了一块160GB硬盘作为替代(存储录像资料时间短)
三、监控采集卡
3.1 PCI-1 部分端口不稳定 3.2 PCI-2 部分端口不稳定
会导致各别端口信号不稳定,图像抖动、花屏或NO SIGNAL(无信号)
四、主机供电
4.1 目前供电功率太低(工控主机的供电有强制性要求-性能稳定,功率不得低于400W)
4.2 电源供电不稳定是导致系统损坏及硬件损伤的主要原因。
五、建议
5.1为确保监控系统的持续稳定运行,建议配置UPS不间段供电 5.2监控主机与其他设备隔离,以防止静电和信号的干扰。备注:现原有两根256M内存已取出,更换了1GB的内存。上海XX信息科技公司
测试人员:XXX XXX 日期:2011/1/1 事件负责:XXX 联系:
第二篇:监控主机常见问题总结
监控主机常见问题总结
监控主机是监控系统中极重要的一个配件,一旦出现问题将直接影响整个监控系统的运作,以下是几个监控主机常见问题总结,希望对大家有帮助。
监控主机是监控系统中极重要的一个配件,一旦出现问题将直接影响整个监控系统的运作,以下是几个监控主机常见问题总结,希望对大家有帮助。监控主机常见问题总结 显示器显示画面有抖动感
这种情况一般是因为显示刷新率设置过低所致,进入“显示属性”点击“设置”,选“高级”,再选“监视器”,把新频率调整到75HZ,确定退出后就可解决此问题。监控主机常见问题总结 开机监视一段时间后显示器出现屏幕保护或者黑屏
这种情况是因为没有取消屏幕保护或电源管理设置不当所引起。解决办法是从监控系统退出到WINDOWS操作系统界面后,在界面上点击鼠标右键,选择“属性”后,在出现的标签里选择屏幕保护,选择(无)一项解除屏保。然后点击右下角的设置按钮,在电源使用方案里选择“始终打开”,系统等待选择“从不”,关闭监视器出选择“从不”,“关闭硬盘”处选择“从不”,最后点击“确定”即可。监控主机常见问题总结 图像显示只有图像没有操作按钮或画面不是充满整个屏幕
一般情况下是显示分辨率设置没有达到要求,将桌面分辨率设置成1024*768,并将小字体改为大字体即可。
监控主机常见问题总结 无法循环录像或录像录满后死机
首先要仔细阅读主机的使用说明,确认现在所设置的录像方式是“一次录像”还是“循环录像”。
其次,这种情况很可能和硬盘分区所使用的工具有关,建议不使用任何硬盘分区工具。WINDOWS98最好是使用FDISK分区命令来进行分区。WINDOWS2000则是使用它本身带的分区工具来分区。
为什么图像显示没有操作按钮,只有图像?
将桌面分辨率设置成1024*768,然后在此标签里点击高级,然后将小字体改为大字体即可。
监控主机常见问题总结 系统崩溃
对windows的不当设置或其他一些软件故障导致系统工作不正常时,会产生系统崩溃。可采用下列方法恢复系统:
第一:windows注册表的方法修复系统。如:某次启动系统时因未打开监视器或监视器连接不正常,导致系统再启动时不能正常进入windows,可按照如下步骤修复。
重新启动,在启动过程中按住F8键,在启动方式选择菜单中选“Command Prompt only”,启动完毕后键入以下命令行:scanreg /restore选择最近系统正常工作的日期进行恢复。
第二: 在使用恢复注册表不能解决问题时,可以采用Ghost方式恢复系统,前提是已经使用了Ghost备份系统。使用方法是启动(用硬盘启动或者WIN98启动盘启动)到DOS状态,运行Ghost.exe,按照提示完成系统恢复。监控主机常见问题总结 无图像显示
原因一:显卡不兼容造成,可以通过Direct Draw测试,如果测试能通过,则不是此原因。
原因二:PCI接口接触不良好,可以换一个PCI槽位测试。
原因三:板卡是否有损坏,可以考虑换一张卡测试。监控主机常见问题总结 计算机找不到卡
原因一:计算机电源不是ATX电源。请使用ATX电源。
原因二:计算机PCI插槽损坏,请换一个插槽测试。
原因三:板卡损坏,请换卡测试。
第三篇:关于申请购置监控主机的请示
关于申请购置监控主机的请示
主任室:
根据监控录像主机长期使用,发现监控主机很慢、录像时断时续、模糊不清晰、经常死机、不能正常运行,零部件老化程度严重,经常出现故障。同时,不能保证案发后的取证功能,为保障监控系统正常运行、发挥它的功效,特申请维修主机及维修更换二个硬盘,维修费用约9000.00元。
请领导审批
保卫科
2011年3月11日
第四篇:主机监控与审计系统设计方案
主机监控与审计系统
设计方案
北京市爱威电子技术公司
2010年5月
目录
1.系统简介.......................................................................................................................1 2.系统总体结构................................................................................................................2 2.1系统架构及基本工作原理.....................................................................................2 2.2系统功能结构......................................................................................................3 3.系统功能.......................................................................................................................4 3.1代理端功能..........................................................................................................4 3.1.1数据采集功能.............................................................................................4 3.1.2控制功能....................................................................................................5 3.1.3其它功能....................................................................................................6 3.2控制管理中心功能...............................................................................................7 3.2.1系统管理功能.............................................................................................7 3.2.2计算机软硬件资产管理功能........................................................................9 3.2.3监视管理功能...........................................................................................10 3.2.4策略管理功能............................................................................................11 3.2.5文件/补丁程序管理功能............................................................................13 3.2.6审计管理功能...........................................................................................14 3.2.7报警管理功能...........................................................................................15 3.2.8日志管理功能...........................................................................................16 3.3用户浏览功能....................................................................................................16 4系统特点.....................................................................................................................17 4.1 CPU占用少.......................................................................................................17 4.2网络资源占用少.................................................................................................18 4.3非法内联监控效率高..........................................................................................19
1.系统简介
随着网络信息化的高速推进,人类社会的行为与活动已经和网络系统紧密联系起来。网络信息系统将人类传统的工作、管理模式“映射”到网络环境中,极大地提高了研究、工作和管理效率。人们对于内部网络系统,曾经假定 “内部环境是安全的”,但自从网络系统采用了开放互连的TCP/IP协议后,这种假设条件在事实上已经不能完全成立了。各类单位(尤其是涉密单位)为了保证员工能通过网络(包括互联网)共享信息的同时,确保不会因为使用网络而有意或无意的泄漏敏感信息,都采取了相应的行政手段对本单位内部局域网的使用和操作规范进行强制性的、非技术性的管理,这些管理措施在特定时期和特定环境下是可用的,但仅依靠非技术性管理却是有悖于信息化初衷的,是不利于信息化进程发展的。
主机监控与审计系统的目的是:按照国家标准和保密局标准,结合长峰集团的实际情况,研制开发一套完善的、可持续扩展的安全保密信息审计系统。
该系统的实现,对于在信息化高速发展的同时,严格保证涉密信息系统及其审计系统的特殊性、安全性、可靠性、可控性、及时性、可扩展性有着积极的促进作用。
2.系统总体结构
2.1系统架构及基本工作原理
系统结构图
从统一管理的角度出发,主机监控与审计系统采用多极构架组成(如图),其基本工作原理描述如下:
第一层为计算机端机,通过安装的主机监控与审计系统的代理端软件,根据CMC对该端机的审计策略要求,对硬件设备的使用经行控制,对用户的操作行为进行数据采集,并将采集到的各类数据上传到CMC。在系统管理员授权的情况下可通过IE对数据进行查询。
第二层为各子、分公司的CMC、UB管理层,负责对各代理端进行管理、数据收集及数据的统计、查询、分析。
第三层为集团CMC、UB管理层,可对下属各子、分公司的审计策略、数据进行统计、查询、分析。各单位CMC把严重报警提交给第三层的CMC,第三层CMC履行监督报警的处理情况的职责。
2.2系统功能结构
主机监控与审计系统是对计算机及网络的各种事件及行为实行信息采集、监测、控制和审计的应用系统。
客户端主要由BA、PA两部分组成:
BA(Base Agent)基本代理:指在计算机中驻留的基本代理模块,负责基本信息的采集及发送、存活状态信息的发送、其他代理的加载和卸载等功能实现的软件。
PA(Policy Agent)策略代理:指按照计算机实际情况制定的策略生成的代理模块,它通过基本代理进行加载和卸载,并和基本代理进行安全认证,保证代理端软件自身安全性。
服务器端即CMC(Control and Manager Center)控制管理中心,是安装于中心控制台的软件,它收集各代理发送的采集信息,根据报警策略产生报警,并推荐响应控制建议,管理各个计算机(组)策略并生成策略代理,产生审计报表等。
3.系统功能
3.1代理端功能
代理端软件指安装于各端机上的主机监控与审计系统,由BA和PA模块组成。其主要功能是根据CMC对端机审计要求和控制要求,对用户的操作行为进行审计,对端机的软、硬件使用进行控制,并对违规行为进行报警。
3.1.1数据采集功能
代理端数据采集是指对端机的环境信息、软、硬信息及操作、使用行为进行数据采集,具体包括以下几方面:
1)基本信息数据采集:采集计算机操作系统的基础配置数据,其中包括:用户名、主机名、域名、网络名、操作系统、MAC地址、CPU型号、IE版本号等。
2)软件信息数据采集:采集该系统已经安装的软件信息。
3)设备信息数据采集:采集该计算机的设备配置情况,包括:DVD/CD-ROM驱动器、IDE ATA/ATAPI控制器、处理器、磁盘驱动器、端口、键盘、软盘控制器、软盘驱动器、鼠标和其它指针设备、通用串行总线控制器、网络适配器、显示卡等。
4)日志信息数据采集:对系统生成的日志信息进行数据采集,其中包括:应用程序错误记录、安全审核记录、系统错误记录。
5)磁盘文件操作数据采集:对用户对文件的增、删、改、重命名进行审计,同时对计算机IP地址、操作时间、文件操作类型、文件路径、文件名等数据进行提取、保存。
6)注册表操作数据采集:对注册表项的“增、删、改”操作行为进行数据采集,采集的基本信息包括:计算机名(IP地址)、用户名、程序名、键名、键值、操作时间等信息。
7)应用/进程信息数据采集:对系统的应用程序和进程的启动及运行情况进行数据采集,包括:计算机名(IP地址)、用户名、进程映像名称、进程ID、程序名称等。
8)打印信息数据采集:对计算机进行的打印信息进行采集,采集的基本信息包括:计算机名(IP地址)、用户名、打印机名、打印时间、打印文档名、打印页数、打印份数等信息。
9)网络行为数据采集:对用户的上网行为进行数据采集,采集的基本信息包括:计算机名(IP地址)、用户名、上网时间、网址名等信息。10)非法外联行为数据采集:对CMC允许以外的外联行为定义为非法外联行为,此操作威胁到涉密文件的安全,因此要产生报警信息,采集的基本信息包括:计算机名(IP地址)、用户名、上网时间、网址名等信息。11)非法内联行为数据采集:进入内网的计算机是经过严格审批手续的,对没有进行审批就进入内网的计算机认为是非法内联行为,对计算机的非法内联行为的数据采集包括:计算机名(IP地址)、用户名、时间等信息。
3.1.2控制功能
为了保证计算机上的数据安全,防止泄密事件的发生,要禁止用户在未经许可的情况下私自将涉密文件拷出,禁止进入不安全的网络,防止被他人恶意攻击,窃取涉密文件。因此在对文件进行审计的同时,要对文件的出口加以控制。为了保证数据的有效性,对系统的关键数据的修改权利也加以控制。
控制功能包括两部分设备使用的控制和操作系统参数设置的控制。
1)设备包括本机已有设备和外围设备两部分,控制主要指对设备的可用性进行控制,分为启用和禁用两种状态,设备启用时用户可以对设备正常使用,禁用时用户将无法使用该设备,如果用户采用其他技术手段改变了CMC对设备的控制属性,代理端检测到后将依据CMC对设备的使用权重新进行设置,并产生报警信息,通知CMC。要进行控制的设备包括以下几方面:
光驱 软驱 USB设备 USB存储设备 串、并口 打印机 拨号上网 无线网卡上网 网络共享服务
2)操作系统部分功能使用的控制权
IP/MAC地址的更改:为了保证数据的有效性,同时有效防止非法内联事件的发生,在未经审批、管理员授权的情况下禁止修改IP/MAC地址。 通过网络的文件、打印和命名管道共享:为了保证计算机上的数据安全,防止他人的恶意窃取,严禁共享功能。
3.1.3其它功能
1)报警功能:
代理端报警策略的设置及事件的报警级别由CMC负责管理,管理员根据不同端机的工作要求可设置不同报警策略,并下发到各端机。代理端软件则根据本机的报警策略对违规事件产生相应的报警信息,并立即上传到控制台,通知管理员有违规事件发生。
2)自动升级功能:
代理由BA基本代理和PA策略代理组成,BA运行于OS级,常驻内存,PA则动态加载。当收到新版本PA后,BA动态卸载旧的PA,再加载新版本PA,这一切动作对用户透明,从而达到动态自动升级的目的,也无须管理人员在大规模实施后需要跑到每一个客户端去升级的大工作量行为。
3)自我防护功能:
BA代理是一个短小强悍的监控程序,驻留在涉密计算机的内存中,体积非常小,隐蔽性强,一但驻留,除SCMCA-HT安全管理员外,将无法删除,因此,可确保监控功能的持续、正常执行。
同时,PA和BA互相监视,并隐蔽存储多副本于计算机中,当监视到对方依托文件不存在时,快速从副本处复制一个依托文件到安装目录。
CMC中心也存储涉密计算机的BA和PA,一旦发现有恶意攻击行为攻击BA或者PA,CMC将产生报警,由响应的管理制度来制止这种恶意攻击行为。
3.2控制管理中心功能
CMC控制管理中心是该系统的核心,实现对所管辖计算机代理采集信息的统一管理、审计和报警功能,同时负责该系统本身的管理功能的实现,功能如下图所示:
CMC功能示意图
3.2.1系统管理功能
系统功能主要完成系统本身的系统设置和维护功能,保证系统访问的用户安全性、系统登录和注销的合法性、系统配置的合理性、系统数据的安全备份与恢复、系统本身的操作日志记录的完整性。
1)登录与注销
管理员使用默认用户名和密码登录到CMC后,分别创建日志查看员和系统日志监督员,并赋予默认密码。
管理员、日志查看员和系统日志监督员分别使用自己的用户名和默认密码登录CMC,但是根据其权限显示不同的CMC界面。
所有用户在第一次使用默认密码登录后,CMC自动强制各用户更改默认密码为新密码。
所有用户空闲超过一定时间后,系统自动锁定,进入锁定界面。
2)用户及组管理
系统用户管理是对系统本身的用户进行管理的工具。系统用户管理支持多管理员角色,可区分超级管理员、管理员、日志查看员、系统日志监督员。
用户管理员具备创建下级用户的权限;
管理员只具备系统进行配置、数据备份和恢复的权限,但是不具备下级管理员的权限具备。
日志查看员可以操作CMC查阅各代理采集信息、制定策略、进行控制等功能;
系统日志监督员负责对超级管理员、管理员、日志查看员的行为日志进行查阅和监督。
如果用户需要,还可在4类角色中再细分级别。4两种角色的组合使用由用户自己决定。
用户管理主要包括管理人员的帐号、口令管理、人员信息的增、删、改、查等操作。
3)参数配置
管理员可以对系统本身的运行参数进行配置,包括:系统显示方式、系统等待时间、计算机安全扫描时间间隔等。
4)数据备份与恢复
管理员可对数据进行备份和恢复,数据库中的数据超过数据保存最大容量之
后或者超过数据最长保存时间之后,系统会强制管理员对数据作备份操作,备份数据存放于指定目录下,备份后数据库中的记录才可以删除,备份目录和记录的删除操作都会自动记录到系统日志中,由系统日志监督员进行监督。
所有数据不提供单条记录删除的功能。
系统万一出现崩溃,或者硬件原因造成了数据丢失,管理员可以把最近的一次备份数据恢复到系统中。
5)系统日志维护
系统日志记录管理员对CMC的操作,主要包括:登录、退出、用户管理操作、部门管理操作、策略操作、控制操作等。
系统日志监督员可以对系统日志数据库表/记录进行备份/恢复等维护操作。日志在备份后可以删除,不提供单条删除功能。
3.2.2计算机软硬件资产管理功能
计算机资源是指单位内部的计算机,这些计算机是单位信息网络的重要组成部分,通常来说,某台计算机会有明确的任务、使用范围和使用人。目前,并没有效的措施指定计算机的使用者,计算机资源的使用难以控制,从而造成一定的信息安全隐患,比如财务部的计算机就不能允许非财务人员使用等等。另外,计算机资源是一个单位非常重要的资产,一般包括硬件资产和软件资产。
CMC利用其超强的硬件获取能力使信息人员和资产管理人员可以很方便的查看到网络内部的硬件的分配情况,可以极大地方便了资产统计人员,避免了过去做资产统计必须拆机箱的做法,利用先进的自动捕获技术,及时的收集到所有的硬件信息,提高工作人员的效率。
CMC利用其强大的软件信息获取能力将单位所拥有的软件纳入资产的正常管理程序,以便掌握单位信息化的投资状况,包括采购、安装、分发、升级、维护、删除等整个软件使用的生命周期。它经由一系列有效的管理措施,配合系统管理的使用,就可以合理地控制软件购置的经费支出,以此提升软件资产的利用率与整体效益,并且确保软件使用的合法性。1)计算机单机资产管理
单机资产管理负责将网络内合法的计算机添加到本系统内,作为合法用户使用。功能包括:计算机信息的增、删、改、查。
单机资产管理功能包括硬件资产管理和软件资产管理两部分,并且提供强大的统计功能。
硬件资产管理
安装硬件信息:在涉密计算机用户注册后,记录下计算机的所有硬件安装信息(处理器CPU,光驱,内存,软驱,声卡,显卡,硬盘的类型及其种类),同时把该信息和用户信息、固定资产编号信息进行关联形成该用户的硬件资产信息并且进行日志记录;
变动硬件信息:检测计算机发生变动的硬件信息,并且记录日志。 软件资产管理
安装软件信息:在计算机用户注册后,记录下涉密计算机的所有软件安装信息并且进行日志记录;
变动软件信息:检测计算机发生变动的软件信息,并且记录日志。
2)组/部门资产管理
CMC支持群组/部门管理,即将被监控计算机群按照传统的业务组/工作组/部门进行划分,并按照组/部门的方式进行策略管理,组内的成员的计算机全部自动遵守该组的安全策略。组的成员可随时添加或删除。这一功能对于管理人员快速、准确识别涉密信息和安全状态很有帮助,并且可以大大减轻管理员的策略配置管理负担。
3.2.3监视管理功能
监视管理功能这部分是日志查看员的日常管理任务,他可以使日志查看员可实时掌握内部网络计算机的运行和安全状态,保证内部网络管理策略的正确执行。
1)在线状态监视
日志查看员可从查看全部主机的联网状态。如果选择网络方式查看,则在CMC的监视界面上显示全部涉密计算机的联网状态。其中,闪亮的表示在线,灰色的表示离线。
如果选择组/部门方式,则在CMC的监视界面上按部门显示,展开部门后,显示部门所辖涉密计算机的联网状态。
2)非法入网监视
CMC按照“安装了代理 + IP/MAC地址白名单”的排除法发现非法计算机。“安装了代理 + IP/MAC 地址白名单”是指:定义安装了SCMCA-HT代理的、并且IP/MAC地址在白名单中的涉密计算机称为合法,只有这样的涉密计算机才能使用内网资源,否则强行禁止其使用内网,并且及时报警。
非法入网计算机在CMC中以非法入网计算机为组名称的进行拓扑显示,可以列出所有非法接入内部网络的主机(IP/MAC地址),而在监视界面中显示这些主机的入网行为记录。
3)安全扫描
CMC可以对指定网段内的涉密计算机进行安全检查,如果发现有未安装本代理以及IP/MAC地址不属于白名单的涉密计算机在线则报警。
3.2.4策略管理功能
主机监控与审计系统的策略是指代理对涉密计算机监视和控制规则的集合。策略的制定、修改、添加、删除、存储/导入、下发和执行情况监督都由CMC完成,通过CMC统一或部分下发至各个代理。
1)策略模板管理
根据策略分级和继承原则,所有策略以模版形式生成后,才可以下发到代理。策略模板管理可以制定4个级别的多种模板:
默认策略——本系统发行时提供,随基本代理一同安装于被监控涉密计算机上,该策略为最严格策略;
全局策略——一个单位全局范围的策略,对所有用户有效; 部门策略——部门范围内的策略,对该部门的所有用户有效; 用户策略——特定用户策略,只对该用户有效。
策略模板管理包括:
策略模板制定:制定以上4级模板; 策略模板修改:对指定好的模板进行修改;
策略模板添加:同一级别下具有多个模板时,添加模板; 策略模板删除:对不再有效的策略模板进行删除;
策略模板存储及导入:所有模板可以以单位或者个人名称方式单独生成一个,并可以存储(或者打印),再遇到特殊情况重装系统后可以把先前存储的模板导入到系统中,方便策略的备份和恢复,减轻工作量。
策略模板的内容主要包括以下方面:
基本信息的采集策略:对代理采集计算机的方式、提交频率等进行配置。 文件监控策略:对磁盘文件的监控方式、过滤方式、操作方式、文件保护方式进行配置。
注册表监控策略:对注册表监控方式、扫描频率、提交方式和频率进行配置。
打印监控策略:对涉密计算机的打印行策略为进行配置。
应用程序/进程监控策略:对应用程序/进程的启动、运行策略进行配置。 设备监控策略:对涉密计算机所辖设备和新增的未知设备使用策略进行配置。
网络应用行为监控策略:对网页浏览-HTTP、文件传输-FTP、发邮件-SMTP、收邮件-POP3、远程登录-Telnet,以及外部主动联接、IP/MAC地址绑定、非法外联、非法内联等的行为策略进行配置。
2)策略下发
针对不同的计算机用户和组,对计算机的审计行为、端口控制行为各不相同,CMC可根据实际情况制定不同的审计、控制策略模板,在下发审计策略时选择相应的模板即可。这样对管理人员而言便于管理,方便使用。
策略下发方式分为立即执行和重新启动后执行两种模式,由管理人员在下发时根据实际情况进行选择,也可以采用策略模版中制定的选择。
立即执行模式:代理收到CMC发送的策略更新命令,立即终止现行程序,按照新的策略去重新分配线程,在终止原策略启用新策略过程中,可能会造成部分数据的丢失。
重新启动后执行模式:代理收到CMC发送的策略更新命令后,暂时不进行相应而只是把新策略存储于本地,强制计算机重新启动或者待计算机自然重新启动后,再加载新策略。代理在计算机启动后和控制台进行通讯,如果要更新策略模板,则下载新的模板后继续运行。策略的下发对用户透明,不会对用户的自然操作产生影响。
3)策略执行和状态监督
策略执行由代理完成,执行过程不会对用户自然操作产生影响。 策略下发成功或者失败时,代理会把策略更新记录提交给CMC。 CMC可以对所有涉密计算机的:策略执行状态(成功/失败)、策略模板名称、策略模板内容、策略执行时间及有效时间等内容进行查看和监督。
3.2.5文件/补丁程序管理功能
1)文件/补丁管理
随着软件的不断完善,功能的不断增多,新的软件版本将不断发布,文件/补丁管理就是将每一版本软件保存到数据库中,并通过软件的启用、停用标志控制软件的可用性,通过文件/补丁分发功能,将新的软件下发到各代理端。如果软件下发时发现该版本的软件已经是停用标志,将不再下发。
2)文件/补丁分发
代理的升级采用“静默式安装”方式自动升级,对用户透明,由CMC控制对全部涉密计算机进行统一在线升级。
在线升级是在涉密计算机已安装代理的前提下,可以实现软件的在线升级。升级方式分为主动升级、下发后立即升级两种模式,具体升级方式同样由管理人员通过系统设置功能进行设置。
主动升级:每次开机后代理主动和CMC进行通讯,如果有高于本机的软件版本发布,则主动下载,并自动升级。
下发后立即升级:CMC向代理发送软件立即升级的命令,代理收到命令后,进行软件版本的判定,如果新版本确实高于现行版本,则进行新版本软件的下载,下载完毕后,立即执行软件更新。在软件更新过程中可能会造成部分审计数据的丢失。
3.2.6审计管理功能
CMC审计管理功能基于已收到的各代理端采集到审计记录对各种的操作行为进行审计,审计内容包括:
1)磁盘文件操作行为审计 2)注册表审计 3)应用/进程使用审计 4)日志审计 5)账户信息审计 6)USB介质使用行为审计 7)外部设备使用行为审计 8)打印行为审计
9)主动网络连接操作行为审计 10)非法外联行为审计
为了方便管理员的审计操作,提高管理效率,系统对以上各审计内容提供多种审计方式:
按部门审计:对该部门下的所有人员的某一操作行为进行审计。 按人员审计:由于工作需要,存在大量一人多机的情况,为了方便对某人的所有操作行为进行审计,系统提供按人员进行审计的功能,即审计该人员管理下所有计算机的操作行为。
按IP地址审计:按IP地址对某一台计算机的操作行为进行审计。按时间段进行审计:在以上某一条件下,有针对性的审计一段时间内操作行为。
3.2.7报警管理功能
管理人员面对数量巨大的审计日志的时候,如果没有合理的报警,将对其管理工作带来巨大的困难。
CMC将提供基础的报警策略,并提供报警定义、修改、删除、存储/导入等管理功能,使系统在得到和报警规则相匹配的操作行为的时候,自动产生报警,并向管理人员发出提示。
1)报警策略定义及管理
报警分为单一来源报警、组合报警和用户自定义报警:
单一来源报警:由日志分级方式产生,即系统每产生的一条日志都有个安全等级字段,安全等级在制定安全策略时指定。日志安全等级的目的是提高日志审计的效率,同时突出了报警的概念,如日志分为1~5 共5个安全等级,5 为最高等级,可定义安全等级>=3 的日志产生预警。
组合报警:对于不能由单一来源确定的恶意行为,这种报警可能需要依据多条日志进行分析才能产生。系统会提供组合报警模板供用户参考,其安全等级由用户根据实际情况自己确定。
用户自定义报警:对本系统没有规定的报警,用户可以根据实际情况就其所关心的日志设置安全级别产生报警。
报警策略的定义及其管理也采用策略模板的方式。
2)报警处理
当有符合报警策略的违规事件发生时,代理会在涉密计算机上给出提示,同时会把该日志记录发送到CMC。
CMC会在计算机浏览管理视图上产生色彩鲜艳的警示性报警信号,管理人员可以查看报警详细信息,CMC会给出对该类报警信息的处理建议。
管理人员可以选择忽略该报警,或者在处理完该报警之后代理自动监测到无违规记录时,报警取消。
3)报警查询和统计
对报警事件进行查询统计,管理方式同审计信息的查询和统计。
3.2.8日志管理功能
1)日志过滤查询
管理人员能够方便地定制过滤查询本系统产生的所有日志,可以灵活地设置查询条件,包括:用户信息、日志等级、日志产生时间、日志内容等。支持组合查询、模糊匹配查询等技术。
2)日志统计及报表输出
具备日志统计分析功能,能够展现一段时间内的日志趋势,安全管理员可以据此考虑调整相应的安全策略。
统计报表表现方式灵活,除了最基本的列表方式之外,还应该具备图形表现功能,包括饼图、柱状图以及曲线图等。
统计报表可以采用打印、存储、导出等方式输出。
3.3用户浏览功能
审计数据的查询、统计、分析功能采用B/S方式完成,管理员通过IE浏览器在网络内的任何一台端机上可对数据进行浏览。
数据查询:对审计数据、用户信息按照任意条件进行查询。
数据统计:对审计数据按要求进行统计,并以饼状图、柱状图等直观形式表示出来。
数据分析:对审计数据进行综合分析及事件追踪,找出其中可疑事件,提高系统的安全性。
4系统特点
4.1 CPU占用少
CPU资源的占用率也称为占有率,是外部设备使用时对CPU的占用时间。如果CPU长期占用率过高,可造成CPU温度过高,从而影响CPU及周围的电路,降低电脑的使用寿命,同时也对CPU的并发处理能力造成影响,降低其它软件运行、处理速度。
一台计算机即使用户在不作任何操作时,操作系统为维持其正常运行在进行大量的操作,如动态库调用、注册表的修改、文件的建立、文件的修改、文件的删除等工作。用户工作时在对各种应用软件的使用过程中,除了会产生所需要文件外,应用软件还会大量修改系统文件并生成临时文件,如何提高数据的有效性、降低CPU的占用率成为一个技术难点。
很多软件针对审计事件的采集采用轮寻方式,即定时扫描方式。间隔时间过长会引起事件的漏记,间隔时间过短会引起CPU占有率过高。
对此采用以下两方面解决以下问题:
审计事件的产生:事件的产生采用触发方式,即只有该事件发生了,才触发对该事件的审计,符合审计策略要求的保存、上传,不符合的丢弃。与轮询方式相比其优点在于即可以防止在两次轮询期间产生审计数据的漏审情况的发生,又可以避免在没有审计事件发生时对事件进行查询,造成不必要的资源浪费。
审计策略的制定:按照管理员对该机审计策略的要求对各审计模块进行加载,如果不需要监控的功能则不予以加载。避免了模块加载后,在检测到审计事件时再按策略要求对事件不予记录造成系统资源浪费。
CPU占用率比较
4.2网络资源占用少
代理端软件要根据审计策略、报警策略的要求对相应的事件产生不同信息,这些信息均要通过网络上传到服务器。在端机数据多,审计数据量大时,必然会占用大量的网络资源,同时也会对服务器处理能力产生过大的压力。
涉密计算机监控与审计系统采用以下方式在保证数据的可靠传输的情况下减少对网络的压力。
CMC对上传审计数据的端机的控制:代理端要上传审计数据前先向CMC发出传输请求,在得到CMC的许可信息后方可进行数据的上传。CMC在得到端机的上传审计数据的许可后,要对当前正在上传审计数据的端机数进行统计,如果已经达到管理员规定的数目,则通知其排队等候,如果正在上传审计数据的端机数未达到要求,同时网络流量又未达到限值时,通知其进行数据上传,并对数据进行接收。同时CMC还将预留出部分可连接数量用于处理紧急事件的发生。4.3非法内联监控效率高
为了确保涉密文件的安全,在防止端机非法外联同时也要保证内网的安全,防止非法内联事件的发生。非法计算机指在本系统内没有注册登记的计算机。非法内联指没有注册的计算机连接入网。
在发现有非法计算机连接入网时要及时报警,通知管理员有非法事件发生。非法内联行为的发现可通过服务器定时扫描方式实现,即定时对网段内所有计算机进行扫描。此方法存在以下缺点:
1)服务器要对整个网段的所有IP地址进行扫描,轮询一次必要花费一定的时间,如果非法计算机在其服务器扫描时间间隔内上网并断网,服务器根本无法检测到。
2)非法计算机可以通过端口禁用、安装防火墙等软件方式对系统进行设置,对服务器的扫描不予任何回应,这样服务器也无法检测到非法内联行为的发生。
为了防止以上现象的发生,涉密计算机监控与审计系统在服务器进行定时扫描的功能同时,利用代理端的网络民兵功能进行非法内联计算机的扫描,可有效的对非法内联行为进行检测。
1)指定网络民兵进行定时扫描:服务器通过对在线计算机的检测,在每一网段指定一台计算机对该网段内的计算机进行安全扫描,如果发现非法计算机入网则产生报警信息。网络民兵只扫描本网段内的计算机,被控计算机数量大幅下降,可大量缩短扫描时间间隔,减少未检测到的非法内联行为的发生。
2)通过截获进出本机的数据包分析:代理端软件可以截获进出本机的数据包,通过对TCP/IP数据包的分析可以得到要访问本机的客户机的IP地址。如果该IP 地址已经注册,则认为是合法的,如果没有注册则认为是非法内联计算机,产生报警信息。
第五篇:机房一体化监控主机应用方案要点
机房一体化监控主机解决方案
一、概述
近年来,随着科技的进步和经济的发展带来了整个社会生活水平的提高,人们生活不再 仅仅局限于传统的衣、食、住、行,对周围的居住环境及环境安全越来越重视,安全技术防 范作为保护人民生命和财产的重要工具也越来越被广大消费者所重视。在银行、博物馆、政 府机构、商店(超市、居民社区等已经得到广泛应用。闭路电视监控系统与出入口门禁控 制系统作为安全防范系统最基本、最重要的子系统, 得到了最为广泛的应用。采用闭路监控 与出入口门禁控制为主的多种技术防范结合的系统是预防和制止犯罪最为有效的措施。数字硬盘录像系统不仅存储费用低、效率高, 而且还具有网络传输、远程传输和循环存 储等优点。与此同时, 硬盘录像系统的数字化和传输网络化等先进技术可以实现与防盗报警 等系统联网联动,及时准确地反馈现场信息,为报警事件提供充分可靠的依据。
二、系统设计原则、依据 1 设计原则
根据机房的总体结构和布局图来设计, 前端设计采用高清晰度彩色摄像机, 视频传输采 用抗干扰高屏蔽同轴电缆, 保证视频信号和控制信号的准确传输;监控录像系统采用数字化 硬盘录像系统,可以实现循环录像,并方便检索回放。
a、先进性: 在投资费用许可的情况下,系统采用当今先进的技术和设备,一方面能反映系统所具有 的先进水平, 另一方面又使系统具有强大的发展潜力, 以便该系统在尽可能的时间内与社会 发展相适应。
b、可靠性: 系统最重要的就是可靠性, 系统一旦瘫痪的后果将是难以想象的, 因此系统必须可靠地、能连续地运行,系统设计时在成本接受的条件下,从系统结构、设备选择、产品供应商的 技术服务及维修响应能力等各方面均应严格要求, 使得故障发生的可能性尽可能少。即便是 出现故障时,影响面也要尽可能小。
c、安全性: 对于安全防范系统,其本身的安全性能不可忽视,系统设计时,必须采取多种手段防止 本系统各种形式与途径的非法破坏。
d、可扩充性: 系统设计时应充分考虑今后的发展需要,系统应具有预备容量的扩充与升级换代的可 能。
e、规范性: 由于本系统是一个严格的综合性系统, 在系统的设计与施工过程中应参考各方面的标准 与规范, 严格遵从各项技术规定, 做好系统的标准化设计与施工。一切应从实际出发, 使智 能系统具有较高的实用效能。这也是智能建筑在当今之所以能迅速兴起并发展的关键所在。
三、系统架构
本监控系统由摄像、传输、图像处理和显示等四个部分组成。摄像部分
作用是把系统所监控的目标, 即把被摄体的光信号变成电信号, 摄像机的种类很多, 不 同的系统可以根据不同的使用目的而选择不同的摄像机及镜头等。
传输分配部分
作用是将摄像机输出的音视频信号馈送到中心机房或其它监控点;本部分能够应用的产 品有视频分配器、视频放大器、馈线等;本系统采用高屏蔽的同轴线缆保证传输质量。图像处理与显示部分
图像处理是指对系统传输的图像信号进行切换、记录、回放、加工和复制等功能;显示部分 则是使用监视器进行图像重现, 有时还采用投影电视来显示其图像信号。图像处理和显示部 分的主要设备有:视频切换器、监视器和硬盘录像机等。在本系统中采用的硬盘录像机(DVR +监视器 来实现图像存贮处理和显示两个环节的
四、系统功能
机房网络集中监控管理系统实现下述主要功能: 监控图像实时监视
对机房关键区域和出入口通道进行 24小时全天候监控,现场画面实时显示在本地或中 心监控中心的屏幕上。
监控图像存储和备份
前端摄像的音视频信号经编码压缩转换, 录制成文件方式保存在本地硬盘中, 支持长时 间连续不间断的录制和存储。前端所有网点的 DVR 可实现本地实时或动态录像,录像文件 和资料至少保存 1个月。
监控图像本地回放
本地可以通过监控录像回放软件, 直接在前端监控端上显示, 支持时间进度条查询和文 件查询双模式,支持同步播放模式和自由模式,切换自如。
监控图像控制
通过云台和快球等控制前端摄像的前后、左右、上下转动, 通过镜头的三可变装置控制 景深、焦距和光圈等。(未安装云台和快球此功能不能使用
通道网络状态监视
通过客户端实时监测前端设备, 在每个通道上的状态栏可以实时显示出当前通过的网络 信息,包括当前视频流的大小、累计视频网络丢包数。
五、系统特点 1.领先的应用架构
系统采用领先的数字化、网络化及智能化联网架构, 可通过高效的视音频编码技术、灵 活的网络处理技术以及智能的应用整合技术, 为用户提供高效、便捷的远程监控整体解决方 案。
2.开放的设计体系
基于开放的设计体系,可提供差异化的行业应用解决方案,以满足公安、军队、政府、金融、教育、能源、医药、交通、工业厂矿、连锁超市以及其他企事业单位等不同领域的应 用需求。
3.业务功能丰富
系统可提供丰富的业务功能,包括图像浏览、声音播放、PTZ 控制、录像存储、点播回 放、语音对讲、报警联动、电子地图等。
1、产品概述
KTR-TH23型小型机房监控一体化机是一款具有温度和湿度采集, 红外遥控信号学习与发送的功能的空调控制小型主机, 可以学习市面 上 99%以上的红外遥控器,并可控制两路开关量输出,检测 3路开 关量输入。
该产品可实现对机房温湿度实时采集,空调遥控,开关控制等, 方便对小型机房的智能化管理与监控。
2、主要参数 ● 技术指标 :
1、电 源:DC 5-12V(具有反接保护
2、工作环境:温度-20~+50℃ 相对湿度 ≤95%RH
3、控制范围:0~99℃, 0~99%RH
4、控制精度:温度 ±0.5℃,湿度 ±5%RH
5、功 耗:< 1W ●基本功能 :
1、温度测量和控制,测量范围:0~99℃
2、湿度测量和控制,测量范围:0~99%RH3、2路开关量输出4、3路开关量输入
5、可按照用户需求增添功能 ● 硬件参数
1、通讯 接口:RS485
2、传输速率:9600 bps
3、浪涌保护:RS485每线都具有 600W 雷击、浪涌保护
4、电气接口:3.96mm 标准接线端子(15位
5、体积:120*78*28(mm
6、安装方式:壁挂式
小型机房监控一体化机外观示意图 1 电 源 正 2 电 源 负 3 485 A 4 485 B 5 继 电 器 A 公 共 端 6 继 电 器 A 常 开 7 继 电 器 A 常 闭 8 继 电 器 B 公 共 端 9 继 电 器 B 常 开 10 红 外 发 射 管 正 11 红 外 发 射 管 负 12 开 关 量 输 入 A 路 13 开 关 量 输 入 B 路 14 开 关 量 输 入 C 路 15 开 关 量 公 共 端 接线端子定义(从左到右)
3、使用说明 通过上位机对设备发送学习指令,状态灯长亮,用遥控器对准设 备窗口,按下遥控器的按键,状态灯熄灭,刚才按下的键就被学习到 相应的按键地址,发送遥控指令,状态灯闪一下,遥控信号被发出。机房温湿度以及开关量状态都可以通过上位机查询与控制,学习完相 应的遥控按键后,就可对机房环境实施远程监控。6 7
点击咨询 