随着信息安全技术和理念的发展，用户对于设备使用人行为控制与审计的需求越来越突出，国内外均已颁布相关的政策和法规，明确的提出了对主机行为的监控和安全性要求。必须通过技术手段使各种管理条例落实，增强用户的安全和保密意识，保护内部的信息不外泄。

针对涉密单位用户行为控制，如计算机打印刻录、移动存储设备、账户变化、进程服务、用户行为监控等问题。因此采用监控存储设备内容的技术手段，可以灵活地监控涉密计算机外设、用户行为等情况，自动上报非法文件操作并及时报警，集中分发与部署策略，对受控计算机的各种操作行为进行监控和记录，及时发现违规行为。使涉密信息交换工程中得到了安全保障，给涉密单位涉密计算机、敏感、涉密信息的管理、工作效率与安全性提供了最好的解决方案。

信果主机监控与审计系统（国产版）能够对计算机进行全面的监控，包括对系统信息及配置监控、文件操作监控、软件硬件监控、进程及服务监控、账户变更等登录开关机时间监控，局域网内可对网络及端口进行全方位的监控，并能对审计信息及告警进行统一整理和分析，做到事中监控、事后审计，实现对内网主机系统的统一监控、管理和维护，全方位帮助单位加强计算机的安全防护及管理，保证网内信息安全。


2.产品功能

 

1）计算机状态监控

• 软件、硬件监控。本系统可监控主机的软件、硬件信息，当发生变更时，产生日志并告警。
• 进程、服务监控。本系统可监控主机的进程、监控进程的子进程、服务，出现异常及时进行报警。
• 性能监控。本系统可监控主机的CPU、磁盘剩余空间、内存的使用情况，超出阀值及时进行报警。
• HTTP、端口监控。监控端口和HTTP时，可使用黑白名单两种方式，双重保证主机网络状态的可控性。

2） 报警策略

根据为系统部署的各种监控策略，系统会发出报警事件，提供管理者查看相关事件，修改部分报警策略，解决处理相关问题。

3） 用户行为监控

• 端口的控制，禁止或者允许用户对端口的使用。
• 对涉密计算机的文件操作记录进行监控。
• 对涉密计算机是否受到ARP攻击进行监控。
• 对文件类型与文件路径进行监控。
• 对用户修改网络设置进行监控，用户修改网络相关配置（如IP地址、子网掩码、网关等）。
• 对用户上网HTTP进行监控，禁止或者允许用户访问部分域名或IP。
• 对用户安装软件、硬件变更进行监控。
• 对用户打印刻录、进程服务进行监控。

4） 策略部署

• 多种不同策略部署多台主机。
• 部署同一策略的主机，修改策略会自动部署修改后的策略。
• 通过级联，上级服务器可实现监控与管控下发服务器下的客户端。客户端所产生的日志会传输到下级服务器，再通过下级服务器传输到上级服务器。
• 系统产生的白名单操作、强访开关操作等非法操作，不论有没有部署策略都会上传到服务器。

5）端口监控

对被监控计算机上正在占用的端口或端口范围进行实时监视，并根据端口或端口范围黑名单对端口进行控制。如果某个端口或端口范围被加入黑名单，主机监控代理将禁止该端口或端口范围的使用，并产生日志。对于白名单内的端口或端口范围，没有管控，只会产生日志。

6）计算机用户账号监控

该功能主要对计算机用户账号的更改情况进行监控，包括增加、删除、改名、修改属性等。一旦发现计算机用户账号有改动，立即向控制台发送报警信息。

7）网络配置管控

对系统中配置的IP、子网掩码、网关等自动扫描，通过主机审计系统时刻监控。

8 ）文件监控

对主机上的某些特定文件，需要制定一定的保护策略，管理员能够设置受控上制定文件的操作监控，包括访问、读、写、复制、粘贴、重复名，有效的监控文件。

9） 软件安装/卸载监控

监控受控主机上的软件安装/卸载行为，根据策略控制要求，可以记录用户安装/卸载软件，监控受控主机安装/卸载软件。

10） 主机管理

对安装了客户端的受控制的主机进行管理，帮助管理员对主机用户进行监控管理，包括正在运行的进程、服务、已安装软件、占用端口、传输流量等。

11） 主机信息获取

获取主机上的各种详细信息，如用户名、运行时间、IP、MAC地址、策略应用情况等 ，对主机的运行进行监控。

12）时间段管理

在管理端设置指定时间段，非指定时间段开启计算机，会产生日志并报警。