浅谈主机监控与审计系统的发展方向

摘 要：主机监控与审计系统作为一种常用且主要的内网安全管理系统对很多单位和部门的信息安全起到了至关重要的作用。通过对现有主机监控与审计系统的功能进行分析和梳理，指出当前主机审计系统普遍存在的问题和缺陷。结合主机监控与审计系统既有标准和新的技术发展趋势，从技术、架构、用户体验等多维度多角度展望主机监控与审计系统的发展方向，其中包括：平台化、跨平台、网络化、智能化、虚拟化和标准化。

关键词：主机监控与审计 平台化 智能化 虚拟化

中图分类号：TP393 文献标识码：A 文章编号：1672-3791（2015）10（c）-0016-02

Abstract：Host computer monitoring and auditing system， as an intranet security management system， it plays an important role of the computer information security in some units and departments.We point out the shortcomings of this system by analyzing the functions of the current host computer auditing bining existing standards of host computer auditing system and the new trend of IT technology，we look ahead the direction of future host computer monitoring and auditing system from different aspects and angles.Such as platformization，cross-platform compatibility，networking，intelligentialize，virtualization， standardizing.

Key Words：Host computer monitoring and auditing system； Platformization； Intelligentialize； Virtualization

随着计算机信息技术不断发展和普及，计算机及网络已成为人们日常生产、生活所必须的重要组成部分，然而在享受着计算机和网络带给人们方便、快捷的同时，信息安全问题随之显现并日益突出。目前，从国家到企业到个人对信息安全重要性的认识都有了很大的提升，在此背景下，主机监控与审计系统开始快速发展并得到广泛应用。但目前市场上主流的主机监控与审计系统基本上还属于传统模式。而新的软、硬件技术和网络技术的快速发展以及用户需求的不断提升，促使主机监控与审计系统也要赶上时代的步伐。对于未来主机监控与审计系统的发展方向，该文从技术和架构的六个不同方面进行简要的分析和阐述。

1 主机监控与审计系统的六个发展方向

1.1 系统平台化

现有的主机监控与审计系统所监控内容相对局限，扩展性较差，系统无法快速适应新的软、硬件的变化。当有新需求时很难在既有系统上无缝添加新功能，即便可以添加，也可能由于不同功能的兼容性问题形成繁多的系统版本分支，大大提高了系统维护难度。

为解决上述问题，就需要把系统抽象为平台，把主机审计系统变为基础安全管理平台。将各种与安全和管理相关的功能都作为不同的业务模块集成于该平台之上。作为一个综合的安全业务承载平台，应实现多种业务模块的在线热插拔。当需要添加或修改某些业务模块时，在安全许可的前提下随时可将某些业务模块插入或拔除，从而提高系统的稳定性和可扩展性，并减少系统维护的工作量。

1.2 受控主机端跨平台

传统的桌面操作系统市场份额几乎被Windows独揽，而手机、平板等移动智能设备的出现和快速发展打破了Windows一方独霸的格局。操作系统的种类和份额在发生着重大变化，而且随着嵌入式技术的普及和国家对操作系统安全的重视，Linux也逐渐得到发展。因此实现统一的、跨不同操作系统的综合监控审计平台至关重要。

受控主机端应支持常用操作系统，包括windows系列，如：Windows7、Windows8、windows Server 2008等；Linux系列，如：CentOS、Ubuntu、Debian等；UNIX系列，如：Mac OS、solaris、AIX等；支持手机操作系统，如：android和iOS等。

1.3 系统网络化

原有的主机监控与审计系统基本上都是以独立的受控主机为主要的被监控对象。但是近年来随着网络技术的不断发展与进步，尤其是无线网络的快速发展，使得很多智能设备实现网络互连成为可能，在同一网络内各种智能设备共享系统网络资源。为了保证网络的整体安全性，不仅需要加强对网络自身的监控，同时也需要将连入网络中的各种智能设备逐步纳入到被监控范围内。

系统应支持多种不同的网络类型，包括：内网、专网、公网、移动网络等。监控的智能设备不仅包括PC、服务器等传统的计算机设备，还应支持更多的网络设备以及终端设备，如：交换机、路由器、防火墙、ISCSI、IPSAN、NAS、网络打印机、网络传真机、平板电脑、手机等。

支持RFID，提供资产管理、台账等辅助功能。

支持UTM，支持与UTM设备的深度结合。把主机监控与网络监控形成一个整体，支持对UTM设置策略，收集并审计UTM上报的日志信息。

把所有可能连入网络的设备都集中监控起来，在有效网络边界内形成对各种固定或移动终端的综合安全监控防护体系，提高系统监控范围的完备性。

1.4 分析智能化

现有主机监控与审计系统中两个重要的功能就是日志审计和下发策略，但目前的日志审计和下发策略基本上都是由三员中的安全保密管理员进行人工操作的。由于技术所限，人工审计和人工下发策略在现有条件下确实有其长期存在的必要性，但从长远发展趋势来看，自动或半自动审计必将成为审计和策略下发的一种常用辅助手段。

后台的中心服务应提供专家系统，通过知识库、推理机、人工神经网络、模式识别等一系列技术对日志及策略进行不断的分类、整理、学习和锻炼，从而实现自动审计、自动统计、自动策略优化等高级别自动化功能，提供技术建议，提供事前预警机制和事后分析追溯机制。进而减少人工参与度，提高系统的可用性和易用性。

1.5 系统虚拟化

随着IDC和云的发展，虚拟化随之蓬勃发展。虚拟化的发展彻底颠覆了人们对传统主机概念的理解，很多国际大型虚拟化厂商均推出了以资源池为基础的虚拟化方案，在此之上建立云或智能IDC。该方案中所有物理主机的资源被整合为一个大的资源池，用户可以根据具体的需求生成特有的虚拟主机，各种业务运行于这些虚拟主机之上。

虚拟化很好的解决了负载均衡、容灾备份、资源动态分配等物理主机较难解决的问题，但硬件软件化也可能会产生出很多安全风险和隐患。因此需要主机审计系统与虚拟化系统在底层建立更加紧密的联系，促成主机审计系统与虚拟化系统的深度结合，更好的保证虚拟主机的信息安全。

1.6 日志标准化

该系统应支持以SYSLOG服务器为代表的标准化日志服务器系统，可以把各种日志信息转换为SYSLOG日志，并上传SYSLOG服务器，从而实现日志标准化。这方面目前很多主机监控与审计系统已实现。

2 结语

综上所述，未来的主机监控与审计系统必定会随着各种信息技术的发展而快速发展，为了更好的保护系统安全，平台化、跨平台、网络化、智能化、虚拟化和标准化等都可能成为未来主机监控与审计系统发展的方向。

参考文献

[1] 袁萌.内网主机监控与审计系统解决方案[J].计算机安全，2008（12）：44-45.

[2] 程云鹏.信息系统中的应用服务安全防护解决方案[J].信息安全与通信保密，2011，9（8）：26-28.

[3] 刘海宝，蔡皖东，许俊杰，等.分布式网络行为监控系统设计与实现[J].微电子学与计算机，2006，23（3）：76-79.

[4] 蔡家楣，蔡其星，江颉.基于遗传神经网络分析的内网用户行为审计系统[J].计算机系统应用，2009，18（2）：5-8.