一种综合审计监管系统

技术领域

本发明涉及审计监管技术领域，尤其涉及一种综合审计监管系统。

背景技术

近年来，伴随着物联网、云计算、移动互联网等信息技术的迅猛发展，信息网络向着国际化、社会化、开放化、集中化、移动化和个人化的特点发展，在给人们带来方便、高效和信息共享的同时，也给信息安全带来许多新的问题和挑战，软、硬件资源的非授权、越权使用，造成敏感信息泄漏、恶意信息扩散，危及社会、国家、团体和个人的利益；目前，国内外信息安全市场主要集中在防火墙、入侵检测、漏洞扫描等防外的产品上，网络安全以单点防护为主，大量安全产品简单堆砌，形不成规模化、体系化的立体防护体系；在网络信息安全发展的现阶段，网络规模不断扩大，网络设备和节点不断增加，同时网络安全事件层出不穷，有愈演愈烈之势，仅靠过去单一的网络安全产品已无力保障网络信息的安全运行；业界过分重视防范来自外部的信息安全事件，缺乏有效的内部人员威胁解决方案，更缺少针对内部人员威胁的安全审计监控系统的技术研究和产品开发；据统计，80％的攻击事件、失窃密事件来自内部，内部人员更容易接触到涉密、重要、敏感的信息，来自内部的安全问题更多、更难防范，一旦出现内部安全问题，损失更大；信息安全综合审计监控系统是当前乃至未来信息安全产业的焦点，是信息化建设中至关重要的一环，是确保信息化健康、稳定、持续发展的关键；

在当今的信息系统中各种审计系统已经有了初步的应用，例如：数据库审计及网络信息审计等，但是，随着网络规模的不断扩大，功能相对单一的审计产品有一定的局限性，并且对审计信息的综合分析和综合管理能力远远不够；功能完整、管理统一、跨地区、跨网段、集中管理才是安全审计系统最终的发展目标；国内通常对计算机信息安全的认识是要保证计算机信息系统中信息的机密性、完整性、可用性、可控性和不可否认性(抗抵赖)，简称“五性”；安全审计是这“五性”的重要保障之一，它对计算机信息系统中的所有网络资源(包括数据库、主机、操作系统、安全设备等)进行安全审计，记录所有发生的事件，提供给系统管理员作为系统维护以及安全防范的依据，安全审计如同银行的监控系统，不论是什么人进出银行，都进行如实登记，并且每个人在银行中的行动，乃至一个茶杯的挪动都被如实的记录，一旦有突发事件可以快速的查阅进出记录和行为记录，确定问题所在，以便采取相应的处理措施；近几年，随着电子政务的发展，信息系统规模的不断扩大，系统使用的设备也逐渐增多，每种设备都带有自己的审计模块，另外还有专门针对某一种网络应用设计的审计系统，但都无法做到对计算机信息系统全面的安全审计，这就造成安全系数低，另外，现有的审计系统无法监控、审查内部人员操作行为，对用户使用计算机网络系统的所有过程无法精确跟踪，不够全面完善，因此，本发明提出一种综合审计监管系统以解决现有技术中存在的问题。

发明内容

针对上述问题，本发明提出一种综合审计监管系统，该综合审计监管系统通过多种方式来收集用户关心的审计数据，包括终端、数据库、网络、服务器、应用、云平台、应用、证书等，各系统之间独立运行，便于用户根据自身需求自由搭配，以实现实时分散处理和集中统一审计为目的，集中设置审计策略和获取审计日志，分级管理，大大提高了主机安全运行系数。

为实现本发明的目的，本发明通过以下技术方案实现：一种综合审计监管系统，包括软硬件和功能系统，所述软硬件包括审计中心、审计终端、审计界面、网络引擎和数据库引擎，所述功能系统包括终端审计监控系统、网络审计监控系统、数据库审计监控系统、服务器审计监控系统、云平台审计监控系统、证书审计监控系统、运维审计监控系统和应用审计监控系统；所述终端审计监控系统安装于受控的审计终端中，通过对被审计终端资源和重要文件与信息的审计，起到审计和监控终端资源的作用；所述网络审计监控系统将所述网络引擎连接到网络中的数据汇聚设备上，并抓取网络中的数据包，对抓到的数据包进行分析、匹配、统计，利用协议算法进行协议审计；所述数据库审计监控系统采用旁路技术对数据库的远程连接操作进行分析，通过细粒度、多层次的策略设置，定位各种企图远程登录、操作数据库的行为，并记录下其源IP、访问时间、登录用户、操作行为、访问数据库和字段详细信息，同时还原其原始操作语句；所述云平台审计监控系统用于收集云网络中的海量数据包，并对其进行分析统计，实现对被审计云平台资源和重要文件与信息的审计，起到审计和监控云平台资源的作用，同时对云平台管理员的审计与云平台用户的审计为专职机构和人员提供系统安全状况审查和评价的依据，所述证书审计监控系统通过分布式部署，实现身份认证、授权管理、证书管理功能，完善信息体系和电子认证服务，并支持身份认证工具。

进一步改进在于：所述审计中心直接安装于审计中心服务器上，处理审计客户端与审计界面发来的消息，对界面发来的请求进行回应，以及对客户端反馈的报警信息进行处理；所述审计终端直接安装于被审计的主机上，按界面下发的规则收集主机的相应信息，在满足规则的条件下，向中心发送报警信息以产生报警；所述审计界面提供图形化界面，是管理员操作审计系统的人机界面，通过它设置审计规则，读取客户端发送至主机的报警信息，查看具体的报警信息，浏览历史数据，生成各种报表；所述网络引擎用于连接到网络中的数据汇聚点设备上，抓取网络中的数据包，并对抓到的数据包进行分析、匹配、统计，通过协议规则，实现网络审计功能，并且将网络协议与流量审计记录；所述数据库引擎用于数据库的协议审计，支持对oracle、sql server主流数据库进行安全审计，同时支持达梦、人大金仓数据库的安全审计。

进一步改进在于：所述终端审计监控系统包括用户监管、进程监管、共享监管、文件监管、地址监管、服务监管、软件监管、开关机监管、打印监管、登录监管、注册表监管、日志监管、刻录监管、网络连接监管和硬件监管，所述用户监管用于对被审计主机上用户的变更，包括增加、删除、修改用户的行为进行监管，同时对被审计主机进行控制；所述进程监管用于集中收集主机上的进程信息，通过对进程黑白名单的设置，将进程设置为合法和非法进程，一旦主机上启动非法进程黑名单，及时阻断并报警，启动白名单中的进程则记录，但不阻断；所述共享监管用于对主机上的共享文件进行监控，监管主机的文件共享情况，包括共享文件路径、文件名信息，同时监控是否允许主机增加共享、删除共享操作，出现违规情况及时阻断并产生报警信息；所述文件监管用于根据文件的扩展名、文件名、路径名，对各类文件的写入、拷贝、删除、创建、读取、覆盖、移动、重命名进行审计并记录，出现违规操作及时报警；所述地址监管用于对受控主机的IP地址进行监管，允许、禁止被审计主机的IP地址修改行为，同时记录被审计主机IP地址的修改信息；所述服务监管用于收集系统服务信息，包括服务名、服务描述、服务启动类型以及服务的当前状态，并由界面实时显示，当对受控主机增加、删除服务时，产生报警信息，通过设置服务的黑白名单，启动黑名单中的服务报警，一旦对白名单中的服务进行了属性的修改则产生报警；所述软件监管用于收集被审计主机软件安装情况并对软件安装信息变化进行审计，包括软件的安装和卸载，产生相应的报警信息；所述开关机监管用于对主机的开关机操作进行监控，通过策略设置，对非指定时间内开关机的行为进行报警，所述打印监管用于对主机的打印操作进行审计监控，允许、禁止打印行为，记录打印事件和打印文件的位置和文件名；所述登录监管用于对用户各类登录终端途径的全方位监管，包括开机登录监管、锁屏登录监管登录途径，以USB_KEY加pin码的方式登录系统,提高系统登录的安全强度，并提供本地登录系统的用户登录审计，详细记录其登录信息，发现任何违规登录系统的行为产生告警；所述注册表监管用于对受控主机上注册表的变更，包括增加、删除、修改注册表的行为进行监管，同时对被审计主机进行控制，包括禁止其增加、修改、删除注册表项以及项数据；所述日志监管用于对被监控终端操作系统日志进行审计，支持操作系统的系统日志、应用日志和安全日志，分类报警和查询；所述刻录监管用于对光盘刻录的行为进行监管，禁止、允许刻录行为，并产生相应的报警信息；所述网络连接监管用于对受控主机的网络端口进行监控，监测系统所开放的TCP/IP端口，并将指定端口进行关闭，通过在策略中设置指定IP地址、域名及端口号，禁止、允许受控主机访问该地址的该端口，并产生报警；所述硬件监管用于对受控主机的硬件设备进行监管，禁止、允许指定设备的启用，包括蓝牙设备、USB存储设备、CD-ROM、本地打印机，并产生相应的报警信息。

进一步改进在于：所述网络审计监控系统包括HTTP协议监控与审计、TELNET协议监控与审计、FTP协议监控与审计、NetBIOS协议监控与审计、SMTP/POP3协议监控与审计、DNS协议监控与审计、SNMP协议监控与审计、NFS协议监控与审计、数据流量统计、端口连接情况审计，所述HTTP协议监控与审计用于对网络中发生的HTTP访问行为进行审计，包括该请求的源IP地址、目的IP地址、URL、访问发生时间和风险级别信息，并支持自定义审计策略；所述TELNET协议监控与审计用于对网络中的TELNET访问行为进行审计，包括该请求的源IP地址、目的IP地址、操作用户名、操作命令、访问发生时间和风险级别信息，并支持自定义审计策略；所述FTP协议监控与审计用于对网络中的FTP访问行为进行审计，包括该请求的源IP地址、目的IP地址、操作用户名、操作命令、文件/目录名、访问发生时间和风险级别信息，并支持自定义审计策略；所述NetBIOS协议监控与审计用于对网络中的NetBIOS访问行为进行审计，包括该请求的源IP地址、目的IP地址、操作用户名、文件/目录名、访问发生时间和风险级别信息，并支持自定义审计策略；所述SMTP/POP3协议监控与审计用于对网络中以SMTP、POP3方式进行的邮件传输行为进行审计，包括该邮件的源IP地址、目的IP地址、收件人、发件人、邮件标题、附件名称及大小、邮件收发日期和风险级别信息，并支持自定义审计策略；所述DNS协议监控与审计用于对网络中的DNS解析行为进行审计，包括该行为的源IP地址、DNS服务器地址、请求的IP地址、DNS域名、访问发生时间和风险级别信息，并支持自定义审计策略，所述SNMP协议监控与审计用于对网络中的SNMP访问行为进行审计，包括该请求的源IP地址、目的IP地址、操作用户名、访问发生时间和风险级别信息，并支持自定义审计策略；所述NFS协议监控与审计用于对网络中的NFS访问行为进行审计，包括该请求的源IP地址目的IP地址、操作用户名、访问发生时间和风险级别信息，并支持自定义审计策略；所述数据流量统计用于对网络上的数据流量进行监测和统计，支持按照IP地址、上传流量、下载流量、部门和风险级别进行分析，对超出设定流量的访问行为采取告警监控措施，并记入审计日志；所述端口连接情况审计用于对网络中端口的连接情况进行审计，包括该端口上连接行为的源IP地址、目的IP地址、网络协议、协议类型、网络端口号、访问发生时间和风险级别信息。

进一步改进在于：所述数据库审计监控系统包括连接监控与审计、数据库SQL监控与审计，所述连接监控与审计用于对数据库的基本信息和连接情况进行监控与审计，将连接数据库的计算机名称、计算机账户、计算机IP地址、网络端口、服务名、数据库管理软件名称、数据库管理软件的安全配置信息、数据库的用户及权限设置信息记入审计日志，对非授权连接数据库和连接失败行为采取告警监控措施，并记入审计日志；所述数据库SQL监控与审计用于对数据库网络访问行为进行审计，并将访问对象信息记入日志，应记录以下内容：发起访问的用户，包括用户名称、计算机IP地址、MAC地址；被访问对象的名称，包括数据库服务器名称、IP地址、数据库名称、表、视图、序列、包、存储过程、函数、库、索引和触发器；用户访问数据库的时间；用户对数据库的各种操作，包括查询、添加、修改和删除，以及访问的结果成功与否。

进一步改进在于：所述服务器审计监控系统包括用户监管、进程监管、共享监管、地址监管、文件监管、服务监管、软件监管、开关机监管、日志监管、网络连接监管、硬件监管、配置监管和性能监控，所述用户监管用于对被审计服务器上用户的变更，包括增加、删除、修改用户的行为进行监管，同时对被审计服务器进行控制，包括禁止其增加用户，禁止修改用户操作；所述进程监管用于集中收集服务器上的进程信息，通过对进程黑白名单的设置，将进程设置为合法和非法进程，一旦服务器上启动非法黑名单进程，及时阻断并报警，启动白名单中的进程则记录，但不阻断；所述共享监管用于对服务器上的共享文件进行监控，监管服务器的文件共享情况，包括共享文件路径、文件名信息，同时监控是否允许服务器增加共享、删除共享操作，出现违规情况及时阻断并产生报警信息；所述地址监管用于对受控服务器的IP地址进行监管，允许、禁止被审计服务器的IP地址修改行为，同时记录被审计服务器IP地址的修改信息；所述文件监管用于根据文件的扩展名、文件名、路径名，对各类文件的写入、拷贝、删除、创建、读取、覆盖、移动、重命名进行审计并记录，出现违规操作及时报警；所述服务监管用于收集系统服务信息，包括服务名、服务描述、服务启动类型以及服务的当前状态，并由界面实时显示，当对受控服务器增加、删除服务时，产生报警信息，通过设置服务的黑白名单，启动黑名单中的服务报警，一旦对白名单中的服务进行了属性的修改则产生报警；所述软件监管用于收集被审计服务器软件安装情况并对软件安装信息变化进行审计，包括软件的安装和卸载，产生相应的报警信息；所述开关机监管用于对服务器的开关机操作进行监控，通过策略设置，对非指定时间内开机的行为进行报警；所述日志监管用于对服务器上的系统日志、安全日志进行统一收集，集中管理；所述网络连接用于对受控服务器的网络端口进行监控，监测系统所开放的TCP/IP端口，并将指定端口进行关闭，通过在策略中设置指定IP地址、域名及端口号，禁止、允许受控服务器访问该地址的该端口，并产生报警；所述硬件监管用于对受控服务器的硬件设备进行监管，禁止、允许指定设备的启用，如蓝牙设备、USB设备、光驱、本地打印机，并产生相应的报警信息；所述配置监管针对服务器用户修改IP地址、修改主机名、修改工作组、域名核心操作进行审计，并对本地策略中与身份鉴别和登录相关的策略变更进行审计，提供对服务器自身安全策略设置的统一审计；所述性能监控用于对CPU使用率、内存使用率、队列数量、页面扫描数量、可用交换分区大小、磁盘I/O、进程数量性能相关数据进行采集。

进一步改进在于：所述云平台审计监控系统包括资源管理、服务管理、请求管理、告警事件管理、用户管理，所述资源管理包括位置管理：对数据中心的添加、修改、删除，机房的添加、删除，机架的添加进行审计，并记入审计日志；资源池管理：对虚拟化资源池的添加和删除进行审计，并记入审计日志；网络资源管理：对网络资源配置进行审计，审计内容包括网络的添加、修改和删除，并计入审计日志；软件资源配置：对虚拟机模板的创建和删除进行审计，并记入审计日志；所述服务管理包括虚拟机管理：对虚拟机的管理情况进行审计，记录的日志信息包括虚拟机的创建、启动、停止、重启、迁移、销毁和配置修改；虚拟硬盘管理：对虚拟硬盘管理进行审计，审计内容包括虚拟硬盘的挂载、卸载和删除，并记入审计日志；虚拟机备份管理：对虚拟机备份管理情况进行审计，记录的日志信息包括虚拟机备份的创建、恢复和删除；快照管理：对快照的创建、删除、应用和禁止进行审计，并记入审计日志；所述请求管理包括对申请请求、通过用户请求、拒绝用户请求进行审计，并记入审计日志；所述告警事件管理包括告警规则：对告警规则的添加、修改和删除进行审计，并记入审计日志；告警事件：对告警事件进行审计，记录的日志信息包括一般行为、异常行为和违规行为；所述用户管理包括对用户的修改、添加和删除进行审计，并记入审计日志；对角色管理进行审计，记录的日志信息包括角色的添加、修改和删除；对服务器参数配置、审批流程参数配置、计算方案参数配置和虚拟硬盘挂载方案参数配置进行审计，并记入审计日志。

进一步改进在于：所述证书审计监控系统采用基于双因素授权管理构架，形成等级制完备的信任体系，同时，证书审计监控系统监管CA、RA服务的数据库，用于查看已注册CA、RA证书的实名制状况、目前状态、证书模版、有效期信息，所述证书审计监控系统包括数字证书业务监管、证书应用监管，所述数字证书业务监管用于对提供数字证书服务的系统进行审计监管，监控服务运行情况、CA证书情况、CA证书模版、CA注册机构、RA证书、RA证书模板、RA业务受理点、历史监管状况；所述证书应用监管采用分布式、模块化的设计思想，整个系统分为证书检测、证书认证、证书注销、证书记录四部分功能，证书检测通过对证书的内容、标示进行检测分析，标明证书的可用性，证书认证用于对证书进行可用性认证，证书注销用于对过期的证书的进行注销，证书记录用于记录证书的使用、认证、注销的过程。

进一步改进在于：所述应用审计监控系统包括四大要素：行为主体、行为动作、操作客体和操作内容、操作时间，且应用审计监控系统审计监控内容包括审计日志查询、审计报表输出、用户行为审计和状态审计，所述审计日志查询用于根据指定查询条件：时间范围、主体、客体、事件种类以及自定义关键词进行检索，提供列表或视图方式的结果显示；所述审计报表输出运用审计简约与聚类归并审计数据分析处理手段，使审计报表反映第三方应用系统的安全状态，通过报表统计模块对所有的事件信息进行查询、统计、分析；所述用户行为审计提供用户访问网站的审计明细，包含：用户类型、用户名、网站名称、URL、访问终端IP地址、访问时间、访问结果，提供用户关键事件的审计明细，提供用户新增、更改、删除操作的审计明细，内容包含：操作用户类型、操作用户名、对象用户类型、对象用户名、操作主要内容、操作时间、操作结果，提供用户可访问资源清单的审计明细，内容包含：资源类型、资源名、资源发布时间、资源封停时间、资源访问用户白名单、资源访问用户黑名单；所述状态审计提供应用系统关键进程的审计明细，内容包含：进程类型、进程名、进程态、进程使用端口号、进程启动、暂停、阻塞、停止时间，并提供应用系统关键进程内部线程的审计明细，内容包含：线程类型、线程名、线程态、线程使用端口号、线程启动、暂停、阻塞、停止时间。

进一步改进在于：所述运维审计监控系统通过统一管理平台，资源监控与运维服务一体化，采集到的各类设备对象层的故障、性能、配置事件，并通过标准接口汇总到系统统一事件分析引擎，借助规则策略库和服务依赖模型，对事件进行过滤、压缩、关联、归并，定位根源告警，将告警信息集中展现于告警台，且运维审计监控系统通过事件紧急故障流程通知督办，并通过服务台及时反馈处理进展，实现事件的“统一接入、统一展现、及时通知、统一处理”，同时，运维审计监控系统跟踪运维人员的操作行为，提供控制和审计依据，防止黑客入侵和破坏；所述功能系统中，审计数据的认证和传输采用TCP/TLS协议与私有数据格式加密传输，软硬件和功能系统采用多级分布式部署，对于跨区域跨网段的大型网络在各服务节点部署管理中心，管理中心向客户端下发策略文件，并接受客户端发送的报警信息，然后保存在数据中心，多级间中心，上级中心向下级中心下发策略文件，下级中心严格按照策略执行，并制定次生策略，下级中心定时将报警信息发送到上级中心，以供上级查阅或深度分析。

本发明的有益效果为：本发明通过多种方式来收集用户关心的审计数据，包括终端、数据库、网络、服务器、应用、云平台、应用、证书等，各系统之间独立运行，便于用户根据自身需求自由搭配，以实现实时分散处理和集中统一审计为目的，集中设置审计策略和获取审计日志，分级管理，大大提高了主机安全运行系数，且本发明通过功能系统的分类设置，能够监控、审查内部人员操作行为，保护内网主机、服务器、网络、数据库、应用、运维、云平台、证书等安全，具有良好的可靠性和易用性，能够记录用户使用计算机网络系统的所有过程，提高安全性的重要工具，它不仅能够识别谁访问了系统，还能指出系统正被怎样的使用，通过对安全事件的连续收集与积累并加以分析，对其中有疑问的某些站点或用户进行审计跟踪，以便为发现可能产生的破坏性行为提供有利的证据，同时突出审计的综合性、强制性和全面性，同时，本发明全面地对整个网络、主机、服务器、数据库、云平台、证书、运维、应用进行审计与保护，能够有力抵御各种破坏行为，并采用分布式跨网段设计，集中统一管理，可对审计数据进行综合的统计与分析，更有效的防御外部的入侵和内部的非法违规操作。

附图说明

图1为本发明的概括示意图；

图2为本发明的功能系统示意图；

图3为本发明的多级分布式部署示意图。

具体实施方式

为了加深对本发明的理解，下面将结合实施例对本发明做进一步详述，本实施例仅用于解释本发明，并不构成对本发明保护范围的限定。

根据图1、2、3所示，本实施例提出了一种综合审计监管系统，包括软硬件和功能系统，所述软硬件和功能系统，所述软硬件包括审计中心、审计终端、审计界面、网络引擎和数据库引擎，所述功能系统包括终端审计监控系统、网络审计监控系统、数据库审计监控系统、服务器审计监控系统、云平台审计监控系统、证书审计监控系统、运维审计监控系统和应用审计监控系统；所述终端审计监控系统安装于受控的审计终端中，通过对被审计终端资源和重要文件与信息的审计，起到审计和监控终端资源的作用；所述网络审计监控系统将所述网络引擎连接到网络中的数据汇聚设备上，并抓取网络中的数据包，对抓到的数据包进行分析、匹配、统计，利用协议算法进行协议审计；所述数据库审计监控系统采用旁路技术对数据库的远程连接操作进行分析，通过细粒度、多层次的策略设置，定位各种企图远程登录、操作数据库的行为，并记录下其源IP、访问时间、登录用户、操作行为、访问数据库和字段详细信息，同时还原其原始操作语句；所述云平台审计监控系统用于收集云网络中的海量数据包，并对其进行分析统计，实现对被审计云平台资源和重要文件与信息的审计，起到审计和监控云平台资源的作用，同时对云平台管理员的审计与云平台用户的审计为专职机构和人员提供系统安全状况审查和评价的依据，所述证书审计监控系统通过分布式部署，实现身份认证、授权管理、证书管理功能，完善信息体系和电子认证服务，并支持身份认证工具。

所述审计中心直接安装于审计中心服务器上，处理审计客户端与审计界面发来的消息，对界面发来的请求进行回应，以及对客户端反馈的报警信息进行处理；所述审计终端直接安装于被审计的主机上，按界面下发的规则收集主机的相应信息，在满足规则的条件下，向中心发送报警信息以产生报警；所述审计界面提供图形化界面，是管理员操作审计系统的人机界面，通过它设置审计规则，读取客户端发送至主机的报警信息，查看具体的报警信息，浏览历史数据，生成各种报表；所述网络引擎用于连接到网络中的数据汇聚点设备上，抓取网络中的数据包，并对抓到的数据包进行分析、匹配、统计，通过协议规则，实现网络审计功能，并且将网络协议与流量审计记录；所述数据库引擎用于数据库的协议审计，支持对oracle、sql server主流数据库进行安全审计，同时支持达梦、人大金仓数据库的安全审计。

所述终端审计监控系统包括用户监管、进程监管、共享监管、文件监管、地址监管、服务监管、软件监管、开关机监管、打印监管、登录监管、注册表监管、日志监管、刻录监管、网络连接监管和硬件监管，所述用户监管用于对被审计主机上用户的变更，包括增加、删除、修改用户的行为进行监管，同时对被审计主机进行控制；所述进程监管用于集中收集主机上的进程信息，通过对进程黑白名单的设置，将进程设置为合法和非法进程，一旦主机上启动非法进程黑名单，及时阻断并报警，启动白名单中的进程则记录，但不阻断；所述共享监管用于对主机上的共享文件进行监控，监管主机的文件共享情况，包括共享文件路径、文件名信息，同时监控是否允许主机增加共享、删除共享操作，出现违规情况及时阻断并产生报警信息；所述文件监管用于根据文件的扩展名、文件名、路径名，对各类文件的写入、拷贝、删除、创建、读取、覆盖、移动、重命名进行审计并记录，出现违规操作及时报警；所述地址监管用于对受控主机的IP地址进行监管，允许、禁止被审计主机的IP地址修改行为，同时记录被审计主机IP地址的修改信息；所述服务监管用于收集系统服务信息，包括服务名、服务描述、服务启动类型以及服务的当前状态，并由界面实时显示，当对受控主机增加、删除服务时，产生报警信息，通过设置服务的黑白名单，启动黑名单中的服务报警，一旦对白名单中的服务进行了属性的修改则产生报警；所述软件监管用于收集被审计主机软件安装情况并对软件安装信息变化进行审计，包括软件的安装和卸载，产生相应的报警信息；所述开关机监管用于对主机的开关机操作进行监控，通过策略设置，对非指定时间内开关机的行为进行报警，所述打印监管用于对主机的打印操作进行审计监控，允许、禁止打印行为，记录打印事件和打印文件的位置和文件名；所述登录监管用于对用户各类登录终端途径的全方位监管，包括开机登录监管、锁屏登录监管登录途径，以USB_KEY加pin码的方式登录系统,提高系统登录的安全强度，并提供本地登录系统的用户登录审计，详细记录其登录信息，发现任何违规登录系统的行为产生告警；所述注册表监管用于对受控主机上注册表的变更，包括增加、删除、修改注册表的行为进行监管，同时对被审计主机进行控制，包括禁止其增加、修改、删除注册表项以及项数据；所述日志监管用于对被监控终端操作系统日志进行审计，支持操作系统的系统日志、应用日志和安全日志，分类报警和查询；所述刻录监管用于对光盘刻录的行为进行监管，禁止、允许刻录行为，并产生相应的报警信息；所述网络连接监管用于对受控主机的网络端口进行监控，监测系统所开放的TCP/IP端口，并将指定端口进行关闭，通过在策略中设置指定IP地址、域名及端口号，禁止、允许受控主机访问该地址的该端口，并产生报警；所述硬件监管用于对受控主机的硬件设备进行监管，禁止、允许指定设备的启用，包括蓝牙设备、USB存储设备、CD-ROM、本地打印机，并产生相应的报警信息。

所述网络审计监控系统包括HTTP协议监控与审计、TELNET协议监控与审计、FTP协议监控与审计、NetBIOS协议监控与审计、SMTP/POP3协议监控与审计、DNS协议监控与审计、SNMP协议监控与审计、NFS协议监控与审计、数据流量统计、端口连接情况审计，所述HTTP协议监控与审计用于对网络中发生的HTTP访问行为进行审计，包括该请求的源IP地址、目的IP地址、URL、访问发生时间和风险级别信息，并支持自定义审计策略；所述TELNET协议监控与审计用于对网络中的TELNET访问行为进行审计，包括该请求的源IP地址、目的IP地址、操作用户名、操作命令、访问发生时间和风险级别信息，并支持自定义审计策略；所述FTP协议监控与审计用于对网络中的FTP访问行为进行审计，包括该请求的源IP地址、目的IP地址、操作用户名、操作命令、文件/目录名、访问发生时间和风险级别信息，并支持自定义审计策略；所述NetBIOS协议监控与审计用于对网络中的NetBIOS访问行为进行审计，包括该请求的源IP地址、目的IP地址、操作用户名、文件/目录名、访问发生时间和风险级别信息，并支持自定义审计策略；所述SMTP/POP3协议监控与审计用于对网络中以SMTP、POP3方式进行的邮件传输行为进行审计，包括该邮件的源IP地址、目的IP地址、收件人、发件人、邮件标题、附件名称及大小、邮件收发日期和风险级别信息，并支持自定义审计策略；所述DNS协议监控与审计用于对网络中的DNS解析行为进行审计，包括该行为的源IP地址、DNS服务器地址、请求的IP地址、DNS域名、访问发生时间和风险级别信息，并支持自定义审计策略，所述SNMP协议监控与审计用于对网络中的SNMP访问行为进行审计，包括该请求的源IP地址、目的IP地址、操作用户名、访问发生时间和风险级别信息，并支持自定义审计策略；所述NFS协议监控与审计用于对网络中的NFS访问行为进行审计，包括该请求的源IP地址目的IP地址、操作用户名、访问发生时间和风险级别信息，并支持自定义审计策略；所述数据流量统计用于对网络上的数据流量进行监测和统计，支持按照IP地址、上传流量、下载流量、部门和风险级别进行分析，对超出设定流量的访问行为采取告警监控措施，并记入审计日志；所述端口连接情况审计用于对网络中端口的连接情况进行审计，包括该端口上连接行为的源IP地址、目的IP地址、网络协议、协议类型、网络端口号、访问发生时间和风险级别信息。

所述数据库审计监控系统包括连接监控与审计、数据库SQL监控与审计，所述连接监控与审计用于对数据库的基本信息和连接情况进行监控与审计，将连接数据库的计算机名称、计算机账户、计算机IP地址、网络端口、服务名、数据库管理软件名称、数据库管理软件的安全配置信息、数据库的用户及权限设置信息记入审计日志，对非授权连接数据库和连接失败行为采取告警监控措施，并记入审计日志；所述数据库SQL监控与审计用于对数据库网络访问行为进行审计，并将访问对象信息记入日志，应记录以下内容：发起访问的用户，包括用户名称、计算机IP地址、MAC地址；被访问对象的名称，包括数据库服务器名称、IP地址、数据库名称、表、视图、序列、包、存储过程、函数、库、索引和触发器；用户访问数据库的时间；用户对数据库的各种操作，包括查询、添加、修改和删除，以及访问的结果成功与否。

所述服务器审计监控系统包括用户监管、进程监管、共享监管、地址监管、文件监管、服务监管、软件监管、开关机监管、日志监管、网络连接监管、硬件监管、配置监管和性能监控，所述用户监管用于对被审计服务器上用户的变更，包括增加、删除、修改用户的行为进行监管，同时对被审计服务器进行控制，包括禁止其增加用户，禁止修改用户操作；所述进程监管用于集中收集服务器上的进程信息，通过对进程黑白名单的设置，将进程设置为合法和非法进程，一旦服务器上启动非法黑名单进程，及时阻断并报警，启动白名单中的进程则记录，但不阻断；所述共享监管用于对服务器上的共享文件进行监控，监管服务器的文件共享情况，包括共享文件路径、文件名信息，同时监控是否允许服务器增加共享、删除共享操作，出现违规情况及时阻断并产生报警信息；所述地址监管用于对受控服务器的IP地址进行监管，允许、禁止被审计服务器的IP地址修改行为，同时记录被审计服务器IP地址的修改信息；所述文件监管用于根据文件的扩展名、文件名、路径名，对各类文件的写入、拷贝、删除、创建、读取、覆盖、移动、重命名进行审计并记录，出现违规操作及时报警；所述服务监管用于收集系统服务信息，包括服务名、服务描述、服务启动类型以及服务的当前状态，并由界面实时显示，当对受控服务器增加、删除服务时，产生报警信息，通过设置服务的黑白名单，启动黑名单中的服务报警，一旦对白名单中的服务进行了属性的修改则产生报警；所述软件监管用于收集被审计服务器软件安装情况并对软件安装信息变化进行审计，包括软件的安装和卸载，产生相应的报警信息；所述开关机监管用于对服务器的开关机操作进行监控，通过策略设置，对非指定时间内开机的行为进行报警；所述日志监管用于对服务器上的系统日志、安全日志进行统一收集，集中管理；所述网络连接用于对受控服务器的网络端口进行监控，监测系统所开放的TCP/IP端口，并将指定端口进行关闭，通过在策略中设置指定IP地址、域名及端口号，禁止、允许受控服务器访问该地址的该端口，并产生报警；所述硬件监管用于对受控服务器的硬件设备进行监管，禁止、允许指定设备的启用，如蓝牙设备、USB设备、光驱、本地打印机，并产生相应的报警信息；所述配置监管针对服务器用户修改IP地址、修改主机名、修改工作组、域名核心操作进行审计，并对本地策略中与身份鉴别和登录相关的策略变更进行审计，提供对服务器自身安全策略设置的统一审计；所述性能监控用于对CPU使用率、内存使用率、队列数量、页面扫描数量、可用交换分区大小、磁盘I/O、进程数量性能相关数据进行采集。

所述云平台审计监控系统包括资源管理、服务管理、请求管理、告警事件管理、用户管理，所述资源管理包括位置管理：对数据中心的添加、修改、删除，机房的添加、删除，机架的添加进行审计，并记入审计日志；资源池管理：对虚拟化资源池的添加和删除进行审计，并记入审计日志；网络资源管理：对网络资源配置进行审计，审计内容包括网络的添加、修改和删除，并计入审计日志；软件资源配置：对虚拟机模板的创建和删除进行审计，并记入审计日志；所述服务管理包括虚拟机管理：对虚拟机的管理情况进行审计，记录的日志信息包括虚拟机的创建、启动、停止、重启、迁移、销毁和配置修改；虚拟硬盘管理：对虚拟硬盘管理进行审计，审计内容包括虚拟硬盘的挂载、卸载和删除，并记入审计日志；虚拟机备份管理：对虚拟机备份管理情况进行审计，记录的日志信息包括虚拟机备份的创建、恢复和删除；快照管理：对快照的创建、删除、应用和禁止进行审计，并记入审计日志；所述请求管理包括对申请请求、通过用户请求、拒绝用户请求进行审计，并记入审计日志；所述告警事件管理包括告警规则：对告警规则的添加、修改和删除进行审计，并记入审计日志；告警事件：对告警事件进行审计，记录的日志信息包括一般行为、异常行为和违规行为；所述用户管理包括对用户的修改、添加和删除进行审计，并记入审计日志；对角色管理进行审计，记录的日志信息包括角色的添加、修改和删除；对服务器参数配置、审批流程参数配置、计算方案参数配置和虚拟硬盘挂载方案参数配置进行审计，并记入审计日志。

所述证书审计监控系统采用基于双因素授权管理构架，形成等级制完备的信任体系，同时，证书审计监控系统监管CA、RA服务的数据库，用于查看已注册CA、RA证书的实名制状况、目前状态、证书模版、有效期信息，所述证书审计监控系统包括数字证书业务监管、证书应用监管，所述数字证书业务监管用于对提供数字证书服务的系统进行审计监管，监控服务运行情况、CA证书情况、CA证书模版、CA注册机构、RA证书、RA证书模板、RA业务受理点、历史监管状况；所述证书应用监管采用分布式、模块化的设计思想，整个系统分为证书检测、证书认证、证书注销、证书记录四部分功能，证书检测通过对证书的内容、标示进行检测分析，标明证书的可用性，证书认证用于对证书进行可用性认证，证书注销用于对过期的证书的进行注销，证书记录用于记录证书的使用、认证、注销的过程。

所述应用审计监控系统包括四大要素：行为主体、行为动作、操作客体和操作内容、操作时间，且应用审计监控系统审计监控内容包括审计日志查询、审计报表输出、用户行为审计和状态审计，所述审计日志查询用于根据指定查询条件：时间范围、主体、客体、事件种类以及自定义关键词进行检索，提供列表或视图方式的结果显示；所述审计报表输出运用审计简约与聚类归并审计数据分析处理手段，使审计报表反映第三方应用系统的安全状态，通过报表统计模块对所有的事件信息进行查询、统计、分析；所述用户行为审计提供用户访问网站的审计明细，包含：用户类型、用户名、网站名称、URL、访问终端IP地址、访问时间、访问结果，提供用户关键事件的审计明细，提供用户新增、更改、删除操作的审计明细，内容包含：操作用户类型、操作用户名、对象用户类型、对象用户名、操作主要内容、操作时间、操作结果，提供用户可访问资源清单的审计明细，内容包含：资源类型、资源名、资源发布时间、资源封停时间、资源访问用户白名单、资源访问用户黑名单；所述状态审计提供应用系统关键进程的审计明细，内容包含：进程类型、进程名、进程态、进程使用端口号、进程启动、暂停、阻塞、停止时间，并提供应用系统关键进程内部线程的审计明细，内容包含：线程类型、线程名、线程态、线程使用端口号、线程启动、暂停、阻塞、停止时间。

所述运维审计监控系统通过统一管理平台，资源监控与运维服务一体化，采集到的各类设备对象层的故障、性能、配置事件，并通过标准接口汇总到系统统一事件分析引擎，借助规则策略库和服务依赖模型，对事件进行过滤、压缩、关联、归并，定位根源告警，将告警信息集中展现于告警台，且运维审计监控系统通过事件紧急故障流程通知督办，并通过服务台及时反馈处理进展，实现事件的“统一接入、统一展现、及时通知、统一处理”，同时，运维审计监控系统跟踪运维人员的操作行为，提供控制和审计依据，防止黑客入侵和破坏；所述功能系统中，审计数据的认证和传输采用TCP/TLS协议与私有数据格式加密传输，软硬件和功能系统采用多级分布式部署，对于跨区域跨网段的大型网络在各服务节点部署管理中心，管理中心向客户端下发策略文件，并接受客户端发送的报警信息，然后保存在数据中心，多级间中心，上级中心向下级中心下发策略文件，下级中心严格按照策略执行，并制定次生策略，下级中心定时将报警信息发送到上级中心，以供上级查阅或深度分析。

本发明通过多种方式来收集用户关心的审计数据，包括终端、数据库、网络、服务器、应用、云平台、应用、证书等，各系统之间独立运行，便于用户根据自身需求自由搭配，以实现实时分散处理和集中统一审计为目的，集中设置审计策略和获取审计日志，分级管理，大大提高了主机安全运行系数，且本发明通过功能系统的分类设置，能够监控、审查内部人员操作行为，保护内网主机、服务器、网络、数据库、应用、运维、云平台、证书等安全，具有良好的可靠性和易用性，能够记录用户使用计算机网络系统的所有过程，提高安全性的重要工具，它不仅能够识别谁访问了系统，还能指出系统正被怎样的使用，通过对安全事件的连续收集与积累并加以分析，对其中有疑问的某些站点或用户进行审计跟踪，以便为发现可能产生的破坏性行为提供有利的证据，同时突出审计的综合性、强制性和全面性，同时，本发明全面地对整个网络、主机、服务器、数据库、云平台、证书、运维、应用进行审计与保护，能够有力抵御各种破坏行为，并采用分布式跨网段设计，集中统一管理，可对审计数据进行综合的统计与分析，更有效的防御外部的入侵和内部的非法违规操作。

以上显示和描述了本发明的基本原理、主要特征和优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。