1、做三级保密资格认证,必须要装主机审计软件吗?不装扣多少分?
做三级保密资格认证,需要安装主机审计软件,安全保密策略与审计项目分值8分。如果不装肯定会扣分。具体多少分值根据实际情况来定,如果没有建立相关制度,那肯定是扣8分。
2、什么是主机监控与审计
举个例子:某天,我拿U盘到涉密机上拷走了资料,审计系统就可以查询到哪天,那个人(用户),用什么方式,做了什么操作。
审计的主要作用就是记录下在计算机系统上做的事情。他的目的是1 预防对计算机系统进行的有害操作,防治在先 2 对已经产生危害的操作进行记录,便于查找和处理问题。
涉密机器在这方面的要求会更高,这样做是为了预防泄密和泄密后的事故查询。
3、如何破解鼎普主机监控与审计系统
系统简介:鼎普主机监控与审计系统综合运用中间层驱动、驱动拦截、线程注入等技术手段,对涉密网络计算机进行实时监控和审计。该系统可有效防止涉密计算机随意使用外设、非法拨号上网,防止外来计算机随意接入内部网络等违规行为,并进行实时监控,使各种违规行为如同孙悟空逃不脱如来佛手掌心一样难逃监控。个人使用感受:这个软件确实比较牛,玩计算机也有几年了,还是第一次受人操控这么久。装上这个软件之后,常规的方法根本无法卸载(我通过破解手段强行解压了其安装程序,知道它安装了哪些文件到我的计算机中),几个进程之间互相监控,安全模式下都无法结束进程,这是其一;其二是即使你用非常规方法(如用进程执法官强行删除进程及文件),再次启动时这几个进程是没了,但你还是用不了U盘、软盘等外接存储设备。软件安装时会向你的drivers文件夹拷贝数个文件并注册成驱动,拦截了系统本身的驱动,造成U盘插进去没反应,如果你强行删除这几个驱动,呵呵,你的机器就会挂掉,蓝屏,安全模式及最后一次正确配置启动均无法启动。破解方法提示:在网上查了一下,这类软件不少,估计很多保密比较严格的军工企业及银行部门都在装机使用中。经过一段时间的摸索,在这里从技术层面给出一种比较笨但又绝对有效的破解方法(前提是你有管理员权限,并且有下文提到的软件)。如果你是一个细心的人,经常备份注册表,那恭喜你,很Easy,你恢复注册表就一切OK,如果你没有备份注册表且已经安装了监控程序,那么只有想办法找出安装软件前后注册表的变化情况并逐项修正,怎么找?向您介绍虚拟机软件,比如VMvare WorkStation,装上该软件,并在其中装上一个与你本机相同的操作系统windows xp,保存主机状态。然后用注册表快照工具保存一份快照,紧接着安装监控软件,安装完成后再保存一份快照,并利用程序自带的比较功能生成一个文本文档,接下来的工作就比较枯燥了,分析这份文档吧,剔除一些无用的项,打开虚拟机的注册表编辑器,将新增加的项删除,将修改的项再修改回去。有可能有些项会删除或修改不了,在该项上点右键,设置相应的权限就可以了。一定要有耐心,逐条逐条的校对,少删一条都有可能导致系统崩溃,不过在虚拟机中没关系,点一个按钮,几秒钟就恢复了,真实环境中就要细心些了。
4、主机审计是什么?
5、Linux 主机审计
Linux 主机审计
Linux操作系统可以通过设置日志文件可以对每个用户的每一条命令进行纪录,不过这一功能默认是没有打开的。
开启这个功能的过程:
# touch /var/log/pacct
# action /var/log/pact
也可以用自已的文件来代替/var/log/pacct这个文件。但必须路径和文件名的正确。
sa命令与 ac 命令一样,sa 是一个统计命令。该命令可以获得每个用户或每个命令的进程使用的大致情况,并且提供了系统资源的消费信息。在很大程度上,sa 又是一个记帐命令,对于识别特殊用户,特别是已知特殊用户使用的可疑命令十分有用。另外,由于信息量很大,需要处理脚本或程序筛选这些信息。
lastcomm命令, 与 sa 命令不同,lastcomm 命令提供每一个命令的输出结果,同时打印出与执行每个命令有关的时间印戳。就这一点而说,lastcomm 比 sa 更有安全性。如果系统被入侵,请不要相信在 lastlog、utmp、wtm中记录的信息,但也不要忽略,因为这些信息可能被修改过了。另外有可能有人替换了who程序来掩人耳目。通常,在已经识别某些可疑活动后,进程记帐可以有效的发挥作用。使用 lastcomm 可以隔绝用户活动或在特定时间执行命令。
3、使用logrorate对审计文件管理
/var/log/utmp,/var/log/wtmp和/var/log/pacct文件都是动态的数据文件。wtmp和pacct文件是在文件尾部不断地增加记录。在繁忙的网络上,这些文件会变得很大。Linux提供了一个叫logrotate的程序,它允许管理员对这些文件进行管理。
Logrotate读取/etc/logrotate.d目录下的文件。管理员通过该目录下的脚本文件,控制logrotate程序的运作。一个典型的脚本文件如下:
{
rotate 5
weekly
errors root@serve1r
mail root@server1
copytruncate
compress
size 100k
}
脚本文件的含义如下:
● rotate 5——保留该文件一份当前的备份和5份旧的备份。
● weekly——每周处理文件一次,通常是一周的第一天。
● errors——向邮件地址发送错误报告。
● mail——向邮件地址发送相关的信息。
● copytruncate——允许进程持续地记录,备份文件创建后,把活动的日志文件清空。
● compress——使用gzip工具对旧的日志文件进行压缩。
● size 100k——当文件超过100k 时自动处理。
6、涉密机必须要上主机监控审计吗?上这个软件的主要作用是什么?
举个例子:某天,我拿U盘到涉密机上拷走了资料,审计系统就可以查询到哪天,那个人(用户),用什么方式,做了什么操作。
审计的主要作用就是记录下在计算机系统上做的事情。他的目的是1 预防对计算机系统进行的有害操作,防治在先 2 对已经产生危害的操作进行记录,便于查找和处理问题。
涉密机器在这方面的要求会更高,这样做是为了预防泄密和泄密后的事故查询。
7、主机监控审计系统好用吗
举个例子:某天,我拿U盘到涉密机上拷走了资料,审计系统就可以查询到哪天,那个人(用户),用什么方式,做了什么操作。
审计的主要作用就是记录下在计算机系统上做的事情。他的目的是1 预防对计算机系统进行的有害操作,防治在先 2 对已经产生危害的操作进行记录,便于查找和处理问题。
涉密机器在这方面的要求会更高,这样做是为了预防泄密和泄密后的事故查询。
8、查看CPU序列号属于主机审计吗?
一、CPU都有一个唯一的ID号,称CPUID,是在制造CPU的时候,由厂家置入到CPU内部的。 二、查看方法回: 1、右点开始,答选运行,并输入CMD。 2、输入wmic CPU get ProcessorID ,就可以得到ID。 三、作用和意义:由于CPU外在的所有标记、符号,都是可以人为打磨,而CPUID却是终身不变的,只能用软件读出ID号;因此,利用这个原理,CPU ID工具可以显出CPU的确切信息,包括移动版本、主频、外频、二级缓存等关键信息,从而查出超频的CPU,并且醒目地显示出来。
9、北信源主机监控审计与补丁分发系统怎么样
举个例子:某天,我拿U盘到涉密机上拷走了资料,审计系统就可以查询到哪天,那个人(用户),用什么方式,做了什么操作。
审计的主要作用就是记录下在计算机系统上做的事情。他的目的是1 预防对计算机系统进行的有害操作,防治在先 2 对已经产生危害的操作进行记录,便于查找和处理问题。
涉密机器在这方面的要求会更高,这样做是为了预防泄密和泄密后的事故查询。
10、为什么要引入主机安全审计
主机安全审计只是信息系统安全审计中的一块内容