【產品概述】
光盤刻錄監控與審計系統在完全貫徹和落實國家相關文件規定的基礎上，實現了對光盤刻錄的全面控制，是對光盤刻錄最佳的安全管理系統。系統采用三權分立原則，集權限控制、數據刻錄控制、安全光盤讀取和日志審計于一身，方便、有效的控制內網敏感信息通過光盤刻錄進行的數據交換。
光盤刻錄監控與審計系統是對網絡中光盤刻錄行為進行監控和審計的一套終端安全管理軟件，它采取軟硬件結合的方式對終端進行授權與防護，并具有完善的網絡管理體系。
光盤刻錄監控與審計系統由兩部分產品組成：
管理端：管理員操作界面。主要功能為終端用戶信息查詢、策略制定與下發、審計信息查詢。
客戶端：專用刻錄軟件，可以刻錄普通光盤和加密光盤，自動生成審計記錄。
【產品架構】
光盤刻錄監控與審計系統由7部分組成：WinPcap程序、SQL Server管理信息庫、Web中央管理配置平臺、區域管理器、客戶端注冊程序、管理器主機保護模塊、報警中心模塊。
1) WinPcap程序：嗅探驅動軟件，監聽共享網絡上傳送的數據。
2) 環境初始化程序：SQL Server管理信息庫，建立主機監控審計系統初始化數據庫。
3) Web管理平臺：系統的管理配置中心，包括區域管理器、掃描器、注冊客戶端的功能參數設定，網絡設備信息發現、系統應用策略制訂、報警信息顯示、定義任務功能制訂、系統用戶維護等配置操作。
4) 區域管理器：系統的數據處理中心，負責與管理信息數據庫通訊掃描終端設備、控制服務器、客戶端之間的信息、指令的下達、接受。內置網絡掃描器，用來發現網絡的終端設備,并將發現的設備信息交由區域管理器處理。
5) 客戶端注冊程序:將接收并執行服務器下發的指令,對終端行為、操作、狀態進行控制與管理。
6) 主機保護模塊:根據管理器或其他服務器具體使用的端口、網絡協議、通信IP范圍和具體的其他網絡應用來定義該計算機使用的安全級較高的網絡配置，從而防止該計算機受到惡意的IP沖突以及各種網絡、病毒攻擊。
7) 報警中心模塊：安裝在可與區域管理器所在服務器正常通訊的計算機上，本模塊可以根據管理員在系統中所配置的報警事件和危險級別提供給管理員包括電子郵件、信使服務、SNMP Trap、手機短信等多種報警方式。
【產品功能】
1) 權限控制
未授權用戶無法使用刻錄軟件刻錄數據。
針對不同用戶可授權為：禁止刻錄、對指定格式的文件設定刻錄權限、關鍵字過濾功能保障敏感文件信息無法刻錄、刻錄次數限定，可根據工作日及時間段授權刻錄、并可設定刻錄許可碼。
2) 數據刻錄控制
只有使用專用刻錄軟件進行刻錄，其他刻錄軟件無法刻錄。
授權的用戶使用專用刻錄軟件刻錄，刻錄支持特殊格式的安全光盤。
3) 特殊格式安全光盤讀取
經過加密刻錄的光盤內數據需要使用專用解密工具導入刻錄時所使用的密鑰才可解密，解密后文檔才可正常讀取
專用刻錄軟件刻錄的普通光盤在任何光驅上都能被正常讀取。
4) 安全審計
刻錄行為的審計，包括：刻錄計算機IP、MAC、刻錄時間、源文件絕對路徑、目的文件絕對路徑等信息。
客戶端系統配置變化審計。
靈活過濾條件查看日志；
日志、統計報表提供WORD及EXCEL等格式的輸出。
【產品特性】
1) 分級管理
光盤刻錄監控與審計系統支持對管理員分級管理，實現不同管理員管理不同內容,可進行授權、管理和審計等多種角色劃分，用戶分為超級用戶、普通用戶和審計用戶。
超級用戶：開設并分配用戶及權限。設定權限時根據工作需要，規定該用戶所能操作的策略、管理的區域及查看的信息。設定權限時還可以根據工作需要設定用戶為只讀（只能看數據，不能改數據）、讀寫權限用戶。
普通用戶：根據超級用戶設定的權限進行日常工作的維護與管理。
審計用戶：提供對系統管理用戶的操作行為記錄，記錄管理員操作執行的策略詳細內容。
2) 通信保護
光盤刻錄監控與審計系統的組件間通信時，數據傳輸是經過加密的。
服務器端使用TCP協議80、88端口，終端使用TCP協議22105端口，同時終端數據上報和服務器端指令、策略下發采用加密算法，防止他人旁路嗅探信息。
終端和服務器端相互通信使用雙向認證機制，防止已安裝同類終端的非本網絡計算機非法進入網絡，同時也防止模擬的假終端和服務器進行通信。
3) 終端保護機制
光盤刻錄監控與審計系統的終端系統具備極強的自我保護功能，在正常模式和安全模式下均提供終端安全代理自身防護功能。并可防止用戶停止代理進程、破壞代理運行目錄和相關文件、停止代理相關服務。如需要，終端安全代理的程序和進程可做到用戶不可見。
若網管要求強制卸載客端時，系統對終端安全代理提供特定的卸載程序，用戶只能通過運行卸載程序停用／刪除終端安全代理或通過管理平臺遠程卸載。
4) 系統日志
光盤刻錄監控與審計系統提供局域網終端光盤刻錄監控審計和操作審計機制，保證系統的穩定運行。
用戶登錄日志：詳細記錄登錄用戶登錄時間、IP地址、登錄用戶名稱等，以備進行事后審計。
策略操作日志：針對管理員對系統策略的修改、增刪等各種操作進行詳細記錄。
5) 系統安全性設計
保證管理系統服務器端使用的安全性，保證其受到惡意修改IP地址的方式攻擊時的仍可正常工作，保證其在遭受DDOS攻擊時仍可正常工作。管理系統終端不會被用戶手動卸載或意外停止，僅能通過特殊工具卸載。要求終端出現異常（如停止工作）時管理端可自動獲知情況并可進行相應的處理。
6) 服務器安全設計
服務器系統具備保護服務器的終端數據包過濾功能。網絡中出現惡意修改成與管理服務器相同信息（如相同的IP地址、相同的MAC地址等）的機器時，出現IP地址或MAC地址沖突等現象時，管理服務器將不會被阻斷出網（即不會出現地址沖突的現象），只有發起惡意攻擊的設備會被自動阻斷，不會影響管理服務器的正常管理。