基于網(wǎng)絡(luò)的審計是指直接從網(wǎng)絡(luò)中收集各種會話信息,從網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)(traffic)和行為中提取審計信息。會話(Session)是NBA的基本審計單元�����,其主要內(nèi)容有:
會話標識
源目的地址和端口
協(xié)議
日期和時間
成功與失敗
摘要
NBA的特點是部署快速,對應(yīng)用系統(tǒng)影響小��,覆蓋面大�,不容易被繞過,不容易被竄改等�����。普通的基于網(wǎng)絡(luò)的審計系統(tǒng)主要通過收集包括路由器�����、交換機�����、防火墻����、入侵檢測等網(wǎng)絡(luò)和安全設(shè)備記錄的日志來實現(xiàn)。這樣實現(xiàn)的審計系統(tǒng)丟失了網(wǎng)絡(luò)會話的絕大部分內(nèi)容��,無法提供事件分析所需的完整的網(wǎng)絡(luò)行為回放(Replay)����,而這正是視頻審計的最大優(yōu)勢(我想大家對城市交通攝像頭不陌生吧,那就是視頻交通審計的最大優(yōu)勢)�。而回放卻是安全事件分析中最為重要的技術(shù)手段之一。當(dāng)前也出現(xiàn)了一些通過交換機鏡像方式工作的網(wǎng)絡(luò)審計系統(tǒng)���,它們能夠完整的記錄網(wǎng)絡(luò)中流經(jīng)的數(shù)據(jù)��,但是卻不容易深入到敏感數(shù)據(jù)和應(yīng)用����、不容易定位到用戶�����。另外�����,最為致命的缺陷是它們不能有效地審計那些使用了加密協(xié)議的會話�����。當(dāng)前為了對抗網(wǎng)絡(luò)竊聽,大多數(shù)網(wǎng)絡(luò)維護和業(yè)務(wù)操作都采用加密協(xié)議來完成����,例如普遍使用的遠程桌面(Windows Remote Desktop, RDP)采用了加密協(xié)議�����。這些普通的基于網(wǎng)絡(luò)的審計系統(tǒng)針對RDP只能望洋興嘆����、無能為力。
綜上所述��,除去性能和穩(wěn)定性代價之外�,單純依賴主機日志建立的審計系統(tǒng)是不完善的,沒有足夠的可信度���。而普通的基于網(wǎng)絡(luò)的審計系統(tǒng)又無法解決承擔(dān)大部分運維工作的RDP等加密通信協(xié)議的問題��。上面兩種類型傳統(tǒng)審計技術(shù)實現(xiàn)的審計系統(tǒng)存在的缺陷是顯而易見的�。我們需要一種既能全面覆蓋��,又能全面記錄����、理解加密協(xié)議、幫助深入挖掘的審計系統(tǒng)��,它需要同時具備兩種類型審計系統(tǒng)的綜合優(yōu)勢��。扎根于網(wǎng)絡(luò)信息安全領(lǐng)域的ThinkAny深刻地感受到了安全審計遇到的這些挑戰(zhàn)�,充分挖掘核心團隊在安全領(lǐng)域多年耕耘的經(jīng)驗和技術(shù)潛能,研究開發(fā)了新型的基于視頻記錄審計系統(tǒng) ThinkAny視頻審計系統(tǒng)��,為審計系統(tǒng)帶來了深入的分析和回放功能��,全面覆蓋管理維護活動中常用的網(wǎng)絡(luò)協(xié)議����,克服了普通審計系統(tǒng)不能理解加密協(xié)議的不足,成為企業(yè)信息系統(tǒng)運行過程中值得信賴的"黑盒子"和分析師�。
2. ThinkAny解決之道
大型企業(yè)和組織的核心業(yè)務(wù)系統(tǒng)由大量的Unix/Linux服務(wù)器、Windows服務(wù)器��、網(wǎng)絡(luò)設(shè)備��,以及運行其上的各種應(yīng)用組成���,這些應(yīng)用系統(tǒng)可能包括ERP����、CRM、資源管理系統(tǒng)��、計費系統(tǒng)����、辦公自動化、電子運行維護系統(tǒng)����、知識管理系統(tǒng),以及其它各種C/S或B/S應(yīng)用��。通常��,運行維護人員使用使用Windows Remote Desktop Protocol (RDP)來遠程管理Windows服務(wù)器�����,另外�,VNC /HTTP /FTP /Rlogin等在日常維護過程中也多有使用。
ThinkAny Agent可以智能識別包括上面提到的RDP和Netop等多種加密協(xié)議��,將這些數(shù)據(jù)嚴格地按照會話進行重組并且記錄下來,傳送回數(shù)據(jù)中心�,以備審計和查詢使用。依靠ThinkAny可以實現(xiàn)功能強大的審計體系:覆蓋大多數(shù)加密和非加密網(wǎng)絡(luò)協(xié)議�����,包括RDP�、Citrix ����、Terminal Services 、VMware ����、VNC等?���?梢詫Σ僮鬟M行回放和檢索查詢提供開放的數(shù)據(jù)和管理接口,幫助構(gòu)建全面的審計平臺可以基于策略的審計視頻記錄�����,可以通過應(yīng)用(Application)�、用戶( User��、Server)�����、 特殊的應(yīng)用屏幕圖像(Speci c Application Screens)���、特殊的API接口類型(API to control recording)建立分類策略進行視頻記錄審計。
應(yīng)用會話的全面記錄
在主控臺的左面可以直觀地看到當(dāng)前記錄的網(wǎng)絡(luò)會話���,管理員可以按照需要對其中每個會話選擇回放和更新�����。在屏幕的右面則顯示了選中的會話的審計記錄��。
會話全視頻回放
完整的視頻會話記錄提供了事件分析和審計的技術(shù)基礎(chǔ)����,而回放則是在此基礎(chǔ)上的重要分析手段���,而又是當(dāng)前普通的審計系統(tǒng)和主流的安全信息管理和安全運行中心產(chǎn)品所不具備的�����。ThinkAny視頻記錄審計系統(tǒng)可以做到這一點����。如下圖所示,分別是針對網(wǎng)絡(luò)中的RDP會話�����、VMvare和VNC會話進行回放的屏幕�����。審計員可以使用條件搜索��,選擇特定的時間��、特定的通信方以及特定的會話等進行回放��。
審計記錄查詢
ThinkAny視頻審計提供針對審計記錄的多功能組合查詢�����,如下圖所示�����,查詢條件包括開始和結(jié)束時間�、應(yīng)用、用戶名���、視頻中的某個字符等��,查詢的結(jié)構(gòu)可以直接生成報表并自動找到相應(yīng)的視頻錄像��。
報表系統(tǒng)
ThinkAny提供靈活的報表系統(tǒng)���,幫助管理員掌握一定時間段內(nèi)的系統(tǒng)運行維護的整體狀況和軌跡,例如按照下面變量的各種視圖:
特定日期和周期�,例如每日,每周����,每月
每日特定的時間段,例如可定義的上班時間(8:30 – 5:30)和下班時間
特定的服務(wù)器
特定的維護終端
特定的維護工程師
特定的應(yīng)用系統(tǒng)
系統(tǒng)登錄
ThinkAny的主控臺采用專門的圖形界面�����,管理員可以選擇加密登錄應(yīng)用服務(wù)器和Agent器���,以規(guī)避竊聽等安全威脅��。另外���,在主登錄界面��,管理員還可以選擇已經(jīng)保存過的歷史查詢條件��,已提高管理效率�。
數(shù)據(jù)轉(zhuǎn)儲
通常審計數(shù)據(jù)可能需要保存若干年���,ThinkAny視頻審計提供會話數(shù)據(jù)轉(zhuǎn)儲功能���,可以把保存在中心數(shù)據(jù)庫上的會話數(shù)據(jù)轉(zhuǎn)儲到本地或者其他介質(zhì)���。同時ThinkAny控制臺也可以加載轉(zhuǎn)儲到本地的歷史會話數(shù)據(jù)��,并進行查詢����、回放等操作�。
ThinkAny存儲效果讓你大吃一驚,1000臺服務(wù)器一年的存儲空間只需區(qū)區(qū)的50Gb存儲空間,另外ThinkAny的Agent效率也非常高�����,占用服務(wù)器的資源非常小�����,不到服務(wù)器CPU使用率的1%���!
畫面實時事件通知功能
控制臺可以實時顯示ThinkAny Agent的實時事件���。實時事件通過畫面來定義,如果某個用戶或管理員在使用過程中出現(xiàn)了我們預(yù)定義好的某個畫面���,控制臺就會報警�,并同時通過Email的形式告知相關(guān)的管理者����!如,某臺服務(wù)器不能卸載某個軟件���,你可以定義好卸載畫面�����,如果每個管理員試圖卸載�����,當(dāng)他訪問這個畫面的時候ThinkAny視頻審計系統(tǒng)就會報警�����,并根據(jù)預(yù)先定義好的語言進行警告(如你定義好的警告語言是:不準卸載此軟件��,否則后果自負)�����,系統(tǒng)馬上會出現(xiàn)警告語言:"不準卸載此軟件���,否則后果自負",同時通過Email系統(tǒng)告訴相關(guān)的管理者�。
實時會話錄像功能
ThinkAny控制臺界面中能實時感知新的會話開始及已連接會話的結(jié)束。實時會話顯示方便監(jiān)控特定的敏感會話����。
視頻培訓(xùn)功能
如果管理員想通過視頻的方式培訓(xùn)公司的用戶�����,ThinkAny可以事先錄下管理員安裝或配置某個軟件的過程��,用戶可以通過訪問這些視頻錄像進行學(xué)習(xí)�,達到培訓(xùn)的效果����。
ThinkAny視頻記錄審計系統(tǒng)架構(gòu)
如圖所示,ThinkAny視頻記錄審計系統(tǒng)由Agent代理��、應(yīng)用服務(wù)器���、數(shù)據(jù)庫和控制臺等四個系統(tǒng)模塊組成�,它們的主要功能分別是:
Agent代理收集每個應(yīng)用的圖像數(shù)據(jù)���、應(yīng)用服務(wù)器收集來自Agent的所有數(shù)據(jù)并把數(shù)據(jù)送到數(shù)據(jù)庫���、數(shù)據(jù)庫儲存視頻數(shù)據(jù)流、控制臺以WEB界面的方式管理ThinkAny視頻記錄審計系統(tǒng)���,同時進行應(yīng)用審計的錄制與回放���。
4. ThinkAny視頻記錄審計系統(tǒng)的優(yōu)勢
在內(nèi)控和安全審計的重要性與日俱增的今天����,ThinkAny為大型企業(yè)和組織的內(nèi)控和符合性旅程帶來了前所未有的系統(tǒng)增益���。它的主要優(yōu)勢體現(xiàn)在:
業(yè)界唯一的支持圖形關(guān)鍵字查詢
業(yè)界唯一的支持關(guān)鍵圖片告警
業(yè)界唯一的支持鼠標點擊顯示
支持第三方應(yīng)用發(fā)布系統(tǒng)記錄和回放(如:Citrix)
統(tǒng)一安全訪問并實現(xiàn)單點登錄
支持任何應(yīng)用程序記錄和回放
可自定義回放內(nèi)容及多種保存方式
多種部署方式無需改變用戶����、主機和應(yīng)用的配置和使用習(xí)慣
支持多種認證方式
報告內(nèi)容豐富��,支持html,execl等格式
關(guān)于ThinkAny公司
ThinkAny是一家專注于IT服務(wù)管理的公司�,公司不斷吸納國內(nèi)國際先進管理方法,并將這些先進的管理思想與具體企業(yè)管理相融合�。我們對于如何標準化服務(wù)作業(yè)流程,降低IT運營成本��,提高企業(yè)風(fēng)險管控能力���,以及建立IT服務(wù)質(zhì)量體系具有獨到的見解和方法�。ThinkAny與政府部門�����、權(quán)威的認證機構(gòu)保持的良好密切的關(guān)系��,及時跟蹤標準和國內(nèi)相關(guān)政策的發(fā)展變化���、汲取企業(yè)的成功經(jīng)驗�,使我們的客戶能夠得到最新�����、最權(quán)威的信息和咨詢服務(wù)�。作為中國領(lǐng)先IT服務(wù)管理咨詢機構(gòu),ThinkAny IT服務(wù)管理研究咨詢中心可為不同行業(yè)和規(guī)模的企業(yè)��、政府機構(gòu)和IT服務(wù)提供商提供成熟的IT服務(wù)管理咨詢服務(wù)����。
同時ThinkAny結(jié)合服務(wù)中所遇到的IT問題還開發(fā)很多IT產(chǎn)品,如ThinkAny視頻式記錄審計系統(tǒng)��、ThinkAny ITSM Express服務(wù)管理系統(tǒng)�����、ThinkAny流量管理系統(tǒng)等等����。
