基于網(wǎng)絡(luò)的審計(jì)是指直接從網(wǎng)絡(luò)中收集各種會(huì)話信息,從網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)(traffic)和行為中提取審計(jì)信息。會(huì)話(Session)是NBA的基本審計(jì)單元,其主要內(nèi)容有:
會(huì)話標(biāo)識(shí)
源目的地址和端口
協(xié)議
日期和時(shí)間
成功與失敗
摘要
NBA的特點(diǎn)是部署快速,對應(yīng)用系統(tǒng)影響小,覆蓋面大,不容易被繞過,不容易被竄改等。普通的基于網(wǎng)絡(luò)的審計(jì)系統(tǒng)主要通過收集包括路由器、交換機(jī)、防火墻、入侵檢測等網(wǎng)絡(luò)和安全設(shè)備記錄的日志來實(shí)現(xiàn)。這樣實(shí)現(xiàn)的審計(jì)系統(tǒng)丟失了網(wǎng)絡(luò)會(huì)話的絕大部分內(nèi)容,無法提供事件分析所需的完整的網(wǎng)絡(luò)行為回放(Replay),而這正是視頻審計(jì)的最大優(yōu)勢(我想大家對城市交通攝像頭不陌生吧,那就是視頻交通審計(jì)的最大優(yōu)勢)。而回放卻是安全事件分析中最為重要的技術(shù)手段之一。當(dāng)前也出現(xiàn)了一些通過交換機(jī)鏡像方式工作的網(wǎng)絡(luò)審計(jì)系統(tǒng),它們能夠完整的記錄網(wǎng)絡(luò)中流經(jīng)的數(shù)據(jù),但是卻不容易深入到敏感數(shù)據(jù)和應(yīng)用、不容易定位到用戶。另外,最為致命的缺陷是它們不能有效地審計(jì)那些使用了加密協(xié)議的會(huì)話。當(dāng)前為了對抗網(wǎng)絡(luò)竊聽,大多數(shù)網(wǎng)絡(luò)維護(hù)和業(yè)務(wù)操作都采用加密協(xié)議來完成,例如普遍使用的遠(yuǎn)程桌面(Windows Remote Desktop, RDP)采用了加密協(xié)議。這些普通的基于網(wǎng)絡(luò)的審計(jì)系統(tǒng)針對RDP只能望洋興嘆、無能為力。
綜上所述,除去性能和穩(wěn)定性代價(jià)之外,單純依賴主機(jī)日志建立的審計(jì)系統(tǒng)是不完善的,沒有足夠的可信度。而普通的基于網(wǎng)絡(luò)的審計(jì)系統(tǒng)又無法解決承擔(dān)大部分運(yùn)維工作的RDP等加密通信協(xié)議的問題。上面兩種類型傳統(tǒng)審計(jì)技術(shù)實(shí)現(xiàn)的審計(jì)系統(tǒng)存在的缺陷是顯而易見的。我們需要一種既能全面覆蓋,又能全面記錄、理解加密協(xié)議、幫助深入挖掘的審計(jì)系統(tǒng),它需要同時(shí)具備兩種類型審計(jì)系統(tǒng)的綜合優(yōu)勢。扎根于網(wǎng)絡(luò)信息安全領(lǐng)域的ThinkAny深刻地感受到了安全審計(jì)遇到的這些挑戰(zhàn),充分挖掘核心團(tuán)隊(duì)在安全領(lǐng)域多年耕耘的經(jīng)驗(yàn)和技術(shù)潛能,研究開發(fā)了新型的基于視頻記錄審計(jì)系統(tǒng) ThinkAny視頻審計(jì)系統(tǒng),為審計(jì)系統(tǒng)帶來了深入的分析和回放功能,全面覆蓋管理維護(hù)活動(dòng)中常用的網(wǎng)絡(luò)協(xié)議,克服了普通審計(jì)系統(tǒng)不能理解加密協(xié)議的不足,成為企業(yè)信息系統(tǒng)運(yùn)行過程中值得信賴的"黑盒子"和分析師。
2. ThinkAny解決之道
大型企業(yè)和組織的核心業(yè)務(wù)系統(tǒng)由大量的Unix/Linux服務(wù)器、Windows服務(wù)器、網(wǎng)絡(luò)設(shè)備,以及運(yùn)行其上的各種應(yīng)用組成,這些應(yīng)用系統(tǒng)可能包括ERP、CRM、資源管理系統(tǒng)、計(jì)費(fèi)系統(tǒng)、辦公自動(dòng)化、電子運(yùn)行維護(hù)系統(tǒng)、知識(shí)管理系統(tǒng),以及其它各種C/S或B/S應(yīng)用。通常,運(yùn)行維護(hù)人員使用使用Windows Remote Desktop Protocol (RDP)來遠(yuǎn)程管理Windows服務(wù)器,另外,VNC /HTTP /FTP /Rlogin等在日常維護(hù)過程中也多有使用。
ThinkAny Agent可以智能識(shí)別包括上面提到的RDP和Netop等多種加密協(xié)議,將這些數(shù)據(jù)嚴(yán)格地按照會(huì)話進(jìn)行重組并且記錄下來,傳送回?cái)?shù)據(jù)中心,以備審計(jì)和查詢使用。依靠ThinkAny可以實(shí)現(xiàn)功能強(qiáng)大的審計(jì)體系:覆蓋大多數(shù)加密和非加密網(wǎng)絡(luò)協(xié)議,包括RDP、Citrix 、Terminal Services 、VMware 、VNC等??梢詫Σ僮鬟M(jìn)行回放和檢索查詢提供開放的數(shù)據(jù)和管理接口,幫助構(gòu)建全面的審計(jì)平臺(tái)可以基于策略的審計(jì)視頻記錄,可以通過應(yīng)用(Application)、用戶( User、Server)、 特殊的應(yīng)用屏幕圖像(Speci c Application Screens)、特殊的API接口類型(API to control recording)建立分類策略進(jìn)行視頻記錄審計(jì)。
應(yīng)用會(huì)話的全面記錄
在主控臺(tái)的左面可以直觀地看到當(dāng)前記錄的網(wǎng)絡(luò)會(huì)話,管理員可以按照需要對其中每個(gè)會(huì)話選擇回放和更新。在屏幕的右面則顯示了選中的會(huì)話的審計(jì)記錄。
會(huì)話全視頻回放
完整的視頻會(huì)話記錄提供了事件分析和審計(jì)的技術(shù)基礎(chǔ),而回放則是在此基礎(chǔ)上的重要分析手段,而又是當(dāng)前普通的審計(jì)系統(tǒng)和主流的安全信息管理和安全運(yùn)行中心產(chǎn)品所不具備的。ThinkAny視頻記錄審計(jì)系統(tǒng)可以做到這一點(diǎn)。如下圖所示,分別是針對網(wǎng)絡(luò)中的RDP會(huì)話、VMvare和VNC會(huì)話進(jìn)行回放的屏幕。審計(jì)員可以使用條件搜索,選擇特定的時(shí)間、特定的通信方以及特定的會(huì)話等進(jìn)行回放。
審計(jì)記錄查詢
ThinkAny視頻審計(jì)提供針對審計(jì)記錄的多功能組合查詢,如下圖所示,查詢條件包括開始和結(jié)束時(shí)間、應(yīng)用、用戶名、視頻中的某個(gè)字符等,查詢的結(jié)構(gòu)可以直接生成報(bào)表并自動(dòng)找到相應(yīng)的視頻錄像。
報(bào)表系統(tǒng)
ThinkAny提供靈活的報(bào)表系統(tǒng),幫助管理員掌握一定時(shí)間段內(nèi)的系統(tǒng)運(yùn)行維護(hù)的整體狀況和軌跡,例如按照下面變量的各種視圖:
特定日期和周期,例如每日,每周,每月
每日特定的時(shí)間段,例如可定義的上班時(shí)間(8:30 – 5:30)和下班時(shí)間
特定的服務(wù)器
特定的維護(hù)終端
特定的維護(hù)工程師
特定的應(yīng)用系統(tǒng)
系統(tǒng)登錄
ThinkAny的主控臺(tái)采用專門的圖形界面,管理員可以選擇加密登錄應(yīng)用服務(wù)器和Agent器,以規(guī)避竊聽等安全威脅。另外,在主登錄界面,管理員還可以選擇已經(jīng)保存過的歷史查詢條件,已提高管理效率。
數(shù)據(jù)轉(zhuǎn)儲(chǔ)
通常審計(jì)數(shù)據(jù)可能需要保存若干年,ThinkAny視頻審計(jì)提供會(huì)話數(shù)據(jù)轉(zhuǎn)儲(chǔ)功能,可以把保存在中心數(shù)據(jù)庫上的會(huì)話數(shù)據(jù)轉(zhuǎn)儲(chǔ)到本地或者其他介質(zhì)。同時(shí)ThinkAny控制臺(tái)也可以加載轉(zhuǎn)儲(chǔ)到本地的歷史會(huì)話數(shù)據(jù),并進(jìn)行查詢、回放等操作。
ThinkAny存儲(chǔ)效果讓你大吃一驚,1000臺(tái)服務(wù)器一年的存儲(chǔ)空間只需區(qū)區(qū)的50Gb存儲(chǔ)空間,另外ThinkAny的Agent效率也非常高,占用服務(wù)器的資源非常小,不到服務(wù)器CPU使用率的1%!
畫面實(shí)時(shí)事件通知功能
控制臺(tái)可以實(shí)時(shí)顯示ThinkAny Agent的實(shí)時(shí)事件。實(shí)時(shí)事件通過畫面來定義,如果某個(gè)用戶或管理員在使用過程中出現(xiàn)了我們預(yù)定義好的某個(gè)畫面,控制臺(tái)就會(huì)報(bào)警,并同時(shí)通過Email的形式告知相關(guān)的管理者!如,某臺(tái)服務(wù)器不能卸載某個(gè)軟件,你可以定義好卸載畫面,如果每個(gè)管理員試圖卸載,當(dāng)他訪問這個(gè)畫面的時(shí)候ThinkAny視頻審計(jì)系統(tǒng)就會(huì)報(bào)警,并根據(jù)預(yù)先定義好的語言進(jìn)行警告(如你定義好的警告語言是:不準(zhǔn)卸載此軟件,否則后果自負(fù)),系統(tǒng)馬上會(huì)出現(xiàn)警告語言:"不準(zhǔn)卸載此軟件,否則后果自負(fù)",同時(shí)通過Email系統(tǒng)告訴相關(guān)的管理者。
實(shí)時(shí)會(huì)話錄像功能
ThinkAny控制臺(tái)界面中能實(shí)時(shí)感知新的會(huì)話開始及已連接會(huì)話的結(jié)束。實(shí)時(shí)會(huì)話顯示方便監(jiān)控特定的敏感會(huì)話。
視頻培訓(xùn)功能
如果管理員想通過視頻的方式培訓(xùn)公司的用戶,ThinkAny可以事先錄下管理員安裝或配置某個(gè)軟件的過程,用戶可以通過訪問這些視頻錄像進(jìn)行學(xué)習(xí),達(dá)到培訓(xùn)的效果。
ThinkAny視頻記錄審計(jì)系統(tǒng)架構(gòu)
如圖所示,ThinkAny視頻記錄審計(jì)系統(tǒng)由Agent代理、應(yīng)用服務(wù)器、數(shù)據(jù)庫和控制臺(tái)等四個(gè)系統(tǒng)模塊組成,它們的主要功能分別是:
Agent代理收集每個(gè)應(yīng)用的圖像數(shù)據(jù)、應(yīng)用服務(wù)器收集來自Agent的所有數(shù)據(jù)并把數(shù)據(jù)送到數(shù)據(jù)庫、數(shù)據(jù)庫儲(chǔ)存視頻數(shù)據(jù)流、控制臺(tái)以WEB界面的方式管理ThinkAny視頻記錄審計(jì)系統(tǒng),同時(shí)進(jìn)行應(yīng)用審計(jì)的錄制與回放。
4. ThinkAny視頻記錄審計(jì)系統(tǒng)的優(yōu)勢
在內(nèi)控和安全審計(jì)的重要性與日俱增的今天,ThinkAny為大型企業(yè)和組織的內(nèi)控和符合性旅程帶來了前所未有的系統(tǒng)增益。它的主要優(yōu)勢體現(xiàn)在:
業(yè)界唯一的支持圖形關(guān)鍵字查詢
業(yè)界唯一的支持關(guān)鍵圖片告警
業(yè)界唯一的支持鼠標(biāo)點(diǎn)擊顯示
支持第三方應(yīng)用發(fā)布系統(tǒng)記錄和回放(如:Citrix)
統(tǒng)一安全訪問并實(shí)現(xiàn)單點(diǎn)登錄
支持任何應(yīng)用程序記錄和回放
可自定義回放內(nèi)容及多種保存方式
多種部署方式無需改變用戶、主機(jī)和應(yīng)用的配置和使用習(xí)慣
支持多種認(rèn)證方式
報(bào)告內(nèi)容豐富,支持html,execl等格式
關(guān)于ThinkAny公司
ThinkAny是一家專注于IT服務(wù)管理的公司,公司不斷吸納國內(nèi)國際先進(jìn)管理方法,并將這些先進(jìn)的管理思想與具體企業(yè)管理相融合。我們對于如何標(biāo)準(zhǔn)化服務(wù)作業(yè)流程,降低IT運(yùn)營成本,提高企業(yè)風(fēng)險(xiǎn)管控能力,以及建立IT服務(wù)質(zhì)量體系具有獨(dú)到的見解和方法。ThinkAny與政府部門、權(quán)威的認(rèn)證機(jī)構(gòu)保持的良好密切的關(guān)系,及時(shí)跟蹤標(biāo)準(zhǔn)和國內(nèi)相關(guān)政策的發(fā)展變化、汲取企業(yè)的成功經(jīng)驗(yàn),使我們的客戶能夠得到最新、最權(quán)威的信息和咨詢服務(wù)。作為中國領(lǐng)先IT服務(wù)管理咨詢機(jī)構(gòu),ThinkAny IT服務(wù)管理研究咨詢中心可為不同行業(yè)和規(guī)模的企業(yè)、政府機(jī)構(gòu)和IT服務(wù)提供商提供成熟的IT服務(wù)管理咨詢服務(wù)。
同時(shí)ThinkAny結(jié)合服務(wù)中所遇到的IT問題還開發(fā)很多IT產(chǎn)品,如ThinkAny視頻式記錄審計(jì)系統(tǒng)、ThinkAny ITSM Express服務(wù)管理系統(tǒng)、ThinkAny流量管理系統(tǒng)等等。