會(huì)話標(biāo)識(shí)

源目的地址和端口

協(xié)議

日期和時(shí)間

成功與失敗

摘要

NBA的特點(diǎn)是部署快速，對應(yīng)用系統(tǒng)影響小，覆蓋面大，不容易被繞過，不容易被竄改等。普通的基于網(wǎng)絡(luò)的審計(jì)系統(tǒng)主要通過收集包括路由器、交換機(jī)、防火墻、入侵檢測等網(wǎng)絡(luò)和安全設(shè)備記錄的日志來實(shí)現(xiàn)。這樣實(shí)現(xiàn)的審計(jì)系統(tǒng)丟失了網(wǎng)絡(luò)會(huì)話的絕大部分內(nèi)容，無法提供事件分析所需的完整的網(wǎng)絡(luò)行為回放（Replay），而這正是視頻審計(jì)的最大優(yōu)勢（我想大家對城市交通攝像頭不陌生吧，那就是視頻交通審計(jì)的最大優(yōu)勢）。而回放卻是安全事件分析中最為重要的技術(shù)手段之一。當(dāng)前也出現(xiàn)了一些通過交換機(jī)鏡像方式工作的網(wǎng)絡(luò)審計(jì)系統(tǒng)，它們能夠完整的記錄網(wǎng)絡(luò)中流經(jīng)的數(shù)據(jù)，但是卻不容易深入到敏感數(shù)據(jù)和應(yīng)用、不容易定位到用戶。另外，最為致命的缺陷是它們不能有效地審計(jì)那些使用了加密協(xié)議的會(huì)話。當(dāng)前為了對抗網(wǎng)絡(luò)竊聽，大多數(shù)網(wǎng)絡(luò)維護(hù)和業(yè)務(wù)操作都采用加密協(xié)議來完成，例如普遍使用的遠(yuǎn)程桌面（Windows Remote Desktop， RDP）采用了加密協(xié)議。這些普通的基于網(wǎng)絡(luò)的審計(jì)系統(tǒng)針對RDP只能望洋興嘆、無能為力。

綜上所述，除去性能和穩(wěn)定性代價(jià)之外，單純依賴主機(jī)日志建立的審計(jì)系統(tǒng)是不完善的，沒有足夠的可信度。而普通的基于網(wǎng)絡(luò)的審計(jì)系統(tǒng)又無法解決承擔(dān)大部分運(yùn)維工作的RDP等加密通信協(xié)議的問題。上面兩種類型傳統(tǒng)審計(jì)技術(shù)實(shí)現(xiàn)的審計(jì)系統(tǒng)存在的缺陷是顯而易見的。我們需要一種既能全面覆蓋，又能全面記錄、理解加密協(xié)議、幫助深入挖掘的審計(jì)系統(tǒng)，它需要同時(shí)具備兩種類型審計(jì)系統(tǒng)的綜合優(yōu)勢。扎根于網(wǎng)絡(luò)信息安全領(lǐng)域的ThinkAny深刻地感受到了安全審計(jì)遇到的這些挑戰(zhàn)，充分挖掘核心團(tuán)隊(duì)在安全領(lǐng)域多年耕耘的經(jīng)驗(yàn)和技術(shù)潛能，研究開發(fā)了新型的基于視頻記錄審計(jì)系統(tǒng) ThinkAny視頻審計(jì)系統(tǒng)，為審計(jì)系統(tǒng)帶來了深入的分析和回放功能，全面覆蓋管理維護(hù)活動(dòng)中常用的網(wǎng)絡(luò)協(xié)議，克服了普通審計(jì)系統(tǒng)不能理解加密協(xié)議的不足，成為企業(yè)信息系統(tǒng)運(yùn)行過程中值得信賴的"黑盒子"和分析師。

2. ThinkAny解決之道

大型企業(yè)和組織的核心業(yè)務(wù)系統(tǒng)由大量的Unix/Linux服務(wù)器、Windows服務(wù)器、網(wǎng)絡(luò)設(shè)備，以及運(yùn)行其上的各種應(yīng)用組成，這些應(yīng)用系統(tǒng)可能包括ERP、CRM、資源管理系統(tǒng)、計(jì)費(fèi)系統(tǒng)、辦公自動(dòng)化、電子運(yùn)行維護(hù)系統(tǒng)、知識(shí)管理系統(tǒng)，以及其它各種C/S或B/S應(yīng)用。通常，運(yùn)行維護(hù)人員使用使用Windows Remote Desktop Protocol （RDP）來遠(yuǎn)程管理Windows服務(wù)器，另外，VNC /HTTP /FTP /Rlogin等在日常維護(hù)過程中也多有使用。
ThinkAny Agent可以智能識(shí)別包括上面提到的RDP和Netop等多種加密協(xié)議，將這些數(shù)據(jù)嚴(yán)格地按照會(huì)話進(jìn)行重組并且記錄下來，傳送回?cái)?shù)據(jù)中心，以備審計(jì)和查詢使用。依靠ThinkAny可以實(shí)現(xiàn)功能強(qiáng)大的審計(jì)體系：覆蓋大多數(shù)加密和非加密網(wǎng)絡(luò)協(xié)議，包括RDP、Citrix 、Terminal Services 、VMware 、VNC等?？梢詫Σ僮鬟M(jìn)行回放和檢索查詢提供開放的數(shù)據(jù)和管理接口，幫助構(gòu)建全面的審計(jì)平臺(tái)可以基于策略的審計(jì)視頻記錄，可以通過應(yīng)用（Application）、用戶（ User、Server）、 特殊的應(yīng)用屏幕圖像（Speci　c Application Screens）、特殊的API接口類型（API to control recording）建立分類策略進(jìn)行視頻記錄審計(jì)。

應(yīng)用會(huì)話的全面記錄

在主控臺(tái)的左面可以直觀地看到當(dāng)前記錄的網(wǎng)絡(luò)會(huì)話，管理員可以按照需要對其中每個(gè)會(huì)話選擇回放和更新。在屏幕的右面則顯示了選中的會(huì)話的審計(jì)記錄。

會(huì)話全視頻回放

完整的視頻會(huì)話記錄提供了事件分析和審計(jì)的技術(shù)基礎(chǔ)，而回放則是在此基礎(chǔ)上的重要分析手段，而又是當(dāng)前普通的審計(jì)系統(tǒng)和主流的安全信息管理和安全運(yùn)行中心產(chǎn)品所不具備的。ThinkAny視頻記錄審計(jì)系統(tǒng)可以做到這一點(diǎn)。如下圖所示，分別是針對網(wǎng)絡(luò)中的RDP會(huì)話、VMvare和VNC會(huì)話進(jìn)行回放的屏幕。審計(jì)員可以使用條件搜索，選擇特定的時(shí)間、特定的通信方以及特定的會(huì)話等進(jìn)行回放。

審計(jì)記錄查詢

ThinkAny視頻審計(jì)提供針對審計(jì)記錄的多功能組合查詢，如下圖所示，查詢條件包括開始和結(jié)束時(shí)間、應(yīng)用、用戶名、視頻中的某個(gè)字符等，查詢的結(jié)構(gòu)可以直接生成報(bào)表并自動(dòng)找到相應(yīng)的視頻錄像。

報(bào)表系統(tǒng)

ThinkAny提供靈活的報(bào)表系統(tǒng)，幫助管理員掌握一定時(shí)間段內(nèi)的系統(tǒng)運(yùn)行維護(hù)的整體狀況和軌跡，例如按照下面變量的各種視圖：

特定日期和周期，例如每日，每周，每月

每日特定的時(shí)間段，例如可定義的上班時(shí)間（8:30 – 5:30）和下班時(shí)間

特定的服務(wù)器

特定的維護(hù)終端

特定的維護(hù)工程師

特定的應(yīng)用系統(tǒng)

系統(tǒng)登錄

ThinkAny的主控臺(tái)采用專門的圖形界面，管理員可以選擇加密登錄應(yīng)用服務(wù)器和Agent器，以規(guī)避竊聽等安全威脅。另外，在主登錄界面，管理員還可以選擇已經(jīng)保存過的歷史查詢條件，已提高管理效率。

數(shù)據(jù)轉(zhuǎn)儲(chǔ)

通常審計(jì)數(shù)據(jù)可能需要保存若干年，ThinkAny視頻審計(jì)提供會(huì)話數(shù)據(jù)轉(zhuǎn)儲(chǔ)功能，可以把保存在中心數(shù)據(jù)庫上的會(huì)話數(shù)據(jù)轉(zhuǎn)儲(chǔ)到本地或者其他介質(zhì)。同時(shí)ThinkAny控制臺(tái)也可以加載轉(zhuǎn)儲(chǔ)到本地的歷史會(huì)話數(shù)據(jù)，并進(jìn)行查詢、回放等操作。

ThinkAny存儲(chǔ)效果讓你大吃一驚，1000臺(tái)服務(wù)器一年的存儲(chǔ)空間只需區(qū)區(qū)的50Gb存儲(chǔ)空間，另外ThinkAny的Agent效率也非常高，占用服務(wù)器的資源非常小，不到服務(wù)器CPU使用率的1%！

畫面實(shí)時(shí)事件通知功能

控制臺(tái)可以實(shí)時(shí)顯示ThinkAny Agent的實(shí)時(shí)事件。實(shí)時(shí)事件通過畫面來定義，如果某個(gè)用戶或管理員在使用過程中出現(xiàn)了我們預(yù)定義好的某個(gè)畫面，控制臺(tái)就會(huì)報(bào)警，并同時(shí)通過Email的形式告知相關(guān)的管理者！如，某臺(tái)服務(wù)器不能卸載某個(gè)軟件，你可以定義好卸載畫面，如果每個(gè)管理員試圖卸載，當(dāng)他訪問這個(gè)畫面的時(shí)候ThinkAny視頻審計(jì)系統(tǒng)就會(huì)報(bào)警，并根據(jù)預(yù)先定義好的語言進(jìn)行警告（如你定義好的警告語言是：不準(zhǔn)卸載此軟件，否則后果自負(fù)），系統(tǒng)馬上會(huì)出現(xiàn)警告語言："不準(zhǔn)卸載此軟件，否則后果自負(fù)"，同時(shí)通過Email系統(tǒng)告訴相關(guān)的管理者。

實(shí)時(shí)會(huì)話錄像功能

ThinkAny控制臺(tái)界面中能實(shí)時(shí)感知新的會(huì)話開始及已連接會(huì)話的結(jié)束。實(shí)時(shí)會(huì)話顯示方便監(jiān)控特定的敏感會(huì)話。

視頻培訓(xùn)功能

如果管理員想通過視頻的方式培訓(xùn)公司的用戶，ThinkAny可以事先錄下管理員安裝或配置某個(gè)軟件的過程，用戶可以通過訪問這些視頻錄像進(jìn)行學(xué)習(xí)，達(dá)到培訓(xùn)的效果。

ThinkAny視頻記錄審計(jì)系統(tǒng)架構(gòu)

如圖所示，ThinkAny視頻記錄審計(jì)系統(tǒng)由Agent代理、應(yīng)用服務(wù)器、數(shù)據(jù)庫和控制臺(tái)等四個(gè)系統(tǒng)模塊組成，它們的主要功能分別是：

Agent代理收集每個(gè)應(yīng)用的圖像數(shù)據(jù)、應(yīng)用服務(wù)器收集來自Agent的所有數(shù)據(jù)并把數(shù)據(jù)送到數(shù)據(jù)庫、數(shù)據(jù)庫儲(chǔ)存視頻數(shù)據(jù)流、控制臺(tái)以WEB界面的方式管理ThinkAny視頻記錄審計(jì)系統(tǒng)，同時(shí)進(jìn)行應(yīng)用審計(jì)的錄制與回放。

4. ThinkAny視頻記錄審計(jì)系統(tǒng)的優(yōu)勢

在內(nèi)控和安全審計(jì)的重要性與日俱增的今天，ThinkAny為大型企業(yè)和組織的內(nèi)控和符合性旅程帶來了前所未有的系統(tǒng)增益。它的主要優(yōu)勢體現(xiàn)在：

業(yè)界唯一的支持圖形關(guān)鍵字查詢

業(yè)界唯一的支持關(guān)鍵圖片告警

業(yè)界唯一的支持鼠標(biāo)點(diǎn)擊顯示

支持第三方應(yīng)用發(fā)布系統(tǒng)記錄和回放（如：Citrix）

統(tǒng)一安全訪問并實(shí)現(xiàn)單點(diǎn)登錄

支持任何應(yīng)用程序記錄和回放

可自定義回放內(nèi)容及多種保存方式

多種部署方式無需改變用戶、主機(jī)和應(yīng)用的配置和使用習(xí)慣

支持多種認(rèn)證方式

報(bào)告內(nèi)容豐富，支持html,execl等格式

關(guān)于ThinkAny公司

ThinkAny是一家專注于IT服務(wù)管理的公司，公司不斷吸納國內(nèi)國際先進(jìn)管理方法，并將這些先進(jìn)的管理思想與具體企業(yè)管理相融合。我們對于如何標(biāo)準(zhǔn)化服務(wù)作業(yè)流程，降低IT運(yùn)營成本，提高企業(yè)風(fēng)險(xiǎn)管控能力，以及建立IT服務(wù)質(zhì)量體系具有獨(dú)到的見解和方法。ThinkAny與政府部門、權(quán)威的認(rèn)證機(jī)構(gòu)保持的良好密切的關(guān)系，及時(shí)跟蹤標(biāo)準(zhǔn)和國內(nèi)相關(guān)政策的發(fā)展變化、汲取企業(yè)的成功經(jīng)驗(yàn)，使我們的客戶能夠得到最新、最權(quán)威的信息和咨詢服務(wù)。作為中國領(lǐng)先IT服務(wù)管理咨詢機(jī)構(gòu)，ThinkAny IT服務(wù)管理研究咨詢中心可為不同行業(yè)和規(guī)模的企業(yè)、政府機(jī)構(gòu)和IT服務(wù)提供商提供成熟的IT服務(wù)管理咨詢服務(wù)。
同時(shí)ThinkAny結(jié)合服務(wù)中所遇到的IT問題還開發(fā)很多IT產(chǎn)品，如ThinkAny視頻式記錄審計(jì)系統(tǒng)、ThinkAny ITSM Express服務(wù)管理系統(tǒng)、ThinkAny流量管理系統(tǒng)等等。

yajing