基于網(wǎng)絡的審計是指直接從網(wǎng)絡中收集各種會話信息�����,從網(wǎng)絡傳輸?shù)臄?shù)據(jù)(traffic)和行為中提取審計信息�����。會話(Session)是NBA的基本審計單元��,其主要內(nèi)容有:
會話標識
源目的地址和端口
協(xié)議
日期和時間
成功與失敗
摘要
NBA的特點是部署快速���,對應用系統(tǒng)影響小,覆蓋面大��,不容易被繞過�,不容易被竄改等。普通的基于網(wǎng)絡的審計系統(tǒng)主要通過收集包括路由器�����、交換機��、防火墻、入侵檢測等網(wǎng)絡和安全設備記錄的日志來實現(xiàn)��。這樣實現(xiàn)的審計系統(tǒng)丟失了網(wǎng)絡會話的絕大部分內(nèi)容��,無法提供事件分析所需的完整的網(wǎng)絡行為回放(Replay)�,而這正是視頻審計的最大優(yōu)勢(我想大家對城市交通攝像頭不陌生吧,那就是視頻交通審計的最大優(yōu)勢)����。而回放卻是安全事件分析中最為重要的技術手段之一。當前也出現(xiàn)了一些通過交換機鏡像方式工作的網(wǎng)絡審計系統(tǒng)�,它們能夠完整的記錄網(wǎng)絡中流經(jīng)的數(shù)據(jù),但是卻不容易深入到敏感數(shù)據(jù)和應用�����、不容易定位到用戶��。另外��,最為致命的缺陷是它們不能有效地審計那些使用了加密協(xié)議的會話���。當前為了對抗網(wǎng)絡竊聽,大多數(shù)網(wǎng)絡維護和業(yè)務操作都采用加密協(xié)議來完成�����,例如普遍使用的遠程桌面(Windows Remote Desktop, RDP)采用了加密協(xié)議���。這些普通的基于網(wǎng)絡的審計系統(tǒng)針對RDP只能望洋興嘆�、無能為力�����。
綜上所述���,除去性能和穩(wěn)定性代價之外��,單純依賴主機日志建立的審計系統(tǒng)是不完善的���,沒有足夠的可信度。而普通的基于網(wǎng)絡的審計系統(tǒng)又無法解決承擔大部分運維工作的RDP等加密通信協(xié)議的問題�。上面兩種類型傳統(tǒng)審計技術實現(xiàn)的審計系統(tǒng)存在的缺陷是顯而易見的。我們需要一種既能全面覆蓋���,又能全面記錄���、理解加密協(xié)議��、幫助深入挖掘的審計系統(tǒng)��,它需要同時具備兩種類型審計系統(tǒng)的綜合優(yōu)勢����。扎根于網(wǎng)絡信息安全領域的ThinkAny深刻地感受到了安全審計遇到的這些挑戰(zhàn)����,充分挖掘核心團隊在安全領域多年耕耘的經(jīng)驗和技術潛能,研究開發(fā)了新型的基于視頻記錄審計系統(tǒng) ThinkAny視頻審計系統(tǒng)�����,為審計系統(tǒng)帶來了深入的分析和回放功能��,全面覆蓋管理維護活動中常用的網(wǎng)絡協(xié)議��,克服了普通審計系統(tǒng)不能理解加密協(xié)議的不足����,成為企業(yè)信息系統(tǒng)運行過程中值得信賴的"黑盒子"和分析師���。
2. ThinkAny解決之道
大型企業(yè)和組織的核心業(yè)務系統(tǒng)由大量的Unix/Linux服務器�、Windows服務器、網(wǎng)絡設備����,以及運行其上的各種應用組成,這些應用系統(tǒng)可能包括ERP��、CRM�、資源管理系統(tǒng)、計費系統(tǒng)�、辦公自動化、電子運行維護系統(tǒng)�、知識管理系統(tǒng),以及其它各種C/S或B/S應用��。通常���,運行維護人員使用使用Windows Remote Desktop Protocol (RDP)來遠程管理Windows服務器����,另外�,VNC /HTTP /FTP /Rlogin等在日常維護過程中也多有使用。
ThinkAny Agent可以智能識別包括上面提到的RDP和Netop等多種加密協(xié)議�,將這些數(shù)據(jù)嚴格地按照會話進行重組并且記錄下來,傳送回數(shù)據(jù)中心�����,以備審計和查詢使用。依靠ThinkAny可以實現(xiàn)功能強大的審計體系:覆蓋大多數(shù)加密和非加密網(wǎng)絡協(xié)議�,包括RDP、Citrix ���、Terminal Services �、VMware �、VNC等?����?梢詫Σ僮鬟M行回放和檢索查詢提供開放的數(shù)據(jù)和管理接口�����,幫助構建全面的審計平臺可以基于策略的審計視頻記錄�,可以通過應用(Application)、用戶( User����、Server)、 特殊的應用屏幕圖像(Speci c Application Screens)、特殊的API接口類型(API to control recording)建立分類策略進行視頻記錄審計����。
應用會話的全面記錄
在主控臺的左面可以直觀地看到當前記錄的網(wǎng)絡會話��,管理員可以按照需要對其中每個會話選擇回放和更新�����。在屏幕的右面則顯示了選中的會話的審計記錄���。
會話全視頻回放
完整的視頻會話記錄提供了事件分析和審計的技術基礎�����,而回放則是在此基礎上的重要分析手段�,而又是當前普通的審計系統(tǒng)和主流的安全信息管理和安全運行中心產(chǎn)品所不具備的���。ThinkAny視頻記錄審計系統(tǒng)可以做到這一點���。如下圖所示,分別是針對網(wǎng)絡中的RDP會話��、VMvare和VNC會話進行回放的屏幕。審計員可以使用條件搜索��,選擇特定的時間�、特定的通信方以及特定的會話等進行回放。
審計記錄查詢
ThinkAny視頻審計提供針對審計記錄的多功能組合查詢�����,如下圖所示�,查詢條件包括開始和結束時間、應用���、用戶名�、視頻中的某個字符等�����,查詢的結構可以直接生成報表并自動找到相應的視頻錄像���。
報表系統(tǒng)
ThinkAny提供靈活的報表系統(tǒng)�,幫助管理員掌握一定時間段內(nèi)的系統(tǒng)運行維護的整體狀況和軌跡����,例如按照下面變量的各種視圖:
特定日期和周期���,例如每日,每周���,每月
每日特定的時間段,例如可定義的上班時間(8:30 – 5:30)和下班時間
特定的服務器
特定的維護終端
特定的維護工程師
特定的應用系統(tǒng)
系統(tǒng)登錄
ThinkAny的主控臺采用專門的圖形界面���,管理員可以選擇加密登錄應用服務器和Agent器��,以規(guī)避竊聽等安全威脅�����。另外�����,在主登錄界面��,管理員還可以選擇已經(jīng)保存過的歷史查詢條件�,已提高管理效率����。
數(shù)據(jù)轉儲
通常審計數(shù)據(jù)可能需要保存若干年���,ThinkAny視頻審計提供會話數(shù)據(jù)轉儲功能,可以把保存在中心數(shù)據(jù)庫上的會話數(shù)據(jù)轉儲到本地或者其他介質(zhì)���。同時ThinkAny控制臺也可以加載轉儲到本地的歷史會話數(shù)據(jù)�,并進行查詢�、回放等操作。
ThinkAny存儲效果讓你大吃一驚����,1000臺服務器一年的存儲空間只需區(qū)區(qū)的50Gb存儲空間,另外ThinkAny的Agent效率也非常高����,占用服務器的資源非常小,不到服務器CPU使用率的1%��!
畫面實時事件通知功能
控制臺可以實時顯示ThinkAny Agent的實時事件�����。實時事件通過畫面來定義���,如果某個用戶或管理員在使用過程中出現(xiàn)了我們預定義好的某個畫面�,控制臺就會報警,并同時通過Email的形式告知相關的管理者���!如�����,某臺服務器不能卸載某個軟件�,你可以定義好卸載畫面���,如果每個管理員試圖卸載,當他訪問這個畫面的時候ThinkAny視頻審計系統(tǒng)就會報警��,并根據(jù)預先定義好的語言進行警告(如你定義好的警告語言是:不準卸載此軟件�����,否則后果自負)�����,系統(tǒng)馬上會出現(xiàn)警告語言:"不準卸載此軟件�,否則后果自負",同時通過Email系統(tǒng)告訴相關的管理者��。
實時會話錄像功能
ThinkAny控制臺界面中能實時感知新的會話開始及已連接會話的結束。實時會話顯示方便監(jiān)控特定的敏感會話�����。
視頻培訓功能
如果管理員想通過視頻的方式培訓公司的用戶����,ThinkAny可以事先錄下管理員安裝或配置某個軟件的過程,用戶可以通過訪問這些視頻錄像進行學習�,達到培訓的效果。
ThinkAny視頻記錄審計系統(tǒng)架構
如圖所示���,ThinkAny視頻記錄審計系統(tǒng)由Agent代理�����、應用服務器����、數(shù)據(jù)庫和控制臺等四個系統(tǒng)模塊組成�,它們的主要功能分別是:
Agent代理收集每個應用的圖像數(shù)據(jù)、應用服務器收集來自Agent的所有數(shù)據(jù)并把數(shù)據(jù)送到數(shù)據(jù)庫��、數(shù)據(jù)庫儲存視頻數(shù)據(jù)流���、控制臺以WEB界面的方式管理ThinkAny視頻記錄審計系統(tǒng)�����,同時進行應用審計的錄制與回放����。
4. ThinkAny視頻記錄審計系統(tǒng)的優(yōu)勢
在內(nèi)控和安全審計的重要性與日俱增的今天,ThinkAny為大型企業(yè)和組織的內(nèi)控和符合性旅程帶來了前所未有的系統(tǒng)增益���。它的主要優(yōu)勢體現(xiàn)在:
業(yè)界唯一的支持圖形關鍵字查詢
業(yè)界唯一的支持關鍵圖片告警
業(yè)界唯一的支持鼠標點擊顯示
支持第三方應用發(fā)布系統(tǒng)記錄和回放(如:Citrix)
統(tǒng)一安全訪問并實現(xiàn)單點登錄
支持任何應用程序記錄和回放
可自定義回放內(nèi)容及多種保存方式
多種部署方式無需改變用戶����、主機和應用的配置和使用習慣
支持多種認證方式
報告內(nèi)容豐富���,支持html,execl等格式
關于ThinkAny公司
ThinkAny是一家專注于IT服務管理的公司,公司不斷吸納國內(nèi)國際先進管理方法��,并將這些先進的管理思想與具體企業(yè)管理相融合����。我們對于如何標準化服務作業(yè)流程,降低IT運營成本����,提高企業(yè)風險管控能力�,以及建立IT服務質(zhì)量體系具有獨到的見解和方法��。ThinkAny與政府部門�、權威的認證機構保持的良好密切的關系,及時跟蹤標準和國內(nèi)相關政策的發(fā)展變化�����、汲取企業(yè)的成功經(jīng)驗���,使我們的客戶能夠得到最新�����、最權威的信息和咨詢服務��。作為中國領先IT服務管理咨詢機構�,ThinkAny IT服務管理研究咨詢中心可為不同行業(yè)和規(guī)模的企業(yè)����、政府機構和IT服務提供商提供成熟的IT服務管理咨詢服務。
同時ThinkAny結合服務中所遇到的IT問題還開發(fā)很多IT產(chǎn)品,如ThinkAny視頻式記錄審計系統(tǒng)����、ThinkAny ITSM Express服務管理系統(tǒng)、ThinkAny流量管理系統(tǒng)等等����。
