所以，当前的许多安全标准和规范都要求组织建设并保证审计系统的可靠性。例如：

    1.1.1. 普遍接受的安全管理业界标准ISO27001: 2005

    条款A15.1.3明确要求必须保护组织的运行记录，条款A15.2.1则要求信息系统经理必须确保所有负责的安全过程都在正确执行，符合安全策略和标准的要求。

    1.1.2. 美国公众上市公司需要遵循的萨班斯（Sarbanes Oxley）法案

    其合规性要求建立严肃的、完备的企业内控体系，而信息系统的安全审计又是内控体系的重中之重。

    1.1.3. 国家颁布的安全等级保护技术要求

    在确立为第二级（指导保护级）以及以上级的信息系统中必须建立并保存下面的各种访问日志：网络（网络安全审计8.1.2.4）主机（安全审计8.1.3.3）应用（安全审计8.1.4.3）

    1.2. 传统审计系统的不足

    根据审计信息的收集方式，审计系统主要分为基于主机的审计（HBA）和基于网络的审计（NBA）两大类。

    基于主机的审计是指通过收集主机系统上面的各种形式的日志文件实现审计的方式。事件（Event）是HBA系统发生在主机和应用系统中的行为的基本单元，一般来说，它会包含日期和时间、主体用户或应用、访问对象、成功与失败以及事件摘要等信息。HBA的特点是收集的信息比较深入，比较完整，不受加密协议的影响，其缺点是审计的信息通常只是系统的SYSLOG或EVENTLOG。

    基于网络的审计是指直接从网络中收集各种会话信息，从网络传输的数据（traffic）和行为中提取审计信息。会话（Session）是NBA的基本审计单元，其主要内容有：

    会话标识

    源目的地址和端口

    协议

    日期和时间

    成功与失败

    摘要

    NBA的特点是部署快速，对应用系统影响小，覆盖面大，不容易被绕过，不容易被窜改等。普通的基于网络的审计系统主要通过收集包括路由器、交换机、防火墙、入侵检测等网络和安全设备记录的日志来实现。这样实现的审计系统丢失了网络会话的绝大部分内容，无法提供事件分析所需的完整的网络行为回放（Replay），而这正是视频审计的最大优势（我想大家对城市交通摄像头不陌生吧，那就是视频交通审计的最大优势）。而回放却是安全事件分析中最为重要的技术手段之一。当前也出现了一些通过交换机镜像方式工作的网络审计系统，它们能够完整的记录网络中流经的数据，但是却不容易深入到敏感数据和应用、不容易定位到用户。另外，最为致命的缺陷是它们不能有效地审计那些使用了加密协议的会话。当前为了对抗网络窃听，大多数网络维护和业务操作都采用加密协议来完成，例如普遍使用的远程桌面（Windows Remote Desktop， RDP）采用了加密协议。这些普通的基于网络的审计系统针对RDP只能望洋兴叹、无能为力。

    综上所述，除去性能和稳定性代价之外，单纯依赖主机日志建立的审计系统是不完善的，没有足够的可信度。而普通的基于网络的审计系统又无法解决承担大部分运维工作的RDP等加密通信协议的问题。上面两种类型传统审计技术实现的审计系统存在的缺陷是显而易见的。我们需要一种既能全面覆盖，又能全面记录、理解加密协议、帮助深入挖掘的审计系统，它需要同时具备两种类型审计系统的综合优势。扎根于网络信息安全领域的ThinkAny深刻地感受到了安全审计遇到的这些挑战，充分挖掘核心团队在安全领域多年耕耘的经验和技术潜能，研究开发了新型的基于视频记录审计系统 ThinkAny视频审计系统，为审计系统带来了深入的分析和回放功能，全面覆盖管理维护活动中常用的网络协议，克服了普通审计系统不能理解加密协议的不足，成为企业信息系统运行过程中值得信赖的"黑盒子"和分析师。