【IT168 案例】作为当前网络信息安全业界一个逐渐得到公认的事实：在安全事件造成的损失中，有75％以上来自内部，其中包括内部人员的越权访问、滥用、以及误操作等。一个针对大型运营商高级IT经理进行的调查问卷显示，66％的经理认为内部滥用和误用、经营数据泄漏，以及病毒是最严重的安全威胁，作为对比，认为黑客入侵是最严重威胁的只有13%。分析这些内部安全威胁没有得到有效控制的根源，我们可以发现下列主要因素：审计体系没有有效工作或者根本没有、不具备完整的访问授权机制，不具备完善的职责分离机制，人员安全意识和技能方面的不足等。其中，缺少可信的、完备的审计系统是目前普遍存在、首当其冲的最重要的根源因素，必须严肃研究对待。

    现在我们不得不面对的现实是：IT系统架构越来越复杂。于是管理员们都试图寻找一套有效的监控和管理IT系统的方案。但令人吃惊的是，一个非常简单的问题"谁最后一次访问了我们的某台服务器，他做了什么？"，回答这个问题却非常困难……尽管今天的IT系统管理有许多的系统管理工具可用，可是也不能足够的监控到引起IT系统当机和不安全的头号杀手---人为错误。在与许多专家探讨IT系统稳定性、安全性问题的时候，大家都不约而同的把话题转向了人为错误……

    1.1为什么需要视频审计系统？

    人们为什么需要视频审计系统，而不仅仅是审计系统？内部管理的人为错误为什么总是被忽略？

    审计系统帮助记录发生在重要信息系统中各种各样的会话和事件，包括网络中的、主机操作系统中，也包括应用系统中的。这些审计信息反映了信息系统运行的基本轨迹。一方面，它可以帮助管理层和审计者审核信息系统的运行是否符合法律法规的要求和组织的安全策略；另一方面，这些宝贵的审计信息在信息系统出现故障和安全事故时，就像航空器"黑盒子"一样，帮助调查者深入挖掘事件背后的情报，重建事件过程，直至完整的分析定位事件的本源，并部署进一步的措施来避免损失的再次发生。风险管理和内控等是现代企业不遗余力地投入资源进行建设的目标，而完备的、健全的、有效的审计系统就是通往这一目标的重要途径和手段。

    所以，当前的许多安全标准和规范都要求组织建设并保证审计系统的可靠性。例如：

    1.1.1. 普遍接受的安全管理业界标准ISO27001: 2005

    条款A15.1.3明确要求必须保护组织的运行记录，条款A15.2.1则要求信息系统经理必须确保所有负责的安全过程都在正确执行，符合安全策略和标准的要求。

    1.1.2. 美国公众上市公司需要遵循的萨班斯（Sarbanes Oxley）法案

    其合规性要求建立严肃的、完备的企业内控体系，而信息系统的安全审计又是内控体系的重中之重。

    1.1.3. 国家颁布的安全等级保护技术要求

    在确立为第二级（指导保护级）以及以上级的信息系统中必须建立并保存下面的各种访问日志：网络（网络安全审计8.1.2.4）主机（安全审计8.1.3.3）应用（安全审计8.1.4.3）

    1.2. 传统审计系统的不足

    根据审计信息的收集方式，审计系统主要分为基于主机的审计（HBA）和基于网络的审计（NBA）两大类。

    基于主机的审计是指通过收集主机系统上面的各种形式的日志文件实现审计的方式。事件（Event）是HBA系统发生在主机和应用系统中的行为的基本单元，一般来说，它会包含日期和时间、主体用户或应用、访问对象、成功与失败以及事件摘要等信息。HBA的特点是收集的信息比较深入，比较完整，不受加密协议的影响，其缺点是审计的信息通常只是系统的SYSLOG或EVENTLOG。

    基于网络的审计是指直接从网络中收集各种会话信息，从网络传输的数据（traffic）和行为中提取审计信息。会话（Session）是NBA的基本审计单元，其主要内容有：

    会话标识

    源目的地址和端口

    协议

    日期和时间

    成功与失败

    摘要

    NBA的特点是部署快速，对应用系统影响小，覆盖面大，不容易被绕过，不容易被窜改等。普通的基于网络的审计系统主要通过收集包括路由器、交换机、防火墙、入侵检测等网络和安全设备记录的日志来实现。这样实现的审计系统丢失了网络会话的绝大部分内容，无法提供事件分析所需的完整的网络行为回放（Replay），而这正是视频审计的最大优势（我想大家对城市交通摄像头不陌生吧，那就是视频交通审计的最大优势）。而回放却是安全事件分析中最为重要的技术手段之一。当前也出现了一些通过交换机镜像方式工作的网络审计系统，它们能够完整的记录网络中流经的数据，但是却不容易深入到敏感数据和应用、不容易定位到用户。另外，最为致命的缺陷是它们不能有效地审计那些使用了加密协议的会话。当前为了对抗网络窃听，大多数网络维护和业务操作都采用加密协议来完成，例如普遍使用的远程桌面（Windows Remote Desktop， RDP）采用了加密协议。这些普通的基于网络的审计系统针对RDP只能望洋兴叹、无能为力。

    综上所述，除去性能和稳定性代价之外，单纯依赖主机日志建立的审计系统是不完善的，没有足够的可信度。而普通的基于网络的审计系统又无法解决承担大部分运维工作的RDP等加密通信协议的问题。上面两种类型传统审计技术实现的审计系统存在的缺陷是显而易见的。我们需要一种既能全面覆盖，又能全面记录、理解加密协议、帮助深入挖掘的审计系统，它需要同时具备两种类型审计系统的综合优势。扎根于网络信息安全领域的ThinkAny深刻地感受到了安全审计遇到的这些挑战，充分挖掘核心团队在安全领域多年耕耘的经验和技术潜能，研究开发了新型的基于视频记录审计系统 ThinkAny视频审计系统，为审计系统带来了深入的分析和回放功能，全面覆盖管理维护活动中常用的网络协议，克服了普通审计系统不能理解加密协议的不足，成为企业信息系统运行过程中值得信赖的"黑盒子"和分析师。

    大型企业和组织的核心业务系统由大量的Unix/Linux服务器、Windows服务器、网络设备，以及运行其上的各种应用组成，这些应用系统可能包括ERP、CRM、资源管理系统、计费系统、办公自动化、电子运行维护系统、知识管理系统，以及其它各种C/S或B/S应用。通常，运行维护人员使用使用Windows Remote Desktop Protocol （RDP）来远程管理Windows服务器，另外，VNC /HTTP /FTP /Rlogin等在日常维护过程中也多有使用。

    ThinkAny Agent可以智能识别包括上面提到的RDP和Netop等多种加密协议，将这些数据严格地按照会话进行重组并且记录下来，传送回数据中心，以备审计和查询使用。依靠ThinkAny可以实现功能强大的审计体系：覆盖大多数加密和非加密网络协议，包括RDP、Citrix 、Terminal Services 、VMware 、VNC等。可以对操作进行回放和检索查询提供开放的数据和管理接口，帮助构建全面的审计平台可以基于策略的审计视频记录，可以通过应用（Application）、用户（ User、Server）、 特殊的应用屏幕图像（Speci?c Application Screens）、特殊的API接口类型（API to control recording）建立分类策略进行视频记录审计。

    2.1. 应用会话的全面记录

    在主控台的左面可以直观地看到当前记录的网络会话，管理员可以按照需要对其中每个会话选择回放和更新。在屏幕的右面则显示了选中的会话的审计记录。

    2.2. 会话全视频回放

    完整的视频会话记录提供了事件分析和审计的技术基础，而回放则是在此基础上的重要分析手段，而又是当前普通的审计系统和主流的安全信息管理和安全运行中心产品所不具备的。ThinkAny视频记录审计系统可以做到这一点。如下图所示，分别是针对网络中的RDP会话、VMvare和VNC会话进行回放的屏幕。审计员可以使用条件搜索，选择特定的时间、特定的通信方以及特定的会话等进行回放。

    2.3. 审计记录查询

    ThinkAny视频审计提供针对审计记录的多功能组合查询，如下图所示，查询条件包括开始和结束时间、应用、用户名、视频中的某个字符等，查询的结构可以直接生成报表并自动找到相应的视频录像。

    2.4. 报表系统

    ThinkAny提供灵活的报表系统，帮助管理员掌握一定时间段内的系统运行维护的整体状况和轨迹，例如按照下面变量的各种视图：

    特定日期和周期，例如每日，每周，每月

    每日特定的时间段，例如可定义的上班时间（8:30 - 5:30）和下班时间

    特定的服务器

    特定的维护终端

    特定的维护工程师

    特定的应用系统

    2.5. 系统登录

    ThinkAny的主控台采用专门的图形界面，管理员可以选择加密登录应用服务器和Agent器，以规避窃听等安全威胁。另外，在主登录界面，管理员还可以选择已经保存过的历史查询条件，已提高管理效率。

    2.6. 数据转储

    通常审计数据可能需要保存若干年，ThinkAny视频审计提供会话数据转储功能，可以把保存在中心数据库上的会话数据转储到本地或者其他介质。同时ThinkAny控制台也可以加载转储到本地的历史会话数据，并进行查询、回放等操作。

    ThinkAny存储效果让你大吃一惊，1000台服务器一年的存储空间只需区区的50Gb存储空间，另外ThinkAny的Agent效率也非常高，占用服务器的资源非常小，不到服务器CPU使用率的1%！

    2.9. 画面实时事件通知功能

    控制台可以实时显示ThinkAny Agent的实时事件。实时事件通过画面来定义，如果某个用户或管理员在使用过程中出现了我们预定义好的某个画面，控制台就会报警，并同时通过Email的形式告知相关的管理者！如，某台服务器不能卸载某个软件，你可以定义好卸载画面，如果每个管理员试图卸载，当他访问这个画面的时候ThinkAny视频审计系统就会报警，并根据预先定义好的语言进行警告（如你定义好的警告语言是：不准卸载此软件，否则后果自负），系统马上会出现警告语言："不准卸载此软件，否则后果自负"，同时通过Email系统告诉相关的管理者。

    2.10.实时会话录像功能

    ThinkAny控制台界面中能实时感知新的会话开始及已连接会话的结束。实时会话显示方便监控特定的敏感会话。

    2.11.视频培训功能

    如果管理员想通过视频的方式培训公司的用户，ThinkAny可以事先录下管理员安装或配置某个软件的过程，用户可以通过访问这些视频录像进行学习，达到培训的效果。

    3. ThinkAny视频记录审计系统架构

    如图所示，ThinkAny视频记录审计系统由Agent代理、应用服务器、数据库和控制台等四个系统模块组成，它们的主要功能分别是：

    Agent代理收集每个应用的图像数据、应用服务器收集来自Agent的所有数据并把数据送到数据库、数据库储存视频数据流、控制台以WEB界面的方式管理ThinkAny视频记录审计系统，同时进行应用审计的录制与回放。

    4. ThinkAny视频记录审计系统的优势

    在内控和安全审计的重要性与日俱增的今天，ThinkAny为大型企业和组织的内控和符合性旅程带来了前所未有的系统增益。它的主要优势体现在：

    业界唯一的支持图形关键字查询

    业界唯一的支持关键图片告警

    业界唯一的支持鼠标点击显示

    支持第三方应用发布系统记录和回放（如：Citrix）

    统一安全访问并实现单点登录

    支持任何应用程序记录和回放

    可自定义回放内容及多种保存方式

    多种部署方式无需改变用户、主机和应用的配置和使用习惯

    支持多种认证方式

    报告内容丰富，支持html,execl等格式

    关于ThinkAny公司

    ThinkAny是一家专注于IT服务管理的公司，公司不断吸纳国内国际先进管理方法，并将这些先进的管理思想与具体企业管理相融合。我们对于如何标准化服务作业流程，降低IT运营成本，提高企业风险管控能力，以及建立IT服务质量体系具有独到的见解和方法。ThinkAny与政府部门、权威的认证机构保持的良好密切的关系，及时跟踪标准和国内相关政策的发展变化、汲取企业的成功经验，使我们的客户能够得到最新、最权威的信息和咨询服务。作为中国领先IT服务管理咨询机构，ThinkAny IT服务管理研究咨询中心可为不同行业和规模的企业、政府机构和IT服务提供商提供成熟的IT服务管理咨询服务。

    同时ThinkAny结合服务中所遇到的IT问题还开发很多IT产品，如ThinkAny视频式记录审计系统、ThinkAny ITSM Express服务管理系统、ThinkAny流量管理系统等等。