藍(lán)Auditor安全接入審計監(jiān)控

 
隨著人類進(jìn)入知識經(jīng)濟(jì)時代，企業(yè)的核心技術(shù)、商業(yè)機(jī)密已經(jīng)成為企業(yè)在未來的市場競爭中能否取勝的關(guān)鍵因素，關(guān)系到企業(yè)的興衰存亡。因此，企業(yè)當(dāng) 前正在不斷 加強對企業(yè)商業(yè)機(jī)密、信息安全的保護(hù)。企業(yè)如何利用網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控技術(shù)來保護(hù)企業(yè)重要的無形資產(chǎn)呢？我們通常會面臨以下幾個問題：

     * 如何在復(fù)雜的企業(yè)信息中心環(huán)境當(dāng)中，安全的授權(quán)具體個人對服務(wù)器對象的訪問與管理；
     * 如何對運維對象進(jìn)行明細(xì)分類，保障運維過程的合法性；
     * 如何建議針對信息中心的審計基礎(chǔ)架構(gòu)，實現(xiàn)對整體核心信息中心的安全審計；
     * 如何實現(xiàn)運維過程的事中控制與報警，實現(xiàn)對運維事中過程的安全處理；
     * 針對傳統(tǒng)的協(xié)議審計，如何解決加密升級或其它類型的協(xié)議進(jìn)行審計；
     * 如何在審計過程當(dāng)中，準(zhǔn)確定位具體范圍的具體的責(zé)任個人；
     * 如何在結(jié)果池當(dāng)中快速查詢到所需要的審計內(nèi)容；
     * 以上問題在不同的企業(yè)安全運維過程當(dāng)中都面臨類似的問題；

     一、平臺核心框架

     北京藍(lán)浚安全審計平臺，根據(jù)信息中心的運維操作的基本原理，將服務(wù)器、設(shè)備及一切信息中心資源對象全部統(tǒng)一審計起來，同時配合嚴(yán)格的身份認(rèn)證及資源發(fā)布功   能，將合法用戶的操作范圍進(jìn)行具體定義，同時配合自定義的安全策略，針對操作的過程進(jìn)行安全保護(hù)；同時實現(xiàn)也對協(xié)議和加密方式的無關(guān)性，提高了企業(yè)發(fā)展過  程當(dāng)中信息化安全的安全保護(hù)的擴(kuò)展；

     二、網(wǎng)絡(luò)拓樸結(jié)構(gòu)

     方案概述：

     針對企業(yè)在運維過程當(dāng)中各種運維審計問題，北京藍(lán)浚綜合審計平臺通過直接布署可以實現(xiàn)將所有運維對象資源和運維人員，包括服務(wù)外  包人員進(jìn)行集中化運維審計管理，通過統(tǒng)一平臺，并將人員和信息中心隔離，可以實現(xiàn)對所有設(shè)備對象、所有操作系統(tǒng)、所有通迅協(xié)議進(jìn)行審計；同時將4A級  (帳戶管理、認(rèn)證管理、授權(quán)管理、審計管理)審計管理方法+平臺隔離引入到企業(yè)安全審計系統(tǒng)，提高審計結(jié)果的高效；

     三、產(chǎn)品原理介紹

     北京藍(lán)浚安全審計方案結(jié)合應(yīng)用虛擬化技術(shù)與視頻技術(shù)，實現(xiàn)對應(yīng)用程序和運維連接工具（Telnet、RDP、VNC、SSH、FTP等）的集中發(fā)布，并以錄像形式對來自于業(yè)務(wù)應(yīng)用及運維管理的操作行為進(jìn)行實時監(jiān)控，主要功能如下：
     1、應(yīng)用程序的集中發(fā)布
     將應(yīng)用程序服務(wù)器端與客戶端統(tǒng)一部署在客戶服務(wù)器中心，任何授權(quán)客戶機(jī)都能夠以WEB形式訪問，并更新數(shù)據(jù)；
     2、操作行為錄像
     將所有來自于業(yè)務(wù)應(yīng)用操作及管理員維護(hù)操作的具體行為動作進(jìn)行實施監(jiān)控，可同時對服務(wù)器所有的會話與進(jìn)程進(jìn)行并發(fā)錄制；
     3、策略保護(hù)實時報警
     針對程序、文件夾、文件、注冊表和鍵盤輸入六大類對象類型進(jìn)行觸發(fā)，并在遇到觸發(fā)條件時激活報警手段[短信、郵件、文字日志記錄、開始錄像、結(jié)束錄像、中斷連接]，從而有效阻止安全事故的發(fā)生；
     4、錄像數(shù)據(jù)深度挖掘
     針對大量的錄像數(shù)據(jù)，系統(tǒng)可以提取所有操作屬性的詳細(xì)內(nèi)容，并進(jìn)行操作分析，為錄像檢索提供目錄源，同時也為操作安全報警和服務(wù)器自動保護(hù)提供事件源支持；
     5、操作行為智能檢索
     針對大量的操作錄像，根據(jù)用戶名、操作時間、動作名稱、文件目錄等條件進(jìn)行查詢搜索，并可以快速定位具體操作所在的錄像及錄像的具體位置。

     四、系統(tǒng)組成

     北京藍(lán)浚安全審計系統(tǒng)采用集中化、模塊化的設(shè)計思想，整個系統(tǒng)由四大部分組成，包括運維權(quán)限管理、審計過濾、錄像管理、保護(hù)系統(tǒng)。
     1、權(quán)限管理
     通過運維發(fā)布系統(tǒng)，可以直接將運維人員的權(quán)限進(jìn)行分層管理，不同的運維人員可以使用不同的運維工具，而審計管理員可以實時監(jiān)控所有運維操作，實現(xiàn)將運維管理分層分級；
     2、審計過濾
     通過關(guān)鍵字匹配或各種策略過濾，可以將各種威脅操作或特殊操作進(jìn)行記錄與觸發(fā)，從而進(jìn)行各種'事中管理'的活動；
     3、錄像管理
     所有錄像文件是不可被修改的，并且可以通過檢索程序標(biāo)題或者運維人員的具體輸入內(nèi)容進(jìn)行自定義錄像及日志檢索，并可以建議對應(yīng)關(guān)系，實現(xiàn)日志到錄像的快速定位；方便快速定位并查詢各種運維動作；
     4、保護(hù)系統(tǒng)
     審計系統(tǒng)做為安全運維的核心通道，自身的服務(wù)、程序、進(jìn)程、錄像、策略等整體系統(tǒng)是可以系統(tǒng)自我保護(hù)的；針對危險操作可以智能中斷相應(yīng)會話，并快速報警，實現(xiàn)運維活動的安全保護(hù)；

     五、核心功能

     北京藍(lán)浚安全審計系統(tǒng)的核心功能主要有關(guān)鍵字過濾、事中策略觸發(fā)、自定義操作檢索、系統(tǒng)自我保護(hù)、高可用設(shè)計五個部分。各個部分具體功能說明如下：
     1. 關(guān)鍵字過濾
     關(guān)鍵字是整個審計系統(tǒng)的核心特色之一，可以自由制定各種運維關(guān)鍵字，包括：所有鍵盤輸入操作的內(nèi)容，運維程序標(biāo)題，以及URL地  址；只要與所設(shè)定的關(guān)鍵字一致，就會自動觸發(fā)策略機(jī)制；同樣原理，所有的可匹配對象，以文本形式存儲，通過關(guān)鍵字特性可以實現(xiàn)各種自定義運維活動錄像與日  志檢索；
     2. 事中策略觸發(fā)
     通過關(guān)鍵字或自定義策略監(jiān)控，當(dāng)操作符合觸發(fā)條件時，會實時執(zhí)行觸發(fā)操作；也就是說可以在危險操作發(fā)生前或發(fā)生時及時報警或進(jìn)行  智能操作中斷，并將危險操作的具體對象與觸發(fā)事件通知并記錄，方便事后快速定位并進(jìn)行處理；事中觸發(fā)可以實現(xiàn)運維活動過程中，在危險發(fā)生前進(jìn)行保護(hù)與報  警；
     3. 自定義操作檢索
     審計過程會保護(hù)大量的活動錄像與操作日志，通過自定義檢索，可以快速查找所需的內(nèi)容，并方便及時定位：誰？什么時間？做了哪些操作？操作前后的環(huán)境情況等信息；并且可以進(jìn)行日志與錄像定位的切換，提高審計審查的效率；
     4. 系統(tǒng)自我防護(hù)
     安全審計系統(tǒng)的自保護(hù)包括兩部分：過程保護(hù)及結(jié)果保護(hù)，主要功能為保證整個審計體系是健康有效的。通過服務(wù)、進(jìn)程、錄像、日志、策略的守護(hù)服務(wù)，實現(xiàn)了運維審計的過程是不可被破壞和中斷的，審計結(jié)果是不可改變及不可破壞，從而保證了整個系統(tǒng)的穩(wěn)定；
     5. 高可用設(shè)計
     為了滿足大規(guī)范的操作行為審計及整體運維審計管理的需求，安全審計系統(tǒng)包括特的集群及負(fù)載均衡功能，可以實現(xiàn)多臺運維主機(jī)的資源均衡分配管理，同時針對集群內(nèi)任何一臺審計系統(tǒng)宕機(jī)，其它系統(tǒng)主機(jī)會自動接管審計服務(wù)，保證整體系統(tǒng)的持續(xù)不斷運行；

     六、功能特點

     1. 完善的安全審計功能
     不僅可以收集到用戶關(guān)心的多種審計數(shù)據(jù)，審計結(jié)果也具有絕對權(quán)威性，同時可以針對審計內(nèi)容進(jìn)行自定義檢索。
     2. 模塊化設(shè)計
     一旦系統(tǒng)安全管理員指定好安全策略并發(fā)布成功，各模塊之間立運行，整個系統(tǒng)運行效率非常高，同時也便于用戶結(jié)合自身特點使用。
     3. 統(tǒng)一管理平臺設(shè)計
     集成各子系統(tǒng)的控制模塊，實現(xiàn)對各子系統(tǒng)的集中管理，向子系統(tǒng)下達(dá)各種規(guī)則。
     4. 多級數(shù)據(jù)提取技術(shù)
     可以設(shè)置多個對象的安全審計過濾，通過定制個性化的審計策略，可以對各種審計操作對象數(shù)據(jù)進(jìn)行提取與檢索。

     七、技術(shù)特色

     1. 綜合性審計
     該系統(tǒng)是集運維人員審計、運維對象審計、操作過程審計于一體的審計監(jiān)控系統(tǒng)。
     2. 擴(kuò)展性應(yīng)用
     北京藍(lán)浚安全審計系統(tǒng)可以審計各種運維對象，包括：各種服務(wù)器操作系統(tǒng)（Windows、Unix等任意操作系統(tǒng)主機(jī)）、各種網(wǎng)  絡(luò)協(xié)議（SSH、Telnet、RDP、sFtp等）、各種網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)等各種設(shè)備的命令終端運維審計）；滿足了客戶未來任意對象擴(kuò)充的需 求。
     3. 事中保護(hù)
     北京藍(lán)浚安全審計系統(tǒng)除了操作行為錄像與操作內(nèi)容日志以外，可以具有事中保護(hù)的功能，并且整體運維活動還可以實現(xiàn)運維權(quán)限分層管理。
     * 7年服務(wù)器運營經(jīng)驗，全國24家直屬分支服務(wù)機(jī)構(gòu)，近百名直屬及認(rèn)證服務(wù)工程師，保障了快速的服務(wù)響應(yīng)與優(yōu)秀的技術(shù)支持；
     * 全國160萬客戶群體的應(yīng)用體驗，為北京藍(lán)浚在各大領(lǐng)域提供了豐富的行業(yè)經(jīng)驗；
     * 由中科院博士與數(shù)名行業(yè)專家?guī)ьI(lǐng)的研發(fā)團(tuán)隊所打造的全線的自主知識產(chǎn)權(quán)產(chǎn)品，為客戶的各種個性需求提供了快速解決的基礎(chǔ)條件；
     * 在信息化領(lǐng)域的連接、安全、虛擬化、企業(yè)門戶及移動辦公等多款自主產(chǎn)品組成的信息化整合平臺，可以滿足各類客戶群體在應(yīng)用方面的各種需求；

     八、審計平臺優(yōu)勢

     * 審計對象不限，審計對象可以是各種服務(wù)器系統(tǒng)、各種傳輸協(xié)議、各種對象設(shè)備；
     * 與加密方式無關(guān)，無論何種方式的加密協(xié)議與加密對象，根據(jù)IT系統(tǒng)原理進(jìn)行全范圍審計；
     * 不改變企業(yè)信息化安全習(xí)慣，但可以將人員與系統(tǒng)物理隔離，充分保障系統(tǒng)的安全性；
     * 所有對服務(wù)器操作行為進(jìn)行實時錄像，同時輸入內(nèi)部日志記錄，并通過自帶播放器進(jìn)行回放；
     * 錄像數(shù)據(jù)不可改寫，保證審計的公正性；
     * 詳細(xì)的身份鑒別機(jī)制，確定精確定位到具體的個人；
     * 存儲數(shù)據(jù)量?。褐讳浿朴脩舻膭幼?、鼠標(biāo)、鍵盤等信息，捕捉屏幕變化信息，空閑時間不錄制，平均一個用戶約100~150MB的檔案大小，在多人登入的服務(wù)器下運作不影響系統(tǒng)的效能；