蓝Auditor安全接入审计监控

 
随着人类进入知识经济时代，企业的核心技术、商业机密已经成为企业在未来的市场竞争中能否取胜的关键因素，关系到企业的兴衰存亡。因此，企业当 前正在不断 加强对企业商业机密、信息安全的保护。企业如何利用网络管理、网络监控技术来保护企业重要的无形资产呢？我们通常会面临以下几个问题：

     * 如何在复杂的企业信息中心环境当中，安全的授权具体个人对服务器对象的访问与管理；
     * 如何对运维对象进行明细分类，保障运维过程的合法性；
     * 如何建议针对信息中心的审计基础架构，实现对整体核心信息中心的安全审计；
     * 如何实现运维过程的事中控制与报警，实现对运维事中过程的安全处理；
     * 针对传统的协议审计，如何解决加密升级或其它类型的协议进行审计；
     * 如何在审计过程当中，准确定位具体范围的具体的责任个人；
     * 如何在结果池当中快速查询到所需要的审计内容；
     * 以上问题在不同的企业安全运维过程当中都面临类似的问题；

     一、平台核心框架

     北京蓝浚安全审计平台，根据信息中心的运维操作的基本原理，将服务器、设备及一切信息中心资源对象全部统一审计起来，同时配合严格的身份认证及资源发布功   能，将合法用户的操作范围进行具体定义，同时配合自定义的安全策略，针对操作的过程进行安全保护；同时实现也对协议和加密方式的无关性，提高了企业发展过  程当中信息化安全的安全保护的扩展；

     二、网络拓朴结构

     方案概述：

     针对企业在运维过程当中各种运维审计问题，北京蓝浚综合审计平台通过直接布署可以实现将所有运维对象资源和运维人员，包括服务外  包人员进行集中化运维审计管理，通过统一平台，并将人员和信息中心隔离，可以实现对所有设备对象、所有操作系统、所有通迅协议进行审计；同时将4A级  (帐户管理、认证管理、授权管理、审计管理)审计管理方法+平台隔离引入到企业安全审计系统，提高审计结果的高效；

     三、产品原理介绍

     北京蓝浚安全审计方案结合应用虚拟化技术与视频技术，实现对应用程序和运维连接工具（Telnet、RDP、VNC、SSH、FTP等）的集中发布，并以录像形式对来自于业务应用及运维管理的操作行为进行实时监控，主要功能如下：
     1、应用程序的集中发布
     将应用程序服务器端与客户端统一部署在客户服务器中心，任何授权客户机都能够以WEB形式访问，并更新数据；
     2、操作行为录像
     将所有来自于业务应用操作及管理员维护操作的具体行为动作进行实施监控，可同时对服务器所有的会话与进程进行并发录制；
     3、策略保护实时报警
     针对程序、文件夹、文件、注册表和键盘输入六大类对象类型进行触发，并在遇到触发条件时激活报警手段[短信、邮件、文字日志记录、开始录像、结束录像、中断连接]，从而有效阻止安全事故的发生；
     4、录像数据深度挖掘
     针对大量的录像数据，系统可以提取所有操作属性的详细内容，并进行操作分析，为录像检索提供目录源，同时也为操作安全报警和服务器自动保护提供事件源支持；
     5、操作行为智能检索
     针对大量的操作录像，根据用户名、操作时间、动作名称、文件目录等条件进行查询搜索，并可以快速定位具体操作所在的录像及录像的具体位置。

     四、系统组成

     北京蓝浚安全审计系统采用集中化、模块化的设计思想，整个系统由四大部分组成，包括运维权限管理、审计过滤、录像管理、保护系统。
     1、权限管理
     通过运维发布系统，可以直接将运维人员的权限进行分层管理，不同的运维人员可以使用不同的运维工具，而审计管理员可以实时监控所有运维操作，实现将运维管理分层分级；
     2、审计过滤
     通过关键字匹配或各种策略过滤，可以将各种威胁操作或特殊操作进行记录与触发，从而进行各种'事中管理'的活动；
     3、录像管理
     所有录像文件是不可被修改的，并且可以通过检索程序标题或者运维人员的具体输入内容进行自定义录像及日志检索，并可以建议对应关系，实现日志到录像的快速定位；方便快速定位并查询各种运维动作；
     4、保护系统
     审计系统做为安全运维的核心通道，自身的服务、程序、进程、录像、策略等整体系统是可以系统自我保护的；针对危险操作可以智能中断相应会话，并快速报警，实现运维活动的安全保护；

     五、核心功能

     北京蓝浚安全审计系统的核心功能主要有关键字过滤、事中策略触发、自定义操作检索、系统自我保护、高可用设计五个部分。各个部分具体功能说明如下：
     1. 关键字过滤
     关键字是整个审计系统的核心特色之一，可以自由制定各种运维关键字，包括：所有键盘输入操作的内容，运维程序标题，以及URL地  址；只要与所设定的关键字一致，就会自动触发策略机制；同样原理，所有的可匹配对象，以文本形式存储，通过关键字特性可以实现各种自定义运维活动录像与日  志检索；
     2. 事中策略触发
     通过关键字或自定义策略监控，当操作符合触发条件时，会实时执行触发操作；也就是说可以在危险操作发生前或发生时及时报警或进行  智能操作中断，并将危险操作的具体对象与触发事件通知并记录，方便事后快速定位并进行处理；事中触发可以实现运维活动过程中，在危险发生前进行保护与报  警；
     3. 自定义操作检索
     审计过程会保护大量的活动录像与操作日志，通过自定义检索，可以快速查找所需的内容，并方便及时定位：谁？什么时间？做了哪些操作？操作前后的环境情况等信息；并且可以进行日志与录像定位的切换，提高审计审查的效率；
     4. 系统自我防护
     安全审计系统的自保护包括两部分：过程保护及结果保护，主要功能为保证整个审计体系是健康有效的。通过服务、进程、录像、日志、策略的守护服务，实现了运维审计的过程是不可被破坏和中断的，审计结果是不可改变及不可破坏，从而保证了整个系统的稳定；
     5. 高可用设计
     为了满足大规范的操作行为审计及整体运维审计管理的需求，安全审计系统包括特的集群及负载均衡功能，可以实现多台运维主机的资源均衡分配管理，同时针对集群内任何一台审计系统宕机，其它系统主机会自动接管审计服务，保证整体系统的持续不断运行；

     六、功能特点

     1. 完善的安全审计功能
     不仅可以收集到用户关心的多种审计数据，审计结果也具有绝对权威性，同时可以针对审计内容进行自定义检索。
     2. 模块化设计
     一旦系统安全管理员指定好安全策略并发布成功，各模块之间立运行，整个系统运行效率非常高，同时也便于用户结合自身特点使用。
     3. 统一管理平台设计
     集成各子系统的控制模块，实现对各子系统的集中管理，向子系统下达各种规则。
     4. 多级数据提取技术
     可以设置多个对象的安全审计过滤，通过定制个性化的审计策略，可以对各种审计操作对象数据进行提取与检索。

     七、技术特色

     1. 综合性审计
     该系统是集运维人员审计、运维对象审计、操作过程审计于一体的审计监控系统。
     2. 扩展性应用
     北京蓝浚安全审计系统可以审计各种运维对象，包括：各种服务器操作系统（Windows、Unix等任意操作系统主机）、各种网  络协议（SSH、Telnet、RDP、sFtp等）、各种网络设备（路由器、交换机等各种设备的命令终端运维审计）；满足了客户未来任意对象扩充的需 求。
     3. 事中保护
     北京蓝浚安全审计系统除了操作行为录像与操作内容日志以外，可以具有事中保护的功能，并且整体运维活动还可以实现运维权限分层管理。
     * 7年服务器运营经验，全国24家直属分支服务机构，近百名直属及认证服务工程师，保障了快速的服务响应与优秀的技术支持；
     * 全国160万客户群体的应用体验，为北京蓝浚在各大领域提供了丰富的行业经验；
     * 由中科院博士与数名行业专家带领的研发团队所打造的全线的自主知识产权产品，为客户的各种个性需求提供了快速解决的基础条件；
     * 在信息化领域的连接、安全、虚拟化、企业门户及移动办公等多款自主产品组成的信息化整合平台，可以满足各类客户群体在应用方面的各种需求；

     八、审计平台优势

     * 审计对象不限，审计对象可以是各种服务器系统、各种传输协议、各种对象设备；
     * 与加密方式无关，无论何种方式的加密协议与加密对象，根据IT系统原理进行全范围审计；
     * 不改变企业信息化安全习惯，但可以将人员与系统物理隔离，充分保障系统的安全性；
     * 所有对服务器操作行为进行实时录像，同时输入内部日志记录，并通过自带播放器进行回放；
     * 录像数据不可改写，保证审计的公正性；
     * 详细的身份鉴别机制，确定精确定位到具体的个人；
     * 存储数据量小：只录制用户的动作、鼠标、键盘等信息，捕捉屏幕变化信息，空闲时间不录制，平均一个用户约100~150MB的档案大小，在多人登入的服务器下运作不影响系统的效能；