autoEye Sec 終端監(jiān)控系統(tǒng)介紹

1、autoEye（奧視） 終端安全監(jiān)控系統(tǒng)介紹第一部分 功能介紹計(jì)算機(jī)操作的安全是計(jì)算機(jī)部門(mén)最關(guān)心的問(wèn)題之一，為了防止有意或無(wú)意的操作對(duì)計(jì)算機(jī)系統(tǒng)帶來(lái)的損害，便于對(duì)計(jì)算機(jī)操作的有效審計(jì)，需要一套計(jì)算機(jī)系統(tǒng)的遠(yuǎn)程操作安全管理軟件來(lái)進(jìn)行記錄和控制。 奧視（autoEye）系列計(jì)算機(jī)系統(tǒng)安全監(jiān)控軟件專(zhuān)門(mén)用于計(jì)算機(jī)系統(tǒng)的遠(yuǎn)程操作安全記錄管理，任何登錄生產(chǎn)業(yè)務(wù)計(jì)算機(jī)上的用戶操作都將被記錄下來(lái)，定時(shí)或者實(shí)時(shí)傳輸?shù)奖O(jiān)控管理服務(wù)器上。 autoEye終端監(jiān)控系統(tǒng)和現(xiàn)有的視頻監(jiān)控不同在于，該系統(tǒng)記錄的是用戶的終端類(lèi)操作的畫(huà)面變化，并可以對(duì)網(wǎng)內(nèi)任意一臺(tái)物理終端和仿真（telnet）終端的操作進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)已記錄保

2、存的終端操作畫(huà)面還可以進(jìn)行事后的查詢(xún)和回放。通過(guò)autoEye終端監(jiān)控系統(tǒng)可以對(duì)操作人員的各種差錯(cuò)操作、越軌操作很容易的追溯、重現(xiàn)，為事后取證提供了最直接和最權(quán)威的資料。 和市面上已有的許多網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)所不同的是，autoEye終端監(jiān)控系統(tǒng)所關(guān)注的是操作錄像表現(xiàn)層面的監(jiān)控，更忠實(shí)、更準(zhǔn)確、更直觀、更形象。此外，autoEye終端監(jiān)控系統(tǒng)具有更大的主動(dòng)性。 autoEye終端監(jiān)控系統(tǒng)忠實(shí)地記錄了網(wǎng)內(nèi)所有對(duì)受控主機(jī)的操作行為，保存了終端操作以及主機(jī)操作畫(huà)面，并可根據(jù)IP地址、登錄終端號(hào)、訪問(wèn)時(shí)間等要素劃分歷史訪問(wèn)記錄。autoEye終端監(jiān)控系統(tǒng)具有的畫(huà)面同步功能還提供了監(jiān)控人員實(shí)時(shí)監(jiān)控終端操作

3、的途徑。 autoEye終端監(jiān)控系統(tǒng)不僅能保存被監(jiān)控端的操作記錄而且能夠?qū)崟r(shí)的監(jiān)控到被監(jiān)控端上任何遠(yuǎn)程用戶的實(shí)時(shí)操作。這樣不僅有利于管理者實(shí)時(shí)觀察到被管理設(shè)備上的任何用戶的實(shí)時(shí)操作，而且有利于管理者進(jìn)行操作與技術(shù)培訓(xùn)。讓多名人員看到某一個(gè)人的實(shí)時(shí)操作過(guò)程。 autoEye終端監(jiān)控系統(tǒng)能夠?qū)v史數(shù)據(jù)進(jìn)行回放，回放的畫(huà)面與原始終端的操作畫(huà)面完全相同。采用autoEye終端監(jiān)控系統(tǒng)進(jìn)行安全監(jiān)控時(shí)，其操作流程將如下圖所示：實(shí)時(shí)/定時(shí)數(shù)據(jù)接收用戶操作的數(shù)據(jù)記錄終端監(jiān)控系統(tǒng)監(jiān)控人員數(shù)據(jù)管理根據(jù)條件查看錄像數(shù)據(jù)用戶登錄業(yè)務(wù)系統(tǒng)¨ 當(dāng)發(fā)生物理終端或者仿真終端操作時(shí)，autoEye終端監(jiān)控系統(tǒng)將自動(dòng)進(jìn)

4、行錄像。¨ 錄像以后，系統(tǒng)能夠?qū)浵駭?shù)據(jù)實(shí)時(shí)或者定時(shí)的傳輸?shù)奖O(jiān)控服務(wù)端。¨ 監(jiān)控服務(wù)端能夠有效的對(duì)錄像數(shù)據(jù)進(jìn)行管理，能夠進(jìn)行數(shù)據(jù)文件的轉(zhuǎn)儲(chǔ)和刪除。¨ autoEye終端監(jiān)控系統(tǒng)可以通過(guò)對(duì)受控主機(jī)被telnet訪問(wèn)操作時(shí)的訪問(wèn)時(shí)間、來(lái)源IP、終端號(hào)進(jìn)行提示，方便監(jiān)控人員進(jìn)行非工作時(shí)間、非合法來(lái)源的操作監(jiān)控。第二部分 autoEye軟件的優(yōu)點(diǎn)奧視（autoEye）終端監(jiān)控產(chǎn)品比相同功能的其他產(chǎn)品具有更好的功能, 主要表現(xiàn)在以下幾個(gè)方面：1 能夠監(jiān)控、記錄和顯示客戶端（發(fā)起端）的IP地址，并通過(guò)特定的界面展示在操作人員面前，一旦出現(xiàn)事故，能非常方便的追溯到發(fā)起端的機(jī)器I

5、P。2 能夠?qū)崿F(xiàn)全文檢索，能實(shí)現(xiàn)特定的關(guān)鍵字的檢索，有利于查找特別的命令以及操作此命令的時(shí)間和用戶，監(jiān)控人員可以根據(jù)其需要，通過(guò)時(shí)間段、設(shè)備IP或名稱(chēng)、登錄用戶名、命令關(guān)鍵字等方式進(jìn)行記錄文件的查找。3 對(duì)于每一個(gè)記錄文件都能實(shí)現(xiàn)對(duì)其概要描述，概要描述包括終端號(hào)，IP地址，發(fā)起人的IP地址，發(fā)起用戶，登陸時(shí)間等要素，可以方便的定位用戶4 能夠?qū)崿F(xiàn)在線的監(jiān)視從服務(wù)端可以觀察到被監(jiān)控端任何在線遠(yuǎn)程登陸用戶的實(shí)時(shí)操作。5 系統(tǒng)能夠通過(guò)用戶輸入的命令關(guān)鍵字進(jìn)行記錄文件的精確查找，并且也能通過(guò)命令關(guān)鍵字進(jìn)行終端畫(huà)面的精確查找定位。6 對(duì)于從一臺(tái)生產(chǎn)機(jī)跳轉(zhuǎn)登錄到另外一臺(tái)計(jì)算機(jī)的操作，系統(tǒng)能夠探測(cè)到跳轉(zhuǎn)登錄

6、信息，并且可以列出跳轉(zhuǎn)到的目的生產(chǎn)機(jī)的IP或者名稱(chēng)、登錄源生產(chǎn)機(jī)的IP或者名稱(chēng)、跳轉(zhuǎn)登錄使用的用戶名、跳轉(zhuǎn)登錄的時(shí)間等等信息。7 無(wú)論直接登錄生產(chǎn)機(jī)或者通過(guò)跳轉(zhuǎn)登錄，系統(tǒng)都能夠通過(guò)生產(chǎn)機(jī)的IP或者名稱(chēng)、命令關(guān)鍵字、登錄使用的用戶名查找到記錄文件。8 可以不需要在生產(chǎn)機(jī)上安裝任何代理軟件，完全不影響生產(chǎn)主機(jī)的任何性能。第三部分 系統(tǒng)介紹autoEye終端監(jiān)控系統(tǒng)由以下三部分組成：1 Agent，Agent駐留在應(yīng)用系統(tǒng)UNIX主機(jī)上，對(duì)數(shù)據(jù)進(jìn)行采集，實(shí)現(xiàn)對(duì)終端會(huì)話的操作監(jiān)控功能。2 傳輸程序，將Agent采集的數(shù)據(jù)傳輸?shù)絘utoEye終端監(jiān)控系統(tǒng)服務(wù)端，傳輸方式分為實(shí)時(shí)傳輸和定時(shí)傳輸。3 系統(tǒng)服

7、務(wù)端，完成對(duì)采集的終端會(huì)話數(shù)據(jù)格式化、存儲(chǔ)以及實(shí)時(shí)在線的監(jiān)控、歷史監(jiān)控?cái)?shù)據(jù)的回放、監(jiān)控?cái)?shù)據(jù)的備份等功能。具體功能描述如下：-用戶管理系統(tǒng)用戶分為管理用戶和普通用戶，管理用戶能執(zhí)行軟件的全部功能，而普通用戶不能執(zhí)行系統(tǒng)定義和存儲(chǔ)管理功能。管理用戶可以添加用戶，添加的用戶可以為管理用戶和普通用戶。-系統(tǒng)定義系統(tǒng)定義主要是添加被監(jiān)控機(jī)器并且為機(jī)器分組，方便管理。添加的機(jī)器信息包括：機(jī)器名，機(jī)器描述，IP地址，操作系統(tǒng)類(lèi)型。-存儲(chǔ)管理存儲(chǔ)管理主要用于歷史數(shù)據(jù)的維護(hù)，包括轉(zhuǎn)移數(shù)據(jù)，刪除歷史數(shù)據(jù)。-操作回放可以根據(jù)時(shí)間段和機(jī)器的組合搜索歷史操作記錄進(jìn)行回放。-實(shí)時(shí)監(jiān)控軟件能夠檢測(cè)到被監(jiān)控機(jī)器上已經(jīng)登陸的用

8、戶，并且能通過(guò)顯示圖標(biāo)的方式提示用戶已經(jīng)登陸到了被監(jiān)控機(jī)器。通過(guò)雙擊圖標(biāo)就能實(shí)時(shí)查看用戶正在進(jìn)行的操作。第四部分 系統(tǒng)部署方案1）部署方安1：生產(chǎn)業(yè)務(wù)主機(jī)2安裝Agent程序生產(chǎn)業(yè)務(wù)主機(jī)3安裝Agent程序生產(chǎn)業(yè)務(wù)主機(jī)1安裝Agent程序 企業(yè)網(wǎng)絡(luò)用戶客戶端監(jiān)控服務(wù)端系統(tǒng)autoEye 部屬方案一用戶客戶端、監(jiān)控服務(wù)端系統(tǒng)和生產(chǎn)業(yè)務(wù)主機(jī)能夠直接聯(lián)通，用戶客戶端可以直接Telnet到生產(chǎn)業(yè)務(wù)主機(jī)進(jìn)行管理。在生產(chǎn)業(yè)務(wù)主機(jī)上安裝Agent和數(shù)據(jù)傳輸程序，Agent用于采集用戶客戶端登陸到生產(chǎn)業(yè)務(wù)主機(jī)的會(huì)話數(shù)據(jù)，通過(guò)數(shù)據(jù)傳輸程序?qū)⒉杉降臄?shù)據(jù)傳輸?shù)奖O(jiān)控服務(wù)端。監(jiān)控服務(wù)端主機(jī)上安裝autoEye監(jiān)控服務(wù)

9、端程序和網(wǎng)絡(luò)傳輸程序，監(jiān)控服務(wù)端程序用于管理、回放、存儲(chǔ)數(shù)據(jù)等，網(wǎng)絡(luò)傳輸程序用于接受從生產(chǎn)業(yè)務(wù)主機(jī)上傳輸過(guò)來(lái)的數(shù)據(jù)。2）部署方安2：生產(chǎn)網(wǎng)段辦公網(wǎng)段生產(chǎn)業(yè)務(wù)主機(jī)1生產(chǎn)業(yè)務(wù)主機(jī)2生產(chǎn)業(yè)務(wù)主機(jī)3Telnet 中間服務(wù)器用戶客戶端監(jiān)控服務(wù)端系統(tǒng)安裝監(jiān)控代理程序autoEye 部屬方案二用戶客戶端和監(jiān)控服務(wù)端與生產(chǎn)業(yè)務(wù)主機(jī)處于不同的網(wǎng)絡(luò)；生產(chǎn)主機(jī)位于生產(chǎn)網(wǎng)段，用戶客戶端一般位于辦公網(wǎng)段，生產(chǎn)網(wǎng)段與辦公網(wǎng)段之間使用一臺(tái)中間服務(wù)器連接；如果用戶需要訪問(wèn)生產(chǎn)主機(jī)，那么首先需要登陸（Telnet）到中間服務(wù)器，再?gòu)闹虚g服務(wù)器登陸到生產(chǎn)業(yè)務(wù)主機(jī)。這種情況下，生產(chǎn)業(yè)務(wù)主機(jī)不需要安裝任何代理軟件。在中間服務(wù)器上安裝

10、Agent和網(wǎng)絡(luò)傳輸程序。Agent用于采集用戶客戶端通過(guò)中間服務(wù)器登陸到生產(chǎn)業(yè)務(wù)主機(jī)上的會(huì)話數(shù)據(jù);傳輸程序?qū)gent采集到的數(shù)據(jù)傳輸?shù)奖O(jiān)控服務(wù)器上。在監(jiān)控服務(wù)器主機(jī)上安裝有autoEye監(jiān)控服務(wù)程序和網(wǎng)絡(luò)傳輸程序；監(jiān)控服務(wù)程序用于管理、回放、存儲(chǔ)數(shù)據(jù)等；網(wǎng)絡(luò)傳輸程序用于接受從生產(chǎn)業(yè)務(wù)主機(jī)上傳輸過(guò)來(lái)的數(shù)據(jù)。1）部署方安3：生產(chǎn)業(yè)務(wù)主機(jī)2安裝Agent程序生產(chǎn)業(yè)務(wù)主機(jī)3安裝Agent程序生產(chǎn)業(yè)務(wù)主機(jī)1安裝Agent程序 企業(yè)網(wǎng)絡(luò)用戶客戶端中間服務(wù)器autoEye 部屬方案三此部署方案中網(wǎng)絡(luò)的物理連接方式與部屬方案1相同。實(shí)現(xiàn)此部屬方案的關(guān)鍵是需要啟動(dòng)生產(chǎn)主機(jī)操作系統(tǒng)內(nèi)的網(wǎng)絡(luò)安全機(jī)制，并在安全機(jī)制中設(shè)置只接受同網(wǎng)絡(luò)內(nèi)特定IP地址的訪問(wèn)，而不接受同網(wǎng)絡(luò)內(nèi)其他IP地址的訪問(wèn)；將中間服務(wù)器地址設(shè)定為可訪問(wèn)生產(chǎn)主機(jī)的特定IP地