autoEye Sec 终端监控系统介绍

1、autoEye（奥视） 终端安全监控系统介绍第一部分 功能介绍计算机操作的安全是计算机部门最关心的问题之一，为了防止有意或无意的操作对计算机系统带来的损害，便于对计算机操作的有效审计，需要一套计算机系统的远程操作安全管理软件来进行记录和控制。 奥视（autoEye）系列计算机系统安全监控软件专门用于计算机系统的远程操作安全记录管理，任何登录生产业务计算机上的用户操作都将被记录下来，定时或者实时传输到监控管理服务器上。 autoEye终端监控系统和现有的视频监控不同在于，该系统记录的是用户的终端类操作的画面变化，并可以对网内任意一台物理终端和仿真（telnet）终端的操作进行实时监控，对已记录保

2、存的终端操作画面还可以进行事后的查询和回放。通过autoEye终端监控系统可以对操作人员的各种差错操作、越轨操作很容易的追溯、重现，为事后取证提供了最直接和最权威的资料。 和市面上已有的许多网络安全监控系统所不同的是，autoEye终端监控系统所关注的是操作录像表现层面的监控，更忠实、更准确、更直观、更形象。此外，autoEye终端监控系统具有更大的主动性。 autoEye终端监控系统忠实地记录了网内所有对受控主机的操作行为，保存了终端操作以及主机操作画面，并可根据IP地址、登录终端号、访问时间等要素划分历史访问记录。autoEye终端监控系统具有的画面同步功能还提供了监控人员实时监控终端操作

3、的途径。 autoEye终端监控系统不仅能保存被监控端的操作记录而且能够实时的监控到被监控端上任何远程用户的实时操作。这样不仅有利于管理者实时观察到被管理设备上的任何用户的实时操作，而且有利于管理者进行操作与技术培训。让多名人员看到某一个人的实时操作过程。 autoEye终端监控系统能够对历史数据进行回放，回放的画面与原始终端的操作画面完全相同。采用autoEye终端监控系统进行安全监控时，其操作流程将如下图所示：实时/定时数据接收用户操作的数据记录终端监控系统监控人员数据管理根据条件查看录像数据用户登录业务系统¨ 当发生物理终端或者仿真终端操作时，autoEye终端监控系统将自动进

4、行录像。¨ 录像以后，系统能够将录像数据实时或者定时的传输到监控服务端。¨ 监控服务端能够有效的对录像数据进行管理，能够进行数据文件的转储和删除。¨ autoEye终端监控系统可以通过对受控主机被telnet访问操作时的访问时间、来源IP、终端号进行提示，方便监控人员进行非工作时间、非合法来源的操作监控。第二部分 autoEye软件的优点奥视（autoEye）终端监控产品比相同功能的其他产品具有更好的功能, 主要表现在以下几个方面：1 能够监控、记录和显示客户端（发起端）的IP地址，并通过特定的界面展示在操作人员面前，一旦出现事故，能非常方便的追溯到发起端的机器I

5、P。2 能够实现全文检索，能实现特定的关键字的检索，有利于查找特别的命令以及操作此命令的时间和用户，监控人员可以根据其需要，通过时间段、设备IP或名称、登录用户名、命令关键字等方式进行记录文件的查找。3 对于每一个记录文件都能实现对其概要描述，概要描述包括终端号，IP地址，发起人的IP地址，发起用户，登陆时间等要素，可以方便的定位用户4 能够实现在线的监视从服务端可以观察到被监控端任何在线远程登陆用户的实时操作。5 系统能够通过用户输入的命令关键字进行记录文件的精确查找，并且也能通过命令关键字进行终端画面的精确查找定位。6 对于从一台生产机跳转登录到另外一台计算机的操作，系统能够探测到跳转登录

6、信息，并且可以列出跳转到的目的生产机的IP或者名称、登录源生产机的IP或者名称、跳转登录使用的用户名、跳转登录的时间等等信息。7 无论直接登录生产机或者通过跳转登录，系统都能够通过生产机的IP或者名称、命令关键字、登录使用的用户名查找到记录文件。8 可以不需要在生产机上安装任何代理软件，完全不影响生产主机的任何性能。第三部分 系统介绍autoEye终端监控系统由以下三部分组成：1 Agent，Agent驻留在应用系统UNIX主机上，对数据进行采集，实现对终端会话的操作监控功能。2 传输程序，将Agent采集的数据传输到autoEye终端监控系统服务端，传输方式分为实时传输和定时传输。3 系统服

7、务端，完成对采集的终端会话数据格式化、存储以及实时在线的监控、历史监控数据的回放、监控数据的备份等功能。具体功能描述如下：-用户管理系统用户分为管理用户和普通用户，管理用户能执行软件的全部功能，而普通用户不能执行系统定义和存储管理功能。管理用户可以添加用户，添加的用户可以为管理用户和普通用户。-系统定义系统定义主要是添加被监控机器并且为机器分组，方便管理。添加的机器信息包括：机器名，机器描述，IP地址，操作系统类型。-存储管理存储管理主要用于历史数据的维护，包括转移数据，删除历史数据。-操作回放可以根据时间段和机器的组合搜索历史操作记录进行回放。-实时监控软件能够检测到被监控机器上已经登陆的用

8、户，并且能通过显示图标的方式提示用户已经登陆到了被监控机器。通过双击图标就能实时查看用户正在进行的操作。第四部分 系统部署方案1）部署方安1：生产业务主机2安装Agent程序生产业务主机3安装Agent程序生产业务主机1安装Agent程序 企业网络用户客户端监控服务端系统autoEye 部属方案一用户客户端、监控服务端系统和生产业务主机能够直接联通，用户客户端可以直接Telnet到生产业务主机进行管理。在生产业务主机上安装Agent和数据传输程序，Agent用于采集用户客户端登陆到生产业务主机的会话数据，通过数据传输程序将采集到的数据传输到监控服务端。监控服务端主机上安装autoEye监控服务

9、端程序和网络传输程序，监控服务端程序用于管理、回放、存储数据等，网络传输程序用于接受从生产业务主机上传输过来的数据。2）部署方安2：生产网段办公网段生产业务主机1生产业务主机2生产业务主机3Telnet 中间服务器用户客户端监控服务端系统安装监控代理程序autoEye 部属方案二用户客户端和监控服务端与生产业务主机处于不同的网络；生产主机位于生产网段，用户客户端一般位于办公网段，生产网段与办公网段之间使用一台中间服务器连接；如果用户需要访问生产主机，那么首先需要登陆（Telnet）到中间服务器，再从中间服务器登陆到生产业务主机。这种情况下，生产业务主机不需要安装任何代理软件。在中间服务器上安装

10、Agent和网络传输程序。Agent用于采集用户客户端通过中间服务器登陆到生产业务主机上的会话数据;传输程序将Agent采集到的数据传输到监控服务器上。在监控服务器主机上安装有autoEye监控服务程序和网络传输程序；监控服务程序用于管理、回放、存储数据等；网络传输程序用于接受从生产业务主机上传输过来的数据。1）部署方安3：生产业务主机2安装Agent程序生产业务主机3安装Agent程序生产业务主机1安装Agent程序 企业网络用户客户端中间服务器autoEye 部属方案三此部署方案中网络的物理连接方式与部属方案1相同。实现此部属方案的关键是需要启动生产主机操作系统内的网络安全机制，并在安全机制中设置只接受同网络内特定IP地址的访问，而不接受同网络内其他IP地址的访问；将中间服务器地址设定为可访问生产主机的特定IP地