NetCruiser TRM 基于域的安全事件审计定位解决方案

  基于域管理的优点很多，但在出现问题的时候，管理人员在审计追踪问题根源时，却会觉得相当繁琐，特别是要追查安全事件相关的域用户更是如此，原因在于：

  （1） 虽然Windows事件日志中对域用户登录进行审计，但往往日志量很大，查询搜索比较繁琐，只有点击查看详细日志信息后才能找到用户登录的源IP地址，缺乏针对域用户登录的集中审计，缺乏能够快速查找及查询的手段；

  （2） 由于IP地址的易修改性，特别是域与DHCP结合，以及允许域用户漫游的网络，如果缺少事发时段IP地址和MAC地址的对应手段，IP地址很难作为事件追踪的主要依据。

  （3） 即使知道了域用户登录的源IP和MAC地址，如果域用户拥有较高系统权限，MAC地址也易修改，如何对IP地址冒用或MAC地址“克隆”此类行为进行有效鉴别，同样会对事件的追踪定位带来很大困难。

     事实上，IP+MAC作为事件追踪的依据是有很大缺陷的，原因在于IP地址和MAC地址都易修改，基于都可修改的IP+MAC来作为事件追踪的依据，理论上存在很大的缺陷和漏洞。所以即使审计类系统记录了某个IP在某个时段作了某些违规的事情，如果只是记录了IP，那么“嫌疑人”完全可以说是别人冒用的，如果同时记录了IP和MAC，那么“嫌疑人”也完全可以说是别人“克隆”的，要让审计类系统发挥有效作用，不解决这些问题，审计是不完整的、有缺陷的，对用户分析、决策和管理上的支撑作用将打折扣，作为取证的依据就更难成立了。

     北京网方华信作为专业的安全技术厂商，针对上述问题，以自身研发的NetCruiser TRM系统为基础，结合域管理的特点，推出了针对域管理的安全事件审计及追踪解决方案。