三維分解＂網(wǎng)絡審計＂技術

申請免費試用、咨詢電話：400-8352-114

據(jù)統(tǒng)計，70%的企業(yè)信息安全隱患來自內(nèi)部。為了應對這部分風險，不少企業(yè)都在考慮采用網(wǎng)絡審計技術來封堵。

維度一：技術思路

當前大量企業(yè)都建立了以網(wǎng)絡為基礎的信息化平臺。但據(jù)IDC調(diào)查，超過70%的信息安全隱患來自企業(yè)內(nèi)部。事實上，以混合攻擊為代表的現(xiàn)代攻擊手段已經(jīng)給企業(yè)造成了極大威脅。因為無論是內(nèi)部還是外部威脅，只要攻擊者發(fā)現(xiàn)了業(yè)務系統(tǒng)的漏洞，往往業(yè)務系統(tǒng)網(wǎng)絡就會被攻破。

傳統(tǒng)的防護手段是通過防火墻、入侵檢測的手段來進行。而隨著攻擊手段的演變，傳統(tǒng)方式對于滿足保障業(yè)務系統(tǒng)的安全越來越力不從心。

在此基礎上，安全業(yè)界提出了安全審計的設計思想。利用這種技術可以實現(xiàn)對企業(yè)業(yè)務網(wǎng)絡進行控制和審計。這種基于網(wǎng)絡的控制與審計是繼防火墻、入侵檢測之后的一種全新的網(wǎng)絡安全手段，目前在國際上都將其發(fā)展放在重要的位置。據(jù)悉，以大東網(wǎng)絡、聯(lián)想網(wǎng)御、深信服、天融信、網(wǎng)御神州為代表的國內(nèi)安全廠商，都已經(jīng)推出或者準備推出自己的網(wǎng)絡審計系統(tǒng)，其中DD2000、TSM、AC5000都是應用較多的系統(tǒng)。

維度二：國貨占優(yōu)

有讀者可能會問，為何在網(wǎng)絡審計中只提國內(nèi)廠商。其實，由于內(nèi)網(wǎng)審計的特殊性，要求安全廠商必須對本地應用進行支持。正如大東網(wǎng)絡技術負責人唐正雨所講的，提到限制IM應用，在國內(nèi)就要想到QQ、網(wǎng)易泡泡、淘寶旺旺；提到封殺P2P，在國內(nèi)必須考慮迅雷和Vagaa。而這恰恰考驗了廠商的本土化能力。
而深信服的安全產(chǎn)品經(jīng)理鄔迪向記者介紹說，國外專注于網(wǎng)絡審計的安全公司，大都基于國際上的標準化應用，像ICQ、MSN、雅虎Messenger、Skype等。但國內(nèi)的情況卻復雜很多，僅僅移植基于通用架構的應用層審計技術還遠遠不夠。
正是為了應對審計過程的復雜性，一套標準的網(wǎng)絡審計系統(tǒng)必須要工作在網(wǎng)絡層、傳輸層以及應用層三個層次。

為此唐正雨介紹說，審計系統(tǒng)必須內(nèi)置數(shù)據(jù)通信模式識別與分析模塊，為的是幫助企業(yè)實時監(jiān)視網(wǎng)絡系統(tǒng)的運行狀態(tài)，記錄網(wǎng)絡事件，并對網(wǎng)絡活動的相關信息進行存儲，同時提供分析和審計回放。

聯(lián)想網(wǎng)御的安全專家表示，目前的審計系統(tǒng)主要是通過內(nèi)置的基本網(wǎng)絡應用協(xié)議、數(shù)據(jù)庫應用協(xié)議等幾大類、數(shù)十種協(xié)議分析模塊，將進出網(wǎng)絡邊界（如核心網(wǎng)與外網(wǎng)之間）的網(wǎng)絡通信數(shù)據(jù)進行實時、完整的還原，以便重現(xiàn)用戶訪問的網(wǎng)絡資源或者進行的操作。

此外，網(wǎng)御神州的安全產(chǎn)品經(jīng)理葉蓬認為，通過對用戶內(nèi)網(wǎng)進行邊界審計，可以對歷史的網(wǎng)絡行為進行追溯，為在出現(xiàn)安全事件時作為責任劃分的依據(jù)，并且當重要數(shù)據(jù)意外丟失后還可以利用其進行數(shù)據(jù)恢復。

目前，國內(nèi)通行的網(wǎng)絡審計系統(tǒng)采用"一硬二軟"的系統(tǒng)組合。以DD2000系統(tǒng)為例，在硬件上一般都采用一個基于安全操作系統(tǒng)平臺的審計器；在軟件上，則分為集中管理平臺和審計管理器兩部分。前者大多為一套可以運行在Windows 2000/2003 Server上的軟件系統(tǒng)，用來對一個或者多個審計器進行集中管理和數(shù)據(jù)分析；后者則是用來管理配置審計系統(tǒng)策略、開展審計日志分析的管理軟件。

維度三：四大功能

記者了解到，企業(yè)采用網(wǎng)絡審計系統(tǒng)主要還是希望對內(nèi)網(wǎng)行為實現(xiàn)安全監(jiān)控。因此，目前主流的網(wǎng)絡審計系統(tǒng)大都幫助企業(yè)用戶實現(xiàn)四大功能。

第一， 基本網(wǎng)絡應用協(xié)議審計。

審計系統(tǒng)能夠對基本的網(wǎng)絡應用協(xié)議，如HTTP、POP3、SMTP、FTP、Telnet、DNS、HTTPS、PCAnywhere等進行詳細的實時監(jiān)控、審計，并可以對操作過程進行回放。

第二， 共享文件審計。

審計系統(tǒng)能夠對網(wǎng)絡中Windows共享文件的操作進行審計，可以實時的記錄網(wǎng)絡用戶對Windows共享文件的各種操作，以及能夠記錄下相應的原始文件，并能對共享文件操作命令進行回放。

第三， 數(shù)據(jù)庫操作審計。

審計系統(tǒng)能夠實時記錄用戶對Oracle和Microsoft SQLServer等數(shù)據(jù)庫的操作，包括查詢、添加、刪除、修改、事務處理等操作的完整SQL語句，以及進行這些操作的數(shù)據(jù)庫用戶名。通過對原始SQL語句的記錄，實現(xiàn)對網(wǎng)絡用戶操作實現(xiàn)字段級的審計，并能將這些操作進行回放。

第四， 特定審計。

審計系統(tǒng)能夠對RADIUS和TACACS+進行審計，可以對QQ、MSN、ICQ、雅虎通等即時通信協(xié)議進行詳細的實時監(jiān)控、審計，并可以對操作過程進行回放。同時，系統(tǒng)能夠設置的已備案網(wǎng)站信息的IP地址或者URL，實時監(jiān)測網(wǎng)絡中的非法網(wǎng)站，同時記錄各個網(wǎng)站的點擊量。特別是，審計系統(tǒng)能夠根據(jù)企業(yè)網(wǎng)管定義的IP地址以及端口號對特定的協(xié)議進行實時的跟蹤并記錄原始的數(shù)據(jù)報文，同時按策略審計敏感信息。(cnw)