三維分解＂網(wǎng)絡(luò)審計(jì)＂技術(shù)

申請(qǐng)免費(fèi)試用、咨詢(xún)電話：400-8352-114

據(jù)統(tǒng)計(jì)，70%的企業(yè)信息安全隱患來(lái)自?xún)?nèi)部。為了應(yīng)對(duì)這部分風(fēng)險(xiǎn)，不少企業(yè)都在考慮采用網(wǎng)絡(luò)審計(jì)技術(shù)來(lái)封堵。

維度一：技術(shù)思路

當(dāng)前大量企業(yè)都建立了以網(wǎng)絡(luò)為基礎(chǔ)的信息化平臺(tái)。但據(jù)IDC調(diào)查，超過(guò)70%的信息安全隱患來(lái)自企業(yè)內(nèi)部。事實(shí)上，以混合攻擊為代表的現(xiàn)代攻擊手段已經(jīng)給企業(yè)造成了極大威脅。因?yàn)闊o(wú)論是內(nèi)部還是外部威脅，只要攻擊者發(fā)現(xiàn)了業(yè)務(wù)系統(tǒng)的漏洞，往往業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)就會(huì)被攻破。

傳統(tǒng)的防護(hù)手段是通過(guò)防火墻、入侵檢測(cè)的手段來(lái)進(jìn)行。而隨著攻擊手段的演變，傳統(tǒng)方式對(duì)于滿(mǎn)足保障業(yè)務(wù)系統(tǒng)的安全越來(lái)越力不從心。

在此基礎(chǔ)上，安全業(yè)界提出了安全審計(jì)的設(shè)計(jì)思想。利用這種技術(shù)可以實(shí)現(xiàn)對(duì)企業(yè)業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行控制和審計(jì)。這種基于網(wǎng)絡(luò)的控制與審計(jì)是繼防火墻、入侵檢測(cè)之后的一種全新的網(wǎng)絡(luò)安全手段，目前在國(guó)際上都將其發(fā)展放在重要的位置。據(jù)悉，以大東網(wǎng)絡(luò)、聯(lián)想網(wǎng)御、深信服、天融信、網(wǎng)御神州為代表的國(guó)內(nèi)安全廠商，都已經(jīng)推出或者準(zhǔn)備推出自己的網(wǎng)絡(luò)審計(jì)系統(tǒng)，其中DD2000、TSM、AC5000都是應(yīng)用較多的系統(tǒng)。

維度二：國(guó)貨占優(yōu)

有讀者可能會(huì)問(wèn)，為何在網(wǎng)絡(luò)審計(jì)中只提國(guó)內(nèi)廠商。其實(shí)，由于內(nèi)網(wǎng)審計(jì)的特殊性，要求安全廠商必須對(duì)本地應(yīng)用進(jìn)行支持。正如大東網(wǎng)絡(luò)技術(shù)負(fù)責(zé)人唐正雨所講的，提到限制IM應(yīng)用，在國(guó)內(nèi)就要想到QQ、網(wǎng)易泡泡、淘寶旺旺；提到封殺P2P，在國(guó)內(nèi)必須考慮迅雷和Vagaa。而這恰恰考驗(yàn)了廠商的本土化能力。
而深信服的安全產(chǎn)品經(jīng)理鄔迪向記者介紹說(shuō)，國(guó)外專(zhuān)注于網(wǎng)絡(luò)審計(jì)的安全公司，大都基于國(guó)際上的標(biāo)準(zhǔn)化應(yīng)用，像ICQ、MSN、雅虎Messenger、Skype等。但國(guó)內(nèi)的情況卻復(fù)雜很多，僅僅移植基于通用架構(gòu)的應(yīng)用層審計(jì)技術(shù)還遠(yuǎn)遠(yuǎn)不夠。
正是為了應(yīng)對(duì)審計(jì)過(guò)程的復(fù)雜性，一套標(biāo)準(zhǔn)的網(wǎng)絡(luò)審計(jì)系統(tǒng)必須要工作在網(wǎng)絡(luò)層、傳輸層以及應(yīng)用層三個(gè)層次。

為此唐正雨介紹說(shuō)，審計(jì)系統(tǒng)必須內(nèi)置數(shù)據(jù)通信模式識(shí)別與分析模塊，為的是幫助企業(yè)實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)，記錄網(wǎng)絡(luò)事件，并對(duì)網(wǎng)絡(luò)活動(dòng)的相關(guān)信息進(jìn)行存儲(chǔ)，同時(shí)提供分析和審計(jì)回放。

聯(lián)想網(wǎng)御的安全專(zhuān)家表示，目前的審計(jì)系統(tǒng)主要是通過(guò)內(nèi)置的基本網(wǎng)絡(luò)應(yīng)用協(xié)議、數(shù)據(jù)庫(kù)應(yīng)用協(xié)議等幾大類(lèi)、數(shù)十種協(xié)議分析模塊，將進(jìn)出網(wǎng)絡(luò)邊界（如核心網(wǎng)與外網(wǎng)之間）的網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行實(shí)時(shí)、完整的還原，以便重現(xiàn)用戶(hù)訪問(wèn)的網(wǎng)絡(luò)資源或者進(jìn)行的操作。

此外，網(wǎng)御神州的安全產(chǎn)品經(jīng)理葉蓬認(rèn)為，通過(guò)對(duì)用戶(hù)內(nèi)網(wǎng)進(jìn)行邊界審計(jì)，可以對(duì)歷史的網(wǎng)絡(luò)行為進(jìn)行追溯，為在出現(xiàn)安全事件時(shí)作為責(zé)任劃分的依據(jù)，并且當(dāng)重要數(shù)據(jù)意外丟失后還可以利用其進(jìn)行數(shù)據(jù)恢復(fù)。

目前，國(guó)內(nèi)通行的網(wǎng)絡(luò)審計(jì)系統(tǒng)采用"一硬二軟"的系統(tǒng)組合。以DD2000系統(tǒng)為例，在硬件上一般都采用一個(gè)基于安全操作系統(tǒng)平臺(tái)的審計(jì)器；在軟件上，則分為集中管理平臺(tái)和審計(jì)管理器兩部分。前者大多為一套可以運(yùn)行在Windows 2000/2003 Server上的軟件系統(tǒng)，用來(lái)對(duì)一個(gè)或者多個(gè)審計(jì)器進(jìn)行集中管理和數(shù)據(jù)分析；后者則是用來(lái)管理配置審計(jì)系統(tǒng)策略、開(kāi)展審計(jì)日志分析的管理軟件。

維度三：四大功能

記者了解到，企業(yè)采用網(wǎng)絡(luò)審計(jì)系統(tǒng)主要還是希望對(duì)內(nèi)網(wǎng)行為實(shí)現(xiàn)安全監(jiān)控。因此，目前主流的網(wǎng)絡(luò)審計(jì)系統(tǒng)大都幫助企業(yè)用戶(hù)實(shí)現(xiàn)四大功能。

第一， 基本網(wǎng)絡(luò)應(yīng)用協(xié)議審計(jì)。

審計(jì)系統(tǒng)能夠?qū)镜木W(wǎng)絡(luò)應(yīng)用協(xié)議，如HTTP、POP3、SMTP、FTP、Telnet、DNS、HTTPS、PCAnywhere等進(jìn)行詳細(xì)的實(shí)時(shí)監(jiān)控、審計(jì)，并可以對(duì)操作過(guò)程進(jìn)行回放。

第二， 共享文件審計(jì)。

審計(jì)系統(tǒng)能夠?qū)W(wǎng)絡(luò)中Windows共享文件的操作進(jìn)行審計(jì)，可以實(shí)時(shí)的記錄網(wǎng)絡(luò)用戶(hù)對(duì)Windows共享文件的各種操作，以及能夠記錄下相應(yīng)的原始文件，并能對(duì)共享文件操作命令進(jìn)行回放。

第三， 數(shù)據(jù)庫(kù)操作審計(jì)。

審計(jì)系統(tǒng)能夠?qū)崟r(shí)記錄用戶(hù)對(duì)Oracle和Microsoft SQLServer等數(shù)據(jù)庫(kù)的操作，包括查詢(xún)、添加、刪除、修改、事務(wù)處理等操作的完整SQL語(yǔ)句，以及進(jìn)行這些操作的數(shù)據(jù)庫(kù)用戶(hù)名。通過(guò)對(duì)原始SQL語(yǔ)句的記錄，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)用戶(hù)操作實(shí)現(xiàn)字段級(jí)的審計(jì)，并能將這些操作進(jìn)行回放。

第四， 特定審計(jì)。

審計(jì)系統(tǒng)能夠?qū)ADIUS和TACACS+進(jìn)行審計(jì)，可以對(duì)QQ、MSN、ICQ、雅虎通等即時(shí)通信協(xié)議進(jìn)行詳細(xì)的實(shí)時(shí)監(jiān)控、審計(jì)，并可以對(duì)操作過(guò)程進(jìn)行回放。同時(shí)，系統(tǒng)能夠設(shè)置的已備案網(wǎng)站信息的IP地址或者URL，實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)中的非法網(wǎng)站，同時(shí)記錄各個(gè)網(wǎng)站的點(diǎn)擊量。特別是，審計(jì)系統(tǒng)能夠根據(jù)企業(yè)網(wǎng)管定義的IP地址以及端口號(hào)對(duì)特定的協(xié)議進(jìn)行實(shí)時(shí)的跟蹤并記錄原始的數(shù)據(jù)報(bào)文，同時(shí)按策略審計(jì)敏感信息。(cnw)