三維分解＂網(wǎng)絡(luò)審計＂技術(shù)

申請免費試用、咨詢電話：400-8352-114

據(jù)統(tǒng)計，70%的企業(yè)信息安全隱患來自內(nèi)部。為了應(yīng)對這部分風(fēng)險，不少企業(yè)都在考慮采用網(wǎng)絡(luò)審計技術(shù)來封堵。

維度一：技術(shù)思路

當(dāng)前大量企業(yè)都建立了以網(wǎng)絡(luò)為基礎(chǔ)的信息化平臺。但據(jù)IDC調(diào)查，超過70%的信息安全隱患來自企業(yè)內(nèi)部。事實上，以混合攻擊為代表的現(xiàn)代攻擊手段已經(jīng)給企業(yè)造成了極大威脅。因為無論是內(nèi)部還是外部威脅，只要攻擊者發(fā)現(xiàn)了業(yè)務(wù)系統(tǒng)的漏洞，往往業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)就會被攻破。

傳統(tǒng)的防護(hù)手段是通過防火墻、入侵檢測的手段來進(jìn)行。而隨著攻擊手段的演變，傳統(tǒng)方式對于滿足保障業(yè)務(wù)系統(tǒng)的安全越來越力不從心。

在此基礎(chǔ)上，安全業(yè)界提出了安全審計的設(shè)計思想。利用這種技術(shù)可以實現(xiàn)對企業(yè)業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行控制和審計。這種基于網(wǎng)絡(luò)的控制與審計是繼防火墻、入侵檢測之后的一種全新的網(wǎng)絡(luò)安全手段，目前在國際上都將其發(fā)展放在重要的位置。據(jù)悉，以大東網(wǎng)絡(luò)、聯(lián)想網(wǎng)御、深信服、天融信、網(wǎng)御神州為代表的國內(nèi)安全廠商，都已經(jīng)推出或者準(zhǔn)備推出自己的網(wǎng)絡(luò)審計系統(tǒng)，其中DD2000、TSM、AC5000都是應(yīng)用較多的系統(tǒng)。

維度二：國貨占優(yōu)

有讀者可能會問，為何在網(wǎng)絡(luò)審計中只提國內(nèi)廠商。其實，由于內(nèi)網(wǎng)審計的特殊性，要求安全廠商必須對本地應(yīng)用進(jìn)行支持。正如大東網(wǎng)絡(luò)技術(shù)負(fù)責(zé)人唐正雨所講的，提到限制IM應(yīng)用，在國內(nèi)就要想到QQ、網(wǎng)易泡泡、淘寶旺旺；提到封殺P2P，在國內(nèi)必須考慮迅雷和Vagaa。而這恰恰考驗了廠商的本土化能力。
而深信服的安全產(chǎn)品經(jīng)理鄔迪向記者介紹說，國外專注于網(wǎng)絡(luò)審計的安全公司，大都基于國際上的標(biāo)準(zhǔn)化應(yīng)用，像ICQ、MSN、雅虎Messenger、Skype等。但國內(nèi)的情況卻復(fù)雜很多，僅僅移植基于通用架構(gòu)的應(yīng)用層審計技術(shù)還遠(yuǎn)遠(yuǎn)不夠。
正是為了應(yīng)對審計過程的復(fù)雜性，一套標(biāo)準(zhǔn)的網(wǎng)絡(luò)審計系統(tǒng)必須要工作在網(wǎng)絡(luò)層、傳輸層以及應(yīng)用層三個層次。

為此唐正雨介紹說，審計系統(tǒng)必須內(nèi)置數(shù)據(jù)通信模式識別與分析模塊，為的是幫助企業(yè)實時監(jiān)視網(wǎng)絡(luò)系統(tǒng)的運行狀態(tài)，記錄網(wǎng)絡(luò)事件，并對網(wǎng)絡(luò)活動的相關(guān)信息進(jìn)行存儲，同時提供分析和審計回放。

聯(lián)想網(wǎng)御的安全專家表示，目前的審計系統(tǒng)主要是通過內(nèi)置的基本網(wǎng)絡(luò)應(yīng)用協(xié)議、數(shù)據(jù)庫應(yīng)用協(xié)議等幾大類、數(shù)十種協(xié)議分析模塊，將進(jìn)出網(wǎng)絡(luò)邊界（如核心網(wǎng)與外網(wǎng)之間）的網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行實時、完整的還原，以便重現(xiàn)用戶訪問的網(wǎng)絡(luò)資源或者進(jìn)行的操作。

此外，網(wǎng)御神州的安全產(chǎn)品經(jīng)理葉蓬認(rèn)為，通過對用戶內(nèi)網(wǎng)進(jìn)行邊界審計，可以對歷史的網(wǎng)絡(luò)行為進(jìn)行追溯，為在出現(xiàn)安全事件時作為責(zé)任劃分的依據(jù)，并且當(dāng)重要數(shù)據(jù)意外丟失后還可以利用其進(jìn)行數(shù)據(jù)恢復(fù)。

目前，國內(nèi)通行的網(wǎng)絡(luò)審計系統(tǒng)采用"一硬二軟"的系統(tǒng)組合。以DD2000系統(tǒng)為例，在硬件上一般都采用一個基于安全操作系統(tǒng)平臺的審計器；在軟件上，則分為集中管理平臺和審計管理器兩部分。前者大多為一套可以運行在Windows 2000/2003 Server上的軟件系統(tǒng)，用來對一個或者多個審計器進(jìn)行集中管理和數(shù)據(jù)分析；后者則是用來管理配置審計系統(tǒng)策略、開展審計日志分析的管理軟件。

維度三：四大功能

記者了解到，企業(yè)采用網(wǎng)絡(luò)審計系統(tǒng)主要還是希望對內(nèi)網(wǎng)行為實現(xiàn)安全監(jiān)控。因此，目前主流的網(wǎng)絡(luò)審計系統(tǒng)大都幫助企業(yè)用戶實現(xiàn)四大功能。

第一， 基本網(wǎng)絡(luò)應(yīng)用協(xié)議審計。

審計系統(tǒng)能夠?qū)镜木W(wǎng)絡(luò)應(yīng)用協(xié)議，如HTTP、POP3、SMTP、FTP、Telnet、DNS、HTTPS、PCAnywhere等進(jìn)行詳細(xì)的實時監(jiān)控、審計，并可以對操作過程進(jìn)行回放。

第二， 共享文件審計。

審計系統(tǒng)能夠?qū)W(wǎng)絡(luò)中Windows共享文件的操作進(jìn)行審計，可以實時的記錄網(wǎng)絡(luò)用戶對Windows共享文件的各種操作，以及能夠記錄下相應(yīng)的原始文件，并能對共享文件操作命令進(jìn)行回放。

第三， 數(shù)據(jù)庫操作審計。

審計系統(tǒng)能夠?qū)崟r記錄用戶對Oracle和Microsoft SQLServer等數(shù)據(jù)庫的操作，包括查詢、添加、刪除、修改、事務(wù)處理等操作的完整SQL語句，以及進(jìn)行這些操作的數(shù)據(jù)庫用戶名。通過對原始SQL語句的記錄，實現(xiàn)對網(wǎng)絡(luò)用戶操作實現(xiàn)字段級的審計，并能將這些操作進(jìn)行回放。

第四， 特定審計。

審計系統(tǒng)能夠?qū)ADIUS和TACACS+進(jìn)行審計，可以對QQ、MSN、ICQ、雅虎通等即時通信協(xié)議進(jìn)行詳細(xì)的實時監(jiān)控、審計，并可以對操作過程進(jìn)行回放。同時，系統(tǒng)能夠設(shè)置的已備案網(wǎng)站信息的IP地址或者URL，實時監(jiān)測網(wǎng)絡(luò)中的非法網(wǎng)站，同時記錄各個網(wǎng)站的點擊量。特別是，審計系統(tǒng)能夠根據(jù)企業(yè)網(wǎng)管定義的IP地址以及端口號對特定的協(xié)議進(jìn)行實時的跟蹤并記錄原始的數(shù)據(jù)報文，同時按策略審計敏感信息。(cnw)