随着经济科技的发展,人类已经进入了互联网的时代。互联网影响着每个人,为社会发展发挥着一定的作用。截至2011年12月底,中国网民规模突破5 亿,达到5.13亿,全年新增网民5580万。互联网普及率较上年底提升4个百分点,达到38.3%。在网络膨胀的今天,信息化给我们带来了社会的进步,也显露出了一系列的问题。
员工对内部业务系统的非授权访问,业务资源的滥用、误用等行为,损害业务系统的正常运行。
员工随意通过EMAIL、邮件、即时通讯等方式发送敏感涉密信息,导致机密信息、关键业务数据的外泄。
员工利用网络浏览、下载、传播、发表不良信息和非法言论,造成恶劣社会影响,并可能导致国家法律问题。
员工利用工作时间,聊天、炒股、玩网络游戏、BT下载、在线视频等行为,影响工作效率。
员工滥用网络资源。员工之间常常共享和传播视频、音频文件和工具软件等信息资源,占用大量的带宽。严重时,损害业务系统的正常运转。
为了不断应对网络的安全挑战,企业和组织先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统等等,但是这些不能从根本上解决问题。针对上述挑战,上海艾泰科技有限公司推出第二代上网行为管理路由器,集用户认证、用户授权、用户上网行为管理、用户账号计费、用户行为审计等为一体的综合解决方案,下面详细讲解一下用户行为审计技术特点:
首先让我们来看看一个用户行为审计系统应该由那几部分组成。
(图1 用户行为审计系统组成图)
对于一个用户行为审计系统,从功能组成上至少应该包括信息采集、信息识别、信息存储、信息审计、信息查看五个基本模块,下面从五个方面分析:
1) 信息采集模块:系统能够通过某种技术手段获取需要审计的日志信息。对于该功能,关键在于采集信息的手段种类、采集信息的范围、采集信息的精细度程度。
艾泰科技上网行为审计信息采集模块解决之道:
艾泰科技第二代上网行为管理路由器支持多种数据采集方式,获取用户的上网日志信息:
用户上网日志——数据采集器可以采集内网用户中上下线日志,准确记录用户登录用户账号、何时上网、何时下线。这些信息能够帮助日志分析系统标识和定位上网用户。
用户访问明细日志——用户访问明细日志主要是对用户访问的目的站点、端口号等信息的详细记录。此外,还可以通过网络流量镜像方式来进一步获取更加详尽的、包括应用层协议信息(如发送的Email的信息、FTP下载信息等)的用户日志。
2) 信息识别模块:是指对于采集上来的信息进行分析。这是日志审计系统的核心,审计效果好坏直接由此体现出来。在实现信息分析的技术上,可以是基于数据库的信息查询和比较; 复杂的技术则包括实时关联分析引擎技术,采用基于规则的审计、基于统计的审计、基于时序的审计,以及基于人工智能的审计算法等等。
艾泰科技上网行为审计信息采集模块解决之道:
内置应用规则识别库:可精确识别互联网应用,其中包括IM软件、P2P软件、网络电视、网络游戏、论坛信息、炒股软件等等。帮助管理者透彻了解网络应用现状和用户行为,让网络管理可视化,提升管理的有效性
3) 信息存储模块:对于采集到原始信息,以及审计后的信息都要进行保存,备查,并可以作为取证的依据。在该功能的实现上,关键点包括海量信息存储技术、以及审计信息安全保护技术。
艾泰科技上网行为审计信息存储模块解决之道:
艾泰科技第二代行为管理路由器部分产品内置500G的标准硬盘,并建立强的数据库系统,帮助用户保存日志内容,为后续分析提供原始资料。
4) 信息审计模块:对于采用到的原始信息,对于合法的信息允许通过,对于审计不合格的信息,屏蔽通过。
艾泰科技上网行为审计信息审计模块解决之道:
艾泰科技第二代上网行为管理路由器提供全面完整的数据库审计解决方案,系统可实时监控数据库各种账户的数据库操作行为,可根据预先预订的策略,准确发现各种非法、违规操作,并及时告警响应处理,降低数据库安全风险,保护企业数据库资产安全。
5) 信息查看模块:包括审计结果查看界面、统计分析报表功能、告警响应功能、设备联动功能,等等。这部分功能是审计效果的最直接体现,审计结果的可视化能力和告警响应的方式、手段都是该功能的关键。
艾泰科技上网行为审计信息查看模块解决之道:
艾泰科技第二代行为管理路由器针对用户的行为日志采用图形化界面,帮忙用户一目了然的了解当前网络的状态以及用户的上网行为。提供了流量-时间分布表、兴趣-URL排名、应用流量统计、警告统计等等。
(图2. 流量-时间分布报表)
(图3. 兴趣-URL排名)
(图4. 应用流量排名)
(图5 警告数次统计)
总结:艾泰第二代上网行为管理上网行为审计基于信息采集、信息识别、信息存储、信息审计、信息查看为一体的设计理念,使用图表等形象化的语言展示统计结果。简化了用户操作,帮助用户及时了解网络状态,过滤非法操作,保证网络的稳定性。