随着因特网的快速发展与信息数字化的全面普及,企业组织的商业行动与日常活动对于网络的依赖也日益深化。目前大多数的企业都已认知到信息安全管理的重要性,陆续都已完成了如防火墙、防病毒系统等信息安全基础架构,但是仅有这些基础防护架构的存在是远远无法满足企业的网络管理需求。
单就即时通讯软件的使用来说,就已经为企业的网络管理带来了许多新的挑战与问题,但企业所要面对的因特网应用不只有即时通讯软件,非标准化且如雨后春笋般冒出的P2P软件,不但大量耗费企业有限的网络带宽,更由于其非标准化的行为模式,相较于传统的网络内容其有迹可循的传播方式:电子邮件(SMTP)、网页浏览( HTTP)而言,大幅提高了管理上的难度。
另外网页式的电子邮件(WEBMAIL)的使用,在Google 所提供免费且大容量的Gmail冲击下,各大ISP也纷纷强化其所提供的服务来吸引更多的使用者。当使用的频率大幅增加,加上传统针对电子邮件安全管理的解决方案多未顾及此部份,WEBMAIL也将逐渐成为企业组织不得不重视的管理漏洞。
如何对业务系统访问和网络行为进行有效的监控,已经成为政府、军队、金融和企业重点关注的问题。
为何需要网络信息审计系统
- 内部人员通过FTP、文件上传下载、电子邮件等方式,发送重要敏感信息业务数据,导致信息外泄事件发生;
- 内部人员在论坛BBS上发表敏感信息、传播非法言论,造成恶劣社会影响,影响社会稳定;
- 内部人员通过即时通讯软件(如MSN等),发送机密数据,造成信息外泄的发生;
- 内部人员大量使用P2P软件下载数据,严重占用了正常网络访问的数据带宽;
- 网络管理员需要及时的观察和了解网络中传输的数据和流量信息;
- 在信息泄密发生之后,需快速的通过审计信息追查到相应的泄密人员、泄密地点、泄密时间和泄密方式;
- 等级保护要求。等级保护政策文件中要求一个安全的网络需对网络信息进行安全审计,并且可追溯;
- 萨班斯(SOX)法案。在美国上市公司必须遵循的“萨班斯(SOX)法案”中要求对企业内部网络信息系统进行评估,其中涉及对业务系统操作、数据库访问等业务行为的审计。
和勤网络信息审计系统主要特点
Feature |
Description |
Benefit |
网络访问协议的还原重现 |
可以针对SMTP、FTP、TELNET和HTTP等网络访问协议进行协议还原和重现 |
可以通过和勤网络信息审计系统,非常直观的了解内部用户的行为,从而了解网络中的应用情况 |
WEBMAIL审计 |
可以完整记录经由网页电子邮件(WEBMAIL)服务所发送与接收的信息。所记录之信息包括日期、寄件人地址、收件人地址、标题、信件正文与附件等 |
可以全面审计基于网页发送的电子邮件内容,结合SMTP的邮件协议审计,可全面的控管内部用户使用电子邮件传递的信息 |
聊天工具信息审计 |
完整记录即时通讯软件(如MSN等)之使用状态及所接收与传送的信息 |
可有效的防止内部用户通过聊天工具进行信息泄密 |
BBS信息审计 |
完整记录内部用户在BBS上的发帖信息 |
可有效防范内部用户在论坛中传播非法言论,危害社会稳定 |
P2P协议识别和审计 |
可识别并记录多种P2P工具软件下载的文件信息 |
通过P2P流量的识别,可有效的管理网络之中传输的流量,从而避免由于大量的P2P下载造成的正常访问中断 |
网络在线阻断 |
可通过和勤网络信息审计系统发送中断连接数据包,或者通过同其它网关设备(如防火墙)的联动,进行网络协议访问的在线阻断 |
一旦发现有异常的网络访问或者数据泄密,通过在线阻断可有效的阻止泄密的发生,并及时的通告管理员 |
强大的报表展示 |
可提供多种方式的报表展示,如网络流量、联机统计、人员排名、上网统计等 |
面对海量数据,高效的、便捷的和灵活的报表展示对于管理员而言是非常重要的,通过报表可以直观的了解网络的使用情况和内部人员网络访问情况 |
和勤网络信息审计系统主要功能
 - 完整记录经由SMTP、POP3所传送或接收的电子邮件。记录内容包括日期、寄件人、收件人、主题、邮件正文及附件。
- 可以完整记录经由网页电子邮件(WEBMAIL)服务所发送与接收的信息。
- 记录使用者HTTP上网浏览的行为。记录内容包括日期、来源IP、网址等项目。
- 记录内部用户在BBS上的发帖信息。记录内容包括时间、用户名、帖子内容等项目。
- 完整记录即时通讯软件(MSN等)之使用状态及所接收与传送的信息。包括时间、实时通讯软件种类、使用者IP、使用者账号、目的账号、与完整的交谈信息内容。
- 识别网络游戏、股票交易软件等数据流,以便了解和控制内部用户的相应软件使用。
应用方式一:中小型网络的一体化部署
针对中小型网络,和勤网络信息审计系统提供精细管理方案,通过基于对象的策略管理,和勤网络信息审计系统针对不同部门网段,制定不同的审计规则和响应方式。
由于中小型网络规模不大,为了便于管理,我们可采用一体化部署的解决方案,将信息审计、数据库记录和报表展示集于一体,通过和勤网络信息审计系统来全面的对内部网络进行审计工作,如下图:
上述方案部署了和勤网络信息审计系统之后,具有如下优点:
- 易于部署。只需在核心交换机的镜像口上连接和勤网络信息审计系统,便可完成方案部署,无需调整原有客户的网络结构,也不会造成在部署过程中影响正常网络访问的现象。
- 易于管理。通过WEB的管理方式,可有效的调整和勤网络信息审计系统审计的颗粒度,同时可以通过和勤网络信息审计系统的报表系统有效的了解内部用户的网络访问行为。
- 有效阻断。通过规则策略的匹配,一旦发现有数据泄密行为或者异常数据,和勤网络信息审计系统可快速的发送中断数据包进行阻止,同时也可同网络隔离设备(如防火墙等)联动,有效的进行实时阻断。
应用方式二:中大型网络的分布式部署
针对中大型网络,和勤网络信息审计系统可通过多探针的部署方式,最终分成前端审计探针、后端数据中心和终端管理平台三个部分。
- 前端审计探针:对节点(Hub/Switch)的信息进行采集、过滤、分析等操作,并将分析的数据传送到数据中心。
- 后端数据中心:将前端审计探针采集到的敏感数据信息进行数据库存储,按照用户的策略对数据进行还原解码等工作,通过管理分析得到一系列有价值的、供用户参考的数据。
- 终端管理平台:通过友好的用户管理界面,将采集到的数据通过终端查询和报表方式提供给用户,以便用户全面的了解整体网络的情况。
分布式方案部署和勤网络信息审计系统之后,具有如下优点:
- 海量信息处理。通过分布式部署,采集器和数据中心分离的方式可以处理海量信息数据,从而避免了一体化的缺陷。
- 系统自身安全性。由于探针仅仅收集审计信息,因此对于前端探针的任何网络攻击都对和勤网络信息审计系统无太大影响;同时探针同数据中心传输的数据采用SSL协议加密,保障了数据传输的安全性。
- 可应用于多级网络。分布式部署可以应用于多级网络结构之中,同时通过受限管理来进行分级。
|
