网络行为审计白皮书.doc

《网络行为审计白皮书.doc》由会员分享，可在线阅读，更多相关《网络行为审计白皮书.doc（13页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、如有侵权，请联系网站删除，仅供学习与交流网络行为审计白皮书【精品文档】第 10 页网络行为审计技术白皮书北京中科安胜信息技术有限公司2008.12目录注：本方案对象为互联网接入的校园网、政府部门政务外网、企业网一、 总述随着互联网的迅速发展与普及应用，互联网的使用已经成为人们工作和学习密不可分的一部分。但是通过网络访问色情、反动信息、非法占用网络资源等行为越来越频繁。针对互联网访问这一应用领域，应用关键字实时跟踪分析技术，从发起者、访问时间、访问对象、访问方法、使用频率各个角度，提供丰富的统计分析报告，帮助用户在统一管理互联网访问日志的同时，及时发现安全隐患，协助优化网络资源的使用。我们对网络

2、流量进行了分析，对于特定的网络应用，进行了分析。能够做到，在任何时候分析那个IP是占用带宽最多的IP,那种应用是占用带宽最多的应用，那种协议是占用带宽最多的协议。除针对互联网的审计以外，我们同时具备对数据库访问的审计，对于数据的审计支持ORACLE，DB2 ，SQLSERVER，MYSQL，TERADATA。该系统能够记录访问数据库的用户，实例，源ip，sql语句等信息。二、 接入方式2.1 上网访问审计接入拓扑图大多上网访问行为分为，用户个人计算机，通过网络设备，经过网关，访问网络；如下图：2.2 数据库审计接入2.3存在的问题以及由此可能产生的后果首先，面临的是国家对互联网接入单位的管理要

3、求（见附件一），如果单位在互联网访问方面没有采取措施保留原始记录（日志），一旦发生通过互联网开展的违法乱纪行为，只能追查到单位，追究管理责任，给单位在经济和声誉上带来巨大损失，甚至要求停网整顿，将严重干扰正常工作的开展。其次，互联网的滥用现象十分严重，员工在办公时间内浏览与工作无关的网站，花大量时间在聊天（即时信息）、玩游戏、流媒体（听音乐看电影）、炒股票、下载等。这样一方面，导致员工的工作效率严重受到影响；另一方面，带宽资源始终不够，缓慢的网速将干扰正常工作的开展。再次，广泛的互联网访问和用户操作不当，感染病毒和木马的几率大大增加，也给网络安全防范方面带来更大威胁。最后，员工可以将涉及单位工

4、作秘密的资料通过互联网轻易外泄，比如财务数据、工作或经营计划、客户名单、价格体系、合同等。2.3为避免风险应具备的能力清单为避免企业遭受上述风险，减少风险带来的各种损失，一个独立的上网审计系统应具备从组成上网环境的各个环节访问源（客户端）、访问路径（路由器、交换机）、目标网站中探测到用户的所有访问行为、存储记录及从中分析出异常现象的能力。具体包括：l 探测采集全部用户访问外网目标的行为记录访问行为的全部过程：访问源地址、访问方式、访问目标、访问时间等。l 对所有用户的行为记录进行基于时间、空间的综合统计分析的能力系统应能定期自动产生各种审计分析报告，或通过交互提供各种特定条件下的分析报告或日志

5、查询能力。三、 主要功能3.1 互联网审计1) 网站访问HTTP 客户端IP、日志日期、日志时间、目标IP、目标端口、URL、 源MAC2) 收发邮件SMTP 和POP客户端IP、日志日期、日志时间、目标IP、目标端口、URL、 源MAC发件人，收件人、主题。3) 文件下载FTP客户端IP、客户端端口、目标IP、目标服务名、客户登录名、操作、日志日期、日志时间、源MAC。4) 远程登陆TELNET客户端IP、目标IP、协议、信息（客户端命令、目标端返回信息）3.2 采集方式对上网管理审计主要通过网络监听上网行为，对监听得到的数据发送到审计设备中来。3.3 典型网络拓扑图3.4 审计输出3.5.

6、1 高效实时分析能力高效的实时分析技术确保单个分析引擎日志吞吐量不小于每秒400000条，友好的用户规则定制界面支持灵活的分析策略实施，包括：违反访问限制规则尝试：网络管理员在互联网出口处通过部署上网探测器，设置了一系列安全访问规则，违反这些访问规则的访问尝试，尤其是短时间段重复尝试，具有潜在安全风险，及时通知网络管理员。符合规则的非正常访问提示：在非正常时间段（如下班、节假日）、不属于合法IP范围（或合法MAC登记）、非正常流量（大数据块传输）、失败连接、非正常连接时间长度（UDP类型）等。关键字匹配分析：敏感关键字（法轮功、游行、绝密/秘密、暴力、色情等）3.5.2 事后分析统计报表协议排

7、名：指定时间段，访问互联网方式数量（HTTP、FTP、E-mail等）通讯排名：指定时间段，内网用户生成的网络通讯排名（产生通讯最多的用户排在前面）。网站排名：指定时间段，内网用户访问最频繁的网站（最受欢迎的网站排列在最前面）。HTTP流量跟踪：指定时间段，用户访问互联网网站流量信息波动。FTP站点流量报表：指定时间段，用户访问FTP站点，下载流量统计。最多下载的站点排列在最前面。FTP用户流量报表：指定时间段，用户访问FTP站点，下载流量统计。最多下载的客户端排列在最前面。FTP上传文件类型：指定时间段，上传文件类型统计（上传文件最多的类型排列的最前面）。FTP下载传文件类型：指定时间段，下

8、载文件类型统计（下载文件最多的类型排列的最前面）。E-mail收发排名：指定时间段，用户收发邮件统计（收发最多的客户端排列在最前面）。E-mail收发附件类型：指定时间段，邮件附件类型统计。即时通讯工具在线时间排名：指定时间段，用户（MSN、QQ、ICQ）在线时间统计（在线时间最长客户端排列在最前面）。即时通讯工具数据量排名：指定时间段，用户（MSN、QQ、ICQ）传输数据量统计（传输数据量最大客户端排列在最前面）。3.5.3集中存储归档和高效检索功能第三地集中保留所有原始互联网访问日志，提供回放用户访问行为过程，使安全事故发生后进行审计和取证。灵活的归档备份功能包括： 1日志归档包括：手工与

9、自动两种方式。用户可以设置归档范围（类型、时间） ；2支持归档文件的多种备份方式（Tape/Ftp/Samba/NFS）；3导入功能包括：原始日志批量导入和归档文件导入；4在已归档日志范围内，用户（管理员）可对日志记录进删除操作。在高压缩比的支持下，存储能力由存储介质空间决定，除了审计设备自带的磁盘阵列外，用户还可以利用外部磁带机（磁带库）、光盘库、磁盘阵列柜以及NAS/SAN存储解决方案。审计系统提供高效的检索能力，支持条件多样性，可根据日志类型、日志产生时间、日志源等进行复杂条件查询，对更精细查询可以用组合条件查询完成，组合条件数不少于1024个。独有的检索排序算法使日志模糊查询能力达到每

10、秒100万条以上，大大超过同类产品。3.5 设备选型审计产品分为两类系列：LA和LS。上网管理中产生的日志量大、事件分析难度高，建议选用LS1000；如果某些客户对实时审计要求高可以加配设备LA500或LA1000。四、 实施效果 全部网络内部用户的访问行为记录、归档； 定位非法访问用户； 审计敏感信息是否外泄； 分析网络流量； 分类用户访问行为；五、 解决方案优势l 不需要改动原网络结构；l 不对网络访问行为有所影响；l 记录用户访问行为；l 海量存储日志信息；l 对WEB访问行为日志产生统计报表；l 统计即时通信行为情况；l 统计流媒体连接情况；六、 项目案例 单位名称某省级进出口公司 用

11、户环境网络内有250多台PC；历史的上网访问日志不进行备份。 实施方案设备型号：AS500、AS1000采集日志：通过上网探测器，收集250台PC客户端日志数据。 最终效果 对WEB访问行为日志产生统计报表 统计内部网络的公司员工（或计算机）访问情况； 统计内部网络的公司部门访问情况； 统计网站访问情况； 统计访问方式（WEB、FTP、Mail）情况； 统计访问频率； 统计访问时间情况； 统计非法访问情况（访问法轮功、反动网站）； 统计工作时间，访问受限网络情况； 统计即时通信行为情况； 统计流媒体连接情况； 统计游戏连接情况； 集中管理各种用户上网行为日志，综合分析上网行为； 监管全部访问应

12、用服务客户行为； 日志长期归档封存；七、 附件国家相关管理规定摘要中华人民共和国计算机信息网络国际联网管理暂行规定及其实施办法第十八条规定“用户应当服从接入单位的管理，遵守用户守则；不得擅自进入未经许可的计算机系统，篡改他人信息；不得在网络上散发恶意信息，冒用他人名义发出信息，侵犯他人隐私；不得制造、传播计算机病毒及从事其它侵犯网络和他人合法权益的活动。”第二十条规定“互联单位、接入单位和用户应当遵守国家有关法律、行政法规,严格执行国家安全保密制度；不得利用国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动，不得制作、查阅、复制和传播妨碍社会治安和淫秽色情等有害信息；发现有害信息应当及时向有

13、关主管部门报告，并采取有效措施，不得使其扩散。”同时在第十九条要求“接入单位应当保存与其服务相关的所有信息资料；在国务院信息化工作领导小组办公室和有关主管部门进行检查时，应当及时提供有关信息资料。”计算机信息网络国际联网安全保护管理办法第四条、第五条、第六条规定：“任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密，不得侵犯国家的、社会的、集体的利益和公民的合法权益，不得从事违法犯罪活动。任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息：(一) 煽动抗拒、破坏宪法和法律、行政法规实施的；(二) 煽动颠覆国家政权，推翻社会主义制度的；(三) 煽动分裂国家、破坏国家统一的；(四)

14、 煽动民族仇恨、民族歧视，破坏民族团结的；(五) 捏造或者歪曲事实，散布谣言，扰乱社会秩序的；(六) 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；(七) 公然侮辱他人或者捏造事实诽谤他人的；(八) 损害国家机关信誉的；(九) 其他违反宪法和法律、行政法规的。任何单位和个人不得从事下列危害计算机信息网络安全的活动：(一) 未经允许，进入计算机信息网络或者使用计算机信息网络资源的；(二) 未经允许，对计算机信息网络功能进行删除、修改或者增加的；(三) 未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的；(四) 故意制作、传播计算机病毒等破坏性程序的；(五) 其他危害计算机信息网络安全的。并在安全保护责任方面要求国际互联网接入单位发现以上情形，应当保留有关原始记录，并在二十四小时内向当地公安机关报告。”