1.产品简介1.1产品概述网络安全审计系统通过旁路侦听的方式对内部网络连接到互联网(以下称“互联网”)的大流量的数据进行采集、分析和识别。实时监视互联网的运行状态,记录多种上网行为,发现对互联网滥用,过滤不良信息,并对上网的相关行为进行控制、存储、分析、排名和查询。
随着人们对互联网的使用越来越普及,互联网给我们带来许多方便的同时,也带来了许多风险和挑战,例如:在工作时间发送即时信息、在线股票信息等滥用互联网活动而产生的效率成本过高;大量员工有收听在线音乐、观看在线视频剪辑,p2p下载等消耗大量带宽的活动;员工利用互联网泄露公司敏感和机密信息;未成年人访问含有不良信息的网站;少数人利用互联网发布和传播不利于社会稳定言论。这些威胁和挑战事件多数是来自于内部合法用户的“合法”操作,仅靠某些安全产品如防火墙等的日志和控制功能并不能很好的满足对这些互联网安全事件的审计要求,而传统的审计产品性能又很难达到用户的要求,如大流量、数据多、需要查询的数据量大、查询时间慢、无用数据太多,网络安全审计系统网络哨兵企业版4.0正是在这样的需求下产生的。它通过专门细致的网络数据获取协议分析技术、数据存储技术、数据查询技术并配合完善分类的url过滤库分类网址和管理规则,帮助用户应对来自互联网的风险和挑战。
1.2功能简介 作为网络安全审计系统,企业版v4.0主要用于对互联网上网行为的事后查询和分析,并具有功能强大的对多种上网行为的管理功能。企业版v4.0部署于内部网络到互联网的连接处,对整个内部网络客户机的上网行为进行审计和管理。如网页浏览、收发邮件、聊天、bbs、网页发帖、在线股市行情、音视频、在线游戏等。
功能体现:
ü 审计和控制上网行为,实时追踪记录;
ü 审计和控制员工外发数据,防止公司资料泄密;
ü 减少企业因员工互联网活动所带来的法律责任风险;
ü 优化使用 it 资源,包括带宽和计算机资源;
ü 实施互联网和应用程序使用策略;
ü 通过配置合理的策略,禁止网络滥用,提高员工效率;
ü 完善的网络行为分析报表,帮助管理者提高管理效率。
1.3应用领域
大型企业网络管理中心;
学校教育行业网络管理部门;
政府机关网络管理部门;
公安、保密、安全机关等国家授权的网络安全监察部门;
金融、电信、电力、保险、海关、商检、司法机关等各行业网络管理中心;
互联网及接入管理单位;
服务提供商(各isp、icp);
其他任何要求对网络进行安全审计的使用单位与部门;
2.系统架构2.1系统组成企业版v4.0系统主要由以下5个部分组成:
网络哨兵探测引擎;网络哨兵数据中心;网络哨兵控制管理中心;网络哨兵数据精灵(又名网络哨兵日志查看器);网络哨兵上网行为评估报表; 网络哨兵探测引擎、网络哨兵数据中心、网络哨兵控制管理中心在物理上部署在同一台专用服务器上,网络哨兵上网行为评估报表系统可以部署在同一台专用服务器上,也可以部署在第2台专用服务器上。
网络哨兵探测引擎全面监听内部网络连接到互联网出口的数据流,根据配置的策略,实时监视所有数据包进行分析记录,并将审计结果保存在数据中心的相应数据库里;同时网络哨兵探测引擎接收并执行网络哨兵控制管理中心的各种命令和策略。
网络哨兵数据中心主要用于各种数据保存,并提供各种数据查询。
网络哨兵控制管理中心主要用于提供审计、管理等策略设置接口,如配置是否审计收发邮件、是否记录聊天行为、定义内外网黑白名单等策略。配置网络哨兵探测引擎信息,如设置网络哨兵探测引擎ip地址,最大审计机器数等信息;程序升级等接口;网络哨兵控制管理中心采用b/s架构,通过提供浏览器服务端,使管理人员很方便的通过网页浏览器对网络哨兵控制管理中心进行操作管理。
网络哨兵上网行为报表评估系统主要是对已有的审计数据进行深度挖掘,协助用户进行分析,更直观的从宏观上了解整个网络的运行、使用状态。
网络哨兵数据精灵基于windows系统,可选择安装在pc机上,为用户提供数据查询界面,用于用户对备份数据的查询等操作。
2.2系统部署
示意图1 企业版4.0基本部署示意图
3.产品功能审计对象:企业版v4.0所指的审计对象是指企业版v4.0逻辑上能够审计的计算机,企业版v4.0可以设置多级组管理审计对象,并且在企业版v4.0内部可以按照多种方式来表示审计对象:如ip地址、mac地址、使用者、机器名、ldap认证账号、本地认证账号、代理上网账号等。
3.1网络行为审计及查询3.1.1网页浏览(http协议)审计
企业版v4.0审计用户网页浏览(含网页访问、网页bbs、网页发送邮件、网页浏览邮件)的行为。
3.1.2邮件访问审计
企业版v4.0审计用户通过pop3、smtp协议、webmail收发邮件的时间、收发件人、主题、附件名。
3.1.3网络聊天审计
企业版v4.0审计用户通过qq、msn、webmsn、icq、yahoo、淘宝旺旺、uc、gtalk、fetion工具聊天的行为及账号。
3.1.4网络聊天室审计
企业版v4.0审计用户通过碧聊聊天室、qq聊天室聊天的行为及账号。
3.1.5音视频审计
企业版v4.0审计用户通过mediaplay、realplay、realone在线使用音视频的行为。
3.1.6网络游戏审计
企业版v4.0审计用户通过边锋游戏平台、联众世界、游戏在线中心、互动平台游戏、反恐精英、凯旋、传奇3、魔力宝贝、奇迹、泡泡堂、qq平台游戏、qq对战平台游戏、红色警戒3、石器时代、天之炼狱、vs游戏平台、大话西游2、远航游戏中心等19种平台进行在线游戏的行为。
3.1.7文件传输审计
企业版v4.0审计用户使用ftp的命令、文件传输名,审计通过电驴、bt、pp live、pp stream、vnn下载文件的行为。
3.1.8网页下载审计
企业版v4.0审计用户通过网页进行下载的行为和文件名。
3.1.9远程登录审计
企业版v4.0审计用户通过telnet进行远程登陆的行为、命令。
3.1.10股票行情审计
企业版v4.0审计通过大智慧、核新、通达信、大参考、钱龙等系列软件进行在线股票交易、行情的行为、账号。
3.1.11搜索关键字
企业版v4.0支持对google.cn、google.com等79种搜索引擎和网站进行搜索的关键字审计,并且支持对搜索关键字进行排名。
3.2基于账号管理企业版v4.0支持四种帐号管理方式:
windows ad域账号管理:通过中科新业网络哨兵专有技术,从ad ldap列表获取域帐户进行用户上网行为管理。
lotus ldap账号管理:支持从lotus ldap列表获取帐户进行用户上网行为管理。
代理账号管理功能:记录isa2004\isa2006\squade代理帐号管理。
本地帐号管理功能:通过网络哨兵分配本地认证上网用户,通过本地帐户管理用户的上网行为。
3.3 url过滤管理内置过滤库;支持过滤库查询;支持自定义过滤库增、删、改、导入、导出功能;支持过滤库类型自定义;
3.4流量审计功能单个或多个机器或机器组的实时流量观察功能;
机器的总流量,外发数据包,外发包速,流入数据包,流入包速,流入流量,流入速度,流出流量,流出速度的排名统计;
机器或机器组总流量,流入量,流出量排名统计;
机器或机器组流量分布统计;
机器或机器组协议流量分布统计;
互联网出口各个时段的流量统计。
3.5网络行为管理控制通过企业版v4.0,可以按照审计对象对各种上网行为制定灵活多样管理控制策略。
3.5.1按照时间(时间粒度半小时、上下班设置)对全局(所有协议)进行控制;
3.5.2支持端口访问控制:如禁止访问控制、允许访问控制;
3.5.3网页访问按时间控制;
域名关键字访问控制;
是否运行ip访问网站控制;
支持设置搜索关键字访问控制;
3.5.4按照时间对是否允许使用pop3\smtp收发邮件行为进行控制;
允许从指定的pop3服务器接收邮件控制;
禁止从指定的pop3服务器接收邮件控制;
允许使用指定的smtp服务器发送邮件控制;
禁止使用指定的smtp服务器发送邮件控制;
禁止发送超大邮件控制;
禁止接收超大邮件控制;
禁止向敏感邮箱地址发送邮件控制;
3.5.5按照时间对是否允许使用telnet远程登陆服务器的行为进行控制;
telnet行为记录控制;
只能远程登录到指定服务器控制;
禁止远程登录到指定服务器控制;
3.5.6按照时间对是否允许使用ftp进行文件传输控制;
只能向指定ftp服务器上传文件控制;
禁止向指定ftp服务器上传文件控制;
只能从指定ftp服务器下载文件控制;
禁止从指定ftp服务器下载文件控制;
3.5.7按照时间对是否允许qq进行控制;
按照时间对是否允许msn进行控制;
按照时间对是否允许icq进行控制;
按照时间对是否允许yahoo进行控制;
按照时间对是否允许淘宝旺旺进行控制;
按照时间对是否允许使用聊天室进行控制;
3.5.8按照时间对是否允许p2p进行文件传输控制;
3.5.9按照时间对是否允许在线游戏行为进行控制;
3.5.10按照时间对是否允许浏览股票为进行控制;
3.5.11按照时间对是否允许在线音视频行为进行控制;
以上时间最小粒度皆为半小时,可根据自身情况进行固定上下班时间段设置。
3.6定制黑白名单企业版v4.0可以按照用户的需要定制内外网黑白名单,加入内网黑名单的审计对象将不允许进行任何上网行为,一旦进行网络行为,连接将被中断;加入内网白名单的审计对象不执行任何审计管理策略;同样对加入外网黑名单的地址,不允许审计对象与其连接,一旦审计对象试图进行连接,连接将被中断;对加入外网白名单的地址的所有连接信息不进行审计管理。
3.7报警及报警日志查询3.7.1上网行为关键字报警;
管理员可设置网页(url)、邮件、聊天等类别的上网行为关键字,如果用户上网行为触发关键字报警条件,则企业版v4.0可以向设定的报警接收人进行报警:报警方式可以选择邮件或手机短信。
3.7.2上网行为帐号报警;
管理员可设置邮件、聊天等类别的帐号,如果用户上网行为触发报警帐号条件,则企业版v4.0可以向设定的报警接收人进行报警:报警方式可以选择邮件或手机短信。
3.8网络访问排名;3.8.1网站排名:企业版v4.0对所有审计对象的网页访问行为进行统计,得出指定时间段内的网站访问次数排名;
3.8.2网址类型排名:企业版v4.0对所有审计对象的网页访问行为进行统计,得出指定时间段内的网站类型访问次数排名;
3.8.3流量排名、统计和分析:企业版v4.0对所有审计对象的总流量/流入流量/流出流量进行统计、排名,并且可以统计指定审计对象的流量占总流量/流入流量/流出流量的百分比,也可以统计指定审计对象各种协议所占流量的百分比;
3.8.4 bbs访问排名:企业版v4.0可以对所有审计对象访问bbs的行为进行统计,并且可以按照bbs的访问次数对bbs进行排名;
3.8.5搜索关键字排名:企业版v4.0可以对审计对象利用搜索引擎进行关键字搜索的行为进行审计和统计,可以对搜索关键字进行排名。
3.9报表统计提供在认证模式下上网时长统计;提供报表类型包括:日,周,月,季,年报表;提供报表统计方式包括:按机器,按机器组,按认证账号;提供统计类型包括:按网络行为,按操作结果;按网络行为统计数据包括:网页访问的次数,ftp访问的次数,telnet访问的次数,邮件收发的次数,访问游戏的次数,聊天的次数,文件传输的次数;按操作结果统计数据包括:访问量,流量,报警量,封堵量;提供报表打印,导出功能;提供生成的报表可以以常用图形方式显示。更多报表信息请参考“上网行为评估报表技术白皮书”
3.10用户及角色权限管理企业版v4.0具有强大的用户和角色管理功能。管理员可以根据需求为不同的用户分配不同的角色,不同的角色可以设置有不同的权限,同时可以定义角色能够管理的审计对象(组)的范围;
如按照公司的行政管理模式设置公司管理员、部门管理员,公司管理员可以管理整个公司的审计对象、查看整个公司的审计信息,部门管理员只能管理本部门的审计对象、查看本部门的审计信息;
特有的usb用户权限控制:可以通过配置网络哨兵来使用usb-key来控制管理网络哨兵的权限。
提示:用户使用以上不同的功能需要在企业版v4.0内有相应的权限。
3.11数据备份企业版v4.0提供多种数据备份方式,可以备份全部数据,也可以只备份管理数据或者业务数据;数据备份的时间可以灵活设置:按日备份、按周备份、按月备份,用户可以设置备份的时间点;数据备份的目标也可以灵活设置:可以备份到ftp服务器(设定ftp服务器的地址);提供备份数据查看工具。3.12在线升级网络哨兵支持3种升级方式:
服务器升级:可以手动触发系统检测升级服务器上是否具有最新的升级包;本地升级:可以将升级包上传到网络哨兵实现自动升级;自动更新:可设置自动定时连接升级服务器,查找并安装最新的更新程序;提供升级情况查询。3.13真实mac地址获取企业版v4.0和支持标准snmp协议的交换机联动,可以获取复杂网络环境下用户真实mac地址;
3.14其他系统支持简体中文、繁体中文、英文三种语言字自由切换;系统运行日志:企业版v4.0能够完整记录下每一个用户的每一次登陆所执行的动作;在机器组内进行机器删除时,不管删除的机器是否存在,删除的机器首先被移进“回收站”,且不再占用license;在“回收站”删除机器时,如果被删除的机器在规定时间内存在日志,则不允许删除,否则允许删除;支持双抓包口:适合有2个物理出口的网络环境;支持系统自动校时;
4.产品优势(客户价值体现)4.1 网络带宽应用优化 通过部署企业版v4.0,管理员可以通过企业版v4.0的各种流量排名工具,来发现网络中的异常网络行为;
4.2 敏感资料泄密防护通过部署企业版v4.0,管理员可以通过企业版v4.0中的各种审计工具,来发现网络中的对内部敏感资料的外泄企图和事实。
4.3 绿色网络环境通过部署企业版v4.0,管理员可以通过企业版v4.0的各种url过滤工具,过滤网络中的不良信息,来净化网络使用环境。
4.4 规避法律责任通过部署企业版v4.0,企业版v4.0可以审计网络内部在互联网使用环境的各种不符合当前法律所允许的内容,满足相关部门对使用互联网单位备案审计要求。
4.5 提高办公效率通过部署企业版v4.0,企业版v4.0可以审计和管理多种聊天工具、股票工具、游戏等占用大量工作时间的网络滥用行为,对使用者以警示,从而提高工作效率。
网络哨兵管理界面截图如下:
深圳市金之碟科技有限公司
何佑华
13602503280
中国 深圳