《secfox-nba网络行为审计系统互联网型解决方案.pdf》由会员分享,可在线阅读,更多相关《secfox-nba网络行为审计系统互联网型解决方案.pdf(21页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 SecFox-NBA SecFox-NBA 网络行为审计系统 (互联网型)解 决 方 案 2008 6 月 保密申明 本文档版权由网御神州有限公司所有。未经网御神州有限公司许可,任何单位和个人 不得以任何形式摘抄、复制本文档的部分或全部,并以任何形式传播 目 录 SecFox-NBA SecFox-NBA 网络行为审计系统.1 一、概述.3 1.网络时代的困惑.3 2.网络对企业影响分析.5 2.1 非工作网络行对企业造成的直接人力资源损失.5 2.2 非工作网络行对企业造成的其它间接损失:.6 2.3 企业管理者最关心什么问题?.6 3 政府对网络行为的相关规定.7 二、需求分析.8 1.
2、政府和企事业单位经常会碰到的问题.8 2.法令与法规.9 三、产品特点.9 1.部署简单.9 2.强大的互联网审计、控制、分析功能.10 3.多种可选操作模式和认证方式.20 四、客户收益.20 五、产品介绍.20 六、产品组成.20图 1:2006 年中国互联网中心最新报告3 图 2:互联网带来的负面影响.3 图 3:中国网民上网方式数据调查.4 图 4:中国网民网络行为研究报告.4 图 5:工作时间上网的调查数据.5 图 6:政府相关政策法规.7 图 7:SecFox-NBA 部署方式.10 图 8:网页浏览(HTTP 协议)审计.10 图 9:网页访问之行为审计.11 图 10:行为审计
3、之搜索关键词.11 图 11:网络聊天审计.12 图 12:网络聊天行为控制.12 图 13:收发邮件审计13 图 14:上网行为 BT 下载审计13 图 15:上网行为 BT 控制13 图 16:上网行为远程登录审计14 图 17:远程登录控制14 图 18:文件传输审计15 图 19:音频、视频审计15 图 20:网络游戏审计15 图 21:实时监控上网行为16 图 22:实时流量监控16 图 23:实时观察特定 IP17 图 24:网页查询统计18 图 25:流量统计.18 图 26:流量排名统计19 图 27:流量分析.19 2 安全源于管理 管理驱动安全 网络行为审计系统解决方案 一
4、、概述 一、概述 1.1.网络时代的困惑 网络时代的困惑 网络行为的不可管理性,导致人们可以通过网络做很多事情,但是由于网络世界的特殊性,人们在网络中的行为往往不为人所知,同时也无法针对某些行为采取措施,如上班时间QQ 行为能导致公司利益,MSN 浪费公司资源,上班时间听音乐、看电影降低工作效率等,上班时间炒股等等。图 1:2006 年中国互联网中心最新报告 根据中国互联网络信息中心发布的最新统计数据,截止到 2004 年底日,全国上网用户总数达 9400 万,计算机数目达到 4160 万;其中学生网民占到网民总数的 32.4%,18 岁以下的网民占到网民总数的 16.4。由于多种原因,青少年
5、网民在利用网络增长知识、丰富生活的同时,也受到了来自网上不良信息的侵害。图 2:互联网带来的负面影响 根据对中国北京、上海、广州、深圳等 5 城市的调查,网民在单位平均上网时间是最长的,约为每天 1.96 小时,其次才是在家里等其它上网地点,而其中外企、私企职员平均每天上网时间更是达到 3.3 个小时。下图是根据“中国社科院社会发展研究中心 2006 年互联 3 安全源于管理 管理驱动安全 网络行为审计系统解决方案 网报告”提供的数据 图 3:中国网民上网方式数据调查 调查显示:网民使用最多的就是网络新闻 65.9%。排在前列的常用的网络功能竟然都和娱乐有关:玩游戏(62.2%)、下载音乐(5
6、6.5%)、娱乐信息(53.5%)。工作和学习两个项目仅以 39.9%和30.5%分列第 11 和第 12 位。下图是根据“中国社科院社会发展研究中心 2006 年互联网报告”提供的数据:图 4:中国网民网络行为研究报告 据 SexTracler 调查:色情网站的浏览量集中在每天 9-17 时;据 NFO Worldwide 调查:86%的员工利用公司邮箱收发私人邮件;70%的员工曾经在上班时段内浏览过成人性质网站;每十个员工中就有一个曾经收到包含公司机密的电子邮件;调查显示:员工 30%40%的工作时间互联网使用是花费在访问娱乐性网站上;而 70%以上的色情网站点击和 60%以上的网络购物行
7、为是在工作时间发生的(9:0017:00)。4 安全源于管理 管理驱动安全 网络行为审计系统解决方案 图 5:工作时间上网的调查数据 据 IDC 的调查统计表明,上网企业的员工人均每天使用 2 至 3 个小时工作时间用于收发个人邮件,浏览娱乐网站以及在聊天室打发时间。2.2.网络对企业影响分析 网络对企业影响分析 一个 200 人的企业,如果每天有 50的员工花 1 小时浏览与工作无关的网站,一年将损失 27600 小时的工作时间。以 16.3 元的工作成本计算,企业的直接经济损失高达 45 万元。2.1 非工作网络行对企业造成的直接人力资源损失 2.1 非工作网络行对企业造成的直接人力资源损
8、失 企业的管理者是否意识到以下的情况?员工月薪 3000 元 月平均工作日 23 天 平均日薪 130.43 元 日工作时数 8 小时 每小时公司支付薪金 16.30 元 平均每日在网上消耗的非工作时数 1 小时 平均每日浪费公司的人力资源 16.30 元 企业员工人数 200 人 非工作行为的人员比例 50%平均每日浪费人力资源 1630.00 元 平均浪费公司人力资源/月 37490.00 元 平均浪费公司人力资源/年 449880.00 元 100 个员工 1 人 1 天 1 小时 1 年损失 45 万!100 个员工 1 人 1 天 1 小时 1 年损失 45 万!5 安全源于管理 管
9、理驱动安全 网络行为审计系统解决方案 62.22.2 非工作网络行对企业造成的其它间接损失:非工作网络行对企业造成的其它间接损失:?吞噬了企业宝贵的网络带宽资源,影响了正常业务使用;?因员工访问带有病毒等恶性代码的不良站点而引发的公司网络安全隐患;?因网络通讯软件广泛应用而导致的企业重要商业数据、重要客户信息等内部机密信息、数据泄漏隐患;XX 高科技公司网络使用状况调查分析报告 通过 9 月 1 日-9 月 5 日一周上网行为的审计,发现与工作无关的上网行为:网上游戏 1971 条 网上电影 334 条 网上色情网站 1486 条 网上找工作 6302 条 通过以上数据,我们可以得出以下结论:
10、企业的互联网资源被滥用,部分员工上班时间的心在网上,工作效率低下,亟待整改!2.32.3 企业管理者最关心什么问题?企业管理者最关心什么问题?企业经常会碰到这样的问题:企业管理者希望对员工上网进行合理的控制,而网管无法找到一个实现该功能的专用工具。因为现有的网络设备,网管软件都不能灵活分配员工可获得的上网资源,透视员工的上网行为。企业内部人员通过网络泄漏敏感资料的事件时有报道,员工因私上网影响工作的问题日益明显,网管对限制员工私自下载危险文档的需求越来越迫切。企业的计算机应用和上网条件是越来越好了,但同时产生出来的问题也越来越多了。很有可能,您的员工正在如此工作:两个人正在下载 MP3,电影,
11、三个人在下载和分发不良的信息和图片,两个人在玩在线游戏,两个人正在用 QQ 和无关的人聊天,两个人一边工作一边炒股,还有一个人在传送秘密的资料给竞争对手.企业管理者关心的问题 SecFox-NBA 能为企业管理者做什么 如何高效合理地利用互联网资源为企业创造更高的效益?提高机构内部网络资源的使用效率 如何即保持企业竞争力,又能有效管理员工帮助管理者分析网络种种症结的根源所在 安全源于管理 管理驱动安全 网络行为审计系统解决方案 上网呢?如何知道员工是否通过企业的网络在做与工作无关的事情?帮助管理者对机构内部网络资源的使用做到心中有数 如何阻止企业的员工利用工作时间聊天、游戏?采用图形化数据采集
12、分析管理模式,使网络不再透明神秘,而是一目了然,帮助管理者及时发现潜在的问题,防患于未然 如何保障企业的网络带宽不被非工作行为占用?帮助管理者针对机构内部网络资源布署合理有效的管理策略 如何保障企业的商业机密信息不因网络而流失?如实记录一切与网络相关的行为,一旦出现问题,系统可以帮助管理者找到真凶。3 3 政府对网络行为的相关规定 政府对网络行为的相关规定 中华人民共和国公安部令(摘选)中华人民共和国公安部令(摘选)图 6:政府相关政策法规 第四条 互联网服务提供者、联网使用单位应当建立相应的管理制度。未经用户同意不得公开、泄露用户注册信息,但法律、法规另有规定的除外。第七条 互联网服务提供者
13、和联网使用单位应当落实以下互联网安全保护技术措施:(一)记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施;第十条 提供互联网数据中心服务的单位和联网使用单位除落实本规定第七条规定的互联 7 安全源于管理 管理驱动安全 网络行为审计系统解决方案 8网安全保护技术措施外,还应当落实具有以下功能的安全保护技术措施:(一)记录并留存用户注册信息;(二)在公共信息服务中发现、停止传输违法信息,并保留相关记录;(三)联网使用单位使用内部网络地址与互联网网络地址转换方式向用户提供接入服务的,能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系。第十三条 互联网服
14、务提供者和联网使用单位依照本规定落实的记录留存技术措施,应当具有至少保存六十天记录备份的功能。第十八条 本规定所称联网使用单位,是指为本单位应用需要连接并使用互联网的单位。二、需求分析 二、需求分析 1.1.政府和企事业单位经常会碰到的问题 政府和企事业单位经常会碰到的问题 随着人们对互联网的使用越来越普及,互联网给我们带来许多方便的同时,也带来了许多风险和挑战,表现在以下几个方面:不良无用信息充斥着网络不良无用信息充斥着网络,比如未成年人访问含有不良信息的网站,或者少数人利用互联网发布和传播不利于社会稳定言论;网络行为的不可管理性网络行为的不可管理性,比如员工利用互联网泄露公司敏感和机密信息
15、,或者在工作时间发送即时信息等滥用互联网活动而产生的效率成本过高;网上娱乐的危害网上娱乐的危害,比如大量员工有收听在线音乐、观看在线视频剪辑,P2P 下载等消耗大量带宽的活动等等。政府和企事业单位管理者希望对员工上网进行合理的控制,而网管无法找到一个可以实现该功能的专用工具。因为现有的网络设备,网管软件都不能灵活分配员工可获得的上网资源,透视员工的上网行为。政府和企事业单位内部人员通过网络泄漏敏感资料的事件时有报道,员工因私上网影响工作的问题日益明显,网管对限制员工私自下载危险文档的需求越来越迫切。政府和企事业单位的计算机应用和上网条件越来越好了,但同时产生出来的问题也越来越多了。很有可能,您
16、的员工正在如此“工作”:两个人正在下载 MP3,电影,消耗大量带宽 三个人在下载和分发不良的信息和图片 安全源于管理 管理驱动安全 网络行为审计系统解决方案 9两个人在玩在线游戏 两个人正在用 QQ 和无关的人聊天 两个人一边工作一边炒股 还有一个人在传送秘密的资料给竞争对手.这些威胁和挑战事件多数是来自于内部合法用户的“合法”操作引起的,仅靠某些安全产品如防火墙等的日志和控制功能并不能很好的满足对这些互联网安全事件的审计要求。因此,网络行为和内容审计系统应运而生。2.2.法令与法规 法令与法规 2005 年底,公安部颁布互联网安全保护技术措施规定,明文规定网络使用单位要有一定的管理制度。其中
17、第七条,第三款指出,要有记录并存储用户登录和退出时间、主叫号码、帐号、互联网地址 或域名、系统维护日志的技术措施。第十条指出使用网络的企事业单位要具有一定的安全保护技术措施,其中包括:记录并储存用户注册信息;在公共信息服务中发现、停止传输违法信息,并保留相关记录;能够记录并储存用户使用的互联网络地址和内部网络地址对应关系。第十三条规定了记录储存技术应当具有至少保存六十天记录备份的功能。这些法律法规也要求对用户互联网行为进行必要的安全审计。三、产品特点 三、产品特点 为了应对政府和企事业单位用户上网行为监控与审计的需要,以及国家相关法律法规的要求,网御神州推出了 SecFox-NBA(Netwo
18、rk Behavior Analysis)网络行为审计系统(互联网型)。该产品是针对目前互联网使用管理方面开发的新一代安全审计系统,通过旁路侦听方式对内部网络连接到互联网(以下称“互联网”)的数据流进行采集、分析和识别。实时监视互联网的运行状态,记录多种上网行为,过滤不良信息,并对上网的相关行为、发送和接收的相关内容进行控制、存储、分析和查询。该产品具有以下特点:1.1.部署简单 部署简单?通过旁路侦听旁路侦听的方式对内部网络连接到互联网(Internet)的数据流进行采集、分 安全源于管理 管理驱动安全 网络行为审计系统解决方案 析和识别,不影响网络结构。?B/S 结构B/S 结构,可在内网
19、中任意台机器上(可进 行安全限制),通过 IE 浏览器对其进行访 问,无需安装任何客户端程序及插件。?支持大型网络级联部署。支持大型网络级联部署。图 7:SecFox-NBA 部署方式 2.2.强大的互联网审计、控制、分析功能 强大的互联网审计、控制、分析功能?基于应用层协议还原基于应用层协议还原的行为和内容审计 的行为和内容审计 1)网页浏览(HTTP协议)审计,记录机器 IP、访问网址等信息 SecFox-NBA记录用户网页浏览的时间、URL地址、标题、源目的IP地址、源MAC地址、源目的端口、网址分类信息、机器名称、使用者。SecFox-NBA还可以记录网页发帖和BBS发帖的内容、支持常
20、见的搜索引擎关键字审计。图8:网页浏览(HTTP协议)审计 10 安全源于管理 管理驱动安全 网络行为审计系统解决方案 图9:网页访问之行为审计 图10:行为审计之搜索关键词 2)网络聊天审计:腾讯 QQ、Windows Live Messenger、ICQ、YAHOO Messenger、网易泡泡、淘宝阿里旺旺、新浪 UC、QQ 聊天室 等聊天软件,可记录聊天帐 号,聊天工具,未加密的聊天内容等信息 11 安全源于管理 管理驱动安全 网络行为审计系统解决方案 图11:网络聊天审计 SecFox-NBA记录用户聊天的时间、聊天工具、聊天帐号、源IP地址、源MAC地址、机器名称、使用者。还能记录
21、通过MSN、ICQ、YAHOO MESSENGER、UC等聊天工具聊天的内容和文件传输的内容。图12:网络聊天行为控制 3)收发邮件(POP3、SMTP、WEBMAIL、LOTUS、EXCHANGE),可对邮件帐号、标题、内容、附件进行审计。12 安全源于管理 管理驱动安全 网络行为审计系统解决方案 图13:收发邮件审计 如记录用户收发邮件的时间、收发件人、主题、附件、内容、源目的IP地址、源MAC地址、源目的端口、机器名称、使用者。4)P2P 协议审计 可以审计通过P2P文件传输(迅雷、BT、电骡等)时种子链接所访问的URL、源目的IP地址、源MAC地址、外网端口、机器名称、使用者。管理员可
22、以根据URL对种子文件进行封堵。图14:上网行为BT下载审计 图15:上网行为BT控制 5)股票审计:审计大智慧、同花顺、钱龙等股票软件 13 安全源于管理 管理驱动安全 网络行为审计系统解决方案 SecFox-NBA记录用户炒股用的大智慧、同花顺、钱龙等股票工具的使用时间、源IP地址、源MAC地址、软件名称、机器名称、使用者。6)搜索关键词审计,baidu、google 等常见搜索网站 7)远程登录(TELNET 协议)审计 图16:上网行为远程登录审计 图17:远程登录控制 8)文件传输(FTP 协议)审计 SecFox-NBA除了记录用户文件传输的行为外,还能记录包括BT在内的文件传输行
23、为的传输方向,上传文件名,文件大小,状态,传输类型。指定允许发送/接收到文件服务器;禁止发送/接收到敏感文件服务器;限制可传输的文件的大小;禁止通过点对点传输工具传输文件;禁止下载或上传指定类型的文件;14 安全源于管理 管理驱动安全 网络行为审计系统解决方案 图18:文件传输审计 9)音视频审计 SecFox-NBA记录用户在线使用音视频开始时间、源目的IP地址、源MAC地址、音视频工具名称、机器名称、使用者,并且可以记录音视频文件的地址。图19:音频、视频审计 10)网络游戏审计:联众、边锋、QQ 游戏、大型网游,等等 图20:网络游戏审计 SecFox-NBA记录用户网络游戏在线开始时间
24、、结束时间、游戏时间段、源IP地址、源MAC地址、游戏名称、机器名称、使用者。(联众、泡泡堂、浩方、传奇、边锋、远航、石器时代、凯旋、天之炼狱、CS、星际争霸、中国游戏互动平台、中国游戏中心、QQ游戏)?细致的细致的控制策略控制策略?可对一周内任意时间段(最小精确到半小时)进行访问控制?可对端口、网页访问、邮件、聊天、文件传输、远程登录、BT 下载进行细粒度控制?内外网黑白名单,可设置 VIP 机器、限制指定 IP 或空闲 IP 进行网络访问?内置 URL 分类过滤库包含百万个站点以上的记录,含有超过一亿以上的网 15 安全源于管理 管理驱动安全 网络行为审计系统解决方案 页。?丰富多样的分析
25、和统计功能?实时流量:以图表的形式实时显示机器/机器组的流量变化轨迹?实时观察:以列表的形式实时的显示所选机器的一切上网行为 图21:实时监控上网行为?数据包流量:以列表的形式显示所选机器的数据包流量和流速 以图表的形式反映出机器/机器组的实时流量,系统默报表刷新的间隔时间为3秒,刷新的时间间隔可以在系统配置中进行设置,考虑到其系统负载,所以其设置的时间不能小于系统默认的时间,如图所示 图22:实时流量监控 16 安全源于管理 管理驱动安全 网络行为审计系统解决方案 图23:实时观察特定IP?统计报表:提供丰富的报表管理功能;根据时间、数据类型等生成报表,提供打印、导出等服务,可以保存为 ht
26、ml 格式;直观地为管理员提供决策和分析的数据基础,帮助管理员掌握网络使用状况?流量排名、搜索关键字排名、网站排名、BBS 访问排名、网址类型排名?流量统计、协议流量分析、带宽统计、上网时长统计 如:按时间有:日报表,周报表,月报表,季报表,年报表;可按照网络应用:生成网页访问次数,FTP次数,TELNET次数,邮件收发次数,网络游戏次数,音视频次数,网络聊天次数,文件传输次数,其它协议次数统计报表。17 安全源于管理 管理驱动安全 网络行为审计系统解决方案 图24:网页查询统计 可按照操作结果;生成访问量,流量,警告次数,外发次数,被封堵次数,耗时,耗资源统计报表 图25:流量统计 18 安
27、全源于管理 管理驱动安全 网络行为审计系统解决方案 图26:流量排名统计 图27:流量分析 按照审计对象可对单个机器、组(可以包括子组)生成报表;已经生成的报表界面内,可以按照需要的对应列报表图形:柱状图,横向图,柱状均势图,折线图,折线填充图,饼状图,平面饼状图。用户可以自定义报表标题,报表类型,报表时间,报表对象。报表可以导出为TXT、HTML等格式;19 安全源于管理 管理驱动安全 网络行为审计系统解决方案 203.3.多种可选操作模式和认证方式 多种可选操作模式和认证方式?提供两种操作模式,以满足不同用户操作习惯和不同操作目的的需求:?面向功能的操作模式?面向审计对象的操作模式(包括两
28、种:面向被监控机器、面向上网用户帐号)?提供认证管理功能,目前支持以下三种方式?LDAP 认证方式?WINDOWS 域一次认证方式?本地认证 四、客户收益 四、客户收益?审计和控制上网行为,实时追踪记录?审计和控制员工外发数据内容,防止公司资料泄密?减少员工因互联网活动所带来的法律责任风险?优化使用 IT 资源,包括带宽和计算机资源?实施因特网和应用程序使用策略?通过配置合理的策略,禁止网络滥用,提高员工工作效率 五、产品介绍 五、产品介绍 SecFox-NBA(上网审计型)全面审计上网行为。网御神州的 SecFox-NBA 网络行为审计系统(上网审计型)通过旁路侦听的方式对内部网络连接到互联
29、网(Internet)的数据流进行采集、分析和识别,实时监视用户使用互联网的状态,记录各种上网行为,发现对互联网滥用,过滤不良信息,并对用户上网过程中发送和接收的相关内容进行控制、存储、查询和分析。作为一个互联网安全审计系统,SecFox-NBA(上网审计型)能够对各种应用层协议进行解析,对用户使用互联网过程中的各种网络服务和应用进行分析,实现用户上网的行为审计、用户访问的内容审计,能够对用户上网行为进行控制,根据不同的策略封堵各种网络应用,还能够针对用户的上网行为进行实时监控和流量分析。六、产品组成 六、产品组成 SecFox-NBA(上网审计型)产品仅包括硬件形态的审计器和基于浏览器的客户
30、端。用户通过 IE 浏览器登录审计器进行各种操作。组成 1:(上网审计型)审计器 安全源于管理 管理驱动安全 网络行为审计系统解决方案 21集互联网网络行为采集、分析和存储于一体,采用硬件设备形态,分为百兆(1U)和千兆(2U)两种类型。根据被审计用户的规模大小,每种类型的硬件配置都有不同。百兆审计器的审计用户规模从 50 到 1000 用户,千兆审计其的审计用户规模从 500 到 20000 用户。组成 2:Web 控制台 平台平台 支持的操作系统支持的操作系统 系统需求系统需求 Windows Microsoft Windows 2000 系列 Microsoft Windows 2003 系列 Microsoft Windows XP 系列-最低 Pentium III 1.1GHz CPU-至少 256M 内存-16 位真彩,建议分辨率为 1024768 以上-Internet Explorer 6.0 以上