网络安全审计系统产品竞品分析.docx
《网络安全审计系统产品竞品分析.docx》由会员分享,可在线阅读,更多相关《网络安全审计系统产品竞品分析.docx(20页珍藏版)》请在冰豆网上搜索。
网络安全审计系统产品竞品分析
网络安全审计系统产品竞品分析
一、背景
随着网络的日益普及,利用网络实施犯罪的新型网络违法与犯罪行为也随之日渐增多;网络的虚拟性与不确定性,造成传统的办案手段对此已力不从心,公安网监部门迫切需要新的技术手段来帮助其应对这一新挑战。
网络安全审计系统针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。
从管理层面提供互联网的有效监督,预防、制止数据泄密;满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、设备定位、系统安全管理和风险防范。
目前,市场上有成熟的网络安全审计产品方案解决供应商,产品用于监控用户信息,为顾客提供安全网络防护和帮助公安部门更好、更快捷的进行安全监管。
二、特点
互联网安全审计系统必须具有提高非经营性互联网上网服务单位局域网内部管理水平的功能,并达到《互联网安全保护技术措施规定》的以下要求:
1.记录并留存用户登陆和退出时间、主叫号码、账号、互联网地址和域名、系统维护日志;
2.记录留存用户注册信息并向公安部门公共信息网络安全报警处置中心上传数据;
3.在公共信息服务中发现、停止传输违法信息,并保留相关记录;
4.具有至少60天记录备份功能等。
三、网络安全审计系统具备优势
3.1贴近网监业务模式,提高网络破案成功率
系统功能依照公安网监的业务流程设置:
从日常例行的网络行为巡察、到有目的地行为线索搜索;从发现嫌疑人虚拟身份线索后进行的虚拟身份分析,到依据发现的行为或身份线索进行监视布控;从系统实时监控网络行为并在策略条件满足时触发报警,到以布控策略组为单位查看布控告警结果等。
上述功能体现了网监的真实业务内涵,并且操作非常便利,能够帮助警员最大限度地利用网络线索来侦破疑难案件。
3.2全面内容安全审计,满足所有合规性要求
系统支持从网页访问、email、迅文件下载到即时通讯等数十种主要网络应用协议的识别还原,帮助用户最大限度地不遗漏有潜在安全风险的网络行为。
从而完善了用户单位的IT内控与审计体系,满足各种合规性要求,并帮助企业顺利通过IT审计(例如:
行政事业单位或国有企业有遵循等级保护的合规性要求)。
3.3智能虚拟身份分析,提高账号识别准确度
越简单虚拟身份库功能局限的智能虚拟身份分析功能,能够将网络中的虚拟身份(网络帐号)与现实中的真实身份智能关联,有效地解决了网络行为角色的虚拟性所带来的种种问题。
通过“虚拟身份关联中介算法”,能够最大限度地提高虚拟身份识别的准确度,为网监部门利用网络行为线索信息办案,提供了全新的技术手段。
3.4硬件高速抓包处理,不漏过任何网络线索
场所端网络安全审计机采用了专门定制的高性能网络数据包处理卡,结合软件底层优化(linux硬件直通访问)技术,大幅度提高网络数据包的采集速度,避免数据包丢失。
从而避免在出现突发大网络流量情形时,因处理不及时而漏掉了重要的网络行为信息。
3.5网络言论信息搜集,及时反馈网民
系统采用了最新的数据挖掘技术,能够针对聊天、论坛和博客的发表/回复帖子、邮件内容及附件等载有文字内容的网络数据进行深度分析,以便及时识别网络行为热点和异常点,帮助相关部门随时掌握网民行为动态与发展趋势。
四、基本功能
无论是何种审计产品,从产品功能组成上都应该包括:
1.信息采集功能
就是能够通过某种技术手段获取需要审计的数据,例如日志、网络数据包、SSID等。
对于该功能的考察,关键是其采集信息的手段种类、采集信息的范围、采集信息的粒度(细致程度)。
如果采用数据包审计技术的话,网络协议抓包和分析引擎显得尤为重要。
如果采用日志审计技术的话,日志归一化技术则是产品基本功和专业能力的地方。
2.信息分析功能
对于采集上来的信息进行分析、审计,这是审计产品的核心,审计效果好坏直接由此体现出来;在实现信息分析的技术上,简单的技术可以是基于数据库的信息查询和比较;复杂的技术则包括实时关联分析引擎技术,采用基于规则的审计、基于统计的审计,以及时序的审计算法等等。
3.信息存储功能
对于采集到原始信息,以及审计后的信息都要进行保存、备查,并可以作为取证的依据。
在该功能的实现上,关键点包括海量信息存储技术、以及审计信息安全保护技术。
4.信息展示功能
包括审计结果展示界面、统计分析报表功能、报警响应功能、设备联动功能等等;这部分功能是审计效果的最直接体现。
产品自身安全性和可审计性功能:
审计产品自身必须是安全的,包括要确保审计数据的完整性、机密性和有效性,对审计系统的访问要安全。
此外,所有针对审计产品的访问和操作也要记录日志,并且能够被审计。
五.安装的目的
随着互联网的迅猛发展,在推进社会进步的同时也带来负面影响;在一些大型商场、小型商店、酒店、宾馆商户都会为顾客提供免费WIFI体验;有不法分子利用互联网进行网络诈骗、贩毒、赌博、散布有害信息、传播计算机病毒、恶意攻击服务器等不法案件日益严重,损害了国家和群众利益,也使一些企业蒙受经济损失。
因此,对于非经营和经营上网服务场所落实安全技术保护设施建设迫在眉睫。
六.国内安全审计市场现状和需求分析
一方面,随着安全防御建设由防外为主逐步转向以防内为主,内外兼顾,对于安全审计的需求会越来越多;另一方面,随着国家、社会对信息保护的愈加重视,各个行业对审计要求愈加严格,可看出未来几年对安全审计产品的需求会越来越多。
目前,推出的一些国际、国家、行业的内控、审计标准,都对某些行业或企业提出需要具备安全审计产品的要求,因此像《企业内部控制基本规范》此类的规范对于销售安全审计产品是很有帮助的。
有人将《企业内部控制基本规范》称作是中国版的SOX法案,可见对他的期待有多么高。
虽然该规范还不能称作是完整意义上的法案,而只是规范性文件,但是他对于国内企业、尤其是大企业的公司治理、风险控制、IT内控,包括信息系统安全审计都起到了极大的推进作用。
实际上,不仅是《企业内部控制基本规范》,包括之前国家大力开展的等级化保护建设工作,以及证券、金融、保险等行业颁布的各项风险和内控指引、要求等,都在努力构建一个从严的企业管控外部环境。
作为这种外部压力的传导,企业的IT内控和审计自然摆到了各大企业信息部门的桌面上。
可以肯定,未来企业用户,尤其是大型企业用户,会不断加强IT内控,并催生对信息系统安全审计的技术、产品和相关解决方案的需求,并带动国内安全审计市场的迅速增长。
目前,国内不同的行业和客户对审计的需求差别很大:
1.对于一般的企业而言,目前比较大量的审计需求是对企业内部用户上网行为的审计。
2.对于政府部门和事业单位而言,由于他们的业务系统十分重要,承载了单位关键的应用和数据,因此,对业务系统的审计显得十分重要。
这类客户需要审计内部用户访问业务系统的各种行为,防止针对核心业务系统和数据的违规访问,防止信息泄漏。
3.对于金融、电信类客户而言,除了需要对业务系统进行审计之外,还需要针对运维人员的主机操作审计。
由于这类客户具有庞大的主机和服务器机群,上面运行了各种各样的核心应用。
同时,这类客户的系统运维人员数量多、岗位职责多,不仅有本单位正式职工,还有第三方驻场工程师和外包运维人员,管理较为复杂。
因此,对这些运维人员进行审计,审计他们针对主机系统的各种访问和操作行为就显得十分重要。
4.对于具有涉密性质的单位,以及安全要求等级高的部门,还会需要终端安全审计类产品,对单位职工的终端进行严格的安全审计。
对于政府、事业单位,以及金融电信行业,最典型的一类需求就是针对这些单位的数据库系统进行审计。
就在前不久,国家颁布实施了刑法第七修正案,其中第二百五十三条明确规定“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
窃取、收买或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。
单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各相应条款的规定处罚”。
这也就意味着单位如果泄露或非法获取公民个人信息,将被判处罚金,并追究直接负责的主管人员和其他直接责任人员的刑事责任。
七、竞品分析
7.1竞品信息
7.1.1广道
广道网络安全审计系统针对互联网行为提供丰富的行为审计、内容审计、行为报警、行为控制及相关审计功能。
从管理层面提供互联网的有效监督,预防、制止数据泄密;满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。
主要功能介绍:
(1)事件审计
∙实时审计:
对采集到的日志数据进行实时的审计,如果使用者的操作行为产生的日志事件与审计规则库中的对应规则完全匹配,则根据规则库的危险等级及交互模式给出响应,然后将此事件行为记录到审计数据库,同时将危险等级为高的事件行为通过邮件的形式发送到管理员邮箱。
审计模型主要有基于线性序列的规则,多个事件构成一个事件行为;基于时间合理性的规则,主要判断用户账户登录及相关访问时间是否为指定时间;基于数理统计规则,主要判断连续多个同样的审核失败结果,特别是有关帐户远程登录审核。
∙历史审计:
历史审计实现了从审计结果数据库中提取审计数据,主要通过基于数理统计的方法(这些数据来自系统上次关闭到本次开始的所有系统安全日志),将连续多次产生的操作行为进行整理、归纳、合并与分析等方法完成对审计数据的综合审计。
(2)规则管理与维护
审计规则:
系统本着方便实用的原则,功能模块中实现了对审计规则的管理与维护功能,主要是相关规则的添加、删除、更新等功能。
该功能实现了审计规则的添加、删除、更新,规则修改后能够直接运用到审计系统中。
系统中集成了一部分经确认危险程度较高的操作行为事件,并将这些行为进行特征分析、归纳,形成审计规则。
这一部分主要集中在对象访问审核与帐号管理审核、帐号登录审核中。
为了更加及时发现有关问题,用户在使用过程中可以将发现的重大问题形成规则添加到规则库中,系统实现了审计规则数据的即时添加与即时作用。
在实际使用中,有些规则随着时间的推移及管理员有效的工作,有部分规则对系统己不起作用,还有一部分规则需要更改其内部的特性才能够更好地维护系统的安全。
(3)审计结果查询
审计结果:
该功能实现了审计结果数据的查询,提供了对审计结果的分类查询,同时可以将有关查询的结果进行保存与打印,这有助于提高系统安全管理员的效率,对发现系统存在的问题有较大帮助。
在结果查询中,可提供的查询方式有:
审计模式、审核策略、事件ID、审计时间、工作站、用户帐号、危险等级等。
然后再根据每一种方式给出具体的查询条件,查询即可。
保存与打印将查询到的结果以文件的形式保存,同时根据要求通过打印机输出
(4)审计报告
审计报告:
该功能实现了将审计原始数据与结果数据相结合,并从中分析相关操作行为及系统的安全状况。
是对审计结果数据的汇总,然后从汇总的数据中得出系统存在哪些问题,并给出问题的严重性与解决建议。
广道无线网络行为审计系统可获取的内容:
(1)有线网络行为审计可获取的行为信息(PC端)
1.网页浏览,URL,内容等;
2.电子邮件,支持POP3、SMTP、webmail、可获取邮箱账号、邮件标题、内容、附件等等;
3.即使通讯工具,可获取账号、聊天内容;
4.论坛发/回帖,账号、贴文;
5.其他行为,telnet、FTP、http下载、游戏、股票软件等等。
(2)移动APP的信息审计
新闻客户端、邮件客户端、即时通讯客户端、网站等等。
(3)AP(无线接入点)信息及STA(用户)信息
可记录搜索到AP的MAC地址、SSID地址、基地服务识别码(BSSID)信号强度、上网频道、通讯用户数、加密方式和通讯用户的MAC地址、IP地址、SSID地址、基地服务识别码(BSSID)、信号强度、上网频道。
7.1.2任子行
网络安全管理系统_SURF-RAG系统特点:
(1)智能的协议识别
提供对数据流的深度检测功能,对网络流量能准确的按协议类型识别,包括常规的应用、国内外的各种P2P软件、IM软件、网络游戏、在线视频等。
配合强大的带宽管理与行为管理功能,可有效提高带宽的利用率,规范用户的上网行为。
(2)强大的流量控制功能
支持基于线路、基于内网和外网的IP地址/IP地址范围/IP子网/地址簿/用户组、基于四层服务和根据特征识别的七层服务、基于单个服务、服务组、多服务的任意组合等进行带宽控制和流量阻断;支持基于流量优先级的流量控制策略;支持基于时间段的带宽控制和流量阻断策略;根据策略对某些用户或特定应用的最大带宽进行控制;通过策略或优先级,保证关键业务或者VIP客户应用的带宽;对特定应用或重点客户进行预留一定带宽。
能够根据IP地址/IP地址范围/IP子网/地址簿/用户组的配置来控制网络中单个用户的上行会并发会话数、下行并发会话数;针对流量异常的用户或者IP地址进行用户黑名单智能控制管理;根据每用户的“每日/每周/每月”使用的流量(上行/下行/双向)总和超过预设阀值,根据每用户在连续一段时间的“上行速率/下行速率”超过预设阀值、根据每用户在连续一段时间的并发会话数(上行/下行)超过预设阀值、根据每用户在连续一段时间的新建会话数(上行/下行)超过预设阀值等,则自动进入黑名单。
并能控制用户滥用P2P、防止病毒等。
(3)先进的上网行为管理
任天行网络安全管理系统_SURF-RAG系列设备提供了细致的上网行为管理方案,拥有着领先的网络行为识别能力。
对用户的上网行为进行细致而灵活的管理,进而提高了员工的工作效率,避免了机密信息的泄漏。
∙URL过滤与记录:
提供强大的URL过滤、全面的URL记录和URL排名功能。
URL库可达1000万以上,如与WebSense联动,可达2000万以上。
∙网页内容过滤与记录:
全面记录内网用户向公网BBS、论坛、博客等发表的帖子内容及附件,还提供对帖子的内容进行关键字过滤。
同时可对搜索引擎搜索的关键字进行过滤与记录;帮助企事业过滤不良网站。
∙文件传输过滤与记录:
智能识别HTTP网页与FTP协议的文件上传和文件下载,并对文件的上传和下载进行过滤与记录。
∙邮件过滤与记录:
支持对邮件内容和附件等进行监控、过滤和审计功能。
既可以监控到任何一台计算机通过Outlook或Foxmail等邮件客户端软件使用SMTP和POP3收发邮件,也可以监测到通过Yahoo、Sohu、163、126、Hotmail、Tom、Sina、Gmail、QQmail等Webmail提供商收发邮件的内容和附件。
∙即时通讯过滤与记录:
支持对即时通讯协议进行阻断,及对文字聊天、语音聊天及文件传输进行过滤与内容记录。
(4)高效的防火墙功能
任天行网络安全管理系统_SURF-RAG系列设备内置了专业的防火墙功能。
灵活的安全规则以及多种防护机制保护了网络免受攻击,提升了整个网络的安全性。
∙NAT 支持:
提供多对一的源地址转换、一对一的双向地址转换以及端口映射等三种类型的NAT。
并且支持多种应用协议NAT穿越,支持H.323、SIP、FTP、TFTP、RSH、RTSP、SQLNet、HTTP、MS-RPC、PPTP/GRE、SUN-RPC等协议的ALG功能。
∙VPN 支持:
支持IPSecVPN、PPTPVPN功能。
∙全面DoS/DDoS 防护:
提供全面的DoS/DDoS防护机制,支持SYNCookie,SYN代理服务。
∙防御各种网络攻击包括:
IP畸形包攻击、IP假冒、TCP劫持入侵、SYNflood、Smurf、PingofDeath、Teardrop、Land、Pingflood、UDPFlood等。
(5)丰富的用户认证方式
支持多种方式的用户认证功能,包括本地数据库认证、AD认证、RADIUS认证、LDAP认证、POP3认证。
灵活的认证策略提供了安全的终端接入。
同时提供单点登录认证方式,用户只需输入一次密码,降低密码泄露的风险。
(6)酒店即插即用功能
由于酒店客人的电脑的IP地址与DNS的配置各不相同,经常需要酒店网管人员为其进行一番配置后才能正常上网。
不管客人电脑的IP与DNS如何配置,开启酒店即插即用功能后,只要插上网线,客人即可上网。
(7)HA功能
系统支持一主一备,或一主多备的HA模式;也支持多个主设备(多主一备/多主多备)的HA模式,多个主设备间可实现负载均衡。
(8)完整的统计及报表功能
任子行网络安全管理系统_SURF-RAG系列设备内置了强大的报表中心,可对全网的流量进行采集和统计、分析用户网络行为。
报表中心提供丰富的统计数据,可按长期(周/月/年)、短期(分钟/小时/日)和实时(秒)的方式显示带宽使用状况,并根据用户需求产生报表。
从而帮助管理者了解网络整体使用情况,轻松解决网络中存在的问题。
∙流量统计:
提供全网流量统计信息,主要包括:
用户/IP统计、用户组统计、服务/服务组统计、线路统计等,并可进一步查看IP地址、地址组和网络服务之间的关联。
∙全局行为分析:
配合行为管理功能,可提供丰富的流量审计信息,可以记录用户URL日志、BBS/论坛发帖内容及附件、网页评论记录、收发邮件详细内容、即时通讯记录、FTP日志等。
∙个人行为分析:
根据组织结构中的逻辑树结构,可逐个展示用户,并将每个用户的上网行为分项统计并形象化显示。
具体内容包括:
个人网页统计、个人即时通讯记录、个人邮件记录、个人FTP记录。
∙会话记录:
通过检查完整的会话日志,管理者可以跟踪网络中的任何操作。
会话记录包括:
源IP、目的IP、协议和端口、是否进行NAT转换(可显示转换后的IP和端口)、七层应用名称、会话产生的时间和会话持续时间。
∙报表生成:
可生成转换为PDF、Excel等格式的报表,大大简化了管理员手工制作报表。
(9)集中管理平台
与任天行网络安全管理系统_SURF-RAG系列设备配套的集中管理平台(CentralManagement,简称CM)部署于企业总部,可对各分支机构的任天行网络安全管理系统_SURF-RAG系列设备统一进行策略下发、定时备份配置文件、上网行为日志管理、全网设备状态操控,同时还支持分支机构自行设置个性化管理策略,实现“个性化管理”与“集中管理”的完美结合。
网络安全管理系统SA系列(网络应用审计产品):
1、产品特点
(1)识别上网应用
∙行为识别:
面对互联网高速发展而产生的各种不断更新的版本、全新的乃至加密的应用,任天行产品研发团队一直专注跟踪随时出现的各种网络流行应用,并不断在升级过程中实现协议和应用分析的更新。
产品在庞大的URL分类数据库和应用识别能力基础之上提供了全面的行为和内容安全审计功能。
∙内容识别:
在对关键字的内容审计功能上,任天行系列产品采用基于状态机的多模匹配算法,极大地提高了匹配效率和关键字识别的准确性,为可靠的内容关键字审计功能提供了业界领先的技术保障。
其中基于多编码的智能关键字匹配技术,更是独家率先解决了对国内部分地区特有语种(如维文、藏文等)的关键字匹配和内容审计问题。
∙对象识别:
将上网人员与上网机器形成明确的对应关系,认清用户是谁,使用何种具体应用,采用独创的信息实名技术手段,对其实施准确、清晰的管理。
任天行系列产品支持包括IP+MAC地址绑定认证、本地Web认证、AD域认证、LDAP认证、USBKEY身份认证、刷卡认证、三层交换环境MAC探测和白名单免监控管理等多种对象识别技术,可以实现对组织机构内部数量庞大的用户身份精准识别。
(2)创新技术手段
∙先进的系统体系结构:
系统设计上采用了先进的模块化、层次化体系结构,基于面向对象的思想和插件化的并行协议栈,具有高度灵活扩展性,充分体现了资源的共享,提高了运行效率和稳定性。
∙高效的捕包引擎技术:
使用Intel高性能网卡、独创零拷贝技术驱动、DMA直接内存存取技术,使得系统在高负载下捕包分析的不稳定性与不安全性减至最小,而性能和可靠性却得到了极大提升,处理效率比传统捕包引擎提高1倍以上
∙高性能海量数据检索:
独有的高性能海量数据检索引擎,在浩如烟海的审计数据查询与分析中表现出卓越的性能。
∙核心技术 领航安全:
任天行多项技术突破了内容信息安全领域的难点和重点,填补了国内空白,具有独立的知识产权。
作为国内信息安全领域的先行者,产品通过公安部检测中心、中国人民解放军信息安全认证测评中心及国家保密局评测中心的检测与认证,是国内网安市场推荐的优秀品牌。
(3)有效管理网络
∙全面的上网行为管理:
针对网络应用管理混乱所造成的不良影响,任天行产品提供了一系列贴近用户的4W1H五维智能化网络行为控管功能。
产品支持包括对网页/各种在线娱乐软件/P2P下载工具/在线视音频/流媒体/炒股软件/各种文件传输工具/IM即时聊天软件/Telnet等多种方式的信息收发内容记录、关键字过滤、文件传档管控、报警。
∙深度细粒审计管理:
产品能够全面详实地记录网络内流经监听出口的各种网络行为,支持关于上网行为、内容、时间、用户等多种条件组合的信息审计策略和日志分析,全面监测各种网络行为,进行深度细粒审计。
内容审计既能进行无条件记录,又能通过策略指定访问者(IP地址/帐号/分组)、时间范围、内容关键字等有针对条件的记录管理用户需要的访问内容。
不管是行为审计还是内容审计,都具备高度的灵活性、专业性和准确性,能够为管理机构进行事后追查、取证分析提供有力技术支撑。
∙本地网络管理/异域分布统一管理:
任天行系统除了能够有效的管理本地网络外,也可以选择与任天行网络安全管理中心配合使用,实现异域分布统一管理,分散控制各地网络,达到DCS式的管控效果;总部可以统一配发策略,实现网络行为的多点集中控管和数据横向对比分析,从而形成集团全面网络状况报表。
通过设定特殊网络策略,可自动获取相关日志或远程主动调取更详细日志,让管理者一目了然,省力省心。
∙别具匠心的管理者界面:
任天行系统为企业管理层专门定制了一个管理者界面,该界面展现了员工使用的网络的整体情况,管理者可以从这个界面了解到员工的工作效率、心情动态、言论焦点;企业的信息泄露风险、法律风险等能为企业发展决策提供参考的信息。
(4)多层面自身安全防护
∙系统级安全防护:
在对操作系统内核进行充分剖析的基础上,在操作系统级对系统各支撑引擎进行了修改和全面优化定制,全面防止攻击与劫持,提升系统整体性能的同时保障自身系统级安全。
∙操作级安全防护:
多权分离,针对各种不同性质的功能模块可灵活配置权限级别,并提供更强安全性的USBKEY自定义敏感权限控制,最大保障自身操作级安全。
∙数据级安全防护:
采用自主的高效算法对关键审计数据的存储和传输进行加密防护,数据存储防篡改,数据传输防破解,多种加密防护措施保障自身数据级安全。
∙网络级安全防护:
旁路部署保障对网络性能完全没有影响,保证网络无单点故障,优先保障用户网络级安全,是上网机构在内网和互联网安全监管和保密资格测评过程中最可信赖的安全工具。
(5)多种灵活部署方案
∙丰富的线路部署方式:
基本的旁路部署,全面支持电口镜像与分路、光口的镜像与分光、电口桥接等多种线路部署方式,在复杂网络环境下的部署游刃有余,运用自如。
∙领先的多路并行捕包:
业界领先的多路并行捕包技术,单台设备最多支持高达4路数据的并行捕获与分析,为在复杂环境下的灵活部署提供先进的技术保障。
∙扩展的多台分布部署:
对于单台设备无法处理的超大流量环
升级会员 