网络行为审计白皮书.docx
《网络行为审计白皮书.docx》由会员分享,可在线阅读,更多相关《网络行为审计白皮书.docx(12页珍藏版)》请在冰豆网上搜索。
网络行为审计白皮书
网络行为审计
技术白皮书
北京中科安胜信息技术有限公司
2008.12
目录
一、总述1
二、需求分析2
2.1上网访问拓扑图2
2.2存在的问题以及由此可能产生的后果2
2.3为避免风险应具备的能力清单3
三、解决方案4
3.1信息源4
3.2信息种类4
3.3采集方式5
3.4典型网络拓扑图5
3.5审计输出5
3.5.1高效实时分析能5
3.5.2事后分析统计报表6
3.5.3集中存储归档和高效检索功能8
3.6设备选型8
四、实施效果9
五、解决方案优势9
六、项目案例9
七、《附件》国家相关管理规定摘要11
注:
本方案对象为互联网接入的校园网、政府部门政务外网、企业网
一、
总述
随着互联网的迅速发展与普及应用,互联网的使用已经成为人们工作和学习密不可分的一部分。
但是通过网络访问色情、反动信息、非法占用网络资源等行为越来越频繁。
针对互联网访问这一应用领域,应用关键字实时跟踪分析技术,从发起者、访问时间、访问对象、访问方法、使用频率各个角度,提供丰富的统计分析报告,帮助用户在统一管理互联网访问日志的同时,及时发现安全隐患,协助优化网络资源的使用。
我们对网络流量进行了分析,对于特定的网络应用,进行了分析。
能够做到,在任何时候分析那个IP是占用带宽最多的IP,那种应用是占用带宽最多的应用,那种协议是占用带宽最多的协议。
除针对互联网的审计以外,我们同时具备对数据库访问的审计,对于数据的审计支持ORACLE,DB2,SQLSERVER,MYSQL,TERADATA。
该系统能够记录访问数据库的用户,实例,源ip,sql语句等信息。
二、接入方式
2.1上网访问审计接入拓扑图
大多上网访问行为分为,用户个人计算机,通过网络设备,经过网关,访问网络;如下图:
2.2数据库审计接入
2.3存在的问题以及由此可能产生的后果
首先,面临的是国家对互联网接入单位的管理要求(见附件一),如果单位在互联网访问方面没有采取措施保留原始记录(日志),一旦发生通过互联网开展的违法乱纪行为,只能追查到单位,追究管理责任,给单位在经济和声誉上带来巨大损失,甚至要求停网整顿,将严重干扰正常工作的开展。
其次,互联网的滥用现象十分严重,员工在办公时间内浏览与工作无关的网站,花大量时间在聊天(即时信息)、玩游戏、流媒体(听音乐看电影)、炒股票、下载等。
这样一方面,导致员工的工作效率严重受到影响;另一方面,带宽资源始终不够,缓慢的网速将干扰正常工作的开展。
再次,广泛的互联网访问和用户操作不当,感染病毒和木马的几率大大增加,也给网络安全防范方面带来更大威胁。
最后,员工可以将涉及单位工作秘密的资料通过互联网轻易外泄,比如财务数据、工作或经营计划、客户名单、价格体系、合同等。
2.3为避免风险应具备的能力清单
为避免企业遭受上述风险,减少风险带来的各种损失,一个独立的上网审计系统应具备从组成上网环境的各个环节——访问源(客户端)、访问路径(路由器、交换机)、目标网站——中探测到用户的所有访问行为、存储记录及从中分析出异常现象的能力。
具体包括:
探测采集全部用户访问外网目标的行为
记录访问行为的全部过程:
访问源地址、访问方式、访问目标、访问时间等。
对所有用户的行为记录进行基于时间、空间的综合统计分析的能力
系统应能定期自动产生各种审计分析报告,或通过交互提供各种特定条件下的分析报告或日志查询能力。
三、主要功能
3.1互联网审计
1)网站访问——HTTP
客户端IP、日志日期、日志时间、目标IP、目标端口、URL、源MAC
2)收发邮件——SMTP和POP
客户端IP、日志日期、日志时间、目标IP、目标端口、URL、源MAC
发件人,收件人、主题。
3)文件下载——FTP
客户端IP、客户端端口、目标IP、目标服务名、客户登录名、操作、日志日期、日志时间、源MAC。
4)远程登陆——TELNET
客户端IP、目标IP、协议、信息(客户端命令、目标端返回信息)
3.2采集方式
对上网管理审计主要通过网络监听上网行为,对监听得到的数据发送到审计设备中来。
3.3典型网络拓扑图
3.4审计输出
3.5.1高效实时分析能力
高效的实时分析技术确保单个分析引擎日志吞吐量不小于每秒400000条,友好的用户规则定制界面支持灵活的分析策略实施,包括:
违反访问限制规则尝试:
网络管理员在互联网出口处通过部署上网探测器,设置了一系列安全访问规则,违反这些访问规则的访问尝试,尤其是短时间段重复尝试,具有潜在安全风险,及时通知网络管理员。
符合规则的非正常访问提示:
在非正常时间段(如下班、节假日)、不属于合法IP范围(或合法MAC登记)、非正常流量(大数据块传输)、失败连接、非正常连接时间长度(UDP类型)等。
关键字匹配分析:
敏感关键字(法轮功、游行、绝密/秘密、暴力、色情等)
3.5.2事后分析统计报表
协议排名:
指定时间段,访问互联网方式数量(HTTP、FTP、E-mail等)
通讯排名:
指定时间段,内网用户生成的网络通讯排名(产生通讯最多的用户排在前面)。
网站排名:
指定时间段,内网用户访问最频繁的网站(最受欢迎的网站排列在最前面)。
HTTP流量跟踪:
指定时间段,用户访问互联网网站流量信息波动。
FTP站点流量报表:
指定时间段,用户访问FTP站点,下载流量统计。
最多下载的站点排列在最前面。
FTP用户流量报表:
指定时间段,用户访问FTP站点,下载流量统计。
最多下载的客户端排列在最前面。
FTP上传文件类型:
指定时间段,上传文件类型统计(上传文件最多的类型排列的最前面)。
FTP下载传文件类型:
指定时间段,下载文件类型统计(下载文件最多的类型排列的最前面)。
E-mail收发排名:
指定时间段,用户收发邮件统计(收发最多的客户端排列在最前面)。
E-mail收发附件类型:
指定时间段,邮件附件类型统计。
即时通讯工具在线时间排名:
指定时间段,用户(MSN、QQ、ICQ)在线时间统计(在线时间最长客户端排列在最前面)。
即时通讯工具数据量排名:
指定时间段,用户(MSN、QQ、ICQ)传输数据量统计(传输数据量最大客户端排列在最前面)。
3.5.3集中存储归档和高效检索功能
第三地集中保留所有原始互联网访问日志,提供回放用户访问行为过程,使安全事故发生后进行审计和取证。
灵活的归档备份功能包括:
1.日志归档包括:
手工与自动两种方式。
用户可以设置归档范围(类型、时间);
2.支持归档文件的多种备份方式(Tape/Ftp/Samba/NFS);
3.导入功能包括:
原始日志批量导入和归档文件导入;
4.在已归档日志范围内,用户(管理员)可对日志记录进删除操作。
在高压缩比的支持下,存储能力由存储介质空间决定,除了审计设备自带的磁盘阵列外,用户还可以利用外部磁带机(磁带库)、光盘库、磁盘阵列柜以及NAS/SAN存储解决方案。
审计系统提供高效的检索能力,支持条件多样性,可根据日志类型、日志产生时间、日志源等进行复杂条件查询,对更精细查询可以用组合条件查询完成,组合条件数不少于1024个。
独有的检索排序算法使日志模糊查询能力达到每秒100万条以上,大大超过同类产品。
3.5设备选型
审计产品分为两类系列:
LA和LS。
上网管理中产生的日志量大、事件分析难度高,建议选用LS1000;如果某些客户对实时审计要求高可以加配设备LA500或LA1000。
四、实施效果
✓全部网络内部用户的访问行为记录、归档;
✓定位非法访问用户;
✓审计敏感信息是否外泄;
✓分析网络流量;
✓分类用户访问行为;
五、解决方案优势
不需要改动原网络结构;
不对网络访问行为有所影响;
记录用户访问行为;
海量存储日志信息;
对WEB访问行为日志产生统计报表;
统计即时通信行为情况;
统计流媒体连接情况;
六、项目案例
✧单位名称
某省级进出口公司
✧用户环境
网络内有250多台PC;历史的上网访问日志不进行备份。
✧实施方案
设备型号:
AS500、AS1000
采集日志:
通过上网探测器,收集250台PC客户端日志数据。
✧最终效果
✓对WEB访问行为日志产生统计报表
✧统计内部网络的公司员工(或计算机)访问情况;
✧统计内部网络的公司部门访问情况;
✧统计网站访问情况;
✧统计访问方式(WEB、FTP、Mail)情况;
✧统计访问频率;
✧统计访问时间情况;
✧统计非法访问情况(访问法轮功、反动网站);
✧统计工作时间,访问受限网络情况;
✓统计即时通信行为情况;
✓统计流媒体连接情况;
✓统计游戏连接情况;
✓集中管理各种用户上网行为日志,综合分析上网行为;
✓监管全部访问应用服务客户行为;
✓日志长期归档封存;
七、
《附件》国家相关管理规定摘要
《中华人民共和国计算机信息网络国际联网管理暂行规定》及其实施办法第十八条规定“用户应当服从接入单位的管理,遵守用户守则;不得擅自进入未经许可的计算机系统,篡改他人信息;不得在网络上散发恶意信息,冒用他人名义发出信息,侵犯他人隐私;不得制造、传播计算机病毒及从事其它侵犯网络和他人合法权益的活动。
”第二十条规定“互联单位、接入单位和用户应当遵守国家有关法律、行政法规,严格执行国家安全保密制度;不得利用国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、查阅、复制和传播妨碍社会治安和淫秽色情等有害信息;发现有害信息应当及时向有关主管部门报告,并采取有效措施,不得使其扩散。
”同时在第十九条要求“接入单位应当保存与其服务相关的所有信息资料;在国务院信息化工作领导小组办公室和有关主管部门进行检查时,应当及时提供有关信息资料。
”
《计算机信息网络国际联网安全保护管理办法》第四条、第五条、第六条规定:
“任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。
任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息:
(一)煽动抗拒、破坏宪法和法律、行政法规实施的;
(二)煽动颠覆国家政权,推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
(七)公然侮辱他人或者捏造事实诽谤他人的;
(八)损害国家机关信誉的;
(九)其他违反宪法和法律、行政法规的。
任何单位和个人不得从事下列危害计算机信息网络安全的活动:
(一)未经允许,进入计算机信息网络或者使用计算机信息网络资源的;
(二)未经允许,对计算机信息网络功能进行删除、修改或者增加的;
(三)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
(四)故意制作、传播计算机病毒等破坏性程序的;
(五)其他危害计算机信息网络安全的。
并在安全保护责任方面要求国际互联网接入单位发现以上情形,应当保留有关原始记录,并在二十四小时内向当地公安机关报告。
”
升级会员 