網(wǎng)絡(luò)哨兵企業(yè)解決方案模板格式

PAGE28網(wǎng)絡(luò)安全審計(jì)系統(tǒng)設(shè)計(jì)方案深圳市中科新業(yè)信息科技發(fā)展有限公司TIME\@"yyyy'年'M'月'd'日'"2013年6月13日目錄TOC\o"1-2"\h\z\u1、 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)設(shè)計(jì)方案 3、 項(xiàng)目背景 3、 總體項(xiàng)目概述 32、 企業(yè)網(wǎng)絡(luò)架構(gòu)及安全審計(jì)總體需求分析 43、 企業(yè)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)整體解決方案 6、 企業(yè)網(wǎng)絡(luò)哨兵網(wǎng)絡(luò)安全審計(jì)系統(tǒng)部署方案 6、 網(wǎng)絡(luò)哨兵網(wǎng)絡(luò)安全審計(jì)工作原理說明 74、 網(wǎng)絡(luò)哨兵網(wǎng)絡(luò)安全審計(jì)系統(tǒng)技術(shù)優(yōu)勢(shì) 11、 高速的數(shù)據(jù)捕獲技術(shù) 11、 數(shù)據(jù)高速分析匹配技術(shù) 11、 審計(jì)協(xié)議豐富、內(nèi)容審計(jì)功能強(qiáng)大 12、 內(nèi)置強(qiáng)大過濾庫 12、 管理策略可精細(xì)定制 13、 審計(jì)對(duì)象管理靈活 15、 部署方式多樣 15、 自身安全性高 16、 能對(duì)上網(wǎng)用戶進(jìn)行認(rèn)證管理 16、 輔助功能齊全 19、 違規(guī)通知 19、 方便用戶使用的個(gè)性化設(shè)置 19、 分權(quán)管理 20、 強(qiáng)大的報(bào)表系統(tǒng) 215、 網(wǎng)絡(luò)哨兵部署后實(shí)現(xiàn)的價(jià)值 23網(wǎng)絡(luò)安全審計(jì)系統(tǒng)設(shè)計(jì)方案項(xiàng)目背景企業(yè)網(wǎng)絡(luò)內(nèi)部作為一個(gè)開放的局域網(wǎng)絡(luò)接入系統(tǒng)，應(yīng)用狀況日趨復(fù)雜。一方面各員工上網(wǎng)工作的條件得到改善，但另一方面也給信息中心的管理層面貌帶來更高的網(wǎng)絡(luò)使用危險(xiǎn)性、復(fù)雜性和混亂，在幫助企業(yè)走向成功的同時(shí)，也成倍的加大了遭遇到各種風(fēng)險(xiǎn)的可能性：在IDC對(duì)全世界網(wǎng)絡(luò)使用的調(diào)查結(jié)果中發(fā)現(xiàn)，員工30%至40%的上網(wǎng)活動(dòng)與工作無關(guān).超過85%的網(wǎng)絡(luò)安全威脅來自于內(nèi)部;有16%來自內(nèi)部未授權(quán)的存??；有14%來自專利信息被竊??；有12%來自內(nèi)部人員的財(cái)務(wù)欺騙；而只有5%是來自黑客的攻擊。有69%的組織機(jī)構(gòu)承認(rèn)他們的信息安全被破壞通常是來自于員工惡意的行為與非惡意的失誤；數(shù)據(jù)泄漏的原因有39%來自于非惡意員工的失誤。在歐美發(fā)達(dá)國家:80%的企業(yè)對(duì)員工的互聯(lián)網(wǎng)活動(dòng)進(jìn)行審計(jì)，而且這一舉措得到了法律條文上的支持.在中國:據(jù)IDC統(tǒng)計(jì)數(shù)據(jù)顯示,中國員工比其它地區(qū)的員工每周多花小時(shí)的時(shí)間來使用QQ、玩游戲、新聞網(wǎng)頁瀏覽等?；ヂ?lián)網(wǎng)資源的誤用、濫用和惡用，已經(jīng)成為目前內(nèi)部網(wǎng)絡(luò)面臨的三大威脅。而且企業(yè)網(wǎng)絡(luò)信息中心作為公司信息安全領(lǐng)域的核心平臺(tái)，如何合理利用好互聯(lián)網(wǎng)資源，審計(jì)、規(guī)范員工的上網(wǎng)行為，提高機(jī)構(gòu)的工作效率，防止不良反動(dòng)信息的發(fā)布，保障網(wǎng)絡(luò)不被濫用是當(dāng)前企業(yè)管理層所不得不關(guān)注的課題?？傮w項(xiàng)目概述項(xiàng)目目標(biāo)本項(xiàng)目建設(shè)的目標(biāo)是通過網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的部署，進(jìn)一步加強(qiáng)與完善企業(yè)內(nèi)部網(wǎng)的網(wǎng)絡(luò)安全體系。安全審計(jì)系統(tǒng)的功能在于：通過靈活的策略與時(shí)間段設(shè)置，對(duì)工作網(wǎng)絡(luò)中的行為流量與業(yè)務(wù)數(shù)據(jù)進(jìn)行充分細(xì)致的分析審計(jì)，統(tǒng)計(jì)并完整記錄用戶的網(wǎng)絡(luò)行為與這些行為產(chǎn)生的數(shù)據(jù)，從而對(duì)網(wǎng)絡(luò)上的違法違規(guī)行為進(jìn)行切實(shí)有效的管理與控制。設(shè)計(jì)依據(jù)在進(jìn)行網(wǎng)絡(luò)安全審計(jì)方案設(shè)計(jì)時(shí)，我們將遵循國內(nèi)和國際安全相關(guān)標(biāo)準(zhǔn)：主要依據(jù)為信息安全管理相關(guān)的標(biāo)準(zhǔn)，例如ISO/IEC17799、ISO17799/27001、COSO、COBIT、ITIL、NISTSP800系列，《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)），《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)），公安部82號(hào)令提出的《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》，《薩班斯-奧克斯利法案（2002Sarbanes-OxleyAct）》的第302條款和第404條款等。這些標(biāo)準(zhǔn)實(shí)際上是出于不同的角度提出的控制體系，基于這些控制體系可以有效地控制信息安全風(fēng)險(xiǎn)，從而達(dá)到網(wǎng)絡(luò)安全審計(jì)的目的，提高信息系統(tǒng)的安全性。設(shè)計(jì)原則本項(xiàng)目的建設(shè)原則是盡最大可能地減小原有工作網(wǎng)絡(luò)拓樸的改變，并且本著高質(zhì)量，高穩(wěn)定性，高性價(jià)比的方針，使新建設(shè)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)能夠完美地融合到企業(yè)原有網(wǎng)絡(luò)系統(tǒng)中去，新系統(tǒng)的加入不能影響到原有網(wǎng)絡(luò)的業(yè)務(wù)流量帶寬，也不能給網(wǎng)絡(luò)造成性能上的瓶頸點(diǎn)。安全審計(jì)設(shè)備的本身也應(yīng)具備一定的安全性，以確保網(wǎng)絡(luò)的安全；同時(shí)所選系統(tǒng)具備擴(kuò)容功能，必須擁有較好的擴(kuò)展性。企業(yè)網(wǎng)絡(luò)架構(gòu)及安全審計(jì)總體需求分析通過企業(yè)網(wǎng)絡(luò)管理者的深入溝通，我們對(duì)企業(yè)網(wǎng)絡(luò)構(gòu)架、網(wǎng)絡(luò)內(nèi)部工作方式、信息系統(tǒng)建設(shè)以及業(yè)務(wù)信息化程度等方面做了全面的了解；目前企業(yè)針對(duì)信息安全審計(jì)方面的需求具有以下幾點(diǎn)：全面記錄網(wǎng)絡(luò)信息資源的訪問，實(shí)現(xiàn)網(wǎng)絡(luò)行為與實(shí)名邦定（定位到人），對(duì)用戶網(wǎng)絡(luò)行為進(jìn)行分類統(tǒng)計(jì)，具體分析；同時(shí)提供靈活的策略管理機(jī)制，合理引導(dǎo)用戶健康文明上網(wǎng)，提升員工工作效率，限制與工作無關(guān)的網(wǎng)絡(luò)應(yīng)用，實(shí)現(xiàn)分時(shí)段進(jìn)行上網(wǎng)行為分析管理；智能化管理即時(shí)聊天工具；可基于網(wǎng)絡(luò)協(xié)議分析網(wǎng)絡(luò)應(yīng)用流量，同時(shí)需要針對(duì)用戶提供詳細(xì)網(wǎng)絡(luò)應(yīng)用流量分析；需建立專業(yè)的網(wǎng)絡(luò)過濾機(jī)制，過濾不良信息，凈化上網(wǎng)環(huán)境；建立完善的上網(wǎng)管理機(jī)制，針對(duì)不同用戶實(shí)現(xiàn)個(gè)性化定制策略管理，實(shí)現(xiàn)不同機(jī)構(gòu)分級(jí)管理；可審計(jì)網(wǎng)絡(luò)內(nèi)外發(fā)數(shù)據(jù)內(nèi)容及搜索信息，比如，郵件、發(fā)帖、搜索關(guān)鍵字等，分析網(wǎng)絡(luò)輿情，發(fā)生網(wǎng)絡(luò)泄密事件做到有據(jù)可查；具備全面、多樣化的數(shù)據(jù)報(bào)表系統(tǒng)機(jī)制，方便管理者對(duì)海量審計(jì)信息的快速查詢；實(shí)現(xiàn)審計(jì)信息與公安聯(lián)網(wǎng)，滿足公安機(jī)關(guān)對(duì)于上網(wǎng)信息安全審計(jì)的備案要求；同時(shí)，落實(shí)公安部82號(hào)令提出的《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》文件的精神，通告要求凡接入國際互聯(lián)網(wǎng)的計(jì)算機(jī)用戶必須落實(shí)互聯(lián)網(wǎng)安全審計(jì)措施，具體要求如下：完整紀(jì)錄上網(wǎng)日志，包括“上網(wǎng)時(shí)間、源IP、源端口、目的IP、目的端口、Mac地址、協(xié)議類型等”多級(jí)子網(wǎng)審計(jì)功能審計(jì)日志時(shí)鐘以北京時(shí)間為準(zhǔn)日志紀(jì)錄不可篡改日志紀(jì)錄須保存3個(gè)月以上…………….企業(yè)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)整體解決方案企業(yè)網(wǎng)絡(luò)哨兵網(wǎng)絡(luò)安全審計(jì)系統(tǒng)部署方案本項(xiàng)目的建設(shè)原則是盡最大可能地減小原有工作網(wǎng)絡(luò)拓樸的改變，并且本著高質(zhì)量，高穩(wěn)定性，高性價(jià)比的方針，使新建設(shè)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)能夠完美地融合到企業(yè)原有網(wǎng)絡(luò)系統(tǒng)中去，新系統(tǒng)的加入不能影響到原有網(wǎng)絡(luò)的業(yè)務(wù)流量帶寬，也不能給網(wǎng)絡(luò)造成性能上的瓶頸點(diǎn)。本項(xiàng)目中，推薦使用網(wǎng)絡(luò)哨兵硬件平臺(tái)S3系列產(chǎn)品，以下是網(wǎng)絡(luò)安全審計(jì)系統(tǒng)部署示意圖：中科新業(yè)網(wǎng)絡(luò)哨兵在工作時(shí)，采用旁路偵聽的方式；安裝部署時(shí)，不需要破壞原有的網(wǎng)絡(luò)結(jié)構(gòu)。因此在網(wǎng)絡(luò)結(jié)構(gòu)中，也不會(huì)造成任何數(shù)據(jù)流量上的瓶頸。在設(shè)計(jì)規(guī)劃整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)時(shí)，只需在接入交換機(jī)上預(yù)留出端口。在整個(gè)實(shí)施完工后，在交換機(jī)上設(shè)置好鏡像端口并連接上網(wǎng)絡(luò)哨兵即可，在本項(xiàng)目中，由于網(wǎng)絡(luò)相對(duì)獨(dú)立，網(wǎng)絡(luò)均采用的是將局域網(wǎng)工作站，數(shù)據(jù)服務(wù)器，其他應(yīng)用服務(wù)器交換機(jī)聯(lián)接到核心的結(jié)構(gòu)，以并一臺(tái)三層交換機(jī)作為網(wǎng)絡(luò)數(shù)據(jù)與流量負(fù)載的匯聚，網(wǎng)絡(luò)內(nèi)部各工作站終端產(chǎn)生的業(yè)務(wù)數(shù)據(jù)通過核心交換機(jī)匯聚后接入到交換機(jī)上。同時(shí)交換機(jī)通過上行線路連通到外部網(wǎng)絡(luò)。由于企業(yè)網(wǎng)絡(luò)應(yīng)用服務(wù)較多，為保證使用的穩(wěn)定性，針對(duì)流量分析應(yīng)用排錯(cuò)及帶寬規(guī)范統(tǒng)計(jì)有效實(shí)行現(xiàn)提出部署方案。由于在核心交換機(jī)上的業(yè)務(wù)流量眾多，所有的網(wǎng)絡(luò)流量都將經(jīng)過此處，對(duì)于核心交換機(jī)的處理能力是一個(gè)考驗(yàn)。為了最大程度地確保終端產(chǎn)生業(yè)務(wù)流量的安全審計(jì)，消除整個(gè)系統(tǒng)中可能存在或產(chǎn)生的流量與設(shè)備處理性能瓶頸，同時(shí)也使網(wǎng)絡(luò)安全審計(jì)系統(tǒng)無縫地融合進(jìn)網(wǎng)絡(luò)中，中科新業(yè)認(rèn)為在此采用旁路接入的方式最為適合。網(wǎng)絡(luò)哨兵網(wǎng)絡(luò)安全審計(jì)工作原理說明整個(gè)審計(jì)過程分為以下幾步：規(guī)劃：確認(rèn)審計(jì)對(duì)象、審計(jì)目的、審計(jì)標(biāo)準(zhǔn)，并開始在企業(yè)網(wǎng)中部署網(wǎng)絡(luò)哨兵分析：這是整個(gè)審計(jì)活動(dòng)中的重點(diǎn)，通過對(duì)已獲取數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，幫助用戶對(duì)整個(gè)企業(yè)網(wǎng)的使用做一個(gè)全面的評(píng)估，迅速發(fā)現(xiàn)問題，并找到解決問題的辦法部署管理策略：所有規(guī)劃和分析的目的都是為了這一步做準(zhǔn)備，只有基于對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行的深入的分析和研究，所制定的管理策略才能起到它的作用。評(píng)估：在這個(gè)階段，我們將對(duì)整個(gè)企業(yè)網(wǎng)使用狀況進(jìn)行再一次的評(píng)估，把所得數(shù)據(jù)與前一次數(shù)據(jù)進(jìn)行對(duì)比，評(píng)估管理策略的實(shí)際效果。規(guī)劃在實(shí)施審計(jì)之前我們首先應(yīng)當(dāng)確認(rèn)以下審計(jì)基本要素：審計(jì)對(duì)象：確定審計(jì)的對(duì)象可以幫助我們有針對(duì)性的實(shí)施審計(jì)計(jì)劃，并可以把整個(gè)過程控制在一個(gè)可接受的范圍之內(nèi)，并保持整個(gè)過程的高效。審計(jì)的目的：審計(jì)的最終目的是通過審計(jì)確定、解除被審計(jì)對(duì)象的受托責(zé)任和加強(qiáng)對(duì)被審計(jì)對(duì)象的管理與控制，此次審計(jì)目的是要幫助企業(yè)對(duì)企業(yè)網(wǎng)內(nèi)用戶上網(wǎng)行為進(jìn)行審計(jì)和分析，實(shí)現(xiàn)對(duì)上網(wǎng)用戶行為的管理和控制，提高企業(yè)網(wǎng)利用率，凈化企業(yè)網(wǎng)環(huán)境。審計(jì)的標(biāo)準(zhǔn)：為整個(gè)審計(jì)行為定下一個(gè)得到廣泛認(rèn)可的標(biāo)準(zhǔn)，可以確保整個(gè)審計(jì)過程的客觀、真實(shí)，并具有可計(jì)量性和可比較性,此次審計(jì)過程中，我們將利用中科新業(yè)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，幫助用戶打開這一黑匣子，規(guī)范的網(wǎng)絡(luò)行為準(zhǔn)則，制定企業(yè)網(wǎng)的安全管理策略，所有不符合網(wǎng)絡(luò)管理規(guī)定以及與規(guī)定不符、危害網(wǎng)絡(luò)正常使用、濫用網(wǎng)絡(luò)資源影響正常運(yùn)作的行為均被視為不符合標(biāo)準(zhǔn)，應(yīng)當(dāng)列入被審計(jì)范圍以內(nèi)。數(shù)據(jù)分析網(wǎng)絡(luò)哨兵提供了多種針對(duì)上網(wǎng)行為的審計(jì)手段，首先我們先對(duì)我們所獲得的網(wǎng)絡(luò)瀏覽方面的數(shù)據(jù)進(jìn)行一個(gè)深入的分析第一步：數(shù)據(jù)獲取我們通過在網(wǎng)絡(luò)哨兵的審計(jì)檔案中設(shè)定所要查詢數(shù)據(jù)的起始日期和截止日期，把在我們審計(jì)范圍內(nèi)的數(shù)據(jù)提取出來，經(jīng)過匯總統(tǒng)計(jì)，全網(wǎng)所有審計(jì)對(duì)象的網(wǎng)頁瀏覽記錄超過2萬條，同樣我們可對(duì)PROXY訪問代理、POP3、SMTP、QQ、FTP等各種網(wǎng)絡(luò)行為在網(wǎng)絡(luò)哨兵中留下的日志紀(jì)錄進(jìn)行匯總統(tǒng)計(jì)第二步：數(shù)據(jù)篩選，面對(duì)如此之大的數(shù)據(jù)量，我們?nèi)绾螐闹姓业阶约合胍膬?nèi)容呢，如果逐條核查逐條驗(yàn)證，必然耗費(fèi)巨大的精力，而且也是幾乎不可能做到的，我們的網(wǎng)絡(luò)哨兵為網(wǎng)管員提供了對(duì)獲取數(shù)據(jù)進(jìn)行挖掘、篩選的功能，幫助網(wǎng)管員縮小查詢的范圍，在最短時(shí)間里找到自己想要找到的東西。整個(gè)過程我們采取漸進(jìn)式聚焦的方法，用最快的方法找到我們希望找到的東西，首先我們可以利用統(tǒng)計(jì)視圖，依照協(xié)議、URL類別、機(jī)器名、目標(biāo)主機(jī)對(duì)網(wǎng)絡(luò)活動(dòng)和網(wǎng)絡(luò)流量進(jìn)行分類統(tǒng)計(jì)，并以柱狀圖或餅狀圖的形式表現(xiàn)出來，這樣做可以幫助我們初步對(duì)網(wǎng)絡(luò)使用狀況有一個(gè)比較直觀的了解，使我們能夠及時(shí)了解到網(wǎng)絡(luò)中用戶的行為取向。具體來說我們可以得到以下信息：可以了解在網(wǎng)絡(luò)中存在哪些協(xié)議，借此發(fā)現(xiàn)用戶所使用的網(wǎng)絡(luò)應(yīng)用程序，把它們與我們的審計(jì)標(biāo)準(zhǔn)進(jìn)行比較，如果不符合標(biāo)準(zhǔn)，可以通過網(wǎng)絡(luò)哨兵部署相應(yīng)的管理策略予以控制。如上圖我們可以發(fā)現(xiàn)網(wǎng)絡(luò)中存在有以下幾種通訊協(xié)議：HTTP、TELNET、HTTPPROXY、QQ、FTP、MSN、SMTP、POP3及其它若干協(xié)議等，根據(jù)這些信息，我們可以進(jìn)行下一步的分析，如有哪些機(jī)器在什么時(shí)間使用了QQ服務(wù)，有哪些機(jī)器使用了郵件服務(wù)和FTP服務(wù)等。我們可以了解各種類別的網(wǎng)站其用戶訪問次數(shù)和時(shí)間，通過對(duì)比URL網(wǎng)址分類對(duì)照表和管理規(guī)定，幫助管理員發(fā)現(xiàn)違規(guī)行為通過以上步驟，我們可以成功的把問題焦點(diǎn)縮小在以下幾個(gè)范圍之中，它們有可能是：是否存在不應(yīng)該在網(wǎng)絡(luò)中開放的服務(wù)，如FTP，PROXY各項(xiàng)服務(wù)以及每個(gè)用戶占用了多少網(wǎng)絡(luò)資源網(wǎng)絡(luò)訪問內(nèi)容中是否含有不良信息，如色情網(wǎng)站等個(gè)別用戶是否由于遭到攻擊而發(fā)生不尋常的網(wǎng)絡(luò)行為，如不斷對(duì)外發(fā)送大量的數(shù)據(jù)包或者服務(wù)器流量突然增大等各種行為對(duì)網(wǎng)絡(luò)的影響有多大，如是否對(duì)正常的網(wǎng)絡(luò)服務(wù)有影響第三步：數(shù)據(jù)分析，下面我們可以針對(duì)篩選出的數(shù)據(jù)做進(jìn)一步分析，在這一階段我們需要找出問題的根源，它應(yīng)該是針對(duì)以下幾種問題的回答：誰在違犯規(guī)定違反了哪些規(guī)定誰在以什么方式違犯規(guī)定如此，問題的焦點(diǎn)集中在了一個(gè)方面：即對(duì)網(wǎng)絡(luò)中單個(gè)用戶或極少數(shù)違犯規(guī)定的用戶和違規(guī)上了。我們可以通過以下方式找到答案，在網(wǎng)絡(luò)活動(dòng)日志中根據(jù)IP地址、機(jī)器名、URL分類以及通訊協(xié)議等找到目標(biāo)機(jī)器對(duì)應(yīng)的網(wǎng)絡(luò)活動(dòng)紀(jì)錄，進(jìn)行進(jìn)一步的分析，比如我們可以選定IP地址為的機(jī)器，查詢這臺(tái)機(jī)器所有網(wǎng)絡(luò)通訊紀(jì)錄，然后通過URL分類和協(xié)議進(jìn)一步縮小范圍，了解這臺(tái)機(jī)器具體在某一方面的活動(dòng)，如它上過哪些不良信息的網(wǎng)站，在這臺(tái)機(jī)器上是否運(yùn)行著與規(guī)定不符的網(wǎng)絡(luò)應(yīng)用程序，它的網(wǎng)絡(luò)流量，它所發(fā)出的數(shù)據(jù)包的大小等等，或者我們可以針對(duì)某一協(xié)議進(jìn)行進(jìn)一步分析，比如有哪些機(jī)器在使用FTP、HTTP、QQ、MSN這些網(wǎng)絡(luò)服務(wù)，具體的使用時(shí)間是多少，上不良網(wǎng)站的是哪些機(jī)器等等，通過這一系列逐步聚焦的分析，網(wǎng)絡(luò)管理員可以對(duì)整個(gè)網(wǎng)絡(luò)的真實(shí)使用狀況有了一個(gè)全面的了解。部署管理策略通過前兩個(gè)部署進(jìn)行合理網(wǎng)絡(luò)行為分析，全面審計(jì)用戶的上網(wǎng)信息，了解上網(wǎng)規(guī)律，這樣我們就可以針對(duì)我們網(wǎng)絡(luò)中存在的各種問題有針對(duì)性的部署我們的管理策略了。所以只有基于對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行的深入的分析和研究，所制定的管理策略才能起到它的作用。評(píng)估海量審計(jì)信息數(shù)據(jù)中挖掘分析，進(jìn)行不同時(shí)間段的全面對(duì)比，評(píng)估審計(jì)系統(tǒng)帶來的效益，對(duì)單位產(chǎn)生的價(jià)值。網(wǎng)絡(luò)哨兵網(wǎng)絡(luò)安全審計(jì)系統(tǒng)技術(shù)優(yōu)勢(shì)高速的數(shù)據(jù)捕獲技術(shù)作為旁路監(jiān)聽設(shè)備，網(wǎng)絡(luò)數(shù)據(jù)包的捕獲能力是產(chǎn)品的重要指標(biāo)。普通的網(wǎng)卡驅(qū)動(dòng)在往上層傳遞數(shù)據(jù)時(shí)需要對(duì)網(wǎng)絡(luò)數(shù)據(jù)多次拷貝，這種工作模式在高流量的網(wǎng)絡(luò)環(huán)境下會(huì)嚴(yán)重消耗系統(tǒng)資源最終導(dǎo)致數(shù)據(jù)包丟失，而使用一般的抓包方式不能達(dá)到網(wǎng)絡(luò)的最大帶寬。針對(duì)以上情況網(wǎng)絡(luò)哨兵使用專門開發(fā)的網(wǎng)卡驅(qū)動(dòng)，增加網(wǎng)卡驅(qū)動(dòng)到用戶進(jìn)程的共享緩沖區(qū)，實(shí)現(xiàn)了網(wǎng)卡抓包的零拷貝技術(shù)，大大降低了數(shù)據(jù)的拷貝次數(shù)和CPU的處理占用率，有效地解決了在高流量時(shí)數(shù)據(jù)包丟失的問題，真正意義上實(shí)現(xiàn)了網(wǎng)絡(luò)數(shù)據(jù)的高速捕獲。高速捕獲的卓越技術(shù)帶來強(qiáng)大的處理性能。目前，中科新業(yè)網(wǎng)絡(luò)哨兵，單臺(tái)最大可以支持50000用戶；并且支持1000兆帶寬的數(shù)據(jù)環(huán)境；而且，經(jīng)過客戶的實(shí)際應(yīng)用，中科新業(yè)網(wǎng)絡(luò)哨兵（采用雙口抓取數(shù)據(jù)包技術(shù)）能夠承受2G峰值的超大數(shù)據(jù)流量。數(shù)據(jù)高速分析匹配技術(shù)通過高速的字符串匹配算法和樹型結(jié)構(gòu)匹配算法實(shí)現(xiàn)高速的數(shù)據(jù)分析匹配。采用AC算法（樹型匹配算法）和BM算法（高速字符串查找算法）、高速定位的Hash算法相結(jié)合。實(shí)現(xiàn)了只與匹配的串長度相關(guān)而與模式數(shù)無關(guān)的算法。為了提高單條字符串模式匹配的效率，采取BM算法，這種算法是字符串匹配領(lǐng)域十分常用的方法，廣泛的應(yīng)用于文本編輯器的字符串搜索之中。這種算法好處在于能夠充分利用模式串內(nèi)的相似性和不相似性，最大程度的減少模式比較次數(shù)。AC_BM算法是利用多個(gè)模式串內(nèi)的相似性和不相似性，同時(shí)使用多條模式同時(shí)匹配單個(gè)報(bào)文的數(shù)據(jù)段，通過這種方式，我們能夠很大程度提高多模式串比較的并行度。審計(jì)協(xié)議豐富、內(nèi)容審計(jì)功能強(qiáng)大網(wǎng)絡(luò)哨兵可以對(duì)基于HTTP（WEB，POST）、FTP、BT、郵件（SMTP，POP3，WEBMAIL、LOTUS）聊天（ICQ、QQ、MSN、網(wǎng)易泡泡、YAHOOMESSENGER、UC等主流IM軟件）、TELNET、游戲（反恐精英，星際爭霸，魔獸爭霸，暗黑破壞神等十幾種游戲）、音視頻、自定義等協(xié)議的行為進(jìn)行審計(jì)。網(wǎng)絡(luò)哨兵能通過SMTP、POP3協(xié)議收發(fā)的郵件內(nèi)容及附件進(jìn)行審計(jì)，也可以對(duì)通過網(wǎng)頁收發(fā)的郵件內(nèi)容及附件進(jìn)行審計(jì)，還可以對(duì)通過網(wǎng)頁發(fā)送的其他數(shù)據(jù)內(nèi)容進(jìn)行審計(jì)；對(duì)于聊天：網(wǎng)絡(luò)哨兵能審計(jì)通過ICQ、MSN、網(wǎng)易泡泡、YAHOOMESSENGER等聊天工具發(fā)送的即時(shí)信息內(nèi)容，同時(shí)還能審計(jì)其他如FTP（等工具）上傳文件的文件內(nèi)容。通過內(nèi)容關(guān)鍵字的設(shè)置，對(duì)匹配內(nèi)容進(jìn)行報(bào)警，并進(jìn)行相應(yīng)的阻斷、記錄。內(nèi)置強(qiáng)大過濾庫集成國內(nèi)最全的網(wǎng)頁分類過濾庫，針對(duì)每一類網(wǎng)站的訪問行為進(jìn)行控制，過濾不良網(wǎng)頁；網(wǎng)絡(luò)哨兵擁有專業(yè)的分類URL過濾庫，包含400萬個(gè)站點(diǎn)以上記錄，含有超過一億以上的網(wǎng)頁，其中不良信息庫（即黃、賭、毒、邪類）有一百四十萬條以上。同時(shí)具備實(shí)時(shí)自動(dòng)更新功能。（需要網(wǎng)絡(luò)的支持）管理策略可精細(xì)定制時(shí)間段控制策略控制每一種上網(wǎng)行為的時(shí)間段，在允許的時(shí)間段內(nèi)對(duì)應(yīng)的上網(wǎng)行為可以正常進(jìn)行，在禁止的時(shí)間段系統(tǒng)對(duì)對(duì)應(yīng)的上網(wǎng)行為采用封堵策略；IP控制策略對(duì)網(wǎng)絡(luò)連接的源/目的IP進(jìn)行控制，限制到指定IP/IP地址段的連接，設(shè)立外網(wǎng)黑/白名單，對(duì)來自黑/白名單地址的連接分別應(yīng)用不同管理控制策略；針對(duì)每一種上網(wǎng)行為的目的IP設(shè)立對(duì)應(yīng)過濾策略庫進(jìn)行控制；端口控制策略通過封堵指定端口限制對(duì)應(yīng)的上網(wǎng)行為；只開放指定端口庫里的端口；禁止使用指定端口庫里的端口；網(wǎng)頁瀏覽過濾策略網(wǎng)頁分類過濾庫過濾；過濾網(wǎng)頁標(biāo)題含有指定關(guān)鍵字的網(wǎng)站；過濾指定的搜索引擎關(guān)鍵字；禁止直接用IP地址訪問網(wǎng)頁；網(wǎng)頁P(yáng)OST內(nèi)容關(guān)鍵字報(bào)警；網(wǎng)頁P(yáng)OST內(nèi)容關(guān)鍵字封堵；限制網(wǎng)頁P(yáng)OST數(shù)據(jù)的大??；文件傳輸控制策略指定允許發(fā)送/接收到文件服務(wù)器；禁止發(fā)送/接收到敏感文件服務(wù)器；限制可傳輸?shù)奈募拇笮?；禁止通過點(diǎn)對(duì)點(diǎn)傳輸工具傳輸文件；禁止下載或上傳指定類型的文件；傳輸文件名報(bào)警；傳輸文件名封堵；郵件控制策略只允許使用指定的郵件服務(wù)器收發(fā)郵件；定義敏感郵箱地址，禁止發(fā)送/接收來自敏感郵箱地址的郵件；限制可發(fā)送/接收的郵件的大小范圍；禁止發(fā)送/接收郵件附件；禁止以WEBMAIL的形式接收/發(fā)送郵件；敏感郵箱賬號(hào)報(bào)警；郵件內(nèi)容關(guān)鍵字報(bào)警；郵件內(nèi)容關(guān)鍵字封堵；游戲、聊天控制策略對(duì)MSN,ICQ,網(wǎng)易泡泡,QQ等聊天行為進(jìn)行封堵；封堵各種常見的網(wǎng)絡(luò)游戲；聊天賬號(hào)，游戲賬號(hào)報(bào)警；聊天賬號(hào)，游戲賬號(hào)封堵；聊天內(nèi)容報(bào)警以及封堵。審計(jì)對(duì)象管理靈活自動(dòng)解析所有審計(jì)對(duì)象的機(jī)器名、獲得對(duì)象的IP地址、MAC地址；手動(dòng)綁定審計(jì)對(duì)象的IP與MAC地址；根據(jù)用戶組織結(jié)構(gòu)或IP地址分配特點(diǎn)劃分不同的審計(jì)對(duì)象組；系統(tǒng)啟動(dòng)后，對(duì)應(yīng)組里的審計(jì)對(duì)象將被自動(dòng)分配到該組中；通過使用“使用者”，系統(tǒng)管理員等可以以直觀的人名來管理機(jī)器等信息；系統(tǒng)管理員可以對(duì)審計(jì)對(duì)象部分信息進(jìn)行手動(dòng)修改；系統(tǒng)可以在組中對(duì)審計(jì)對(duì)象進(jìn)行添加、刪除或更改機(jī)器組的操作；可以把審計(jì)對(duì)象分別添加到黑名單與白名單中，并應(yīng)用不同的審計(jì)管理策略；系統(tǒng)可以在全局、本地、審計(jì)組以及單個(gè)審計(jì)對(duì)象四個(gè)級(jí)別部署對(duì)應(yīng)審計(jì)控制策略；部署方式多樣網(wǎng)絡(luò)哨兵支持單機(jī)部署（單探測(cè)引擎+數(shù)據(jù)管理中心）；網(wǎng)絡(luò)哨兵同時(shí)支持分布式部署（多臺(tái)網(wǎng)絡(luò)哨兵+分布式中心），適合大型網(wǎng)絡(luò)，可通過統(tǒng)一的管理中心制定統(tǒng)一的策略和進(jìn)行管理；網(wǎng)絡(luò)哨兵還支持三級(jí)分布式的部屬方式（多臺(tái)網(wǎng)絡(luò)哨兵+多個(gè)分布式中心+審計(jì)中心），特別適合行業(yè)用戶和超大型網(wǎng)絡(luò)。自身安全性高網(wǎng)絡(luò)哨兵采用多種措施保障產(chǎn)品自身的安全性；基于Linux內(nèi)核定制的安全操作系統(tǒng)；網(wǎng)絡(luò)哨兵探測(cè)引擎抓包口采用無IP技術(shù)，管理口可通過專用網(wǎng)絡(luò)連接到管理機(jī)；數(shù)據(jù)通過加密傳輸；多種權(quán)限設(shè)置，保證不同的權(quán)限完成不同的操作，同時(shí)對(duì)各種操作進(jìn)行詳細(xì)的審計(jì)。能對(duì)上網(wǎng)用戶進(jìn)行認(rèn)證管理能夠?qū)χ付↖P地址或地址段的用戶上網(wǎng)，采用身份認(rèn)證，身份認(rèn)證通過后用戶方可上網(wǎng)，在統(tǒng)計(jì)結(jié)果顯示時(shí)用戶名優(yōu)先于源IP地址。支持用戶采用WindowsActiveDirectory認(rèn)證服務(wù)器認(rèn)證，用戶在登錄界面中可以自行修改密碼，同時(shí)，有的網(wǎng)段不需要采用身份認(rèn)證，產(chǎn)品要支持上述的混合管理模式。需要認(rèn)證的用戶，在沒有認(rèn)證情況下輸入任何外網(wǎng)網(wǎng)址，都應(yīng)顯示登錄窗口，登錄窗口設(shè)計(jì)時(shí)要考慮一些彈出窗口限制工具的影響。用戶登錄后應(yīng)能自動(dòng)跳轉(zhuǎn)到用戶輸入的網(wǎng)站。登錄窗口應(yīng)能統(tǒng)計(jì)和顯示累計(jì)上網(wǎng)時(shí)間，用戶可以自行中斷上網(wǎng)或在規(guī)定的一段時(shí)間內(nèi)（如20分鐘）沒有上網(wǎng)，則自動(dòng)斷開。該規(guī)定時(shí)間段，用戶可自己定義。設(shè)備能夠讀出WindowsActiveDirectory認(rèn)證服務(wù)器的用戶數(shù)據(jù)，方便管理者查詢，能夠作為認(rèn)證服務(wù)器的應(yīng)急備份的本地帳號(hào)使用。輔助功能齊全系統(tǒng)升級(jí)：可手動(dòng)或者自動(dòng)對(duì)系統(tǒng)進(jìn)行升級(jí)，升級(jí)內(nèi)容包括：lisence升級(jí)、系統(tǒng)模塊、過濾庫升級(jí)等。數(shù)據(jù)自動(dòng)清除：根據(jù)用戶設(shè)定的數(shù)據(jù)保留時(shí)間和硬盤的利用率進(jìn)行數(shù)據(jù)的自動(dòng)清除。如果用戶設(shè)定三個(gè)月的數(shù)據(jù)保留時(shí)間，系統(tǒng)將清除三個(gè)月以前的數(shù)據(jù)，如果硬盤不能保存三個(gè)月的數(shù)據(jù)，則根據(jù)硬盤使用情況進(jìn)行提前清除，保證系統(tǒng)正常運(yùn)轉(zhuǎn)。數(shù)據(jù)導(dǎo)出：如果用戶需要備份較早的數(shù)據(jù)，則用戶可以在界面上導(dǎo)出較早的數(shù)據(jù)，此數(shù)據(jù)的安全性由用戶自行維護(hù)。系統(tǒng)返回原始狀態(tài)：用戶可以把系統(tǒng)設(shè)置恢復(fù)到出廠的狀態(tài)。違規(guī)通知能夠?qū)τ谶`反控制策略的用戶的行為進(jìn)行報(bào)警，報(bào)警方式一郵件或短信方式。方便用戶使用的個(gè)性化設(shè)置用戶可以在網(wǎng)絡(luò)哨兵上自定義特色報(bào)表并定時(shí)發(fā)送到指定郵箱、封堵提示信息、界面皮膚、快捷方式等。滿足用戶個(gè)性化使用的需要。分權(quán)管理目前，互聯(lián)網(wǎng)出口采用集中管理，上網(wǎng)行為管理設(shè)備部署在總部，要求各部（不同網(wǎng)段）可以通過自己的管理帳號(hào)，對(duì)本分部員工的網(wǎng)絡(luò)行為進(jìn)行管理，包括對(duì)本分部用戶的增減及維護(hù)和已授權(quán)的封堵策略的改變等，但不能看到總部或其它分部的信息，更不能管理總部或其它分部的上網(wǎng)行為。強(qiáng)大的報(bào)表系統(tǒng)全國唯一開發(fā)出獨(dú)有的報(bào)表引擎系統(tǒng)，與安全審計(jì)產(chǎn)品無縫整合。一臺(tái)設(shè)備兩個(gè)系統(tǒng)滿足對(duì)整體數(shù)據(jù)的多樣化需求，集固定報(bào)表、文字報(bào)表、多維報(bào)表于一身，實(shí)現(xiàn)報(bào)表的高效率設(shè)計(jì)、運(yùn)行和維護(hù)，解決國內(nèi)所有企業(yè)級(jí)報(bào)表應(yīng)用的關(guān)鍵需求，它是集數(shù)據(jù)報(bào)表及智能分析并整合與審計(jì)產(chǎn)品集中管理的一個(gè)強(qiáng)大技術(shù)平臺(tái)。將大量技術(shù)難度大的功能封裝在該產(chǎn)品中，如報(bào)表發(fā)布，多級(jí)子報(bào)表，用戶管理，Email/電話報(bào)警，報(bào)表格式轉(zhuǎn)換等。可自行定制的報(bào)表業(yè)務(wù)系統(tǒng)；報(bào)表系統(tǒng)五大主要模塊企業(yè)版報(bào)表提供了5大功能：綜合統(tǒng)計(jì)上網(wǎng)數(shù)據(jù) 主要提供按部門統(tǒng)計(jì)各部門的綜合數(shù)據(jù)，如：網(wǎng)頁訪問總次數(shù)，總流量，平均流量，可疑行為，游戲時(shí)間，聊天時(shí)間，炒股時(shí)間等，并提供統(tǒng)計(jì)數(shù)據(jù)的明細(xì)列表和數(shù)據(jù)的詳情查看。分類排名上網(wǎng)數(shù)據(jù) 對(duì)上網(wǎng)數(shù)據(jù)按照不同的網(wǎng)絡(luò)行為分類，對(duì)分類中的數(shù)據(jù)按照數(shù)據(jù)訪問量排名，逐次顯示被統(tǒng)計(jì)部門的上網(wǎng)人員數(shù)據(jù)訪問情況，如：網(wǎng)