【51CTO.com 綜合消息】隨著我國(guó)電子政務(wù)系統(tǒng)的實(shí)施建設(shè)以及企業(yè)信息化的飛速發(fā)展，網(wǎng)絡(luò)信息日益重要，內(nèi)部人員對(duì)機(jī)密文件、敏感信息的竊取和泄漏，在互聯(lián)網(wǎng)上發(fā)布和訪問(wèn)非法內(nèi)容，以及在工作時(shí)間利用公司網(wǎng)絡(luò)資源進(jìn)行與工作無(wú)關(guān)的活動(dòng)屢見(jiàn)不鮮，如何保證網(wǎng)絡(luò)行為、信息內(nèi)容的合規(guī)性、合法性、健康性已成為網(wǎng)絡(luò)安全研究領(lǐng)域中的熱點(diǎn)問(wèn)題，在此背景下網(wǎng)絡(luò)內(nèi)容審計(jì)得到了快速的發(fā)展。

網(wǎng)絡(luò)內(nèi)容審計(jì)技術(shù)是針對(duì)網(wǎng)絡(luò)流量中非法信息傳播的問(wèn)題，綜合運(yùn)用網(wǎng)絡(luò)數(shù)據(jù)包獲取、協(xié)議分析、信息處理、不良流量阻斷等技術(shù)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息內(nèi)容傳播的有效監(jiān)管。它能夠幫助用戶(hù)對(duì)網(wǎng)絡(luò)進(jìn)行動(dòng)態(tài)實(shí)時(shí)監(jiān)控，記錄網(wǎng)絡(luò)上發(fā)生的一切，尋找非法和違規(guī)行為，為用戶(hù)提供事后取證手段。

由于網(wǎng)絡(luò)內(nèi)容審計(jì)產(chǎn)品是基于數(shù)據(jù)流的分析，分析對(duì)象是從網(wǎng)絡(luò)上捕獲的數(shù)據(jù)流，在這些數(shù)據(jù)流中，反映信息來(lái)源的只有IP地址和MAC地址，并且在三層交換環(huán)境下獲取到的MAC地址通常是交換機(jī)或路由器的MAC地址，而不是真正的源主機(jī)信息，所以一般的審計(jì)產(chǎn)品只能根據(jù)IP地址對(duì)信息來(lái)源進(jìn)行定位，而IP地址的易修改性以及DHCP的大量應(yīng)用都使基于IP地址的信息定位存在很大的局限性。 同時(shí)事件審計(jì)的嚴(yán)肅性要求對(duì)網(wǎng)絡(luò)事件的分析應(yīng)能夠準(zhǔn)確定位到具體用戶(hù)，如何將事件和信息對(duì)應(yīng)到具體的終端用戶(hù)，實(shí)現(xiàn)實(shí)名制審計(jì)是網(wǎng)絡(luò)內(nèi)容審計(jì)產(chǎn)品真正發(fā)揮作用的關(guān)鍵挑戰(zhàn)。

聯(lián)想網(wǎng)御網(wǎng)絡(luò)審計(jì)產(chǎn)品基于對(duì)用戶(hù)需求的深刻理解，通過(guò)采用三層MAC地址獲取、主動(dòng)身份認(rèn)證、靈活的認(rèn)證信息獲取等多種先進(jìn)技術(shù)，針對(duì)各種不同的網(wǎng)絡(luò)應(yīng)用環(huán)境提出了完整的實(shí)名制網(wǎng)絡(luò)審計(jì)方案。

1、根據(jù)IP地址識(shí)別

在終端計(jì)算機(jī)采用固定IP地址的環(huán)境中相對(duì)比較容易實(shí)現(xiàn)實(shí)名制審計(jì)，局域網(wǎng)內(nèi)每臺(tái)終端計(jì)算機(jī)都有相應(yīng)固定的IP地址，為了限制終端用戶(hù)更改IP地址，可以控制邊沿交換機(jī)端口和固定IP地址之間建立一對(duì)一綁定關(guān)系，并結(jié)合相應(yīng)的管理措施以達(dá)到限制目的。  

固定IP地址網(wǎng)絡(luò)環(huán)境實(shí)名定位模型

2、 根據(jù)二層信息識(shí)別

在不能保證IP地址的不可修改性環(huán)境下，通過(guò)VLAN_ID和MAC地址實(shí)現(xiàn)實(shí)名定位可以很好的解決網(wǎng)絡(luò)實(shí)名審計(jì)的問(wèn)題。

在二層交換環(huán)境下，用戶(hù)使用自己的電腦上網(wǎng)，不同用戶(hù)，MAC地址不同。可以將用戶(hù)身份信息和MAC地址之間建立一個(gè)固定的關(guān)聯(lián)。在三層交換環(huán)境下由于MAC地址不能跨越路由器或三層交換機(jī)傳播，給通過(guò)MAC地址進(jìn)行實(shí)名定位帶來(lái)了困難。針對(duì)此問(wèn)題聯(lián)想網(wǎng)御開(kāi)發(fā)了三層交換環(huán)境下的MAC地址識(shí)別技術(shù)，可以動(dòng)態(tài)查詢(xún)?nèi)龑咏粨Q機(jī)中的IP/MAC對(duì)應(yīng)關(guān)系，解決了此環(huán)境下的MAC識(shí)別問(wèn)題。  

MAC地址實(shí)名定位模型

對(duì)于一些使用了具有VLAN功能交換機(jī)的場(chǎng)所，聯(lián)想網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)支持使用VLAN標(biāo)簽的方案，即在交換機(jī)上將每個(gè)電腦對(duì)應(yīng)的端口都設(shè)置為一個(gè)VLAN，并在此VLAN的網(wǎng)絡(luò)數(shù)據(jù)包上設(shè)置一個(gè)***的標(biāo)簽號(hào)，出口審計(jì)設(shè)備捕獲到數(shù)據(jù)包所帶標(biāo)簽號(hào)之后，即可識(shí)別屬于哪個(gè)位置的電腦。此種方式的實(shí)施復(fù)雜度較高，專(zhuān)業(yè)性較強(qiáng)，對(duì)網(wǎng)絡(luò)設(shè)備要求很高，需要大規(guī)模網(wǎng)絡(luò)改造。

3、 基于主動(dòng)身份認(rèn)證技術(shù)

聯(lián)想網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)提供了主動(dòng)身份認(rèn)證技術(shù)，可以強(qiáng)制用戶(hù)上網(wǎng)時(shí)通過(guò)賬號(hào)/密碼進(jìn)行上網(wǎng)認(rèn)證，以此來(lái)實(shí)現(xiàn)終端計(jì)算機(jī)IP地址與用戶(hù)身份信息的關(guān)聯(lián)。賬號(hào)認(rèn)證方式又可分為本地認(rèn)證和遠(yuǎn)程認(rèn)證。

a) 本地認(rèn)證：使用審計(jì)系統(tǒng)本身數(shù)據(jù)庫(kù)的賬號(hào)密碼信息進(jìn)行認(rèn)證；

b) 遠(yuǎn)程認(rèn)證：使用客戶(hù)網(wǎng)絡(luò)環(huán)境中已有的認(rèn)證應(yīng)用系統(tǒng)，通過(guò)一些標(biāo)準(zhǔn)協(xié)議進(jìn)行認(rèn)證，用戶(hù)提交的認(rèn)證賬號(hào)和密碼先提交到審計(jì)系統(tǒng)，審計(jì)系統(tǒng)再將這些數(shù)據(jù)中轉(zhuǎn)到指定的認(rèn)證系統(tǒng)，由認(rèn)證系統(tǒng)進(jìn)行身份鑒別之后，審計(jì)系統(tǒng)由此決定是否允許用戶(hù)上網(wǎng)，并建立IP地址與賬號(hào)的對(duì)應(yīng)關(guān)系實(shí)現(xiàn)審計(jì)實(shí)名。目前支持的遠(yuǎn)程認(rèn)證協(xié)議包括：Radius、AD域、LDAP等多種協(xié)議。

考慮到帳號(hào)/密碼模式的不方便和保密強(qiáng)度不夠，聯(lián)想網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)還提供了基于UsbKey的強(qiáng)身份認(rèn)證方式，管理員為用戶(hù)派發(fā)一個(gè)UsbKey，用戶(hù)在訪問(wèn)互聯(lián)網(wǎng)時(shí)在上網(wǎng)認(rèn)證頁(yè)面插入此KEY之后即自動(dòng)完成上網(wǎng)認(rèn)證過(guò)程。

4、 基于第三方認(rèn)證數(shù)據(jù)進(jìn)行自動(dòng)透明識(shí)別

在用戶(hù)環(huán)境已有其它登錄或認(rèn)證系統(tǒng)的情況下，聯(lián)想網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)可通過(guò)網(wǎng)絡(luò)審計(jì)系統(tǒng)監(jiān)控原有認(rèn)證數(shù)據(jù)流的方式，后臺(tái)捕獲原有認(rèn)證過(guò)程數(shù)據(jù)包，分析出認(rèn)證賬號(hào)與IP地址的關(guān)聯(lián)關(guān)系實(shí)現(xiàn)實(shí)名制審計(jì)。目前支持的自動(dòng)透明識(shí)別協(xié)議有：AD域、Radius、PPPoE等多種認(rèn)證協(xié)議。以下是此方式的模型圖：  

5、 與原有計(jì)費(fèi)系統(tǒng)接口

針對(duì)目前有些單位使用了計(jì)費(fèi)系統(tǒng)，已經(jīng)使用了賬號(hào)上網(wǎng)認(rèn)證進(jìn)行記時(shí)計(jì)費(fèi)的環(huán)境，為了保持用戶(hù)原有的使用習(xí)慣，避免出現(xiàn)二次認(rèn)證，聯(lián)想網(wǎng)御網(wǎng)絡(luò)內(nèi)容審計(jì)系統(tǒng)支持第三方接口，可以與計(jì)費(fèi)廠商合作，通過(guò)獲取賬號(hào)登錄和注銷(xiāo)的活動(dòng)過(guò)程的數(shù)據(jù)建立IP地址與賬號(hào)的關(guān)聯(lián)。

上述實(shí)名制內(nèi)容審計(jì)技術(shù)為聯(lián)想網(wǎng)御網(wǎng)絡(luò)審計(jì)系統(tǒng)提供了追根溯源的能力，結(jié)合眾多的協(xié)議分析、還原技術(shù)，高速數(shù)據(jù)流捕獲和分析技術(shù)，使其成為業(yè)內(nèi)***個(gè)真正具備各種網(wǎng)絡(luò)環(huán)境下實(shí)名制審計(jì)、高效可靠的網(wǎng)絡(luò)信息內(nèi)容審計(jì)系統(tǒng)。