本文详述了网络安全审计系统,特别是堡垒机的功能,包括流量监控、多种应用协议审计、实时监控和关键词审计等。系统由审计引擎、数据中心和管理中心组成,涉及的关键技术包括引擎的零拷贝技术、数据中心的海量数据处理和管理中心的权限控制。堡垒机在运维安全管理中扮演重要角色,用于控制访问、操作审计和责任追溯,降低运维风险。
需求背景:
按等级进行计算机信息系统安全保护的相关单位或部门,往往需要对流经部门与外界接点的数据实施内容审计与行为监控的,以防止非法信息恶意传播及国家机密、商业知识和知识产权等信息泄露。并且单位的网管部门需要掌握网络资源的使用情况,提高单位或部门的工作效率。所涉及的单位类型有政府、军队机关的网络管理部门,公安、保密、司法等国家授权的网络安全监察部门,金融、电信、电力、保险、海关、商检、学校、军工等各行业网络管理中心,大中型企业网络管理中心等
典型的系统组成:
安全审计系统由三部分组成:审计引擎、数据中心、管理中心。
上图是典型的单点部署
审计引擎(硬件):审计引擎对流经HUB/Switch的信息进行采集、过滤、重组、预分析,并把分析后的数据流发送给数据中心
数据中心(软件):对审计引擎传送过来的数据流进行存储;按照用户的指令对数据进行还原、解码、解压缩,并可进行关键字查询审计、统计分析
管理中心(软件):提供WEB形式的管理界面,可以方便的对系统进行管理、对网络行为监控、内容审计。用户使用WEB浏览器可以实现对整个系统的管理、使用
上图是适合多级管理的分布式部署
1、流量监控与统计功能:
1)对重要IP进行流量监测,并绘制出直观的流量曲线图,有效发现网上出现的异常流量。 2)支持对历史流量统计分析。
2、持多种应用协议议的还原、审计:
1)Web浏览(HTTP)——能完全截获、记录、回放、归档被监测网络中所有用户浏览的WEB内容。 电子邮件(POP3、SMTP、WEB MAIL)——能完全截获、记录、回放、归档被监测网络中所有用户收发的电子邮件。
2)文件下载(FTP)——能记录、查询访问FTP服务器的用户名、口令。回放用户在服务器上的操作过程、还原用户传输的数据。
3)即时聊天(例如MSN、QQ等)——能完全记录用户登录时间、离开时间;用户登录IP地址、目的IP地址;聊天时使用的用户名;能监视用户聊天频率、还原用户聊天内容。 流媒体(MMS、RTSP)——能记录用户访问的流媒体地址,访问开始时间、结束时间,访问流媒体名称及简介。
4)远程登录(TELNET)——能记录和查询访问服务器上TELNET的用户名和口令字;能记录和回放用户在服务器上的操作过程。
3、支持多种审计方式:
1)实时监控——对网络中各种应用进行实时监控分析。
2)行为监控——可以完全记录、回放用户网络行为。
3)内容查看审计——支持网络数据内容的完全还原,后期可以进行内容审计、取证。
4)关键词审计——根据设定的关键词,自动快速的进行全文检索,匹配成功的内容将以醒目字体颜色显 示。
5)流量监控——通过流量监控,有效发现网上出现的异常流量。
6)报表统计——通过统计分析,发现网络中潜在的危险。
4、报表与统计:
1)、支持多种条件的统计分析。
2)、完善的报表功能:提供多种专业化报表和分析图表
5、支持多种报警响应方式 邮件报警:
1)阻断
2
最低0.47元/天 解锁文章
1496
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
