上网行为审计类系统作为安全内容管理类的一个主要分支,对审计数据进行追踪溯源是该类系统的一个主要功能之一,尽管很多审计类系统都宣称能够对各种事件进行准确的全程跟踪定位,但最终定位到什么程度值得商榷。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

上网行为审计系统记录的信息都算是历史数据,其部署方式大多采用旁路监听,由于其特殊的部署位置,其记录的原始数据包中的MAC地址多数都因路由转发而替换成了网络设备的MAC地址,即IPMAC地址是无法真实对应的,因此多数上网行为审计类系统的原始数据只能以IP地址进行标识,由于IP地址是可以随意修改的,如果审计系统以IP地址作为事件追踪的主要依据,准确性是无法保证的。

     在用户意识到这个问题之后,上网行为厂商纷纷推出了IP+MAC以及IP+MAC+VLAN ID进行绑定标识的解决方案。 但即使如此,IP+MAC也很难作为事件追踪的依据,原因在于MAC地址也容易修改,基于都可修改的IP+MAC来作为事件追踪的依据,准确性也是没有保障的,由此引发“冤假错案”的可能性是很大的,除非还有其他的认证手段进行辅助,如结合用户自身的认证系统或建立一套可信的认证系统。  

     事实上,多数用户在部署上网行为审计类系统时,没有采用认证系统进行辅助,很多审计系统的追踪定位的结果只能是IP地址,或者是IP+MAC地址。所以即使审计系统记录了某个IP在某个时段作了某些违规的事情,如果只是记录了IP,那么嫌疑人完全可以说是别人冒用的,如果同时记录了IPMAC,那么嫌疑人也完全可以说是别人冒用或者克隆的,要让审计系统发挥追踪溯源的作用,不解决这些问题,审计是不完整的,对用户分析、决策和管理上的支撑作用将打折扣,作为取证的依据就更无从谈起了。