【51CTO.com 综合消息】“上网行为审计(管理)”这一网络安全领域里的新贵,经历了多年的市场锤炼,目前已经发展成为一个相对成熟的产业。上网行为审计(管理)是针对网络中最不稳定的因素——人以及人与网络发生的一系列内容交互行为——来进行安全防范和应对的。然而人是个性的,并且会不断变化,其与网络的交互方式和交互内容也会不断变幻,这也决定了上网行为审计(管理)产品自身的价值定位要与时俱进、因需而变。
目前,人们的网络行为正潜移默化地发生着日新月异的变化;相应的,上网行为审计(管理)所要应对的行为内容和应用环境也必须不断调整。从用户应用的角度看,上网行为审计(管理)产品未来的发展方向是什么?上网行为审计(管理)产品应该何去何从呢?
从目前技术发展方向上看上网行为审计(管理)产品将朝着以下几个方向发展:
第一、产品功能的完善
就功能而言,目前上网行为审计(管理)产品已经从先前单一的“网页过滤”功能发展到目前“应用控制”、“报警监控”、“权限管理”、“日志管理”、“行为审计”、“内容审计”等诸多功能,从多个维度全面满足用户对互联网的控制管理需求。为了实现这些功能,上网行为审计(管理)产品背后有几个大的数据库作为支撑,这就是“网页过滤数据库”、“应用协议数据库”和“用户上网行为日志库”、“索引数据库”等。由于互联网内容的瞬息万变,上网行为管理产品特别要注重网页过滤数据库以及应用协议数据库的内容丰富和持续更新。
网页过滤数据库以及应用协议数据库的丰富和更新主要体现在三个方面:首先,是对国内中文网页、主流网络应用的全面覆盖。其次,是对国内中文网址的变更以及对各类主流应用不同版本的快速跟进。最后,是对各种网页的精确分类,对各种应用协议的精确识别,特别是对加密协议的有效识别。“上网行为审计(管理)厂商需要长期坚持不懈地完善网页过滤数据库和应用协议数据库,持续不断优化产品,给客户带来更大的价值。”
第二、产品性能的提升
上网行为审计(管理)设备承载着用户所有的在网上访问信息,它的性能将直接影响到用户网络的性能。而且,随着用户规模的扩大,用户群体对上网行为管理设备的性能提出了更高的要求,这意味着上网行为管理产品的性能必然要“精益求精”、“与时俱进”。
上网行为审计(管理)设备性能方面的提升主要体现在“大流量”、“高并发”这两方面,具体包括“吞吐量”、“并发连接数”、“新建连接数”等指标。吞吐量越大就需要上网行为审计(管理)设备的捕获数据的能力越强,用户所感受的网速越快;并发连接数越大,单位时间内保持的连接数越高,设备可管理的用户数量越多;新建连接数越大,单位时间内新增连接数越多,设备对网络突发流量的处理能力越强。因此说,“大流量和高并发是检验上网行为审计(管理)硬件性能的试金石。”
上网行为审计或管理产品的技术核心是其“捕包能力”及“数据分析能力”尤其在大流量情况下,这两项指标更显重要,现在业内以深圳市任子行网络技术有限公司为技术代表的采用专用网卡,专用驱动,把X86架构(性价比最好)硬件技术通过优化使其性能发挥到极致,可做到单台设备支持1.2G的流量,这就是业内著名的”零拷贝”技术。
“数据分析能力”的好坏会导致用户的日志存储完整性、保存的时间长短、查询速度的快慢、查询的精确性、模糊性等问题,这方面技术发展方向应是采用数据库配合“全文检索”方式,日志存储应采用“数据优化存储”,这样既能保证所有上网行为被记录,又不会导致存储空间过大,同时日志存储方式还可灵活的支持“本地存储”及“存储网络”,采用多核并行处理技术可以在几百G到几T日志量,使用“组合式关键字精确查询”下的情况下查询时间不超过10秒,这些新技术的用使查询速度得到极大提高,在业内代表了最高水平。
第三、提高网络的适应性
上网行为管理产品网络适应性的提升可以从三个层面来理解:首先,是对网络现状的灵活适应,对拓扑结构的适应。一般说来,用户在IT技术设施(路由器、交换机、防火墙等)规划得相对完善之后,才会选购上网行为管理设备。在这种情况下,新系统的部署不能伤害整网的架构,也不能影响到其他设备的性能。所以,灵活接入是我们构建互联网体系很重要的一部分。
无论是否使用了代理服务器,上网行为管理产品都可以实现 “无痛接入”。设备可以“悄悄”进入到网络系统中,不影响网络固有的架构和“筋骨”,不能成为网络中新的故障节点且能够全面满足用户对上网行为管理产品的网络适应性,特别是拓扑的灵活性等需求,所以我们认为上网行为审计(管理)产品的接入方式上未来会是以旁路接入部署方式。
其次,对用户的识别要兼容现有的管理方式。上网行为管理设备是管理互联网行为主体的,也就是管理“人”的,因此首先要识别用户。在企业网内或是局域网内,用户个体以IP方式体现,具体的IP对应着具体的员工。但是,系统管理员如何将种对应方式录入到上网行为管理设备中呢?
对于大多数企业而言,在部署上网行为管理设备之前,企业已经建立起了各种各样的身份识别系统(比如计费系统、安全管理系统等),新进入的上网行为管理系统在识别方面只需与原有系统做好兼容即可,这样既能提高效率,也便于实现人性化的操作与管理。例如,某企业使用Windows AD域登陆入网,部署上网行为管理设备时,便可援引AD域中的员工账号,获得用户资质的对应项。
目前,网行为管理产品可以满足各种复杂网络环境,支持按照IP、MAC识别用户的方法,也支持基于网关本地用户名/密码方式的Web认证方式。此外,还支持通过第三方认证服务器(如Radius服务器,Windows AD域服务器,LDAP服务器等)对用户进行认证,同时还要支持各种代理如ISA等。
从政府、电信等部门网络深层应用来看,MPLS网络已开始替换传统的IP网络,上网行为审计(管理)产品能否很好的实现无缝接入也是业内非常重视的一个发展方向,我们认为好的技术应是产品有很好的自适应性(自动识别),就如同接入IP网络一样,这点从目前看业内能做到这一点的还是凤毛麟角。
第四、深入挖掘日志 进行深度分析
上网行为管理产品不仅仅是保障员工高效上网,保障企业网络安全的,更重要的是,它要得到管理层的认可,并且用实际的数据来体现它的价值,比如对公司的成本控制,对公司的效益的分析需要具体的数字支撑,对员工工作效率的提升可以量化成某种指标。在此基础上,上网行为管理产品最终可以体现为“报表”。IT管理员每周、每个月、每季度可以通过这样一个报表来展现信息,说明员工每天上网时长,上哪类网站,使用哪种下载工具,下载哪类资料,同时说明企业所租用的带宽有多少是有效的,多少是被浪费的,让管理层一目了然地了解信息网络的使用状况。
“上网行为管理日志库中记录着海量的数据,其中有很多有规律的资讯、有很多有价值的信息,如果挖掘出来为企业发展服务的话,一定能产生更多的效益。”比如说,一个大企业一天可能产生几个G到十几个G的数据,一个月就有上百G甚至上T的数据,如果能将其中企业网络的运营效率,人员的工作状态进行全面分析的话,将是一种很有意义的尝试。这正体现了“商业智能”的概念,将企业中现有的数据转化为知识,帮助企业做出明智的业务经营决策。因此说,深入挖掘信息,从信息中提炼价值,绝对是上网行为管理产品未来发展的方向之一。
对于日志数据的深度分析,我们首先要考虑一个问题到底什么样数据、什么样的保镖对用户是有用的,同时用户是否可以根据自己的需求自定义报表这些都是大有潜力可挖的。
第五、管理权限的控制和实名制
首先谈一下“管理权限”问题,所谓管理权限就是针对可接触的本产品的使用者权限的管理,大家都知道通过使用“上网行为审计(管理)”可以监控到所监控目标的所有上网的行为及行为所对应的具体内容,比如各种网络的信息传递如及时聊天、邮件、发帖等,那么是否这些内容(涉密内容)是每个管理使用者都可以看到还是只有部分人可以看到,这就牵扯到二次泄密可能,所以对使用(管理)者的权限设置要考虑到周全,要有灵活、严谨、全面符合保密制度要求的权限设置功能、必要时还要支持硬件技术(如UKey身份认证、指纹识别等技术),这一点在上网行为审计(管理)产品应用中是十分必要的。
再谈“实名制”,在上网行为审计(管理)上网行为所对的实名信息是十分重要和必要的,如果不能把日志信息对应到相应行为对应着,那么我们审计到的信息对于分析,决策、管理就将在作用上大打折扣,因为你不知道是谁做了什么,
现在一般产品可以列出源、目的IP,并不能显示出对应用户名,还需要人工进行二次识别(在动态IP情况下,用源、目的IP是无法判断)对用户极其不方便,要满足用户实名制化审计需求,产品本身要预留支持用户已有身份认证系统接口,如各种门禁(刷卡、指纹、图像识别等)、计费等,接口要采用业界标准协议等,预留接口要二次开发简单、全自动识别不用人工干预,同时审计系统要自身具有实名认证功能。
第六、上网行为审计(管理)系统自身抗攻击性
随着此类产品的重要性越来越多被人们所认知被部署的数量也越来越多,由于此类产品记录了使用者网络中的所有上网信息,一旦此类产品被攻击就可能带来非常严重的后果,所以要求系统的日志要有加密机制、系统的抗攻击性要高同时日志作为重要数据要有高的灾难备份、恢复机制,这点是用户在选择此类产品时要慎重考虑的。