1.1 产生背景
随着教育、政府、企事业单位等各类组织的信息化程度不断提高,对信息系统的依赖随之增加。因此,网络信息系统的安全问题就变得越来越重要。根据权威机构的调查显示,超过70%的严重攻击来自于组织中的内部人员,具体表现在以下几个方面:
l、内部员工访问非法网站,通过文件共享、邮件等发送重要机密文件,导致信息外泄,造成恶劣影响。
l、终端用户为牟利,对各类应用系统越权访问、违规操作数据库等造成的信息安全风险。
l、各种P2P下载、在线视频观看等非关键业务流量过大,导致网络出口拥挤不堪,各种关键业务无法正常开展。
l、内网用户IP地址随时变化,对信息事件源难以定位。
因此,如何规范和监控内部人员的上网行为已成为各组织机构迫切需要解决的问题。相关法规,如美国的《2002年萨班斯-奥克斯利法案》和中国的《计算机信息系统安全保护等级划分准则》、公安部等级保护等,也对网络的日志审计和行为审计提出了明确的要求,要能确保关键信息系统在可审计、可控制的状态下运行。
1.2 H3C用户的功能
如图1所示,H3C用户上系统能够在企业用户进行Web访问、FTP访问、IM应用和数据库访问时,对用户的访问行为进行有效监控。
图1 H3C用户上网行为监控系统
l、Web应用监控功能可以对自定义关键字、自定义文件类型和网页脚本进行过滤。
l、FTP应用监控功能可以对FTP用户的登录、退出、上传/下载文件和目录遍历操作进行监控。
l、IM应用监控功能可以对用户使用QQ和MSN工具的情况进行监控。
l、数据库应用监控功能可以对Oracle等数据库用户的登录、下线及各种操作情况进行监控。
1.3 H3C用户上网行为监控的特点
H3C用户上网行为监控的主要特点如下:
l、全面的上网行为记录与分析
对网站访问、邮件收发、数据库访问与操作、文件传输、聊天应用、在线视频、网络游戏、炒股应用等,提供全面的行为监控。
l、实时的网络流量分析与审计
对各种常见的关键业务、非关键业务,如P2P下载、IM、网络游戏、炒股应用等,提供实时的流量分析与审计,并具备对单用户/多用户、IP群组等的定制分析与审计,利于快速排查问题。
l、基于用户名的上网行为监控
基于用户名(而非IP地址)进行行为监控,可直接、快速跟踪并定位到事件源。解决了因为用户IP地址动态变化,而难以定位信息事件源的问题。
2 技术实现
H3C用户上网行为监控系统主要由监控处理器、Web控制台和日志服务器三部分组成,
相关内容: