聯想網御實名制網絡內容審計解決方案
隨著我國電子政務系統的實施建設以及企業信息化的飛速發展,網絡信息日益重要,內部人員對 機密文件、敏感信息的竊取和泄漏,在互聯網上發布和訪問非法內容,以及在工作時間利用公司網絡資源進行與工作無關的活動屢見不鮮,如何保證網絡行為、信息 內容的合規性、合法性、健康性已成為網絡安全研究領域中的熱點問題,在此背景下網絡內容審計得到了快速的發展。
網絡內容審計技術是針對網絡流量中非法信息傳播的問題,綜合運用網絡數據包獲取、協議分析、信息處理、不良流量阻斷等技術實現對網絡信息內容傳播的有效監管。它能夠幫助用戶對網絡進行動態實時監控,記錄網絡上發生的一切,尋找非法和違規行為,為用戶提供事后取證手段。
由于網絡內容審計產品是基于數據流的分析,分析對象是從網絡上捕獲的數據流,在這些數據流中,反映信息來源的只有IP地址和MAC地址,并且在三層交換 環境下獲取到的MAC地址通常是交換機或路由器的MAC地址,而不是真正的源主機信息,所以一般的審計產品只能根據IP地址對信息來源進行定位,而IP地 址的易修改性以及DHCP的大量應用都使基于IP地址的信息定位存在很大的局限性。 同時事件審計的嚴肅性要求對網絡事件的分析應能夠準確定位到具體用戶,如何將事件和信息對應到具體的終端用戶,實現實名制審計是網絡內容審計產品真正發揮 作用的關鍵挑戰。
聯想網御網絡審計產品基于對用戶需求的深刻理解,通過采用三層MAC地址獲取、主動身份認證、靈活的認證信息獲取等多種先進技術,針對各種不同的網絡應用環境提出了完整的實名制網絡審計方案。
1、根據IP地址識別
在終端計算機采用固定IP地址的環境中相對比較容易實現實名制審計,局域網內每臺終端計算機都有相應固定的IP地址,為了限制終端用戶更改IP地址,可以控制邊沿交換機端口和固定IP地址之間建立一對一綁定關系,并結合相應的管理措施以達到限制目的。
固定IP地址網絡環境實名定位模型
2、 根據二層信息識別
在不能保證IP地址的不可修改性環境下,通過VLAN_ID和MAC地址實現實名定位可以很好的解決網絡實名審計的問題。
在二層交換環境下,用戶使用自己的電腦上網,不同用戶,MAC地址不同。可以將用戶身份信息和MAC地址之間建立一個固定的關聯。在三層交換環境下由于 MAC地址不能跨越路由器或三層交換機傳播,給通過MAC地址進行實名定位帶來了困難。針對此問題聯想網御開發了三層交換環境下的MAC地址識別技術,可 以動態查詢三層交換機中的IP/MAC對應關系,解決了此環境下的MAC識別問題。
MAC地址實名定位模型
對于一些使用了具有VLAN功能交換機的場所,聯想網御網絡審計系統支持使用VLAN標簽的方案,即在交換機上將每個電腦對應的端口都設置為一個 VLAN,并在此VLAN的網絡數據包上設置一個唯一的標簽號,出口審計設備捕獲到數據包所帶標簽號之后,即可識別屬于哪個位置的電腦。此種方式的實施復 雜度較高,專業性較強,對網絡設備要求很高,需要大規模網絡改造。
3、 基于主動身份認證技術
聯想網御網絡審計系統提供了主動身份認證技術,可以強制用戶上網時通過賬號/密碼進行上網認證,以此來實現終端計算機IP地址與用戶身份信息的關聯。賬號認證方式又可分為本地認證和遠程認證。
a) 本地認證:使用審計系統本身數據庫的賬號密碼信息進行認證;
b) 遠程認證:使用客戶網絡環境中已有的認證應用系統,通過一些標準協議進行認證,用戶提交的認證賬號和密碼先提交到審計系統,審計系統再將這些數據中轉到指 定的認證系統,由認證系統進行身份鑒別之后,審計系統由此決定是否允許用戶上網,并建立IP地址與賬號的對應關系實現審計實名。目前支持的遠程認證協議包 括:Radius、AD域、LDAP等多種協議。
考慮到帳號/密碼模式的不方便和保密強度不夠,聯想網御網絡審計系統還提供了基于UsbKey的強身份認證方式,管理員為用戶派發一個UsbKey,用戶在訪問互聯網時在上網認證頁面插入此KEY之后即自動完成上網認證過程。
4、 基于第三方認證數據進行自動透明識別
在用戶環境已有其它登錄或認證系統的情況下,聯想網御網絡審計系統可通過網絡審計系 統監控原有認證數據流的方式,后臺捕獲原有認證過程數據包,分析出認證賬號與IP地址的關聯關系實現實名制審計。目前支持的自動透明識別協議有:AD域、 Radius、PPPoE等多種認證協議。以下是此方式的模型圖: