返回IT运维网
  • |
  • 文章EID:
  • |
  • 账号:
  • 密码:
天融信规划下一代互联网审计产品
2013-10-18 天融信 / IT运维网

        随着信息技术的发展,信息使用者可以获取的信息量倍增,面对“浩如烟海”的大量数据信息,网络审计产品如何从中提取出关键的有意义的数据,并分析出这些简单的数据后隐藏的重要信息呢?未来天融信审计产品计划在以下方面进行突破:

更丰富的功能

——全面的审计角度,满足各式各样的需求

        未来天融信审计产品将齐聚了大部分应用协议的解析能力,以适应不同用户的需求。并从三个不同的角度(网络应用协议、网络数据库、流量)逐个细化对网络事件分析的能力。网络应用协议解析将加大对网络主流应用的覆盖面,加快对国内中文网址的变更和对各类主流应用程序不同版本的跟进速度,以及对各种网页的精确分类,对各种应用协议的精确识别,特别是对加密协议的有效识别能力和对目前已被提出的九层协议的识别能力的不断探索。

        网络数据库解析将着重三层关联的解析能力,透过中间件审计出真正的操作者,并将支持更多的数据库协议,完善对国产数据库的解析能力。

流量审计将从流的意识层面,结合规则库精确识别网络中的非法入侵或不正常连接数据,将审计产品的分析能力加强至比特级,同时结合思科NetFlow v9的灵活性和可扩展性,在流量中加入应用协议字段。

 

更高的数据解析性能

——海量数据全抓取,昂首迎接大数据时代来临

        全球信息化的时代,网络数据正爆炸式的增长,随着无线4G的时代已经来临,大数据时代也悄悄的走进我们的生活,强大的信息量对网络层的安全防护是十分严峻的考验。

        未来天融信的审计产品基于T7硬件平台开发,并结合Intel的DPDK并行处理技术,重新规划软件架构,将很大程度上提高强单点审计设备对网络中高速、大量的网络数据进行全抓取、全解析的能力,同时在采用传统的文件存储方式的基础上,引进列存储技术,提升数据查询速率,减少总I/0,从而提升设备整体性能。

        除了满足目前Internet链路,满足大流量客户的需求,还应该兼顾未来的网络扩容计划。对于IDC这类用户网络中异常庞大的数据量,可以采取网络分流的设备对数据进行分散处理、集中存储的方式。

 

更强的网络适应能力

——挑战未知的数据类型

        旁路审计产品最大的特点就是可以实现“无痛接入”,但网络中的数据来源和类型千变万化,时时刻刻考验的审计产品的捕获和解析数据包的能力。

        网络部署分散,采取多点多级的部署形式来确保所有访问骨干业务网的行为都能被审计到;网络访问客户端程序多种多样,不同客户端数据形式不同,审计产品保证产品能对所有类型的数据进行完整的解析;网络布局发生变化,不能完整的捕获所有的数据包,产品依然具有对于单向的、不完整的数据处理的能力,或者具有随时解析这类数据包的能力;网络中异常数据包,数据包是非标准长度,审计产品依然确保这类数据能被正确捕获并解析。

 

更智能的数据分析技术

——加强业务的关联分析,探索数据的深层奥秘

        面对金融、电信等信息化程度高、数据集中度高、业务关联度高、业务范围广的企业。很多业务网络都是以间接的访问方式登陆的,比如远程到某一固定的服务器上,如何确定连接发起方的真正身份,如何对审计信息进行更深入的分析、有效的提炼、明确的展示,以及审计产品的效率和审计质量,是否能实时发现风险并即时告知是未来审计产品的重要发展方向。

        对于网络事件分析,不仅仅是单纯的解析出网络数据包中的内容,还应该从宏观的角度对数据进行整理、提炼,并全面的、多角度的给出网络中潜在风险,以明确的、易懂的方法告知管理员,或者自行处理。

        加强产品对网络数据的应用识别能力,让审计产品的数据分析能力上升至比特级,从流量的角度识别网络数据中存在的风险。

 

更灵活的展现方式

——更多的自定义方式,打造属于管理员自己的个性化审计产品

        现在市场上提供审计产品的厂商就几家,但是审计产品的需求商却遍布全国,涉及领域广,需求种类不同,不能做到面面俱到,但我们可以提供更多的自定义方式,提供更多的自定义的接口,让每个管理员都用自定认为便捷的方式去管理这款平台。

数据自定义

        不同的公司所涉及的业务数据不同,对于有些数据类型比较单一的需求商来说,不需要将所有数据都做分析,只抓取对业务审计有用的信息可以更高的提高产品的审计性能。

协议自定义

        针对业务网涉及的协议做自定义,对审计产品做设置,只对实用的协议进行分析,且审计页面只展现用户关心的协议类型,其他协议接口可隐藏,用户可以通过自己设置的方式来实现。在未来审计产品支持更多的协议审计时,这个功能很适合业务数据类型简单的客户,同时也使页面更干净整洁。

报表自定义

        报表统计分析是每个审计管理员都很关心的功能,未来的审计产品除了丰富基本的报表类型,还应该根据事件、报警、流量等数据,统计出网络中流量趋势报表、事件对比报表、事件关键字报表、热帖报表、网站访问量排行表、危险行为用户排行表、风险智能报表等。给管理员提供一个更轻松、更灵活的视角来整体的观察网络的运行情况。

存储自定义

        对于业务审计内容,管理员一般只关心对数据的删改操作,简单业务数据,如FTP、SMB访问,打开目录或文件夹等数据量很多,但这些数据对审计管理没有太大的意义,对于数据量大的网络,每天上亿条数据量,这些没有太多意义的数据就会占用大量的存储空间。未来审计产品也许可以提供一个可以自定义存储数据类型的接口,将存储资源得到最有效的利用。

首页自定义

        首页不只是简单的只显示设备CPU利用率、磁盘利用率、内存利用率等状况,用户可以自定义自己关心的信息显示到首页,如某种协议的实时日志,报警实时日志,自审计实时日志。除了可以在首页可以自定义实时显示这些内容,首页还可以自定义模块的快捷方式,用户可以将自己常用的模块创建为快捷键并添加至首页。

 

更多样的认证方式

——多种认证方式结合,保证用户的数据信息安全

        审计产品查看的都是用户的业务数据,这些信息对于用户来说是相当敏感的且不能外漏的;并且业务审计数据中包含了邮件、发帖、即时聊天等私人信息。这些信息的泄露也会造成一个的个人甚至集体损失,所以对审计产品管理员的权限要求一定要严上加严。

        审计产品除了提供基本的身份识别功能(静态密码)之外,还应该结合用户网络中具有的认证服务器提供更丰富的身份认证方式,如证书认证、证书和静态密码认证、动态密码认证、Radius认证、AD域认证、UKey认证、指纹识别等,不同等级的涉密环境需要的密码认证方式不同。

        在提供不同的认证方式外还应提供一定的访问策略,制定只有固定的IP地址、MAC地址的主机可以访问系统,并允许超级管理员将可疑的管理员踢下线,且支持多维度(权限、IP地址审计范围)的控制审计管理员的审计权限,避免过度审计造成的信息外泄。任何后台访问行为必须通过双重认证,即登陆到运维审计系统后再登陆到审计系统上,以保证行为被完整记录。

 

更全方位审计

——网络事件追溯到无线终端,实现审计零死角

        目前市场上的审计产品对于移动终端审计还存在很大的空白,这也让局域网内的无线网络存在很大的安全隐患。传统的基于网络数据抓包实现的网络审计产品只能将审计事件追溯到AP设备上,不能将事件源定位到具体的无线终端上。

        未来的审计产品实现上将结合移动终端审计产品将移动终端的Mac、IP、用户、主机名等信息使用一定的技术进行关联绑定,并将这些关联信息存入ldap数据库中,然后使用审计产品事件分析技术将网络事件追溯到无线终端。

        对于一切敏感信息比较多的网络,如军工、政府、机关。一个文件从创建、编辑、查看、删改并流传到网络这一系列行为都备受关注。然后如果互联网审计产品和终端审计产品的联动,互联网审计产品的审计结果可以帮助终端审计产品更准确的追踪到终端设备上的涉密文件在整个网络中的走向,为事后取证提供更有力的证据。

        当然,互联网审计还可以和其他的安全产品进行联动,把自动的审计数据和流量发送到其他设备上,用于更全面的数据分析。

 

领先的IPV6技术

——全面支持IPV6审计和应用,引领下一个审计产品IPV6的浪潮

        随着国家“下一代互联网审计产品”战略的推进,当前互联网正逐步从IPv4向IPv6过渡,技术进步带来的审计产品升级需求。紧接着2013年6月7日,全世界范围内的IPv6网络开始正式启动,运营商在各自的领域已加紧部署,计划在2013年实现IPV6规模覆盖,目前市面上很多产品都只支持IPV4地址审计,这给使用IPV6地址来进行违规操作的用户提供了很大的空隙,网络设备不支持IPV6,这些违规行为便无踪可循,给网络安全带来了很大的隐患。所以,网络审计产品需要全面支持IPV6已刻不容缓。

 

        天融信审计产品研发团队的人员将保持对技术创新的不断追求以及对信息安全事业的不懈努力,致力于为用户提供更好更放心的审计产品。

相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换
相关阅读