通过和TPN安全网关配套的“网络行为审计”软件,可以实时接收并分析来自全网所有TPN网关的大量日志和数据,并提供各式各样的网络行为审计图表和报表供网管员及其相关人员使用。
TPN审计内容包括:网关系统日志、TPN系统威胁日志、用户流量日志、网站访问日志、活动窗口日志以及报表输出功能。
每个选项可细化至用户,可对全网用户做详尽日志记录,日志存储在审计服务器上,可自行设定数据保存方式和时间。
A. TPN审计系统架构
TPN行为审计系统包括“审计服务器”和“审计客户端”两个组件,可以安装在同一台计算机上,也可分别安装在不同的计算机上(如下图),通过网络进行访问。TPN审计服务器有数据库、服务监控和信息解析三大功能,用以接收并整理来自网关的审计数据;TPN审计客户端则主要进行审计数据的分析查询和报表生成,同时也能对审计服务器进行管理和监控。
工作原理:通过主机威胁引擎进行内容审计,将需监控的网络访问内容,上传至审计服务器,通过日志审计工具对其日志数据进行查询并且生成报表。
基于主机的内容审计特色:
– 支持对多台网关进行审计
– “分布式内容审计系统”由审计服务器进行数据分析,不影响网关性能
– 提供员工绩效报表
– 对所有网络应用均可作审计,如:QQ聊天内容
– 特色的“特权客户端”功能可消除网管员权限过大的威胁
根据流量预计和服务器硬件性能不同,TPN审计服务器可以一对一监控TPN网关,也可一对多监控同一TPN系统下的多个网关;如图所示:
一对多进行TPN审计
一对一进行TPN审计
B. TPN审计系统功能
ü 实名审计
TPN审计系统基于用户名,而非IP进行日志和审计,直观易用。
ü 威胁报告审计
包括系统生成的内网、边界、接入和系统威胁等所有类型威胁分析报告,包含威胁报告量的时间统计和排名统计的报表,以及手动查询用户威胁报告细节和导出功能。
ü 系统日志审计
提供TPN设备的网关日志统计报表,以及手动查询网关日志和用户日志功能
ü URL访问审计
提供URL访问的总量时间统计和URL访问数量排名统计的报表,以及自定义查询用户URL访问细节和导出功能
ü 用户流量统计
提供所有流经TPN网关的总流量和各协议流量的时间统计和排名统计的报表,以及自定义查询用户流量细节和导出功能
全网行为管理系统可以定义一些特权用户。特权用户用管理员特殊定义的SureID(即:特权客户端)标示其身份,插入SureID的主机其所有的网络和主机的访问行为,均不会被TPN审计系统所记录。
该功能也是安达通全网行为管理系统一个非常重要的独特优势。
ü 基于主机的分布式内容审计
TPN能对内网用户的聊天内容审计(QQ、MSN)、邮件内容审计、WEB表单内容审计(BBS、博客发帖)做全面的记录和审计。