联想网御实名制网络内容审计解决方案
随着我国电子政务系统的实施建设以及企业信息化的飞速发展,网络信息日益重要,内部人员对 机密文件、敏感信息的窃取和泄漏,在互联网上发布和访问非法内容,以及在工作时间利用公司网络资源进行与工作无关的活动屡见不鲜,如何保证网络行为、信息 内容的合规性、合法性、健康性已成为网络安全研究领域中的热点问题,在此背景下网络内容审计得到了快速的发展。
网络内容审计技术是针对网络流量中非法信息传播的问题,综合运用网络数据包获取、协议分析、信息处理、不良流量阻断等技术实现对网络信息内容传播的有效监管。它能够帮助用户对网络进行动态实时监控,记录网络上发生的一切,寻找非法和违规行为,为用户提供事后取证手段。
由于网络内容审计产品是基于数据流的分析,分析对象是从网络上捕获的数据流,在这些数据流中,反映信息来源的只有IP地址和MAC地址,并且在三层交换 环境下获取到的MAC地址通常是交换机或路由器的MAC地址,而不是真正的源主机信息,所以一般的审计产品只能根据IP地址对信息来源进行定位,而IP地 址的易修改性以及DHCP的大量应用都使基于IP地址的信息定位存在很大的局限性。 同时事件审计的严肃性要求对网络事件的分析应能够准确定位到具体用户,如何将事件和信息对应到具体的终端用户,实现实名制审计是网络内容审计产品真正发挥 作用的关键挑战。
联想网御网络审计产品基于对用户需求的深刻理解,通过采用三层MAC地址获取、主动身份认证、灵活的认证信息获取等多种先进技术,针对各种不同的网络应用环境提出了完整的实名制网络审计方案。
1、根据IP地址识别
在终端计算机采用固定IP地址的环境中相对比较容易实现实名制审计,局域网内每台终端计算机都有相应固定的IP地址,为了限制终端用户更改IP地址,可以控制边沿交换机端口和固定IP地址之间建立一对一绑定关系,并结合相应的管理措施以达到限制目的。
固定IP地址网络环境实名定位模型
2、 根据二层信息识别
在不能保证IP地址的不可修改性环境下,通过VLAN_ID和MAC地址实现实名定位可以很好的解决网络实名审计的问题。
在二层交换环境下,用户使用自己的电脑上网,不同用户,MAC地址不同。可以将用户身份信息和MAC地址之间建立一个固定的关联。在三层交换环境下由于 MAC地址不能跨越路由器或三层交换机传播,给通过MAC地址进行实名定位带来了困难。针对此问题联想网御开发了三层交换环境下的MAC地址识别技术,可 以动态查询三层交换机中的IP/MAC对应关系,解决了此环境下的MAC识别问题。
MAC地址实名定位模型
对于一些使用了具有VLAN功能交换机的场所,联想网御网络审计系统支持使用VLAN标签的方案,即在交换机上将每个电脑对应的端口都设置为一个 VLAN,并在此VLAN的网络数据包上设置一个唯一的标签号,出口审计设备捕获到数据包所带标签号之后,即可识别属于哪个位置的电脑。此种方式的实施复 杂度较高,专业性较强,对网络设备要求很高,需要大规模网络改造。
3、 基于主动身份认证技术
联想网御网络审计系统提供了主动身份认证技术,可以强制用户上网时通过账号/密码进行上网认证,以此来实现终端计算机IP地址与用户身份信息的关联。账号认证方式又可分为本地认证和远程认证。
a) 本地认证:使用审计系统本身数据库的账号密码信息进行认证;
b) 远程认证:使用客户网络环境中已有的认证应用系统,通过一些标准协议进行认证,用户提交的认证账号和密码先提交到审计系统,审计系统再将这些数据中转到指 定的认证系统,由认证系统进行身份鉴别之后,审计系统由此决定是否允许用户上网,并建立IP地址与账号的对应关系实现审计实名。目前支持的远程认证协议包 括:Radius、AD域、LDAP等多种协议。
考虑到帐号/密码模式的不方便和保密强度不够,联想网御网络审计系统还提供了基于UsbKey的强身份认证方式,管理员为用户派发一个UsbKey,用户在访问互联网时在上网认证页面插入此KEY之后即自动完成上网认证过程。
4、 基于第三方认证数据进行自动透明识别
在用户环境已有其它登录或认证系统的情况下,联想网御网络审计系统可通过网络审计系 统监控原有认证数据流的方式,后台捕获原有认证过程数据包,分析出认证账号与IP地址的关联关系实现实名制审计。目前支持的自动透明识别协议有:AD域、 Radius、PPPoE等多种认证协议。以下是此方式的模型图: