企业网络行为审计解决之道

　　随着信息技术的日新月异和网络信息系统应用的发展，政府、企业的应用层次不断深入，用户的网络应用也逐渐增多。然而，信息安全是一个动态的过程，这种扩张必然使网络安全面临严峻挑战。

　　网络安全严峻挑战来自何方？

　　我们可能经常遇到如下情况：

　　员工对内部业务系统的非授权访问，业务资源的滥用、误用行为，损害业务系统的正常运行；

　　员工随意通过EMAIL、即时通讯等方式发送敏感涉密信息，导致机密信息、关键业务数据的外泄；

　　员工利用网络浏览、下载、传播、发表不良信息和非法言论，造成恶劣社会影响，并可能导致国家法律问题；

　　员工利用工作时间，聊天、炒股、玩网络游戏、BT下载、在线视频等行为，影响工作效率。

　　面对上述网络信息安全风险，不少企事业单位在防火墙、入侵检测、防病毒等投入大量资金，但是却收效甚微，信息泄密、网络违规事件依然层出不穷。

　　为什么需要网络行为审计？

　　综合FBI和CSI对484家企业的调查及中国国家计算机网络应急协调中心CNCERT/CC的调查结果显示：大约76%的网络安全事件与内部人员的有意或无意的网络行为相关。

　　究竟如何为网络信息安全“把脉”呢？人是信息安全中最活跃的因素，图1表示一种非常简单的人类行动图，所代表的是制约之下的行为表现和产生的后果。

图1 人类行动图

　　追根朔源，网络信息安全人是源头，用户行为则是安全事件的触发器。如何全面了解安全事件的来龙去脉，把握安全状态，必须从用户网络行为入手，才能做到真正的网络安全。

　　对于用户网络行为分析，需要从两方面考虑：

　　通信内容行为（Content Behavior）

　　网络应用行为（Application Behavior）

　　通过行为分析比较，可以把网络中来自多点的动态数据统一收集、关联分析，实时监控网络，及时预警，避免安全事件发现延迟、网络性能的瓶颈，为安全策略的制定提供有力支持，从而规范网络行为，将系统调整到“最安全”和“最低风险”的状态。

　　绿盟科技解决之道

　　针对网络中的敏感涉密信息外泄、网络违规行为等安全事件，绿盟科技提供了先进的基于行为的安全审计解决方案。

　　冰之眼安全审计系统（ICEYE SAS）是绿盟科技自主知识产权的安全产品，通过网络数据的采集、分析、识别，实时动态监测通信内容、网络行为和网络流量，发现和捕获各种敏感信息、违规行为，实时报警响应，全面记录网络系统中的各种会话和事件，实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位，为整体网络安全策略的制定提供权威可靠的支持。

　　主要功能：

　　全面精细的敏感信息审计

　　冰之眼SAS提供全面细粒度的敏感信息审计解决方案。系统支持基于时间、用户、协议、内容等多种条件组合的信息审计策略，对邮件收发（WEBMAIL、SMTP、POP3）、文件上传下载（HTTP、FTP）、论坛、即时通讯等进行全面信息审计，提供实时告警、信息还原功能，同时支持自定义内容关键字库，实现敏感信息的深度检测识别还原，对机密信息外泄、非法言论传播等行为的及时响应处理、事后追查取证提供有力支持。

　　全面深入的应用行为审计

　　冰之眼SAS提供全面的网络行为审计解决方案，系统支持用户认证，并通过基于业务运维行为、上网行为和网络应用行为的审计，实现基于用户网络行为的全面多维度审计。

　　全程数据库操作审计

　　冰之眼SAS提供全面完整的数据库审计解决方案，系统可实时监控数据库各种账户（如超级管理员、临时账户等）的数据库操作行为，准确发现各种非法、违规操作，并及时告警响应处理，降低数据库安全风险，保护企业数据库资产安全。