信息安全系统运维管理流量审计：网络安全审计-SAS.docxVIP

信息安全系统运维管理流量审计：网络安全审计-SAS 在运维管理区，部署网络安全审计系统，通过对网络数据的采集、分析、识别，实时动态监测通信内容、网络行为和网络流量，发现和捕获各种敏感信息、违规行为，实时报警响应，全面记录网络系统中的各种会话和事件，实现对网络信息的智能关联分析、评估及安全事件的准确定位，为整体网络安全策略的制定提供权威可靠的支持。 产品价值 满足主机安全、应用安全中安全审计（G2）要求： 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户； 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件； 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等； 应保护审计记录，避免受到未预期的删除、修改或覆盖等。 满足网络安全、主机安全、应用安全中访问控制（G2）要求： 应启用访问控制功能，依据安全策略控制用户对资源的访问； 应实现操作系统和数据库系统特权用户的权限分离； 应限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令； 应及时删除多余的、过期的账户，避免共享账户的存在； 满足主机安全、应用安全中身份鉴别（G2）要求： 应对登录操作系统和数据库系统的用户进行身份标识和鉴别； 操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换； 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听； 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性； 产品功能 智能化协议识别与分析 网络安全审计系统采用业界领先的智能协议识别和关联技术，智能识别采用标准及非标准端口的网络协议，例如使用80端口的P2P协议，提供全面深入的协议分析、解码回放，能够分析超过100种应用层协议，包括HTTP、TELNET、FTP、SMTP、POP3、WEBMAIL、P2P、IM等，极大地提高内容分析的准确性，帮助管理员全面掌握网络安全状态。 智能身份关联与认证用户审计 网络安全审计系统基于智能身份关联与认证用户审计功能，实现对网络事件责任人的精准定位。 网络安全审计系统从网络数据流中收集IP地址、用户帐号、账号类型等身份信息，创建用户身份信息库，信息库中记录了审计到的IP地址、用户账号、账号类型与审计时间等信息。利用该信息库中的用户身份信息，SAS自动关联所有网络访问事件，特别是数据流中并不包含用户身份信息的网络访问事件，从而实现对网络事件的用户身份关联与自动识别功能。 网络安全审计系统在进行智能身份关联的同时，进一步通过与AD域控认证系统联动，实时、动态地同步IP地址与终端认证用户的身份信息，进而识别发起网络访问的具体的终端认证用户。智能身份关联对用户身份进行模糊的识别与审计功能，但无需依赖任何用户认证系统。认证用户审计则对用户身份进行精准的识别与审计功能，但要求用户环境中部署AD域控认证系统，并与之联动。智能身份关联与认证用户审计功能互补，最终实现对网络事件完整而精准的审计，记录网络事件的用户身份、IP地址、访问时间、访问目标、具体访问内容等信息。 网络安全审计系统对用户身份信息的识别和支持功能，不仅体现在最终的审计日志上，而是全程的用户审计。事前，支持基于用户帐号信息定义审计策略；事中，智能化识别每一次网络访问的用户帐号信息；事后，记录包含用户帐号信息在内的全面的日志信息。为安全事件的准确、快速追踪和定位提供了有力支持。如下图所示： 智能URL分类与WEB信誉管理 网络安全审计系统内置超过1000万条的庞大中英文URL数据库，超过40种的精细分类，如不良言论、色情暴力、挂马网站等。基于内置URL分类库，网络安全审计系统能够精确分类用户所访问的网页类型。在此基础之上，网络安全审计系统拥有超过1万条的关键字库，支持针对URL地址、网页标题等信息进行智能分类。内置URL分类库与关键字库的配合使用，大大提高了网络安全审计系统在网页分类特性方面的识别率和准确率。 在系统采用云安全中心提供的Web信誉库，云安全中心通过对互联网资源（域名、IP地址、URL等）进行威胁分析和信誉评级，将含有恶意代码的网站列入Web信誉库，实现对用户访问非法、不良和高风险网站行为的审计和告警功能。 无线热点发现与移动应用审计 网络安全审计系统高度关注用户在合规、信息安全建设方面所面临的新问题，针对当下被广泛使用的无线热点、移动上网，网络安全审计系统提供了相应的功能特性，协助用户更好地解决当前形势下面临的新难题，有效降低安全风险。 网络安全审计系统能够实时、自动发现办公网络内的无线热点，记录无线热点访问网络时所使用的IP地址、认证用户等信息；能够识别移动