【51CTO.com 綜合消息】隨著我國電子政務(wù)系統(tǒng)的實施建設(shè)以及企業(yè)信息化的飛速發(fā)展，網(wǎng)絡(luò)信息日益重要，內(nèi)部人員對機密文件、敏感信息的竊取和泄漏，在互聯(lián)網(wǎng)上發(fā)布和訪問非法內(nèi)容，以及在工作時間利用公司網(wǎng)絡(luò)資源進行與工作無關(guān)的活動屢見不鮮，如何保證網(wǎng)絡(luò)行為、信息內(nèi)容的合規(guī)性、合法性、健康性已成為網(wǎng)絡(luò)安全研究領(lǐng)域中的熱點問題，在此背景下網(wǎng)絡(luò)內(nèi)容審計得到了快速的發(fā)展。

網(wǎng)絡(luò)內(nèi)容審計技術(shù)是針對網(wǎng)絡(luò)流量中非法信息傳播的問題，綜合運用網(wǎng)絡(luò)數(shù)據(jù)包獲取、協(xié)議分析、信息處理、不良流量阻斷等技術(shù)實現(xiàn)對網(wǎng)絡(luò)信息內(nèi)容傳播的有效監(jiān)管。它能夠幫助用戶對網(wǎng)絡(luò)進行動態(tài)實時監(jiān)控，記錄網(wǎng)絡(luò)上發(fā)生的一切，尋找非法和違規(guī)行為，為用戶提供事后取證手段。

由于網(wǎng)絡(luò)內(nèi)容審計產(chǎn)品是基于數(shù)據(jù)流的分析，分析對象是從網(wǎng)絡(luò)上捕獲的數(shù)據(jù)流，在這些數(shù)據(jù)流中，反映信息來源的只有IP地址和MAC地址，并且在三層交換環(huán)境下獲取到的MAC地址通常是交換機或路由器的MAC地址，而不是真正的源主機信息，所以一般的審計產(chǎn)品只能根據(jù)IP地址對信息來源進行定位，而IP地址的易修改性以及DHCP的大量應(yīng)用都使基于IP地址的信息定位存在很大的局限性。 同時事件審計的嚴肅性要求對網(wǎng)絡(luò)事件的分析應(yīng)能夠準確定位到具體用戶，如何將事件和信息對應(yīng)到具體的終端用戶，實現(xiàn)實名制審計是網(wǎng)絡(luò)內(nèi)容審計產(chǎn)品真正發(fā)揮作用的關(guān)鍵挑戰(zhàn)。

聯(lián)想網(wǎng)御網(wǎng)絡(luò)審計產(chǎn)品基于對用戶需求的深刻理解，通過采用三層MAC地址獲取、主動身份認證、靈活的認證信息獲取等多種先進技術(shù)，針對各種不同的網(wǎng)絡(luò)應(yīng)用環(huán)境提出了完整的實名制網(wǎng)絡(luò)審計方案。

1、根據(jù)IP地址識別

在終端計算機采用固定IP地址的環(huán)境中相對比較容易實現(xiàn)實名制審計，局域網(wǎng)內(nèi)每臺終端計算機都有相應(yīng)固定的IP地址，為了限制終端用戶更改IP地址，可以控制邊沿交換機端口和固定IP地址之間建立一對一綁定關(guān)系，并結(jié)合相應(yīng)的管理措施以達到限制目的。  

固定IP地址網(wǎng)絡(luò)環(huán)境實名定位模型

2、 根據(jù)二層信息識別

在不能保證IP地址的不可修改性環(huán)境下，通過VLAN_ID和MAC地址實現(xiàn)實名定位可以很好的解決網(wǎng)絡(luò)實名審計的問題。

在二層交換環(huán)境下，用戶使用自己的電腦上網(wǎng)，不同用戶，MAC地址不同?？梢詫⒂脩羯矸菪畔⒑蚆AC地址之間建立一個固定的關(guān)聯(lián)。在三層交換環(huán)境下由于MAC地址不能跨越路由器或三層交換機傳播，給通過MAC地址進行實名定位帶來了困難。針對此問題聯(lián)想網(wǎng)御開發(fā)了三層交換環(huán)境下的MAC地址識別技術(shù)，可以動態(tài)查詢?nèi)龑咏粨Q機中的IP/MAC對應(yīng)關(guān)系，解決了此環(huán)境下的MAC識別問題。  

MAC地址實名定位模型

對于一些使用了具有VLAN功能交換機的場所，聯(lián)想網(wǎng)御網(wǎng)絡(luò)審計系統(tǒng)支持使用VLAN標簽的方案，即在交換機上將每個電腦對應(yīng)的端口都設(shè)置為一個VLAN，并在此VLAN的網(wǎng)絡(luò)數(shù)據(jù)包上設(shè)置一個***的標簽號，出口審計設(shè)備捕獲到數(shù)據(jù)包所帶標簽號之后，即可識別屬于哪個位置的電腦。此種方式的實施復(fù)雜度較高，專業(yè)性較強，對網(wǎng)絡(luò)設(shè)備要求很高，需要大規(guī)模網(wǎng)絡(luò)改造。

3、 基于主動身份認證技術(shù)

聯(lián)想網(wǎng)御網(wǎng)絡(luò)審計系統(tǒng)提供了主動身份認證技術(shù)，可以強制用戶上網(wǎng)時通過賬號/密碼進行上網(wǎng)認證，以此來實現(xiàn)終端計算機IP地址與用戶身份信息的關(guān)聯(lián)。賬號認證方式又可分為本地認證和遠程認證。

a) 本地認證：使用審計系統(tǒng)本身數(shù)據(jù)庫的賬號密碼信息進行認證；

b) 遠程認證：使用客戶網(wǎng)絡(luò)環(huán)境中已有的認證應(yīng)用系統(tǒng)，通過一些標準協(xié)議進行認證，用戶提交的認證賬號和密碼先提交到審計系統(tǒng)，審計系統(tǒng)再將這些數(shù)據(jù)中轉(zhuǎn)到指定的認證系統(tǒng)，由認證系統(tǒng)進行身份鑒別之后，審計系統(tǒng)由此決定是否允許用戶上網(wǎng)，并建立IP地址與賬號的對應(yīng)關(guān)系實現(xiàn)審計實名。目前支持的遠程認證協(xié)議包括：Radius、AD域、LDAP等多種協(xié)議。

考慮到帳號/密碼模式的不方便和保密強度不夠，聯(lián)想網(wǎng)御網(wǎng)絡(luò)審計系統(tǒng)還提供了基于UsbKey的強身份認證方式，管理員為用戶派發(fā)一個UsbKey，用戶在訪問互聯(lián)網(wǎng)時在上網(wǎng)認證頁面插入此KEY之后即自動完成上網(wǎng)認證過程。

4、 基于第三方認證數(shù)據(jù)進行自動透明識別

在用戶環(huán)境已有其它登錄或認證系統(tǒng)的情況下，聯(lián)想網(wǎng)御網(wǎng)絡(luò)審計系統(tǒng)可通過網(wǎng)絡(luò)審計系統(tǒng)監(jiān)控原有認證數(shù)據(jù)流的方式，后臺捕獲原有認證過程數(shù)據(jù)包，分析出認證賬號與IP地址的關(guān)聯(lián)關(guān)系實現(xiàn)實名制審計。目前支持的自動透明識別協(xié)議有：AD域、Radius、PPPoE等多種認證協(xié)議。以下是此方式的模型圖：  

5、 與原有計費系統(tǒng)接口

針對目前有些單位使用了計費系統(tǒng)，已經(jīng)使用了賬號上網(wǎng)認證進行記時計費的環(huán)境，為了保持用戶原有的使用習(xí)慣，避免出現(xiàn)二次認證，聯(lián)想網(wǎng)御網(wǎng)絡(luò)內(nèi)容審計系統(tǒng)支持第三方接口，可以與計費廠商合作，通過獲取賬號登錄和注銷的活動過程的數(shù)據(jù)建立IP地址與賬號的關(guān)聯(lián)。

上述實名制內(nèi)容審計技術(shù)為聯(lián)想網(wǎng)御網(wǎng)絡(luò)審計系統(tǒng)提供了追根溯源的能力，結(jié)合眾多的協(xié)議分析、還原技術(shù)，高速數(shù)據(jù)流捕獲和分析技術(shù)，使其成為業(yè)內(nèi)***個真正具備各種網(wǎng)絡(luò)環(huán)境下實名制審計、高效可靠的網(wǎng)絡(luò)信息內(nèi)容審計系統(tǒng)。