吉大《电算化会计与审计》第八章 网络审计网络安全审计系统 国际互联网的迅速发展和扩充在带来方便性的同时，也带来了许多严重的安全问题，不仅仅是来自互联网的各种攻击行为会破坏企业、政府信息系统的正常运行，与此同时，使用互联网访问非法站点，传递和发布非法信息，企业内部网络中的资源滥用，企业内部商业信息泄漏等等问题都日益严重。 网络安全审计系统正是针对上述问题推出的一款稳定、可靠、高效的网络安全产品。其基本思想是通过对网络数据的实时采集，对各种上层应用协议数据的实时分析和还原，对被监控网络中的 Internet 使用情况进行监控，对各种网络违规行为实时报告，甚至封锁某些特定的违规主机，以帮助网络管理员或政府机构对互联网信息资源进行有效的管理和维护。 根据不同用户应用环境的需求，网络安全审计系统分为以下型号： NSAS100：网络安全审计系统百兆型 NSAS1000：网络安全审计系统千兆型 功能特点 多种协议监控 对 HTTP 协议远程浏览的监控 可对被监控网络中发生的所有基于 HTTP 协议的访问行为进行监控，恢复相关网页，记录事件的发生时间、源地址、目的地址等相关信息。 对 POP3 协议接收邮件的监控 可对被监控网络中发生的所有使用 POP3 协议收取邮件的行为进行监控，恢复邮件的内容和附件，记录事件的发生时间、源地址、目的地址、用户名、密码等相关信息。 对 SMTP 协议发送邮件的监控 可对被监控网络中发生的所有使用 SMTP 协议发送邮件的行为进行监控，恢复邮件的内容和附件，记录事件的发生时间、源地址、目的地址、用户名、密码等相关信息。 对 TELNET 协议远程登录的监控 可对被监控网络中发生的所有使用 TELNET 协议远程登录的行为进行监控，恢复整个交互过程，记录时间的发生时间、源地址、目的地址、用户名、口令等相关信息。 对 FTP 协议传送文件的监控 可对被监控网络中发生的所有使用 FTP 协议传送文件的行为进行监控，恢复整个交互过程，记录时间的发生时间 、源地址、目的地址、用户名、口令等相关信息。 对 SMB 协议访问共享文件和共享打印机的监控 可对被监控网络中发生的所有共享文件和共享打印访问行为进行监控，提取共享文件名称、共享打印机名称、共享打印的文档名称及页数和请求共享打印服务的主机以及用户名称等关键信息。 对 OICQ 协议通讯的监控 可对被监控网络中发生的所有 OICQ 协议通讯行为进行监控，提取 OICQ 用户的上线时间、下线时间、通讯次数等关键信息。 对 MSN Messenger 协议通讯的监控 可对被监控网络中发生的所有 MSN Messenger 协议通讯行为进行监控，提取 MSN Messenger 用户的上线时间、下线时间、通讯次数等关键信息。 可灵活配置监控规则 系统支持以审计规则为单位，用户可在每条审计规则中对本规则的协议类型、审计对象，审计内容关键字和协议端口等条件进行全面设置。 规则审计对象包括网络对象，主机对象等审计域对象。用户可以根据具体情况定义所需审计的范围，有效克服安全审计的盲目性，提高安全审计的效率和准确率。同时可以从审计域中忽略某些网段和主机，以保护这些网络信息不受监测。 规则审计内容关键字包括对 telnet 和 ftp 协议交互过程中敏感命令定义、网页和邮件中数据内容的敏感关键字定义。如用户所访问的网页、或收发的邮件中出现了“敏感关键字”（如“法轮功”、“暴力”等）的行为都将被记录下来，并恢复其详细内容。 过程的真实恢复 网络安全审计系统不仅可记录下违规网络行为发生的基本信息，还可完全恢复其发生的过程。如 POP3 和 SMTP可以完全恢复邮件正文与附件的内容，HTTP 中可以恢复用户所访问的完整的 URL 链接，对于 FTP 和 TELNET 协议事件，可恢复从网络建立连接到结束连接的过程中的交互过程、用户名与口令、输入的命令、系统的返回数据、交互的文件内容等。 实时的流量监控 网络安全审计系统能够通过流量监控功能实现对网络流量变化状况、用户网络行为实现监控，反映在一个具体的时间段内，不同协议、不同主机、不同流量的变化状况，通过报表中的曲线、柱图、饼图等形式使管理员能够及时把握网络状况，发现网络中的异常流量和数据，及时采取必要的措施，保障网络的正常运作。 丰富强大的用户界面 网络安全审计系统为用户提供了多角度的审计记录查看功能，以及强大的搜索引擎。用户可以从大量的审计记录中快速准确地找到自己所关心的内容。 针对每一条记录，用户可以看到其详细的信息，包括发生的时间、类型、协议、源/目的地址、源/目的端口、用户名、口令，恢复内容。 除了对审计记录的查看之外，网络安全审计系统还可通过多种角度对审计记录进行分析审计，产生详尽、多样化的实时报表和周期报表，帮助用户随时对自己的网络资源使用中的违规状况作出正确的评估。 完备的自身安全性 在为用户网络环境提供安全保障的同时，网络安全审计系统具备了完备的自身安全性。系统中采用了多种安全防护措施，包括： 基于 SSL 协议的数据和管理通道 安全 OS 及安全物理介质认证 隐藏探头自身的 IP 地址 多级用户管理 系统日志审计功能 方便易用的 WEB 管理方式 用户对网络安全审计系统的管理操作全部通过 B/S 模式进行，在 B/S 模式下，管理人员对系统中审计记录的查看分析、服务的参数设置、服务状态的控制等所有操作都直接通过浏览器进行。这种操作方式，具备了多种优点：? 简化了用户端的环境要求，用户无须为了使用本产品而安装任何的数据库软件或单独的设备，只需要具备 IE 浏览器，即可操作。 符合用户的日常操作习惯，无须用户学习任何菜单，操作简单方便。 B/S 模式下的网页浏览具备关联特性，用户可以在阅读报告的过程中在关联网页中自由切换，随时看到自己希望了解的相关信息， 从而避免了 C/S 模式下静态报告的缺陷。