网络行为审计技术深度解析

网络行为审计技术深度解析网络行为审计，Network Behavior Audit ，国外更多的叫做Network BehaviorAnalysis（网络行为分析），Network Behavior Anomaly Detection （NBAD ，网络行为异常检测) 。

这是一个新生事物，即便国外，出现的年头也不长。

无论怎么称呼，其目的都是通过分析网络中的数据包、流量，借助协议分析技术，或者异常流量分析技术，来发现网络中的异常和违规行为，尤其是那些看似合法的行为。

并且，有的产品在该技术上进行扩展，还具有网络行为控制、流量控制的功能。

网络行为审计是安全审计中较为重要的一种技术实现，其他安全审计技术还包括日志审计技术、本机代理审计技术、远程代理审计技术，具体可以参见这个文章。

NBA的实现有多种方式，其中有两个最重要的分支基于*Flow流量分析技术的NBA通过收集网络设备的各种格式的Flow日志来进行分析和审计，发现违规和异常行为，传统的网管厂商很多开始以此为进入安全的切入口; 而安全厂商则将其归入的范畴。

基于抓包协议分析技术的NBA通过侦听网络中的数据包来进行分析和审计，发现违规和异常行为，传统的安全厂商很多以此作为进入审计领域的切入点。

基于抓包协议分析技术的NBA抓包型NBA技术及产品类型说明抓包型网络行为审计(NBA)根据用途的不同、部署位置的不同，一般又分为两种子类型。

上网审计型: 审计网络内部用户访问互联网的行为和内容、防止内部信息泄漏、用户违规行为，提升内部网络用户互联网上网行为的效率。

业务审计型: 对网络中重要的业务系统（主机、服务器、应用软件、数据库等）进行保护，审计所有针对业务系统的网络操作，防止针对业务系统的违规操作和行为，提升核心业务系统的网络安全保障水平，尤其是信息和数据的安全保护能力，防止信息泄漏。

从上面按用途划分的定义可以看出，他们是两类不同的产品。

上网审计的对象是用户及其上网行为，而业务审计的对象是核心业务系统及其远程操作。

浅谈某电厂DCS系统网络审计、日志审计功能摘要：随着信息技术在电力领域的不断深化应用，电力业务对信息系统的依赖度越来越高，信息系统已成为覆盖电力生产、经营、管理的中枢系统电力行业信息系统的安全性、可用性关系到电力业务的安全性、可用性，事关国计民生和社会稳定得到充分重视日志审计作为电力信息安全体系框架的重要建设内容之一，可以有效辅助对信息安全故隐和安全事件的根据电力信息系统自身的特点，结合国家和上级主管部门相关法规制度探讨电力信息系统中部署和运用网络审计、日志审计系统。

关键词：电力信息安全；网络审计；日志审计。

1概述某电厂2×320MW亚临界供热机组于1995年投入商业运行，主机DCS系统采用和利时MACS-K系统，版本号为MACS6.5.3，系统在产品设计和工程设计初期已充分考虑网络安全防护。

根据等保2.0标准三级要求该公司1、2号机组DCS系统在安全区域边界、安全计算环境、安全管理中心等方面仍存在安全风险；根据《中华人民共和国网络安全法》、《信息安全技术网络安全等级保护基本要求》、《关于加强工业控制系统信息安全管理的通知》、《电力监控系统安全防护总体方案》等法律法规、制度要求需对1、2号机组DCS系统进行安全防护，以满足等保2.0标准三级要求，进一步提升1、2号机组DCS控制系统的安全等级。

2 网络审计、日志审计功能的设计2.1设计思路针对该公司1、2号机组DCS系统信息安全防护进行设计。

信息安全从网络安全、主机安全防护、工业日志审计方面进行设计。

2.2 建设要求为满足第三级安全计算环境通用要求和工业控制系统安全计算环境扩展要求中对恶意代码防范、可信度量验证、用户身份鉴别、系统安全审计、文件完整性保护等要求，应答人需在现有DCS系统内统一部署上位机主机防护系统并进行主机安全加固。

加固方式包括安全配置、安全补丁、采用专用软件强化操作系统访问控制能力、以及配置安全的应用程序的要求，应答人应制定主机加固的技术标准、方案和管理策略，经加固的主机需与控制系统做严格测试证明加固操作不影响控制系统实时性、可用性等要求，主机加固方案必须得到DCS厂商的书面确认与签字盖章。

天融信产品白皮书网络卫士内容与行为审计平台TA-NET系列内容与行为审计平台TA-NET天融信网络卫士安全审计系统内容审计平台TA-W是专用于防止非法信息恶意传播，避免国家机密、商业信息、科研成果泄漏的产品；并可实时监控网络资源使用情况，提高整体工作效率。

该产品适用于需实施内容审计与行为监控的网络环境，尤其是按等级进行计算机信息系统安全保护的相关单位或部门。

内容和行为审计系统具有实时的网络数据采集能力、智能的信息处理能力、强大的审计分析功能。

该产品基于天融信公司具有自主知识产权的安全操作系统TOS (Topsec Operating System)，采用开放性的系统架构及模块化的设计，是一款安全高效，易于管理和扩展的网络安全审计产品。

产品可实现：◆ 对用户的网络行为监控、网络传输内容审计 (如员工是否在工作时间上网冲浪、聊天，是否访问不健康网站，是否通过网络泄漏了公司的机密信息，是否通过网络传播了反动言论等)◆ 掌握网络使用情况，提高工作效率◆ 网络传输信息的实时采集、海量存储、统计分析◆ 网络行为后期取证，对网络潜在威胁者予以威慑部署方式简便旁路模式接入，不改变用户的网络拓扑结构，对用户的网络性能没有任何影响。

独立部署，方便灵活。

提供基于Rich Client技术的WEB管理界面。

兼具B/S模式的便捷与C/S模式的高效、易用。

高速的数据采集分布式部署数据采集引擎，优化的数据采集技术，直接从内核中采集数据包。

延迟小、效率高、实时性强。

智能包重组和流重组具有强大的IP碎片重组（IP Fragments Reassembly）能力和TCP流重组（TCP Stream Reassembl y）能力，任何基于协议碎片的逃避检测手段对本产品无效。

自适应深度协议分析从链路层到应用层对协议进行深度分析。

自动识别基于HTTP协议的邮件、论坛等操作行为。

根据内容自动识别各个连接的应用协议类型。

保障审计的准确性数据海量存储和备份系统内置海量数据存储空间，支持百兆、千兆网络环境下，高速、大流量数据的采集、存储。

文档类型：产品介绍文档密级：公开RG-UAC6000系列统一上网行为管理与审计产品介绍V3.0星网锐捷网络有限公司版权所有侵权必究修订记录版本号更改部门更改人审核人更改日期主要更改内容于道森XX 2013-5-16 初稿完成。

V1.0 产品与解决方案市场部于道森XX 2013-6-04 xa和xi上市前修改。

V1.1 产品与解决方案市场部于道森XX 2013-6-13 增加了订购信息。

V1.2 产品与解决方案市场部张俊杰XX 2014-3-12 修订部分信息，增加产品图片V2.0 产品与解决方案市场部朱明辉2015-04-28 新品UAC产品介绍第一版V3.0 安全与应用交付产品事业部目录1 产品图片 (1)2 产品概述 (3)3 产品特性 (4)4 典型应用 (8)5 订购信息 (11)1 产品图片RG-UAC 6000-E10RG-UAC 6000-E20RG-UAC 6000-E50RG-UAC 6000-X20RG-UAC 6000-X60图1 RG-UAC 6000系列产品图片2 产品概述锐捷统一上网行为管理与审计RG-UAC系列是星网锐捷网络有限公司自主研发的业界领先的上网行为管理与审计产品，以路由、透明、旁路或混合模式部署在网络的关键节点上，对数据进行2-7层的全面检查和分析，深度识别、管控和审计数百种IM聊天软件、P2P下载软件、炒股软件、网络游戏应用、流媒体在线视频、移动应用、网络存储等将近二十大类的常见应用，并利用智能流控、智能阻断、智能路由、智能DNS策略等技术提供强大的带宽管理特性，同时RG-UAC系列具备的上网行为日志审计功能，能够全面、准确、细致的审计并记录多种上网行为日志，包括网页、搜索、外发文件、邮件、论坛、IM等等，并对日志数据进行统计分析，形成多种多样的数据报表，将上网行为情况清晰、详细的呈现。

锐捷统一上网行为管理与审计RG-UAC系列产品线提供不同档次的多款型号，从低端、中端、高端适用于政府、教育、医疗、数据中心、大型网络边界、通用企业等全业务应用场景。

网络内容管理与安全维护方案第1章网络内容管理概述 (4)1.1 网络内容管理的定义与意义 (4)1.2 网络内容管理的层次与范畴 (4)1.3 网络内容管理的政策法规与标准 (4)第2章网络安全维护基本原理 (5)2.1 网络安全风险分析 (5)2.1.1 黑客攻击 (5)2.1.2 病毒与恶意软件 (5)2.1.3 内部威胁 (5)2.1.4 数据泄露 (5)2.2 网络安全防御策略 (5)2.2.1 防火墙与入侵检测系统 (5)2.2.2 安全配置与补丁管理 (5)2.2.3 权限管理与访问控制 (6)2.2.4 数据加密与备份 (6)2.3 网络安全漏洞与应对措施 (6)2.3.1 弱口令 (6)2.3.2 恶意代码 (6)2.3.3 系统漏洞 (6)2.3.4 社交工程 (6)第3章网络内容监控与审计 (6)3.1 网络内容监控技术 (6)3.1.1 深度包检测技术 (6)3.1.2 数据挖掘技术 (7)3.1.3 云计算与大数据技术 (7)3.1.4 人工智能技术 (7)3.2 网络内容审计方法 (7)3.2.1 法律法规依据 (7)3.2.2 审计策略制定 (7)3.2.3 审计流程设计 (7)3.2.4 审计结果反馈 (7)3.3 网络内容监控与审计系统的构建 (7)3.3.1 系统架构设计 (7)3.3.2 技术选型与集成 (7)3.3.3 系统功能实现 (8)3.3.4 系统安全与稳定性保障 (8)3.3.5 系统部署与维护 (8)第4章网络信息过滤与屏蔽 (8)4.1 网络信息过滤技术 (8)4.1.1 关键词过滤技术 (8)4.1.2 语义过滤技术 (8)4.1.3 深度学习过滤技术 (8)4.1.4 贝叶斯过滤技术 (8)4.2 网络信息屏蔽策略 (9)4.2.1 阻断策略 (9)4.2.2 替换策略 (9)4.2.3 降权策略 (9)4.2.4 举报与审核策略 (9)4.3 网络信息过滤与屏蔽的实际应用 (9)4.3.1 企业内部网络 (9)4.3.2 互联网服务提供商 (9)4.3.3 教育行业 (9)4.3.4 公共场所网络 (9)第5章网络舆情分析与引导 (10)5.1 网络舆情监测技术 (10)5.1.1 互联网信息采集技术 (10)5.1.2 大数据分析技术 (10)5.1.3 智能语义分析技术 (10)5.2 网络舆情分析模型 (10)5.2.1 舆情分析框架 (10)5.2.2 舆情情感分析模型 (10)5.2.3 舆情传播模型 (10)5.3 网络舆情引导策略 (10)5.3.1 舆情引导原则 (10)5.3.2 舆情引导方法 (11)5.3.3 舆情引导实践 (11)5.3.4 舆情引导评估 (11)第6章网络安全防护体系建设 (11)6.1 防火墙与入侵检测系统 (11)6.1.1 防火墙技术 (11)6.1.2 入侵检测系统（IDS） (11)6.2 虚拟专用网（VPN）技术 (11)6.2.1 VPN技术概述 (11)6.2.2 VPN配置与管理 (11)6.3 安全审计与防护策略 (12)6.3.1 安全审计 (12)6.3.2 防护策略 (12)第7章数据加密与身份认证 (12)7.1 数据加密技术 (12)7.1.1 对称加密算法 (12)7.1.2 非对称加密算法 (12)7.1.3 混合加密算法 (12)7.2 数字签名与身份认证 (12)7.2.1 数字签名技术 (12)7.2.2 身份认证协议 (13)7.2.3 身份认证技术在实际应用中的案例分析 (13)7.3 密钥管理与证书授权 (13)7.3.1 密钥管理 (13)7.3.2 证书授权中心（CA） (13)7.3.3 证书链与信任模型 (13)第8章网络安全事件应急响应 (13)8.1 网络安全事件分类与定级 (13)8.1.1 网络安全事件分类 (13)8.1.2 网络安全事件定级 (14)8.2 网络安全事件应急响应流程 (14)8.2.1 事件发觉与报告 (14)8.2.2 事件分析与定级 (14)8.2.3 事件应急响应 (14)8.2.4 事件总结与改进 (14)8.3 网络安全事件应急响应技术 (15)8.3.1 防DDoS攻击技术 (15)8.3.2 防Web应用攻击技术 (15)8.3.3 信息泄露防护技术 (15)8.3.4 网络设备故障处理技术 (15)第9章网络安全风险评估与管理 (15)9.1 网络安全风险评估方法 (15)9.1.1 问卷调查法 (15)9.1.2 安全检查表法 (15)9.1.3 威胁建模法 (16)9.2 网络安全风险量化分析 (16)9.2.1 风险概率计算 (16)9.2.2 风险影响评估 (16)9.2.3 风险等级划分 (16)9.3 网络安全风险管理策略 (16)9.3.1 风险预防策略 (16)9.3.2 风险转移策略 (16)9.3.3 风险监测与应对策略 (16)9.3.4 风险持续改进策略 (16)第10章网络内容管理与安全维护的持续改进 (17)10.1 网络内容管理与安全维护的监测与评估 (17)10.1.1 监测机制 (17)10.1.2 评估机制 (17)10.2 网络内容管理与安全维护的优化策略 (17)10.2.1 技术层面 (17)10.2.2 管理层面 (17)10.3 网络内容管理与安全维护的未来发展趋势 (17)10.3.1 算法优化与人工智能 (18)10.3.2 跨界融合 (18)10.3.3 预防为主，防控结合 (18)10.3.4 国际合作 (18)第1章网络内容管理概述1.1 网络内容管理的定义与意义网络内容管理是指通过技术、法律、行政等手段，对互联网播的信息和数据进行有效监管、指导和服务的活动。