东软NetEye网络审计系统(ESM)

产品概述
东软NetEye网络审计系统集成了高性能数据捕获驱动、快速的并行协议分析引擎、实时内容分析引擎、基于状态的并行内容匹配技术、海量数据检索和挖掘等业界领先技术,针对目前难以监管的P2P传输协议进行专项优化。在保证特征库及时更新的同时,能够通过协议特征进行新协议的自我发现。产品运行稳定可靠,安装便捷快速,界面美观易用,并提供强大的控制和审计功能,主动有效的保护了用户关注的信息,是真正的行为与内容审计系统。
功能特色
  • 网络行为审计
东软NetEye网络审计系统能够全面详实地记录多种网络行为,并根据国家有关法规规定保存至少60天,便于回溯以及审计和分析。日志以加密的方式存放,只有管理者才能调阅读取;网络行为日志全面地记录了包括使用者、分组、访问时间、源IP地址、源端口、源MAC地址、目的IP地址、目的端口、访问类型、访问地址/标识等关键数据项;支持在三层交换网络环境下获取用户计算机真实MAC地址功能;支持GRE(通用路由协议封装)和MPLS(Multi-Protocol Label Switching,多协议标签交换)两种协议及其应用环境下的网络数据审计还原。主要包括以下类型的协议和应用

标准协议及其衍生应用

基于HTTP协议的网页浏览(GET)、网页提交(POST)。其中POST应用可细分为WEBMAIL、WEBBBS、WEBCHAT(聊天)、WEB登录等上网行为,对基于HTTPS加密协议的网页浏览行为也将记录除域名地址之外的所有关键数据;基于TELNET协议的远程登录;基于FTP协议的文件传输;基于SMTP/POP3的电子邮件收发、基于Samba协议的文件共享传输等。东软NetEye网络审计系统能够全面记录基于这些协议的行为日志和必要的帐号、文件名等关键信息。

即时通讯(IM)/网络电话应用

包括QQ、MSN、ICQ、Yahoo Messenger、AOL Messenger、新浪UC、网易泡泡、Google Talk、Skype、飞信、阿里旺旺、搜Q、E话通、小蜜蜂、IMU等20种左右国内外流行的IM或网络电话应用软件,东软NetEye网络审计系统可以全面记录这些IM/网络电话应用的行为日志和必要的帐号信息。

流媒体/网络视频直播

支持记录、审计标准的MMS、RTSP流媒体播放协议和主流视频网站和视频直播软件所使用的视频直播应用协议(QQLIVE、PPLIVE、PPStream、悠视网、沸点、TVAnts、SopCast、彗星地带、土豆网、六间房等)。

 P2P下载应用

支持包括BT、eMule、迅雷、超级旋风等国内外流行的P2P下载应用协议的审计。

娱乐/游戏应用

包括国内外流行的数种娱乐游戏平台和大型网络游戏,主要有:联众、浩方、边锋、QQ游戏、中国游戏中心、游戏茶苑、远航、CS、星战前夜、凯旋、炼狱、热血江湖、三国演义、天骄、完美世界2、问道、魔兽世界、武林外传、征服、跑跑卡丁车、劲舞团、梦幻西游、魔域、大话西游2、QQ音速、征途、街头篮球、疯狂赛车、冒险岛、传奇2/3等,东软NetEye网络审计系统能全面记录这些娱乐/游戏应用的行为日志和必要的帐号信息。

财经证券类

东软NetEye网络审计系统能够对国内流行的证券软件所使用的协议记录行为日志,主要包括以大智慧、钱龙、核新同花顺、通达信、大福星、龙卷风等研发厂商为核心的国内各大证券商数十种OEM版本,如安信证券、广发证券、国联证券、银河证券、招商证券、方正泰阳证券、湘财证券、国信证券等。
  • 网络内容审计
针对互联网上流行的可还原协议,东软NetEye网络审计系统能够在记录网络内流经监听出口的各种网络行为产生的具体内容,包括正文、文件等信息,并根据国家有关法规规定保存至少60天,以便进行事后的审计和分析,我们称这个范畴的审计功能为内容审计。内容审计既能够无条件记录,又能通过策略指定访问者(IP地址/帐号/分组)、时间范围、内容关键字等条件下进行有条件的记录管理用户需要的访问内容。主要包括以下类型的协议和应用:


标准电子邮件

标准电子邮件是指POP3 /SMTP两个使用最广泛的收发邮件协议。系统将详细记录访问者(IP地址/机器名/帐号)、目标IP地址、邮件时间、发件人、收件人、正文、附件等信息,并提供附件下载备份功能。

网页浏览

网页浏览是指基于HTTP协议的GET请求产生的查看网页内容。系统将详细记录访问者(IP地址/机器名/帐号)、目标IP地址、访问时间、网页URL、网页详细内容等信息,并提供模拟访问的功能以达到还原后的仿真浏览。支持对Google, Baidu, Sogou, Soso等常见搜索引擎的搜索关键字记录,并具备良好的扩展能力,支持用户自定义其它搜索引擎。

文件传输

文件传输是指基于FTP协议的文件传输、下载及其命令操作。系统将详细记录访问者(IP地址/机器名/帐号)、目标IP地址、访问时间、FTP帐号、FTP交互命令和执行回显等信息,对FTP交互过程中发生的上传和下载文件操作,系统也将涉及的文件全部还原并提供下载备份功能。

即时聊天

目前能够捕获还原详细内容的即时聊天工具包括MSN(Windows Live Messenger)、Yahoo Messenger、中国移动飞信等。系统将详细记录访问者(IP地址/机器名/帐号)、目标IP地址、访问时间、聊天帐号、详细聊天内容等数据,并将聊天内容按次分组保存和展示。

网页外发数据

网页外发数据是指基于HTTP协议的POST请求向外部的互联网站发布信息。由于HTTP的POST应用非常灵活,往往被用来实现多种应用,因此对网页外发数据的处理有其特殊性。东软NetEye网络审计系统使用独有的表单特征匹配技术框架,摒弃了传统的逐个WEB网站分析方式,突破了逐个分析方式带来的有效网站数量限制,可以准确分析出100%的POST外发信息和文件,对WEBMAIL、网页论坛等应用方式的识别率高达95%以上。系统针对应用HTTP-POST最为广泛的WEBMAIL、网页论坛、网页聊天、网页登录进行了应用方式识别并将其分类展示,对不能识别的其它POST应用则全部归类到“网页提交”中进行展示。系统记录的主要数据包括访问者(IP地址/机器名/帐号)、目标IP地址、URL地址、访问时间、外发文本内容、外发文件等数据,并提供外发文件的下载备份功能。
  • 完善的审计报表功能
访问过的网址、网页标题和网页内容、HTTP/FTP上传下载、通过BBS、BLOG发表的内容、各种搜索等所有上网记录均可完整再现;
电子邮件审计、Webmail网页邮件内容全面记录,包括正文和附件;
即使通讯审计(QQ、MSN、雅虎通、ICQ等,支持大部分聊天工具)(线路流量、应用流量、用户流量、网站访问流量)日报、周报、月报以及自定义报表统计信息;
 

典型部署
东软NetEye网络审计系统支持网桥模式、路由模式、旁路模式三种部署模式。