联想天工网络 联想天工网络 联想天工网络

产品简述

        上网行为管理系统LFAM-500H,是天工网络针对网络行为审计提供的解决方案的系列产品之一,作为完全拥有自主知识产权的上网行为管理系统,集成先进的软硬件体系构架,配以先进的行为分析、控制引擎,灵活多样的管理控制策略,实时分析网络活动,匹配管控策略,并生成丰富的统计报表。能够满足企事业单位、政府机关、金融电信、石油能源、学校教育行业等各种Internet 互联网使用单位的网络行为审计需求。 
 
上网应用识别

行为识别
面对互联网高速发展而产生的各种不断更新的版本、全新的乃至加密的应用,研发团队一直专注跟踪随时出现的各种网络流行应用,并不断在升级过程中实现协议和应用分析的更新。产品在庞大的URL分类数据库和应用识别能力基础之上提供了全面的行为和内容安全审计功能。
内容识别
在对关键字的内容审计功能上,采用基于状态机的多模匹配算法,极大地提高了匹配效率和关键字识别的准确性,为可靠的内容关键字审计功能提供了业界领先的技术保障。其中基于多编码的智能关键字匹配技术,更是独家率先解决了对国内部分地区特有语种(如维文、藏文等)的关键字匹配和内容审计问题。   
对象识别
•  将上网人员与上网机器形成明确的对应关系,认清用户是谁,使用何种具体应用,采用独创的信息实名技术手段,对其实施准确、清晰的管理。
•  支持包括IP+MAC地址绑定认证、本地Web认证、AD域认证、LDAP认证、USB KEY身份认证、刷卡认证、三层交换环境MAC探测和白名单免监控管理等多种对象识别技术,可以实现对组织机构内部数量庞大的用户身份精准识别。
创新技术手段
先进的系统体系结构
系统设计上采用了先进的模块化、层次化体系结构,基于面向对象的思想和插件化的并行协议栈,具有高度灵活扩展性,充分体现了资源的共享,提高了运行效率和稳定性。
高效的捕包引擎技术
使用Intel高性能网卡、独创零拷贝技术驱动、DMA直接内存存取技术,使得系统在高负载下捕包分析的不稳定性与不安全性减至最小,而性能和可靠性却得到了极大提升,处理效率比传统捕包引擎提高1倍以上。

高性能海量数据检索
独有的高性能海量数据检索引擎,在浩如烟海的审计数据查询与分析中表现出卓越的性能。
 
有效管理网络
全面的上网行为管理
•  针对网络应用管理混乱所造成的不良影响,我们提供了贴近用户的4W1H五维智能化网络行为控管功能。
•  产品支持包括对网页/各种在线娱乐软件/P2P下载工具/在线视音频/流媒体/炒股软件/各种文件传输工具/IM即时聊天软件/Telnet等多种方式的信息收发内容记录、关键字过滤、文件传档管控、报警。

深度细粒审计管理
•  产品能够全面详实地记录网络内流经监听出口的各种网络行为,支持关于上网行为、内容、时间、用户等多种条件组合的信息审计策略和日志分析,全面监测各种网络行为,进行深度细粒审计。
•  内容审计既能进行无条件记录,又能通过策略指定访问者(IP地址/帐号/分组)、时间范围、内容关键字等有针对条件的记录管理用户需要的访问内容。
•  不管是行为审计还是内容审计,都具备高度的灵活性、专业性和准确性,能够为管理机构进行事后追查、取证分析提供有力技术支撑。
本地网络管理/异域分布统一管理
除了能够有效的管理本地网络外,也可以选择与网络安全管理中心配合使用,实现异域分布统一管理,分散控制各地网络,达到DCS式的管控效果;总部可以统一配发策略,实现网络行为的多点集中控管和数据横向对比分析,从而形成集团全面网络状况报表。通过设定特殊网络策略,可自动获取相关日志或远程主动调取更详细日志,让管理者一目了然,省力省心。
别具匠心的管理者界面
我们为企业管理层专门定制了一个管理者界面,该界面展现了员工使用的网络的整体情况,管理者可以从这个界面了解到员工的工作效率、心情动态、言论焦点;企业的信息泄露风险、法律风险等能为企业发展决策提供参考的信息。
多层面自身安全防护
系统级安全防护
在对操作系统内核进行充分剖析的基础上,在操作系统级对系统各支撑引擎进行了修改和全面优化定制,全面防止攻击与劫持,提升系统整体性能的同时保障自身系统级安全。
操作级安全防护
多权分离,针对各种不同性质的功能模块可灵活配置权限级别,并提供更强安全性的USBKEY自定义敏感权限控制,最大保障自身操作级安全。
数据级安全防护
采用自主的高效算法对关键审计数据的存储和传输进行加密防护,数据存储防篡改,数据传输防破解,多种加密防护措施保障自身数据级安全。
网络级安全防护
旁路部署保障对网络性能完全没有影响,保证网络无单点故障,优先保障用户网络级安全,是上网机构在内网和互联网安全监管和保密资格测评过程中最可信赖的安全工具。
多种灵活部署方案
丰富的线路部署方式
基本的旁路部署,全面支持电口镜像与分路、光口的镜像与分光、电口桥接等多种线路部署方式,在复杂网络环境下的部署游刃有余,运用自如。
领先的多路并行捕包
业界领先的多路并行捕包技术,单台设备最多支持高达4路数据的并行捕获与分析,为在复杂环境下的灵活部署提供先进的技术保障。
扩展的多台分布部署
对于单台设备无法处理的超大流量环境,支持高扩展性的多台设备分布式部署方案,通过多台设备对超大的流量分而治之,又由统一的管理平台实现对整个网络的透明、统一的管理。
可选的附加功能模块
通过可拓展的附加功能模块,如桌面管理模块等与基本审计系统的结合部署,可轻松应对诸如终端设备控制、主机安全管理与准入控制等增强型需求,为用户提供灵活而全面的整体信息安全解决方案。
直观丰富的智能报表
支持合规细粒度审计
系统提供符合公安部82号令、SOX法案、企业内控管理规范等多种合规审计报告,提供强大、多样化、面向用户需求的统计分析报表。

全面准确的统计结果
报表汇集流量统计与日志统计分析数据,支持统计排名分析,全面呈现全局运行状况;使管理者能够直观便捷的掌握网络使用情况,为其合理分配带宽资源,制定正确的管理决策提供有效依据。  
多维清晰的分析形式
系统能够智能分析各种上网数据, 得到能够客观的反映整个企业状态的报表。
智能便捷的输出形式
系统拥有数十种报表模板,支持报表自定义;报表可以以EXCEL、PDF、WORD、HTML等形式导出保存。根据不同管理层人员,可提供不同报表类型,报表能够通过系统后台自动发送或Email自动订阅。
 
网络行为审计
 
能够全面详实地记录网络内流经监听出口的各种网络行为,并根据国家有关法规规定保存至少60天,以便进行事后的审计和分析。日志以加密的方式存放,只有管理者才能调阅读取。网络行为日志全面地记录了包括使用者、分组、访问时间、源IP地址、源端口、源MAC地址、目的IP地址、目的端口、访问类型、访问地址/标识等关键数据项。支持在三层交换网络环境下获取用户计算机真实MAC地址功能;支持GRE(通用路由协议封装)和MPLS(Multi-Protocol Label Switching,多协议标签交换)两种协议及其应用环境下的网络数据审计还原。产品支持的协议和应用数量达到260多种,为国内领先。主要包括以下类型的协议和应用:
 
标准协议及其衍生应用
基于HTTP协议的网页浏览(GET)、网页提交(POST),其中POST应用可细分为WEBMAIL、WEBBBS、WEBCHAT(聊天)、WEB登录等上网行为,对基于HTTPS加密协议的网页浏览行为也将记录其关键数据;基于TELNET协议的远程登录;基于FTP协议的文件传输;基于SMTP/POP3的电子邮件收发、基于Samba协议的文件共享传输、基于HTTP的搜索引擎访问等。全面记录基于这些协议的行为日志和必要的帐号、文件名等关键信息。
 
即时通讯(IM)/网络电话应用
能够记录QQ、MSN、ICQ、雅虎通、新浪UC、网易泡泡、Google Talk、飞信、阿里旺旺、搜Q、E话通等10多种国内外流行的IM或网络电话应用软件的行为日志和必要的帐号信息。
 
流媒体/网络视频直播
标准的MMS、RTSP流媒体播放协议和主流视频网站和视频直播软件所使用的视频直播应用协议(QQLIVE、PPLIVE、PPStream、优酷、酷六、六间房、新浪视频、搜狐视频、网易视频、央视高清等)。
P2P下载应用
包括BT、eMule等国内外流行的P2P下载应用协议。
娱乐/游戏应用
包括国内外流行的数种娱乐游戏平台和大型网络游戏,例如:联众、浩方、边锋、QQ游戏、中国游戏中心、游戏茶苑、远航、CS、魔兽世界、武林外传、征服、跑跑卡丁车、劲舞团、大话西游、冒险岛等数十种网络游戏,能够全面记录这些娱乐/游戏应用的行为日志和必要的帐号信息。
 
财经证券类
能够对国内流行的证券软件所使用的协议记录行为日志,主要包括以大智慧、钱龙、核新同花顺、通达信、大福星、龙卷风等研发厂商为核心的国内各大证券商数十种OEM版本,如安信证券、广发证券、国联证券、银河证券、招商证券、方正泰阳证券、湘财证券、国信证券等。
网上银行/网上支付
能够识别通过客户端、网页登陆的网上银行、网上支付应用,支持的银行有:工商银行、招商银行、建设银行、农业银行、光大银行、交通银行、中国银行、民生银行、中信银行、上海浦东发展银行、华夏银行、深圳发展银行、广东发展银行、邮政储蓄银行、兴业银行、平安银行、渤海银行、杭州银行、重庆银行、浙商银行、成都银行、大连银行、齐鲁银行、东莞银行、东莞农村商业银行、广州银行、汉口银行、台州银行、河北银行、长沙银行、重庆农村商业银行、天津银行、上海农村商业银行、青岛银行、深圳农村商业银行、上海银行、包商银行、北京农村商业银行、北京银行、哈尔滨银行、徽商银行、江苏银行、宁波银行、南京银行、吉林银行;支持的网上支持有:支付宝、快钱、易宝支付、财付通、贝宝、我爱卡
远程控制协议
支持识别主流远程控制协议,包括SSH、远程桌面、PCAnywhere、QQ远程控制(2010、2011)
代理工具
能够识别各种代理工具,如socks4/5、HTTP-Tunnel、HTTP-Proxy、ISA(包括ISA2000、ISA2004、ISA2006、ISA2010)等。
数据库访问
支持对MS-SQLSERVER、ORACLE等主流关系型数据库的远程访问和操作信息审计记录。
系统还提供了一系列的日志管理功能,包括存储管理、备份、恢复等,使用上具备高度的灵活性和专业性。
网络内容审计
针对互联网上流行的可还原协议,能够在记录网络内流经监听出口的各种网络行为产生的具体内容,包括正文、文件等信息,并根据国家有关法规规定保存至少60天,以便进行事后的审计和分析,我们称这个范畴的审计功能为内容审计。内容审计既能够无条件记录,又能通过策略指定访问者(IP地址/帐号/分组)、时间范围、内容关键字等条件下进行有条件的记录管理用户需要的访问内容。主要包括以下类型的协议和应用:
标准电子邮件
标准电子邮件是指POP3 /SMTP两个使用最广泛的收发邮件协议。系统将详细记录访问者(IP地址/机器名/帐号)、目标IP地址、邮件时间、发件人、收件人、正文、附件等信息,并提供附件下载备份功能。
网页浏览
网页浏览是指基于HTTP协议的GET请求产生的查看网页内容。系统将详细记录访问者(IP地址/机器名/帐号)、目标IP地址、访问时间、网页URL、网页详细内容等信息,并提供模拟访问的功能以达到还原后的仿真浏览。支持对google, baidu, sogou, soso等常见搜索引擎的搜索关键字记录,并具备良好的扩展能力,支持用户自定义其它搜索引擎。
远程登录
远程登录是指基于TELNET协议的远程登录访问。系统将详细记录访问者(IP地址/机器名/帐号)、目标IP地址、访问时间、TELNET帐号、TELNET交互命令和执行回显等信息。
文件传输
文件传输是指基于FTP协议的文件传输、下载及其命令操作。系统将详细记录访问者(IP地址/机器名/帐号)、目标IP地址、访问时间、FTP帐号、FTP交互命令和执行回显等信息,对FTP交互过程中发生的上传和下载文件操作,系统也将涉及的文件全部还原并提供下载备份功能。
即时聊天
目前能够捕获还原详细内容的即时聊天工具包括MSN(Windows Live Messenger)、Yahoo Messenger、中国移动飞信等。系统将详细记录访问者(IP地址/机器名/帐号)、目标IP地址、访问时间、聊天帐号、详细聊天内容等数据,并将聊天内容按次分组保存和展示。
加密即时聊天
部分即时聊天工具对聊天内容进行了加密。一般手段很难获取到解密后的聊天内容,LFAM系列也能通过特有的破解手段,能识别出如QQ等加密即时聊天的工具的聊天内容。
网页外发数据
网页外发数据是指基于HTTP协议的POST请求向外部的网站发布信息。由于HTTP的POST应用非常灵活,往往被用来实现多种应用,因此对网页外发数据的处理有其特殊性。所以LFAM系统使用了独有的表单特征匹配技术框架,摒弃了传统的逐个WEB网站分析方式,突破了逐个分析方式带来的有效网站数量限制,可以准确分析出100%的POST外发信息和文件,对WEBMAIL、网页论坛等应用方式的识别率高达95%以上。系统针对应用HTTP-POST最为广泛的WEBMAIL、网页论坛、网页聊天、网页登录进行了应用方式识别并将其分类展示,对不能识别的其它POST应用则全部归类到“POST”中进行展示。系统记录的主要数据包括访问者(IP地址/机器名/帐号)、目标IP地址、URL地址、访问时间、外发文本内容、外发文件等数据,并提供外发文件的下载备份功能。
数据库访问
支持对MS-SQLSERVER、ORACLE、MySQL、DB2、Syabse、PostgreSQL、Informix等7种主流关系型数据库的远程访问和操作信息审计记录,能够记录详细的操作内容,包括对数据库的增删改等敏感操作语句。
网络行为控制
对于多数企事业单位而言,如何通过有效的技术手段实现对单位职员上网行为进行规范的管理和控制是一个非常有意义的课题。LFAM系统提供了丰富的网络行为控制功能,以协助管理者实现上述目标。
应用封堵策略
对局域网内的所有机器生效的外网访问权限控制。可根据人员帐号、机器、机器组对不同的时间段设置,可设置的应用封堵类型包括:
•  网页类:可根据URL关键字、下载类型、搜索关键字、IP网站、网页内容关键字、POST网址、HTTPS加密网页、自定义站点等组合条件进行设置。
•  邮件类:对于SMTP/POP3/IMAP标准电子邮件协议,可根据服务器、邮箱地址、邮件标题、邮件正文、附件名、附件内容等多中关键字组合条件进行设置。
•  即时通讯:针对流行的10多种即时通讯应用,可根据应用类型和内容关键字进行设置,针对MSN、QQ文件传输、雅虎通、飞信等明文传输的即时通讯应用可根据内容关键字封堵。
•  网络游戏:支持近百种流行网络游戏的封堵设置。
•  P2P下载:支持流行的BT、eMule等典型P2P下载进行设置。
•  文件传输:主要针对FTP文件传输,可根据服务器、文件类型、帐号、传输内容等关键字进行设置。
•  远程登录:主要针对TELNET,可根据服务器与和账号进行封堵设置。
•  音视频:支持流行的近20种网络音视频应用进行设置。
•  财经股票:支持流行的20多种财经股票行情与交易应用进行封堵设置。
•  网上银行:支持封堵国内各个银行的客户端和网页登陆。
•  远程控制:支持封堵如SSH、远程桌面、PCAnywhere等远程控制工具
•  代理工具:可封堵socks4/5、HTTP-Tunnel、HTTP-Proxy、ISA等代理上网工具。
•  自定义协议:可以自己根据需要基于特殊IP、端口的自定义协议设置封堵。
•  分类站点:系统内置1000多万URL分类站点库,可根据这些分类设置封堵。
•  数据库:支持针对SQL Server、Oracle、Mysql、DB2、Sybase、PostgreSQL、Informix Online数据库的帐号、服务器IP地址、sql关键字进行封堵。
 
 
流量控制
流量控制可实现用户在某一个时间段的带宽限制和保证。用户可自由设定在这个时间段能拥有的上下行最大带宽,以及在网络资源紧张的情况下,用户对象最少能拥有的上下行保障带宽。并且可对同一用户的不同的源、目的端口,目的IP的流量设置不同的流量控制和带宽保障。
 
流量限制
可对任意用户对象或团体设置每日、每周、每月的上下行流量或总流量进行上限设置,超出设置的上限之后将禁止上网。
 
IP/MAC绑定
可以灵活设置多种形式的IP/MAC绑定,用于限制非法修改IP地址与移动办公的应用场景,包括单一绑定、一个IP绑定多个MAC、多个IP绑定一个MAC等方式。
 
黑白名单
•  机器黑白名单:可基于IP或MAC设置,对于被设为黑名单的机器,系统将无条件禁止其与外网的一切通讯。对于被设为白名单的机器,则其的网络访问不受全局或局部策略的影响,在任何条件下都不对其进行封堵,其网络日志可灵活设置为是否记录。
•  站点黑白名单:可基于目标IP或网址设置,对于被设为黑名单的站点,则网络内的所有机器(白名单机器除外)都不能访问此站点。对于被设为白名单的站点,则网络内的所有机器(黑名单机器除外)都可以访问此站点。
•  帐号黑白名单:在帐号控制模式下应用,对于被设为黑名单的帐号,系统将无条件禁止其与外部网络的一切通讯。对于被设为白名单的帐号,则其的网络访问不受全局或局部策略的影响,在任何条件下都不对其进行封堵,但其网络日志仍将被记录。基于帐号的控制可有效避免动态IP地址环境或IP人为变更造成的网络控制漏洞。
•  免审计KEY:给特殊用户配置上网时豁免审计与控制的USBKEY。
 
上网用户管理
局域网内的上网用户管理,也是网络行为管理范畴内十分重要的一个环节。它不仅为管理者提供了方便的管理功能,而且在配合网络行为控制与审计策略的配置实施过程中起到基础性的关键作用。对于上网用户的组织架构,可以对自动或手动搜索生成的设备列表采用多层多组方式划分组别,最大层次可达16级。用户管理部分的主要功能包括:
组织管理自动分组
用户可根据实际的网络规划,对系统管理的IP地址段、IP段分组规划进行事先设置。根据事先设定的搜索范围,自动获取指定范围内的机器信息资料,包括机器名、分组、IP地址、MAC地址等,也可进行手工搜索,在机器管理功能中可对这些信息进行增、删、改、导入、导出、设置控制方式等操作。随着系统总的识别方式的设置不同,机器管理也将以IP地址或MAC地址字段为机器的唯一标识。
在认证识别方式下,系统还提供帐号管理功能,可对上网认证的帐号进行增、删、改、注销上网、本地文件导入、帐号分组管理等各种操作;对基于USB锁的上网认证器则提供对应的上网认证器的配置、密钥导入等管理功能。
用户识别方式
•  企事业单位接入外部网络的方式各不相同,其内部局域网的组网方式、设备等环境也千差万别。所以在设备实施时针对各种不同的网络环境,结合用户的组网规划和对网络控制的不同需求,采取灵活的上网控制方式设置,应对各种差异化需求。
•  上网识别方式包括认证识别和透明识别。认证识别是指用户上网之前必须经过上网认证操作才能接入互联网;透明识别是指不需经过认证,系统可适应复杂多变的网络环境,根据IP、MAC、各种外部认证帐号等多种方式自动识别用户特征,实现上网实名审计。
•  透明识别方式包括:AD域帐号识别、HTTP代理用户识别、IP识别、MAC识别、POP3账号识别、PPPoE帐号识别等。
•  认证识别方式包括:客户端认证、本地WEB认证、远程AD认证、远程ESMTP认证、远程LDAP认证、远程POP3认证、认证RADIUS认证等。
•  灵活多样的控制方式设置可针对各种不同的用户环境,使系统最大限度地与用户现有的认证环境相结合,保护已有投资。
统计分析与智能报表
根据历史上网日志数据统计产生丰富详细的报表,包括分组上网排名、人员上网排名、网络应用统计、访问资源统计、趋势分析、自定义报表等。可按年度、月度或者指定时间范围生成周期性报表。报表种类包括柱状图,饼图,曲线图,折线图等。报表可以以EXCEL、PDF、WORD、HTML等形式导出保存。并支持自定义的周期性报表自动生成和订阅。支持的统计分析功能包括:
智能报表
LFAM系统能将审计到的数据经过智能分析,形成各种智能报表,目前内置有离职风险报表、工作效率报表、行为违规报表、安全风险报表、泄密风险报表、法律风险报表、焦点人物报表、焦点事件报表、带宽资源评估报表、互联网指数报表。并且用户可自定义其他类型报表。
管理者界面
为管理者提供一个简单易用而又涵盖网络整体情况的单独界面。使管理者能轻松的掌握员工的最新动向、工作效率等情况。
统计报表
可根据用户、行为、流量、上下机、搜索引擎、时间、外发文件等多个维度对各种网络活动在自定义的时间周期内输出表格形式的统计数据。
用户分析
以上网用户为统计主体,对其各种网络行为在自定义的时间范围、自定义的团体范围内进行基于日志数量的上网活动分析,输出柱状统计图表。
行为分析
以某一种具体的网络行为为统计主体,在自定义的时间范围、自定义的团体范围内进行基于日志数量上网排名分析,输出柱状统计图表。
流量分析
以上网用户为统计主体,在自定义的时间范围、自定义的团体范围内进行基于流量的上网排名分析,输出柱状统计图表。
上机分析
以上网用户为统计主体,在自定义的时间范围、自定义的团体范围内进行基于上机次数的排名分析,输出柱状统计图表。
搜索分析
以搜索引擎关键字为统计主体,在自定义的时间范围、自定义的团体范围内进行基于关键字的排名分析,输出柱状统计图表。
趋势分析
以上网用户为统计主体,在自定义的时间周期、自定义的团体范围内进行基于各种上网行为次数的时间趋势分析,输出折线统计图表。
外发文件分析
以上网用户为统计主体,在自定义的时间周期、自定义的团体范围内进行基于外发文件次数的排名分析,输出柱状统计图表。
报表订阅
对于上述各种统计报表,可实现自定义条件的周期性报表订阅,订阅后系统将按照预先定义条件自动生成统计报告并自动发送到用户指定的邮箱。
订阅历史
可以在系统中查询以往订阅的历史报表。
 
 
    · 人才招聘    · 联系我们 · 隐私条款· 公司邮箱

深圳市联天通信技术有限公司 © 2001-2023,版权所有 · 粤ICP备15010215号   公网安备44030502001887号