分享

此文发于2009年3月。现在看来，需求还是更多地体现在用户要求安全审计产品支持IM，这也与安全审计产品本身的定位相吻合（大中型企业）。另一方面，也听到有用户要求对P2P下载的内容进行审计（至少要记录服务器信息以及文件名），虽然这类用户不多，其购买力和采购量却毋庸置疑。

原文发布于《计算机世界》 

　　大约3年前，笔者曾经参与过某机构针对安全审计与应用控制类产品的测试规范制订工作。那时的安全审计类产品已经很成熟，国家、公安部与各行业都有相应的测试评估标准；应用控制类产品则借P2P、IM等应用的高速发展呈方兴未艾之势，功能与产品形态都不统一。当时笔者最深刻的感受，当数两者间的融合趋势。随着应用模式的改变，传统的安全审计产品开始对各类P2P、IM软件提供支持，国内某些产品甚至可以屏蔽此类应用；应用控制类产品也不安于仅仅阻断或给应用限速，很多都实现了对下载文档信息和对话内容的审计。功能上的取长补短促进了两类产品的融合，时至今日，我们已经可以看到许多兼具审计与应用控制功能的安全产品。本次凹凸网络科技送测的SifoScopes CM系列网络行为检测系统，就是这样一个融合的典型范例。

　　SifoScopes CM系列产品全部采用1U机架式设计，具有两个千兆电口，可以工作在桥模式或旁路模式。当采用桥模式进行部署时，内外两个接口间具有Bypass特性，如果设备意外掉电或出现故障，链路依旧会保持连通。该设备内置有硬盘用于保存审计信息，如果空间紧张，也可以定期转存至NAS或文件服务器。此外，CM系列产品还采用了100V-250V宽幅自适应电源，以保证设备在供电条件不佳的环境中正常运行。

　　安全审计与应用控制的前提，是正确地识别各类协议。有了这个基础，才能谈审计或控制。作为融合了两者功能的新一类产品，SifoScopes可以识别多种应用层协议，并对某些特殊形态的应用提供支持。该产品对各类相关标准所要求的HTTP、FTP、SMTP、POP3和Telnet协议提供了较强的审计能力，可以详细记录用户浏览的网页内容、通过HTTP协议上传下载的文件、FTP上传下载的信息、所有往来信件与附件及Telnet下的交互数据。IM类应用也在被审计之列，除了常见的MSN、MSN Web Messenger、Yahoo Messenger等采用明文传输的软件外，SifoScopes还支持QQ与Skype这两种国内常见的采用加密传输的应用。针对Web Mail应用逐渐增多这一趋势，SifoScopes也提供了有针对性的审计功能。该产品目前可以识别多达12种主流的Web Mail服务，包括微软Exchange服务器内置的Web Mail界面。

　　罕有产品可以解析QQ与Skype使用的协议，更不要说对内容进行审计。笔者特别针对这两种应用进行了测试，结果令人震惊。由于QQ采用了密文传输，用户需要在登录前先进入设备提供的特殊页面输入QQ账号与密码，接下来SifoScopes就可以记录一切聊天信息，甚至连QQ群中多人会话的内容也不例外。针对Skype的审计功能更为惊人，除文本外，语音通信亦在支持之列。众所周知，Skype数据流采用了极强的加密算法，单纯网关设备几乎不可能对其进行解密。SifoScopes采用了变通的方法实现该特性，如果用户要使用Skype，必须先从特殊页面下载安装一个客户端，嵌套在Skype上层对明文的文本和语音进行记录，再传送至SifoScopes。双向语音内容以不同声道的方式保存为MP3文件，避免后期审计时还需要分离语音的麻烦。

　　融合的另一半是应用控制，SifoScopes主要还是针对P2P与IM类应用提供这部分功能。目前可控的P2P应用多达11种，其中包括了在国内应用广泛的BT、eDonkey和迅雷。笔者曾经遇到过个别应用控制设备对同协议族下的不同客户端控制效果不一致的情况，例如比特精灵被屏蔽的同时比特彗星仍可下载；SifoScopes在测试中没有出现这样的问题，主流P2P应用和不同客户端都被很好地屏蔽。可控IM应用的种类相比审计功能多了Google Talk，基本涵盖了国内常见的应用。与众不同的是，该产品还可以屏蔽MSN Web Messenger、Buddy、WebQQ等15种基于网页的即时通信客户端，基本堵死了内网用户的IM之路。既然包含了对传统P2P、IM和WebIM、Web Mail应用的识别功能，特征库的更新就显得尤为重要。凹凸网络科技为SifoScopes CM系列产品提供了永久的系统及特征库升级服务，这一点非常令人满意。不过，该产品尚不能实现对IM应用中文本、语音、视频的信令级控制，控制细粒度还有待加强。

　　还有一个不可忽视的非技术问题，那就是审计涉及到的隐私保护和法规遵从。这一点，所有具备安全审计特性的产品都应特别注意。国外产品通常在这方面比较完善，因为很多国家都有相关法律对企业员工的个人隐私保护作出明确规定。在网络中部署安全审计产品，于情、于理、于法，都应该对被审计者有明确的提示，并做出免责声明。免责声明还应考虑到外部用户，举个例子，笔者给某些跨国大公司的同仁发MSN消息时，都会收到安全审计产品以MSN消息形态发来的免责声明，明确告诉我即时通信内容正受到审核。SifoScopes在这方面做得并不完善，只有IM类软件登录时会有相关提示。而电子邮件、网页浏览等应用虽然也受到审计，却没有任何提示及免责声明。

分享