AC 内容审计技术
目录
1. 内容审计需求背景
1.1 网络安全法要求
1.2 上网行为审计架构
2. 上网行为审计技术
2.1 日志中心
2.2 统计分析
2.3 报表中心
3. 外发邮件审计技术
3.1 需求背景
3.2 外发邮件审计原理
4. SSL内容解密技术
4.1 SSL解密技术原理
4.2 思考总结
5. WEB关键字过滤技术
5.1 需求背景
5.2 解决思路
6. IM聊天内容审计技术
6.1 需求背景
6.2 实现方式
6.3 思考总结
1. 内容审计需求背景
1.1 网络安全法要求
- 明确责任人:制定内部安全管理制度和操作规程,落实安全保护责任。
- 监测、记录并保留日志:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关网络日志不少于六个月。
- 采取防范保护措施:防范计算机病毒和网络攻击、网络侵入等。
- 数据分类、备份和加密:实施数据分类、重要数据备份和加密等措施。
- 其他法律义务:履行法律、行政法规规定的其他义务。
1.2 上网行为审计架构
- 核心目标:审计 “什么账号在什么设备上在什么时间做了什么事”。
- 合规价值:可实现事后追溯、优化权限策略等。
- 功能模块:
- 上网行为查询:涵盖网站、IM、邮件、发帖等所有上网行为查询。
- 数据统计:包括应用、流量、时长等数据统计。
- 数据处理:支持数据真实还原、多维度统计、数据下钻查询,还有 “百度式” 搜索中心。
- 审计范围:各类上网行为,如用户账号、手机号、微信 ID、各种虚拟账号,以及用户浏览的网站、搜索的关键字、发送的邮件、论坛发帖、发布的微博、IM 聊天内容等。
2. 上网行为审计技术
2.1 日志中心
日志中心可本地或远程存储日志,供查询历史上网行为日志。日志查询模块为管理员提供功能,能查询所有行为、网站访问、即时聊天等各类日志,可追查违规行为,日志归类清晰。能查询所有行为日志(不显示内容),还可按指定时间、用户、组、应用等参数,或源区域、终端类型、目的IP等其他参数过滤查询。
2.2 统计分析
统计分析主要满足流量、时长、用户行为、合规性等分析需求,能快速自动生成精美图表呈现数据,还可自由切换不同风格表格,例如可进行应用流量排行统计展示。
2.3 报表中心
报表中心支持客户订阅指定报表内容并上报至指定邮箱审阅,能满足流量时长、用户行为、合规性等分析需求,助力用户查看带宽健康、应用流量排行、工作效率评级等各类分析报表。
3. 外发邮件审计技术
3.1 需求背景
审计论坛发帖、网页发送邮件的内容
3.2 外发邮件审计原理
通过抓包方式获取邮件数据包,从中可提取出发送邮箱帐号、接收邮箱帐号、邮件标题、邮件内容等关键信息,以此实现对外发邮件的审计,且对新浪邮箱、163 邮箱等不同邮箱发送的邮件均适用。
两份数据包有什么异同?1、数据包的内容格式完全不一样,参数也不一样。2、相同之处就是这两个邮箱都是以明文方式发送的。
那么密文的外发邮箱能审计吗?密文形式的外发邮箱能否审计,取决于具体的加密方式与审计系统的能力:
- 若采用标准加密协议(如 TLS 加密)且审计系统支持解密(如部署了 SSL 中间人代理等技术,能获取合法解密权限),可对加密流量进行解密后审计,提取邮件相关信息。
- 若使用非标准、私有加密方式,或审计系统不具备对应解密能力,则难以直接审计邮件内容,但仍可审计邮件发送的元数据(如发件时间、发件服务器、收件服务器等)。
4. SSL内容解密技术
4.1 SSL解密技术原理
AC(审计设备等)作为中间实体,在客户端与服务器的SSL通信过程中,拦截客户端对服务器的请求,向客户端出示伪造的服务器证书,同时以合法身份与服务器建立SSL连接。这样,AC就能获取客户端与服务器之间加密传输的数据,从而实现解密,以便进行审计等操作。
从主机访问公网的 LAN、WAN 口抓包数据判断是否被 AC(上网行为管理设备 )代理,可以从以下几个方面入手:
1. 网络层信息
- IP 地址:正常情况下,主机与公网服务器直接通信,源 IP 是主机 IP,目的 IP 是公网服务器 IP。若被 AC 代理,在 LAN 口抓包,源 IP 是主机 IP,但经过 AC 代理转发后,在 WAN 口抓包,源 IP 可能变成 AC 设备的 IP 。
- TTL(Time To Live,生存时间)值:每经过一个网络节点,TTL 值会减 1 。如果 LAN 口和 WAN 口抓包的 TTL 值变化不符合正常网络路径的消耗,比如 TTL 值异常减少,可能意味着 AC 设备作为中间节点参与了数据转发。
- 数据包长度关联:对比 LAN 口(主机到 AC)和 WAN 口(AC 到服务器)同一通信流的数据包长度,若 AC 对数据包进行处理(如添加代理标识、封装额外信息),可能导致两端数据包长度出现差异(如 WAN 口数据包更长或更短),可辅助判断代理存在。
2. 传输层信息
- 端口号:虽然端口号在代理过程中不一定改变,但可以辅助判断。比如正常访问网页是通过主机的随机端口与服务器的 80(HTTP)或 443(HTTPS)端口通信。如果抓包发现端口号出现异常组合,或者有 AC 设备特有的端口参与通信,可能存在代理。
- TCP 序列号和确认号:在 TCP 连接建立和数据传输过程中,正常通信的序列号和确认号遵循特定规则。AC 代理可能会改变这些值的计算逻辑,导致抓包中看到的序列号和确认号出现异常跳跃或不符合预期的情况。
3. 应用层信息
- SSL/TLS 证书 :对于 HTTPS 流量,如果是被 AC 代理,AC 通常会使用自己的 SSL 证书与主机进行 SSL 握手。在抓包中查看 SSL 握手阶段的证书信息,若证书颁发者、证书主体等信息与正常公网服务器的证书不同, 而是 AC 设备生成或使用的证书,就说明存在 AC 代理。
- HTTP 头部信息:AC 代理可能会在 HTTP 头部添加一些自定义字段,用于记录代理相关信息或实现特定功能,如 X-Forwarded-For(可能被修改或添加)等字段。通过查看 HTTP 头部是否存在异常或 AC 特有的字段,也能判断是否被代理。
4. 连接建立流程
正常的主机与公网服务器通信,三次握手流程相对直接。如果抓包中发现连接建立过程出现额外的步骤,或者出现主机先与 AC 建立连接,然后 AC 再与公网服务器建立连接的情况, 则表明存在 AC 代理。
4.2 思考总结
1、微信网页版的聊天内容是否可以审计?微信网页版的聊天内容是可以审计的。2、开启SSL内容识别后,有证书告警,怎么消除?开启 SSL 内容识别后出现证书告警,可通过在 AC(上网行为管理设备)上安装 SSL 识别根证书来消除告警。
5. WEB关键字过滤技术
5.1 需求背景
1、内网用户全天拒绝外发含有“法伦功”关键字的贴子/邮件/微博2、同时禁止通过搜索引擎搜索含有“法伦功”关键字的内容3、禁止上传ppt、doc、这些类型文件到网络
5.2 解决思路
1、通过上网权限策略的“web关键字过滤”来禁止通过搜索引擎搜索“法伦功”2、通过上网权限策略的“HTTP上传”来拒绝外发含“法伦功”关键字的贴子/邮件/微博3、禁止上传ppt、doc、这些类型文件通过“web文件类型过滤”来实现
6. IM聊天内容审计技术
6.1 需求背景
客户想审计员工的QQ聊天记录
6.2 实现方式
6.3 思考总结
既然准入程序是exe格式,那手机可以安装吗?准入系统只支持在windows pc上安装,如果是非windows pc启用了准入,则无法安装准入客户端插件,也无法上网。如果对全网用户启用了准入策略,则内网有非windows pc(如手机或平板)要求经过AC可以上网,可以通过下面的准入故障排除实现。