【IT168资讯】任天行网络安全管理系统是深圳市任子行网络技术股份有限公司为各行业机构高效解决网络安全管理难题而研发的核心产品之一。根据“信息也有身份证”的研发理念，产品能够通过实名上网的技术手段对人员进行上网行为管理和内容合规细粒度审计，在加强上网机构内外部网络信息控制监管的同时，为避免相关信息外泄及事后的追溯取证提供了有效地技术支撑。

　　任天行系统集聚了旁路、网关两种部署方式特征，功能强大，运行稳定可靠，安装便捷，界面美观易用，以其强大的控制和审计功能，主动有效的保护了用户关注的信息。可广泛应用于政府、军工、军队、教育、能源、金融、运营商、医疗、企业等行业，是目前国内上网行为管理和信息合规化管理产品的首选。

　　产品功能详解

　　网络行为审计

　　任天行系统能够全面详实地记录网络内流经监听出口的各种网络行为，并根据国家有关法规规定保存至少60天，以便进行事后的审计和分析。日志以加密的方式存放，只有管理者才能调阅读取。网络行为日志全面地记录了包括使用者、分组、访问时间、源IP地址、源端口、源MAC地址、目的IP地址、目的端口、访问类型、访问地址/标识等关键数据项。支持在三层交换网络环境下获取用户计算机真实MAC地址功能;支持GRE(通用路由协议封装)和MPLS(Multi-Protocol Label Switching，多协议标签交换)两种协议及其应用环境下的网络数据审计还原。主要包括以下类型的协议和应用：

　　标准协议及其衍生应用

　　基于HTTP协议的网页浏览(GET)、网页提交(POST)，其中POST应用可细分为WEBMAIL、WEBBBS、WEBCHAT(聊天)、WEB登录等上网行为，对基于HTTPS加密协议的网页浏览行为也将记录除域名地址之外的所有关键数据;基于TELNET协议的远程登录;基于FTP协议的文件传输;基于SMTP/POP3的电子邮件收发、基于Samba协议的文件共享传输等。任天行系统将全面记录基于这些协议的行为日志和必要的帐号、文件名等关键信息。

　　即时通讯(IM)/网络电话应用

　　包括QQ、MSN、ICQ、Yahoo Messenger、AOL Messenger、新浪UC、网易泡泡、Google Talk、Skype、飞信、阿里旺旺、搜Q、E话通、小蜜蜂、IMU等10多种国内外流行的IM或网络电话应用软件，任天行系统将全面记录这些IM/网络电话应用的行为日志和必要的帐号信息。

　　流媒体/网络视频直播

　　标准的MMS、RTSP流媒体播放协议和主流视频网站和视频直播软件所使用的视频直播应用协议(QQLIVE、PPLIVE、PPStream、悠视网、沸点、TVAnts、SopCast、彗星地带、土豆网、六间房等)。

　　P2P下载应用

　　包括BT、eMule、迅雷、超级旋风等国内外流行的P2P下载应用协议。

　　娱乐/游戏应用

　　包括国内外流行的数种娱乐游戏平台和大型网络游戏，主要有：联众、浩方、边锋、QQ游戏、中国游戏中心、游戏茶苑、远航、CS、星战前夜、凯旋、炼狱、热血江湖、三国演义、天骄、完美世界2、问道、魔兽世界、武林外传、征服、跑跑卡丁车、劲舞团、梦幻西游、魔域、大话西游2、QQ音速、征途、街头篮球、疯狂赛车、冒险岛、传奇2/3等，任天行系统将全面记录这些娱乐/游戏应用的行为日志和必要的帐号信息。

　　财经证券类

　　能够对国内流行的证券软件所使用的协议记录行为日志，主要包括以大智慧、钱龙、核新同花顺、通达信、大福星、龙卷风等研发厂商为核心的国内各大证券商数十种OEM版本，如安信证券、广发证券、国联证券、银河证券、招商证券、方正泰阳证券、湘财证券、国信证券等。

　　数据库访问

　　支持对MS-SQLSERVER、ORACLE等主流关系型数据库的DML以及DLL等多种远程访问和数据库操作语言的审计记录。

　　网络内容审计

　　针对互联网上流行的可还原协议，任天行系统能够在记录网络内流经监听出口的各种网络行为产生的具体内容，包括正文、文件等信息，并根据国家有关法规规定保存至少60天，以便进行事后的审计和分析，我们称这个范畴的审计功能为内容审计。内容审计既能够无条件记录，又能通过策略指定访问者(IP地址/帐号/分组)、时间范围、内容关键字等条件下进行有条件的记录管理用户需要的访问内容。主要包括以下类型的协议和应用：

　　标准电子邮件

　　标准电子邮件是指POP3 /SMTP两个使用最广泛的收发邮件协议。系统将详细记录访问者(IP地址/机器名/帐号)、目标IP地址、邮件时间、发件人、收件人、正文、附件等信息，并提供附件下载备份功能。

　　网页浏览

　　网页浏览是指基于HTTP协议的GET请求产生的查看网页内容。系统将详细记录访问者(IP地址/机器名/帐号)、目标IP地址、访问时间、网页URL、网页详细内容等信息，并提供模拟访问的功能以达到还原后的仿真浏览。支持对google, baidu, sogou, soso等常见搜索引擎的搜索关键字记录，并具备良好的扩展能力，支持用户自定义其它搜索引擎。

　　远程登录

　　远程登录是指基于TELNET协议的远程登录访问。系统将详细记录访问者(IP地址/机器名/帐号)、目标IP地址、访问时间、TELNET帐号、TELNET交互命令和执行回显等信息。

　　文件传输

　　文件传输是指基于FTP协议的文件传输、下载及其命令操作。系统将详细记录访问者(IP地址/机器名/帐号)、目标IP地址、访问时间、FTP帐号、FTP交互命令和执行回显等信息，对FTP交互过程中发生的上传和下载文件操作，系统也将涉及的文件全部还原并提供下载备份功能。

　　即时聊天

　　目前能够捕获还原详细内容的即时聊天工具包括MSN(Windows Live Messenger)、Yahoo Messenger、中国移动飞信等。系统将详细记录访问者(IP地址/机器名/帐号)、目标IP地址、访问时间、聊天帐号、详细聊天内容等数据，并将聊天内容按次分组保存和展示。

　　网页外发数据

　　系统针对应用HTTP-POST最为广泛的WEBMAIL、网页论坛、网页聊天、网页登录进行了应用方式识别并将其分类展示，对不能识别的其它POST应用则全部归类到“网页提交”中进行展示。系统记录的主要数据包括访问者(IP地址/机器名/帐号)、目标IP地址、URL地址、访问时间、外发文本内容、外发文件等数据，并提供外发文件的下载备份功能。

　　数据库访问

　　支持对MS-SQLSERVER、ORACLE等主流关系型数据库的远程访问和操作信息审计记录，能够记录详细的操作内容，包括对数据库的增删改等敏感操作语句。

　　网络行为控制

　　对于多数企事业单位而言，如何通过有效的技术手段实现对单位职员上网行为进行规范的管理和控制是一个非常有意义的课题。任天行系统提供了丰富的网络行为控制功能，以协助管理者实现上述目标。

　　全局控制策略

　　对局域网内的所有机器生效的外网访问权限控制。可设置是否允许访问包含色情、暴力、毒品等的不良站点;是否允许使用MSN、Yahoo Messenger、QQ、ICQ、网易泡泡、GoogleTalk、Skype等国内外流行的十多种即时通信工具;是否可以进行QQ游戏、中游、联众、远航、浩方、茶苑、CS、魔兽等国内外流行的二十多种在线网络游戏;是否允许使用P2P下载;是否可以使用Google、百度等常用搜索引擎搜索指定的关键字;是否允许使用指定的WEBMAIL;是否允许进行QQLive、PPLive等在线音视频;对指定的邮件服务器(POP3/SMTP)实施只开放或只封堵的策略。

　　局部分组控制策略

　　对指定的局域网内局部机器生效的外网访问权限控制。可根据人员帐号、机器、机器组对不同的时间段设置对各类标准应用协议、各类网站、网络在线游戏、即时通讯工具、P2P下载、指定流量限制、邮件、网页文件下载等协议和应用的控制。具体支持的协议种类如前所述。

　　黑白名单

　　• 机器黑白名单：对于被设为黑名单的机器，系统将无条件禁止其与外网的一切通讯。对于被设为白名单的机器，则其的网络访问不受全局或局部策略的影响，在任何条件下都不对其进行封堵，但其网络日志仍将被记录。

　　• 站点黑白名单：对于被设为黑名单的站点，则网络内的所有机器(白名单机器除外)都不能访问此站点。对于被设为白名单的站点，则网络内的所有机器(黑名单机器除外)都可以访问此站点。

　　• 日志白名单：对于被设为日志白名单的机器，其网络访问不受全局或局部策略的影响，在任何条件下都不对其进行封堵，并且不记录网络日志。并且支持客户端使用免审计USBKEY实现特权人物的审计豁免。

　　• 帐号黑白名单：在帐号控制模式下应用，对于被设为黑名单的帐号，系统将无条件禁止其与外部网络的一切通讯。对于被设为白名单的帐号，则其的网络访问不受全局或局部策略的影响，在任何条件下都不对其进行封堵，但其网络日志仍将被记录。基于帐号的控制可有效避免动态IP地址环境或IP人为变更造成的网络控制漏洞。

　　上网用户管理

　　局域网内的上网用户管理，在任天行系统中是重要的一个环节。它不仅为管理者提供了方便的管理功能，而且在配合网络行为控制与审计策略的配置实施过程中起到基础性的关键作用。对于上网用户的组织架构，可以对自动或手动搜索生成的设备列表采用多层多组方式划分组别，最大层次可达16级。用户管理部分的主要功能包括：

　　控制方式设置

　　• 企事业单位接入外部网络的方式各不相同，其内部局域网的组网方式、设备等环境也千差万别。任天行系统能够针对各种不同的网络环境，结合用户的组网规划和对网络控制的不同需求，采取灵活的上网控制方式设置，应对各种差异化需求。

　　• 任天行系统支持的上网控制方式包括：IP地址控制方式、MAC地址控制方式、帐号控制方式、混合控制方式等;

　　• 帐号控制方式又可使用本地帐号、AD域帐号联动、LDAP帐号联动等多种方式;

　　• 基于帐号的上网认证模式又可分为基于虚拟的帐号密码和基于USB锁的上网认证器等方式。

　　• 灵活多样的控制方式设置可针对各种不同的用户环境，使任天行系统最大限度地与用户现有的认证环境相结合，保护已有投资。

　　机器搜索与管理

　　用户可根据实际的网络规划，对系统管理的IP地址段、IP段分组规划进行事先设置。根据事先设定的搜索范围，任天行系统将自动获取指定范围内的机器信息资料，包括机器名、分组、IP地址、MAC地址等，也可进行手工搜索，在机器管理功能中可对这些信息进行增、删、改、导入、导出、设置控制方式等操作。随着系统总的上网控制方式的设置不同，机器管理也将以不同数据字段为机器的唯一标识。

　　帐号/上网认证器管理

　　在全局或混合帐号控制方式下，系统提供帐号管理功能，可对上网认证的帐号进行增、删、改、注销上网、本地文件导入、远程AD域导入、远程LDAP导入、帐号分组管理等各种操作;对基于USB锁的上网认证器则提供对应的上网认证器的配置、密钥导入等管理功能。

　　强大的网络控制与审计功能，是任天行网络安全管理系统能够在众多的上网行为管理产品中脱颖而出的关键之处。随着深圳市任子行网络技术股份有限公司对任天行产品的研发投入的加大，任天行项目组将定期根据对用户需求的调研，推出任天行网络安全管理系统的系列新功能。