注：本站原创，转载请保留本行信息（深圳赛佛莱特科技有限公司）。

关键字：ip-guard、网络安全审计、网络监控、防信息泄露、内网安全管理

     目前市面上的网络安全审计、网络监控系统、防信息泄露类产品众多，在普通用户眼中很多不同的产品在某些功能或大部分功能上都重合，价格也高低各不一。软件类型的价格从几十块钱一个客户端到几百甚至上千块一个，硬件设备类型的从几千至几万或几十万均有可能。商家各自的宣传上当然是王婆卖瓜自卖自夸。因此用户在产品选型时往往不知所措，面对如此众多精美的产品宣传彩页和销售人员三寸不烂之舌的鼓吹下，要做出正确的抉择确实对用户的专业水准和判断能力提出了一定的要求。往往用户左右比较，颇费一番心思的考虑后购买了某产品，使用一段时间却发现越来越多的问题暴露出来，远远达不到最初预计的效果，从而最终导致弃之不用成为摆设。

不管是网络安全审计还是网络监控系统，亦或是防信息泄露产品，虽然叫法不一，商家宣传的层面和重点也不同，但不可忽视的是：在用户看来似乎很多功能都是差不多的。

    由于不同的产品在架构、技术原理、功能实现上各不相同，而普通用户恰恰缺乏专业的技术能力去分辨这之间的差距，只能凭感觉或自己有限的测试条件去做评定，因此就造成了部分产品选型上的错误或失败的案例。本文将从专业的角度去分析这些不同类型产品之间的差距和优缺点，希望能给用户在进行产品选型时提供一些帮助和参考。

网络架构篇：

不同的产品网络应用架构有所不同，大致可以分为如下几类：

    网关式的软件或硬件设备
    旁路式的软件或硬件设备
    c/s架构的软件或软硬结合

网关式的软件或硬件设备

优点：

网关式的软件或硬件设备顾名思义：设备或软件系统是放在网络出口处，处于用户网络数据包进出的必经之道。如是硬件设备则多半采用透明代理模式或桥接模式进行数据包的捕获与分析，而如果是软件系统则多安装在企业的代理服务器上进行数据包的捕获和分析。好处也很显而易见，不需要对用户原有的网络结构进行改变，部署相对容易。

同时，由于此类系统处于网络数据包的必经之地，所有进出的网络数据包必须经过设备，因此对于第七层的应用协议的分析控制、对于网络带宽的管理与控制相对容易实现。这是网关式的软件或硬件设备的优势所在。当然某些网关型的审计设备需要取代用户的上网网关或nat设备来进行流量的分析和控制，这种方式对于小型企业考虑到成本问题倒也不失为一种选择，至少省掉了代理服务器或nat设备的投入。

缺点：

产品的应用架构就直接暴露了问题所在，大体说来架构上的特性带来了如下负面作用：

一、多一台设备对于用户网络而言就将多一次网络延时，特别是针对企业这种要求并不是太高或网络带宽并不是太高的情况下，出于成本的考虑，大多数的硬件设备会采用x86架构，因此网络的吞吐量、延时等特性指标并不会太高。

二、多一台网关类型的设备或软件系统将增加用户网络出现单点故障的概率。


三、由于网关型的硬件设备或软件系统是对经过网络设备的数据包进行捕获和分析，从而监控一些应用的活动，比如监控和审计http、smtp、pop3等协议，还原用户的上网行为，一旦没有数据包经过，那设备就无用武之地。比如桌面终端本地的信息泄露（通过usb移动存储设备进行资料的拷贝、光盘刻录机刻录资料、通过无线、蓝牙、红外或直接点对点交叉网线联接等方式将资料拿走）

四、对加密类型的网络数据传输，网关型或旁路型的监控审计设备（软件）都将无能为力。比如通过ipsec vpn、ssl vpn、https等加密通道传送的数据。


五、目前的即时通信工具大部分均采用加密通信，如live messenger、qq、skype、yahoo messenger等等，网关或旁路型的硬件设备或软件只能对网络数据包进行协议的分析，而无法还原其内容。比如可以分析什么时间、什么人登陆了qq或利用qq传送了文件（通过对qq通信指令的分析可以确定）、但具体的聊天内容或传送了什么文件就无法得知了。

六、由于设备或软件系统是网关架设，桌面终端发生的行为设备是无法管理和监视的（除非装客户端，采取设备+客户端的方式），比如用户恶意删除重要开发文档或破坏服务器上的公用资料。

旁路式的软件或硬件设备

优点：

旁路式的审计、监控、防信息泄露类型的设备（软件）相对于网关型的同类产品而言，最大的优势在于设备以旁路方式部署，大多通过交换机端口镜像或hub等方式，在不改变用户原有网络结构和数据流向的情况下，将数据包同时复制一份至设备的数据捕获端口上进行协议的分析。这样不会造成用户的网络延时，也不会造成单点故障威胁。即使设备故障了也不影响用户的网络使用，充其量无法审计和监控而已。

缺点：

一、旁路式与网关式相比较，由于架构上的原因（数据包没有经过设备再至互联网），因此对p2p应用、网络带宽的控制能力相对较弱。

二、由于旁路部署，在涉及到应用的控制时，相对而言就没有网关设备那么直接和便捷。比如网关型当要禁止数据包传输时可以直接drop数据包。而旁路设备则需要伪造一个tcp rst标志位来断开tcp连接或伪造一个icmp目的端口无法到达的信息来阻止udp类型的数据传输。当客户机器上安装的个人防火墙具备数据包状态检测能力的时候，这个伪造的数据包是无法通过检测的，也就造成了封堵的失效。

三、对于加密类型的数据传输与网关型的设备一样无能为力。同样，对于桌面终端上发生的泄密行为照样无法管理与监控。（请参见前面网关型的缺点介绍）

c/s架构的软件或软硬结合

    基于大部分安全隐患产生的源头来自于桌面终端这一现实，因此在监控、审计和控制用户行为上来讲，在用户桌面终端安装管理软件是最为直接有效的方法，因为管住了信息泄露的源头。ip-guard企业信息监管系统就是属于此类产品。

优点：

一、相对于前面两种架构（网关和旁路）的产品来说，由于直接在用户桌面终端上安装管理及监控客户端，可以直接从源头上对用户的各种行为进行监管。如对所有文档的操作行为、对程序的使用、对各种接口的管理、对进程的管理、对安全漏洞和补丁的管理等等。几乎没有什么功能不能实现，只是程序开发上如何实现及实现得是否高明的问题罢了。

二、由于直接在桌面终端进行监控，因此可以通过相应的技术手段绕过网关型或旁路型存在的技术瓶颈，在数据包还没有开始在网络上进行加密传输的时候，就将信息截获下来。比如qq的聊天内容，传送的文件副本等。因此在监控功能的实现及完整性上面有无法比拟的优势。

缺点：

一、需要专用的服务器来保存所有被监控的数据资料，增加了企业的硬件投入。但对于数据的长久保存和归档而言，未必算是一件坏事，暂且算为缺点吧。

二、由于要在桌面终端上安装客户端，因此必定会造成一定的性能消耗和资源的占用、兼容性及系统稳定性的问题。但这部分的负面影响与软件的成熟度、开发者的编程水平、软件结构的设计有很大的关系，是可以通过人为的技术手段进行改进的。而ip-guard企业信息监管系统作为国内一个开发历史最长（从2001年至今从未停止开发）、用户使用群体极其庞大、非常成熟的一款产品而言，前面所说的负面影响几乎可以忽略不计。

技术实现原理篇：

对于网关型或旁路型的设备或软件系统，前面的介绍中也大体进行了说明，其原理是通过对网络数据包的协议分析与控制实现的。

对于旁路的设备或软件，在涉及到应用控制功能时，在大型的企业中应用时，可能会造成过多的伪造封包充斥用户网络，严重的将可能导致用户网络故障。（在不涉及到控制部分时将不会给用户网络造成任何的影响，比如纯粹的监控），在此就不再做介绍了。重点介绍看上去同类型的软件监控实现原理有哪些。

比较常见的软件监控或防信息泄露系统有四种实现原理：

一、    通过网关方式部署，不需要安装客户端，直接进行网络数据的协议分析。
二、    非网关方式部署，不需要安装客户端，对网络进行监控和控制。
三、    纯粹的c/s传统架构实现，直接在用户终端上安装监管代理。
四、    完全通过对文档的加密及解密权限管理解决信息泄露的问题。

对于第一种方式，经过前面的介绍部分已经说明了。对于第二种方式，如果以非网关方式部署，并且不需要安装客户端即可对网络行为进行监控和控制的情况，客户在选择的时候就一定要慎重了。因为毫无疑问此种类型的产品是采用的arp欺骗方式，冒充网关，将所有与真正网关通讯的数据包欺骗过来，进行审计记录后再根据设置的策略来决定是否断开或转发至真正的网关。在小规模的企业中使用可以考虑，毕竟此种类型的软件监控系统价格非常便宜。但上了一定规模的企业若要使用必须慎重，轻则影响网络性能，重则造成网络瘫痪。

    ip-guard采用的是传统的c/s架构，由客户端、服务器端和管理控制台三部分组成。所有客户端上监控的数据直接发送至服务器数据库进行存档和归类。管理控制台可以安装在任何一台需要进行管理维护的计算机上，通过用户的身份认证即可对整个监控系统进行管理。由于服务器和客户端都是直接联至企业的交换机，以目前企业的基础网络条件而言，100m交换环境是非常普及的，因此并不会给用户的互联网络造成影响。同时系统在开发设计时就考虑到了大企业用户群体对系统性能及网络资源占用的关注，因此在服务端与客户端的设计实现过程中采用了众多的优化设置和算法，用以保证大规模用户环境下的正常运作。

    对于第四种通过文档加密和解密权限的划分来解决信息泄露的问题，虽然这是个不错的解决方式，但并不是唯一或者最完善的解决方案。原因如下：

一、某些文档加密系统声称功能如何强大，完全可以保护企业的涉密资料不被外泄，用户在感觉产品的开发理念及功能实现确实不错的同时，往往忽略了一个事实：安全保护程度的高低与用户体验的好坏往往是成反比的。为了达到很高的安全性，牺牲了可用性或可操作性结果是得不偿失。很多文档加密系统声称有如何完善的用户权限划分，可以根据不同的对象、不同的时间、不同的文档或目录进行权限的划分，有授权的用户可以查看，而其他任何非授权的方式得到文档后只能是密文一堆。但是在企业复杂的应用环境下，同一个文档涉可能涉及到不同的部门或者不同的审核者，权限之间往往会互相交错，最终导致混乱。比如a员工的设计方案文档加密后发送给部门经理b，b有可能需要协调不同的部门经理对该方案进行讨论，也可能是b直接将该文档发给总经理，总经理临时决定召开会议进行讨论，于是将该加密文档发送给了他认为该参与讨论的相关人员，但总经理怎么知道这些相关人员是否有打开加密文档的权限？随着企业的规模增大，这种权限的互相交错只会让管理人员疲于奔命，最后干脆弃之不用。

二、很多情况下企业的文档资料是需要外发给客户或合作伙伴。涉及到外发，就必定涉及到解密操作，否则你的客户或合作伙伴如何阅读？总不能要求你的合作伙伴也装上加密客户端连入公司的认证服务器进行权限的认证后方可阅读吧？一旦解密成明文外发出去或者有解密权限的人将资料解密后通过各种方式带走，基本上就已经失控，并且无法监控，毕竟加密系统并不是监控系统。

三、有些加密系统在所有加密资料需要外发前需要人工审核批准，此方法虽然可行，但得安排专人就做文档审核与批准工作，并且随时standby，因为谁也无法预料企业中的员工什么时候就急着要下个订单或将产品设计资料发送给客户而等着审核批准。因此加密系统的实施还是需要有一定的适用条件和范围的。

因此，并不是说通过文件加密的方式来解决信息的泄露问题不可行，而是内网监控和审计的范围太广，加密系统主要从文档介质存储的安全角度来考虑问题，而对于企业内网的监控、管理或桌面终端的管控能力是非常有限的，毕竟术业有专攻。安全问题是复杂、多层次的问题，并非某一种技术或产品能100%解决用户的所有安全问题。

功能实现篇：

很多客户在对监控、审计类产品或内网安全管理类产品进行选型对比的时候，笔者经常听到的话就是“好像都差不多嘛，你有的功能人家也有嘛”。在此我举几个小例子来说明：

    邮件监控：

似乎所有的监控类产品都可以监控到邮件的内容嘛：-）让我们细细地分析一下是否真是这样的情况：

一、普通用户通过outlook或者foxmail等客户端工具进行邮件的收发，采用标准明文传输的smtp及pop3协议，当然几乎所有的监控系统都可以完整监控到邮件的标题、正文及附件内容。

二、如果用户将outlook或foxmail设置为通过ssl加密的安全方式收发邮件呢？如下图所示：

(责任编辑：admin)