迪普科技：自安全网络之易运维——异常关联，灵活追溯

　　传统网络行为审计

　　由于企业对互联网的需求越来越高，使得企业越来越重视对互联网方面的建设，但是在互联网使用的过程当中，出现了很多难以监控与管理的用户行为，比如上班炒股、打游戏影响工作效率，访问不健康站点、散步非法言论对企业造成负面影响而无法追溯等。为了对不合理的上网行为进行必要的控制，也为了追溯网络风险责任到人，通常是在互联网出口部署上网行为审计设备——这种审计是针对互联网访问管控而生的。

　　内网行为追溯的缺失

　　企业人员在日常的业务处理中，只需要访问内部特定的业务系统(如OA、EMR等)，访问关系发生在局域网与数据中心两者之间，而不需要经过互联网。在如今网络病毒、网络攻击越来越简单化的趋势下，企业内网的应用安全遭遇极大的挑战。企业人员在访问内部业务系统时，是否存在恶意攻击行为、是否无意中带来了网络安全风险，这些网络行为由于不会经过互联网，无法通过上网行为审计设备进行审计，从而导致非法访问导致的安全风险无法责任到人，由此可见，基于内部网络的行为审计也同样重要。

　　自安全网络基于内网的“人员轨迹追溯”

　　自安全网络以Portal准入认证为基础，基于用户对内部网络的访问进行实时的记录，实现“人员轨迹追溯”。人员轨迹包含两个方面：

　　■ 人员网络位置轨迹，通过自安全交换机与自安全控制器联动，能够记录人员入网所使用的终端信息、接入的具体交换机设备及端口、接入的时间等等;

　　■ 人员访问行为轨迹，通过自安全控制器可以记录人员访问的目标业务系统、访问时间以及访问时的终端IP。

　　自安全网络可以对人员轨迹的追溯形成历史记录，当企业人员对内部网络有恶意攻击行为时，通过自安全交换机和控制器的联动，实现人员轨迹和网络攻击的关联，为以后追究网络安全风险责任到人提供依据。