[干货分享]网络监控，行为管理产品如何选择.pdfVIP

[干货分享]网络监控，行为管理产品如何选择？ 这里说的网络监控，是局域网上网设备监控（泛指电脑，手机，PAD 等）的上网行为和内容监控。 一般都称网络管理，上网行为管理。这样的技术不算新技术，一二十年的历史总是有的。但是信息时 代，IT 技术，信息观念三年一小变，五年一大变，任何技术只有不停更新，才能跟得上时代的步伐， 今天探讨网络监控技术和市面上各种产品。网络监控从技术角度，分两种：客户端监控和网络监控。 一、客户端监控 1. 客户端监控的起源 客户端监控技术起源于一个远古的技术。什么时候有的微软，差不多它什么时候就有了，在“古老” 的IT 时代，这个东西并不讨喜，因为那个时候它的名字叫“木马程序”。当年小比尔创建微软的时候， 开放的接口比较强大。所以“木马程序”非常来事，植入到您系统，想干啥就干啥。从而也产生“防火 墙”、“杀毒软件”等 IT 安全产业链。（真不知道当年小比尔是不是故意这样的，因为后面的 LINUX 系统，LINUX 的孙子辈安卓系统，MAC 系统，都没有这样的问题。） 随着IT 安全的越来越成熟，而且普及越来越高。黑客程序也不像以前那么猖獗和容易了，这个就 是客户端监控的起源。说白了，就是在被监控的电脑上安装一个程序包，那么想干啥就能干啥了：截 屏、禁止USB 、进程管理，统统都能做到。技术很成熟，程序也很开源。 2. 客户端监控的功能性和局限性 客户端的监控功能显然很强，程序都装到电脑上去了，那么一切尽在掌握中了，想看什么看什么， 想干啥干啥。局限性也很明显：安装和存活率。首先被监控的设备一定要是 windows 系统，别的系 统包括安卓、LINUX 、苹果系统，是没有路径可以安装上去的（仙去的老乔想的周全啊）。植入到 windows 系统里面后，是否能和防火墙杀毒软件共存也是一个考验（一旦系统重装还得重新植入）。 客户端监控产品有很多技术是开源的。各家凭借自己能力进行再改造也是一个技术活（产品的技 术价值和商业价值是没有可比性）。因为技术局限性，那么客户端监控一般被用在家庭监控、学校、 或者保密比较严格，电脑统一管理的单位。（当然安全性要求极高（国家安全级别哦）的系统一般是 不会用微软系统的）全世界这样的产品很多，免费的，收费的，开源的都有。下面是一些常见的产品： a.老牌安全公司Bluecoat 的K9 ，免费家庭版监控和过滤软件。Bluecoat 是家老牌安全厂家，和梭 子鱼一个时代的，后来被赛门铁克纳入门了。主要用来家庭监控，免费产品，用户很多。 全名：k9webprotection ( 只有英文版）界面大概看了一下，主要是还是过滤非未成年人的领域。 b. Spytech 的NetVizor, 功能蛮强大的。下载试用了一下，易安装，但是兼容性不咋的，防火墙开 高了，就报警了，个人电脑可能不好安装。但是功能蛮贴心的，界面也友好，企业用如果没有语言问 题，还不错。监控聊天、键盘、文件访问、邮件、软件安装等一系列操作，另外管理功能也可以。（价 格也高，毕竟国外人力成本高） C. 国外同类产品的还有sspro 和上面提到的Spytech 也是大同小异，可自行搜索咨询。国内客户端 产品也比较多，免费的没找到，企业产品很多。第三只眼，IP-Guard, 天易成，网路岗等等。出彩功 能是QQ 聊天内容监控。功能差不多，主要就看产品设计和创意以及侧重点了，张家能做到的，李家 也能做到。花开并蒂，各表一枝。 二、网络监控 1. 网络监控的起源 网络监控的起源是winpcap 以及libpcap （这两个都是开源）。网络监控的核心是数据包分析和协 议解析。理论上只能在局域网实施，通过netfilter 加iptables （串联）或者镜像（旁路），把数据包解 析还原。这个技术也差不多有了二十个年头了，系统安全的要求越来越高，那么数据包的加密也越来 越复杂，这样对于数据包解析技术要求也越来越高。所以对开源的winpcap 以及libpcap 依赖性不强， 主要还是看一个协议解析的技术功底，好的协议分析工具能精确解析协议特征码，这算是一条技术专 业性道路了。所以国内国外专业性产品不多，开源的，免费的（兴趣的）就更少了。(写这个要精通 C 就跟精通自己母语一样，掌握网络安全就跟会说自己家乡话一样） 2. 网络监控的功能性和局限性。 优点很明显：对被监控设备没有要求，不管啥系统都无所谓，手机，电脑，PAD 一个都不会