在数据安全管理中，行为审计具有非常重要的意义，不仅可以检验合规管理效果，而且是促进内网安全状况持续改善的基本保证。

本系统通过对数据的采集分析，实时动态监测终端行为、网络行为和网络流量等，发现和捕获各种敏感信息、违规行为，实时报警等，全面记录网络系统中的各种会话和事件，实现对安全事件的关联分析和评估，为整体终端安全策略的制定提供权威可靠的支持。

一、数据防泄密审计

1) 文件外发记录：查看终端用户的文件外发情况，了解内部文件的外发去向。

2) 文件备份记录：查看终端用户备份的详细情况，并可进行文档恢复操作，防止终端用户有意或无意删除企业重要文件。

3) 文件解密预警：用户某一时间段内解密的文件数量超过预设值，系统会自动生成报警日志，报警日志可支持邮件提醒、控制台提醒。

4) 审批解密日志：查询各部门经理的文件审批及解密情况，避免具有解密权限的人员滥用职权，导致内部机密信息泄露。

5) 离线申请日志：了解内部员工的出差情况。

二、软件行为审计

用户违反IT政策，使用可能含有未知风险的应用程序，或耗费大量时间在与工作无关的炒股、游戏等娱乐应用上，使得企业的IT应用合规性管理面临着重大挑战和风险。行为审计系统提供程序使用日志和程序使用统计功能，能够帮助管理者清楚了解用户使用了哪些应用程序。

软件管理

管理员能够直观查看终端电脑安装的应用程序详情，包括软件名称，发布者，软件版本，大小，安装路径以及安装时间。

程序使用日志

管理员能够直观查看终端用户的程序开关日志。如下图所示：在详细信息栏将显示选中用户的程序启动、停止的情况。

程序运行统计报表

行为审计系统会自动统计终端用户的程序使用情况，用户打开使用了哪些程序、程序活动时间及所占百分比都可以直观查询。

进程管理

管理员能够直观查看终端用户的进程情况。如同直接调起终端电脑的任务管理器操作。

二、硬件设备审计

1) 打印记录：打印纸质化作为文档传播的一种途径，得不到有效监管的打印行为，已经成为客户信息、市场计划等机密信息泄露的重要渠道，甚至有不法分子专门在各大企业的打印废料中收集机密信息以谋取利益。能够有效审计每一次打印操作，完整的记录打印操作行为，打印机监控日志信息包括：工作站、时间、文件大小、文件名称、页数、打印份数等。双击选中的记录，可以查看打印文件内容。有效避免敏感或机密信息通过打印而外泄。

2) USB外发日志：对企业内部员工的USB拷贝行为进行详细记录，从而为企业内的信息拷贝提供更严格的安全保障，防止内部机密信息被非法拷贝。

3) 光盘刻录审计：提供光盘刻录审计和刻录文件备份的功能，能够对单位内部员工的光盘刻录行为进行监视审计，防止非法刻录的行为发生，同时对刻录文件进行安全备份，能够有效防止光盘遗失带来的数据丢失隐患。

三、终端行为审计

大部分的IT审计产品，只提供文字式的记录或者报表，并不能完全重现用户当时的操作行为。提供高质量的屏幕追踪和屏幕录像功能，可实时察看用户的即时桌面并记录屏幕画面，最直观的重现用户的操作行为，甚至可以将屏幕历史导出为视频以供查看，满足部分客户严格的IT审计需求。

屏幕追踪

管理员可远程实时追踪查看终端用户的屏幕影像。从而快速了解员工当前的工作状态。可同时追踪多个用户终端电脑的屏幕变化过程。还可自行设置屏幕追踪的时间间隔，默认为3 秒，最快可以设置到1 秒。

屏幕录像

管理员可远程实时监视终端用户屏幕并录像，可后台播放所有记录屏幕影像，方便管理员回放终端桌面屏幕操作全过程，了解员工一整天的工作情况。

文件操作日志：

完整记录内部网络中的文档使用与传播的全过程，并可发现非法的文档访问、修改、删除、复制等违规使用行为，防止文档被非法篡改或泄露。

四、网络行为审计

网页浏览记录

员工过多浏览与工作无关的网页，不仅降低了其工作效率，网络上隐藏的病毒、木马、网络钓鱼等安全风险，更有可能使得用户在上网过程中泄露敏感信息。系统会自动记录员工的网页浏览信息。如下图所示详细信息栏将显示指定终端用户浏览过的网页，包括网址、标题、URL。同时，管理员也可以根据时间段、网页标题和网站进行过滤筛选。

论坛发帖信息

系统会自动记录员工在主流论坛上的发帖记录，包括腾讯微博，空间心情，新浪微博等。如下图所示：详细信息栏将显示选中用户的论坛发帖记录，包括帖子发布时间、终端名称、帖子标题、帖子URL及帖子内容。

FTP监控日志

全面监控终端Ftp服务器文件上传和文件下载的记录、还可以详细记录登陆Ftp文件服务器的IP地址，并可以导出日志，从而可以让网管员实时掌控局域网用户访问Ftp文件服务器的情况，更好地管理Ftp服务器文件安全，防止Ftp文件泄密和商业机密泄露。

观察、统计员工的网络流量使用情况

在线视频、下载、P2P等多种带宽滥用行为造成网络拥堵，会使得关键的业务无法正常展开，降低工作效率严重损害了企业在带宽方面的IT投资回报。行为审计系统提供网络流量观察和统计功能，能够对企业内部员工的流量使用情况进行分析，及时发现网络滥用问题，合理分配宽带，保证关键业务的正常带宽，让整体网络更加通畅。

网络流量观察

通过查看员工的当前进程流量，能够清楚的了解当前有哪些进程在使用网络，每个进程每秒流量是多少，从而判断是否有带宽滥用行为发生。

网络流量统计报表

行为审计系统会自动统计员工的网络流量使用情况，包括发送流量、接收总流量和收发总流量。这里说的流量，可以包含内网传输数据的流量，也可以过滤掉内网流量，只记录上网流量。

即时通讯工具监控

QQ、微信、RTX、飞信等即时通讯工具的广泛应用方便用户间即时沟通的同时也暴露了另外一种信息泄露渠道，用户可能在即时沟通中泄露机密信息，或发送包含机密信息的文档；过多的私人聊天，还可能降低用户的工作效率。行为审计系统提供聊天监视功能，完整地记录QQ、微信、Skype、钉钉、TM等大部分主流即时通讯工具的聊天内容，同时还可以阻止用户经由QQ聊天工具外发机密文档，从而有效防止重要文件经由即时通讯工具泄露。

1) 聊天文字监视

2) 聊天图片监视

3) 聊天工具文件监视

邮件收发行为监视

几乎所有的企业都利用电子邮件进行必要的内部与外部沟通。显而易见，个人邮箱、邮件服务器中也就包含着大量的机密。如何对邮件往来进行有效的规范，防止机密信息经由电子邮件泄露，是IT管理者面对的重大挑战。

行为审计系统提供邮件收发日志记录，记录信息包括邮件收发时间、收发标志、邮件标题、附件大小、发件人、收件人、正文内容，以及可以下载查看附件内容。

五、违规行为报警

”一旦违规，立即报警“，对非法用户、越权访问和存在安全问题的终端立即报警，实现对员工的违规行为进行及时阻止。

报警规则设置

管理员可自行设置以下报警规则，如：打开被禁止的程序时报警、插入或拔出可移动磁盘时报警、IP或MAC地址改变时报警、计算机名称改变时报警、违反IP/MAC绑定时报警。设置了哪些报警规则后，就会自动生成对应的报警日志。

解密预警

单日解密超过一定数量即会报警，控制台弹窗或发送邮件预警，帮助企业数据管理提供更灵活的管理方式。

报警日志

当终端用户操作报警规则中的事件时，操作行为就会以报警方式记录下来，此外终端用户如果发生违规外联的话，也会以报警方式记录下来。