主动审计系统及方法

1.一种内容安全审计系统，包括主动内容安全审计子系统和被动内容安全审计子系统，
所述主动内容安全审计子系统包括：
-配置装置，获取指定要主动进行审计的URL列表；
-网页提取装置，为所述URL列表中的每个URL提取该URL所指向的网页的网页源代码；以及
-内容分析和审计装置，对所述网页源代码进行内容分析，以确定所述网页源代码是否包括敏感内容或者恶意代码，
以及所述被动内容安全审计子系统包括：
-数据监听装置，获取经过网络关键节点的数据内容；
-用户行为分析装置，对所述数据监听装置获取的数据内容进行统计分析，其中所述用户行为分析装置通过所述统计分析获取与用户相关的URL列表，并且将其提供给所述配置装置作为所述要主动进行审计的URL列表。
2.如权利要求1所述的内容安全审计系统，其中所述内容分析和审计装置包括：
内容分析装置，提取所述网页源代码中的文本内容和脚本内容；以及
内容和安全检测装置，用于确定所述文本内容和脚本内容是否包括敏感内容或者恶意代码。
3.如权利要求2所述的内容安全审计系统，其中所述内容和安全检测装置包括内容检测装置，用于确定所述网页源代码的文本内容是否包括敏感内容。
4.如权利要求3所述的内容安全审计系统，其中所述内容检测装置包括违法内容列表，并且当所述文本内容与所述违法内容列表中的内容相匹配时，确定所述文本内容包括敏感内容。
5.如权利要求3所述的内容安全审计系统，其中所述内容检测装置包括企业内部信息内容列表，并且当所述文本内容与所述企业内部信息内容列表中的内容相匹配时，确定所述文本内容包括敏感内容。
6.如权利要求2所述的内容安全审计系统，其中所述内容和安全检测装置包括安全检测装置，用于确定所述网页源代码的脚本内容是否包括恶意代码。
7.如权利要求1所述的内容安全审计系统，其中所述恶意代码为木马和跨站脚本中的至少一种。
8.如权利要求1所述的内容安全审计系统，还包括链接提取装置，用于提取所述URL列表中的每个URL所指向的网页中包括的URL链接来创建新的子URL列表，并且将所述子URL列表并入到所述URL列表中来扩充所述URL列表。
9.如权利要求1所述的内容安全审计系统，还包括报警装置，用于在所述内容分析和审计装置确定所述网页源代码包括敏感内容或者恶意代码时，记录所述网页源代码对应的URL，并且生成指示检测到敏感内容或者恶意代码的报警消息。
10.如权利要求1所述的内容安全审计系统，其中所述主动内容安全审计子系统包括报警装置，用于记录所述包括敏感内容或者恶意代码的网页源代码对应的URL，以及所述被动内容安全审计子系统包括URL控制装置，所述URL控制装置包括URL类库，用于控制用户对URL类库中所包含的URL的访问，
其中所述报警装置利用所记录的URL来更新所述URL类库中的URL。
11.一种内容安全审计方法，包括步骤：
获取指定要主动进行审计的URL列表；
为所述URL列表中的每个URL提取该URL所指向的网页的网页源代码；
对所述网页源代码进行内容分析，以确定所述网页源代码是否包括敏感内容或者恶意代码；
获取在网络关键节点处的内容数据，对这些数据进行统计分析以获取与用户相关的URL列表，作为要主动进行审计的URL列表。
12.如权利要求11所述的内容安全审计方法，其中所述对所述网页源代码进行内容分析的步骤包括：
提取所述网页源代码中的文本内容和脚本内容；以及
确定所述文本内容和脚本内容是否包括敏感内容或者恶意代码。
13.如权利要求12所述的内容安全审计方法，其中所述确定所述文本内容和脚本内容是否包括敏感内容或者恶意代码包括：
将所述文本内容与违法内容列表中的内容进行匹配，当所述文本内容与所述违法内容列表中的内容相匹配时，确定所述文本内容包括敏感内容；以及
将所述文本内容与企业内部信息内容列表中的内容进行匹配，当所述文本内容与所述企业内部信息内容列表中的内容相匹配时，确定所述文本内容包括敏感内容。
14.如权利要求12所述的内容安全审计方法，其中所述确定所述文本内容和脚本内容是否包括敏感内容或者恶意代码包括：
确定所述网页源代码的脚本内容是否包括恶意代码。
15.如权利要求11所述的内容安全审计方法，其中所述恶意代码为木马和跨站脚本中的至少一种。
16.如权利要求11所述的内容安全审计方法，还包括步骤：提取所述URL列表中的每个URL所指向的网页源代码中包括的URL来创建新的子URL列表，并且将所述子URL列表并入到所述URL列表中来扩充所述URL列表。
17.如权利要求11所述的内容安全审计方法，还包括步骤：在确定所述网页源代码包括敏感内容或者恶意代码时，记录所述网页源代码对应的URL，并且生成指示检测到异常信息的报警消息。

主动审计系统及方法\n技术领域\n[0001] 本发明涉及网络安全领域，尤其涉及网络审计系统及其方法。\n背景技术\n[0002] 伴随着信息技术的日新月异和网络信息系统应用的发展，越来越多的政府机构、企业、意识到日趋复杂的IT业务系统与不同背景业务用户的行为给网络带来了潜在的威胁。例如系统内部业务数据、重要敏感文件等可通过电子邮件、数据库访问、远程终端访问(TELNET、FTP等)、网络文件共享(NETBIOS)等方式被篡改、泄露和窃取；网民访问非法网站、发布非法言论等违规上网行为日益泛滥；而且还存在网络恶意用户严重破坏政府、企业的信息系统安全等破坏行为。因此，用于对网络用户的上网行为进行分析和监控的网络信息安全内容审计(CASNI)已成为网络信息安全中不可或缺的重要组成部分。\n[0003] 目前已经开发了各种网络信息安全内容审计系统用于各种企业和组织，这些网络信息安全内容审计系统一般采用如下方式来进行安全内容审计：其首先从诸如企业的网关或者路由器之类的网络关键节点收集数据包，然后分析并审计从这些网络关键节点获得的网络数据内容，从而发现一些网络用户的不当行为。通常网络信息安全审计系统的审计对象包括：局域网内用户的邮件内容、邮件附件内容、上网行为、浏览网页内容、FTP行为，以及QQ/MSN等聊天内容与行为。\n[0004] 以企业为例，由于企业内部用户都需要通过网关来访问外部网络，因此，传统的网络信息安全内容审计系统可以通过对经由网关的数据包进行分析和审计，从而发现企业内部用户是否进行访问一些包含暴力、色情等不健康内容的网页、访问一些包含有木马病毒、跨站脚本等不安全内容的网页、以及将企业内部信息泄露到外部等不当行为，而且一般传统的审计系统可以触发警告事件来报告这些不当行为，或者采取一些动作来阻止用户的不当行为(如可以阻止用户对包含不健康内容或者不安全内容网页的访问)。\n[0005] 然而，这类传统的内容安全审计系统存在一些固有的限制。首先，这些系统一般仅仅对通过网络关键节点的数据包进行分析，因此这些系统只能覆盖通过网络关键节点的网络用户的行为，即这些系统只能覆盖有限区域，而无法做到全方位的安全内容审计。例如，如果企业用户通过其便携式计算机自带的无线网卡、经由覆盖企业的无线网络系统将企业内部数据发布到公共网络上，则现有内容安全审计系统就没有办法检测到该泄密行为。此外，现有内容安全审计系统只能被动的对经由网络关键节点的用户数据包进行分析，则由于各种技术原因造成的数据内容遗漏难以避免。例如，如果用户所访问的网站采用了加密传输协议(如HTTPS协议)，现有内容安全审计系统很难分析出用户数据包的内容，因此也就很难对其中的用户不良行为进行监测。\n[0006] 可以看出，现有内容安全审计系统主要是因为被动地在一些网络节点上监视网络数据而存在上述问题，因此所希望的具有一种可以弥补现有被动审计系统的不足的、基于主动审计技术的内容安全审计方案，其可以通过对目标范围进行主动安全审计来为现有被动内容安全审计系统提供了有力的补充。\n发明内容\n[0007] 本发明的目的在于提供一种基于主动审计技术的内容安全审计系统和方法，其通过对目标范围进行主动安全审计来为现有被动内容安全审计系统提供了有力的补充。\n[0008] 根据本发明的一个方面，提供了一种内容安全审计系统，其包括配置装置，获取指定要主动进行审计的URL列表；网页提取装置，为所述URL列表中的每个URL提取该URL所指向的网页的网页源代码；以及内容分析和审计装置，对所述网页源代码进行内容分析，以确定所述网页源代码是否包括敏感内容或者恶意代码。\n[0009] 根据本发明的一个可选特征，该内容安全审计系统还包括被动内容安全审计子系统，用于获取在网络关键节点处的数据，对这些数据进行分析以确定所述URL列表。\n[0010] 根据本发明的另一个方面，提供了一种内容安全审计方法，包括步骤：获取指定要主动进行审计的URL列表；为所述URL列表中的每个URL提取该URL所指向的网页的网页源代码；对所述网页源代码进行内容分析，以确定所述网页源代码是否包括敏感内容或者恶意代码。\n[0011] 根据本发明的另一个方面，提供了一种内容安全审计系统，其包括主动内容安全审计子系统和被动内容安全审计子系统，所述主动内容安全审计子系统包括：配置装置，获取指定要主动进行审计的URL列表；网页提取装置，为所述URL列表中的每个URL提取该URL所指向的网页的网页源代码；以及内容分析和审计装置，对所述网页源代码进行内容分析，以确定所述网页源代码是否包括敏感内容或者恶意代码，以及所述被动内容安全审计子系统包括：数据监听装置，获取经过网络关键节点的数据内容；用户行为分析装置，对所述数据监听装置获取的数据内容进行统计分析，其中所述用户行为分析装置通过所述统计分析获取与用户相关的URL列表，并且将其提供给所述配置装置作为所述要主动进行审计的URL列表。\n[0012] 根据本发明的内容安全审计系统和方法可以提供一种更为主动的内容安全审计方式，用于对指定的网站、网页资源进行深度内容挖掘与安全扫描，在审计敏感信息的同时也提供木马扫描等安全审计。此外，根据本发明的内容安全审计系统和方法在审计方式上摆脱以往通过在网络关键节点部署的方案，能更加全面的对用户浏览的网站信息进行审计；并且在审计形式上采用主动扫描审计方式，防范于未然，减小因信息安全造成的风险。\n附图说明\n[0013] 通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：\n[0014] 图1说明了根据本发明实施例的内容安全审计系统的结构框图；\n[0015] 图2示出了URL深度示意图；\n[0016] 图3说明了根据本发明实施例的内容安全审计方法的流程图；\n[0017] 图4说明了根据本发明另一个实施例的内容安全审计系统的结构框图；\n[0018] 图5说明了根据本发明另一个实施例的内容安全审计方法的流程图；以及[0019] 图6说明了根据本发明另一个实施例的内容安全审计系统的部署示意图。\n[0020] 具体实施例\n[0021] 在对本发明的具体实施例进行描述之前，首先将要概述一下在本技术领域经常使用的术语URL，即统一资源定位符，其是对在互联网上所存在的网页的标识。只要在网络浏览器中输入该URL，就可以在网络浏览器中显示该URL所指向的网页的内容。由于URL和URL所指向的网页内容之间存在一一对应关系，因此，在下文中，这二者是可替换使用的。例如，URL包括违法内容意思为该URL所指向的网页中包含有违法内容。\n[0022] 图1说明了根据本发明实施例的内容安全审计系统100的结构框图。配置装置\n101获取被指定要进行主动审计的URL列表，并且将该URL列表提供给网页提取装置103。\n对于配置装置101所提供的URL列表中的每个URL，网页提取装置103逐个提取该URL所指向的网页的网页源代码，然后将该网页源代码提供给内容分析装置107。\n[0023] 内容分析装置107对网页提取装置103所提供的网页源代码进行解析，提取其中的文本内容和脚本内容，并且将它们分别提供给内容检测装置109和安全检测装置111。\n[0024] 内容检测装置109对文本内容进行分析，以确定其中的文本内容是否包括敏感内容。例如，内容检测装置109中可以包括预先设置的违法内容列表，当文本内容与违法内容列表中的违法内容相匹配时，可以判定该URL包括违法内容，因此内容检测装置109可产生警告消息并将其提供给报警装置113进行处理。此外，内容检测装置109中还可以包括预先设置好的企业内部信息内容列表，这样，当文本内容与企业内部信息内容列表中的企业内部信息内容相匹配时，可以判定该URL包括与企业内部信息相关的内容，内容检测装置109可产生警告消息并将其提供给报警装置113进行处理。可以有多种方式来判断文本内容是否与某个内容相匹配，因此内容检测装置109可以多种方式来实现，所有这些方式都在本发明的保护范围之内。\n[0025] 安全检测装置111对脚本内容进行分析，以判断该脚本内容中是否包括木马和跨站脚本等恶意代码。可以有多种方式来判断脚本内容中是否包括恶意代码，例如，现在的网页木马一般以ActiveX控件的形式存在，而且这些木马一般都具有特征码，因此可以通过在安全检测装置111中包括特征码列表，并利用特征码匹配来确定ActiveX控件是否包括木马等。任何可以对脚本内容进行分析以判断该内容是否包括恶意代码的安全检测装置实现都在本发明的保护范围之内。当安全检测装置111从脚本内容中检测到恶意代码时，就产生警告消息并将其提供给报警装置113进行处理。\n[0026] 应当注意的是，上面虽然描述了内容检测装置109和安全检测装置111分别对文本内容和脚本内容进行分析以分别检测敏感内容和恶意代码。但是应当理解的是，在某些情况下，一些敏感内容也可能包含在脚本内容中，而恶意代码有时也需要文本内容的支持。\n因此，内容检测装置109和安全检测装置111需要同时对文本内容和脚本内容二者进行分析，这也在本发明的保护范围之内。\n[0027] 报警装置113对由内容检测装置109和安全检测装置111所提供的警告信息进行各种处理，这些处理例如包括将包含违法内容和恶意代码的URL存入到恶意URL列表中；以及将包括与企业内部信息相关内容的URL存入到泄密URL列表中。报警装置113然后可以生成包含上述信息的报警消息，并且将这些报警消息写入到报警文件中。报警装置113此后还可以通过例如邮件，短消息等各种手段通知系统管理员所述报警消息。\n[0028] 当内容检测装置109和安全检测装置111二者均没有发现网页源代码的任何不良或者异常信息时，网页提取装置103接着提取下一个URL所指向的网页源代码以进行分析。\n[0029] 可选地，仅仅对配置装置101所提供的URL列表进行内容安全审计可能是不够的。\n一般而言，一个网页可能包含有多个到其它网页的URL链接，而且用户通常会通过点击网页上的某个URL链接来跳转到另一个网页进行浏览。基于此，内容安全审计系统100也希望能够对与配置装置101所提供的URL相关的其它URL进行安全审计，因此内容安全审计系统100中还包含了链接提取装置105，其分析网页提取装置103所提供的网页源代码，提取该网页源代码中所包括的URL链接以生成新的URL列表，然后链接提取装置105接着将新生成的URL列表提供给网页提取装置103。因此，网页提取装置103和链接提取装置105以循环的方式进行工作，从而生成包含大量URL的URL列表。例如，由配置装置101提供给网页提取装置103的URL列表中的某个URL所指向的网页中包括了10个URL链接，则链接提取装置105将提供包括10个URL的URL列表给网页提取装置103，假如这10个URL中的每个所指向的网页中均包括10个URL链接，则此后，链接提取装置105将提供100个URL给网页提取装置103，以此类推。由于在当前环境中，网页数目正以天文数字在爆炸性地增长，每个网页所包括的URL链接通常也远远不止10个，所以，链接提取装置105将很有可能获取大量与由配置装置101所提供的某个URL相对应的URL链接。这种情况与传统的网络蜘蛛(spider)程序所面对的情况相同。为了对链接提取装置105所提取的URL链接数目进行限制，链接提取装置105可以从配置装置101获取URL链接深度限制以限制所提取的URL链接深度(即，当前URL距离最初由配置装置101提供的URL的距离，如图2所示)。链接提取装置105还可以从配置装置101获取域范围设置以便限制仅仅提取在某个域名下的URL链接等。当然其它任何可以对链接提取装置105所提取的URL链接进行限制的方式均在本发明的保护范围之内。\n[0030] 可选地，由于内容安全审计系统100需要对大量的URL进行安全审计，这通常需要较长的运行时间，因此内容安全审计系统100中还包括实时统计装置115，用于实时提供内容安全审计系统100当前的运行状况，比如当前已经完成安全审计的网页数目、已经发现的问题网页数目、总共要进行安全审计的网页数目、大概还需要多长时间来完成安全审计等。\n[0031] 内容安全审计系统100可以定期、在提供给配置装置101的URL列表更新了时、在内容检测装置109中的违法内容列表和企业内部信息内容列表更新了时、或者安全检测装置111中的特征码列表更新了时运行，以便确保利用最新的手段和参考内容来对目标URL进行安全审计。\n[0032] 应当理解的是，在上述实施例中，对各个装置的划分仅仅是示意性的，例如，内容检测装置109和安全检测装置111可以合并为单个内容和安全检测装置来一并执行内容检测装置109和安全检测装置111的功能。此外，内容分析装置107、内容检测装置109和安全检测装置111也可以合并为单个内容分析和审计装置，以执行内容分析装置107、内容检测装置109和安全检测装置111的全部功能。\n[0033] 图3说明了根据本发明实施例的内容安全审计方法300的流程图，其适合于在上述内容安全审计系统100中使用。\n[0034] 在步骤S302处，获取被指定要进行主动安全审计的URL列表。然后在步骤S304处，通过对URL列表中的每个URL所指向的网页进行链接分析，以提取与该URL相关的新URL，并且将新URL加入到URL列表中以便扩充URL列表。当然，步骤S304可以不对URL列表进行扩充，或者可以通过链接深度限制(即，仅仅提取到初始URL为给定距离的URL)或者域限制(即，仅仅提取在某个域名下的URL)等限定要扩充的URL。\n[0035] 在步骤S306处，获取URL列表中第一个URL。然后在步骤S308处，提取该URL所指向的网页的源代码，并且对该网页源代码进行解析，提取其中的文本内容和脚本内容。\n[0036] 在步骤S310处，分别对在步骤S308所提取的文本内容和脚本内容进行文本内容检测和安全检测，以确定该网页源代码是否包含了诸如违法内容和企业内部信息相关内容之类的敏感内容或者恶意代码。步骤S310可以以上面在内容检测装置109和安全检测装置111中所描述的处理来执行。\n[0037] 当在步骤S310确定对网页源代码的安全审计发现有安全问题时，在步骤S312处理这些安全问题，例如将包含违法内容和恶意代码的网页URL存入到恶意URL列表中；以及将包括企业内部信息相关内容的URL存入到泄密URL列表中。并且将这些安全问题记录到报警文件中，并且还可以通过例如邮件，短消息等各种手段通知系统管理员所述报警消息。\n[0038] 然后在步骤S314判断在URL列表中是否还有URL要进行安全审计，如果还有URL要进行安全审计，则在步骤S316获取下一个要进行处理的URL，并且将其送到步骤S308进行处理。如果已经完成了对全部URL的安全审计，则结束内容安全审计方法300。\n[0039] 根据本发明上述实施例的内容安全审计系统100和内容安全审计方法300通过指定网络审计对象(以URL形式提供)来进行敏感内容审计与安全审计。系统100和方法\n300可以定期检测用户习惯浏览的网站是否带有木马病毒，未雨绸缪，以防止被感染木马病毒，并且还可以定期检测用户是否不当地将企业内部信息泄漏到其习惯浏览的网站上(比如用户博客和论坛等)。内容安全审计系统100和方法300将安全审计对象指定为具体的网站或网页，因此安全审计处理不再受到网络关键节点的限制，避免了以往由于无法在外部网络关键节点部署安全审计产品而无法对一些网络审计对象进行审计的情况。此外，由于内容安全审计系统100和方法300通过获取URL所指向的网页源代码的方式进行安全审计，其不受在网页传输过程中所采用的各种加密手段的限制，因此不会如传统内容安全审计系统在中间网络关键节点被动捕获数据那样，由于无法对加密的数据进行解析而遗漏要进行安全审计的信息。\n[0040] 图4说明了根据本发明另一个实施例的内容安全审计系统400的结构框图，其中并入了主动内容安全审计子系统410和被动内容安全审计子系统450，并且实现了这两个子系统之间的联动。主动内容安全审计子系统410的结构类似于上述内容安全审计系统100，因此其中的网页提取装置413、链接提取装置415、内容分析装置417、内容检测装置419、安全检测装置421分别与上述网页提取装置103、链接提取装置105、内容分析装置\n107、内容检测装置109、安全检测装置111的结构和功能基本相同，因此对它们就不再赘述。\n[0041] 被动内容安全审计子系统450中的数据监听装置451获取经过网络关键节点的数据包，并且从中还原出用户经由该节点传输的内容。URL控制装置453中包含有URL类库\n454，该URL类库454中按具体类别分别记录了包含有诸如色情、暴力等违法内容的URL和包含恶意代码的的URL。例如，URL类库454可以包括违法内容URL列表和恶意代码URL列表。当发现用户正经由网络关键节点访问的URL包含在URL类库454中时，URL控制装置\n453可以阻止用户对这些URL的访问。\n[0042] 被动内容安全审计子系统450还包括内容审计装置455和安全审计装置457。内容审计装置455对由数据监听装置451所还原出的网页内容、HTTP POST内容、论坛、邮件等传输内容进行内容安全审计，以确定用户正在浏览的URL是否包括违反内容或者用户正在传输企业内部数据等。安全审计装置457对由数据监听装置所还原出的内容是否存在恶意代码进行审计(例如，检测用户访问的网页是否包含诸如木马病毒和跨站脚本之类的恶意代码)。子系统450中还具有审计报警装置459，用于在内容审计装置455和安全审计装置457审计出数据监听装置451所还原的内容存在安全问题时，对这些安全问题进行处理，例如记录包含违反内容和恶意代码的URL并阻拦对这些URL的进一步访问、记录用户浏览包括违反内容的URL和传输企业内部信息的行为、并且将这些信息整理为警告消息并记录在报警文件中。审计报警装置459可以将所发现的、包含违法内容和恶意代码的URL添加到URL类库454中。此外，审计报警装置459可以实时将该警告消息通知给正在经由网络关键节点进行访问的用户，并且还可以通过例如邮件，短消息等各种手段通知系统管理员所述报警消息。\n[0043] 被动内容安全审计子系统450还包括用户行为分析装置461，其通过数据监听装置451所还原出的数据内容进行统计分析，以获得系统内部用户的上网行为，尤其是系统内部用户的上网偏好。例如用户行为分析装置461可以获得系统内容用户习惯浏览的URL列表，近期浏览次数最高的前10个网站URL等等之类的系统用户上网偏好信息。\n[0044] 内容安全审计系统400的一个显著特征在于，实现了主动内容安全审计子系统\n410和被动内容安全审计子系统450的联动。被动内容安全审计子系统450中的用户行为分析装置461可以获取与系统用户紧密相关的URL列表，并且将该URL列表提供给主动内容安全审计子系统410的配置装置411作为指定要主动进行审计的URL列表。可以利用主动内容安全审计子系统410的报警装置423中所生成的恶意URL列表对被动内容安全审计子系统450的URL类库454进行更新。此外，主动内容安全审计子系统410中的内容检测装置419和安全检测装置421甚至可以和被动内容安全审计子系统450中的内容审计装置\n455和安全审计装置457共享相同的内容检测和恶意代码检测引擎。\n[0045] 可选地，内容安全审计系统400还可以包括审计报表装置480，用于合并报警装置\n423和审计报警装置459所生成的报警消息，从而可以向系统管理员提供统一的审计报表。\n[0046] 由于主动内容安全审计子系统410和被动内容安全审计子系统450之间的相对独立性，因此，内容安全审计系统400中还包括有启动装置402，用于分别启动主动内容安全审计子系统410和被动内容安全审计子系统450。\n[0047] 被动内容安全审计子系统450可以采用其他现有的实现方式。根据本发明的另一个实施例，只要被动内容安全审计子系统可以获取在网络关键节点处的数据，对这些数据进行分析以确定用户的上网偏好，并从这些上网偏好中确定和用户紧密相关的URL列表(例如用户经常访问网站的URL列表)，该被动内容安全审计子系统就可以作为上面参考图\n4所述的内容安全审计系统中的被动内容安全审计子系统450。\n[0048] 图5说明了根据本发明另一个实施例、其中实现了主动内容安全审计和被动内容安全审计的联动的方法500的流程图。除了步骤S502之外，方法500的步骤S504到S516的处理和图3所示方法300中的步骤S304到S316的处理相同，为了简洁起见，这里不再对这些步骤进行描述。在步骤S502中，在网络关键节点处获取数据，并且对这些数据进行分析以获取用户上网偏好，并生成要进行主动安全审计的URL列表。也就是说，在步骤S502处进行被动安全内容审计，并生成要进行主动安全审计的URL列表。应当注意的是，任何进行被动安全内容审计的方法都在本发明的保护范围之内。可选地，方法500还可以包括步骤S518，用于利用在步骤S512所生成的恶意URL列表更新被动内容安全审计时所使用的URL类库。\n[0049] 实现主动安全内容审计和被动安全内容审计的联动具有明显的优点。首先，被动安全内容审计可以对通过网络关键节点的数据进行实时监控，从而具有实时性，但是被动安全内容审计访问受网络关键节点的限制，无法实现对具体网站的全面审计。主动安全内容审计可以定期对所指定的网站进行全面审计，但是主动安全内容审计必须要确定需要进行主动审计的网站(URL列表)，而被动安全内容审计可以根据经由网络关键节点的数据来分析出需要进行主动审计的URL列表。因此，可以看出，通过主动安全内容审计和被动安全内容审计的联动，可以提供一种更全面的内容审计方式。\n[0050] 图6说明了根据本发明另一个实施例的内容安全审计系统600的部署示意图。内容安全审计系统600通常与企业核心交换机601相连，以便内容安全审计系统600中的被动内容安全审计子系统可以对经由核心交换机601的数据进行监视和审计。此外，内容安全审计系统600中的主动内容安全审计子系统可以根据被动内容安全审计子系统所提供的要进行主动审计的URL列表，对在企业外部网络上的网站进行主动内容安全审计。\n[0051] 例如，如果企业内部用户A经常在企业内部利用其工作计算机610访问外部的网站620(例如，blog.xxx.com)。由于企业到外部的网络访问均需要通过企业核心交换机\n601，所以内容安全审计系统600中的被动内容安全审计子系统可以获取URL blog.xxx.com作为要主动进行内容安全审计的URL。随后，内容安全审计系统600中的主动内容安全审计子系统可以对blog.xxx.com进行主动内容审计。因此，即使用户A通过其它途径(例如，通过家中的网络链接)将企业内部资料发布到blog.xxx.com上，也会很快被内容安全审计系统600检测到并通知给系统管理员。\n[0052] 因此，可以看出，与现有的内容安全审计系统相比，根据本发明的内容安全审计系统的覆盖范围更宽，而且能够检测的内容也更多，因此具有显著的优点，并特别适用于对内部数据保密性要求较高的企业。\n[0053] 应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。