藍(lán)盾信息安全管理審計(jì)系統(tǒng)技術(shù)白皮書(shū)

1、藍(lán)盾信息安全管理審計(jì)系統(tǒng)技術(shù)白皮書(shū) 廣東天海威數(shù)碼技術(shù)有限公司藍(lán)盾信息安全管理審計(jì)系統(tǒng)技術(shù)白皮書(shū)目 錄1系統(tǒng)概述32系統(tǒng)組成32.1管理中心32.2網(wǎng)絡(luò)探針43系統(tǒng)架構(gòu)43.1旁路監(jiān)聽(tīng)方式接入43.2網(wǎng)關(guān)方式接入54主要功能64.1實(shí)時(shí)信息監(jiān)控審計(jì)64.1.1http協(xié)議的監(jiān)控審計(jì)64.1.2ftp協(xié)議的監(jiān)控審計(jì)74.1.3bt/電驢/迅雷等p2p傳輸工具監(jiān)控審計(jì)84.1.4音視頻監(jiān)控審計(jì)（mms/rtsp)84.1.5smtp協(xié)議的監(jiān)控審計(jì)84.1.6pop3協(xié)議的監(jiān)控審計(jì)94.1.7web_mail監(jiān)控審計(jì)94.1.8telnet協(xié)議的監(jiān)控審計(jì)104.1.9qq協(xié)議的監(jiān)控審計(jì)104.1.1

2、0msn協(xié)議的監(jiān)控審計(jì)104.1.11icq的監(jiān)控審計(jì)114.1.12yahoo messenger的監(jiān)控審計(jì)114.1.13社區(qū)/論壇的監(jiān)控審計(jì)(qq/天涯等)124.1.14游戲的監(jiān)控審計(jì)124.2病毒檢測(cè)功能124.3記錄取證功能124.4上網(wǎng)控制管理功能134.5策略規(guī)則模版管理功能134.6監(jiān)控單位管理功能134.7日志分析與管理功能134.8信息查詢功能134.9防火墻功能134.10 人性化的管理接口141 系統(tǒng)概述配合公安部報(bào)警處置中心項(xiàng)目的開(kāi)展，廣東天海威數(shù)碼技術(shù)有限公司自主研發(fā)了“藍(lán)盾信息安全管理審計(jì)系統(tǒng)”。本系統(tǒng)綜合采用底層數(shù)據(jù)挖掘技術(shù)、數(shù)據(jù)報(bào)文捕獲技術(shù)、協(xié)議解碼還原技術(shù)

3、、內(nèi)容過(guò)濾技術(shù)等先進(jìn)技術(shù)，支持各種網(wǎng)絡(luò)應(yīng)用協(xié)議包括：http、smtp、pop3、telnet、ftp、qq、msn等的監(jiān)測(cè)和阻斷。具有監(jiān)控、過(guò)濾、阻斷和管理功能，可以高效地發(fā)現(xiàn)和攔截各種有害/不良信息的傳播。藍(lán)盾信息安全管理審計(jì)系統(tǒng)適用于建設(shè)有局域網(wǎng)的各類上網(wǎng)場(chǎng)所，具體包括：學(xué)校、賓館、小區(qū)、網(wǎng)吧、政府機(jī)關(guān)、事業(yè)單位等場(chǎng)所。通過(guò)本系統(tǒng)的監(jiān)控，公安機(jī)關(guān)可以隨時(shí)掌握每個(gè)上網(wǎng)場(chǎng)所的上網(wǎng)情況，使每個(gè)上網(wǎng)場(chǎng)所動(dòng)態(tài)處于警方小時(shí)監(jiān)控之中。本系統(tǒng)的使用不但可以屏蔽黃、賭、毒、邪黑客等不良網(wǎng)站，營(yíng)造綠色網(wǎng)絡(luò)環(huán)境，維護(hù)良好的上網(wǎng)秩序，還可以為公安網(wǎng)監(jiān)部門提供一種快速、準(zhǔn)確、可靠的技術(shù)偵查手段，從而達(dá)到打擊計(jì)算機(jī)

4、信息犯罪，確保國(guó)家信息安全的目的。2 系統(tǒng)組成藍(lán)盾信息安全管理審計(jì)系統(tǒng)主要分為兩大部分：管理中心和網(wǎng)絡(luò)探針。2.1 管理中心管理中心是藍(lán)盾信息安全管理審計(jì)系統(tǒng)的管理控制部分，用于對(duì)部署在互聯(lián)網(wǎng)上的多個(gè)網(wǎng)絡(luò)探針進(jìn)行集中管理，包括控制網(wǎng)絡(luò)探針的運(yùn)行、參數(shù)配置、規(guī)則庫(kù)/關(guān)鍵字庫(kù)的更新、獲取審計(jì)數(shù)據(jù)、獲取探針運(yùn)行日志和統(tǒng)計(jì)數(shù)據(jù)等。系統(tǒng)平臺(tái)：windows 系列操作系統(tǒng)、ie4.0以上。2.2 網(wǎng)絡(luò)探針網(wǎng)絡(luò)探針部分采用標(biāo)準(zhǔn)專用的工控硬件設(shè)備，是藍(lán)盾信息安全管理審計(jì)系統(tǒng)的核心部件，它監(jiān)聽(tīng)該網(wǎng)絡(luò)探針?biāo)谖锢砭W(wǎng)絡(luò)上的所有通信信息，分析這些網(wǎng)絡(luò)通信信息，采用底層抓包技術(shù)，捕獲所有網(wǎng)絡(luò)數(shù)據(jù)包，根據(jù)協(xié)議的rfc文檔

5、標(biāo)準(zhǔn)進(jìn)行協(xié)議分析，然后根據(jù)規(guī)則庫(kù)對(duì)有害信息或者非法網(wǎng)站進(jìn)行審計(jì)過(guò)濾，實(shí)時(shí)地記錄各種有害信息或者非法網(wǎng)站的全部會(huì)話過(guò)程和數(shù)據(jù)，并根據(jù)管理中心的指令進(jìn)行各種操作。系統(tǒng)平臺(tái)：*linux操作系統(tǒng)。3 系統(tǒng)架構(gòu)藍(lán)盾信息安全管理審計(jì)系統(tǒng)可以根據(jù)業(yè)務(wù)需要，采用兩種方式接入：3.1 旁路監(jiān)聽(tīng)方式接入網(wǎng)絡(luò)藍(lán)盾信息安全管理審計(jì)系統(tǒng)接在目標(biāo)網(wǎng)絡(luò)的核心交換機(jī)鏡像口上，實(shí)時(shí)監(jiān)聽(tīng)進(jìn)出該網(wǎng)絡(luò)的通信數(shù)據(jù)包，進(jìn)行相關(guān)協(xié)議解碼分析，由遠(yuǎn)程控制端獲取網(wǎng)絡(luò)藍(lán)盾信息安全管理審計(jì)系統(tǒng)的審計(jì)數(shù)據(jù)、運(yùn)行日志和統(tǒng)計(jì)數(shù)據(jù)等。這種接入方式對(duì)目標(biāo)網(wǎng)絡(luò)（學(xué)校、賓館、小區(qū)、網(wǎng)吧等上網(wǎng)場(chǎng)所）進(jìn)行遠(yuǎn)程旁路監(jiān)聽(tīng)，對(duì)網(wǎng)絡(luò)的性能無(wú)任何影響，適合于流量比較大的大

6、型網(wǎng)絡(luò)。3.2 網(wǎng)關(guān)方式接入網(wǎng)絡(luò)藍(lán)盾信息安全管理審計(jì)系統(tǒng)安裝在中心交換機(jī)和網(wǎng)關(guān)（路由器等）之間，對(duì)內(nèi)部網(wǎng)絡(luò)的對(duì)外訪問(wèn)進(jìn)行全面的監(jiān)控、過(guò)濾、阻斷和管理，高效地發(fā)現(xiàn)和攔截各種有害/不良信息的傳播。這種接入方式控制能力較強(qiáng)，不但能對(duì)目標(biāo)網(wǎng)絡(luò)（賓館、小區(qū)、網(wǎng)吧等上網(wǎng)場(chǎng)所）進(jìn)行信息偵控，而且對(duì)有害信息能即時(shí)進(jìn)行阻斷、攔截, 同時(shí)藍(lán)盾信息安全管理審計(jì)系統(tǒng)內(nèi)置的防火墻對(duì)網(wǎng)絡(luò)還能起安全防護(hù)的作用, 適合于各種中小型網(wǎng)絡(luò)。 4 主要功能4.1 實(shí)時(shí)信息監(jiān)控審計(jì)藍(lán)盾信息安全管理審計(jì)系統(tǒng)可以對(duì)http、ftp、smtp、pop3、telnet、qq、msn、icq、yahoo messenger等協(xié)議和即時(shí)通信軟件

7、進(jìn)行實(shí)時(shí)監(jiān)控報(bào)警，檢測(cè)和過(guò)濾相關(guān)的有害信息。4.1.1 http協(xié)議的監(jiān)控審計(jì)系統(tǒng)能對(duì)http訪問(wèn)進(jìn)行全面的協(xié)議解碼、分析，對(duì)壓縮了的網(wǎng)頁(yè)內(nèi)容進(jìn)行自動(dòng)解壓，并根據(jù)設(shè)置的規(guī)則實(shí)現(xiàn)對(duì)域名、ip地址、url關(guān)鍵字、網(wǎng)頁(yè)內(nèi)容和通過(guò)網(wǎng)頁(yè)發(fā)布、粘貼的內(nèi)容（如bbs論壇、web mail等）進(jìn)行監(jiān)控和過(guò)濾。黑名單包括ip黑名單和站點(diǎn)黑名單，可將一些反動(dòng)、黃色等站點(diǎn)列入黑名單，限制對(duì)其訪問(wèn)，必要時(shí)還可對(duì)其訪問(wèn)內(nèi)容進(jìn)行監(jiān)控、記錄。白名單過(guò)濾不進(jìn)行監(jiān)控的網(wǎng)站名或ip地址，可將一些大型、知名網(wǎng)站列入白名單，系統(tǒng)將不對(duì)其進(jìn)行監(jiān)控，節(jié)省系統(tǒng)處理時(shí)間，提高系統(tǒng)效率。url關(guān)鍵字url串中包含有很多重要內(nèi)容，如帳號(hào)、郵箱地

8、址、論壇上傳的內(nèi)容等，所以對(duì)url基于關(guān)鍵字的監(jiān)控和過(guò)濾可以獲取不少有用的信息。網(wǎng)頁(yè)內(nèi)容關(guān)鍵字主要是對(duì)網(wǎng)頁(yè)內(nèi)容中包含的關(guān)鍵字的監(jiān)控和過(guò)濾。網(wǎng)站提供的服務(wù)，往往在網(wǎng)頁(yè)的內(nèi)容文字上有所表現(xiàn)，所以此功能不但能過(guò)濾一些反動(dòng)、黃色的信息，而且能發(fā)現(xiàn)一些提供非法服務(wù)（如賭博）的網(wǎng)站。4.1.2 ftp協(xié)議的監(jiān)控審計(jì)系統(tǒng)能對(duì)ftp站點(diǎn)、ip地址、ftp帳號(hào)、ftp傳送的文件名和文件內(nèi)容進(jìn)行監(jiān)控和過(guò)濾。ftp站點(diǎn)黑名單系統(tǒng)能對(duì)一些非法ftp站點(diǎn)進(jìn)行監(jiān)控和過(guò)濾。包括域名和ip地址。ftp文件名對(duì)特定的ftp文件名進(jìn)行監(jiān)控和過(guò)濾。ftp文件內(nèi)容關(guān)鍵字系統(tǒng)能對(duì)文件內(nèi)容中的關(guān)鍵字進(jìn)行監(jiān)控和過(guò)濾。4.1.3 bt/電驢

9、/迅雷等p2p傳輸工具監(jiān)控審計(jì)bt/電驢/迅雷等p2p傳輸工具監(jiān)控審計(jì)系統(tǒng)能對(duì)傳輸文件名進(jìn)行匹配報(bào)警。4.1.4 音視頻監(jiān)控審計(jì)（mms/rtsp)音視頻監(jiān)控審計(jì)系統(tǒng)能記錄日志，也能對(duì)匹配的文件名進(jìn)行報(bào)警。4.1.5 smtp協(xié)議的監(jiān)控審計(jì)系統(tǒng)能對(duì)發(fā)送的郵件進(jìn)行監(jiān)控和過(guò)濾。監(jiān)控的內(nèi)容包括郵件信頭中的發(fā)件人、收件人、抄送人、主題，信體的郵件正文內(nèi)容、附件名、文本附件內(nèi)容等。發(fā)件人地址對(duì)郵件發(fā)件人地址的監(jiān)控和過(guò)濾。收件人地址對(duì)郵件收件人地址的監(jiān)控和過(guò)濾。郵件主題中的關(guān)鍵字對(duì)郵件主題中的關(guān)鍵字的監(jiān)控和過(guò)濾。郵件內(nèi)容關(guān)鍵字系統(tǒng)能對(duì)郵件內(nèi)容中的關(guān)鍵字進(jìn)行監(jiān)控和過(guò)濾。郵件附件文件名系統(tǒng)能對(duì)郵件附件特定的文

10、件名進(jìn)行監(jiān)控和過(guò)濾。郵件附件文件內(nèi)容中的關(guān)鍵字系統(tǒng)能對(duì)郵件附件文件內(nèi)容中的關(guān)鍵字進(jìn)行監(jiān)控和過(guò)濾。4.1.6 pop3協(xié)議的監(jiān)控審計(jì)系統(tǒng)能對(duì)接收的郵件進(jìn)行監(jiān)控和過(guò)濾。監(jiān)控的內(nèi)容包括郵件信頭中的發(fā)件人、收件人、抄送人、主題，信體的郵件正文內(nèi)容、附件名、文本附件內(nèi)容等。4.1.7 web_mail監(jiān)控審計(jì)web_mail帳號(hào)關(guān)鍵字系統(tǒng)能對(duì)特定帳號(hào)關(guān)鍵詞報(bào)警web_mail內(nèi)容關(guān)鍵字系統(tǒng)能對(duì)特定內(nèi)容關(guān)鍵字報(bào)警web_mail特定關(guān)鍵字內(nèi)容阻斷處理系統(tǒng)能對(duì)對(duì)含特定關(guān)鍵字內(nèi)容阻斷處理4.1.8 telnet協(xié)議的監(jiān)控審計(jì)系統(tǒng)能對(duì)提供telnet服務(wù)的站點(diǎn)、ip地址和telnet中交互的內(nèi)容進(jìn)行監(jiān)控和過(guò)濾。

11、同時(shí)還能對(duì)telnet用戶上、下線進(jìn)行監(jiān)控、報(bào)警。telnet站點(diǎn)黑名單系統(tǒng)能對(duì)一些非法telnet站點(diǎn)進(jìn)行監(jiān)控和過(guò)濾。包括域名和ip地址。telnet內(nèi)容關(guān)鍵字系統(tǒng)能對(duì)telnet通信中交互的內(nèi)容，進(jìn)行監(jiān)控和過(guò)濾。4.1.9 qq協(xié)議的監(jiān)控審計(jì)qq用戶上下線監(jiān)控系統(tǒng)能對(duì)qq號(hào)碼在線與下線進(jìn)行監(jiān)控與過(guò)濾。qq聊天室信息監(jiān)控系統(tǒng)能夠?qū)q聊天室的信息內(nèi)容進(jìn)行監(jiān)控和過(guò)濾4.1.10 msn協(xié)議的監(jiān)控審計(jì)系統(tǒng)能對(duì)msn的帳號(hào)和內(nèi)容進(jìn)行監(jiān)控。msn用戶上下線監(jiān)控系統(tǒng)通過(guò)對(duì)msn帳號(hào)的監(jiān)控，能實(shí)現(xiàn)對(duì)特定用戶上下線的報(bào)警。msn內(nèi)容關(guān)鍵字系統(tǒng)能捕獲msn的通信內(nèi)容，對(duì)內(nèi)容中特定關(guān)鍵字進(jìn)行監(jiān)控和過(guò)濾。4.1

12、.11 icq的監(jiān)控審計(jì)系統(tǒng)能對(duì)icq的帳號(hào)和內(nèi)容進(jìn)行監(jiān)控。icq用戶上下線監(jiān)控系統(tǒng)通過(guò)對(duì)icq帳號(hào)的監(jiān)控，能實(shí)現(xiàn)對(duì)特定用戶上下線的報(bào)警。icq內(nèi)容關(guān)鍵字系統(tǒng)能捕獲icq的通信內(nèi)容，對(duì)內(nèi)容中特定關(guān)鍵字進(jìn)行監(jiān)控和過(guò)濾。4.1.12 yahoo messenger的監(jiān)控審計(jì)yahoo messenger用戶上下線監(jiān)控系統(tǒng)通過(guò)對(duì)yahoo messenger帳號(hào)的監(jiān)控，能實(shí)現(xiàn)對(duì)特定用戶上下線的報(bào)警。yahoo messenger內(nèi)容關(guān)鍵字系統(tǒng)能實(shí)時(shí)捕獲所有的聊天信息，包括普通聊天信息、會(huì)議信息和聊天室信息等，并對(duì)內(nèi)容中特定的關(guān)鍵字進(jìn)行監(jiān)控和過(guò)濾。4.1.13 社區(qū)/論壇的監(jiān)控審計(jì)(qq/天涯等)社區(qū)

13、/論壇的監(jiān)控審計(jì)系統(tǒng)能隊(duì)特定帳號(hào)關(guān)鍵詞報(bào)警社區(qū)/論壇的監(jiān)控審計(jì)系統(tǒng)能對(duì)張貼含特定關(guān)鍵詞的內(nèi)容報(bào)警社區(qū)/論壇的監(jiān)控審計(jì)系統(tǒng)能對(duì)張貼含特定關(guān)鍵詞的內(nèi)容進(jìn)行屏蔽處理4.1.14 游戲的監(jiān)控審計(jì)藍(lán)盾信息安全管理審計(jì)系統(tǒng)將支持各種國(guó)內(nèi)流行的大型網(wǎng)絡(luò)游戲的監(jiān)控，包括指定的玩家id的上下線監(jiān)控和游戲過(guò)程中的聊天信息的內(nèi)容監(jiān)控和過(guò)濾。主要支持的游戲包括：盛大的傳奇世界、浩方、網(wǎng)易公司的大話西游、九城的魔獸世界、新浪樂(lè)谷的天堂等。4.2 病毒檢測(cè)功能藍(lán)盾信息安全管理審計(jì)系統(tǒng)具有病毒檢測(cè)功能，系統(tǒng)配備了內(nèi)嵌式病毒過(guò)濾引擎和外掛式病毒過(guò)濾引擎。內(nèi)嵌式病毒過(guò)濾引擎，帶有病毒特征模式庫(kù)，能過(guò)濾常見(jiàn)的2萬(wàn)多種網(wǎng)絡(luò)病毒。外

14、掛式病毒過(guò)濾引擎提供病毒過(guò)濾接口，能與賽門鐵克等病毒過(guò)濾引擎連接，滿足用戶防網(wǎng)絡(luò)病毒的需求。4.3 記錄取證功能藍(lán)盾信息安全管理審計(jì)系統(tǒng)能滿足公安網(wǎng)監(jiān)部門對(duì)上網(wǎng)用戶上網(wǎng)行為審計(jì)備案的要求，有效發(fā)現(xiàn)、定位有害信息源頭、為公安部門偵查破案和追蹤黑客提供了一套有力的技術(shù)手段，具有犯罪取證功能。4.4 上網(wǎng)控制管理功能藍(lán)盾信息安全管理審計(jì)系統(tǒng)具有十分靈活而全面的上網(wǎng)控制管理功能，如記錄上網(wǎng)人員常用的網(wǎng)絡(luò)活動(dòng)，上網(wǎng)網(wǎng)站、網(wǎng)上聊天、收發(fā)郵件等；規(guī)定人員上網(wǎng)行為；如過(guò)濾黃色、反動(dòng)網(wǎng)站和關(guān)鍵詞；詳細(xì)記錄由收發(fā)工具（指outlook 、foxmail等）所收發(fā)的郵件（含內(nèi)容和附件）；詳細(xì)記錄ftp上傳和下載文件

15、；可看到msn聊天的內(nèi)容，網(wǎng)絡(luò)流量的記錄等。4.5 策略規(guī)則模版管理功能藍(lán)盾信息安全管理審計(jì)系統(tǒng)遠(yuǎn)程控制端可以對(duì)各個(gè)監(jiān)控點(diǎn)的審計(jì)策略進(jìn)行統(tǒng)一管理，遠(yuǎn)程控制端對(duì)審計(jì)策略做的任何更新維護(hù)操作都將直接下發(fā)到各個(gè)監(jiān)控點(diǎn)。通過(guò)遠(yuǎn)程控制端也可對(duì)監(jiān)控端進(jìn)行單獨(dú)管理，定制、添加和管理規(guī)則策略。4.6 監(jiān)控單位管理功能藍(lán)盾信息安全管理審計(jì)系統(tǒng)通過(guò)遠(yuǎn)程控制端可統(tǒng)一管理各個(gè)監(jiān)控點(diǎn)單位的信息和運(yùn)行情況，包括在線情況、報(bào)警信息處理、預(yù)警信息發(fā)布、規(guī)則下發(fā)等等。4.7 日志分析與管理功能藍(lán)盾信息安全管理審計(jì)系統(tǒng)可以生成詳細(xì)的網(wǎng)絡(luò)信息日志和系統(tǒng)運(yùn)行日記，方便對(duì)整個(gè)系統(tǒng)的監(jiān)控情況和每段時(shí)間運(yùn)行狀況查看，保證對(duì)整個(gè)系統(tǒng)的管理、維護(hù)。4.8 信息查詢功能藍(lán)盾信息安全管理審計(jì)系統(tǒng)提供對(duì)系統(tǒng)的報(bào)警信息、預(yù)警信息、規(guī)則策略、