藍盾信息安全管理審計系統(tǒng)技術(shù)白皮書

藍盾信息安全管理審計系統(tǒng)技術(shù)白皮書目錄TOC\o"1-5"\h\z\o"CurrentDocument"1 系統(tǒng)概述 3\o"CurrentDocument"系統(tǒng)組成 3\o"CurrentDocument"管理中心 3\o"CurrentDocument"網(wǎng)絡(luò)探針 4\o"CurrentDocument"系統(tǒng)架構(gòu) 4\o"CurrentDocument"3.1 旁路監(jiān)聽方式接入 4\o"CurrentDocument"3.2 網(wǎng)關(guān)方式接入 5\o"CurrentDocument"主要功能 6\o"CurrentDocument"實時信息監(jiān)控審計 6\o"CurrentDocument"HTTP協(xié)議的監(jiān)控審計 6\o"CurrentDocument"FTP協(xié)議的監(jiān)控審計 7\o"CurrentDocument"BT/電驢/迅雷等P2P傳輸工具監(jiān)控審計 8\o"CurrentDocument"音視頻監(jiān)控審計（mms/rtsp） 8\o"CurrentDocument"SMTP協(xié)議的監(jiān)控審計 8\o"CurrentDocument"POP3協(xié)議的監(jiān)控審計 9\o"CurrentDocument"Web_Mail監(jiān)控審計 9\o"CurrentDocument"TELNET協(xié)議的監(jiān)控審計 10\o"CurrentDocument"QQ協(xié)議的監(jiān)控審計 10\o"CurrentDocument"MSN協(xié)議的監(jiān)控審計 10\o"CurrentDocument"ICQ的監(jiān)控審計 11\o"CurrentDocument"YahooMessenger的監(jiān)控審計 11\o"CurrentDocument"社區(qū)/論壇的監(jiān)控審計（QQ/天涯等） 12\o"CurrentDocument"游戲的監(jiān)控審計 12\o"CurrentDocument"病毒檢測功能 12\o"CurrentDocument"記錄取證功能 12\o"CurrentDocument"上網(wǎng)控制管理功能 13\o"CurrentDocument"策略規(guī)則模版管理功能 13\o"CurrentDocument"監(jiān)控單位管理功能 13\o"CurrentDocument"日志分析與管理功能 13\o"CurrentDocument"信息查詢功能 13\o"CurrentDocument"防火墻功能 13\o"CurrentDocument"人性化的管理接口 14系統(tǒng)概述配合公安部報警處置中心項目的開展，廣東天海威數(shù)碼技術(shù)有限公司自主研發(fā)了“藍盾信息安全管理審計系統(tǒng)”。本系統(tǒng)綜合采用底層數(shù)據(jù)挖掘技術(shù)、數(shù)據(jù)報文捕獲技術(shù)、協(xié)議解碼還原技術(shù)、內(nèi)容過濾技術(shù)等先進技術(shù)，支持各種網(wǎng)絡(luò)應(yīng)用協(xié)議包括：HTTP、SMTP、POP3、TELNET、FTP、QQ、MSN等的監(jiān)測和阻斷。具有監(jiān)控、過濾、阻斷和管理功能，可以高效地發(fā)現(xiàn)和攔截各種有害/不良信息的傳播。藍盾信息安全管理審計系統(tǒng)適用于建設(shè)有局域網(wǎng)的各類上網(wǎng)場所，具體包括：學(xué)校、賓館、小區(qū)、網(wǎng)吧、政府機關(guān)、事業(yè)單位等場所。通過本系統(tǒng)的監(jiān)控，公安機關(guān)可以隨時掌握每個上網(wǎng)場所的上網(wǎng)情況，使每個上網(wǎng)場所動態(tài)處于警方24小時監(jiān)控之中。本系統(tǒng)的使用不但可以屏蔽黃、賭、毒、邪黑客等不良網(wǎng)站，營造綠色網(wǎng)絡(luò)環(huán)境，維護良好的上網(wǎng)秩序，還可以為公安網(wǎng)監(jiān)部門提供一種快速、準(zhǔn)確、可靠的技術(shù)偵查手段，從而達到打擊計算機信息犯罪，確保國家信息安全的目的。系統(tǒng)組成藍盾信息安全管理審計系統(tǒng)主要分為兩大部分：管理中心和網(wǎng)絡(luò)探針。2.1管理中心管理中心是藍盾信息安全管理審計系統(tǒng)的管理控制部分，用于對部署在互聯(lián)網(wǎng)上的多個網(wǎng)絡(luò)探針進行集中管理，包括控制網(wǎng)絡(luò)探針的運行、參數(shù)配置、規(guī)則庫/關(guān)鍵字庫的更新、獲取審計數(shù)據(jù)、獲取探針運行日志和統(tǒng)計數(shù)據(jù)等。系統(tǒng)平臺：Windows系列操作系統(tǒng)、IE4.0以上。2.2網(wǎng)絡(luò)探針網(wǎng)絡(luò)探針部分采用標(biāo)準(zhǔn)專用的工控硬件設(shè)備，是藍盾信息安全管理審計系統(tǒng)的核心部件，它監(jiān)聽該網(wǎng)絡(luò)探針?biāo)谖锢砭W(wǎng)絡(luò)上的所有通信信息，分析這些網(wǎng)絡(luò)通信信息，采用底層抓包技術(shù)，捕獲所有網(wǎng)絡(luò)數(shù)據(jù)包，根據(jù)協(xié)議的RFC文檔標(biāo)準(zhǔn)進行協(xié)議分析，然后根據(jù)規(guī)則庫對有害信息或者非法網(wǎng)站進行審計過濾，實時地記錄各種有害信息或者非法網(wǎng)站的全部會話過程和數(shù)據(jù)，并根據(jù)管理中心的指令進行各種操作。系統(tǒng)平臺：*LINUX操作系統(tǒng)。系統(tǒng)架構(gòu)藍盾信息安全管理審計系統(tǒng)可以根據(jù)業(yè)務(wù)需要，采用兩種方式接入：3.1旁路監(jiān)聽方式接入網(wǎng)絡(luò)藍盾信息安全管理審計系統(tǒng)接在目標(biāo)網(wǎng)絡(luò)的核心交換機鏡像口上，實時監(jiān)聽進出該網(wǎng)絡(luò)的通信數(shù)據(jù)包，進行相關(guān)協(xié)議解碼分析，由遠程控制端獲取網(wǎng)絡(luò)藍盾信息安全管理審計系統(tǒng)的審計數(shù)據(jù)、運行日志和統(tǒng)計數(shù)據(jù)等。這種接入方式對目標(biāo)網(wǎng)絡(luò)（學(xué)校、賓館、小區(qū)網(wǎng)吧等上網(wǎng)場所）進行遠程旁路監(jiān)聽，對網(wǎng)絡(luò)的性能無任何影響，適合于流量比較大的大型網(wǎng)絡(luò)。

盯聯(lián)網(wǎng)網(wǎng)關(guān)網(wǎng)關(guān)交換機交換機旁路監(jiān)衍方式按入結(jié)構(gòu)圖遠程控制端I網(wǎng)絡(luò)探針I(yè)網(wǎng)絡(luò)探針?biāo){盾信息安全審計管理系統(tǒng)藍盾信息安全審計管理系統(tǒng)盯聯(lián)網(wǎng)網(wǎng)關(guān)網(wǎng)關(guān)交換機交換機旁路監(jiān)衍方式按入結(jié)構(gòu)圖遠程控制端I網(wǎng)絡(luò)探針I(yè)網(wǎng)絡(luò)探針?biāo){盾信息安全審計管理系統(tǒng)藍盾信息安全審計管理系統(tǒng)1 賓館/小區(qū)等上洌場所 I1 賓館/小區(qū)等上網(wǎng)場所13.2網(wǎng)關(guān)方式接入網(wǎng)絡(luò)藍盾信息安全管理審計系統(tǒng)安裝在中心交換機和網(wǎng)關(guān)（路由器等）之間，對內(nèi)部網(wǎng)絡(luò)的對外訪問進行全面的監(jiān)控、過濾、阻斷和管理，高效地發(fā)現(xiàn)和攔截各種有害/不良信息的傳播。這種接入方式控制能力較強，不但能對目標(biāo)網(wǎng)絡(luò)（賓館、小區(qū)、網(wǎng)吧等上網(wǎng)場所）進行信息偵控，而且對有害信息能即時進行阻斷、攔截,同時藍盾信息安全管理審計系統(tǒng)內(nèi)置的防火墻對網(wǎng)絡(luò)還能起安全防護的作用,適合于各種中小型網(wǎng)絡(luò)。

遠程控制端網(wǎng)關(guān)交換機廣〕交換機旁路監(jiān)聽方式接入結(jié)構(gòu)圖盯聯(lián)網(wǎng)藍盾信息安全審計管理系統(tǒng)藍盾信息安全審計管理系統(tǒng)網(wǎng)關(guān)1 遠程控制端網(wǎng)關(guān)交換機廣〕交換機旁路監(jiān)聽方式接入結(jié)構(gòu)圖盯聯(lián)網(wǎng)藍盾信息安全審計管理系統(tǒng)藍盾信息安全審計管理系統(tǒng)網(wǎng)關(guān)1 賓館/小區(qū)等上網(wǎng)場所 ’賓館『小區(qū)等上網(wǎng)場所主要功能4.1實時信息監(jiān)控審計藍盾信息安全管理審計系統(tǒng)可以對HTTP、FTP、SMTP、POP3、TELNET、QQ、MSN、ICQ、YahooMessenger等協(xié)議和即時通信軟件進行實時監(jiān)控報警，檢測和過濾相關(guān)的有害信息。4.1.1HTTP協(xié)議的監(jiān)控審計系統(tǒng)能對HTTP訪問進行全面的協(xié)議解碼、分析，對壓縮了的網(wǎng)頁內(nèi)容進行自動解壓,并根據(jù)設(shè)置的規(guī)則實現(xiàn)對域名、IP地址、URL關(guān)鍵字、網(wǎng)頁內(nèi)容和通過網(wǎng)頁發(fā)布、粘貼的內(nèi)容（如BBS論壇、WEBMail等）進行監(jiān)控和過濾。黑名單包括IP黑名單和站點黑名單，可將一些反動、黃色等站點列入黑名單，限制對其訪問，必要時還可對其訪問內(nèi)容進行監(jiān)控、記錄。白名單過濾不進行監(jiān)控的網(wǎng)站名或IP地址，可將一些大型、知名網(wǎng)站列入白名單，系統(tǒng)將不對其進行監(jiān)控，節(jié)省系統(tǒng)處理時間，提高系統(tǒng)效率。URL關(guān)鍵字URL串中包含有很多重要內(nèi)容，如帳號、郵箱地址、論壇上傳的內(nèi)容等，所以對URL基于關(guān)鍵字的監(jiān)控和過濾可以獲取不少有用的信息。主要是對網(wǎng)頁內(nèi)容中包含的關(guān)鍵字的監(jiān)控和過濾。網(wǎng)站提供的服務(wù)，往往在網(wǎng)頁的內(nèi)容文字上有所表現(xiàn)，所以此功能不但能過濾一些反動、黃色的信息，而且能發(fā)現(xiàn)一些提供非法服務(wù)（如賭博）的網(wǎng)站。4.1.2FTP協(xié)議的監(jiān)控審計系統(tǒng)能對FTP站點、IP地址、FTP帳號、FTP傳送的文件名和文件內(nèi)容進行監(jiān)控和過濾。FTP站點黑名單系統(tǒng)能對一些非法FTP站點進行監(jiān)控和過濾。包括域名和IP地址。FTP文件名對特定的FTP文件名進行監(jiān)控和過濾。FTP文件內(nèi)容關(guān)鍵字系統(tǒng)能對文件內(nèi)容中的關(guān)鍵字進行監(jiān)控和過濾。4?1.3BT/電驢/迅雷等P2P傳輸工具監(jiān)控審計BT/電驢/迅雷等P2P傳輸工具監(jiān)控審計系統(tǒng)能對傳輸文件名進行匹配報警。音視頻監(jiān)控審計(mms/rtsp)音視頻監(jiān)控審計系統(tǒng)能記錄日志，也能對匹配的文件名進行報警。SMTP協(xié)議的監(jiān)控審計系統(tǒng)能對發(fā)送的郵件進行監(jiān)控和過濾。監(jiān)控的內(nèi)容包括郵件信頭中的發(fā)件人、收件人抄送人、主題，信體的郵件正文內(nèi)容、附件名、文本附件內(nèi)容等。發(fā)件人地址對郵件發(fā)件人地址的監(jiān)控和過濾。收件人地址對郵件收件人地址的監(jiān)控和過濾。郵件主題中的關(guān)鍵字對郵件主題中的關(guān)鍵字的監(jiān)控和過濾。郵件內(nèi)容關(guān)鍵字系統(tǒng)能對郵件內(nèi)容中的關(guān)鍵字進行監(jiān)控和過濾。郵件附件文件名系統(tǒng)能對郵件附件特定的文件名進行監(jiān)控和過濾。郵件附件文件內(nèi)容中的關(guān)鍵字系統(tǒng)能對郵件附件文件內(nèi)容中的關(guān)鍵字進行監(jiān)控和過濾。4.1.6POP3協(xié)議的監(jiān)控審計系統(tǒng)能對接收的郵件進行監(jiān)控和過濾。監(jiān)控的內(nèi)容包括郵件信頭中的發(fā)件人、收件人抄送人、主題，信體的郵件正文內(nèi)容、附件名、文本附件內(nèi)容等。4.1.7Web_Mail監(jiān)控審計Web_Mail帳號關(guān)鍵字系統(tǒng)能對特定帳號關(guān)鍵詞報警Web_Mail內(nèi)容關(guān)鍵字系統(tǒng)能對特定內(nèi)容關(guān)鍵字報警Web_Mail特定關(guān)鍵字內(nèi)容阻斷處理系統(tǒng)能對對含特定關(guān)鍵字內(nèi)容阻斷處理4.1.8TELNET協(xié)議的監(jiān)控審計系統(tǒng)能對提供TELNET服務(wù)的站點、IP地址和TELNET中交互的內(nèi)容進行監(jiān)控和過濾。同時還能對TELNET用戶上、下線進行監(jiān)控、報警。TELNET站點黑名單系統(tǒng)能對一些非法TELNET站點進行監(jiān)控和過濾。包括域名和IP地址。TELNET內(nèi)容關(guān)鍵字系統(tǒng)能對TELNET通信中交互的內(nèi)容，進行監(jiān)控和過濾。4.1.9QQ協(xié)議的監(jiān)控審計QQ用戶上下線監(jiān)控系統(tǒng)能對QQ號碼在線與下線進行監(jiān)控與過濾。QQ聊天室信息監(jiān)控系統(tǒng)能夠?qū)Q聊天室的信息內(nèi)容進行監(jiān)控和過濾4.1.10MSN協(xié)議的監(jiān)控審計系統(tǒng)能對MSN的帳號和內(nèi)容進行監(jiān)控。MSN用戶上下線監(jiān)控系統(tǒng)通過對MSN帳號的監(jiān)控，能實現(xiàn)對特定用戶上下線的報警。MSN內(nèi)容關(guān)鍵字系統(tǒng)能捕獲MSN的通信內(nèi)容，對內(nèi)容中特定關(guān)鍵字進行監(jiān)控和過濾。4.1.11ICQ的監(jiān)控審計系統(tǒng)能對ICQ的帳號和內(nèi)容進行監(jiān)控。ICQ用戶上下線監(jiān)控系統(tǒng)通過對ICQ帳號的監(jiān)控，能實現(xiàn)對特定用戶上下線的報警。ICQ內(nèi)容關(guān)鍵字系統(tǒng)能捕獲ICQ的通信內(nèi)容，對內(nèi)容中特定關(guān)鍵字進行監(jiān)控和過濾。4.1.12YahooMessenger的監(jiān)控審計YahooMessenger用戶上下線監(jiān)控系統(tǒng)通過對YahooMessenger帳號的監(jiān)控，能實現(xiàn)對特定用戶上下線的報警。YahooMessenger內(nèi)容關(guān)鍵字系統(tǒng)能實時捕獲所有的聊天信息，包括普通聊天信息、會議信息和聊天室信息等，并對內(nèi)容中特定的關(guān)鍵字進行監(jiān)控和過濾。4.1.13 社區(qū)/論壇的監(jiān)控審計（QQ/天涯等）社區(qū)/論壇的監(jiān)控審計系統(tǒng)能隊特定帳號關(guān)鍵詞報警社區(qū)/論壇的監(jiān)控審計系統(tǒng)能對張貼含特定關(guān)鍵詞的內(nèi)容報警社區(qū)/論壇的監(jiān)控審計系統(tǒng)能對張貼含特定關(guān)鍵詞的內(nèi)容進行屏蔽處理4.1.14游戲的監(jiān)控審計藍盾信息安全管理審計系統(tǒng)將支持各種國內(nèi)流行的大型網(wǎng)絡(luò)游戲的監(jiān)控，包括指定的玩家ID的上下線監(jiān)控和游戲過程中的聊天信息的內(nèi)容監(jiān)控和過濾。主要支持的游戲包括：盛大的《傳奇世界》、《浩方》、網(wǎng)易公司的《大話西游》、九城的《魔獸世界》、新浪樂谷的《天堂》等。4.2病毒檢測功能藍盾信息安全管理審計系統(tǒng)具有病毒檢測功能，系統(tǒng)配備了內(nèi)嵌式病毒過濾引擎和外掛式病毒過濾引擎。內(nèi)嵌式病毒過濾引擎，帶有病毒特征模式庫，能過濾常見的2萬多種網(wǎng)絡(luò)病毒。外掛式病毒過濾引擎提供病毒過濾接口，能與賽門鐵克等病毒過濾引擎連接，滿足用戶防網(wǎng)絡(luò)病毒的需求。4.3記錄取證功能藍盾信息安全管理審計系統(tǒng)能滿足公安網(wǎng)監(jiān)部門對上網(wǎng)用戶上網(wǎng)行為審計備案的要求有效發(fā)現(xiàn)、定位有害信息源頭、為公安部門偵查破案和追蹤黑客提供了一套有力的技術(shù)手段具有犯罪取證功能。上網(wǎng)控制管理功能藍盾信息安全管理審計系統(tǒng)具有十分靈活而全面的上網(wǎng)控制管理功能，如記錄上網(wǎng)人員常用的網(wǎng)絡(luò)活動，上網(wǎng)網(wǎng)站、網(wǎng)上聊天、收發(fā)郵件等；規(guī)定人員上網(wǎng)行為；如過濾黃色、反動網(wǎng)站和關(guān)鍵詞；詳細記錄由收發(fā)工具（指OutLook、FoxMail等）所收發(fā)的郵件（含內(nèi)容和附件）；詳細記錄FTP上傳和下載文件；可看到MSN聊天的內(nèi)容，網(wǎng)絡(luò)流量的記錄等。策略規(guī)則模版管理功能藍盾信息安全管理審計系統(tǒng)遠程控制端可以對各個監(jiān)控點的審計策略進行統(tǒng)一管理，遠程控制端對審計策略做的任何更新維護操作都將直接下發(fā)到各個監(jiān)控點。通過遠程控制端也可對監(jiān)控端進行單獨管理，定制、添加和管理規(guī)則策略。監(jiān)控單位管理功能藍盾信息安全管理審計系統(tǒng)通過遠程控制端可統(tǒng)一管理各個監(jiān)控點單位的信息和運行情況，包括在線情況、報警信息處理、預(yù)警信息發(fā)布、規(guī)則下發(fā)等等。4.7日志分析與管理功能藍盾信息安全管理審計系統(tǒng)可以生成詳細的網(wǎng)絡(luò)信息日志和系統(tǒng)運行日記，方便對整個系統(tǒng)的監(jiān)控情況和每段時間運行狀況查看，保證對整個系統(tǒng)的