藍(lán)盾信息安全管理審計系統(tǒng)技術(shù)白皮書.doc

藍(lán)盾信息安全管理審計系統(tǒng)技術(shù)白皮書藍(lán)盾信息安全管理審計系統(tǒng)技術(shù)白皮書廣東天海威數(shù)碼技術(shù)有限公司2目錄1系統(tǒng)概述.32系統(tǒng)組成.32.1管理中心.32.2網(wǎng)絡(luò)探針.43系統(tǒng)架構(gòu).43.1旁路監(jiān)聽方式接入.43.2網(wǎng)關(guān)方式接入.54主要功能.64.1實時信息監(jiān)控審計.64.1.1HTTP協(xié)議的監(jiān)控審計.64.1.2FTP協(xié)議的監(jiān)控審計.74.1.3BT/電驢/迅雷等P2P傳輸工具監(jiān)控審計.84.1.4音視頻監(jiān)控審計（mms/rtsp).84.1.5SMTP協(xié)議的監(jiān)控審計.84.1.6POP3協(xié)議的監(jiān)控審計.94.1.7Web_Mail監(jiān)控審計.94.1.8TELNET協(xié)議的監(jiān)控審計.104.1.9QQ協(xié)議的監(jiān)控審計.104.1.10MSN協(xié)議的監(jiān)控審計.104.1.11ICQ的監(jiān)控審計.114.1.12YahooMessenger的監(jiān)控審計.114.1.13社區(qū)/論壇的監(jiān)控審計(QQ/天涯等).124.1.14游戲的監(jiān)控審計.124.2病毒檢測功能.124.3記錄取證功能.124.4上網(wǎng)控制管理功能.134.5策略規(guī)則模版管理功能.134.6監(jiān)控單位管理功能.134.7日志分析與管理功能.134.8信息查詢功能.134.9防火墻功能.134.10人性化的管理接口.14藍(lán)盾信息安全管理審計系統(tǒng)技術(shù)白皮書廣東天海威數(shù)碼技術(shù)有限公司31系統(tǒng)概述配合公安部報警處置中心項目的開展，廣東天海威數(shù)碼技術(shù)有限公司自主研發(fā)了“藍(lán)盾信息安全管理審計系統(tǒng)”。本系統(tǒng)綜合采用底層數(shù)據(jù)挖掘技術(shù)、數(shù)據(jù)報文捕獲技術(shù)、協(xié)議解碼還原技術(shù)、內(nèi)容過濾技術(shù)等先進(jìn)技術(shù)，支持各種網(wǎng)絡(luò)應(yīng)用協(xié)議包括：HTTP、SMTP、POP3、TELNET、FTP、QQ、MSN等的監(jiān)測和阻斷。具有監(jiān)控、過濾、阻斷和管理功能，可以高效地發(fā)現(xiàn)和攔截各種有害/不良信息的傳播。藍(lán)盾信息安全管理審計系統(tǒng)適用于建設(shè)有局域網(wǎng)的各類上網(wǎng)場所，具體包括：學(xué)校、賓館、小區(qū)、網(wǎng)吧、政府機(jī)關(guān)、事業(yè)單位等場所。通過本系統(tǒng)的監(jiān)控，公安機(jī)關(guān)可以隨時掌握每個上網(wǎng)場所的上網(wǎng)情況，使每個上網(wǎng)場所動態(tài)處于警方小時監(jiān)控之中。本系統(tǒng)的使用不但可以屏蔽黃、賭、毒、邪黑客等不良網(wǎng)站，營造綠色網(wǎng)絡(luò)環(huán)境，維護(hù)良好的上網(wǎng)秩序，還可以為公安網(wǎng)監(jiān)部門提供一種快速、準(zhǔn)確、可靠的技術(shù)偵查手段，從而達(dá)到打擊計算機(jī)信息犯罪，確保國家信息安全的目的。2系統(tǒng)組成藍(lán)盾信息安全管理審計系統(tǒng)主要分為兩大部分：管理中心和網(wǎng)絡(luò)探針。2.1管理中心管理中心是藍(lán)盾信息安全管理審計系統(tǒng)的管理控制部分，用于對部署在互聯(lián)網(wǎng)上的多個網(wǎng)絡(luò)探針進(jìn)行集中管理，包括控制網(wǎng)絡(luò)探針的運行、參數(shù)配置、規(guī)則庫/關(guān)鍵字庫的更新、獲取審計數(shù)據(jù)、獲取探針運行日志和統(tǒng)計數(shù)據(jù)等。系統(tǒng)平臺：Windows系列操作系統(tǒng)、IE4.0以上。藍(lán)盾信息安全管理審計系統(tǒng)技術(shù)白皮書廣東天海威數(shù)碼技術(shù)有限公司42.2網(wǎng)絡(luò)探針網(wǎng)絡(luò)探針部分采用標(biāo)準(zhǔn)專用的工控硬件設(shè)備，是藍(lán)盾信息安全管理審計系統(tǒng)的核心部件，它監(jiān)聽該網(wǎng)絡(luò)探針?biāo)谖锢砭W(wǎng)絡(luò)上的所有通信信息，分析這些網(wǎng)絡(luò)通信信息，采用底層抓包技術(shù)，捕獲所有網(wǎng)絡(luò)數(shù)據(jù)包，根據(jù)協(xié)議的RFC文檔標(biāo)準(zhǔn)進(jìn)行協(xié)議分析，然后根據(jù)規(guī)則庫對有害信息或者非法網(wǎng)站進(jìn)行審計過濾，實時地記錄各種有害信息或者非法網(wǎng)站的全部會話過程和數(shù)據(jù)，并根據(jù)管理中心的指令進(jìn)行各種操作。系統(tǒng)平臺：*LINUX操作系統(tǒng)。3系統(tǒng)架構(gòu)藍(lán)盾信息安全管理審計系統(tǒng)可以根據(jù)業(yè)務(wù)需要，采用兩種方式接入：3.1旁路監(jiān)聽方式接入網(wǎng)絡(luò)藍(lán)盾信息安全管理審計系統(tǒng)接在目標(biāo)網(wǎng)絡(luò)的核心交換機(jī)鏡像口上，實時監(jiān)聽進(jìn)出該網(wǎng)絡(luò)的通信數(shù)據(jù)包，進(jìn)行相關(guān)協(xié)議解碼分析，由遠(yuǎn)程控制端獲取網(wǎng)絡(luò)藍(lán)盾信息安全管理審計系統(tǒng)的審計數(shù)據(jù)、運行日志和統(tǒng)計數(shù)據(jù)等。這種接入方式對目標(biāo)網(wǎng)絡(luò)（學(xué)校、賓館、小區(qū)、網(wǎng)吧等上網(wǎng)場所）進(jìn)行遠(yuǎn)程旁路監(jiān)聽，對網(wǎng)絡(luò)的性能無任何影響，適合于流量比較大的大型網(wǎng)絡(luò)。藍(lán)盾信息安全管理審計系統(tǒng)技術(shù)白皮書廣東天海威數(shù)碼技術(shù)有限公司5遠(yuǎn)程控制端藍(lán)盾信息安全審計管理系統(tǒng)藍(lán)盾信息安全審計管理系統(tǒng)3.2網(wǎng)關(guān)方式接入網(wǎng)絡(luò)藍(lán)盾信息安全管理審計系統(tǒng)安裝在中心交換機(jī)和網(wǎng)關(guān)（路由器等）之間，對內(nèi)部網(wǎng)絡(luò)的對外訪問進(jìn)行全面的監(jiān)控、過濾、阻斷和管理，高效地發(fā)現(xiàn)和攔截各種有害/不良信息的傳播。這種接入方式控制能力較強(qiáng)，不但能對目標(biāo)網(wǎng)絡(luò)（賓館、小區(qū)、網(wǎng)吧等上網(wǎng)場所）進(jìn)行信息偵控，而且對有害信息能即時進(jìn)行阻斷、攔截,同時藍(lán)盾信息安全管理審計系統(tǒng)內(nèi)置的防火墻對網(wǎng)絡(luò)還能起安全防護(hù)的作用,適合于各種中小型網(wǎng)絡(luò)。藍(lán)盾信息安全管理審計系統(tǒng)技術(shù)白皮書廣東天海威數(shù)碼技術(shù)有限公司64主要功能4.1實時信息監(jiān)控審計藍(lán)盾信息安全管理審計系統(tǒng)可以對HTTP、FTP、SMTP、POP3、TELNET、QQ、MSN、ICQ、YahooMessenger等協(xié)議和即時通信軟件進(jìn)行實時監(jiān)控報警，檢測和過濾相關(guān)的有害信息。4.1.1HTTP協(xié)議的監(jiān)控審計系統(tǒng)能對HTTP訪問進(jìn)行全面的協(xié)議解碼、分析，對壓縮了的網(wǎng)頁內(nèi)容進(jìn)行自動解壓，藍(lán)盾信息安全管理審計系統(tǒng)技術(shù)白皮書廣東天海威數(shù)碼技術(shù)有限公司7并根據(jù)設(shè)置的規(guī)則實現(xiàn)對域名、IP地址、URL關(guān)鍵字、網(wǎng)頁內(nèi)容和通過網(wǎng)頁發(fā)布、粘貼的內(nèi)容（如BBS論壇、WEBMail等）進(jìn)行監(jiān)控和過濾。黑名單包括IP黑名單和站點黑名單，可將一些反動、黃色等站點列入黑名單，限制對其訪問，必要時還可對其訪問內(nèi)容進(jìn)行監(jiān)控、記錄。白名單過濾不進(jìn)行監(jiān)控的網(wǎng)站名或IP地址，可將一些大型、知名網(wǎng)站列入白名單，系統(tǒng)將不對其進(jìn)行監(jiān)控，節(jié)省系統(tǒng)處理時間，提高系統(tǒng)效率。URL關(guān)鍵字URL串中包含有很多重要內(nèi)容，如帳號、郵箱地址、論壇上傳的內(nèi)容等，所以對URL基于關(guān)鍵字的監(jiān)控和過濾可以獲取不少有用的信息。網(wǎng)頁內(nèi)容關(guān)鍵字主要是對網(wǎng)頁內(nèi)容中包含的關(guān)鍵字的監(jiān)控和過濾。網(wǎng)站提供的服務(wù)，往往在網(wǎng)頁的內(nèi)容文字上有所表現(xiàn)，所以此功能不但能過濾一些反動