藍盾信息安全管理審計系統技術白皮書

藍盾信息安全管理審計系統技術白皮書目錄TOC\o"1-5"\h\z\o"CurrentDocument"1 系統概述 3\o"CurrentDocument"系統組成 3\o"CurrentDocument"管理中心 3\o"CurrentDocument"網絡探針 4\o"CurrentDocument"系統架構 4\o"CurrentDocument"3.1 旁路監(jiān)聽方式接入 4\o"CurrentDocument"3.2 網關方式接入 5\o"CurrentDocument"主要功能 6\o"CurrentDocument"實時信息監(jiān)控審計 6\o"CurrentDocument"HTTP協議的監(jiān)控審計 6\o"CurrentDocument"FTP協議的監(jiān)控審計 7\o"CurrentDocument"BT/電驢/迅雷等P2P傳輸工具監(jiān)控審計 8\o"CurrentDocument"音視頻監(jiān)控審計（mms/rtsp） 8\o"CurrentDocument"SMTP協議的監(jiān)控審計 8\o"CurrentDocument"POP3協議的監(jiān)控審計 9\o"CurrentDocument"Web_Mail監(jiān)控審計 9\o"CurrentDocument"TELNET協議的監(jiān)控審計 10\o"CurrentDocument"QQ協議的監(jiān)控審計 10\o"CurrentDocument"MSN協議的監(jiān)控審計 10\o"CurrentDocument"ICQ的監(jiān)控審計 11\o"CurrentDocument"YahooMessenger的監(jiān)控審計 11\o"CurrentDocument"社區(qū)/論壇的監(jiān)控審計（QQ/天涯等） 12\o"CurrentDocument"游戲的監(jiān)控審計 12\o"CurrentDocument"病毒檢測功能 12\o"CurrentDocument"記錄取證功能 12\o"CurrentDocument"上網控制管理功能 13\o"CurrentDocument"策略規(guī)則模版管理功能 13\o"CurrentDocument"監(jiān)控單位管理功能 13\o"CurrentDocument"日志分析與管理功能 13\o"CurrentDocument"信息查詢功能 13\o"CurrentDocument"防火墻功能 13\o"CurrentDocument"人性化的管理接口 14系統概述配合公安部報警處置中心項目的開展，廣東天海威數碼技術有限公司自主研發(fā)了“藍盾信息安全管理審計系統”。本系統綜合采用底層數據挖掘技術、數據報文捕獲技術、協議解碼還原技術、內容過濾技術等先進技術，支持各種網絡應用協議包括：HTTP、SMTP、POP3、TELNET、FTP、QQ、MSN等的監(jiān)測和阻斷。具有監(jiān)控、過濾、阻斷和管理功能，可以高效地發(fā)現和攔截各種有害/不良信息的傳播。藍盾信息安全管理審計系統適用于建設有局域網的各類上網場所，具體包括：學校、賓館、小區(qū)、網吧、政府機關、事業(yè)單位等場所。通過本系統的監(jiān)控，公安機關可以隨時掌握每個上網場所的上網情況，使每個上網場所動態(tài)處于警方24小時監(jiān)控之中。本系統的使用不但可以屏蔽黃、賭、毒、邪黑客等不良網站，營造綠色網絡環(huán)境，維護良好的上網秩序，還可以為公安網監(jiān)部門提供一種快速、準確、可靠的技術偵查手段，從而達到打擊計算機信息犯罪，確保國家信息安全的目的。系統組成藍盾信息安全管理審計系統主要分為兩大部分：管理中心和網絡探針。2.1管理中心管理中心是藍盾信息安全管理審計系統的管理控制部分，用于對部署在互聯網上的多個網絡探針進行集中管理，包括控制網絡探針的運行、參數配置、規(guī)則庫/關鍵字庫的更新、獲取審計數據、獲取探針運行日志和統計數據等。系統平臺：Windows系列操作系統、IE4.0以上。2.2網絡探針網絡探針部分采用標準專用的工控硬件設備，是藍盾信息安全管理審計系統的核心部件，它監(jiān)聽該網絡探針所在物理網絡上的所有通信信息，分析這些網絡通信信息，采用底層抓包技術，捕獲所有網絡數據包，根據協議的RFC文檔標準進行協議分析，然后根據規(guī)則庫對有害信息或者非法網站進行審計過濾，實時地記錄各種有害信息或者非法網站的全部會話過程和數據，并根據管理中心的指令進行各種操作。系統平臺：*LINUX操作系統。系統架構藍盾信息安全管理審計系統可以根據業(yè)務需要，采用兩種方式接入：3.1旁路監(jiān)聽方式接入網絡藍盾信息安全管理審計系統接在目標網絡的核心交換機鏡像口上，實時監(jiān)聽進出該網絡的通信數據包，進行相關協議解碼分析，由遠程控制端獲取網絡藍盾信息安全管理審計系統的審計數據、運行日志和統計數據等。這種接入方式對目標網絡（學校、賓館、小區(qū)網吧等上網場所）進行遠程旁路監(jiān)聽，對網絡的性能無任何影響，適合于流量比較大的大型網絡。

盯聯網網關網關交換機交換機旁路監(jiān)衍方式按入結構圖遠程控制端I網絡探針I(yè)網絡探針藍盾信息安全審計管理系統藍盾信息安全審計管理系統盯聯網網關網關交換機交換機旁路監(jiān)衍方式按入結構圖遠程控制端I網絡探針I(yè)網絡探針藍盾信息安全審計管理系統藍盾信息安全審計管理系統1 賓館/小區(qū)等上洌場所 I1 賓館/小區(qū)等上網場所13.2網關方式接入網絡藍盾信息安全管理審計系統安裝在中心交換機和網關（路由器等）之間，對內部網絡的對外訪問進行全面的監(jiān)控、過濾、阻斷和管理，高效地發(fā)現和攔截各種有害/不良信息的傳播。這種接入方式控制能力較強，不但能對目標網絡（賓館、小區(qū)、網吧等上網場所）進行信息偵控，而且對有害信息能即時進行阻斷、攔截,同時藍盾信息安全管理審計系統內置的防火墻對網絡還能起安全防護的作用,適合于各種中小型網絡。

遠程控制端網關交換機廣〕交換機旁路監(jiān)聽方式接入結構圖盯聯網藍盾信息安全審計管理系統藍盾信息安全審計管理系統網關1 遠程控制端網關交換機廣〕交換機旁路監(jiān)聽方式接入結構圖盯聯網藍盾信息安全審計管理系統藍盾信息安全審計管理系統網關1 賓館/小區(qū)等上網場所 ’賓館『小區(qū)等上網場所主要功能4.1實時信息監(jiān)控審計藍盾信息安全管理審計系統可以對HTTP、FTP、SMTP、POP3、TELNET、QQ、MSN、ICQ、YahooMessenger等協議和即時通信軟件進行實時監(jiān)控報警，檢測和過濾相關的有害信息。4.1.1HTTP協議的監(jiān)控審計系統能對HTTP訪問進行全面的協議解碼、分析，對壓縮了的網頁內容進行自動解壓,并根據設置的規(guī)則實現對域名、IP地址、URL關鍵字、網頁內容和通過網頁發(fā)布、粘貼的內容（如BBS論壇、WEBMail等）進行監(jiān)控和過濾。黑名單包括IP黑名單和站點黑名單，可將一些反動、黃色等站點列入黑名單，限制對其訪問，必要時還可對其訪問內容進行監(jiān)控、記錄。白名單過濾不進行監(jiān)控的網站名或IP地址，可將一些大型、知名網站列入白名單，系統將不對其進行監(jiān)控，節(jié)省系統處理時間，提高系統效率。URL關鍵字URL串中包含有很多重要內容，如帳號、郵箱地址、論壇上傳的內容等，所以對URL基于關鍵字的監(jiān)控和過濾可以獲取不少有用的信息。主要是對網頁內容中包含的關鍵字的監(jiān)控和過濾。網站提供的服務，往往在網頁的內容文字上有所表現，所以此功能不但能過濾一些反動、黃色的信息，而且能發(fā)現一些提供非法服務（如賭博）的網站。4.1.2FTP協議的監(jiān)控審計系統能對FTP站點、IP地址、FTP帳號、FTP傳送的文件名和文件內容進行監(jiān)控和過濾。FTP站點黑名單系統能對一些非法FTP站點進行監(jiān)控和過濾。包括域名和IP地址。FTP文件名對特定的FTP文件名進行監(jiān)控和過濾。FTP文件內容關鍵字系統能對文件內容中的關鍵字進行監(jiān)控和過濾。4?1.3BT/電驢/迅雷等P2P傳輸工具監(jiān)控審計BT/電驢/迅雷等P2P傳輸工具監(jiān)控審計系統能對傳輸文件名進行匹配報警。音視頻監(jiān)控審計(mms/rtsp)音視頻監(jiān)控審計系統能記錄日志，也能對匹配的文件名進行報警。SMTP協議的監(jiān)控審計系統能對發(fā)送的郵件進行監(jiān)控和過濾。監(jiān)控的內容包括郵件信頭中的發(fā)件人、收件人抄送人、主題，信體的郵件正文內容、附件名、文本附件內容等。發(fā)件人地址對郵件發(fā)件人地址的監(jiān)控和過濾。收件人地址對郵件收件人地址的監(jiān)控和過濾。郵件主題中的關鍵字對郵件主題中的關鍵字的監(jiān)控和過濾。郵件內容關鍵字系統能對郵件內容中的關鍵字進行監(jiān)控和過濾。郵件附件文件名系統能對郵件附件特定的文件名進行監(jiān)控和過濾。郵件附件文件內容中的關鍵字系統能對郵件附件文件內容中的關鍵字進行監(jiān)控和過濾。4.1.6POP3協議的監(jiān)控審計系統能對接收的郵件進行監(jiān)控和過濾。監(jiān)控的內容包括郵件信頭中的發(fā)件人、收件人抄送人、主題，信體的郵件正文內容、附件名、文本附件內容等。4.1.7Web_Mail監(jiān)控審計Web_Mail帳號關鍵字系統能對特定帳號關鍵詞報警Web_Mail內容關鍵字系統能對特定內容關鍵字報警Web_Mail特定關鍵字內容阻斷處理系統能對對含特定關鍵字內容阻斷處理4.1.8TELNET協議的監(jiān)控審計系統能對提供TELNET服務的站點、IP地址和TELNET中交互的內容進行監(jiān)控和過濾。同時還能對TELNET用戶上、下線進行監(jiān)控、報警。TELNET站點黑名單系統能對一些非法TELNET站點進行監(jiān)控和過濾。包括域名和IP地址。TELNET內容關鍵字系統能對TELNET通信中交互的內容，進行監(jiān)控和過濾。4.1.9QQ協議的監(jiān)控審計QQ用戶上下線監(jiān)控系統能對QQ號碼在線與下線進行監(jiān)控與過濾。QQ聊天室信息監(jiān)控系統能夠對QQ聊天室的信息內容進行監(jiān)控和過濾4.1.10MSN協議的監(jiān)控審計系統能對MSN的帳號和內容進行監(jiān)控。MSN用戶上下線監(jiān)控系統通過對MSN帳號的監(jiān)控，能實現對特定用戶上下線的報警。MSN內容關鍵字系統能捕獲MSN的通信內容，對內容中特定關鍵字進行監(jiān)控和過濾。4.1.11ICQ的監(jiān)控審計系統能對ICQ的帳號和內容進行監(jiān)控。ICQ用戶上下線監(jiān)控系統通過對ICQ帳號的監(jiān)控，能實現對特定用戶上下線的報警。ICQ內容關鍵字系統能捕獲ICQ的通信內容，對內容中特定關鍵字進行監(jiān)控和過濾。4.1.12YahooMessenger的監(jiān)控審計YahooMessenger用戶上下線監(jiān)控系統通過對YahooMessenger帳號的監(jiān)控，能實現對特定用戶上下線的報警。YahooMessenger內容關鍵字系統能實時捕獲所有的聊天信息，包括普通聊天信息、會議信息和聊天室信息等，并對內容中特定的關鍵字進行監(jiān)控和過濾。4.1.13 社區(qū)/論壇的監(jiān)控審計（QQ/天涯等）社區(qū)/論壇的監(jiān)控審計系統能隊特定帳號關鍵詞報警社區(qū)/論壇的監(jiān)控審計系統能對張貼含特定關鍵詞的內容報警社區(qū)/論壇的監(jiān)控審計系統能對張貼含特定關鍵詞的內容進行屏蔽處理4.1.14游戲的監(jiān)控審計藍盾信息安全管理審計系統將支持各種國內流行的大型網絡游戲的監(jiān)控，包括指定的玩家ID的上下線監(jiān)控和游戲過程中的聊天信息的內容監(jiān)控和過濾。主要支持的游戲包括：盛大的《傳奇世界》、《浩方》、網易公司的《大話西游》、九城的《魔獸世界》、新浪樂谷的《天堂》等。4.2病毒檢測功能藍盾信息安全管理審計系統具有病毒檢測功能，系統配備了內嵌式病毒過濾引擎和外掛式病毒過濾引擎。內嵌式病毒過濾引擎，帶有病毒特征模式庫，能過濾常見的2萬多種網絡病毒。外掛式病毒過濾引擎提供病毒過濾接口，能與賽門鐵克等病毒過濾引擎連接，滿足用戶防網絡病毒的需求。4.3記錄取證功能藍盾信息安全管理審計系統能滿足公安網監(jiān)部門對上網用戶上網行為審計備案的要求有效發(fā)現、定位有害信息源頭、為公安部門偵查破案和追蹤黑客提供了一套有力的技術手段具有犯罪取證功能。上網控制管理功能藍盾信息安全管理審計系統具有十分靈活而全面的上網控制管理功能，如記錄上網人員常用的網絡活動，上網網站、網上聊天、收發(fā)郵件等；規(guī)定人員上網行為；如過濾黃色、反動網站和關鍵詞；詳細記錄由收發(fā)工具（指OutLook、FoxMail等）所收發(fā)的郵件（含內容和附件）；詳細記錄FTP上傳和下載文件；可看到MSN聊天的內容，網絡流量的記錄等。策略規(guī)則模版管理功能藍盾信息安全管理審計系統遠程控制端可以對各個監(jiān)控點的審計策略進行統一管理，遠程控制端對審計策略做的任何更新維護操作都將直接下發(fā)到各個監(jiān)控點。通過遠程控制端也可對監(jiān)控端進行單獨管理，定制、添加和管理規(guī)則策略。監(jiān)控單位管理功能藍盾信息安全管理審計系統通過遠程控制端可統一管理各個監(jiān)控點單位的信息和運行情況，包括在線情況、報警信息處理、預警信息發(fā)布、規(guī)則下發(fā)等等。4.7日志分析與管理功能藍盾信息安全管理審計系統可以生成詳細的網絡信息日志和系統運行日記，方便對整個系統的監(jiān)控情況和每段時間運行狀況查看，保證對整個系統的