蓝盾信息安全管理审计系统技术白皮书.doc

蓝盾信息安全管理审计系统技术白皮书蓝盾信息安全管理审计系统技术白皮书广东天海威数码技术有限公司2目录1系统概述.32系统组成.32.1管理中心.32.2网络探针.43系统架构.43.1旁路监听方式接入.43.2网关方式接入.54主要功能.64.1实时信息监控审计.64.1.1HTTP协议的监控审计.64.1.2FTP协议的监控审计.74.1.3BT/电驴/迅雷等P2P传输工具监控审计.84.1.4音视频监控审计（mms/rtsp).84.1.5SMTP协议的监控审计.84.1.6POP3协议的监控审计.94.1.7Web_Mail监控审计.94.1.8TELNET协议的监控审计.104.1.9QQ协议的监控审计.104.1.10MSN协议的监控审计.104.1.11ICQ的监控审计.114.1.12YahooMessenger的监控审计.114.1.13社区/论坛的监控审计(QQ/天涯等).124.1.14游戏的监控审计.124.2病毒检测功能.124.3记录取证功能.124.4上网控制管理功能.134.5策略规则模版管理功能.134.6监控单位管理功能.134.7日志分析与管理功能.134.8信息查询功能.134.9防火墙功能.134.10人性化的管理接口.14蓝盾信息安全管理审计系统技术白皮书广东天海威数码技术有限公司31系统概述配合公安部报警处置中心项目的开展，广东天海威数码技术有限公司自主研发了“蓝盾信息安全管理审计系统”。本系统综合采用底层数据挖掘技术、数据报文捕获技术、协议解码还原技术、内容过滤技术等先进技术，支持各种网络应用协议包括：HTTP、SMTP、POP3、TELNET、FTP、QQ、MSN等的监测和阻断。具有监控、过滤、阻断和管理功能，可以高效地发现和拦截各种有害/不良信息的传播。蓝盾信息安全管理审计系统适用于建设有局域网的各类上网场所，具体包括：学校、宾馆、小区、网吧、政府机关、事业单位等场所。通过本系统的监控，公安机关可以随时掌握每个上网场所的上网情况，使每个上网场所动态处于警方小时监控之中。本系统的使用不但可以屏蔽黄、赌、毒、邪黑客等不良网站，营造绿色网络环境，维护良好的上网秩序，还可以为公安网监部门提供一种快速、准确、可靠的技术侦查手段，从而达到打击计算机信息犯罪，确保国家信息安全的目的。2系统组成蓝盾信息安全管理审计系统主要分为两大部分：管理中心和网络探针。2.1管理中心管理中心是蓝盾信息安全管理审计系统的管理控制部分，用于对部署在互联网上的多个网络探针进行集中管理，包括控制网络探针的运行、参数配置、规则库/关键字库的更新、获取审计数据、获取探针运行日志和统计数据等。系统平台：Windows系列操作系统、IE4.0以上。蓝盾信息安全管理审计系统技术白皮书广东天海威数码技术有限公司42.2网络探针网络探针部分采用标准专用的工控硬件设备，是蓝盾信息安全管理审计系统的核心部件，它监听该网络探针所在物理网络上的所有通信信息，分析这些网络通信信息，采用底层抓包技术，捕获所有网络数据包，根据协议的RFC文档标准进行协议分析，然后根据规则库对有害信息或者非法网站进行审计过滤，实时地记录各种有害信息或者非法网站的全部会话过程和数据，并根据管理中心的指令进行各种操作。系统平台：*LINUX操作系统。3系统架构蓝盾信息安全管理审计系统可以根据业务需要，采用两种方式接入：3.1旁路监听方式接入网络蓝盾信息安全管理审计系统接在目标网络的核心交换机镜像口上，实时监听进出该网络的通信数据包，进行相关协议解码分析，由远程控制端获取网络蓝盾信息安全管理审计系统的审计数据、运行日志和统计数据等。这种接入方式对目标网络（学校、宾馆、小区、网吧等上网场所）进行远程旁路监听，对网络的性能无任何影响，适合于流量比较大的大型网络。蓝盾信息安全管理审计系统技术白皮书广东天海威数码技术有限公司5远程控制端蓝盾信息安全审计管理系统蓝盾信息安全审计管理系统3.2网关方式接入网络蓝盾信息安全管理审计系统安装在中心交换机和网关（路由器等）之间，对内部网络的对外访问进行全面的监控、过滤、阻断和管理，高效地发现和拦截各种有害/不良信息的传播。这种接入方式控制能力较强，不但能对目标网络（宾馆、小区、网吧等上网场所）进行信息侦控，而且对有害信息能即时进行阻断、拦截,同时蓝盾信息安全管理审计系统内置的防火墙对网络还能起安全防护的作用,适合于各种中小型网络。蓝盾信息安全管理审计系统技术白皮书广东天海威数码技术有限公司64主要功能4.1实时信息监控审计蓝盾信息安全管理审计系统可以对HTTP、FTP、SMTP、POP3、TELNET、QQ、MSN、ICQ、YahooMessenger等协议和即时通信软件进行实时监控报警，检测和过滤相关的有害信息。4.1.1HTTP协议的监控审计系统能对HTTP访问进行全面的协议解码、分析，对压缩了的网页内容进行自动解压，蓝盾信息安全管理审计系统技术白皮书广东天海威数码技术有限公司7并根据设置的规则实现对域名、IP地址、URL关键字、网页内容和通过网页发布、粘贴的内容（如BBS论坛、WEBMail等）进行监控和过滤。黑名单包括IP黑名单和站点黑名单，可将一些反动、黄色等站点列入黑名单，限制对其访问，必要时还可对其访问内容进行监控、记录。白名单过滤不进行监控的网站名或IP地址，可将一些大型、知名网站列入白名单，系统将不对其进行监控，节省系统处理时间，提高系统效率。URL关键字URL串中包含有很多重要内容，如帐号、邮箱地址、论坛上传的内容等，所以对URL基于关键字的监控和过滤可以获取不少有用的信息。网页内容关键字主要是对网页内容中包含的关键字的监控和过滤。网站提供的服务，往往在网页的内容文字上有所表现，所以此功能不但能过滤一些反动、黄色的信息，而且能发现一些提供非法服务（如赌博）的网站。4.1.2FTP协议的监控审计系统能对FTP站点、IP地址、FTP帐号、FTP传送的文件名和文件内容进行监控和过滤。FTP站点黑名单系统能对一些非法FTP站点进行监控和过滤。包括域名和IP地址。