蓝盾信息安全管理审计操作手册.doc

蓝盾信息安全管理审计系统操作手册广东天海威数码技术有限公司目 录第1章 系统概述31.1 产品组成31.2 系统部署31.2.1 旁路监听方式接入41.2.2 网关方式接入4第2章 操作指南62.1 系统登录62.2 消息管理92.2.1 写消息92.2.2 收/发消息箱92.3 报警日志102.3.1 实时报警102.3.2 报警日志112.4 网络日志122.4.1 网页浏览132.4.2 网页发帖142.4.3 网络聊天152.4.4 网络论坛162.4.5 邮件访问172.4.6 文件传输192.4.7 网络游戏202.4.8 Telnet212.5 策略管理222.5.1 监控策略222.6 上网终端管理262.6.1 临时终端管理262.6.2 终端信息管理282.6.3 终端上下线日志292.6.4 在线终端列表302.7 代码表管理312.7.1 常用证件代码312.7.2 国别代码332.8 系统管理342.8.1 登陆次数设置342.8.2 单位信息352.8.3 系统设置362.8.4 用户管理402.8.5 修改密码432.8.6 隔离区442.8.7 系统备份452.8.8 系统升级462.9 计费管理472.9.1 收费管理472.9.2 机器列表492.10 其他功能492.10.1 全局参数设置492.10.2 城市旅业接口502.10.3 垃圾邮件检测512.10.4 病毒检测532.10.5 流量监视542.11 退出系统55第1章 系统概述广东天海威数码技术有限公司研发的“蓝盾信息安全管理审计系统”是专门针对我国宾馆、酒店、学校、小区等公共上网服务场所的网络安全现状而开发的网络安全监控审计类产品。本系统综合采用数据挖掘技术、数据报文捕获技术、协议解码还原技术、内容匹配技术、插件技术等各种先进的开发和管理技术，支持绝大多数主流的网络协议，包括：IPv4、ICMP、DNS、ARP、TCP、UDP、HTTP、SMTP、POP3、IMAP、TELNET、FTP、NNTP、RTSP、MMS等；各种网络应用，包括网络论坛（BBS）、网络聊天、网络电子邮件（WebMail）和网络短信；各种即时通讯软件，如QQ、MSN、ICQ、Yahoo Messenger等；具有监控、记录和管理功能，可以高效地发现和拦截各种有害/不良信息的传播。本系统适用于建设有局域网的各类上网场所，具体包括：学校、宾馆、小区、网吧、政府机关、事业单位等场所的安全管理。能够透明地审计并管理内部工作人员的上网行为，屏蔽黄、赌、毒、邪教、黑客等不良网站，能够很好地满足来自信息安全市场的多种需求，例如政府、教育、企业等客户，从而达到提升政府形象、避免潜在的法律责任、提高企业的工作效率、营造绿色校园网络环境的目的，形成横跨多种行业的专业审计方案。 1.1 产品组成蓝盾信息安全管理审计系统主要分为两大部分：管理中心和网络探针。管理中心：蓝盾信息安全管理审计系统的管理控制部分，用于对部署在互联网上的多个网络探针进行集中管理，包括控制网络探针的运行、参数配置、规则库/关键字库的更新、获取审计数据、获取探针运行日志和统计数据等。网络探针：是蓝盾信息安全管理审计系统的核心部件，它监听该网络探针所在物理网络上的所有通信信息，分析这些网络通信信息，采用底层抓包技术，捕获所有网络数据包，根据协议的RFC文档标准进行协议分析，然后根据规则库对有害信息或者非法网站进行审计过滤，实时地记录各种有害信息或者非法网站的全部会话过程和数据，并根据管理中心的指令进行各种操作。1.2 系统部署蓝盾信息安全管理审计系统可以根据业务需要，采用两种方式接入：1.2.1 旁路监听方式接入蓝盾信息安全管理审计系统接在目标网络的核心交换机镜像口上，实时监听进出该网络的通信数据包，进行相关协议解码分析，由远程控制端获取网络蓝盾信息安全管理审计系统的审计数据、运行日志和统计数据等。这种接入方式对目标网络（学校、宾馆、小区、网吧等上网场所）进行远程旁路监听，对网络的性能无任何影响，适合于流量比较大的大型网络。1.2.2 网关方式接入蓝盾信息安全管理审计系统安装在中心交换机和网关（路由器等）之间，对内部网络的对外访问进行全面的监控、过滤、阻断和管理，高效地发现和拦截各种有害/不良信息的传播。这种接入方式控制能力较强，不但能对目标网络（宾馆、小区、网吧等上网场所）进行信息侦控，而且对有害信息能即时进行阻断、拦截,适合于各种中小型网络。第2章 操作指南本章详细介绍系统各个功能模块的操作方法。2.1 系统登录蓝盾信息安全管理审计系统管理完全基于B/S模式，用户在网络中任何一台允许访问的机器都可以通过网页浏览器登录该系统：第一步：将“蓝盾信息安全管理审计系统”硬件正确安装后，打开局域网内任意机器的WEB浏览器（以IE为例），输入https:/ 蓝盾信息安全管理审计系统IP （默认的出厂管理口 LAN1接口IP为 /24），出现界面如下图：第二步：选择“是”后，进入登录界面：第三步：输入用户名、密码，进入系统主界面，如下图，本系统管理平台的每一个页面分成四个部分，通常页面的上部为系统名称和快捷按钮区，页面的左边为操作选择区，中间为信息显示区，右边为查询区。除中间的数据显示区外，其它各个区都可以选择隐藏。用户可以在导航菜单栏选择不同的系统操作模式，用户选择数据列表中的对应记录，在列表下方将实时显示对应数据记录的详情，在数据显示区上方为数据查询区，用户可以通过设置具体查询条件在数据列表中搜索具体数据记录；主要功能有：消息管理：跟管理中心通信，以便发通知或信息报警日志：匹配策略的实时日志网络日志：通过网络探针支持的网络协议日志策略管理：管理策略，对匹配的策略阻断、报警并记录上网终端管理：管理上网的客户端帐号和密码代码表管理：管理国籍代码和常用证件代码系统管理：针对网络探针的设置计费系统：对通过的机器进行计费其他功能：附带功能，如垃圾邮件检测、病毒检测、流量监视等退出：退出管理界面注：蓝盾信息安全管理审计系统出厂时的用户和密码都是admin,为了安全起见,请用户在初次使用后在“系统管理”中的修改密码更改密码；登陆成功后，会弹出新窗口，请设置系统或软件允许弹出窗口。2.2 消息管理2.2.1 写消息功能描述 跟管理中心通信，以便发通知或信息。操作点击“消息管理”“写消息”，在弹出的界面中，根据情况填上主题和内容，点击“确定”，将消息发送到管理中心。2.2.2 收/发消息箱功能描述 保存跟管理中心通信的记录。操作点击“消息管理”“收/发消息箱”，可查看跟管理中心通信的记录。2.3 报警日志2.3.1 实时报警功能描述根据审计策略，若发现审计信息与制定的策略匹配，即时进行报警，并将报警信息实时显示在“实时报警”界面上。操作点击“报警日志”“实时报警”，弹出20条报警记录，实时报警只显示最新20条报警记录，其它报警记录可在“报警日志”中的“报警日志”项查询，点击对应报警记录的“时间”项，可显示详细的报警信息，如下图：2.3.2 报警日志功能描述对匹配策略规则的报警数据进行记录存储，并提供条件查询功能。操作（1）点击“报警日志”“报警日志”，弹出最新的报警日志数据记录，可在查询区域中利用“查询功能”按条件进行查询。（2）支持的查询条件包括：n 访问日期查询：从XXXX年XX月XX日至XXXX年XX月XX日n 服务类型查询n 姓名查询n 证件类型查询n 证件编码查询n 目的IP查询n 终端IP查询n 终端MAC查询n 方式查询：精确查询、模糊查询2.4 网络日志2.4.1 网页浏览功能描述对进出被监控网络的网页浏览数据进行实时审计记录。操作（1）点击“网页浏览”，弹出最新的20条网页浏览记录，点击对应网页浏览中的“时间”项，可显示详细的网页浏览信息，其它网页浏览记录可在查询区域中利用“查询功能”按条件进行查询。 （2）支持的查询条件包括：n 访问日期查询：从XXXX年XX月XX日至XXXX年XX月XX日n 网址查询：输入指定网址进行查询。n 姓名查询n 证件类型查询n 证件编码n 目的IP查询n 终端IP查询n 终端MAC查询n 标题查询n 方式查询：精确查询、模糊查询2.4.2 网页发帖功能描述对进出被监控网络的网页发帖数据进行实时审计记录。操作（1）点击“网页发帖”，弹出最新的20条网页发帖记录，点击对应网页发帖中的“时间”项，可显示详细的网页发帖信息，其它网页发帖记录可在查询区域中利用“查询功能”按条件进行查询。（2）支持的查询条件包括：n 访问日期查询：从XXXX年XX月XX日至XXXX年XX月XX日n 网址查询：输入指定网址进行查询。n 姓名查询n 证件类型查询n 证件编码查询n 目的IP查询n 终端IP查询n 终端MAC查询n 内容查询n 方式查询：精确查询、模糊查询2.4.3 网络聊天功能描述对进出被监控网络的网络聊天数据进行实时审计记录。操作（1）点击“网络聊天”，弹出最新的20条网络聊天记录，点击对应网络聊天中的“时间”项，可显示详细的网络聊天信息，其它网络聊天记录可在查询区域中利用“查询功能”按条件进行查询。（2）支持的查询条件包括：n 访问日期查询：从XXXX年XX月XX日至XXXX年XX月XX日n 聊天工具查询：支持QQ/MSN/YAHOO messager/ICQ等聊天工具的查询n 姓名查询n 证件类型查询n 证件编码查询n 目的IP查询n 终端IP查询n 终端MAC查询n 帐号查询n 内容查询n 方式查询：精确模式、模糊模式2.4.4 网络论坛功能描述对进出被监控网络的网络论坛数据进行实时审计记录。操作（1）点击“网络论坛”，弹出最新的20条网络论坛记录，点击对应网络论坛中的“时间”项，可显示详细的网络论坛信息，其它网络论坛记录可在查询区域中利用“查询功能”按条件进行查询。（2）支持的查询条件包括：n 访问日期查询：从XXXX年XX月XX日至XXXX年XX月XX日n 论坛查询：支持天涯社区/中华网社区/学生网社区/人民网论坛/QQ论坛/ 17158论坛/新浪网论坛/新华网论坛/西子湖畔论坛/深圳热线论坛等论坛记录的查询n 姓名查询n 证件类型查询n 证件编码查询n 目的IP查询n 终端IP查询n 终端MAC查询n 帐号查询n 方式查询：精确查询、模糊查询2.4.5 邮件访问功能描述对进出被监控网络的邮件访问数据进行实时审计记录。操作（1）点击“邮件访问”，弹出最新的20条邮件访问记录，点击对应邮件访问中的“时间”项，可显示详细的邮件访问信息，其它邮件访问记录可在查询区域中利用“查询功能”按条件进行查询。（2）支持的查询条件包括：n 访问日期查询：从XXXX年XX月XX日至XXXX年XX月XX日n 类型查询：支持以下邮箱类型查询n 姓名查询n 证件类型查询n 证件编码查询n 目的IP查询n 终端IP查询n 终端MAC查询n 帐号查询n 方式查询：精确查询、模糊查询2.4.6 文件传输功能描述对进出被监控网络的传输文件数据进行实时审计记录。操作（1）点击“文件传输”，弹出最新的20条文件传输记录，点击对应文件传输中的“时间”项，可显示详细的文件传输信息，其它文件传输记录可在查询区域中利用“查询功能”按条件进行查询。（2）支持的查询条件包括：n 访问日期查询：从XXXX年XX月XX日至XXXX年XX月XX日n 类型查询：支持以下文件传输类型的查询n 姓名查询n 证件类型查询n 证件编码查询n 目的IP查询n 终端IP查询n 终端MAC查询n 文件名查询n 方式查询：精确查询、模糊查询2.4.7 网络游戏功能描述对进出被监控网络的网络游戏数据进行实时审计记录。操作（1）点击“网络游戏”，弹出最新的20条网络游戏记录，点击对应网络游戏中的“时间”项，可显示详细的网络游戏信息，其它网络游戏记录可在查询区域中利用“查询功能”按条件进行查询。（2）支持的查询条件包括：n 访问日期查询：从XXXX年XX月XX日至XXXX年XX月XX日n 类型查询：支持对联众/QQ游戏/中国游戏中心/梦幻西游/魔兽世界/大话西游等网络游戏的查询n 姓名查询n 证件类型查询n 证件编码查询n 目的IP查询n 终端IP查询n 终端MAC查询n 昵称查询n 方式查询：精确查询、模糊查询2.4.8 Telnet功能描述对进出被监控网络的Telnet协议数据进行实时审计记录。操作（1）点击“Telnet”，弹出最新的20条Telnet协议数据记录，点击对应Telnet中的“时间”项，可显示详细的Telnet信息，其它Telnet协议数据记录可在查询区域中利用“查询功能”按条件进行查询。（2）支持的查询条件包括：n 访问日期查询：从XXXX年XX月XX日至XXXX年XX月XX日n 姓名查询n 证件类型查询n 证件编码查询n 目的IP查询n 终端IP查询n 终端MAC查询n 用户名查询n 命令查询n 方式查询：精确查询、模糊查询2.5 策略管理2.5.1 监控策略功能描述设置监控策略。操作点击“策略管理”“监控策略”，显示已设置的监控策略界面：l 新增策略点击“新增策略”，进入增加策略页面，如下图所示：策略名称：在监控策略中显示的名称动作：阻断：阻断匹配策略的数据包 报警：在“实时报警”中显示匹配策略的信息报警设置：系统设置：使用系统默认的设置新设置：将匹配策略的信息发送给接受用户ID，由接受用户ID进行处理有效期设置：设置该策略的有效期。日期有效选项每月1-31每周1-7每天00时00分-23时59分关键字：检查数据包中指定的关键字关键字类型：检查指定的关键字类型适用服务类型：检查指定的服务类型和匹配的选项服务类型匹配选项网络浏览网页发帖网络聊天登陆、退出、联络网络论坛登陆、退出邮件访问登陆、退出、发件人、收件人文件传输登陆、退出网络游戏登陆、退出Telnet登陆、退出配置策略完毕，点“确定”：保存策略定义和关键字点“策略存盘”：保存策略定义，可对该策略新增多个关键字点“关键字存盘”：保存关键字，必须保证策略定义已存盘，用于新建多个关键字点“新建策略”：重新新建策略保存后的策略可在监控策略界面中看到。l 编辑策略可编辑策略定义或编辑策略关键字。在策略列表中点击需要编辑的策略定义或策略关键字的按钮，在弹出的界面中，根据实际情况修改，修改后保存设置。l 删除策略可删除策略定义或策略关键字。在策略列表中点击需要删除的策略定义或策略关键字的按钮，在确认删除对话框中选择确定，系统提示删除成功；l 策略下发新建的策略需下发才能生效。策略设完后，点击“策略下发”，提示策略下发成功。2.6 上网终端管理2.6.1 临时终端管理功能描述管理临时终端的上网帐号。操作(1)点击“上网终端管理”“临时终端管理”，查看系统当前的临时终端帐号。(2)点击“新增”，弹出新增界面，根据实际情况设置，其中为必设项。2.6.2 终端信息管理功能描述管理上网终端帐号。操作(1) 点击“上网终端管理”“终端信息管理”，查看当前系统设置的上网终端帐号。(2) 点击“新增”，在弹出的界面中设置新增帐号的信息，其中号为必填。2.6.3 终端上下线日志功能描述 记录临时终端和上网终端的上下线日志。操作点击“上网终端管理”“终端上下线日志”，查看终端上下线的信息。2.6.4 在线终端列表功能描述 显示当前终端在线信息。操作 点击“上网终端管理”“在线终端列表”，查看当前终端在线信息。2.7 代码表管理2.7.1 常用证件代码功能描述 管理常用证件代码。操作 （1）点击“代码表管理”“常用证件代码”，查看系统内置的证件代码。（2）点击“新增”新增证件代码，在新增界面中根据需要填写代码和名称，点击“确定”，新增完毕。2.7.2 国别代码功能描述 管理国别代码。操作 （1）点击“代码表管理”“国别代码”，查看系统内置的国别代码。（2）点击“新增”新增国别代码和描述，在弹出的界面中填写代码和描述，点击“确定”，新增完毕。2.8 系统管理2.8.1 登陆次数设置功能描述 限制用户帐号最大尝试次数，防止暴力破解；超过最大尝试次数的用户帐号将被隔离区隔离起来，只有在隔离区中恢复帐号才能重新登陆；设置登陆后最长空闲时间，超过该时间自动退出。操作 点击“系统管理”“登陆次数设置”，在弹出的界面中设置最大尝试次数和最长在线时间，0为不限制。2.8.2 单位信息功能描述 设置用户单位的信息。操作 点击“系统管理”“单位信息”，查看/设置用户单位信息；其中*号为必填，上网服务场所代码和上网服务场所名称由相关机关统一分配管理；其他信息请根据实际情况填写。2.8.3 系统设置功能描述 设置审计系统的参数。操作（1） 点击“系统管理”“系统管理”，设置审计系统管理口IP地址、子网掩码、缺省网关和阻断类型。其中：阻断类型描述重定向审计系统将匹配阻断策略机器的数据包重定向到指定的URLTCP重置审计系统向匹配阻断策略的机器发送tcp reset包，使其不能建立会话ARP欺骗审计系统向匹配阻断策略的机器发送ARP欺骗包，使其不能通过网关上网（2） 点击“监控参数设置”，设置监控网口、监控的网段/主机、排除监控的网段/主机。（3） 点击“IP协议设置”，配置用于IP分片的参数：其中：IP参数描述分片使用的内存总量用于处理IP分片的内存数量期望保留的内存总量在指定的时间内保留的内存数，用于处理突发的IP分片包超时在设置的时间内，如果一个IP包的所有的IP分片包还没接收到，则丢弃该IP包最小TTL不处理小于最小TTL的IP包（）点击“TCP协议设置“，设置TCP参数，其中：TCP参数描述并发联接数同时处理的并发联接数目TCP重组使用的内存分配处理TCP重组的内存最小TTL不重组小于最小TTL的TCP包队列尺寸处理TCP重组的队列长度（）点击“上报服务器设置”，设置将匹配策略的报警日志上报道指定的服务器。其中服务器类型支持蓝盾和公安。（注：报警日志可选择不上报，存储于所属的探针引擎中。）（）点击“桥接设置”，设置审计系统的接入模式，根据用户的网络情况设置。2.8.4 用户管理功能描述系统用户帐号管理。操作（1）点击“系统管理”“用户管理”，弹出用户帐号管理界面：系统管理体系采用了多用户多操作角色设计模式，用户可以根据不同需要根据网络管理审计的任务分配创建多个系统管理用户，为每个用户分配不同的操作角色，使每个用户登录系统后具有不同的操作权限，满足用户在复杂环境下实施多级审计和跨部门审计的需求。用户管理l 新增用户点击“新增”，可进入系统新增用户设置界面：填写完相关的用户管理配置信息后，按“新增”即可设置完毕。 角色管理点击“角色管理”，可进入系统角色管理设置界面：l 新增角色点击“新增”，可进入系统新增用户角色设置界面：填写完相关的用户角色管理配置信息后，按“新增”即可设置完毕。2.8.5 修改密码功能描述 修改当前用户密码。操作 点击“系统管理”“修改密码”，输入新密码修改当前用户密码。2.8.6 隔离区功能描述 查看/恢复非法登陆的用户帐号。操作 点击“系统管理”-“隔离区”，查看非法登陆的用户帐号；选中要恢复的用户帐号，点击“恢复”即可，恢复后的用户帐号可以重新登陆系统。2.8.7 系统备份功能描述制定系统数据备份策略。操作点击“系统管理”“系统备份”，可进入系统数据备份设置界面：系统提供了二种数据备份方式：全部数据备份：包括运行的全部数据和记录，管理数据和业务数据基本数据备份：主要备份系统最小运行的基本数据和少量记录注：管理数据，即保持系统能最基本运行的数据, 如：系统配置、系统菜单、用户信息、角色信息等.业务数据，即由系统运行过程中由用户添加或系统运行产生的数据, 如: 网页访问、聊天内容等.用户可以选择把备份数据存放在本地或备份服务器；备份目标可选择备份到服务器、备份到本地。2.8.8 系统升级功能描述系统升级设置。操作（1）点击“系统升级”，弹出系统升级管理策略定制界面：系统提供了两种升级方法：在线升级输入在