藍(lán)盾信息安全管理審計(jì)系統(tǒng)技術(shù)白皮書(shū).doc

藍(lán)盾信息安全管理審計(jì)系統(tǒng)技術(shù)白皮書(shū)藍(lán)盾信息安全管理審計(jì)系統(tǒng)技術(shù)白皮書(shū)廣東天海威數(shù)碼技術(shù)有限公司2目錄1系統(tǒng)概述.32系統(tǒng)組成.32.1管理中心.32.2網(wǎng)絡(luò)探針.43系統(tǒng)架構(gòu).43.1旁路監(jiān)聽(tīng)方式接入.43.2網(wǎng)關(guān)方式接入.54主要功能.64.1實(shí)時(shí)信息監(jiān)控審計(jì).64.1.1HTTP協(xié)議的監(jiān)控審計(jì).64.1.2FTP協(xié)議的監(jiān)控審計(jì).74.1.3BT/電驢/迅雷等P2P傳輸工具監(jiān)控審計(jì).84.1.4音視頻監(jiān)控審計(jì)（mms/rtsp).84.1.5SMTP協(xié)議的監(jiān)控審計(jì).84.1.6POP3協(xié)議的監(jiān)控審計(jì).94.1.7Web_Mail監(jiān)控審計(jì).94.1.8TELNET協(xié)議的監(jiān)控審計(jì).104.1.9QQ協(xié)議的監(jiān)控審計(jì).104.1.10MSN協(xié)議的監(jiān)控審計(jì).104.1.11ICQ的監(jiān)控審計(jì).114.1.12YahooMessenger的監(jiān)控審計(jì).114.1.13社區(qū)/論壇的監(jiān)控審計(jì)(QQ/天涯等).124.1.14游戲的監(jiān)控審計(jì).124.2病毒檢測(cè)功能.124.3記錄取證功能.124.4上網(wǎng)控制管理功能.134.5策略規(guī)則模版管理功能.134.6監(jiān)控單位管理功能.134.7日志分析與管理功能.134.8信息查詢(xún)功能.134.9防火墻功能.134.10人性化的管理接口.14藍(lán)盾信息安全管理審計(jì)系統(tǒng)技術(shù)白皮書(shū)廣東天海威數(shù)碼技術(shù)有限公司31系統(tǒng)概述配合公安部報(bào)警處置中心項(xiàng)目的開(kāi)展，廣東天海威數(shù)碼技術(shù)有限公司自主研發(fā)了“藍(lán)盾信息安全管理審計(jì)系統(tǒng)”。本系統(tǒng)綜合采用底層數(shù)據(jù)挖掘技術(shù)、數(shù)據(jù)報(bào)文捕獲技術(shù)、協(xié)議解碼還原技術(shù)、內(nèi)容過(guò)濾技術(shù)等先進(jìn)技術(shù)，支持各種網(wǎng)絡(luò)應(yīng)用協(xié)議包括：HTTP、SMTP、POP3、TELNET、FTP、QQ、MSN等的監(jiān)測(cè)和阻斷。具有監(jiān)控、過(guò)濾、阻斷和管理功能，可以高效地發(fā)現(xiàn)和攔截各種有害/不良信息的傳播。藍(lán)盾信息安全管理審計(jì)系統(tǒng)適用于建設(shè)有局域網(wǎng)的各類(lèi)上網(wǎng)場(chǎng)所，具體包括：學(xué)校、賓館、小區(qū)、網(wǎng)吧、政府機(jī)關(guān)、事業(yè)單位等場(chǎng)所。通過(guò)本系統(tǒng)的監(jiān)控，公安機(jī)關(guān)可以隨時(shí)掌握每個(gè)上網(wǎng)場(chǎng)所的上網(wǎng)情況，使每個(gè)上網(wǎng)場(chǎng)所動(dòng)態(tài)處于警方小時(shí)監(jiān)控之中。本系統(tǒng)的使用不但可以屏蔽黃、賭、毒、邪黑客等不良網(wǎng)站，營(yíng)造綠色網(wǎng)絡(luò)環(huán)境，維護(hù)良好的上網(wǎng)秩序，還可以為公安網(wǎng)監(jiān)部門(mén)提供一種快速、準(zhǔn)確、可靠的技術(shù)偵查手段，從而達(dá)到打擊計(jì)算機(jī)信息犯罪，確保國(guó)家信息安全的目的。2系統(tǒng)組成藍(lán)盾信息安全管理審計(jì)系統(tǒng)主要分為兩大部分：管理中心和網(wǎng)絡(luò)探針。2.1管理中心管理中心是藍(lán)盾信息安全管理審計(jì)系統(tǒng)的管理控制部分，用于對(duì)部署在互聯(lián)網(wǎng)上的多個(gè)網(wǎng)絡(luò)探針進(jìn)行集中管理，包括控制網(wǎng)絡(luò)探針的運(yùn)行、參數(shù)配置、規(guī)則庫(kù)/關(guān)鍵字庫(kù)的更新、獲取審計(jì)數(shù)據(jù)、獲取探針運(yùn)行日志和統(tǒng)計(jì)數(shù)據(jù)等。系統(tǒng)平臺(tái)：Windows系列操作系統(tǒng)、IE4.0以上。藍(lán)盾信息安全管理審計(jì)系統(tǒng)技術(shù)白皮書(shū)廣東天海威數(shù)碼技術(shù)有限公司42.2網(wǎng)絡(luò)探針網(wǎng)絡(luò)探針部分采用標(biāo)準(zhǔn)專(zhuān)用的工控硬件設(shè)備，是藍(lán)盾信息安全管理審計(jì)系統(tǒng)的核心部件，它監(jiān)聽(tīng)該網(wǎng)絡(luò)探針?biāo)谖锢砭W(wǎng)絡(luò)上的所有通信信息，分析這些網(wǎng)絡(luò)通信信息，采用底層抓包技術(shù)，捕獲所有網(wǎng)絡(luò)數(shù)據(jù)包，根據(jù)協(xié)議的RFC文檔標(biāo)準(zhǔn)進(jìn)行協(xié)議分析，然后根據(jù)規(guī)則庫(kù)對(duì)有害信息或者非法網(wǎng)站進(jìn)行審計(jì)過(guò)濾，實(shí)時(shí)地記錄各種有害信息或者非法網(wǎng)站的全部會(huì)話過(guò)程和數(shù)據(jù)，并根據(jù)管理中心的指令進(jìn)行各種操作。系統(tǒng)平臺(tái)：*LINUX操作系統(tǒng)。3系統(tǒng)架構(gòu)藍(lán)盾信息安全管理審計(jì)系統(tǒng)可以根據(jù)業(yè)務(wù)需要，采用兩種方式接入：3.1旁路監(jiān)聽(tīng)方式接入網(wǎng)絡(luò)藍(lán)盾信息安全管理審計(jì)系統(tǒng)接在目標(biāo)網(wǎng)絡(luò)的核心交換機(jī)鏡像口上，實(shí)時(shí)監(jiān)聽(tīng)進(jìn)出該網(wǎng)絡(luò)的通信數(shù)據(jù)包，進(jìn)行相關(guān)協(xié)議解碼分析，由遠(yuǎn)程控制端獲取網(wǎng)絡(luò)藍(lán)盾信息安全管理審計(jì)系統(tǒng)的審計(jì)數(shù)據(jù)、運(yùn)行日志和統(tǒng)計(jì)數(shù)據(jù)等。這種接入方式對(duì)目標(biāo)網(wǎng)絡(luò)（學(xué)校、賓館、小區(qū)、網(wǎng)吧等上網(wǎng)場(chǎng)所）進(jìn)行遠(yuǎn)程旁路監(jiān)聽(tīng)，對(duì)網(wǎng)絡(luò)的性能無(wú)任何影響，適合于流量比較大的大型網(wǎng)絡(luò)。藍(lán)盾信息安全管理審計(jì)系統(tǒng)技術(shù)白皮書(shū)廣東天海威數(shù)碼技術(shù)有限公司5遠(yuǎn)程控制端藍(lán)盾信息安全審計(jì)管理系統(tǒng)藍(lán)盾信息安全審計(jì)管理系統(tǒng)3.2網(wǎng)關(guān)方式接入網(wǎng)絡(luò)藍(lán)盾信息安全管理審計(jì)系統(tǒng)安裝在中心交換機(jī)和網(wǎng)關(guān)（路由器等）之間，對(duì)內(nèi)部網(wǎng)絡(luò)的對(duì)外訪問(wèn)進(jìn)行全面的監(jiān)控、過(guò)濾、阻斷和管理，高效地發(fā)現(xiàn)和攔截各種有害/不良信息的傳播。這種接入方式控制能力較強(qiáng)，不但能對(duì)目標(biāo)網(wǎng)絡(luò)（賓館、小區(qū)、網(wǎng)吧等上網(wǎng)場(chǎng)所）進(jìn)行信息偵控，而且對(duì)有害信息能即時(shí)進(jìn)行阻斷、攔截,同時(shí)藍(lán)盾信息安全管理審計(jì)系統(tǒng)內(nèi)置的防火墻對(duì)網(wǎng)絡(luò)還能起安全防護(hù)的作用,適合于各種中小型網(wǎng)絡(luò)。藍(lán)盾信息安全管理審計(jì)系統(tǒng)技術(shù)白皮書(shū)廣東天海威數(shù)碼技術(shù)有限公司64主要功能4.1實(shí)時(shí)信息監(jiān)控審計(jì)藍(lán)盾信息安全管理審計(jì)系統(tǒng)可以對(duì)HTTP、FTP、SMTP、POP3、TELNET、QQ、MSN、ICQ、YahooMessenger等協(xié)議和即時(shí)通信軟件進(jìn)行實(shí)時(shí)監(jiān)控報(bào)警，檢測(cè)和過(guò)濾相關(guān)的有害信息。4.1.1HTTP協(xié)議的監(jiān)控審計(jì)系統(tǒng)能對(duì)HTTP訪問(wèn)進(jìn)行全面的協(xié)議解碼、分析，對(duì)壓縮了的網(wǎng)頁(yè)內(nèi)容進(jìn)行自動(dòng)解壓，藍(lán)盾信息安全管理審計(jì)系統(tǒng)技術(shù)白皮書(shū)廣東天海威數(shù)碼技術(shù)有限公司7并根據(jù)設(shè)置的規(guī)則實(shí)現(xiàn)對(duì)域名、IP地址、URL關(guān)鍵字、網(wǎng)頁(yè)內(nèi)容和通過(guò)網(wǎng)頁(yè)發(fā)布、粘貼的內(nèi)容（如BBS論壇、WEBMail等）進(jìn)行監(jiān)控和過(guò)濾。黑名單包括IP黑名單和站點(diǎn)黑名單，可將一些反動(dòng)、黃色等站點(diǎn)列入黑名單，限制對(duì)其訪問(wèn)，必要時(shí)還可對(duì)其訪問(wèn)內(nèi)容進(jìn)行監(jiān)控、記錄。白名單過(guò)濾不進(jìn)行監(jiān)控的網(wǎng)站名或IP地址，可將一些大型、知名網(wǎng)站列入白名單，系統(tǒng)將不對(duì)其進(jìn)行監(jiān)控，節(jié)省系統(tǒng)處理時(shí)間，提高系統(tǒng)效率。URL關(guān)鍵字URL串中包含有很多重要內(nèi)容，如帳號(hào)、郵箱地址、論壇上傳的內(nèi)容等，所以對(duì)URL基于關(guān)鍵字的監(jiān)控和過(guò)濾可以獲取不少有用的信息。網(wǎng)頁(yè)內(nèi)容關(guān)鍵字主要是對(duì)網(wǎng)頁(yè)內(nèi)容中包含的關(guān)鍵字的監(jiān)控和過(guò)濾。網(wǎng)站提供的服務(wù)，往往在網(wǎng)頁(yè)的內(nèi)容文字上有所表現(xiàn)，所以此功能不但能過(guò)濾一些反動(dòng)