蓝盾IDC安全管理系统白皮书2.docx
- 文档编号:9707521
- 上传时间:2023-05-20
- 格式:DOCX
- 页数:23
- 大小:529.78KB
蓝盾IDC安全管理系统白皮书2.docx
《蓝盾IDC安全管理系统白皮书2.docx》由会员分享,可在线阅读,更多相关《蓝盾IDC安全管理系统白皮书2.docx(23页珍藏版)》请在冰点文库上搜索。
蓝盾IDC安全管理系统白皮书2
蓝盾IDC安全管理系统
技术白皮书
广东天海威数码技术有限公司
二00五年五月八日
1系统概述
2
为认真贯彻落实中共中央办公厅国务院办公厅《关于进一步加强互联网新闻宣传和信息内容安全管理工作的意见》的精神,切实加强公共信息网络安全监察工作,公安部近期制定了各地建立互联网报警处置中心的建设规范。
互联网数据中心IDC(InternetDataCenter)作为互联网出口和互联网服务主机托管的主要场所,是互联网各类信息和服务的集散地,加强对各IDC的安全审计管理,对加强互联网的管理有着事半功倍的效果。
目前,一些违法犯罪分子利用主机托管或者虚拟主机服务,发布色情、反动的信息,从事各种赌博的活动或者提供与登记的服务不符的网络服务内容,而IDC运营商本身缺乏有效的措施和技术手段及时地发现和阻止这些非法服务和活动,使得网上的黄色和赌博活动日益猖獗。
公安网络安全监察部门和IDC运营商,都需要在日常能够全面地了解管辖的IDC的网络信息和网站服务的变化情况,从而有效地打击各类网上违法和犯罪活动。
为配合公安部报警处置中心项目的开展,广东天海威数码技术有限公司自主研发了“蓝盾IDC安全管理系统”,实现对IDC进行全面有效的安全管理。
本系统综合采用数据挖掘技术、数据报文捕获技术、协议解码还原技术、内容匹配技术、插件技术等各种先进的开发和管理技术,支持绝大多数主流的网络协议,包括:
IPv4、ICMP、DNS、ARP、TCP、UDP、HTTP、SMTP、POP3、TELNET、FTP等,以及各种即时通讯软件,如QQ、MSN、ICQ、YahooMessenger,最近比较流行的P2P软件、H323协议等的分析和解码。
具有监控、记录和管理功能,可以高效地发现和拦截各种有害/不良信息的传播。
蓝盾IDC安全管理系统适用于公安机关对互联网数据中心(IDC)的安全管理。
通过本系统的监控,公安机关可以随时掌握托管主机和虚拟主机的服务情况,使IDC内所有服务提供商的服务情况处于24小时监控之中。
本系统的使用为公安机关提供了监管各地IDC的一种技术手段。
不但可以及时发现和清除黄、赌、毒、反动等不良网站,营造绿色网络环境,维护良好的上网秩序,还可以为公安机关提供一种快速、准确、可靠的技术侦查手段,从而达到打击计算机信息犯罪,确保国家信息安全的目的。
3系统架构
4
网络架构
从上图可以清楚地看到,蓝盾IDC安全管理系统主要分为三大部分,分别是探针、后台服务器和控制终端。
探针部分接在目标网络的核心交换机镜像口上,采用旁路监听的方式捕获网络数据,对采集的网络数据进行分析解码,并根据预订的规则策略对所有可疑/有害信息进行记录,然后定时将数据转移到中心管理服务器进行存储和进一步的分析处理;控制终端则采用B/S架构,通过互联网和中心管理服务器进行各项管理工作。
这种接入方式对目标网络进行旁路监听,对网络的性能不会造成任何影响。
●控制终端
●
控制终端是蓝盾IDC安全管理系统的管理控制部分,用于对部署在互联网上的多个网络探针进行集中管理,包括控制网络探针的运行、参数配置、规则库/关键字库的更新、获取审计数据、获取探针运行日志和统计数据等。
●网络探针
●
网络探针部分采用标准专用的工控硬件设备,是蓝盾IDC安全管理系统的核心部件,它监听该网络探针所在物理网络上的所有通信信息,分析这些网络通信信息,采用底层抓包技术,捕获所有网络数据包,根据协议的RFC文档标准进行协议分析,然后根据规则库对有害信息或者非法网站进行审计记录,实时地记录各种有害信息或者非法网站的全部会话过程和数据,并根据控制中心的指令进行各种操作。
●中心管理服务器
●
系统核心部分,负责存储各种系统数据,控制管理各探针,生成统计分析报表,生成管理界面等。
5系统功能
6
蓝盾IDC安全管理系统主要有以下功能和特点:
6.1IDC监控管理
6.2
IDC运营商管理
在该模块中,用户可以集中管理所管辖地区内的IDC服务商。
对于每个IDC运营商,系统将记录IDC运营商的详细资料,包括运营商编号、运营商名称、联系方法、地址等,以及IDC内部署的探点,并设定各个探点监测的IP地址范围。
托管主机及其服务的登记
对IDC机房内所有托管主机及其提供的合法网络服务进行登记和分类,这样监管各托管主机提供的服务,在发生违规服务时及时进行报警,以及在产生其他报警信息时准确地定位服务提供商。
虚拟主机及其服务的登记
对IDC机房内所有虚拟主机域名及其提供的合法网络服务进行登记和分类,这样监管各虚拟主机提供的服务,在发生违规服务时及时进行报警,以及在产生其他报警信息时准确地定位服务提供商。
违规服务的发现
目前,很多托管主机和虚拟主机提供了申报服务以外的违规服务,例如色情、赌博、反动信息等网站日益猖獗,给网上的违法犯罪分子提供了温床,该功能为公安机关打击这些非法服务提供了强有力的技术手段。
本系统通过网络协议的分析和托管主机和虚拟主机的服务登记,系统可以自动发现被监测点提供的未经登记的违规网络服务并及时记录。
FTP服务的监控管理
目前很多网站提供了下载软件、音乐、游戏等的功能,有相当一部分涉及到侵犯知识产权或者是传播非法、色情、反动信息。
下载服务主要通过FTP协议完成。
本系统通过对FTP协议的分析,可以准确发现提供下载的FTP服务器及其相关资料。
HTTPS服务的监控管理
由于HTTPS采用机密传输,并需要用户认证,被一些网站利用来传播非法信息。
本系统通过对HTTPS协议的分析,可以准确发现HTTPS服务器及其相关资料,利于网监人员发现可疑的HTTPS服务。
电子邮件服务的监控管理
很多非法网站通过电子邮件服务发布大量垃圾邮件或者是反动色情信息,严重干扰互联网的健康。
本系统通过对电子邮件协议的分析,准确发现电子邮件服务器及其相关资料。
电子论坛BBS的监控管理
电子论坛BBS是互联网上发布信息的重要渠道之一,几乎任何人在论坛免费注册一个账号后都可以自由地发布信息和言论,由于信息量巨大,且多数网站管理人员疏于管理,被很多违法犯罪分子利用来发布各种色情、反动的信息,所以对于BBS的监管是非常必要的。
本系统通过对登记的BBS访问情况进行统计,对发布内容的监控,可及时发现和记录各种有害或敏感的信息。
BT下载服务器的监控管理
BT协议已经迅速成为互联网上最受欢迎的P2P协议之一,由于它占用了大量的网络带宽,传输的信息良莠混杂,成为各IDC最为头痛的问题之一。
本系统通过对BT协议的分析,可以准确发现提供下载的BT服务器及其相关资料。
6.3应用协议的实时监控和报警
6.4
蓝盾IDC安全管理系统控制中心可以对各个监控点的审计策略进行统一管理,控制中心对审计策略做的任何更新维护操作都将直接下发到各个监控点。
通过控制中心也可对监控端进行单独管理,定制、添加和管理规则策略。
6.4.1HTTP协议的监控
6.4.2
系统能对HTTP访问进行全面的协议解码、分析,对压缩了的网页内容进行自动解压,并根据设置的规则实现对域名、IP地址、URL关键字、网页内容和通过网页发布、粘贴的内容(如BBS论坛、WEBMail等)进行监控。
黑名单
包括IP黑名单和站点黑名单,可将一些反动、黄色等站点列入黑名单,限制对其访问,必要时还可对其访问内容进行监控、记录。
图
(2):
HTTP协议中IP黑名单(IPBLACK)布控功能
白名单
不进行监控的网站名或IP地址,可将一些大型、知名网站列入白名单,系统将不对其进行监控,节省系统处理时间,提高系统效率。
图
(1):
HTTP协议中IP白名单(IPWHITE)布控功能
URL关键字
URL串中包含有很多重要内容,如帐号、邮箱地址、论坛上传的内容等,所以对URL基于关键字的监控可以获取不少有用的信息。
网页内容关键字
主要是对网页内容中包含的关键字的监控。
网站提供的服务,往往在网页的内容文字上有所表现,所以此功能不但能发现一些反动、黄色的信息,而且能发现一些提供非法服务(如赌博)的网站。
图
(1):
HTTP协议网页关键字拦截功能
外发信息内容关键字
WEBMail发送的电子邮件内容、BBS上传的帖子,都通过表单的方式从网页提交,通过对外发信息内容中的关键字的监控,可以截获很多含有反动言论的帖子。
6.4.3FTP协议的监控
6.4.4
系统能对FTP站点、IP地址、FTP帐号、FTP传送的文件名和文件内容进行监控。
FTP站点黑名单
系统能对一些非法FTP站点进行监控。
包括域名和IP地址。
FTP文件名
对特定的FTP文件名进行监控。
FTP文件内容关键字
系统能对文件内容中的关键字进行监控。
6.4.5SMTP协议的监控
6.4.6
系统能对发送的邮件进行监控。
监控的内容包括邮件信头中的发件人、收件人、抄送人、主题,信体的邮件正文内容、附件名、文本附件内容等。
发件人地址
对邮件发件人地址的监控。
收件人地址
对邮件收件人地址的监控。
邮件主题中的关键字
对邮件主题中的关键字的监控。
图(3):
SMTP协议电子邮件主题关键字布控功能
邮件内容关键字
系统能对邮件内容中的关键字进行监控。
图(4):
SMTP协议电子邮件正文关键字布控功能
邮件附件文件名
系统能对邮件附件特定的文件名进行监控。
邮件附件文件内容中的关键字
系统能对邮件附件文件内容中的关键字进行监控。
图(6):
SMTP协议电子邮件附件内容关键字拦截功能
6.4.7POP3协议的监控
6.4.8
系统能对接收的邮件进行监控。
监控的内容包括邮件信头中的发件人、收件人、抄送人、主题,信体的邮件正文内容、附件名、文本附件内容等。
6.4.9TELNET协议的监控
6.4.10
系统能对提供TELNET服务的站点、IP地址和TELNET中交互的内容进行监控。
同时还能对TELNET用户上、下线进行监控、报警。
TELNET站点黑名单
系统能对一些非法TELNET站点进行监控。
包括域名和IP地址。
图
(1):
TELNET协议中黑名单IP地址布控功能
TELNET内容关键字
系统能对TELNET通信中交互的内容,进行监控。
6.4.11QQ协议的监控
6.4.12
QQ用户上下线监控
系统能对QQ号码在线与下线进行监控。
中心PC机上的审计数据结果截图如下:
QQ聊天室信息监控
系统能够对QQ聊天室的信息内容进行监控
6.4.13MSN协议的监控
6.4.14
系统能对MSN的帐号和内容进行监控。
MSN用户上下线监控
系统通过对MSN帐号的监控,能实现对特定用户上下线的报警。
MSN内容关键字
系统能捕获MSN的通信内容,对内容中特定关键字进行监控。
6.4.15ICQ的监控
6.4.16
系统能对ICQ的帐号和内容进行监控。
ICQ用户上下线监控
系统通过对ICQ帐号的监控,能实现对特定用户上下线的报警。
ICQ内容关键字
系统能捕获ICQ的通信内容,对内容中特定关键字进行监控。
6.4.17YahooMessenger的监控
6.4.18
YahooMessenger用户上下线监控
系统通过对YahooMessenger帐号的监控,能实现对特定用户上下线的报警。
YahooMessenger内容关键字
系统能实时捕获所有的聊天信息,包括普通聊天信息、会议信息和聊天室信息等,并对内容中特定的关键字进行监控。
6.4.19游戏的监控
6.4.20
蓝盾IDC安全管理系统支持各种国内流行的大型网络游戏的监控,包括指定的玩家ID的上下线监控和游戏过程中的聊天信息的内容监控。
主要支持的游戏包括:
盛大的《传奇世界》、网易公司的《大话西游》、九城的《魔兽世界》、新浪乐谷的《天堂》等。
6.5记录和取证
6.6
经过协议分析,系统将自动记录所有符合预定义的监控条件的网络包,将其解码后的信息存放在中心数据库中。
网络监查人员可以通过中心控制终端根据各种查询条件,查询到相应的报警记录,找到犯罪违法人员的上网IP地址、网卡地址(MAC)、时间、上网过程、内容等信息,从而帮助公安机关准确地定性其违法犯罪事实和定位违法犯罪分子。
网络监查人员还可以通过系统准确地掌握各托管主机和虚拟主机违规服务的情况,及时地查处违法犯罪网站,保证互联网的健康发展。
6.7统计分析
6.8
系统在获得探针采集的数据后,生成各类统计分析报表,帮助网络监查人员更清晰直观地掌握IDC的服务情况和互联网上各种违法犯罪活动的迹象。
Ø托管/虚拟主机违规服务统计报表帮助网监人员掌握各种违规服务的情况。
Ø
Ø系统运行情况报表帮助网监人员掌握各探针的分布和运行情况。
Ø
Ø可根据网络协议类型、报警类型、报警级别、IP地址、时间等报警记录属性生成各类触警情况报表,提供破案线索和违法犯罪证据
Ø
6.9系统配置管理
6.10
Ø探针配置管理
Ø
Ø报警规则管理
Ø
Ø用户分级分权管理
Ø
Ø其他管理
Ø
7系统特点
8
8.1支持1000M以上网络的管理
8.2
8.3先进的分布式架构
8.4
采用分布式体系结构设计,大大降低监测点成本。
8.5先进的集中管理模式
8.6
采用B/S架构,降低管理的部署成本,提高管理的灵活性。
管理者只要拥有一个浏览器并接通互联网,就可以在任何地方、任何时间对系统进行管理。
8.7通用的数据格式
8.8
系统全部通讯数据采用XML格式,保证了与其他系统交换数据的灵活性
8.9可同时管理多个IDC
8.10
8.11支持多种流行网络协议的分析解码
8.12
包括IPv4、ICMP、DNS、ARP、TCP、UDP、HTTP、SMTP、POP3、TELNET、FTP等常用网络协议,以及即将支持IPng协议族,包括IPv6、ICMP6等
8.13支持多种主流的即时通信软件的分析解码
8.14
包括QQ、MSN、ICQ、YahooMessenger、UC、网易泡泡等
8.15支持多种主流的P2P协议的分析解码
8.16
P2P技术,即端到端对等网络技术,是指网络主机在充当客户端获取资源的同时充当服务器向其它对等体(Peer)提供服务。
随着计算机网络的广泛应用和多媒体资源的丰富,P2P技术被主要应用于文件(主要是大型的多媒体文件)共享方面。
当前用于文件共享的P2P协议种类很多,在美国大量使用的是KaZaA,在欧洲存在大量用户的是eDonkey和WinMx,在我国使用最频繁的是BitTorrent;其它常用的P2P协议还有如FastTrack、eMule、Grokster、Groove、Gnutella等。
P2P用户的总数庞大到数以百万计,占用的带宽资源也高达60%以上。
目前蓝盾IDC安全管理系统支持的P2P协议包括BT、EDONKEY、POCO等。
8.17支持H323协议族的分析解码
8.18
H.323协议族是一组多媒体通讯协议,被广泛应用于IP电话、视频会议、多媒体点播等领域。
8.19支持多种主流网络游戏的信息分析解码
8.20
包括:
盛大的《传奇世界》、网易公司的《大话西游》、九城的《魔兽世界》、新浪乐谷的《天堂》等。
取得玩家ID的上下线信息和游戏过程中的玩家聊天信息内容。
8.21良好的开放性
8.22
系统平台采用开放式的操作系统,系统数据基本采用XML格式,保证了与其他异构系统的数据无缝交换。
8.23高可靠性
8.24
系统采用可靠的工控硬件,保证24X7的连续运行。
中心管理服务器采用高可用性服务器架构,保证主机的连续运行。
采用高可用性数据库系统,保证系统数据的存储。
8.25高安全性
8.26
全部数据传输和存储采用高强度的加密技术和数字签名技术,保证数据保密性,并防止被篡改。
系统管理用户身份认证和分级分权限管理,确保系统不被非法用户访问。
8.27可扩展性
8.28
系统采用面向对象技术和组件架构,各模块具有高内聚性,适应各种需求的变更。
协议解码组件采用了插件技术,随时加入新的协议分析解码模块。
8.29易用性
8.30
蓝盾IDC安全管理系统基于B/S结构,采用Windows标准Web界面风格作为基础,操作简单易用,充分考虑到交互设计的重要性。
具有人性化的管理接口。
由于采用集中式管理模式,对系统各组件的配置都统一在控制终端进行,大大减轻了管理人员的工作量。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IDC 安全管理 系统 白皮书
![提示](https://static.bingdoc.com/images/bang_tan.gif)