IDCISP信息安全管理系统

IDC/ISP信息安全管理系统北京星际亚太科技有限公司2023年5月目录TOC\o"1-2"\h\z\u一. 系统介绍 21.1 背景 21.2 内容审查的必要性 31.3 解决之道 41.4预期效果 4二. 产品功能 52.1 网址URL监控 52.2 邮件收发监控 52.3 搜索引擎监控 52.4 即时通信监控 52.5 已知论坛监控 62.6 其他论坛监控 62.7 不良信息管理 62.8 线索分析管理 62.9 敏感信息的定位和告警 62.10 敏感信息的阻断和过滤 72.11 监控数据存储及检索(全文检索) 7三. 技术特点 73.1系统优势 83.2核心技术 10四. 安装部署 114.1 旁路部署方式1端口镜像 114.2 旁路部署模式2TAP分流 12五. 应用举例 135.1GE解决方案 135.22.5GPOS解决方案 145.310GPOS解决方案 15

系统介绍背景Internet作为一个全球性网络，网络上的信息量正在连续快速地增长，形式几乎包罗万象：各种数据、文献、文档、游戏、IM等，加上电子商务、电子钞票、数字货币、网络银行以及各种加密专用网的建设，使得网络与信息系统的安全与保密问题显得越来越重要，成了关键之所在。网络安全的概念，已经从最初的基础网络设备的安全，扩展到网络应用、信息、内容的安全。网络信息内容安全性研究已成为网络安全体系中重要的一环，是保障网络信息内容安全的必要手段。对网络信息内容进行有效监控，掌控有害信息的传播，已经成为净化网络空间、维护社会安定和国家稳定的一个棘手问题。当前，网络上各种论坛、博客、BBS、聊天室、即时通讯等应用非常广泛，并且这些应用在IT知识较为丰富的公司员工、在校学生中更加普及，有些人会通过网络，发表一些不健康言论，或上传下载一些非法内容，这些不良、非法及恶意信息的传播，对国家、社会、公司和个人也许会产生严重危害！网络决策者和管理者们往往都面临着以下几个问题：1、政策难题：公安部颁布的第82号令《互联网安全保护技术措施规定》，规定连接到互联网上的单位要做到记录并留存用户注册信息；在公共信息服务中要发现、停止传输违法信息并留存相关记录。同时，明确规定联网单位要依次规定贯彻记录留存的技术措施，至少要保存60天的记录备份。只要单位上网，就有义务配合公安机关满足82号令的规定，当发生反动、虚假言论时，可以提供追溯。2、法律难题：是谁通过互联网散布了政治谣言？是谁向互联网发布了反动、非法的、不健康的言论？跟据国家相关法律的规定，在互联网上发布淫秽信息与及迷信、反动、分裂等言论均为违法犯罪行为。有些事业单位、公司单位员工滥用组织的网络进行了上述行为，把公司拖进复杂的、难以脱身的法律纠纷当中。如何能减少甚至避免这种法律风险？3、管理难题：互联网的访问，在提供迅捷性的同时，也提供了匿名和不透明的环境，加上信息复制的快捷简易，使得网络内部用户通过互联网故意、无意地泄露组织的机密信息非常方便，并且这些行为难于追查和取证。4、非法信息控制难题：假如单位用户发起了反动、非法言论，公司不能排查到具体用户，公司需要承担相关的责任。这些反动、非法言论有没有一种防范、告警和控制的方法？针对涉密的信息泄露，有没有一种上网记录追溯机制？内容审查的必要性从上述问题中可以看出，它们都属于网络信息安全管理的范畴，因此，网络决策者迫切需要一种信息安全监控手段，来避免面临的一系列风险。1、法律风险假如有人私自将公民个人信息通过网络出售或者非法提供应别人，将触犯国家刑法；浏览非法网站，发表敏感信息和传播反动言论，会导致恶劣社会影响，甚至也许触犯国家法律。2、机密信息的外泄随意通过电子邮件、聊天工具、网络共享文献夹、文献上传下载等方式发送敏感或涉密业务信息，导致信息外泄事件发生。3、信息合规性规定公安部第82号令《互联网安全保护技术措施规定》，对在网络中传输违法信息的负责人，将根据有关规定给予相应的处罚；《刑法修正案》第253条之一中明确指出：泄漏公民个人信息，单位主管应承担法律责任；对涉及国家政府事务、社会秩序、公共利益的信息系统需要满足等保的合规性规定。4、审计风险为安全事件的追溯提供有力证据，明晰事故责任、减少审计风险。解决之道北京星际亚太科技有限公司自主研发的网络安全及流量管理系统，可以针对上网数据进行内容还原审计，并追溯历史信息记录，遵照国家的相关法规规定，避免机密信息泄露和非法信息传播，规避法律风险。系统重要以旁路部署的方式工作，也可根据用户不同规模的网络提供串接部署方式。完全可以实现在不影响原有网络运营的情况下，详实记录被监测网络内的各种网络信息、过滤防控各类不良信息、防止机密和敏感信息的外泄、并提供详实的信息监控日记。网络安全及流量管理系统，是一款高效的、集网络内容监测、告警和防控功能于一体的监控系统，为加强信息安全提供监控服务，重要功能有网址URL监控、收发邮件监控、搜索引擎监控、即时通信监控、已知论坛监控、其他论坛监控、FTP监控、TELNET监控、敏感信息的定位、告警阻断及过滤、监控数据存储及检索等。1.4预期效果1.4.1检索非法言论，维护社会安定针对散播邪教组织信息、发表危害国家安定的言论等不法行为，通过IP绑定、追踪等途径，迅速查明言论散播者，以及散播途径，追根溯源。1.4.2保障机密信息安全，维护用户主线利益对内部邮件系统、网页访问、即时通讯等网络行为进行监控，深度监测敏感内容，保护业务信息、机密资料、核心数据等重要信息的安全。1.4.3满足上网内容合规性需求根据《刑法修正案》、等级保护、《互联网安全保护技术措施规定》的规定，通过对各种网络应用的监测，涉及网页访问、文献传输、邮件传递等行为的分析，对网络信息内容进行深度审计，保障公司的上网合规性需求。产品功能网址URL监控记录用户上网访问的网址URL，监控内容涉及网址URL发起用户、IP地址、网址URL等信息。邮件收发监控可以监控POP3、SMTP、WEBMAIL、IMAP邮件，监控内容涉及邮件时间、源IP地址、源账号、目的IP、发送者邮箱地址、接受者邮箱地址、邮件主题、内容包含邮件内的压缩附件（比如：文本、word文档、照片、压缩的软件等）。WEB邮箱涉及新浪网邮件、网易126邮件、网易163邮件、263邮件、腾讯邮件、搜狗邮件、Sohu邮件等常用邮箱。搜索引擎监控互联网信息安全监控系统，可以记录百度、谷歌等搜索引擎发起的搜索信息。报表内容含搜索时间、源IP地址、搜索的关键字、搜索引擎等。即时通信监控系统可以监控QQ、MSN、飞信、UC等，监控报表包含：即时通信工具发起时间、源IP地址、用户账号、聊天交互内容（MSN、飞信、QQ）等。已知论坛监控监控论坛登录、退出、发帖、回帖行为等，记录内容涉及用户名、密码、标题、发帖内容、附件、板块标题。具体论坛重要包含：Tom邮件、雅虎中国邮件、强国论坛、新浪网论坛、sohu社区、tianya社区、猫扑网论坛、校内网论坛、百度吧、校内网、腾讯论坛、Dvbbs类、discuz!类、phpwind类、ccb类、leobbs类、开心网网站类等。其他论坛监控其他论坛监控重要是指除了已知论坛以外其它网站、论坛等的POST信息，涉及论坛发帖、回复、留言板留言等。不良信息管理 互联网信息安全监控系统可以根据设立的相关关键字或关键字组面向互联网抓取信息可以让管理人员第一时间获取到关于个人、单位等相关的不良信息及反动言论，并以此为依据快速做出应对减少或避免所导致的不良影响。线索分析管理 互联网信息安全监控系统可以以URL访问、即时通信、论坛、微博的内容以及登录用户账号等为线索进行布控，将发布违规内容以及账号登录、下线等信息以手机、文字、邮件多种方式报警给已布控人员在结合虚拟身份库管理功能查出这些虚拟账号所相应的真实人员对其进行解决。敏感信息的定位和告警用户发帖、聊天和邮件内容假如包含敏感信息，系统可第一时间实现快速定位和告警，告警形式涉及文字告警、手机短信告警和邮件告警等，告警内容包含信息发起人的IP地址、发起时间以及关键的信息内容等。敏感信息的阻断和过滤用户上网内容里假如包含敏感、反动或非法信息，可设立阻断或过滤条件，阻断网络用户继续发起类似的信息，或者限制网络用户针对此类非法网站的访问，净化上网环境监控数据存储及检索(全文检索)互联网信息安全监控系统的每个功能都支持对监控记录的数据检索和查询，检索可以根据多种条件进行操作，例如已知论坛，可基于源IP地址、用户、网址等条件进行检索。技术特点网络安全及流量管理系统，基于高性能的硬件平台，立足于高稳定性的网络信息安全审计，拥有多项领先的核心技术。系统集成高带宽的数据捕获，快速的并行协议还原，实时内容分析，海量数据解决等技术，结合简朴易用的界面设计，是一套全面的、高可靠的、高性能的、高可用性的信息安全监控系统。网络安全及流量管理系统，从网络中的关键位置（如网络出口）收集数据包，对其所转发的上网数据进行审计分析，检查其中是否具有违反安全策略的内容，实现对网络信息内容的监控，防止内部机密或敏感信息的非法泄漏及有害信息的传送，为可疑行为、内容的查证提供证据。系统采用基于报文内容的审计技术，采用智能化的解决方式，对通过网络的报文内容实时进行解决和辨认，记录报文的源/目的IP地址、报文发生的时间、报文的内容以及有关用户的信息，并形成系统访问日记，提供应管理人员和有关人员进行事后审计和分析，进而采用相应的安全管理措施，涉及对非法的、不健康的信息进行追查等解决。网络安全及流量管理系统采用分布式、模块化的体系结构，单点或多点进行信息采集，采集的信息统一集中到后台中心进行数据分析、存储和发布。这种方式结构灵活，易于拓展，模块之间的关系比较合理，并可以进行并行的开发，能自动适应不同规模网络的需要。数据采集模块负责数据的采集、组织和过滤；数据分析模块负责数据的实时分析、数据还原，支持模块化结构；数据存储模块负责数据的存储和查询；控制管理模块负责数据的管理、显示、报警和事后分析。3.1系统优势网络安全及流量管理系统的优势特点如下：1、卓越的流量解决能力：底层数据采集采用自主研发、优化的网卡抓包驱动，使得系统在大流量、高负载下捕包分析的不稳定性与不安全性减至最小，而性能和可靠性得到了极大提高。与同类的产品相比，系统的流量解决能力比采用Linux系统下流行开源代码实现数据采集的网络内容监控产品性能高出几倍。强大的解决能力，使得系统的性价比极大提高，解决了用户不再为由于网络规模不断升级、监测系统也需要不断扩容而烦恼，从而大大节省网络信息监管的投入和运营成本。针对用户网络规模的不同，系统提供包含10M、百兆在内的公司级解决方案，同时也提供千兆、万兆、2.5GPOS、10GPOS、40GPOS等电信和公安级别的监控方案。以目前商用案例较多的千兆、万兆以太、2.5GPOS为例：单台千兆设备具有4Gbps的流量接入和实时解决能力，单台万兆设备（1-2路万兆链路接入）具有5Gbps的流量接入和实时解决能力，单台2.5GPOS解决设备具有5Gbps的流量接入和实时解决能力。2、高可靠的性能：线速的解决能力，实现漏报率几乎为零的审计数据完整性保障；采用特有的文献系统，使系统能抵御忽然掉电等意外情况导致的损害；采用多种加密与防护措施，同时屏蔽除系统意外的其他所有通信端口，保障系统自身信息的安全。3、数据包内容的深度审计：支持基于内容、时间、用户等多种条件组合的信息审计策略，全面监测各种网络信息，真正实现实时报警、信息还原。4、高效的阻断过滤：网络安全及流量管理系统采用旁路部署方式时，由于此时并非串接在网络中，所以在封堵和过滤时，不能如网关型串接设备同样，简朴地判断出包的内容然后把包丢弃即可，而是通过阻断引擎模块发送伪造数据包以封堵（过滤）真实的通讯。在数据包通信过程中，接受和发送双方都有各种的较验机制，对于任何错误的伪造数据包，都会丢弃而不做解决，这规定发送的伪造数据包足够真实，达成乱真的效果，同时速度不久，远在真实的响应数据包返回前，即已欺骗成功，从而打断了原有的网络通讯。系统通过强大的解决和响应能力，快速分析数据包内容、阻断都在微秒级的时间段以内，因此能有效地实现封堵和过滤。5、灵活的管理方式：系统支持B/S管理模式与远程登录管理模式，灵活方便。与传统的应用软件采用C/S（服务端/客户端）结构所不同的是，B/S模式下，用户的管理操作所有通过浏览器方式完毕，而这种B/S模式的用户界面存在以下优点：对用户环境没有任何特殊规定，无须用户为使用产品进行任何环境的改变，也无须安装客户端软件；B/S结构模式的数据解决过程所有在服务器端完毕，不会增长管理主机系统负载。用户界面设计风格简洁朴素，在操作习惯也充足考虑了可用性。3.2核心技术网络安全及流量管理系统，其内容审计、过滤与信息防控技术，在国内外处在领先水平。系统的各个模块，采用了多种关键技术。1、专用硬件采集卡负责数据采集的硬件采集卡的性能对于内容审计系统非常重要，由于它直接关系到数据包采集的性能和速度。系统通过下列方法来提高网卡的性能：采用基于专用架构的千兆网卡、万兆网卡、OC48和OC192卡，性能高、速度快、稳定，并且针对一系列的专用采集卡都做了驱动调整和优化：开发专用的驱动程序，减少数据在网卡驱动不同模块间的传递环节，减少CPU的参与，与及数据拷贝的次数，由此提高采集和转发速度。2、高性能驱动技术对于基于旁路部署的网络安全及流量管理系统来说，监控的往往是大流量的网络，因此系统抓包的效率对整个系统的性能至关重要。假如系统产生丢包现象，则相应的网络信息将不会被审计还原，网络监管就会不全面。当网络带宽向着千兆、万兆线速迈进时，完整地捕获并记录网络中流过的数据对系统是一个很大的考验。传统上，操作系统自带的TCPDUMP，ETHERREAL等捕包工具都是通过原始套接字得到指定网卡接受到的所有数据包，所以传统方法的抓包性能受到传统驱动程序的限制，例如在核心态进行多次内存操作，比如数据包校验，控制顺序等。这些操作会占用大量的CPU运算资源，内存资源，并且导致时延而效率不高。系统采用的新的高性能驱动技术就是通过减少这一系列的中间环节而实现的一种高性能报文采集技术。通过实现网络接口设备直接将数据报文以DMA方式存储到应用程序可以访问的地址空间，避免数据报文在内核态里传输时的内存操作，缩短数据报文行走途径；通过环策略管理数据报文缓冲区，实现网卡和应用程序无冲突访问共享资源。这两点有效地减少网络通信的延迟，极大地节省CPU开销。3、并行解决技术传统数据包解决技术采用类似函数链的串行解决方式，依次解决IP输入例程和UDP输入例程，这种结构不能充足运用当前先进的SMP架构的性能，经常在目前多个CPU的硬件系统中，出现一个CPU的占用率达成100%，其他CPU还无事可作的情况。因此系统采用并行解决技术取代传统解决技术，充足发挥SMP架构的性能，给多路CPU、多内核CPU、超线程CPU足够的施展空间。为了解决并行解决中不可避免的负载均衡的问题，选取硬件分流器中流行的IP+PORT分流策略，保证在大流量的情况下解决线程之间工作量均等，有效避免过载线程的出现。配合大流量高性能驱动模块，取消传统解决技术软中断的开销，进一步提高了系统的性能。安装部署网络安全及流量管理系统要对整个局域网的上网内容进行监控，因此，安装部署位置应当是全网用户的上网数据必须流经的位置，该位置通常是指网络出口，即网关位置。整体解决方案的部署方式灵活、简朴，部署方式分为旁路和串接两种：1、旁路部署方式，包含端口镜像方式、TAP分流方式等，旁路部署一般合用于电信、公安、机关、校园网以及其他规模较大的网络，支持的链路形式包含10M、百兆、千兆、万兆、2.5GPOS、10GPOS、40GPOS等。旁路部署方式的优点是不影响用户网络业务，属于被动式监控方式，安全可靠。2、串接部署方式，通常又可称作“桥接”或者“网关方式”，一般合用于非运营级的中小公司用户。旁路部署方式1端口镜像旁路部署为透明、被动式监控方式，网络安全及流量管理系统（UMP系列）的硬件