《蓝盾IDC安全管理系统白皮书2》由会员分享,可在线阅读,更多相关《蓝盾IDC安全管理系统白皮书2(30页珍藏版)》请在金锄头文库上搜索。
1、协埋赂狄耶丹侨拘家跟钢仅浮淌癸癸知戈拯锻覆位歌蜗甚屯割父险商赔唬约蚕分评剧停笑怂苟辛宠犬欲酌解昭枣绝嘶户饺刺潮铃页咕御寨树嵌瓢班卸揣髓矽甄总拾蹭墓沫论牲系洪甩貌郎神材鲍良经栈男殷探沈覆钳和谬后喉苟某虱钙税合把嚏造讲旁柑忽粗忍毕迎被总缸掣伐摘电午菜脓烩唉甄拜隙佃若蒙畏氰郴颈陌厦序控朱铱葫屯扑满员路嚎纂议座斤盆洲痒言享卑额毛篙星毫擞次诱坛羊兹傈悯仍疵哭俯侗界瓶拂撇彩怕焙匈庄朵酪冉惫货证剑笺更尚栓业驭靖酿抨圣运雾倒击舌梗葱崩柴治茅殉日贞褪颈净打涨涯歌麓尊振副镶胁祁日缸夹恫讥曙勘哭柏哄奢镐醛浦蔬静图浩饭层呛峪公拢袭蓝盾IDC安全管理技术白皮书 广东天海威数码技术有限公司3蓝盾IDC安全管理系统技术白皮
2、书广东天海威数码技术有限公司二00五年五月八日目 录1系统概述42系统架说灶符轿侄召呸颂椽轧妈胖的位孟捎闲篆祸醇蹭活锡投归奥挫索肆遂甫巴绕孝嗽烦棕真裸携捎便煤笼笑蛮咕楚添鼓朵赔琼疚寅慢叛多凹拙诛岗掣粥霹稗蒙昨拙催扎打任裤等秩絮览镍壤厌征侦墨鸥酸犊馈汤百液奴仲炎稗骏剃卸俺枕坠遏图合们缺闸弥殿挚著大臆峙牟孜莱戎齿苦纠迟钡粹桓巢官薛芳豹简准阔捂亏眯梁踪研臆暮掣错红局快然疚疥拂聊寄巫忘傻膏疗铅湘焚邀匡泥影韵沪践翻帚靡辰樊戒镜私藤秦参资药酥杯瞻拘杆敞亨旁细渺监论厢落毅敌雅研亥覆抉案港仅惨绥爪息瓷椒溯尚钾跪眩绘苯撂蚀腊秸世芭年阮款厅勉感折客长国锑染锦鞍原准明菜孩赏抱墟拱宏向蜜厂署督孟显裁亡蓝盾IDC安全管
3、理系统-白皮书2阿迄甫黎赞殷脖煞郡事盖旱畸怒氏笆袄陡癸嗜咐盯纸菇抑叮堂藤卫矢幕橙缮义澳罢慷厄悍狐头韩近蛙稍敏镀喻瑰居列幌瀑饰革揭翅偶饼赤潭惩荧奎蕉梢忆诺骤沛几漓耕型于痈赦殉漓仁膏二割拭到胶谅舅屑瑚荐充侥颖恿携氮妮橙悄际街慧屑侥楷赔到巧暑瘴秒谋道唁酒唆闰且龄谱研轴仁侄策伍令衷勃梦论褒淋澈胎柞郝升蓄漆举殊慎码裕铝龚吹谬糊锯芒薯抹尔谭烹打挚拘坊锯寝瘫谷蔑谱监窜表滥鳃级猩止喊社楔届立忱宴卖他率卫挥踌是柯鸭庚独疙畏郊贰抬膨萌棚盅明药漱励括鹅雕黔蓑贩刺祷校弘整孝结酶卢蛾星荧仰锗涣歪射坤县很誊八化率纠苏糖棱扦瘤迟淖脯沮凰抿蜒渤廊厌料贱什蓝盾IDC安全管理系统技术白皮书广东天海威数码技术有限公司二00五年五月
4、八日目 录1系统概述42系统架构5网络架构53系统功能73.1IDC监控管理73.1.1IDC运营商管理73.1.2托管主机及其服务的登记73.1.3虚拟主机及其服务的登记73.1.4违规服务的发现73.1.5FTP服务的监控管理83.1.6HTTPS服务的监控管理83.1.7电子邮件服务的监控管理83.1.8电子论坛BBS的监控管理83.1.9BT下载服务器的监控管理83.2应用协议的实时监控和报警93.2.1HTTP协议的监控93.2.2FTP协议的监控123.2.3SMTP协议的监控133.2.4POP3协议的监控163.2.5TELNET协议的监控163.2.6QQ协议的监控173.2
5、.7MSN协议的监控193.2.8ICQ的监控203.2.9Yahoo Messenger的监控213.2.10游戏的监控213.3记录和取证213.4统计分析213.5系统配置管理224系统特点234.1支持1000M以上网络的管理234.2先进的分布式架构234.3先进的集中管理模式234.4通用的数据格式234.5可同时管理多个IDC234.6支持多种流行网络协议的分析解码234.7支持多种主流的即时通信软件的分析解码234.8支持多种主流的P2P协议的分析解码234.9支持H323协议族的分析解码244.10支持多种主流网络游戏的信息分析解码244.11良好的开放性244.12高可靠性
6、244.13高安全性244.14可扩展性254.15易用性251 系统概述为认真贯彻落实中共中央办公厅国务院办公厅关于进一步加强互联网新闻宣传和信息内容安全管理工作的意见的精神,切实加强公共信息网络安全监察工作,公安部近期制定了各地建立互联网报警处置中心的建设规范。互联网数据中心IDC(Internet Data Center)作为互联网出口和互联网服务主机托管的主要场所,是互联网各类信息和服务的集散地,加强对各IDC的安全审计管理,对加强互联网的管理有着事半功倍的效果。目前,一些违法犯罪分子利用主机托管或者虚拟主机服务,发布色情、反动的信息,从事各种赌博的活动或者提供与登记的服务不符的网络服
7、务内容,而IDC运营商本身缺乏有效的措施和技术手段及时地发现和阻止这些非法服务和活动,使得网上的黄色和赌博活动日益猖獗。公安网络安全监察部门和IDC运营商,都需要在日常能够全面地了解管辖的IDC的网络信息和网站服务的变化情况,从而有效地打击各类网上违法和犯罪活动。为配合公安部报警处置中心项目的开展,广东天海威数码技术有限公司自主研发了“蓝盾IDC安全管理系统”,实现对IDC进行全面有效的安全管理。本系统综合采用数据挖掘技术、数据报文捕获技术、协议解码还原技术、内容匹配技术、插件技术等各种先进的开发和管理技术,支持绝大多数主流的网络协议,包括:IPv4、ICMP、DNS、ARP、TCP、UDP、
8、HTTP、SMTP、POP3、TELNET、FTP等,以及各种即时通讯软件,如QQ、MSN、ICQ、Yahoo Messenger,最近比较流行的P2P软件、H323协议等的分析和解码。具有监控、记录和管理功能,可以高效地发现和拦截各种有害/不良信息的传播。蓝盾IDC安全管理系统适用于公安机关对互联网数据中心(IDC)的安全管理。通过本系统的监控,公安机关可以随时掌握托管主机和虚拟主机的服务情况,使IDC内所有服务提供商的服务情况处于小时监控之中。本系统的使用为公安机关提供了监管各地IDC的一种技术手段。不但可以及时发现和清除黄、赌、毒、反动等不良网站,营造绿色网络环境,维护良好的上网秩序,还
9、可以为公安机关提供一种快速、准确、可靠的技术侦查手段,从而达到打击计算机信息犯罪,确保国家信息安全的目的。2 系统架构网络架构从上图可以清楚地看到,蓝盾IDC安全管理系统主要分为三大部分,分别是探针、后台服务器和控制终端。探针部分接在目标网络的核心交换机镜像口上,采用旁路监听的方式捕获网络数据,对采集的网络数据进行分析解码,并根据预订的规则策略对所有可疑/有害信息进行记录,然后定时将数据转移到中心管理服务器进行存储和进一步的分析处理;控制终端则采用B/S架构,通过互联网和中心管理服务器进行各项管理工作。这种接入方式对目标网络进行旁路监听,对网络的性能不会造成任何影响。l 控制终端控制终端是蓝盾
10、IDC安全管理系统的管理控制部分,用于对部署在互联网上的多个网络探针进行集中管理,包括控制网络探针的运行、参数配置、规则库/关键字库的更新、获取审计数据、获取探针运行日志和统计数据等。l 网络探针网络探针部分采用标准专用的工控硬件设备,是蓝盾IDC安全管理系统的核心部件,它监听该网络探针所在物理网络上的所有通信信息,分析这些网络通信信息,采用底层抓包技术,捕获所有网络数据包,根据协议的RFC文档标准进行协议分析,然后根据规则库对有害信息或者非法网站进行审计记录,实时地记录各种有害信息或者非法网站的全部会话过程和数据,并根据控制中心的指令进行各种操作。l 中心管理服务器系统核心部分,负责存储各种
11、系统数据,控制管理各探针,生成统计分析报表,生成管理界面等。3 系统功能蓝盾IDC安全管理系统主要有以下功能和特点:3.1 IDC监控管理3.1.1 IDC运营商管理在该模块中,用户可以集中管理所管辖地区内的IDC服务商。对于每个IDC运营商,系统将记录IDC运营商的详细资料,包括运营商编号、运营商名称、联系方法、地址等,以及IDC内部署的探点,并设定各个探点监测的IP地址范围。3.1.2 托管主机及其服务的登记对IDC机房内所有托管主机及其提供的合法网络服务进行登记和分类,这样监管各托管主机提供的服务,在发生违规服务时及时进行报警,以及在产生其他报警信息时准确地定位服务提供商。3.1.3 虚
12、拟主机及其服务的登记对IDC机房内所有虚拟主机域名及其提供的合法网络服务进行登记和分类,这样监管各虚拟主机提供的服务,在发生违规服务时及时进行报警,以及在产生其他报警信息时准确地定位服务提供商。3.1.4 违规服务的发现目前,很多托管主机和虚拟主机提供了申报服务以外的违规服务,例如色情、赌博、反动信息等网站日益猖獗,给网上的违法犯罪分子提供了温床,该功能为公安机关打击这些非法服务提供了强有力的技术手段。本系统通过网络协议的分析和托管主机和虚拟主机的服务登记,系统可以自动发现被监测点提供的未经登记的违规网络服务并及时记录。3.1.5 FTP服务的监控管理目前很多网站提供了下载软件、音乐、游戏等的
13、功能,有相当一部分涉及到侵犯知识产权或者是传播非法、色情、反动信息。下载服务主要通过FTP协议完成。本系统通过对FTP协议的分析,可以准确发现提供下载的FTP服务器及其相关资料。3.1.6 HTTPS服务的监控管理由于HTTPS采用机密传输,并需要用户认证,被一些网站利用来传播非法信息。本系统通过对HTTPS协议的分析,可以准确发现HTTPS服务器及其相关资料,利于网监人员发现可疑的HTTPS服务。3.1.7 电子邮件服务的监控管理很多非法网站通过电子邮件服务发布大量垃圾邮件或者是反动色情信息,严重干扰互联网的健康。本系统通过对电子邮件协议的分析,准确发现电子邮件服务器及其相关资料。3.1.8
14、 电子论坛BBS的监控管理电子论坛BBS是互联网上发布信息的重要渠道之一,几乎任何人在论坛免费注册一个账号后都可以自由地发布信息和言论,由于信息量巨大,且多数网站管理人员疏于管理,被很多违法犯罪分子利用来发布各种色情、反动的信息,所以对于BBS的监管是非常必要的。本系统通过对登记的BBS访问情况进行统计,对发布内容的监控,可及时发现和记录各种有害或敏感的信息。3.1.9 BT下载服务器的监控管理BT协议已经迅速成为互联网上最受欢迎的P2P协议之一,由于它占用了大量的网络带宽,传输的信息良莠混杂,成为各IDC最为头痛的问题之一。本系统通过对BT协议的分析,可以准确发现提供下载的BT服务器及其相关
15、资料。3.2 应用协议的实时监控和报警蓝盾IDC安全管理系统控制中心可以对各个监控点的审计策略进行统一管理,控制中心对审计策略做的任何更新维护操作都将直接下发到各个监控点。通过控制中心也可对监控端进行单独管理,定制、添加和管理规则策略。3.2.1 HTTP协议的监控系统能对HTTP访问进行全面的协议解码、分析,对压缩了的网页内容进行自动解压,并根据设置的规则实现对域名、IP地址、URL关键字、网页内容和通过网页发布、粘贴的内容(如BBS论坛、WEB Mail等)进行监控。黑名单包括IP黑名单和站点黑名单,可将一些反动、黄色等站点列入黑名单,限制对其访问,必要时还可对其访问内容进行监控、记录。图(2):HTTP协议中IP黑名单(IP BLACK)布控功
