蓝盾安全审计系统

蓝盾安全审计系统

技术白皮书

广东天海威数码技术有限公司

目录

第1章系统概述 (3)

第2章系统组成 (4)

2.1 管理中心 (4)

2.2 网络探针 (4)

第3章网络架构 (5)

3.1 旁路监听方式接入 (5)

3.2 网关方式接入 (6)

第4章主要功能 (7)

4.1 监控审计功能 (7)

4.1.1 HTTP协议监控审计 (7)

4.1.2 SMTP/POP3协议监控审计 (7)

4.1.3 TELNET协议监控审计 (7)

4.1.4 FTP协议测试 (7)

4.1.5 NNTP协议监控审计 (8)

4.1.6 RTSP协议监控审计 (8)

4.1.7 MMS协议监控审计 (8)

4.1.8 BT/电驴/迅雷等P2P传输工具监控审计 (8)

4.1.9 即时通信工具监控审计 (8)

4.1.10 网络游戏监控审计 (8)

4.1.11 聊天室监控审计 (8)

4.1.12 社区、论坛测试 (9)

4.1.13 WEBMAIL监控审计 (9)

4.2 日志记录功能 (9)

4.3 运行状态查看功能 (9)

4.4 备份与恢复 (9)

4.5 审计数据查询功能 (9)

4.6 报表分析功能 (10)

4.7 自身安全功能 (10)

4.8 扩展功能 (10)

4.8.1 审计协议扩展功能 (10)

4.8.2 更新升级功能 (11)

4.9 人性化的管理接口 (12)

第5章系统特点 (13)

第1章系统概述

广东天海威数码技术有限公司自主研发的“蓝盾安全审计系统”是一种基于信息流的数据采集、分析、识别和网络行为监控审计的信息安全产品，系统通过实时审计网络数据流，根据用户设定的安全审计策略，对目标网络的活动进行审计。通过多级、分布式的网络审计、管理、控制机制，可以多层次、多手段的实现对网络的控制管理。

系统综合采用数据挖掘技术、数据报文捕获技术、协议解码还原技术、内容匹配技术、插件技术等各种先进的开发和管理技术，支持对绝大多数主流网络协议，各种网络应用服务，各种即时通信软件等的安全审计，具体包括：HTTP、SMTP、POP3、TELNET、FTP、NNTP、RTSP、MMS等协议；网络论坛（BBS）、网络聊天、网络电子邮件（WebMail）和网络短信等应用服务；QQ、MSN、ICQ、Yahoo Messenger等即时通信软件及网络游戏等。具有审计、监控、记录和管理功能，可以高效地发现和拦截各种有害/不良信息的传播。

本系统可广泛应用于各类上网场所，具体包括：酒店、宾馆、学校、小区、网吧、企业、政府机关等上网场所的安全审计与管理。能够透明地审计并管理内部工作人员的上网行为，保护敏感信息的外泄，屏蔽黄、赌、毒、邪教、黑客等不良网站，能够很好地满足来自信息安全市场的多种需求，例如政府、教育、企业等客户，从而达到提升政府形象、避免潜在的法律责任、提高企业的工作效率、营造绿色校园网络环境的目的，形成横跨多种行业的专业审计方案。

第2章系统组成

蓝盾安全审计系统主要分为两大部分：后台管理中心和前端网络探针。2.1管理中心

管理中心是蓝盾安全审计系统的管理控制部分，用于对部署在互联网上的多个网络探针进行集中管理，包括控制网络探针的运行、参数配置、规则库/关键字库的更新、获取审计数据、获取探针运行日志和统计数据等。

系统平台：操作系统Windows 2000 Server、数据库SQL*Server 2000，IE6.0以上。

2.2网络探针

网络探针部分采用标准专用的安全硬件设备，是蓝盾安全审计系统的核心部件，它监听该网络探针所在物理网络上的所有通信信息，分析这些网络通信信息，采用底层抓包技术，捕获所有网络数据包，根据协议的RFC文档标准进行协议分析，然后根据规则库对有害信息或者非法网站进行审计过滤，实时地记录各种有害信息或者非法网站的全部会话过程和数据，并根据控制中心的指令进行各种操作。

第3章网络架构

蓝盾安全审计系统可以根据业务需要，采用两种方式接入：

3.1旁路监听方式接入

网络探针接在目标网络的核心交换机镜像口上，实时监听进出该网络的通信数据包，进行相关协议解码分析，由控制中心获取网络探针的审计数据、运行日志和统计数据等。这种接入方式对目标网络（学校、宾馆、小区、网吧等上网场所）进行远程旁路监听，对网络的性能无任何影响，适合于流量比较大的大型网络。

3.2网关方式接入

网络探针安装在中心交换机和网关（路由器等）之间，对内部网络的对外访问进行全面的监控、过滤、阻断和管理，高效地发现和拦截各种有害/不良信息的传播。这种接入方式控制能力较强，不但能对目标网络（宾馆、小区、网吧等上网场所）进行信息侦控，而且对有害信息能即时进行阻断、拦截, 同时探针内置的防火墙对网络还能起安全防护的作用, 适合于各种中小型网络。

第4章主要功能

4.1监控审计功能

4.1.1 HTTP协议监控审计

n HTTP黑名单（基于站点、IP、URL）

n HTTP 站点关键词报警

n HTTP内容关键词报警

n HTTP POST数据留存

4.1.2 SMTP/POP3协议监控审计

n发件人帐号关键词报警

n收件人帐号关键词报警

n发送邮件主题关键词报警

n发送邮件正文关键词报警

n发送邮件附件名关键词报警

n对邮件正文包含特定关键词的发送邮件进行阻断处置4.1.3 TELNET协议监控审计

n TELNET站点黑名单

n TELNET帐号关键词报警

n TELNET内容关键词报警

4.1.4 FTP协议测试

n FTP站点黑名单

n FTP帐号关键词报警

n FTP上传文件名关键词报警

n FTP上传文件内容关键词报警（DOC文档）