互联网信息安全监控技术方案.docx

1、互联网信息安全监控技术方案互联网信息安全监控技术方案 2020 道驰科技一. 前言网站数量激增伴随着互联网的发展，网站数量急剧增多，至2009年初全国网站数量达到280万个，年增长率86.7%，全国网页数量达到160亿个，年增长率89.4%， 全国域名数量达到1682万个，年增长率达到了41.9%，网站信息总量达到460,217GB。而目前信息内容安全管理不容乐观，特别是二级代理商通过租用专线或租用IDC服务器接入各类低俗网站（淫秽色情、迷信反动等），此类网站，监管难度大，传播速度快，社会危害严重。 2009年1月5日，国务院新闻办、工业和信息化部、公安部、文化部、工商总局、广电总局、新闻出版

2、总署等七部门召开电视电话会议，部署在全国开展整治互联网低俗之风专项行动。国务院新闻办副主任蔡名照主持会议并讲话，强调要采取有力措施坚决遏制网上低俗之风蔓延，进一步净化网络文化环境，保护未成年人健康成长，推动互联网健康有序发展。整治互联网低俗之风专项行动工作会议提出要求，相关企业应切实加强接入服务监管，认真落实监管责任，坚决关闭违法违规网站。而IDC目前仅能采取非常有限的措施。二. 需求分析三. 政策需求分析胡锦涛同志在今年1月23日发表的重要讲话中，强调要以创新的精神加强网络文化建设和管理满足人民群众日益增长的精神文化需要，指出我们必须以积极的态度、创新的精神，大力发展和传播健康向上的网络文化

3、，切实把互联网建设好、利用好、管理好。 2005年12月23日，中华人民共和国公安部发布第82号令，颁布了互联网安全保护技术措施规定，要求“互联网服务提供者、联网使用单位负责落实互联网安全保护技术措施”。 要求连接到互联网上的单位要做到记录并留存用户注册信息；在公共信息服务中要发现、停止传输违法信息并留存相关记录。同时，明确规定联网单位要依次规定落实记录留存的技术措施，至少要保存60天的记录备份。只要单位上网，就有义务配合公安机关满足82号令的要求，当发生反动、虚假言论时，可以提供追溯。四. 安全需求分析网络是一把“双刃剑”：随着在中国互联网进入宽带发展快车道，网络给人民生活带来方便的同时，网

4、络与信息安全问题显得越来越突出，尤其是淫秽、色情、反动等信息的快速传播，网络违法犯罪事件的增多，违背建设和谐社会的主旋律对于网络管理者来说，需要解决的问题主要包括：是谁通过互联网散布了政治谣言？是谁向互联网发布了反动、非法的、不健康的言论？跟据国家相关法律的规定，在互联网上发布淫秽信息与及迷信、反动、分裂等言论均为违法犯罪行为。互联网的无监控使用会导致严重安全隐患，钓鱼站点，病毒站点的访问将把这些威胁的因素引入到合法网络当中，这时我们在网关处部署的大量的被动防御设施将无能为力 过去我们往往把信息安全局限于防病毒、攻击等要求,其实网络信息安全牵涉到方方面面的问题,是一个极其复杂的系统工程。从简化

5、的角度来看,要实施一个完整的网络与信息安全体系,至少应包括三类措施,并且三者缺一不可。一是社会的法律政策、规章制度等外部软环境。在该方面信息安全监管部门、网络管理着应当扮演重要的角色。二是技术方面的措施,如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等。只有技术措施并不能保证百分之百的安全。三是审计和管理措施,该方面措施同时包含了技术与社会措施。其主要措施有:实时监控网络安全状态、提供实时改变安全策略的能力、对现有的安全系统实施漏洞检查等,以防患于未然。五. 解决方案互联网信息安全监控系统部署在网络中的骨干链路处，该位置通常是指网络出口，即网关位置。整体解决方案的部署方式灵活、简单，

6、部署方式分为旁路和串接两种：1、旁路部署方式，包含端口镜像方式、TAP分流方式等，旁路部署一般适用于电信、公安、机关、校园网以及其他规模较大的网络，支持的链路形式包含10M、百兆、千兆、万兆、2.5G POS、10G POS、40G POS等。2、串接部署方式，通常又可称作“桥接”或者“网关方式”，一般适用于非运营级的中小企业用户。六. 串接部署方式串接部署方式一般适用于中小企业的网络规模较小的网络，主要可以分为“桥接模式”和“网关模式”七. 桥接方式八. 网关方式九. 旁路部署方式网络规模较大的建议采用旁路部署模式，与串接模式相比旁路部署模式的优点：第一：不改变现有的网络拓扑；第二：不影响现

7、有网络的性能，不引入新的延迟第三：不引入新的单点故障旁路部署模式根据部署点的情况又可以分为端口镜像和TAP（Splitter）两种方案。一十. 端口镜像旁路部署为透明、被动式监控方式，互联网信息安全监控系统的硬件平台至少配置两个网络接口，其中一个做为设备管理接口，另一个做为旁路采集接口。旁路采集接口，一般采用端口镜像、TAP分流方式采集网络数据。镜像端口（Mirroring 或 Spanning）是指：高级的网络交换机可以将交换机的一个或几个端口的数据包复制到一个指定的镜像端口，互联网信息安全监控系统的采集接口可以连接到镜像端口以采集双向数据。端口镜像的优势：1、 经济的，不需要额外的设备；2

8、、 可同时监测一个交换机上一个 VLAN 上所有的流量；3、 一个网络采集接口可监测多条交换机被镜像的链路；4、 使用方便简捷。端口镜像模式的部署示意图如下：一十一. TAP分流TAP，全称叫做网路分流器(Network Tap)，是一个硬件设备，分为光分流器和电分流器两种，它直接插入到光纤链路或者UTP网络电缆，首先保证正常网络数据的转发，同时复制一份网络通信给其它接口。网络分流器通常用于网络入侵检测系统(IDS)，网络探测器和分析器等。TAP分流模式，是将被监控的UTP链路用TAP分流设备一分为二，分流出来的数据接入采集接口，为互联网信息安全监控系统采集数据。一十二. 主要功能一十三. X

9、X贴吧监控互联网信息安全监控系统可以针对设置于XX上的各种贴吧进行发贴信息还原。监测和保存的数据包括网内所有发帖用户的发帖时间、源IP地址、宽带ADSL帐号名称、贴吧名称、主题、文件（内容）等。在文件部分，由于XX贴吧同一页面可能会采取不同的编码格式,因此互联网信息安全监控系统采用UTF-8和GB2312两种编码分别记录文件内容，用户在查看监测内容时可自由选择。一十四. 网站监控互联网信息安全监控系统可以针对除XX贴吧以外的其他论坛、网站、博客、邮件系统的“POST”信息进行监控。网站监控功能主要是针对从网内发起的，向论坛、网站、博客、邮件系统提交的所有URL记录和内容记录，监控报表包含信息提

10、交时间、源IP地址、源ADSL宽带帐号名称、目的IP地址、主机地址（论坛、网站、博客、邮件系统）、文件（提交的内容）等。与XX贴吧监控针对贴吧名称、主题和内容进行详细区分不同，网站监控不区分网站、论坛名称，也不区分哪些是主题、哪些是内容，所有的信息都保存在网站监控报表的“文件”项。由于各网站可能会采取不同的网页编码格式,因此内容监控系统采用UTF-8和GB2312两种编码分别记录“文件”内容，用户在查看监测内容时可自由选择查看。一十五. 邮件监控互联网信息安全监控系统能够实现对所有POP3邮件的监控,邮件报表包括邮件时间、源IP地址、源账号、目的IP、发送者邮箱地址、接受者邮箱地址、邮件主题、

11、内容-包含邮件内的压缩附件（比如：文本、word 文档、照片、压缩的软件等）。一十六. QQ监控QQ监控报表包含：QQ的登录或离线时间、源IP地址、源ADSL账号、QQ账号、该QQ是上线还是离线行为。一十七. MSN监控MSN监控报表包含：MSN聊天信息的发起时间、源IP地址、源ADSL账号、源MSN用户账号、目的MSN用户账号、MSN交互内容等。一十八. 搜索引擎监控互联网信息安全监控系统，可以记录XX、谷歌等搜索引擎发起的搜索信息。报表内容含搜索时间、源IP地址、搜索的关键字、搜索引擎等。一十九. 监控数据检索互联网信息安全监控系统的每个功能都支持对监控记录的数据检索和查询，检索可以根据多种条件进行操作，例如XX贴吧监控，可基于源IP地址、贴吧名称、主题等条件进行检索。二十. 敏感信息的定位和告警用户发帖、聊天和邮件内容如果包含敏感信息，可实时定位和告警，告警形式包括文字告警、手机短信告警和邮件告警等，告警内容包含信息发起人的IP地址、发起时间以及关键的信息内容等。二十一. 非法信息的阻断和过滤用户上网内容里如果包含敏感、反动或非法信息，可设置阻断或过滤条件，阻断网络用户继续发起类似的信息，或者限制网络用户针对此类非法网站的访问，净化上网环境。