《非经营性场所互联网监控解决方案.doc》由会员分享,可在线阅读,更多相关《非经营性场所互联网监控解决方案.doc(41页珍藏版)》请在三一办公上搜索。
1、非经营性场所互联网监控解决方案任子行网络技术股份有限公司Surfilter Network Technology Co., Ltd.2011年9月第一章 背景介绍建设背景 当前网络产业已经发展到新的阶段,人们可以通过互联网进行获取知识、沟通交流、购物消费等工作、生活、娱乐各个方面的活动。互联网已经成为众多网络用户的一个新兴的虚拟社区,而在不远的将来对每一个人来说互联网可能都是一个新兴的虚拟社会。互联网为信息的收集、传送、处理和汇总分析提供了一个良好的条件;而与此同时一个不容忽视的问题网络信息安全管理,正摆在我们面前:一些黄色、反动、暴力、迷信等有害信息也正通过互联网传播,侵蚀着越来越多的网络用
2、户。为了保护大众的权益,打击不法分子的活动,创造一个健康有序的互联网环境,有两方面的手段:一是直接打击那些制造、提供、传播有害信息的不法分子;二是对网络的信息进行安全管理,过滤和屏蔽这些有害信息,从而最终保证互联网用户所接触到都是健康的信息。互联网犯罪的趋势 互联网不完全是一个虚拟的世界,它的本质是现实的,互联网面向公众,直接对社会产生影响。互联网的快速发展使得每位公民更多的通过互联网甚至依赖于互联网进行工作、生活、学习和娱乐等多种活动,而在在英国,每10秒钟就会发生一起网络犯罪案件,包括欺诈、洗钱、盗窃工业和商业机密、盗取身份资料、侵犯隐私、武器买卖、性侵犯、贩毒和人口走私等。 同时,网络已
3、经成为获取巨额收益的交易渠道。负责司法、自由和安全事务的欧盟委员会副主席,近日在欧洲议会强调,欧洲的大型犯罪团伙,每年通过网络诈骗可以获取多达1亿美元的非法收入。网络的日益普及,使得每一个公民乃至国家都面临互联网犯罪的危险。今年5月的头两个星期内,爱沙尼亚遭遇了128次疑为来自俄罗斯的黑客攻击,该国银行系统因此陷入瘫痪。几乎与此同时,黑客还攻击了德国的大约75万台电脑。 目前全国网络犯罪态势严重,有关的网络犯罪主要表现为两种状态,一种为传统犯罪方式,一种为专业犯罪方式,所谓的传统犯罪方式,就是将传统的犯罪方法,利用网络为载体进行实施。例如网上诈骗、网上盗窃等犯罪,这类犯罪目前占据整个网络犯罪的
4、 80。专业犯罪主要是针对计算机及其应用领域的犯罪,如为黑客攻击等具有计算机专业性质的犯罪行为,此类犯罪占据网络犯罪的 20。目前,网络犯罪案件的前三位分别为网络诈骗犯罪、网络涉及色情犯罪和网络盗窃犯罪。非经营场所应用分析 非经营性场所由于是开放性的网络,并没有固定的上网人员,人员流动性非常大,从而带来了如下的一些问题:1. 非经营性场所网络多种多样,有部分非经营性场所使用的无线接入方式例如:咖啡屋,休闲会所等,没有有效的定位方案。2. 利用非经营性场所的公共性从事网络诈骗、盗窃、赌博和淫秽色情等违法犯罪活动日益增多。3. 由于非经营性场所的流动性大,有些人利用这公共上网场所传播淫秽色情、赌博
5、、暴力、封建迷信等有害信息。4. 非经营性场所里普遍存在内部IP上网无法与其上网内容对应,无法找到当时上网人员的相关信息,不知道上网人员何时登陆和退出网络。5. 非经营性场所分布范围广,有些场所在较远的郊区,不能及时的获知正在发生的违法犯罪行为,也给现场布控和现场检查带来了非常多的困难。非经营场所解决方案 任子行网路技术股份有限公司的非经营性上网场所互联网审计系统解决方案彻底解决了以上问题:根据旅业场所、企事业单位、中小学校、大学、宽带小区、ICP、IDC、网吧及家庭等不同类型的用户不同的网络结构和规模以及具体应用需求上的差异,同时结合公安监察管理机构的安全审计管理要求,开发出了从管理十几台机
6、器到上千台机器的软硬件系列安全审计产品,适用的带宽最高可以达到千兆级。用户可以根据具体情况,选择适合于自己的,具有较高性能价格比的产品,这为方便公安机关的安装推广提供了便利。这些系列产品都可以统一接入到非经营性互联网安全审计管理平台下,进行统一的管理,并且支持市面上多种厂商的安全审计产品。系统管理平台不光是一个上网用户信息收集平台,并且对系统内的终端用户进行安全审计,规范网络行为,过滤不良信息,还具有其他处理系统可选件,如:CCIC犯罪比对系统,虚拟人口库等可扩展的重要的子系统。系统示意结构如图所示:在此系统示意图中,中心管理平台主要负责审计各单位的审计系统的运行情况,下发审计策略和管理文件,
7、完成对上网单位的审计和管理,并能根据布控管理进行报警。对于企业、酒店、中小学校、大学、ICP、IDC单位等各类上网用户和服务提供商的管理都可接入同一审计管理中心系统进行统一审计管理。第二章 系统功能简介非经营性审计系统构成非经营性审计系统主要分为两个部分,中心监控管理平台和终端探针部分。中心管理平台:管理平台主要功能是直接管理所辖区域的各类上网单位的互联网使用情况,监查各单位的网络安全审计措施的落实情况,并且具有强大的服务案件侦破的特殊功能,中心管理平台可以及时接收报警并迅速进行处理。市级管理中心是整个系统架构中最重要的环节,是工作和功能的重点。探针:通过旁路侦听或串行接入的方式对上网场所内部
8、网络到互联网的数据流进行采集、分析和识别。实时监视互联网的运行状态,记录多种上网行为,发现对互联网滥用,过滤不良信息,并对上网的相关行为和相关信息进行策略控制、存储、分析和审计回放。各种接口:包括与本级别联系的接口,可以与情报中心等进行信息共享,系统内部采用SOA架构使用WebService接口,也可以采用其他协议与情报中心,上级机构进行通信。系统部署图:第三章 场所探针功能简介探针体系结构 非经营性上网场所端系统根据不同网络结构和应用软件特点,相应的应用系统,在实现部分标准要求的基本审计功能的基础,根据结构特点有些功能的差异。用户可根据实际情况做出选择。总体功能特点1. 灵活方便的B/S管理
9、结构2. 详细实时的布控审计3. 完整的互联网访问日志4. 全面过滤网上不良信息5. 符合公安部标准的通讯接口6. 丰富的实名定位方法7. 高效的数据捕获和分析技术探针体系结构 宾馆审计探针- NET110互联网安全审计系统宾馆版功能简介 实名登记特有技术确保只有在前台登记开通上网并通过认证的住客才可以上网,确保上网记录能关联到住客。前端探针实现实名定位方式多样:帐号认证、VlanID、固定IP/MAC绑定房间等方式。从而能够直观的找到房间、上网日志、上网人之间的唯一对应关系和实名信息。l 接入方式系统采用旁路监听的方式,不影响网络主干结构和速度。支持桥接方式接入,控制能力更强。l 角色与权限
10、管理具有用户角色与权限管理的功能,最少可以内置三种不同的权限角色。每个功能模块分为只读、可写、禁止三种权限级别,在此基础上可以根据实际工作中的职位、权责等因素为系统设置多种角色,管理员生成帐号时可根据实际情况为帐号指定角色,此时帐号将自动继承指定角色的全部权限。系统在首次安装后管理员可根据实际的权限需求为系统预置多种内置角色,内置角色的数量目前系统没有限制。 l 关键字过滤 具有自定义关键字过滤功能,如对google搜索关键字过滤。并可根据URL中的关键字进行网络封堵,支持关键字的各种编码,有效地防止通过GOOGLE、百度等搜索引擎搜索和访问一些不良信息站点。l BT以及P2P下载管理可按时间
11、、文件大小对BT以及P2P类下载进行控制。l 各种协议的行为记录详细的记录包括HTTP、FTP、SMTP、POP3、BT、QQ、TELNET、MSN、YAHOO MSG、OICQ、ICQ、网络游戏等协议的网络行为,并能够根据不同的协议不同机器进行详细的记录查询。l 流量分析统计能够以图形的方式直观的显示当前每台机器的实时流量状况。l 专业URL过滤库 具备专业的URL过滤库,并提供专业的、量大的不良站点、娱乐休闲、综合咨讯、行业网站等的网站分类库,能够对每类网站进行不同的策略控制,有效阻止对不良站点的访问,站点库由专人维护并可实时自动升级。l 日志存储管理全面的日志管理功能。服务端采集、服务端
12、存储,日志加密存放,在磁盘空间不足时,能主动通过EMAIL向管理员预警;多种组合条件的日志检索,帮助管理员快速定位;在满足规定保留日志最少90天的基础上,充许管理员设置可靠的日志策略、备份导出并清空已超过90天的日志。l 内容审计系统提供对电子邮件(EMAIL),文件传输(FTP),网上论坛(BBS),远程登陆(TELNET),即时通讯(MSN,YAHOO MESSENGER)进行基于内容关键子和帐户及机器匹配的内容记录审计功能。l 操作日志记录详细的记录操作者的使用情况,加强了对使用者自身进行审计。l 网络工具提供网络工具帮助发觉网络中的异常机器,异常流量。能够发现网络中的私接代理,网络中的
13、SNIFFER探器,有效地规范网络的管理。l B/S结构B/S结构,无须安装客户端,可通过局域网内的任意一台终端即可登陆到系统中查看系统运行及管理互联网使用。l 多语言支持提供简体中文,繁体中文等多个语言版本,并可动态切换。安装部署对宾馆酒店用户,我司提供软件审计系统和硬件审计系统供用户自由选择。软件审计系统提供软件安装包,由宾馆酒店用户提供机器,在LINUX系统上安装并注册审计系统。其特点是一体化安装光盘形式用户安装维护都很方便,对pc机硬件要求没有不高,只是对内容过滤、审计由于磁盘空间和操作系统操作速度的限制,有可能会速度较慢。硬件审计系统是任子行公司提供一套硬件设备产品,里面安装好了经过
14、优化的LINUX操作系统和安装了所有需要的软件资源,使用高配置的硬件设备。在非经营性上网场所安装简单容易,只需在非经营性上网场所互联网出口上直接接上即可。与软件审计相比,硬件审计系统在处理性能和稳定性有很高的优势。探针部署 网络拓扑部署本产品通过监听客户的互联网上网出口,对客户网络内的用户上网行为进行记录,并形成日志,以便管理者实时查看和历史分析、查询。因此,本产品应部署于客户网络的出口部分,一般可采用串接方式,也可以采用旁路监听方式。串行部署如采用串接方式,系统无需任何配置,只需将原交换机上联至防火墙的网线连接至本产品的监听口(入口),并另将一条网线由监听口(出口)上联至原防火墙端口即可。图
15、2.1 串行部署示意图旁路部署如采用旁路方式,系统可以采用如下两种方式。i. 将某交换机端口设置为镜像端口,并将镜像端口网线连接至探针设备监听口的入口。ii. 当交换机无法镜像端口,或其他原因不适用镜像端口,也可以采用增加集线器(另购)的方式来监听网络。第四章 工程实施方案部署建议 考虑到中心平台的建设是随着接入场所端的不断增加和网监业务的不断拓展而逐步加大硬件投入的过程,硬件部署方案拟分两个阶段进行。第一阶段:这个阶段是非经营性审计管理系统推进的初级阶段,地市级中心平台的硬件投入不必过大,硬件投入的依据主要是三方面的业务:1、用于场所端管理、布控、报警、日志查询等核心业务,这些业务涉及到的数
16、据量不会太大,主要包括由中心发起的有针对性的布控、报警和远程获取的日志数据;2、用于分析上网人员真实/虚拟身份及其活动轨迹的虚拟身份数据、上下机日志数据等,这些数据相对其他业务来说,对中心服务器将构成与时间成正比的存储和查询压力;3、若需要与CCIC在逃库比对的业务,需要单独架设CCIC比对服务器,用于非经营性审计系统获取的身份信息的存储和与CCIC在逃库比对运算。对于上述1和2,在接入场所端的宾馆硬件(型号H100-H300)数量在1000家以下,可以采用分离为四台服务器部署,分别作为处理上述第1点和第2点的专用处理服务器。第一阶段的硬件部署图如下:第二阶段:在这个阶段,随着实际平台接入场所
17、端数量逐渐之后终端宾馆硬件(H100-H300)数量在3000以下,中心平台在数据存储和数据查询性能方面的压力逐步增加,前期的多种业务数据集中于4台服务器之上的部署方式将受到越来越明显的挑战。在此情况下,需要加大在中心平台服务器上的投入,将几种非常占用存储空间的业务数据分布在多台服务器上,并要考虑数据服务器的存储扩展性,在适当的时候能够以磁盘阵列的形式外扩存储空间。第二阶段的硬件部署图如下:通过第二阶段在部署结构上的改造:l 把相关系统服务器通过内网交换机进行连接,为不同系统之间交换数据提供了高效的途径;l 建议申请系统连接独享电信20M网络带宽专线,并且通过外网路由器只暴露一个外网IP地址,
18、通过端口的不同映射到对应的系统服务器,能够根据实际情况充分利用每一台服务器的资源;l 把系统服务器统一部署在电信ISP网络上,避免因为现有使用的网络因为出口端口的限制,影响数据采集、数据转发和新模块的运行;另外,为保存更长时间日志,还可以通过磁盘阵列的形式,即可以扩展又保证了数据的安全和存储空间。第五章 公司简介任子行网络技术股份有限公司成立于2000年5月,现注册资金5300万元人民币,是国内领先的互联网内容安全和行为审计与监管整体解决方案提供商。公司目前在深圳、北京、南京、成都设有产品研发中心,营销网络和技术支持遍布全国主要省会和重点城市。公司主要产品包括NET110系列产品安全审计、任天
19、行网络内容和行为管理系统、互联网视音频节目管理和审计系统、IDC安全审计和管理系统、互联网域名备案和网络管理系统,互联网舆情分析和管理系统。公司还承担了多项国家重大互联网安全监管涉密工程。凭借在网络信息安全领域的不懈创新和辛勤耕耘,公司分别获得国家级网络安全应急服务支撑单位(全国仅10家)、国家保密局“涉及国家秘密的计算机信息系统集成甲级资质(软件开发)、中国信息安全认证中心“信息安全应急服务资质认证、国家密码管理局认定商用密码产品生产定点单位、广东省计算机信息系统安全服务资质(壹级)、国家发改委“国家高技术产业化示范工程单位、深圳市首批“国家级高新技术企业和“深圳市自主创新行业龙头企业、产品
20、多次获得国家、广东省和深圳市的科技进步奖。公司多年来承担了国家863计划、国家网络与信息安全发展项目、国家发改委信息安全保障持续发展计划项目、金盾工程、国家242等信息安全专项、国家创新基金项目在内的20余个课题的研发,并参与了公安部、信息产业部等4项国家信息安全技术标准的制定。公司研发项目多次被国家科技部列入国家级火炬计划和重点新产品计划,产品分别荣获国家教育部科技进步一等奖、广东省科学技术三等奖、深圳市科学技术进步一等奖、深圳市科技创新奖,并在政府、军工、军队、金融、通信、广电、教育、能源等领域得到广泛应用。作为较早涉足互联网内容安全和行为审计与监管领域的企业,公司秉承“诚信、敬业、协同、
21、创新的企业精神,以铸造最具竞争力的网络内容安全和行为审计与监管民族品牌作为己任,致力于“绿色、高效和安全网络技术和产品的研发,通过强化公司的核心自主知识产权研发,为民族文化安全保驾护航,持续不断地为客户提供一流的产品和全方位的网络内容和行为审计的安全解决方案,与用户共同提升网络价值。第六章 设备制造安全认可证书或相关证明1.5.1 公安部颁发的计算机信息系统安全专用产品销售许可证1.5.2中国国家信息安全测评认证中心颁发的国家信息安全认证产品型号证书1.5.3中国信息安全测评中心颁发的信息安全服务资质安全工程类二级证书1.5.4国家版权局颁发的具有完全自主知识产权的计算机软件著作权登记证书1.5.5 计算机信息系统集成资质1.5.6组织机构代码证1.5.7软件企业认定证书1.5.8高新技术企业认定证书1.5.9守合同重信用企业1.5.10自主创新行业龙头企业1.5.11国家计算机重点实验室1.5.12国家级高新技术企业认定证书 1.5.13商用密码产品生产定点单位证书 1.5.16国家级网络安全应急服务支撑单位1.5.14国家级火炬计划项目证书1.5.15深圳市第四届青年科技奖1.5.16深圳市软件百强企业1.5.17深圳市高新技术产业协会会员单位1.5.18深圳市软件行业协会会员单位1.5.19国家高技术产业化示范工程1.5.20信用等级证书1.5.21银行开户许可证
