互联网信息安全监控技术方案

互联网信息安全监控系统互联网信息安全监控技术方案 2023 道驰科技- 1 - 2023 道驰科技名目一. 前言3二. 需求分析32.1 政策需求分析32.2 安全需求分析4三. 解决方案43.1 串接部署方式53.1.1 桥接方式53.1.2 网关方式63.2 旁路部署方式63.2.1 端口镜像63.2.2 TAP 分流7四. 主要功能84.1 百度贴吧监控84.2 网站监控84.3 邮件监控94.4 QQ 监控94.5 MSN 监控94.6 搜寻引擎监控94.7 监控数据检索104.8 敏感信息的定位和告警104.9 非法信息的阻断和过滤10一.前言网站数量激增伴随着互联网的进展，网站数量急剧增多，至2023 年初全国网站数量到达280 万个，年增长率86.7%，全国网页数量到达160 亿个，年增长率89.4%， 全国域名数量到达 1682 万个，年增长率到达了 41.9%，网站信息总量到达 460,217GB。而目前信息内容安全治理不容乐观，特别是二级代理商通过租用专线或租用IDC 效劳器接入各类低俗网站淫秽色情、迷信反动等，此类网站，监管难度大，传播速度快，社会危害严峻。2023 年 1 月 5 日，国务院闻办、工业和信息化部、公安部、文化部、工商总局、广电总局、闻出版总署等七部门召开电视 会议，部署在全国开展整治互联网低俗之风专项 行动。国务院闻办副主任蔡名照主持会议并讲话，强调要实行有力措施坚决遏制网上低俗 之风集中，进一步净化网络文化环境，保护未成年人安康成长，推动互联网安康有序进展。整治互联网低俗之风专项行开工作会议提出要求，相关企业应切实加强接入效劳监管，认真落实监管责任，坚决关闭违法违规网站。而IDC 目前仅能实行格外有限的措施。二.需求分析2.1 政策需求分析胡锦涛同志在今年 1 月 23 日发表的重要讲话中，强调要以创的精神加强网络文化建设和治理满足人民群众日益增长的精神文化需要，指出我们必需以乐观的态度、创的精神， 大力进展和传播安康向上的网络文化，切实把互联网建设好、利用好、治理好。2023年12月23日，中华人民共和国公安部公布第82号令，公布了互联网安全保护技术措施规定，要求“互联网效劳供给者、联网使用单位负责落实互联网安全保护技术措施”。要求连接到互联网上的单位要做到记录并留存用户注册信息；在公共信息效劳中要觉察、停 止传输违法信息并留存相关记录。同时，明确规定联网单位要依次规定落实记录留存的技术措施，至少要保存60天的记录备份。只要单位上网，就有义务协作公安机关满足82号令的要 求，当发生反动、虚假言论时，可以供给追溯。2.2 安全需求分析网络是一把“双刃剑”：随着在中国互联网进入宽带进展快车道，网络给人民生活带来便利的同时，网络与信息安全问题显得越来越突出，尤其是淫秽、色情、反动等信息的快速传 播，网络违法犯罪大事的增多，违反建设和谐社会的主旋律对于网络治理者来说，需要解决的问题主要包括：是谁通过互联网散布了政治谣言？是谁向互联网公布了反动、非法的、担忧康的言论？跟据国家相关法律的规定，在互联网上公布淫秽信息与及迷信、反动、分裂等言论均为违法犯 罪行为。互联网的无监控使用会导致严峻安全隐患，钓鱼站点，病毒站点的访问将把这些威逼的因素引入到合法网络当中，这时我们在网关处部署的大量的被动防范设施将无能为力过去我们往往把信息安全局限于防病毒、攻击等要求,其实网络信息安全牵涉到方方面面的问题,是一个极其简洁的系统工程。从简化的角度来看,要实施一个完整的网络与信息安全 体系,至少应包括三类措施,并且三者缺一不行。一是社会的法律政策、规章制度等外部软环 境。在该方面信息安全监管部门、网络治理着应当扮演重要的角色。二是技术方面的措施,如防火墙技术、网络防毒、信息加密存储通信、身份认证、授权等。只有技术措施并不能保证 百分之百的安全。三是审计和治理措施,该方面措施同时包含了技术与社会措施。其主要措施有:实时监控网络安全状态、供给实时转变安全策略的力气、对现有的安全系统实施漏洞检查等,以防患于未然。三.解决方案互联网信息安全监控系统部署在网络中的骨干链路处，该位置通常是指网络出口，即网关位置。整体解决方案的部署方式灵敏、简洁，部署方式分为旁路和串接两种：1、旁路部署方式，包含端口镜像方式、TAP 分流方式等，旁路部署一般适用于电信、公安、机关、校园网以及其他规模较大的网络，支持的链路形式包含10M、百兆、千兆、万兆、2.5G POS、10G POS、40G POS 等。2、串接部署方式，通常又可称作“桥接”或者“网关方式”，一般适用于非运营级的中小企业用户。3.1 串接部署方式串接部署方式一般适用于中小企业的网络规模较小的网络，主要可以分为“桥接模式”和“网关模式”3.1.1 桥接方式互联网信息安全监控系统3.1.2 网关方式3.2 旁路部署方式网络规模较大的建议承受旁路部署模式，与串接模式相比旁路部署模式的优点： 第一：不转变现有的网络拓扑；其次：不影响现有网络的性能，不引入的延迟第三：不引入的单点故障旁路部署模式依据部署点的状况又可以分为端口镜像和TAPSplitter两种方案。3.2.1 端口镜像旁路部署为透亮、被动式监控方式，互联网信息安全监控系统的硬件平台至少配置两个网络接口，其中一个做为设备治理接口，另一个做为旁路采集接口。旁路采集接口，一般承受 端口镜像、TAP 分流方式采集网络数据。镜像端口Mirroring 或 Spanning是指：高级的网络交换机可以将交换机的一个或几个端口的数据包复制到一个指定的镜像端口，互联网信息安全监控系统的采集接口可以连接到镜像端口以采集双向数据。端口镜像的优势：- 10 - 2023 道驰科技1、 经济的，不需要额外的设备；2、 可同时监测一个交换机上一个 VLAN 上全部的流量；3、 一个网络采集接口可监测多条交换机被镜像的链路；4、 使用便利简捷。端口镜像模式的部署示意图如下：3.2.2 TAP 分流TAP，全称叫做网路分流器(Network Tap)，是一个硬件设备，分为光分流器和电分流器两种，它直接插入到光纤链路或者UTP 网络电缆，首先保证正常网络数据的转发，同时复制一份网络通信给其它接口。网络分流器通常用于网络入侵检测系统(IDS)，网络探测器和分析器 等。TAP 分流模式，是将被监控的UTP 链路用TAP 分流设备一分为二，分流出来的数据接入采集接口，为互联网信息安全监控系统采集数据。四.主要功能4.1 百度贴吧监控互联网信息安全监控系统可以针对设置于百度上的各种贴吧进展发贴信息复原。监测和保存的数据包括网内全部发帖用户的发帖时间、源IP 地址、宽带ADSL 帐号名称、贴吧名称、主题、文件内容等。在文件局部，由于百度贴吧同一页面可能会实行不同的编码格式,因 此互联网信息安全监控系统承受UTF-8 和 GB2312 两种编码分别记录文件内容，用户在查看监测内容时可自由选择。4.2 网站监控互联网信息安全监控系统可以针对除百度贴吧以外的其他论坛、网站、博客、邮件系统的“POST”信息进展监控。网站监控功能主要是针对从网内发起的，向论坛、网站、博客、邮件系统提交的全部URL 记录和内容记录，监控报表包含信息提交时间、源IP 地址、源ADSL 宽带帐号名称、目的IP 地址、主机地址论坛、网站、博客、邮件系统、文件提交的内容等。与百度贴吧监控针对贴吧名称、主题和内容进展具体区分不同，网站监控不区分网站、论坛名称，也不区分哪些是主题、哪些是内容，全部的信息都保存在网站监控报表的“文件” 项。由于各网站可能会实行不同的网页编码格式,因此内容监控系统承受 UTF-8 和 GB2312 两种编码分别记录“文件”内容，用户在查看监测内容时可自由选择查看。4.3 邮件监控互联网信息安全监控系统能够实现对全部POP3 邮件的监控,邮件报表包括邮件时间、源 IP 地址、源账号、目的IP、发送者邮箱地址、承受者邮箱地址、邮件主题、内容-包含邮件内的压缩附件比方：文本、word 文档、照片、压缩的软件等。4.4 QQ 监控QQ 监控报表包含：QQ 的登录或离线时间、源IP 地址、源ADSL 账号、QQ 账号、该QQ 是上线还是离线行为。4.5 MSN 监控MSN 监控报表包含：MSN 谈天信息的发起时间、源IP 地址、源ADSL 账号、源MSN 用户账号、目的MSN 用户账号、MSN 交互内容等。4.6 搜寻引擎监控互联网信息安全监控系统，可以记录百度、谷歌等搜寻引擎发起的搜寻信息。报表内容含搜寻时间、源IP 地址、搜寻的关键字、搜寻引擎等。4.7 监控数据检索互联网信息安全监控系统的每个功能都支持对监控记录的数据检索和查询，检索可以根 据多种条件进展操作，例如百度贴吧监控，可基于源IP 地址、贴吧名称、主题等条件进展检索。4.8 敏感信息的定位和告警用户发帖、谈天和邮件内容假设包含敏感信息，可实时定位和告警，告警形式包括文字 告警、手机短信告警和邮件告警等，告警内容包含信息发起人的IP 地址、发起时间以及关键的信息内容等。4.9 非法信息的阻断和过滤用户上网内容里假设包含敏感、反动或非法信息，可设置阻断或过滤条件，阻断网络用户连续发起类似的信息，或者限制网络用户针对此类非法网站的访问，净化上网环境。