園區網審計前端解決方案

1、園區網審計系統

園區網審計系統是(shì)防止在網上發布非法信息、洩密的事後取證系統。通(tōng)常在園區網出入口處建立內(nèi)容審計系統,對通(tōng)過的流量進行(xíng)應用恢複與還原,對非法流量進行(xíng)自(zì)動備份,并由此确定發送者。系統自(zì)動運行(xíng),不(bù)需要(yào)人(rén)工(gōng)幹預。內(nèi)容審計系統具有證據保留的作用,可(kě)作爲司法追究的依據。

園區網審計系統主要(yào)有以下作用:

(1)檢查網絡用戶在網絡上發表的言論、發送的信息,保障其行(xíng)爲符合國(guó)家(jiā)法律的要(yào)求,不(bù)損害國(guó)家(jiā)和他人(rén)利益,保證互聯網安全、和諧有序運行(xíng)。

(2)在已知可(kě)疑人(rén)員(yuán)部分(fēn)網絡信息,如郵件(jiàn)地(dì)址、QQ帳号的情況下,能夠快(kuài)速鎖定目标當前的網絡地(dì)址,并根據認證系統中的相(xiàng)應信息進行(xíng)人(rén)員(yuán)定位。

(3)在園區網絡環境中,确保用戶發送的信息滿足單位信息安全要(yào)求,對特定信息外(wài)傳進行(xíng)報警和存檔。

(4)檢查經常使用特殊網絡工(gōng)具對外(wài)聯系或者發送數據的人(rén)員(yuán)。

一般性的園區網審計系統處理流程如圖1所示。


圖1 園區網審計系統

各模塊的作用如下:

  • 高(gāo)速流量捕獲:獲取網絡關鍵點上的雙向流量,通(tōng)常可(kě)以采用兩種方式捕獲到流量:通(tōng)過分(fēn)光器從(cóng)鏈路(lù)上分(fēn)光獲取,或者在交換機上設置鏡像端口。高(gāo)速流量捕獲主要(yào)解決高(gāo)速鏈路(lù)流量的無丢失的完全捕獲問(wèn)題。
  • 協議還原:完成報文捕獲後,協議恢複結點組裝報文,最終完成一個個的應用文檔或者記錄。協議恢複結點首先要(yào)解決報文亂序、重傳與分(fēn)片問(wèn)題。在IP網絡中,先發出的報文可(kě)能後到達,後發出的報文可(kě)能先到達,網絡技術中稱之爲“報文亂序”,在路(lù)由器和交換機中,有大(dà)量的研究試圖解決報文亂序問(wèn)題,目前骨幹鏈路(lù)上的報文亂序很(hěn)少,但(dàn)是(shì)仍然存在。TCP/UDP分(fēn)片是(shì)協議恢複需要(yào)解決的另一個問(wèn)題,協議恢複結點應能對分(fēn)片報文進行(xíng)正确組裝。協議恢複結點在完成報文組裝後,送到不(bù)同的處理線程(或進程)進行(xíng)應用恢複。應用通(tōng)信過程中,有些信息是(shì)應用的內(nèi)容,而有些信息是(shì)應用之間(jiān)的控制(zhì)消息,應用恢複軟件(jiàn)能夠剔除控制(zhì)消息,留下真實的應用內(nèi)容。協議恢複結點通(tōng)常根據TCP/UDP端口号确定應用的類型,如TCP 80爲Web流量、TCP 25和110爲郵件(jiàn)流量、TCP 23爲telnet流量等。
  • 數據索引:海量的文本存儲到海量數據庫前,由于數據庫容量過大(dà),而數據庫本身并不(bù)提供對文本字段的索引能力,使用關鍵詞進行(xíng)檢索需要(yào)很(hěn)長的時間(jiān)。此外(wài),某些試圖逃避檢測的惡意信息發送者通(tōng)常在發送信息中加入不(bù)可(kě)讀的幹擾字符(如空格、“※”“¥”“#”等),試圖躲避自(zì)動分(fēn)析程序的規則匹配。數據索引模塊首先具有剔除幹擾字符的能力,其次可(kě)以對同音(yīn)字和形近字進行(xíng)處理。然後進行(xíng)分(fēn)詞,得到本文中出現(xiàn)的關鍵字。最後以類似于Google或Baidu的技術組織海量文本,使得自(zì)動規則匹配或人(rén)工(gōng)查詢可(kě)以高(gāo)效、準确地(dì)完成。
  • 海量數據庫:數據庫服務器在海量內(nèi)容恢複系統的中的作用較爲簡單,主要(yào)記錄從(cóng)協議恢複結點送過來(lái)的應用層數據,通(tōng)常,一封Email包含發送人(rén)地(dì)址、收件(jiàn)人(rén)地(dì)址、主題、發送時間(jiān)、截獲時間(jiān)以及郵件(jiàn)體(tǐ),而一個聊天記錄則包含發送人(rén)标識符、接收人(rén)标識符、聊天內(nèi)容和聊天時間(jiān)。
  • 規則數據庫:存儲用戶配置的規則、用戶的賬号權限等數據信息。
  • 業(yè)務邏輯:完成用戶進行(xíng)的規則設置、查詢等工(gōng)作。
2、戎騰網絡前端設備

戎騰網絡是(shì)園區網審計系統的硬件(jiàn)提供商,所研制(zhì)的多(duō)種設備和部件(jiàn)可(kě)以應用于不(bù)同的場(chǎng)合:

(1)TransCon2402(簡稱TC2402)彙聚分(fēn)流設備:用于園區網有多(duō)個鏈路(lù)接入ISP時,數據的聚合、分(fēn)流、過濾。TC2402系統應用于10G/1G LAN光線路(lù)中,支持将線路(lù)上接入的數據分(fēn)流/彙聚,轉發到1G/10G輸出接口上,同時對數據做分(fēn)析處理。TC2402主要(yào)實現(xiàn)10G LAN鏈路(lù)流量接收、過濾以及分(fēn)流;千兆LAN鏈路(lù)流量接收、過濾以及彙聚,能高(gāo)效地(dì)解決在網絡接入層和彙聚層鏈路(lù)上進行(xíng)內(nèi)容審計、入侵檢測、行(xíng)爲分(fēn)析和流量統計所面臨的數據獲取問(wèn)題。

(2)PCAP2智能網卡:采用多(duō)域過濾技術、零拷貝技術和多(duō)通(tōng)道(dào)虛拟隊列技術,用于衰減無關流量,實現(xiàn)報文到達服務器的高(gāo)性能捕獲。PCAP2支持最大(dà)64K條多(duō)元組規則,實現(xiàn)報文頭的精确匹配、掩碼匹配和範圍匹配;

(3) SMA系列智能網卡:采用高(gāo)性能連接跟蹤技術,用于降低(dī)服務器在進行(xíng)協議還原時會(huì)話管理的計算負載。SMA能夠對TCP流執行(xíng)順序整理、重傳報文清理等工(gōng)作,并以一個完整會(huì)話形式提交分(fēn)析服務器,從(cóng)而顯著提高(gāo)分(fēn)析服務器的性能。SMA還具備多(duō)元組過濾功能。SMA系列智能網卡包括SMA11(一個千兆電(diàn)口和一個萬兆光口)和SMA20(雙萬兆以太網)

相(xiàng)關産品,參見(jiàn)戎騰産品的“彙聚器 & 分(fēn)流器”和“智能網卡”。