电信运行商网络出口.docVIP

电信运行商网络出口 信息审计系统建议方案 上海晨长自动化系统有限公司 May, 2009 目 录 1. 前言 2 2. 需求分析 4 2.1 信息审计需求 4 3.1 部署方案 5 3.2 产品选型 6 4. 系统功能 7 4.1 审计管理网关探针功能 7 5. 技术特色 11 5.1 独创技术 11 5.2 系统特色 13 6. 服务 15 7. 总结 17 附录一 晨长自动化及审计管理网关资质 18 附录二 ProEIM2000N产品规格 22 附录三 审计管理网关部分典型客户名单 24 1. 前言 在过去的十多年里，互联网从最初的单纯地为国防、科研、教育所用的计算机网络演变成现在的为众多的企业、政府、组织、学校和个人所离不开的全球网络。人们在网络上的应用从最初的发送文本电子邮件，浏览静态的信息网页，发展到现在的多媒体、即时通信、视频音频通讯，了解世界的动态，销售、采购各种商品等。互联网发展改变了人们的交流方式。如何应对互联网带来的负面作用？难道是拒绝使用？这恐怕是不可能的，网络已经成为绝大部分公司企业的工作手段，害怕互联网的负面影响而隔离于互联世界之外无异于闭关自守。那么，在使用互联网的前提下，怎样使网络资源更好地发挥作用就摆在了所有管理者的面前了。保障互联网网络安全和信息安全、防范违法犯罪的技术设施和技术方法保障互联网网络安全和信息安全，促进互联网健康、有序发展，维护国家安全、社会秩序和公共利益2. 需求分析 2.1 信息审计需求 本次项目对于上网信息审计的需求主要集中在以下几个方面： 管理范围：所有的访问互联网的ADSL和专线用户； 日志记录：实时记录用户访问互联网的信息，包括访问的协议、IP地址、访问的内容、数据的流量和访问时间； 内容监还原：对在网上传送的常用应用数据内容进行还原，包括邮件的收发、BBS发贴、通过Web上传的文件、MSN发送的信息内容； 敏感信息报警：通过告警设置，对用户上网发送的邮件、表单、聊天内容等涉及敏感条件的信息实时报警，或者通过分布式查询各节点信息进行事后报警； 虚拟身份采集：通过对上网信息的分析比较，有针对性的收集用户的上网账号，比如QQ和MSN帐号、电子邮件地址、WebMail登录帐号、游戏帐号、BBS论坛或社区登录帐号等，建立虚拟身份信息库，为破案提供线索； 网络使用轨迹查询：针对某个特定的用户或虚拟身份信息分布式查询其在某段时间内的上网记录，包括其上网的地点，访问的IP、网址、服务，发布的信息内容等等，了解其网络使用轨迹； 稳定可靠：运行商网络出口的流量都非常大，要求系统能实时精确的记录访问日志，并且做到对出口网络的性能和功能没有任何影响。 总之，电信需要一套能安装简单、满足需求、方便使用的运行商网络出口信息审计管理系统，晨长自动化所推荐的“审计管理网关”解决方案能满足上述管理需求。3. 系统架构 根据电信公安的需求和以往工程实施的经验，我们设计了一套适应当前需要和兼顾对未来业务扩展进行有效支持的系统架构。 由于电信运行商整体上网的流量比较大，上网用户也较多，因此根据实际情况建议采用分布式监控、集中管理方案。 3.1 部署方案 如上图所示，在电信连接上级电信的链路上分别安装一个分光器。分光器的作用是将传输数据的光信号复制一份出来，采用分光器的方案可以做到基本对原有网络性能不产生影响。由于分光器是个工作在物理层的设备，工作原理简单，电气复杂程度不高，相应的其稳定性和可靠性也比较好。 由于电信运行商的每根上联光纤线路上承载的流量都非常巨大，有的线路在高峰期间快达到线路的最大负载，为了满足信息审计的实时性、准确性和完整性，建议在每条线路的分光器分别以旁路方式接入一个审计管理网关探针。审计管理网关探针负责对所监控线路的传输数据进行分析、记录。 审计管理网关探针的管理线连接到一个交换机，再将交换机接入到网络中，以便对审计管理网关探针进行管理。 为了保护上网用户的隐私，数据查询处理的方便，以及减少探针的繁重工作，建议在审计管理网关探针只保存临时数据，所有经过处理过的日志数据都实时上传到日志服务器进行存档。由于数据量巨大，必须在审计管理网关服务器上外接一个磁盘阵列。 3.2 产品选型 分布式管理部署方案，产品型号推荐如下。 产品名称 产品型号 功能模块 审计管理网关探针 ProEIM2000N 实时监控 日志记录 内容信息还原 信息比对上传 虚拟身份采集 敏感信息告警 4. 系统功能 审计管理网关是一个功能强大的网络行为管理系统，其所有功能都是面向管理人员而设计的，其目的是为了解决内部局域网人员的上网管理。 4.1 审计管理网关探针功能 实时监控 审计管理网关可以实时监控使用者访问互联网的行为，如当前在线用户、用户即时流量、IP访问、网站访问、发送表单(BBS)情况、收