ICMS系统产品说明书.doc

ICMS系统产品说明书 北京国都兴业科技发展有限公司 PAGE 1 ICMS系统产品说明书 北京国都兴业科技发展有限公司 PAGE II 目 录 1. TOC \o "1-3" \h \z 介绍 1 2. 概述 4 2.1全面截取 4 2.2会话监视 4 2.3会话监视处理引擎（ICME） 5 3. 截取并过滤数据 6 3.1网络接入 6 3.2安全 6 3.3过滤 6 3.3.1过滤管理 6 3.3.2过滤标准 7 3.3.3过滤优先权 8 3.4过滤速度 8 3.5通信线路和本地缓存 8 4. ICMS监视中心 9 4.1语言 9 4.2截取会话 9 4.2.1实时监视 9 4.2.2监视状态 9 4.2.3监视存储 9 4.2.4监视操作 10 4.2.5会话监视 10 4.2.6目标管理 11 4.2.7安全 11 4.3监视管理控制台 11 4.3.1告警 11 4.3.2报告 11 4.3.3可视化工具 12 5. 高水平的设计 13 5.1系统工作流 13 5.1.1 Email监视 14 6. 技术方面 16 6.2 GD Probe 16 6.1.1支持的标准 16 6.1.2 机密性 16 6.1.3与监控网连接的通信线 16 6.1.4本地缓存 16 6.2 信息监测处理服务器 17 6.3 归档 17 6.4 监视管理控制台 17 6.5监视审计浏览器 17 PAGE 12 1 介绍 ICMS (Information Content Monitor System) 允许用户的网管中心或信息安全监管部门对Internet 和Intranet信息内容实施有效的监控，包括对指定用户电子邮件的监视。同时，该系统也可对以所有会话（包括电子邮件）的SRI.(Session Related Information)、过程以及内容进行记录存储。 ICMS 包括以下组件： 安装于IP网络中的网络探测器设备GD Probes设备。ICMS可监视各类局域网和广域网的IP，包括以太网、快速以太网，令牌网、ATM及其他。该系统通过GD probe与要监视的实际IP网络以旁路监听的方式进行连接，不会干扰网络的正常运行； 一个用于对所有网络上引起注意的信息进行收集处理并可由安全管理人员决定对哪些会话内容或过程进行监视的信息监测引擎ICME； 一个用于存储所有或被监视的会话SRI内容或过程的数据库ICMDB，以便进一步的人为分析； 一个用于分析人员查看和调阅的标准审计浏览平台ICMBW； 一个用于对监测过程的配置、报警、日志的管理控制台ICMCON。 2 概述 2.1全面截取 一个ICMS监测中心可同时对多个流经局域网的IP流进行监视。事实上多个有关的网络对监视者而言是透明的，如下图所示。 图2-1：全面截取 2.2会话监视 ICMS可对广泛的IP会话内容进行监视，包括电子邮件、Web通信、文件传递、各种信息，新闻、远程登录等等。 为监视有关会话，该系统使用了一个预定义的SRI参数配置表，如会话的源IP和目的IP地址、email地址、Web URL、会话内容（如email的附件）中的搜寻关键字和一个可学习型的文本分类器增加特征识别。 该系统可为操作人员实时提供每个会话的监视内容及相关信息。其内容可以是电子邮件内容、Web页面、或者文件。相关会话信息包括email地址、IP地址、精确的发送时间等。 2.3会话监视处理引擎（ICME） ICMS提供了一个强有力的功能——会话监视处理引擎（ICME）。 ICME可创建一个由网络中的会话的SRI构成的数据库，包括各种类型的会话。并同时包含了一个高级的标准浏览审计工具便于使用者对数据库中的会话记录信息进行分析，并获得智能化的推断。如： 发现新的值得注意的会话内容或过程 获取会话操作者的行为（包括历史信息） 接受特定事件的告警 ICME是ICMS监视中心的核心部分，放置在网管或安全监测管理机构（SMMA）所在地。 3 截取并过滤数据 3.1网络接入 ICMS接收以太网、快速以太网、令牌网、ATM局域网上的IP包。该系统以GD Probe（国都网络探测器）方式嵌入在路由器与交换机、交换机与交换机、交换机与集线器之间的网线中，接收所有流经它们之间的以太网帧。 对上述所有的接入将确保： 对IP网络的正常运行、系统容量