6.4.1 内容过滤-主讲教师陈雪松-1765264012617.pptxVIP

6.4.1内容过滤主讲教师：陈雪松

目录1内容过滤种类2内容过滤方法3内容过滤动作4内容过滤处理流程

内容过滤1.内容过滤的概念：是一种对通过文件防火墙（FW）工具对文件或应用的内容进行过滤的安全机制。2.内容过滤的作用：（1）阻止机密信息的传播，降低监所机密泄漏的风险。（2）降低非授权人员浏览、发布、传播敏感信息而给监所带来的法律风险。（3）阻止非授权人员浏览和搜索与工作无关的内容，保证工作效率。

1内容过滤种类内容过滤种类是对应用协议中包含的关键字进行过滤。针对不同应用，设备过滤的内容不同。（2）应用内容过滤是对用户上传和下载的文件内容中包含的关键字进行过滤。管理员可以控制对哪些应用传输的文件以及哪种类型的文件进行文件内容过滤。（1）文件内容过滤

2内容过滤方法方法：通常采用关键字过滤，关键字是内容过滤时设备需要识别的内容，如果在文件或应用中识别出关键字，设备会对此文件或应用执行响应动作。关键字通常为机密信息（如标注了保密级别的文档、民警个人信息或服刑人员个人信息的报告）或违规信息（不文明用语、业务敏感或监所规定的违规信息等）。

2内容过滤方法关键字类型信息安全管理员自定义的需要识别的关键字，有文本和正则表达式两种定义方式。（2）自定义关键字系统默认存在的可以识别的关键字，包括：银行卡号、信用卡号、社会安全号、身份证号、手机号、机密关键字（包括“秘密”、“机密”、“绝密”）。（1）预定义关键字

2内容过滤方法使用正则表达式的方式表示需要识别的关键字。与文本方式不同的是一个正则表达式可以表示多个关键字。例如正则表达式“abc*de”中的“*”可以匹配任意单个字符，所以“abc*de”可以表示“abcxde”、“abcyde”、“abc8de”等等。使用文本的方式表示需要识别的关键字，例如信息安全管理员想要识别关键字“机密文件”，只需要自定义文本方式的关键字“机密文件”即可。文本方式配置简单，匹配精确。例如，关键字可以匹配到“abc”、“中国”、“a中”，但是不能匹配“a”、“ab”、“中”，这一类属于严格匹配。自定义关键字的定义方式（1）文本方式（2）正则表达式方式响应动作是当设备在内容过滤检测时识别出关键字，设备会执行响应动作。

3内容过滤动作（一）告警是指识别出关键字后，记录日志并以适当方式发送给信息安全管理员或特定人员，但不阻断内容传输。（二）阻断是指识别出关键字后，阻断内容传输并记录日志并以适当方式发送给信息安全管理员或特定人员。在用户看来则是无法显示网页、上传或下载文件失败、邮件发送或接收失败。（三）自识别分类处置是按权重操作，每个关键字都存在一个权重值，当设备检测的内容中出现关键字时，设备会将这些关键字的权重值按出现次数累加。如果权重值的和大于等于“告警阈值”小于“阻断阈值”，则设备会执行“告警”动作，“告警”动作仅执行一次；如果权重值的和大于等于“阻断阈值”，则设备会执行“阻断”动作。内容过滤动作类型

4内容过滤处理流程01设备对流量的内容进行检测，识别出流量的内容属性。02如果是应用内容则识别出应用的类型、应用内容传输的方向。如果是文件内容则识别出承载文件的应用类型，文件的类型和文件传输的方向。03设备将流量的内容属性与内容过滤规则的条件进行匹配。04如果所有条件都匹配，则此内容成功匹配此规则。如果其中有一个条件不匹配，则继续执行下一条规则。以此类推，如果所有内容过滤规则都不匹配，则设备允许此内容通过。05如果内容成功匹配一条内容过滤规则，则设备会对此内容进行关键字检测，检测内容中是否存在内容过滤规则定义的关键字。06如果检测时识别出关键字，则设备会执行响应动作。如果没有识别出关键字，则设备允许此内容通过。

谢谢大家！主讲教师：陈雪松