蓝盾内网安全保密系统解决方案

　　1.1、网络安全现状

　　 为了保护计算机及计算机网络的安全性，许多专家、学者和相关机构从不同角度提出了各种解决方案和技术方案。边界安全产品在网络安全中得到了认可，但是从2003年的网络安全情况看，边界安全产品略显不足。同时在内网中存在着有意或无意的信息泄漏情况。因此应从纵深防御的角度考虑，研究基于内网安全防护的安全产品，其目标是保证内网资源的可用性、数据存储的安全性、数据内部传输的安全性。同时我们应该从管理的角度来看待网络安全，从而实现对内网的可控性。

　　1.2、内网安全保密系统的必要性

　　 目前通常通过防火墙进行网络安全防范。从理论上讲，防火墙可以说是第一层安全防范手段，通常安装在网络入口来阻止来自外部的攻击。入侵检测系统作为防火墙的有效补充，为网络安全达到安全极限作出了贡献。但对内网安全要求极高的行业或部门，还需要解决信息泄密问题，同时希望将基于内网安全和防信息泄密技术有机集成。内网安全保密系统根据内网安全现状，从而有效的检测和防御内部入侵行为、防止内网信息泄漏、成功实施内网安全管理。

　　二、产品简介

　　2.1、产品概述

　　蓝盾内网安全保密系统(BD-SECSYS)是由广东天海威数码技术有限公司自主研发的基于内网安全和防信息泄漏的内网安全集成系统。广东天海威数码技术有限公司基于多年来积累的安全产品研发和实施经验，集中强大的研发队伍推出具有完善功能、稳定可靠和出色性能的内网安全集成产品。

　　国际国内安全公司都采取了一定的手段进行内网安全防护，但没有从总体上分析内网真正的安全需求，更没有将安全和防信息泄漏有机集成确保内网的安全和可控性。因此能够成功推出并应用内网安全保密系统将起到巨大的社会作用。

　　蓝盾内网安全保密系统(BD-SECSYS)是一个基于内网安全及保密理论研发的内网安全保密管理产品，它综合使用入侵检测和反向追踪技术、数据挖掘技术、智能模式匹配技术、安全联动技术、密码学技术、操作系统核心技术以及网络驱动技术，构造了一个逻辑上的内部网络安全域，对这个安全网络域所有计算机上的重要信息进行安全管理，并有效的对网络资源进行管理。它可以检测内部入侵行为、有效追踪网络入侵者、实时分析网络流量、实现桌面级防火墙功能、监视可疑的网络连接、对网络的应用进行必要的安全管理、对主机的文件进行有效的控制、实时监控主机的各种日志、对主机上的设备和待使用的设备进行监控或强制认证、实时监控主机注册表以发现异常情况、实时监控主机资源等。蓝盾内网安全保密系统提供完善的集中管理控制机制、有效的安全策略管理方法和细致清晰的审计分析报告，有效检测针对内网的入侵，并能成功防止内部网络重要信息通过各种可能途径被非法泄漏和破坏，同时通过有效的管理对内网资源进行有效的控制。

　　2.2、产品组成

　　 蓝盾内网安全保密系统主要包括三部分组件：网络安全监控器(BD-SECSYS-N)、主机代理(BD-SECSYS-H)和控制中心(BD-SECSYS-C)。网络安全监控器采用专用硬件设备以旁路方式接入内网关键点，主机代理以服务的方式运行在内网被保护主机上，控制中心提供显示和管理配置功能。网络拓扑如下：

　　2.3、网络安全监控器体系结构

　　 网络安全监控器(BD-SECSYS-N)体系结构如下图。分组捕捉器通过分组捕捉机制，为网络安全监控器提供从物理网络(网络接口卡)直接收集数据链路层网络原始信息的能力。网络协议解码器实现了相当于计算机系统中网络协议栈的功能，将由分组捕捉器获得的原始网络信息，根据不同的网络协议解码相应的分组数据结构，并将已解码的协议分组信息提交网络安全监控器检测引擎和轮廓引擎。网络安全监控器对已解码的网络协议数据进行分析，并从这些网络活动中寻找预先定义的攻击模式，一旦发现其中含有攻击事件的特征标志，即将此事件提交预警系统。预警系统根据网络安全监控器提交的事件种类，根据预先指定的响应行为来执行相应的动作,如报警、记录、联动、拍照等。入侵模式库用来描述攻击事件的特征和相应的响应规则。用来对网络安全监控器进行控制，使其能根据所描述的攻击事件模式特征来识别攻击事件，并控制预警系统的相应动作。预处理系统用于预先处理各种网络信息，比如TCP流重组、UNICODE漏洞检测等，预处理系统可以检测各种已知或未知的入侵企图。网络安全监控器的信息处理分中心用于同控制中心进行各种信息的交流，包括接受控制中心的命令、向控制中心报警、为控制中心提供各种原始网络信息等功能。控制中心的信息处理中心用于同网络安全监控器的信息处理分中心进行通讯，其功能包括控制各网络安全监控器、接收网络安全监控器送回的各种命令。预警响应中心用于将网络安全监控器送回的各种预警信息记录在案并向系统管理员报警。

　　2.4、主机代理体系结构

　　主机代理(BD-SECSYS-H)体系结构图如下。蓝盾内网安全保密系统包括以下模块：网络安全防护模块、共享安全模块、文件防护模块、注册表防护模块、日志监控模块、设备管理和认证模块、主机审计模块、异常检测模块等。

　　2.5、集中管理控制中心

　　 蓝盾内网安全保密系统控制中心(BD-SECSYS-C)主要包括如下模块：网络安全监控器管理模块、主机代理管理模块、控制中心用户管理模块、控制中心日志管理模块、网络原始信息管理模块、入侵信息管理模块、主机代理日志管理模块、蓝盾内网安全保密系统配置模块、反向拍照管理模块、入侵模式库管理模块、mySQL数据库管理模块等。集中管理控制中心体系结构图如下：

　　三、功能说明

　　3.1、网络安全监控器功能

　　3.1.1、网络入侵检测功能

　　蓝盾内网安全保密系统网络安全监控器(BD-SECSYS-N)具有完备的网络入侵检测功能，主要的功能包括：TCP流重组、端口扫描检测、IP碎片重组、BO攻击分析、异常轮廓统计分析、ARP欺骗分析、UNICODE漏洞分析、RPC请求分析、Telnet交互格式化分析、极小碎片检测、缓冲溢出分析、智能的模式匹配等。

　　BD-SECSYS-N内置能检测以下各种入侵或误用行为: 基于IIS 入侵、基于CGI入侵 、各种扫描 、基于FTP入侵 、基于Telnet入侵 、基于RPC入侵 、基于Finger入侵 、Misc 、基于远程服务(Remote Services) 入侵 、基于Netbios 入侵、基于SQL 入侵、DOS攻击 、DDOS攻击 、基于DNS 、基于Shell外壳-NO 、Exploit 、病毒等。

　　端口扫描是入侵的先兆，黑客一般是先通过扫描来确定用户系统的类型，然后针对性的进行攻击。BD-SECSYS-N具备识别端口扫描功能。普通的入侵检测系统只能识别简单的TCP端口扫描，不能识别黑客的其它扫描。BD-SECSYS-N可以识别包括TCP扫描、UDP扫描、SYN扫描、SYN+FIN扫描、NULL扫描、XMAS扫描、Full XMAS扫描、Reserved Bits扫描、Vecna扫描、NO ACK扫描、NMAP扫描、SPAU扫描、Invalid ACK扫描在内的几乎所有扫描方式。

　　UNICODE漏洞和缓冲溢出漏洞是最常用的攻击手法,也是最常见的系统漏洞，BD-SECSYS-N可以有效的检测到。

　　BD-SECSYS-N具有完备的功能,特别是BD-SECSYS-N的异常轮廓统计分析技术，使网络安全监控器具有自学习能力，根据网络中正常情况下的信息，可以检测网络中的异常情况，自动分析出各种新形式的入侵、变种的入侵、系统误用。

　　3.1.2、网络流量分析功能

　　蓝盾内网安全保密系统网络安全监控器(BD-SECSYS-N)拥有实用的网络流量分析功能，方便网管分析网络流量，以便制定安全策略。

　　3.1.3、检测分析、响应功能

　　蓝盾内网安全保密系统网络安全监控器(BD-SECSYS-N)能够全面、实时地监测网段中的所有数据传输，信息收集与分析同步进行，反应快速，实时性高。用户可以实时查看网络中的通讯。一旦发现可疑行为，BD-SECSYS-N可以准确地显示入侵行为及其相关数据，实时向管理员告警，以利及时采取措施。BD-SECSYS-N可以根据用户的设置，将网络信息、分析结果、入侵记录等以文件形式存储，可供查询、生成报表。

　　3.1.4、蠕虫检测功能

　　蓝盾内网安全保密系统网络安全监控器(BD-SECSYS-N)拥有强大的蠕虫检测能力，可实时检测各种蠕虫，如SQL蠕虫王、冲击波、震荡波、冲击波杀手等新旧蠕虫。

　　3.1.5、入侵取证功能

　　 蓝盾内网安全保密系统网络安全监控器(BD-SECSYS-N)能检测入侵行为并记录下入侵包，以便进行入侵取证。但考虑到入侵取证的有效性，BD-SECSYS-N采用了首创的反向拍照技术，给入侵者拍一个"全身照"，因此能成功获取入侵者具体特征。

　　3.1.6、内容检测功能

　　蓝盾内网安全保密系统网络安全监控器(BD-SECSYS-N)拥有强大的内容检测技术，对内容既可实施文本检测，也可实施二进制内容检测，同时可实施内容排除性检测。通过内容检测可发现违规行为，如访问不良或非法信息。

　　3.1.7、与防火墙联动

　　蓝盾内网安全保密系统网络安全监控器(BD-SECSYS-N)可以通过和防火墙的联动来阻断攻击。BD-SECSYS-N提供的通用防火墙联动API接口，实现了与防火墙系统的联动。任何防火墙厂家使用BD-SECSYS-N的通用防火墙联动接口，就可以非常容易的和BD-SECSYS-N进行联动,从而构架全方位的网络防御体系。

　　3.2、主机代理功能

　　3.2.1、网络检测防护功能

　　蓝盾内网安全保密系统主机代理(BD-SECSYS-H)拥有强大的桌面级防火墙功能，可以对系统提供的网络端口和IP进行监控、管理，允许自定义阻断策略，也可以定义事件对指定IP地址、协议和端口以及数据流向进行实时防护，从而隔断来自与网络中其他主机的非法连接请求。网络检测防护功能模块具有以下特点：