系统产品说明书.doc

ICMS系统产品说明书 北京国都兴业科技发展有限公司 目 录 1.介绍 1 2.概述 4 2.1全面截取 4 2.2会话监视 4 2.3会话监视解决引擎（ICME） 5 3.截取并过滤数据 6 3.1网络接入 6 3.2安全 6 3.3过滤 6 3.3.1过滤管理 6 3.3.2过滤标准 7 3.3.3过滤优先权 8 3.4过滤速度 8 3.5通信线路和本地缓存 8 4.ICMS监视中心 9 4.1语言 9 4.2截取会话 9 4.2.1实时监视 9 4.2.2监视状态 9 4.2.3监视存储 9 4.2.4监视操作 10 4.2.5会话监视 10 4.2.6目的管理 11 4.2.7安全 11 4.3监视管理控制台 11 4.3.1告警 11 4.3.2报告 11 4.3.3可视化工具 12 5.高水平的设计 13 5.1系统工作流 13 5.1.1 Email监视 14 6.技术方面 16 6.2 GD Probe 16 6.1.1支持的标准 16 6.1.2 机密性 16 6.1.3与监控网连接的通信线 16 6.1.4本地缓存 16 6.2 信息监测解决服务器 17 6.3 归档 17 6.4 监视管理控制台 17 6.5监视审计浏览器 17 1 介绍 ICMS (Information Content Monitor System) 允许用户的网管中心或信息安全监管部门对Internet 和Intranet信息内容实行有效的监控，涉及对指定用户电子邮件的监视。同时，该系统也可对以所有会话（涉及电子邮件）的SRI.(Session Related Information)、过程以及内容进行记录存储。 ICMS 涉及以下组件： ● 安装于IP网络中的网络探测器设备GD Probes设备。ICMS可监视各类局域网和广域网的IP，涉及以太网、快速以太网，令牌网、ATM及其他。该系统通过GD probe与要监视的实际IP网络以旁路监听的方式进行连接，不会干扰网络的正常运营； ● 一个用于对所有网络上引起注意的信息进行收集解决并可由安全管理人员决定对哪些会话内容或过程进行监视的信息监测引擎ICME； ● 一个用于存储所有或被监视的会话SRI内容或过程的数据库ICMDB，以便进一步的人为分析； ● 一个用于分析人员查看和调阅的标准审计浏览平台ICMBW； ● 一个用于对监测过程的配置、报警、日记的管理控制台ICMCON。 2 概述 2.1全面截取 一个ICMS监测中心可同时对多个流经局域网的IP流进行监视。事实上多个有关的网络对监视者而言是透明的，如下图所示。 图2-1：全面截取 2.2会话监视 ICMS可对广泛的IP会话内容进行监视，涉及电子邮件、Web通信、文献传递、各种信息，新闻、远程登录等等。 为监视有关会话，该系统使用了一个预定义的SRI参数配置表，如会话的源IP和目的IP地址、email地址、Web URL、会话内容（如email的附件）中的搜寻关键字和一个可学习型的文本分类器增长特性辨认。 该系统可为操作人员实时提供每个会话的监视内容及相关信息。其内容可以是电子邮件内容、Web页面、或者文献。相关会话信息涉及email地址、IP地址、精确的发送时间等。 2.3会话监视解决引擎（ICME） ICMS提供了一个强有力的功能——会话监视解决引擎（ICME）。 ICME可创建一个由网络中的会话的SRI构成的数据库，涉及各种类型的会话。并同时包含了一个高级的标准浏览审计工具便于使用者对数据库中的会话记录信息进行分析，并获得智能化的推断。如： ● 发现新的值得注意的会话内容或过程 ● 获取会话操作者的行为（涉及历史信息） ● 接受特定事件的告警 ICME是ICMS监视中心的核心部分，放置在网管或安全监测管理机构（SMMA）所在地。 3 截取并过滤数据 3.1网络接入 ICMS接受以太网、快速以太网、令牌网、ATM局域网上的IP包。该系统以GD Probe（国都网络探测器）方式嵌入在路由器与互换机、互换机与互换机、互换机与集线器之间的网线中，接受所有流经它们之间的以太网帧。 对上述所有的接入将保证： ● 对IP网络的正常运营、系统容量等不会产生任何影响； ● 该设备对安装在IP网络上的硬件设备不会导致任何的影响； 假如被监视的网络属于广域网的第二层，如帧中继、ATM WAN、E1/T1或SONET/SDH上的包。国都兴业将提供相应的广域网GD Probe设备直接接受或将所有的网络通信集中于一个网络段（LAN segment），用于ICMS监视。 3.2安全 无论采用何种接入方法，ICMS组件都将作出如下保证： ● 常规的测试设备不能发现该网络正处在监视中； ● 任何无授权的网络管理员都不能访问过滤标准列表。只有通过授权的人员（SMMA）才干知道被ICMS监视的是哪些会话。 3.3过滤 3.3.1过滤管理 为实现有效的监控管理，预定义的过滤标准按一种分级结构进行组织。例如，不同的监视规定采用不同的监视规则。 ICMS的有关逻辑概念： 事件Case.一个事件就是一个被一组监视操作的调查。它通常涉及好几个处在活动或非活动状态的目的； 目的Target.一个目的就是一个与某一特定的事件相关的身份或行为。在通常情况下目的表达身份——某一IP或某一用户。也可以是行为，如包含特定关键字或发往指定用户的email会话。每个目的都具有一优先级特性，用来保证一个高效率的监视顺序。一个目的可包含一个或多个条件组合的目的关键字。 目的关键字.一个目的关键字就是一个决定是否与某一特定目的相关的会话的过滤状态。目的关键字可以是基于任何包含在会话中的与SRI有关的参数。也可以等于某一特定的值，或一连续值，或者离散值。目的关键字也可以限制在对具有特定的或具有逻辑组合的SRI值的会话进行过滤。例如，“假如（email来自阿富汗）并且（内容包含“恐怖”），该会话将被截取”。 目的分类器. 注意——在某些应用中，如系统仅监视一个网络，并且每个目的只有一个目的关键字，此时用户可以使用一个仅有事件和目的的二级层次结构。ICMS支持这种选项。 3.3.2过滤标准 一个目的关键字可由以下会话参数构成（有些仅在SS7信令网中有效）： ● IP地址 ● 应用类型（决定于TCP/UDP端口） ● 用户身份（RADIUS用户名，DHCP MAC地址或Cable modem号码等） ● 会话传输时间 ● Email参数： ◆ 一个email会话的发件、收件人地址或任何地址的前/后缀 ◆ POP3，IMAP，Notes，或Exchange用户名或口令 ◆ 主题中的关键字 ◆ 发件人的姓名 ◆ 发送机构 ◆ 所用语言（需要Microsoft Windows OS支持） ◆ 加密信息（支持流行的密码标准，如S-MIME，PGP等） ◆ 附件属性（数目、文献名、大小、类型） ◆ 邮件自身的关键字 ◆ Microsoft Office类型附件的关键字（将会支持） 3.3.3过滤优先权 在不同调查中不同的会话监测目的具有不同的重要性。因此，每一个目的都应分派优先权，其范围从1到10，用以标明截取的重要性。 使用优先权参数解决了两个重要的瓶颈： ● 限制向监控中心发送会话的通讯速度。假如同时向监控中心发送的会话过滤数目超过允许值，系统将产生拥塞。ICMS优先机制保证了具有最高优先权的会话一方面被传送以避免拥塞。 ● 在监控中心，每个监控者天天都要接受大最的会话，但每个人天天所能解决的会话数量却是有限的。会话优先权可保证每个监控者随时都可以对重要的会话进行解决。 3.4过滤速度 向监控中心发送会话内容的通信链接速度是一个重要的问题，由于它决定了允许同时发往监控中心的会话数目。 ICMS能发送给监控中心的会话内容占整个网络会话的0.3％～1％，但ICMS可任意地配置为发送更高地比例。 按现今ISP用户的平均使用量，ICMS可同时监控数千个用户，以及所有的电子邮件。 3.5通信线路和本地缓存 来自于被监控的IP网络的被过滤的通信均被发至监控中心。通信线路可以是任何类型的支持IP包发送的WAN。通信线路可被标准的VPN机制所保护。 假如被监控的IP网络和监控中心间的线路出现故障，ICMS将对所有需发往监控中心的数据进行缓存。缓存大小可以增长以支持多达数小时的缓存。缓存的信息可用商用文献加密软件进行保护。 4 ICMS监视中心 4.1语言 ICMS监视中心的监视管理控制台（ICMCON）图形用户界面（GUI）可以是Microsoft Windows操作系统所支持的任何语言。 4.2截取会话 ICMS系统的重要任务是监视会话内容——电子邮件、Web页面、文献等。获得授权的用户可在监控中心的或远程工作站的NIMS控制台上实行监控。 以下的部分描述了ICMS高效率监控方法。 4.2.1实时监视 所有的会话均可得到实时监视，一旦它们被截取，只需平均2-3秒就可将被预定义目的关键字的过滤会话显示出来。 4.2.2监视状态 一旦某一会话被ICMS所解决，其状态将发生改变。一方面，在ICMS的监控管理控制台上会出现报警信息，涉及时间、源IP、目的IP、会话类型以及会话的摘要。该会话监视信息和内容被存放到通过索引解决后的数据库里。未被监控者所观测时，它的状态为“未解决”。一旦监控者打开这一会话监视信息，它的状态将为“已解决”。假如监控者认为该会话不重要，可从数据库中将其删除。 4.2.3监视存储 ICMS包含一个会话索引数据库，可对4～7天内的所有监测信息（会话）内容进行存储，以便监视人员调出专注于的某些会话。此外，所有会话的SRI和所有会话内容可在数据库是保存几个月。 系统管理员根据需要可将存储资源按事件类型或组进行划分（如下所示），ICMS不断地检查事件或组在存储空间的占用量，假如达成某一预定义的比例，将发出警告信息。假如占用率达成一个非常高的比例，系统将自动删除相关的事件或组，其中，无价值的信息内容（会话）将一方面被删除，必要的话，新的信息内容（会话）也可按照优先权的递增被删除。当一定量的空间必须被释放时，解决中的信息内容（会话）也可以按照优先权的递增被删除。 ICMS的存储单元可以是具有一个内建的RAID备份机制以防存储硬盘的损坏。 4.2.4监视操作 监视人员可对会话进行如下操作： ● 改变监视状态。涉及将会话发送至存储单元进行长期保存或删除之 ● 更改监视规则的摘要和注释字段，允许监视人员埴写会话摘要和个人注释。 ● 通过ICMS浏览平台可具体查看和分析被监视到的会话（信息内容）。 ● 根据用户权限产生和打印报告。报告一般基于如下记录信息： ◆ 针对某一特定的事件、目的或目的关键字所产生的有价值的通信量比例 ◆ 针对某一事件或目的所产生的声音、传真、数据或其他信息的记录分布 ◆ 输出监视人员的允许数目 ● 将会话发给其他监视者 4.2.5会话监视 在选定某一会话后，监视员可以很容易地在会话内容、SRI、摘要和注释字段间进行切换。屏幕上至少要显示如下信息： ● 从网络上接受到的完整的SRI ● 实时指示器用于表白该会话是否处在实时监视中 ● 会话类型（email，Web页或文献） ● 会话状态（新、已解决、存档） Email会话. ICMS监控中心可完整显示email包的各个部分。一旦email内容被网络用户发起，该接口即可对的地进行显示。此外，接口也可显示该email完整的SRI，并可选择是否观看附件内容。 目前，ICMS监控中心可支持对SMTP，POP3，IMAP4信息的过滤并能解译压缩编码的附件:zip, arj、lzh和lha。不久，系统也将提供对Lotus Notes和Microsoft Exchange 邮件格式的支持。附件提供如对MS-Office文献格式的支持。• Web会话. ICMS监视中心的控制台可显示监测的文本形式的Web页面，ICMS的审计浏览器可以地显示涉及完整的HTML页、图片、动态组件，甚至于用户的输入信息。 FTP会话. IPMRS 监视中心可完整显示传送的文献内容。一旦FTP会话内容被网络用户发起，该接口即可对的地显示。接口除显示文献信息，也可观看或运营该文献。 其它会话. ICMS将会支持对业务会话、聊天、新闻、远程登录（Telnet）和VOIP的支持。 4.2.6目的管理 监控中心有一个对过滤分层目录（事件、目的和目的关键字）进行管理的接口。对过滤分层目录的每次改动将导致对安装在所监视IP网络上的过滤和传输组件的修改。 4.2.7安全 每个事件都与负责监视该事件的某组监视人员有关。每个监视人员仅被允许对与本组相关的事件进行监视。甚至于对所监视的事件的了解限度也受到了相应的限制。 4.3监视管理控制台 如前所述，ICMCON用于接受被监视IP网络的所有会话过程或email会话的状态信息，并提供了下列分析工具。 4.3.1告警 根据上述的监视参数可产生告警。 4.3.2报告 ICMS集成了一个审计浏览器，监视人员可以使用它来产生任何关于SRI参数的报告。 审计浏览器允许用户得到与目的相关的有价值的历史信息。如当用户发现一个新的目的时可以很容易地获取与该目的有关最近1～2个月所有email会话的具体资料。 4.3.3可视化工具 系统在监测管理控制台中包含了一个集成的可视化网络监测拓扑图，提供了一个涉及被监视网络（涉及网络设备和服务器）的图形化监视界面。 5 高水平的设计 本章对ICMS的高水平的系统设计及其硬件模块进行了说明。 ICMS涉及了如下组件。 ● GD Probes ● 监视中心，涉及： ◆ 信息监视解决引擎. ◆ 监视管理控制台 ◆ 监视记录索引数据库 ◆ 监视审计浏览器 5.1系统工作流 下面是ICMS的工作流程： ● 被监视的网络上所有的TCP/IP包进入GD Probe ● GD Probe全面截取流经被监视的网络，按照监视者所定义的参数对相关的TCP/IP包进行过滤。Probe可依照IP地址（源和目的地址）、TCP/IP端标语（源和目的端标语），或端标语和地址的结合使用来IP包进行过滤，然后进行组报形成一个完整的会话。Probe可从信息监测解决服务器实时接受和更新这些参数。 ● 所有被截取的会话通过GD Probe的一个可靠的网络端口通过TCP/IP局域网（或广域网）发往信息监测解决服务器。假如出现通信错误，被过滤的包可在GD Probe中保存几个小时。 信息监测解决引擎是整个系统的“大脑”。它接受被过滤的包并完毕下述工作： ● 接受GD Probe发送的重新组合后的TCP/IP会话。 ● 分析会话的类型，按相应地应用协议解析会话，形成分类过滤的平面文本格式。 ● 将预解决后的会话进行解决： SRL过滤 关键词匹配 分类器特性辨认 ● 对流行的IP应用的解决。目前支持Email、Web和Lotus Note三大主类，以及IMAP4，MIME，和FTP。不久将支持Microsoft Exchange邮件格式，以及IRC，ICQ，AOL，NNTP，Telnet，和H.323 VoIP等流行应用。 ● 存储锁定目的的会话，以便监控管理控制台实时显示 5.1.1 Email监视 信息监测解决服务器允许IP Probe对特定类型的、按照TCP/UDP目的端标语所实行的通信进行发送的机制。目前，该功能可用来将所监视网络中的email包发往信息监测解决服务器。 对于每个email，信息监测解决服务器将提取下列参数： ● 收/发件人的地址或地址的前/后缀名 ● POP3/IMAP/Notes/Exchange用户名和口令 ● 主题中的关键字 ● 发件人姓名 ● 发送机构 ● 所用语言 ● 加密信息 ● 附件属性（数目、文献名、大小和类型） ● 邮件中的关键字 ● MS-office类型附件中的关键字（已支持） ● 附件编解码标准（Uuencode，Base64，Bin hex） 在对email进行过滤时，被解决的email将与所有的目的关键字进行比较。每个对目的关键字有反映的email将被存储并发往监视中心。 作为一可选项，email的SRI和内容可被存储在会话索引数据库中，以便进行历史性分析和监视。 监视中心允许监视人员将email的原文和平面文本二种格式进行归档管理。使用监测审计浏览器可对email进行历史性分析和监视。 6 技术方面 6.2 GD Probe GD Probe是一个专用的、基于实时嵌入式系统Delta OS平台的高性能网络数据采集解码设备。 6.1.1支持的标准 GD Probe已在以太网、快速以太网的局域网和E1的广域网上广泛地使用。目前，Probe正在高速网络上进行测试，如Gigabit以太网。 每个GD Probe可以以Taps、Switch/Hub镜像端口方式连接至所监视的局域网的网端上。 6.1.2 机密性 GD Probe与某一被监视的网段所建立的连接可以是互相独立隔离的，自成一个监测网络并通过专有通信协议与监控管理中心建立连接，GD Probe可以对特殊的被互换的通信实行截取。网络上的用户或许知道有一台网络设备（GD Probe）连接到了集线器或互换机上，但不能获知该设备的任何功能。 6.1.3与监控网连接的通信线 GD Probe截取并进行预解决的会话借助一条Ethernet、E1、帧中继或其他方式通过TCP/IP广域网发送至监控网中的信息监测解决服务器。该通信可以使用安装于GD Probe和广域网路由器以及信息监测解决服务器和广域网路由器间的商用VPN进行保护。 6.1.4本地缓存 在网络通信失败的情况下，GD Probe可对进行缓存。缓存在GD Probe本地硬盘中的会话将在网络再次接通时发往信息监测解决服务器。缓存的时间长短直接决定于GD Probe的磁盘容量。出于实用性和成本考虑，其缓存时间可以达成24小时。大多数的网络故障在很短的时间内即可得到修复。被缓存的信息可以使用多种市场上流行的文献加密软件进行加密。 6.2 信息监测解决服务器 信息监测解决服务器是一种商用的、基于Windows 2023平台的服务器。根据所解决的通信量大小，信息监测解决服务器通常是一个具有多解决器、带有数百GB容量RAID冗余磁盘阵列的服务器。 6.3 归档 ICMS可支持使用商用的DVD-RAM或硬盘进行归档操作 6.4 监视管理控制台 监视管理控制台采用装有Windows 2023操作系统的商用工作站设备。在控制台上通过监视拓扑图看到被监视的网络的状态（GD Probe的工作状态）、监视人员的操作、会话的报警信息以及是由哪个GD Probe监测到的（假如使用了多个GD probe）。 6.5监视审计浏览器 监测审计浏览器是一个标准的Windows的应用软件，Web和FTP会话可以使用Microsoft® Internet Explorer打开，email会话可使用Microsoft® Outlook进行阅读。这保证了对未来任何Web，FTP，email标准的支持。