绿盟科技内容安全审计解决方案 (2009.12)

内容安全审计解决方案

■文档编号■密级内部使用

■版本编号V1.0 ■日期2009-12-29

? 2019 绿盟科技

■版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

■版本变更记录

时间版本说明修改人

2009-12-29 1.0 编制黄伟

目录

一. 行业背景 (1)

二. 面临的挑战 (1)

三. 需求分析 (2)

四. 解决方案设计 (3)

4.1方案概述 (3)

4.2方案部署 (3)

4.3方案技术实现 (4)

4.3.1 域名备案核查 (4)

4.3.2 不良信息主动审计技术 (5)

4.4应用场景 (5)

4.5方案优势 (6)

4.6产品功能介绍 (6)

4.6.1 安全审计系统具有三大功能： (6)

4.6.2 系统架构 (7)

4.6.3 系统特点 (8)

4.7方案组件 (9)

一. 行业背景

2009年，国务院新闻办、工业和信息化部、公安部、文化部、工商总局、广电总局、新闻出版总署等七部门召开电视电话会议，部署在全国开展“整治互联网低俗之风专项行动”。有效遏制网上低俗之风蔓延，进一步净化网络文化环境，保护未成年人健康成长，推动互联网健康有序发展。整治互联网低俗之风专项行动工作会议提出要求，相关企业应切实加强接入服务监管，认真落实监管责任，坚决关闭违法违规网站，不为以虚假信息备案登记和未履行备案登记手续的网站提供接入服务。

整治的范围主要是各级网站，重点是检查互联网网站是否备案、是否存在不良信息，如果查出，互联网接入资源的提供方也将受到罚款、整改、通告等连带惩罚。

运营商不仅作为互联网接入的网络承载单位，为广大网民提供更快更稳定的互联网接入；而且运营商的IDC（Internet Data Center，互联网数据中心）也是互联网信息的主要集散地。因此运营商的专线接入和IDC也成为了主管机关进行低俗网站检查的重点对象。

二. 面临的挑战

对于“整治互联网低俗之风专项行动”，IDC管理员也急迫需求对IDC中网站的内容情况进行监控，及时发现违规内容并进行相关的整改，但也困难重重：

1. 无法掌握IDC中所有的网站域名

2. 无法全面掌握IDC中网站域名是否已经备案

3. 难以提前发现网站中是否含有不良低俗信息

IDC针对上述这些问题，IDC也开展积极的采用各种手段进行解决，但效果无法满足需求：1. 业务流程难于保证对网站域名的有效管理

当前，IDC的运营部门为了更好的实现对接入网站进行管理，网站在IDC正式上线前通常需要进行相应的登记，登记内容包含网站IP地址、服务器类型、网站域名、备案编号、联系人等信息。但是由于非法网站运营、网站内容更换频繁、虚拟空间、二级代理等各种因素，导致IDC运营部门无法对网站域名的使用情况有效的掌握，因此也就造成了IDC中时常被主管机关发现存在以虚假信息备案和未备案的网站。

2. 投入大量的人力进行域名安全管理但是效果得不到保证

由于业务流程无法有效的对网站域名的管理，IDC的运营部门也通过小工具甚至手动的方式对IDC中的网站进行域名检查，然后再通过对外公开的网站进行域名备案的查询。但是这样方式不仅需要投入大量的人力进行，效率较低，而且准确性得不到保障。经常出现，耗费了大量时间对IDC中的域名进行了排查，并要求不合规的网站（未备案）进行下线整改，但随着主管机关检查的进行，在IDC中还是发现了新的不合规网站。

3. 不良信息，难以发现，挥之不去

对于不良信息，无论是从整治互联网低俗之风专项行动的内容来看，还是主管机构、上级部门都明确的要求IDC对网站中的不良信息进行严格的检查和控制。此方面，IDC通常采用一些工具进行检查，但这类工具关注的重点也仅是在文字类型，对于图片甚至视频的不良信息往往显得无能为力，因此不能有效的解决对不良信息的监控问题。

三. 需求分析

根据对IDC面临挑战的分析，我们发现当前IDC通过业务流程难于保证对网站域名的有效管理，而现有技术手段的工作效率和准确性都得不到保障。同时，从互联网访问的技术原理来看，监控网站是否进行了登记备案和是否存在不良信息的第一要点，就需要准确的掌握网站的域名信息。为了应对上述面临的挑战，我们需要如何来实现呢？

1. 准确高效的发现IDC中所有的网站域名

通过专门的自动化产品，实现对IDC域名的监控，发现域名和IP地址的对应信息，发现多个域名在同一IP服务器上承载的对应关系，形成对应的网站域名信息库，并能自动化的进行动态更新。

2. 网站域名的备案管理

在已有IDC网站域名信息库的基础上，自动化实现与网站登记备案库进行比对，发现未登记备案的非法域名，并及时的给予告警。

3. 不良信息的审计

自动发现IDC网站存放的、公众可访问的文字、图片等各类形式的不良信息，内容包含反动、迷信、色情等内容，并可以根据具体情况对不良信息的关键字等检查因素进行人工设定。

四. 解决方案设计

4.1 方案概述

低俗网站内容安全审计解决方案自动化实现网站域名的有效管理和网站不良信息主动审计。主要目标：

?准确高效的主动发现IDC中所有的网站域名，形成全面的网站域名库；

?网站域名核查，自动化发现未登记备案的网站，形成未登记备案网站表；

?不良信息检测，主动扫描发现网站中的不良信息，形成不良网站对应表。

4.2 方案部署

典型IDC网站内容安全审计解决方案

通过低俗网站内容安全审计技解决方案可自动化监控IDC网站域名备案情况，主动审计发现网站中含有不良信息的网页、论坛、博客、图片。

本方案部署方式简单，不需要改变IDC原有网络架构，具体部署说明如下：

1. SAS对部署网络环境没有特别要求，只需保证对全网的网络访问可达，需要提供FE/GE

接口。通过自定义不同扫描地址段，系统将自动执行对IDC全网的扫描，扫描结果将汇总到安全中心进行统一存储、分析。

2. SAS通过多个FE/GE接口连接关键交换机，定期对镜像流量进行分析，更新维护基础域

名信息库。

3. 将安全中心部署到IDC管理区，系统接收来自SAS的监测信息，通过分析处理向IDC管

理者提供域名核查报表、不良信息审计报表。

4.3 方案技术实现

4.3.1 域名备案核查

本方案的域名备案核查技术实现主要通过下面步骤实现，如图所示。

域名备案核查技术

1. 网站域名库

系统通过绿盟云安全中心，可快速发现IDC域名信息，形成网站域名表；同时为确保结果准确，系统通过本地流量检测自学习即定期旁路镜像分析关键交换机的网络数据流，形成网站域名表。系统将两个域名表进行校验比对之后，形成完整准确的IDC网站域名库，并定期进行更新维护。

2. 未登记域名表

系统将IDC提供的入网登记表与IDC网站域名库进行比对分析，从而筛选出未登记域名库。

3. 未备案可疑域名

系统将未登记域名库通过绿盟云安全中心自动向工信部ICP/IP信息备案管理系统进行验证，并将验证结果返回系统，系统自动生成未备案可疑域名表，从而快速全面掌握IDC的网站域名备案情况。

4.3.2 不良信息主动审计技术

本方案的不良信息主动审计主要通过下面步骤实现，如图0所示。

不良信息主动审计

1. IDC网站域名库

系统通过绿盟云安全中心，可快速发现IDC域名信息，形成网站域名表；同时为确保结果准确，系统通过本地流量检测自学习即定期旁路镜像分析关键交换机的网络数据流，形成网站域名表。系统将两个域名表进行校验比对之后，形成完整准确的IDC网站域名库，并定期进行更新维护。

2. 不良信息主动审计

用户可选择基于IDC网站域名信息库或自定义监测网站，对IDC全网或部分网站进行内容扫描监测，将含有不良信息的网站加入不良网站域名表，以便追查取证。

4.4 应用场景

1. 网站入网上线检查

?对网站备案情况进行检查，登记备案

?对网站进行不良信息检查

2. 周期性检查

?对网站域名进行动态监控，发现未备案域名

?对不良信息进行主动审计

3. 关键时期重点监控

?国庆、两会等

4.5 方案优势

1. 高效率

?通过自动化工具实现

2. 准确性高

?实现100%域名

?云安全中心和流量检测学习提高域名发现准确性

?专利技术，提高不良信息检测准确性

3. 成本可控

?实施简单，不用调整网络结构

?通过少量设备投入实现域名和不良信息监控

4. 安全研究实力支撑

?绿盟云安全技术支持

5. 及时有效安全服务

?本地化服务团队

4.6 产品功能介绍

4.6.1 安全审计系统具有三大功能：

◆内容审计

绿盟SAS系统提供深入的内容审计功能，具有网络信息内容监控取证功能，可对网站访问、邮件收发、远程终端访问、数据库访问、数据传输、文件共享等提供完整的内容检测、信息还原功能；并可自定义关键字库，进行细粒度的审计追踪。

◆行为审计

绿盟SAS系统提供全面的网络行为审计功能，根据设定行为审计策略，对网站访问、邮件收发、数据库访问、远程终端访问、数据传输、文件共享、网络资源滥用（即时通讯、论坛、在线视频、P2P下载、网络游戏等）等网络应用行为进行监测，对符合行为策略的事件实时告警并记录。

◆流量审计

绿盟SAS系统提供基于协议识别的流量分析功能，实时统计出当前网络中的各种报文流量，进行综合流量分析，为流量管理策略的制定提供可靠支持。

4.6.2 系统架构

绿盟安全审计系统（NSFOCUS SAS）采用绿盟科技专利技术-主动安全审计（NSFOCUS Proactive Audit）（专利申请号：200810118759.4），通过高效智能的内容识别引擎—NCRE，主动准确发现IDC内未备案域名、含有不良敏感信息的网站，从而帮助IDC快速追查定位。

1. 安全中心

负责是整个系统管理平台，负责审计数据的集中存储、分析、告警等功能，系统支持B/S 管理方式，适合在任何IP可达地点远程管理。

2. 网络引擎

采用绿盟科技专门设计的高性能硬件运行平台，具有良好的安全性和可靠性，该引擎负责实现：

主动内容扫描引擎

对指定的网站进行扫描，遍历网站的所有页面，对页面内容进行分析审计，发现、记录并实时告警包含非法信息的页面的相关信息。

实时内容监测引擎

通过定时周期性路监听进出IDC的网络数据包，获取IP域名信息，形成完整的基础域名信息库。

4.6.3 系统特点

1. 域名主动发现

系统通过绿盟云安全中心，可快速发现“网站单IP地址多域名”信息，向IDC提供其管辖网站IP地址与域名的对应表；同时为确保结果准确，系统通过定期旁路镜像分析关键交换机的网络数据流，定时更新维护基础域名信息库；系统将通过云安全中心获得的域名信息与基础域名信息库进行校验比对之后，再向用户提供准确的域名表，从而为查找未备案域名提供基础数据。

2. 自动发现、核查IDC内未备案域名

基于域名发现的结果，绿盟云安全中心自动向工信部ICP/IP信息备案管理系统进行验证，并将验证结果发给SAS，系统自动生成域名备案核查表，对未备案域名进行统计，从而快速全面掌握IDC的网站域名ICP备案情况。

3. 不良信息主动审计发现

通过基于域名、关键字正则表达式、关键字逻辑表达式、深度、并发数等多种组合策略扫描指定网站，对被检测网站的网页页面进行内容扫描检测，快速、准确的分析判断论坛、博客、图片中是否含有不良敏感信息，防止不良信息扩散，及时追踪有害信息及违法犯罪活动来源。

4. 强大的信息审计能力

采用绿盟科技专利技术-主动安全审计（NSFOCUS Proactive Audit）（专利申请号：200810118759.4），以先进的搜索技术为核心，通过多线程并发执行体系结构，提高检测效率和准确率，自动高效的对网页内容采集处理、主题检测、统计分析。

5. 全面支持多种网页类型

系统支持采集多种静态网页（HTML/HTM/SHTML）、动态网页（ASP/PHP/JSP）类型。

6. 自动识别多种字符集编码

系统支持自动识别多种字符集编码包括GBK、GB2312、UTF-8，如中文、英文、中文简体、中文繁体等，并可方便扩展支持其他语言和编码。

4.7 方案组件