網站安全性管理在宣鋼網站中的應用

王健

摘 要

互聯網的商業和通訊業務也隨之得到快速增長，在為組織帶來更多商業機會、提升組織生產效率的同時，相應地也降低了組織運營、生產和溝通成本。目前，不論政府、學校、企事業單位或是個人與網絡的聯系越來越緊密，網絡一旦出現故障，將嚴重影響到工作、學習、生活。

【關鍵詞】互聯網 帶寬 檢測 流量

1 任務來源

隨著宣鋼信息化建設的高速發展，宣鋼網絡用戶的成倍增長，安全保密工作逐漸成為宣鋼信息化建設過程中不可缺少的重要環節。為了更好的做好企業網絡安全保障工作，加強宣鋼信息化管理，促進社會與企業的和諧，保障生產順利進行，在國家大力倡導下，宣化鋼鐵公司按張家口公安局的要求，安裝部署了宣鋼網絡網絡信息安全審計系統。

2 項目開發內容及實施過程

2.1 項目開發內容

宣鋼網絡目前覆蓋宣鋼所有二級單位和改制企業，分布廣泛，各廠接入網絡的方式也各有不同，給網絡安全管理造成一定困難。根據網絡現有拓撲結構，同時考慮到相關的實際應用，根據上級單位的安全要求，決定在宣鋼網絡中安裝網絡信息安全審計系統。

2.2 項目技術方案

2.2.1 項目設計要求

宣鋼網絡信息安全審計工作是一項具有長期性、持久性的工作，在長時間的設備運行中，首先要考慮到設備長時間運行的穩定性，其次作為監控設備，在其運行中不能干擾到網路的正常通信，其設計要求運行穩定、網絡透明、操作簡單、功能齊全。

項目設計滿足以下要求：

（1）監聽捕獲并分析網絡數據包，還原出完整的協議原始信息，并準確記錄網絡訪問的關鍵信息記錄；

（2）實現網絡訪問記錄、郵件審核過濾、以及網絡各種行為的統計；

（3）實時互聯網不良信息、敏感關鍵字過濾、多種游戲和及時通訊的分析等；

（4）系統運行穩定可靠，安裝便捷快速，安裝后完全不影響原有的網絡，并提供強大的內容安全控制功能。

2.2.2 系統的構成

宣鋼網絡網絡信息安全審計系統是一套高性能、高穩定性的網絡信息安全審計硬件設備，其核心是由一臺任天行網絡安全監控設備組成，安裝在外網防火墻pix525和核心交換機cisco6509中間，通過監控防火墻的內網卡流量得到信息，其管理端在防火墻的停火區內，方便管理員在內網進行查看。

2.3 創新項目難度及技術水平

2.3.1 難點評價

由于宣鋼內部網絡比較復雜，并且運行著ERP、OA等重要的生產和辦公系統，不能有一點閃失。在安裝的前期，需要做大量的調研工作，并需要對宣鋼現有網絡作拓撲調整，在安裝過程中詳細記錄各種問題，及時與工程師進行溝通，謹慎的處理各種發生的問題。確保工程的順利完成。

2.3.2 技術水平

（1）實時過濾互聯網不良信息。五大類500萬條以上有害網址過濾，根據需求自定義過濾站點，包括URL關鍵字、網頁內容關鍵字，用來全面過濾有害信息，自定義IP地址段過濾、敏感關鍵字搜索攔截，系統實時攔截任何訪問不良站點的網絡行為，并返回警告頁面給用戶端。

（2）靈活的日志管理策略。系統能夠實現對監控內IP地址和機器名進行自動搜索，系統管理人員對搜索到的機器信息可以進行人工的維護和管理。通過對指定的計算機或計算機組定制策略，來實現對網絡的策略控制管理，策略控制包括：時間控制，協議控制，即時通訊控制，網游控制，P2P下載控制，用戶自定義網站控制。

（3）多種游戲和即時通訊的分析。系統不僅分析了常見的協議，還對多種游戲和即時通訊軟件進行了分析，如，游戲：QQ游戲、聯眾、中國游戲在線中心、遠航游戲中心、浩方網絡游戲、邊鋒等。即時通訊軟件：QQ、ICQ、Yahoo Msg、MSN等。

（4）對郵件進行審計過濾。可設置無條件捕獲，也可根據郵件內容、郵箱地址、郵件主題三個方面設置的關鍵字捕獲符合條件的郵件內容和附件，可還原顯示捕獲郵件的內容，并可下載其附件。對POP3、SMTP協議的郵件實現了完整的收發內容監控功能，對Webmail郵件實現了發送郵件的內容監控功能。用戶可以設置Webmail郵箱的URL控制列表，以防止使用某些禁用地址收發郵件。支持Lotus郵件收發審計，系統支持用戶指定專用的郵件服務器或列表；支持用戶封堵特定的郵件服務器或列表。

（5）內容審計功能。針對企業機密信息，內容審計是最主要的防泄密方案：

郵件管理：郵件內容關鍵字審計、郵件標題關鍵字審計、郵箱地

址審計等。

Web網頁審計：網頁內容審計、網頁地址審計。

TELNET 審計：內容審計、帳號審計。

FTP審計：帳號審計。

即時通訊軟件審計：MSN和Yahoo Messenger的聊天內容審計、帳號審計。

網站發帖內容：可以對BBS的發帖關鍵詞進行記錄。

（6）黑白名單功能。系統對機器黑、白名單將進行無條件封堵或放行； 機器黑白名單可以是IP地址或者MAC地址。站點黑、白名單：系統根據用戶定義的URL地址進行封堵或放行。

（7）流量審計功能。對于用戶網絡中流量的實時檢測和事后的歷史數據分析是網絡審計中必不可少的功能之一，也是用戶了解和分析網絡問題的有效方法之一：系統可以生成上網流量的當日、歷史分析圖表，包括針對某個IP、多個IP，某個組、或多個組，某個帳號或多個帳號，或全局生成訪問內、外網流量的趨勢分析圖表。按協議、時間、用戶等形成各種流量統計分析圖表和協議圖表。

（8）強大的日志分析與統計報表功能。網絡訪問記錄、上網、下網日志記錄、日志排名統計、審計日志趨勢分析、日志備份等。快速報表、部門統計、人員統計、排名統計、分布圖、自定義報表功能。

（9）對各種入侵攻擊的安全保護措施 。任天行網絡安全管理系統_RAG系列設備自帶的防火墻功能，能夠識別并阻斷黑客的端口掃描以及普通的 DoS 攻擊行為，保證內部網絡的安全性。同時，系統也阻斷了內網的垃圾數據包對防火墻資源的消耗，大大降低了防火墻工作的負擔，提高了整體網絡的安全性。

3 運行效果

宣鋼網絡信息安全審計系統投入運行后，可通過此設備及時準確地顯示我公司內部的實時網絡信息，實時監控外網用戶網站訪問情況。對反動言論做到無死角監控，凈化網站訪問環境，把病毒傳播扼殺在萌芽狀態，搭建了宣鋼對外網絡通信安全的平臺，為宣鋼的信息安全提供了可靠的保障。