网站安全性管理在宣钢网站中的应用

王健

摘 要

互联网的商业和通讯业务也随之得到快速增长，在为组织带来更多商业机会、提升组织生产效率的同时，相应地也降低了组织运营、生产和沟通成本。目前，不论政府、学校、企事业单位或是个人与网络的联系越来越紧密，网络一旦出现故障，将严重影响到工作、学习、生活。

【关键词】互联网 带宽 检测 流量

1 任务来源

随着宣钢信息化建设的高速发展，宣钢网络用户的成倍增长，安全保密工作逐渐成为宣钢信息化建设过程中不可缺少的重要环节。为了更好的做好企业网络安全保障工作，加强宣钢信息化管理，促进社会与企业的和谐，保障生产顺利进行，在国家大力倡导下，宣化钢铁公司按张家口公安局的要求，安装部署了宣钢网络网络信息安全审计系统。

2 项目开发内容及实施过程

2.1 项目开发内容

宣钢网络目前覆盖宣钢所有二级单位和改制企业，分布广泛，各厂接入网络的方式也各有不同，给网络安全管理造成一定困难。根据网络现有拓扑结构，同时考虑到相关的实际应用，根据上级单位的安全要求，决定在宣钢网络中安装网络信息安全审计系统。

2.2 项目技术方案

2.2.1 项目设计要求

宣钢网络信息安全审计工作是一项具有长期性、持久性的工作，在长时间的设备运行中，首先要考虑到设备长时间运行的稳定性，其次作为监控设备，在其运行中不能干扰到网路的正常通信，其设计要求运行稳定、网络透明、操作简单、功能齐全。

项目设计满足以下要求：

（1）监听捕获并分析网络数据包，还原出完整的协议原始信息，并准确记录网络访问的关键信息记录；

（2）实现网络访问记录、邮件审核过滤、以及网络各种行为的统计；

（3）实时互联网不良信息、敏感关键字过滤、多种游戏和及时通讯的分析等；

（4）系统运行稳定可靠，安装便捷快速，安装后完全不影响原有的网络，并提供强大的内容安全控制功能。

2.2.2 系统的构成

宣钢网络网络信息安全审计系统是一套高性能、高稳定性的网络信息安全审计硬件设备，其核心是由一台任天行网络安全监控设备组成，安装在外网防火墙pix525和核心交换机cisco6509中间，通过监控防火墙的内网卡流量得到信息，其管理端在防火墙的停火区内，方便管理员在内网进行查看。

2.3 创新项目难度及技术水平

2.3.1 难点评价

由于宣钢内部网络比较复杂，并且运行着ERP、OA等重要的生产和办公系统，不能有一点闪失。在安装的前期，需要做大量的調研工作，并需要对宣钢现有网络作拓扑调整，在安装过程中详细记录各种问题，及时与工程师进行沟通，谨慎的处理各种发生的问题。确保工程的顺利完成。

2.3.2 技术水平

（1）实时过滤互联网不良信息。五大类500万条以上有害网址过滤，根据需求自定义过滤站点，包括URL关键字、网页内容关键字，用来全面过滤有害信息，自定义IP地址段过滤、敏感关键字搜索拦截，系统实时拦截任何访问不良站点的网络行为，并返回警告页面给用户端。

（2）灵活的日志管理策略。系统能够实现对监控内IP地址和机器名进行自动搜索，系统管理人员对搜索到的机器信息可以进行人工的维护和管理。通过对指定的计算机或计算机组定制策略，来实现对网络的策略控制管理，策略控制包括：时间控制，协议控制，即时通讯控制，网游控制，P2P下载控制，用户自定义网站控制。

（3）多种游戏和即时通讯的分析。系统不仅分析了常见的协议，还对多种游戏和即时通讯软件进行了分析，如，游戏：QQ游戏、联众、中国游戏在线中心、远航游戏中心、浩方网络游戏、边锋等。即时通讯软件：QQ、ICQ、Yahoo Msg、MSN等。

（4）对邮件进行审计过滤。可设置无条件捕获，也可根据邮件内容、邮箱地址、邮件主题三个方面设置的关键字捕获符合条件的邮件内容和附件，可还原显示捕获邮件的内容，并可下载其附件。对POP3、SMTP协议的邮件实现了完整的收发内容监控功能，对Webmail邮件实现了发送邮件的内容监控功能。用户可以设置Webmail邮箱的URL控制列表，以防止使用某些禁用地址收发邮件。支持Lotus邮件收发审计，系统支持用户指定专用的邮件服务器或列表；支持用户封堵特定的邮件服务器或列表。

（5）内容审计功能。针对企业机密信息，内容审计是最主要的防泄密方案：

邮件管理：邮件内容关键字审计、邮件标题关键字审计、邮箱地

址审计等。

Web网页审计：网页内容审计、网页地址审计。

TELNET 审计：内容审计、帐号审计。

FTP审计：帐号审计。

即时通讯软件审计：MSN和Yahoo Messenger的聊天内容审计、帐号审计。

网站发帖内容：可以对BBS的发帖关键词进行记录。

（6）黑白名单功能。系统对机器黑、白名单将进行无条件封堵或放行； 机器黑白名单可以是IP地址或者MAC地址。站点黑、白名单：系统根据用户定义的URL地址进行封堵或放行。

（7）流量审计功能。对于用户网络中流量的实时检测和事后的历史数据分析是网络审计中必不可少的功能之一，也是用户了解和分析网络问题的有效方法之一：系统可以生成上网流量的当日、历史分析图表，包括针对某个IP、多个IP，某个组、或多个组，某个帐号或多个帐号，或全局生成访问内、外网流量的趋势分析图表。按协议、时间、用户等形成各种流量统计分析图表和协议图表。

（8）强大的日志分析与统计报表功能。网络访问记录、上网、下网日志记录、日志排名统计、审计日志趋势分析、日志备份等。快速报表、部门统计、人员统计、排名统计、分布图、自定义报表功能。

（9）对各种入侵攻击的安全保护措施 。任天行网络安全管理系统_RAG系列设备自带的防火墙功能，能够识别并阻断黑客的端口扫描以及普通的 DoS 攻击行为，保证内部网络的安全性。同时，系统也阻断了内网的垃圾数据包对防火墙资源的消耗，大大降低了防火墙工作的负担，提高了整体网络的安全性。

3 运行效果

宣钢网络信息安全审计系统投入运行后，可通过此设备及时准确地显示我公司内部的实时网络信息，实时监控外网用户网站访问情况。对反动言论做到无死角监控，净化网站访问环境，把病毒传播扼杀在萌芽状态，搭建了宣钢对外网络通信安全的平台，为宣钢的信息安全提供了可靠的保障。