某兴业科技发展有限公司icms系统产品说明书(编辑修改稿)

某兴业科技发展有限公司icms系统产品说明书(编辑修改稿)内容摘要：

有网络上引起注意的信息进行收集处理并可由安全管理人员决定对哪些会话内容或过程进行监视的信息监测引擎 ICME； ● 一个用于存储所有或被监视的会话 SRI 内容或过程的数据库 ICMDB，以便进一步的人为分析； ● 一个用于分析人员查看和调阅的标准审计浏 览平台 ICMBW； ● 一个用于对监测过程的配置、报警、日志的管理控制台 ICMCON。 2 2 概述 一个 ICMS 监测中心可同时对多个流经局域网的 IP 流进行监视。 事实上多个有关的网络对监视者而言是透明的，如下图所示。 图 21：全面截取 ICMS 可对广泛的 IP 会话内容进行监视，包括电子邮件、 Web 通信、文件传递、各种信息，新闻、远程登录等等。 为监视有关会话，该系统使用了一个预定义的 SRI 参数配置表，如会话的源 IP 和目的 IP 地址、 地址、 Web URL、会话内容（如 的附件）中的搜寻关键字和一个可学习型的文本分类器增加特征识别。 该系统可为操作人员实时提供每个会话的监视内容及相关信息。 其内容可以是电子邮件内容、 Web 页面、或者文件。 相关会话信息包括 地址、 IP 地址、精确的发送 3 时间等。 （ ICME） ICMS 提供了一个强有力的功能 —— 会话监视处理引擎（ ICME）。 ICME 可创建一个由网络中的会话的 SRI 构成的数据库，包括各种类型的会话。 并同时包含了一个高级的标准浏览审计工具便于使用者对数据库中的会话记 录信息进行分析，并获得智能化的推断。 如： ● 发现新的值得注意的会话内容或过程 ● 获取会话操作者的行为（包括历史信息） ● 接受特定事件的告警 ICME 是 ICMS 监视中心的核心部分，放置在网管或安全监测管理机构（ SMMA）所在地。 4 3 截取并过滤数据 ICMS 接收以太网、快速以太网、令牌网、 ATM 局域网上的 IP 包。 该系统以 GD Probe（国都网络探测器）方式嵌入在路由器与交换机、交换机与交换机、交换机与集线器之间的网线中，接收所有流经它们之间的以太网帧。 对上述所 有的接入将确保： ● 对 IP 网络的正常运行、系统容量等不会产生任何影响； ● 该设备对安装在 IP 网络上的硬件设备不会造成任何的影响； 如果被监视的网络属于广域网的第二层，如帧中继、 ATM WAN、 E1/T1 或SONET/SDH 上的包。 国都兴业将提供相应的广域网 GD Probe 设备直接接收或将所有的网络通信集中于一个网络段（ LAN segment），用于 ICMS 监视。 无论采用何种接入方法， ICMS 组件都将作出如下保证： ● 常规的测试设备不能发现该网络正处于监视中； ● 任何无授权的网络管理员都不能访问 过滤标准列表。 只有经过授权的人员（ SMMA）才能知道被 ICMS 监视的是哪些会话。 过滤管理 为实现有效的监控管理，预定义的过滤标准按一种分级结构进行组织。 例如，不同的监视要求采用不同的监视规则。 5 ICMS 的有关逻辑概念： 事件。 它通常包括好几个处于活动或非活动状态的目标； 目标。 在通常情况下目标表示身份 —— 某一 IP 或某一用户。 也可以是行为，如包含特定关键字或发往指定用户的 会话。 每个目标都具有一优先级特性，用来确保一个高效率的监视顺序。 一个目标可包含一个或多个条件组合的目标关键字。 目标关键字 .一个目标关键字就是一个决定是否与某一特定目标相关的会话的过滤状态。 目标关键字可以是基于任何包含在会话中的与 SRI 有关的参数。 也可以等于某一特定的值，或一连续值，或者离散值。 目标关键字也可以限制在对具有特定的或具有逻辑组合的 SRI 值的会话进行过滤。 例如，“如果（ 来自阿富汗）并且（内容包含“恐怖”），该会话将被截取”。 目标分类器 . 注意 —— 在某些应用中，如系统 仅监视一个网络，而且每个目标只有一个目标关键字，此时用户可以使用一个仅有事件和目标的二级层次结构。 ICMS 支持这种选项。 过滤标准 一个目标关键字可由以下会话参数构成（有些仅在 SS7 信令网中有效）： ● IP 地址 ● 应用类型（决定于 TCP/UDP 端口） ● 用户身份（ RADIUS 用户名， DHCP MAC 地址或 Cable modem号码等） ● 会话传输时间 ● Email 参数： ◆ 一个 会话的发件、收件人地址或任何地址的前 /后缀 ◆ POP3， IMAP， Notes，或 Exchange 用户名或口令 ◆ 主题中的关键字 ◆ 发件人的姓名 ◆ 发送机构 ◆ 所用语言（需要 Microsoft Windows OS 支持） ◆ 加密信息（支持流行的密码标准，如 SMIME， PGP 等） ◆ 附件属性（数目、文件名、大小、类型） 6 ◆ 邮件本身的关键字 ◆ Microsoft Office 类型附件的关键字（将会支持） 过滤优先权 在不同调查中不同的会话监测目标具有不同的重要性。 因此，每一个目标都应分配优先权，其范围从 1 到 10，用以标明截取的重要性。 使用优先权参数解决了两个重要的瓶颈： ● 限制向监控中心发送会话的通讯速度。 如果同时向监控中心发送的会话过滤数目超过允许值，系统将产生拥塞。 ICMS 优先机制保证了具有最高优先权的会话首先被传送以避免拥塞。 ● 在监控中心，每个监控者每天都要接收大最的会话，但每个人每天所能处理的会话数量却是有限的。 会话优先权可保证每个监控者随时都可以对重要的会话进行处理。 向监控中心发送会话内容的通信链接速度是一个重要的问题，因为它决定了允许同时发往监控中心的会话数目。