产品简介

E*linux信息安全审计系统一方面，提供网络接入的部门可以方便地管理上网用户，保证网络资源有效的使用；另一方面，政府部门可以实时监控本区域内Internet的使用情况，为信息安全的执法提供依据。

版本功能

系统的逻辑模型

系统由一台或多台数据采集服务器负责从代理服务器或者路由器采集网络的流量信息，并保存到数据库服务器中。计费服务器通过访问数据库服务器，与用户管理协调来统计和控制内部用户的上网行为。安全审计服务对采集来的流量数据进行实时监视，一旦发现非法的数据，立即通过通讯服务将数据通知给控制中心。

1.数据采集

数据采集服务负责为整个系统提供用户上网的数据，是综合网络管理平台的重要部分，也是整个安全控制系统的基础。

数据采集服务能够采集代理服务器、路由器、以及E*Linux网关上的流量数据，并且通过扩充新的模块，可以在短时间内迅速支持新的上网方式。网络管理员或者控制中心可以通过灵活定制采集规则，来控制流量数据采集的方式，以更有效地收集数据。同时，为了满足大型网络数据流量大、以及拓扑结构复杂的要求，数据采集服务既可以分布在一个局域网内部的多台服务器之上，也可以分布在不同地点的多台服务器之上，监控中心可以通过采集规则和数据同步来有效地控制所有的采集服务器。

针对通过路由器接入到互联网的情况，数据采集服务可以采用SNMP、RMON或者IP Accouting的方式来取得路由器上记录的流量信息，支持市面上主流的路由器。

另外，BroadenGate还有自己的网关产品E*Linux，E*Linux已经可以与数据采集服务最紧密地结合，收集到流入和流出网络的各个协议数据包的详情。

数据库服务器可以采用市面上主流的大型数据库管理系统，如Oracle，SQL Server，DB2等等，综合网络管理平台可以通过BroadenGate数据访问接口来无缝地连接这些数据库系统。同时，通过数据库复制来实现数据库的分布和同步，以使安全监控系统具备可扩展的数据处理能力，保证在网络流量日益增大的情况下系统可以可靠地运行。

2.计费系统实现

计费系统的功能是对内部用户上网的情况进行统计分析，并对用户的上网行为进行控制。计费系统的数据来源于数据采集服务。无论用户网络采用代理服务器上网、还是采用专线上网、或者是用E*Linux网关上网，计费系统都会以统一的接口和灵活的方式来反映出每个内部用户的上网行为。

另外，通过E*Linux网关，计费系统还可以实时控制内部用户的上网。

3.监控系统实现

监控系统是安全审计系统的核心，它负责实时监视进出网络的流量，发现非法数据后，能够迅速定位数据包的来源，并能够还原出会话过程，并能够及时将这些信息通知给监控中心。下面分布就各部分的功能进行描述。

3.1实时审计

实时审计的实现基于预先定义的审计规则以及数据库系统的触发器机制。审计规则可以灵活定义，结合用户名称、IP地址、网卡MAC地址，访问目标的域名、IP地址、端口，以及敏感字句等等要素。

实时审计分为两个级别，称为低敏感级和高敏感级。

处于低敏感级别时，系统只关心流过网关的域名或IP地址是否符合规则的要求，当一个新的IP包被捕获以后，数据采集服务会将这个IP包的详细信息，包括源地址、源端口、目的地址、目的端口，记录到数据库中，通过触发器的设定，数据库系统会自动启动一个规则比对的过程，发现问题后及时处理。

系统处于高敏感级别时，除了关心IP地址的合法性之外，还关心流过的数据包中的内容是否合法，是否含有敏感字句。由于数据采集服务采集到的是单个的IP包的序列，要得到数据包中内容，必须对TCP的会话过程进行再现，也就是说，必须将会话中涉及到的全部IP包进行重新组装，并得到一个可以理解的TCP过程。TCP会话的还原过程由实时审计系统内部的模拟TCP/IP栈来实现。

通过TCP/IP栈的模拟，并结合应用协议的分析，所有的TCP应用协议，如TELNET、HTTP、FTP、SMTP、POP3、IMAP，以及基于UDP的ICQ、OICQ等等都可以在实时审计系统面前一览无遗。