应用背景

　　上海市闵行区政务网建设规模的不断扩大，接入PC终端将要达到3000－5000台，通过政务网访问因特网的终端将要达到1000－3000台，因特网出口总带宽将为30M-50M。现在许多重要的业务系统都运行在政务网上，如财政集中结算系统、发展改革委员会业务系统、审计系统、档案系统、民政一口上下系统等，许多重要系统都托管在信息中心机房内，政务网发挥着多业务信息系统同网运行的重要作用。而伴随着用户、终端、业务的增多，政务网综合监管已经变得越来越困难，同时也越来越迫切。在2005年6月建好的“闵行区政务网Internet接入安全系统”中，仅解决了政务网出口处的安全访问因特网，对网络内部的安全管理运行未考虑周全，安全防护级别不高，存在许多不足之处，如终端管理、行为监控、内容监控、流量监控、带宽管理、身份认证、授权访问资源、安全管理“一体化”等方面还是空白，在网络、系统、安全、管理等多方面仍然存在较大的问题。因此，闵行区政务网为适应信息化建设迅速发展的形势，满足网络安全管理需求，在充分利用原有安全产品和设备的基础上，需要增添必要的设备和软件，整合资源，建设闵行区政务网安全综合监管平台，实现对网络设备、服务器、安全设备、密码设备、终端PC的综合监控与管理。

　　闵行区政务网安全综合监管平台网络拓扑结构

　　解决方案

　　国都兴业为上海市闵行区政务网的对网络应用安全审计需求提供了“网络一体化监控审计系统 Egilance II”，采用多点监测方式工作。（见图）

　　采用了3个千兆网络信号旁路接入器（TAP）获取网络数据流。通过网络会话采集器EProbe实时采集和还原网络会话，按应用协议类型进行会话重组。按用户组成完整的会话内容，同时对传输的网络数据包数和字节数按网络协议、应用协议、IP地址等进行实时统计。

　　网络应用审计器EServer完成对网络会话行为的审计处理：提取、分析、记录与报警。完成对信息内容的审计处理：关键字提取、内容搜索匹配、记录与报警。完成对数据库、FTP服务器、邮件服务器、应用服务器的审计。

　　审计控制台EConsole完成各类安全事件的实时报警功能。具有完善的日志查询功能。可提供按时间、IP地址、邮件地址、内容分类等多种内容的统计功能并自动生成各类统计报表。监测信息转储保存。

　　方案特点

　　 能够对网络中所有应用行为和内容进行审计。可根据工作需要，制定并实施多种形式的安全审计策略和审计方式；

　　 采用标准SNMP协议，支持集中报送报警信息功能，实现报警信息的集中管理；

　　 采用旁路方式获取网络信息，不影响政务网络的各项应用；

　　 全面记录内部用户上网信息，对邮件内容进行深度分析、审计；

　　 提供详细审计日志、统计报表。

　　应用效果

　　本方案实施后，管理者利用Egilance丰富的分析、审计功能，可以随时以图形、图表形式了解各类网络安全事件信息，对网络中的应用情况及用户上网情况一目了然。对有可能违规的上网行为、不良信息以及泄密事件作出快速反应，保证了网络应用的安全可控。

　　关于Egilance

　　Egilance 使管理者能够从大量的通信中发现违反策略或非法访问敏感信息的行为。Egilance可以在不影响网络效率、不改变网络原有结构的情况下实现对网上信息的实时监测。它将数据包进行重组以整理网络会话，实时解码主要的应用协议，包括网页浏览 (HTTP), Email (SMTP/POP3)、文件传输 (FTP)、TCP/IP、UDP、TELNET等。Egilance可以对网络通信进行智能分析，识别敏感词汇及短语，提供实时报警；它强大的报告系统，可以按照具体信息、关键词、发件人、收件人等会话特征来记录、统计、分析网上行为。

　　EgilanceII功能

　　• 多级控制台管理，管理策略统一配置

　　• 审计功能：会话行为审计、会话内容审计、日之统计分析

　　• 监测功能：会话行为监测、会话内容监测

　　• 报警方式：控制台报警、声音报警、Email报警

　　• 管理功能：审计策略管理、数据管理功能、用户管理功能

　　• 备份功能：独立备份，独立查询

　　关于国都兴业

　　北京国都兴业科技发展有限公司是网络监测解决方案的主要供应商，北京市电子政务信息安全产品定点采购指定供应商。它帮助企业，学校和政府部门监测不当网络行为并及时做出反应，达到保障信息安全的目的。Egilance解决方案使企业能够在不影响网络运行的前提下，从大量的网络行为中辨识出非法访问敏感信息或者其他违反策略的行为。其监测审计功能让企业能够轻松的辨识出不正当的、无用的网络行为，并提供宝贵的报告信息和数据，以便及时纠正，保证正常的工作秩序。