DB37 T 1798-2011 上网行为管理设备通用技术条件.pdf

1、ICS 03.080.99 A 10 DB37 山东省地方标准 DB37/T 17982011 上网行为管理设备通用技术条件 20110114 发布 20110201 实施 山东省质量技术监督局 发布 前 言 本标准按照GB/T 1.12009给出的规则起草。 本标准由山东省质量技术监督局提出。 本标准由山东省信息标准化技术委员会归口。 本标准起草单位： 北京网康科技有限公司、山东省标准化研究院。 本标准主要起草人：隗玉凯、王曙光、王明伟、张乐、张宝权、李强 、陈刚、张媛、曲发川。 DB37/T 17982011 1 上网行为管理设备通用技术条件 1 范围 本标准规定了上网行为管理设备通用技术

2、条件，包括硬件技术要求、功能要求、性能要求、可靠性 要求、设备安全要求、电磁兼容性要求、部署要求、测试要求以及标志、包装、运输和贮存要求。 本标准适用于上网行为管理设备的设计和制造，也可作为组织选择和部署上网行为管理设备的依 据。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件， 仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB 191 包装储运图示标志 GB 494 信息技术设备的安全 GB/T 5271.8 信息技术 词汇 第8部分：安全 GB 9254 信息技术设备的无线电骚扰限值和测量方法 GB/

3、T 17618 信息技术设备抗扰度限值和测量方法 GA/T 698 信息安全技术 信息过滤设备 安全功能要求 3 术语和定义 下列术语和定义适用于本文件。 3.1 上网行为管理设备 基于网络应用层对网络中的流量进行监控审计，并根据用户、应用、时间和数据流向等条件实施信 息过滤、应用控制、带宽管理和用户管理等管控措施的网络设备。 3.2 信息过滤 对网络上的信息内容进行实时分析，对预先定义的信息和内容进行过滤和拦截。 注： 依据GA/T 698术语和定义。 3.3 攻击 违反计算机安全的企图。例：恶性逻辑、窃听等。 注： 依据GB/T 5271.8-2001。 DB37/T 17982011 2

4、 4 缩略语 下列缩略语适用于文件。 CPU： 中央处理器 Central Processing Unit Dos： 拒绝服务 Denial of Service DS： 目录服务 Directory Service FTP： 文件传输协议 File Transfer Protocol HTTP： 超文本传输协议 Hypertext Transfer Protocol HTTPs： 安全超文本传输协议 Hypertext Transfer Protocol over Secure Socket Layer IM： 即时通讯 Instant Messaging IP： 互联网协议 Interne

5、t Protocol LDAP： 轻量目录访问协议 Lightweight Di rectory Access Protocol MAC： 媒体访问控制 Media Access Control P2P： 点对点 Point to Point POP： 邮局协议 Post Office Protocol RADIUS: 远程用户拨号认证系统 Remote A uthentication Dial In User Service SMTP: 简单邮件传输协议 Simple Mail Transfer Protocol SNMP: 简单网络管理协议 Simple Network Managemen

6、t Protocol TCP: 传输控制协议 Transmission Control Protocol URL: 统一资源定位 Uniform R esource Locator 5 硬件技术要求 设备宜采用1U或2U机身设计。设备应具有良好的散热结构，内部各模块布局合理。应具备满足功能 要求的存储介质，如闪存、硬盘。应具有独立管理接口，工作接口应不少于4个。设备表面说明功能的 文字、符号、标志应清晰、端正、牢固并符合相应的国家标准。电源模块宜具备双电源冗余。应具有良 好的接地系统。 注： U为Unit的缩写，1U=1.75英寸，即4.445 cm。 6 功能要求 6.1 实时监控 6.1.

7、1 应支持常用网管协议，如 SNMP 等。可对在线用户、网络实时流量和网络流量变化进行监控。实 时监控设备运行状况和当前网络活动，及时对网络异常进行定位分析。 6.1.2 监控信息内容包括：资源状态、连接状态、流量状态、带宽使用情况和数据传输情况等。可分 别按照用户、网络端口、应用类别和关键字进行监控。 6.2 信息过滤与审计 6.2.1 URL 过滤 6.2.1.1 应建立多级预定义 URL分类数据库，URL 分类数据库应及时进行更新，URL分类数据库类别不 能完全满足实际需求时，应允许用户自定义新类别。 DB37/T 17982011 3 6.2.1.2 可通过 URL黑名单、白名单，设置

8、页面访问中的特例，由于预设策略访问页面失败时，应对 用户进行提示，提示内容可自定义。 6.2.2 邮件过滤 6.2.2.1 可基于邮件特征对邮件内容进行过滤，并可对匹配指定标题及内容关键字的邮件进行报警。 6.2.2.2 邮件过滤条件包括：发信人地址、收信人地址、邮件主题关键字、邮件正文关键字、邮件附 件名称、大小及类型等。 6.2.2.3 支持延迟发送功能，可对特定人员或邮箱的邮件审计通过后再发送。 6.2.3 IM 过滤 应具备监控主流IM软件功能，可基于用户账号、文件名称、文件传输方向、文件类型、文件大小和 关键字拦截聊天信息和文件传输信息，并可通过邮件报警。 6.2.4 HTTP 过滤

9、 支持HTTP文件传输内容的过滤，可基于文件名称、类型和大小过滤HTTP文件上传下载内容，并可拦 截包含指定特征的文件传输行为。 6.2.5 HTTPS 过滤 可基于网站分类、证书合法性拦截存在安全隐患的HTTPS加密网页的访问，有效屏蔽用户对钓鱼网 站的访问。 6.2.6 FTP 过滤 可过滤任意端口的FTP文件传输行为，并可基于所传输文件在FTP服务器中的路径、文件名称拦截文 件传输行为。 6.2.7 TELNET 过滤 可对用户的TELENT行为进行过滤，记录TELNET目标设备的IP地址、端口信息，记录执行的指令内容 和结果。 6.2.8 论坛信息过滤 6.2.8.1 可针对各类论坛发

10、帖内容进行监控审计，包括正文和附件，可对违背预设关键字的发帖进行 实时阻断，并通过邮件进行报警。 6.2.8.2 可通过时间、用户和关键字对发帖日志进行查询，准确定位发帖行为与内容。 6.2.9 搜索引擎关键字过滤 支持搜索引擎关键字过滤，记录用户通过搜索引擎类网站搜索的关键字内容，可基于搜索类别和关 键字内容过滤用户的非法搜索行为。 6.3 应用协议控制 6.3.1 应建立网络应用协议数据库，通过与上网行为特征的比对和分析实现对网络应用行为的管理与 控制，协议数据库应及时进行更新。 6.3.2 可根据用户、部门、时间段（如上班时间、下班时间、周末）等多种条件及其组合对网络应用 进行管理。 D

11、B37/T 17982011 4 6.4 带宽管理 可识别加密数据流、常用下载软件（如P2P软件 ）及其变种，并进行有效的封堵或流量控制。可针 对用户、应用及其组合设置带宽。 6.5 上网用户管理 6.5.1 支持多级用户管理，并可按照 IP 地址对用户进行分组实现分组用户管控策略。 6.5.2 可提供多种用户认证和识别方式，包括 IP/MAC绑定、DS 集成认证、LDAP 认证、RADIUS 认证、 POP3 认证等，实现基于用户身份的访问管理。 6.5.3 可按照管理需求，基于网段、权限和职能自定义用户组和成员 。 6.6 上网终端管理 6.6.1 支持对上网终端设备的操作系统版本、补丁安

12、装情况、杀毒软件安装、运行、更新等情况的识 别，并以此阻断非安全终端的上网行为。 6.6.2 应能够检测上网终端使用 3G 网卡等非指定上网线路的行为，必要时并予以阻断。 6.7 统计与报告 6.7.1 具备用户上网行为统计与报表功能，可按用户组、网络应用、URL 地址、邮件收发人和关键字 等条件进行查询和统计。统计内容包括：网络流量、页面访问记录、应用行为拦截日志、应用连接明细、 上网时间、邮件记录、IM 内容、论坛发帖内容等。 6.7.2 统计信息可按照系统预制模板生成报告，如用户上网行为报告、流量分析报告、应用排名报告 等，并使用表格、柱图、饼图和线图等直观方式对报告内容进行展示。 6.

13、8 安全功能 6.8.1 具有防火墙功能等自我保护机制，防御来自互联网和内网的 Dos 攻击、IP 碎片攻击、Ping of Death 攻击、TCP 连接攻击等。 6.8.2 设备自身应能防御 ARP欺骗，并能保证三层网络环境中终端对 ARP 欺骗的防御能力。 6.8.3 具有网关杀毒引擎，能够检测内网感染的木马、间谍软件等通过网页、邮件、FTP端口外传信 息的行为，并能报警和阻断。 6.8.4 可识别内网垃圾邮件发送源，并能阻断其垃圾邮件外发行为。 6.8.5 可对各种网络安全事件产生相应日志，日志内容包括：事件发生时间、事件类型、主体身份标 识、操作内容、事件结果等。 7 性能要求 7.

14、1 最大吞吐量 设备每秒钟所处理的数据流量峰值。此项指标主要评估设备在应用层的吞吐量，此项值越大，表示 设备的数据转发能力越强。 7.2 最大新建连接数 设备每秒完成的HTTP请求数目。此项指标主要评估设备在应用层的处理速度，此项值越大，表示设 备处理交易事物的速度越快，可支持的并发用户数越多。 DB37/T 17982011 5 7.3 最大并发连接数 设备在网络环境中可支持的同时存在的并发连接数。此项值越大，表示设备支持的用户规模越大。 7.4 最大时延 设备在网络环境中转发数据包引起的延迟。此项值越小，表示设备转发数据的速度越快。 8 可靠性要求 应从软件和硬件方面增强系统的可靠性。设备

15、应支持双机协议。系统软件高负载死锁情况下，可自 动将网口进行旁路，保障网络连通性。 9 设备安全要求 设备的安全应符GB 4943要求。 10 电磁兼容性要求合 10.1 设备的无线电骚扰限值应符合 GB 9254 的规定，在设备标准中应明确规定选用 A 级或 B 级所规定 的无线电骚扰限值。 10.2 抗扰度限值应符合 GB 17618 的规定。 11 部署方式 11.1 透明串接方式 设备以透明网桥方式接入网络，网络流量经过上网行为管理设备，透明串接部署不改变网络结构和 配置，如图1。 图1 透明串接方式 DB37/T 17982011 6 11.2 旁路监听方式 旁路监听的部署方式适用于

16、对网络连续性需求极高，需要全面的行为管理的环境。旁路模式通过镜 像方式抓取网络数据包，如图2。 图2 旁路监听方式 12 测试要求 12.1 测试环境 12.1.1 自然环境 设备测试的环境条件应符合以下要求： 温度：1535 ； 相对湿度：45 %75 %； 大气压力：86106kPa。 12.1.2 网络环境 测试网络环境包括透明串接和旁路监听两种部署方式， 应分别验证两种部署方式下设备的功能和性 能是否符合设计要求。 12.2 测试工具 应使用协议分析、流量模拟等工具对上网行为管理设备进行功能测试和性能测试。 12.3 功能测试 12.3.1 实时监控 查看系统资源状况，是否包含CPU、

17、内存、硬盘 等使用信息。查看当前在线用户列表，是否包含全 部合法用户以及活跃用户。查看设备是否能监控当前网络实时流量以及某时间段内网络流量变化情况。 12.3.2 信息过滤 DB37/T 17982011 7 12.3.2.1 分别配置基于 IP 地址、用户、部门、时间段、URL、关键字和用户自定义的网页过滤策略， 产生相应的网络会话，验证网页过滤策略是否有效。 12.3.2.2 应分别建立邮件收发、 网络聊天、 HTTP文件传输、 HTTPS加密网页访问、 FTP文件传输、 TELNET、 表单提交、搜索引擎关键字等网络会话，验证过滤功能是否有效。 12.3.2.3 访问配置中所禁止的网页，

18、查看是否具备 Web访问失败后的提示功能。 12.3.3 应用控制 针对网络应用的IP地址、用户、部门、时间段等条件，配置以下应用控制策略，产生相应的应用会 话，验证设备是否能正确识别并有效控制上述网络应用。 a) 标准应用协议，如：HTTP(S)、SMTP、POP3、 FTP、TELNET、SSH 等； b) 聊天软件，如：QQ、MSN等； c) P2P(加上缩略语)，如：BT、迅雷等； d) 网络游戏，如：联众世界等； e) 网络电视，如：PPStream、PPLive、Sopcast、UUSee 等； f) 炒股软件，如：大智慧、同花顺等； g) 流媒体，如：RealMedia、WinM

19、edia等； h) 隐患服务，如：Windows文件共享等会带来网络安全隐患的服务。 12.3.4 带宽管理 配置基于IP地址、用户、部门、时间段、应用协议的带宽分配策略，产生相应的网络流量，验证带 宽分配策略是否有效。 12.3.5 用户管理 12.3.5.1 分别以授权和非授权用户登录设备的管理界面，验证其是否可对设备功能进行激活、禁止、 修改等操作。 12.3.5.2 验证设备是否采用检测要求中的一种或多种方式对上网用户进行身份鉴别。 12.3.5.3 验证设备的用户分组是否支持树形组织结构，支持组内套组、父组、子组管理方式。 12.3.6 终端管理 12.3.6.1 验证设备是否能识别

20、终端操作系统版本、系统补丁安装情况等。 12.3.6.2 验证设备是否可禁止不满足终端检查要求的用户访问互联网。 12.3.7 统计和报告 12.3.7.1 验证设备是否可根据规定条件对上网行为进行准确统计， 验证设备多种条件下查询功能是否 有效。 12.3.7.2 验证设备是否可根据统计情况生成准确上网行为分析报告。 12.3.8 安全功能 12.3.8.1 应分别验证设备抵御网络攻击、防病毒和处理垃圾邮件的安全功能是否有效。 12.3.8.2 应验证设备是否可对各项操作及网络安全事件产生完整日志记录。 12.4 性能测试 DB37/T 17982011 8 应使用网络流量模拟工具测试设备最

21、大吞吐量、最大新建连接数、最大并发连接数和最大时延性能 指标是否符合相应设备规格要求。 13 标志、包装、运输和贮存 13.1 包装箱外应标有制造厂名称设备型号并喷刷或贴有“小心轻放”、“怕湿”等运输标志，运输标 志应符合 GB 191 的规定。设备的其他标识标志应符合国家有关规定。 13.2 包装箱外喷刷或粘贴的标志不应因运输条件和自然条件而退色变色脱落。 13.3 包装箱应符合防潮、防尘、防震的要求，包装箱内应有装箱明细表、检验合格证、备附件及有关 的随机文件。 13.4 包装后的设备应能以任何交通工具， 运往任何地点， 在长途运输时不得装在敞开的船舱和车厢中， 中途转运时不得存放在露天仓

22、库中，在运输过程中不允许和易燃、易爆、易腐蚀的物品同车（或其他运 输工具）装运，并且设备不允许经受雨、雪或液体物质的淋袭与机械损伤。 13.5 设备贮存时应存放在原包装箱内，存放设备的仓库环境温度宜为 0 40 ，相对湿度宜为 30 %85 %。仓库内不应有有害气体、易燃、易爆的设备及有腐蚀性的化学物品，并且应无强烈的机械振 动、冲击和强磁场作用。包装箱应垫离地面至少 10 cm，距离墙壁、热源、冷源窗口或空气入口至少 50 cm。若无其他规定时贮存期一般应为六个月，若在生产厂存放超过六个月者则应重新进行交收检验。 DB37/T 17982011 9 参 考 文 献 1 YDN 1382006 基于PC终端的互联网内容过滤软件技术要求 2 YDN 1392006 基于PC终端的互联网内容过滤软件测试方法 _