张新霞，赵晓明 ?

（陕西省公安厅公共信息网络安全监察总队，陕西 西安 710016）

    摘要:伴随着国家信息化不断推进和计算机网络飞速发展，网络信息安全内容审计(CASNI)成为了网络信息安全中不可或缺的重要组成部分。网络信息安全内容审计从网络关键点收集数据包，对其传送的内容进行审计分析，达到网络信息内容可控。本文描述了一种在高速网络环境下分布式、可扩展的高性能网络审计体系结构，分析了 Linux （操作系统）捕获数据包的瓶颈，重点论述了使用NAPI （New Application Program Interface）技术和内存映射技术提高数据包捕获，解决审计系统中数据流高速处理的问题。?

    关键词：信息安全审计；体系结构；数据包捕获

?

　　互联网作为一个开发和使用信息资源的全球性网络，网上的信息量正在持续快速地增长，形式几乎包罗万象：各种数据、文件和文档。电子商务、电子现金、数字货币、网络银行以及各种专用网的建设，使得网络与信息系统的安全与保密问题显得越来越重要，成了关键之所在。?

　　网络安全的本质就是网络上信息的安全，包括静态信息的存储安全和信息的传输安全。网络信息内容安全性研究将成为网络安全体系中重要的一环，是保障网络信息内容安全的必要手段。对网络信息内容进行有效监控和过滤，抑制有害信息的传播已经成为净化网络空间、维护社会安定和国家稳定的一个棘手问题。?

　　网络信息内容安全，要在网络服务可用的前提下，保证网络中数据的内容符合既定的安全策略，避免数据遭到滥用，保证传输内容的安全性。这方面的技术包括基于内容的防火墙和网络信息安全内容审计。近年来，除了对防火墙技术和入侵检测??[1]?技术研究之外，人们把更大的力量投入到网络信息安全内容审计技术的研究上来，其原因如下：一是防火墙规则建立在统计分析的结果上，会使得误判为非法的数据包被拦截，而导致网络服务不可用。另外，由于模式算法的时间复杂度较高，会降低防火墙的转发功能。网络信息安全内容审计一般采用旁路监听的方式，不影响网络服务，可用性强于防火墙。二是危害网络安全的有害信息往往包装成合法的报文，或者加载到合法的报文中间，通过合法的用户发布出去，能顺利地通过防火墙和入侵检测系统，只有通过特定的网络信息审计系统才能将其检查出来。三是据调查，将近65%的攻击及不良信息都将来自于内部，对于那些来自内部的攻击来说，防火墙形同虚设。四是底层协议的防火墙也不能保护上层协议的攻击。五是扫描系统、防火墙和入侵检测技术对网络信息报文格式网络保护的阶段在事前、事中，而事后的取证，就必须用到审计系统。?

　　网络信息安全内容审计系统（Content audit of security for Network Information），简称CASNI，是指从网络中的关键点收集数据包，对其所传送的内容进行审计分析，检查其中是否含有违反安全策略的内容，实现对网络信息内容的可控性，防止内部机密或敏感信息的非法泄漏及有害信息的传送，对可疑行为、内容采取措施，并为查证提供证据。?

　　从技术研究的领域来看，网络信息审计技术又可分为两大类??[2]?:一类是基于报文结构格式的完整性及合法性进行审计技术，例如对病毒的审查和对黑客程序的审查就属于该类审计的内容。另一类就是基于报文内容的审计技术，它采用人工智能、自然

(责任编辑：adminadmin2008)