IDC 管控系統(tǒng)介紹IDC 管控系統(tǒng)方案說明北京亞鴻世紀(jì)科技發(fā)展有限公司 ,目錄1. 總體描述 . ...................................

IDC 管控系統(tǒng)介紹

IDC 管控系統(tǒng)

方案說明

北京亞鴻世紀(jì)科技發(fā)展有限公司

目錄

1. 總體描述 . ...........................................................................................................4

IDC 管控系統(tǒng)總體目標(biāo) .................................................................................4

系統(tǒng)總體原則 ..............................................................................................4 1.1 1.2

1.2.1 系統(tǒng)遵循法律法規(guī) ....................................................................................4

1.2.2 建設(shè)原則 ..................................................................................................5 2. 系統(tǒng)介紹 . ...........................................................................................................6

技術(shù)原理 . .....................................................................................................6 2.1

2.1.1 綜述 .........................................................................................................6

2.1.2 串接專用探針 ...........................................................................................7

2.1.3 網(wǎng)絡(luò)安全審計(jì)服務(wù)器 ................................................................................8

2.1.4 IDC 端安全審計(jì)管理系統(tǒng)服務(wù)器 . ...............................................................8

2.1.5 IDC 端不良信息分析模塊 ..........................................................................9

2.1.6 接入資源管理模塊 ....................................................................................9

2.2

2.3 軟件系統(tǒng)邏輯結(jié)構(gòu)圖 . ................................................................................. 10 系統(tǒng)功能 . ................................................................................................... 11

2.3.1 安全審計(jì)（訪問日志管理） . ................................................................... 11

2.3.2 資源管理（基礎(chǔ)數(shù)據(jù)管理） . ................................................................... 12

2/ 22

2.3.3 違法網(wǎng)站管理 ......................................................................................... 16

2.3.4 信息安全管理 ......................................................................................... 17

2.3.5 統(tǒng)計(jì)分析 ................................................................................................ 19

2.3.6 系統(tǒng)管理 ................................................................................................ 19

2.4

系統(tǒng)高穩(wěn)定性、高可靠性的實(shí)現(xiàn)方式 . ........................................................ 22

3/ 22

1. 總體描述

1.1 IDC 管控系統(tǒng)總體目標(biāo)

信息安全管理系統(tǒng)主要用于是實(shí)現(xiàn)互聯(lián)網(wǎng)數(shù)據(jù)中心基礎(chǔ)數(shù)據(jù)管理、上網(wǎng)日志管理、信息安全管理、違法網(wǎng)站管理等功能的信息安全管理系統(tǒng)，以滿足監(jiān)管機(jī)構(gòu)的監(jiān)管需求和IDC 經(jīng)營(yíng)單位自身的信息安全管理需求。每個(gè)業(yè)務(wù)經(jīng)營(yíng)單位建設(shè)一個(gè)統(tǒng)一的ISMS ，并與運(yùn)營(yíng)商監(jiān)管機(jī)構(gòu)建設(shè)的安全監(jiān)管系統(tǒng)（SMCS ）進(jìn)行通信，實(shí)現(xiàn)監(jiān)管機(jī)構(gòu)的監(jiān)管需求。

1.2 系統(tǒng)總體原則

1.2.1 系統(tǒng)遵循法律法規(guī)

（1）《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》；

（2）《公安部關(guān)于對(duì)與國(guó)際聯(lián)網(wǎng)的計(jì)算機(jī)信息系統(tǒng)進(jìn)行備案工作的通知》，公通字〔1996〕8號(hào)；

（3）《中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB 17859-1999）；

（4）《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》，公通字[2004]66號(hào)；

（5）《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》，2005年中華人民共和國(guó)公安部第82號(hào)令發(fā)布，2006年3月1日施行）；

（6）《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南（報(bào)批稿）》；

（7）《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求（報(bào)批稿）》；

4/ 22

（8）《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南（報(bào)批稿）》；

（9）《信息安全等級(jí)保護(hù)管理辦法》，公通字[2007]43號(hào)。

（10）工信部標(biāo)準(zhǔn)《IDC/ISP信息安全管理系統(tǒng)技術(shù)要求（送審稿）》

（11）工信部標(biāo)準(zhǔn)《IDC/ISP信息安全管理系統(tǒng)接口規(guī)范（送審稿）》

1.2.2 建設(shè)原則

（1）規(guī)范性：嚴(yán)格遵循電信級(jí)技術(shù)規(guī)范和業(yè)務(wù)規(guī)范的要求，由集團(tuán)進(jìn)行整體規(guī)劃與統(tǒng)一建設(shè)安排。

（2）開放性：系統(tǒng)遵循開放性架構(gòu)，采用開放的接口協(xié)議與開發(fā)平臺(tái)，為用戶提供統(tǒng)一的、開放的功能調(diào)用；業(yè)務(wù)維護(hù)和發(fā)展不依賴于設(shè)備廠商，能夠保證業(yè)務(wù)的持續(xù)升級(jí)和發(fā)展；

（3）安全性：系統(tǒng)按照電信級(jí)的應(yīng)用進(jìn)行設(shè)計(jì)，系統(tǒng)軟硬件架構(gòu)充分考慮整個(gè)系統(tǒng)運(yùn)行的安全策略和機(jī)制；能夠采用多種安全技術(shù)手段，為用戶的業(yè)務(wù)開展提供完善的安全技術(shù)保障；

（4）成熟性：采用成熟穩(wěn)定并具有電信級(jí)運(yùn)營(yíng)實(shí)例的硬件平臺(tái)和第三方軟件。

5/ 22

2. 系統(tǒng)介紹

2.1 技術(shù)原理

2.1.1 綜述

系統(tǒng)采用軟硬件相結(jié)合的方式，可以實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)不良信息的實(shí)時(shí)監(jiān)控。

本系統(tǒng)由分流設(shè)備、網(wǎng)絡(luò)安全審計(jì)服務(wù)器、IDC 端安全審計(jì)管理系統(tǒng)服務(wù)器組成。系統(tǒng)通過前端分流設(shè)備對(duì)網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)監(jiān)測(cè)，把需審計(jì)的數(shù)據(jù)報(bào)文送至網(wǎng)絡(luò)安全審計(jì)服務(wù)器，不良信息分析軟件實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全審計(jì)服務(wù)器中不良信息進(jìn)行分析，管理中心軟件實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全審計(jì)專用設(shè)備的統(tǒng)一管理。

部署圖：

6/ 22

2.1.2 串接專用探針

每一條GE 鏈路上，分流設(shè)備串接（或者并接）在IDC 機(jī)房的出口路由器至骨干網(wǎng)間的GE 鏈路之間，監(jiān)控全部的出口鏈路流量。

分流設(shè)備采用高集成度的新一代多核處理器技術(shù)。在串接模式下能夠控制上下行上下游設(shè)備流量傳輸，在斷電、重啟、故障或接口告警時(shí)自動(dòng)切換到直通狀態(tài)，不影響串接鏈路上流量傳輸。

分流設(shè)備通過端口與審計(jì)系統(tǒng)（網(wǎng)絡(luò)安全審計(jì)服務(wù)器 IDC端安全審計(jì)管理系統(tǒng)服務(wù)器）相連接，通過分析篩選把審計(jì)系統(tǒng)需要審計(jì)和分析的網(wǎng)絡(luò)數(shù)據(jù)傳送給審計(jì)系

7/ 22

統(tǒng)。審計(jì)系統(tǒng)從傳入的數(shù)據(jù)包中獲取IDC 機(jī)房?jī)?nèi)的域名、IP 等網(wǎng)絡(luò)基礎(chǔ)資源信息，對(duì)IDC 的網(wǎng)絡(luò)訪問行為進(jìn)行監(jiān)控和過濾、根據(jù)預(yù)先設(shè)定的審計(jì)策略主動(dòng)發(fā)現(xiàn)和過濾在這些行為中所包含的有害信息、及時(shí)發(fā)現(xiàn)監(jiān)管范圍內(nèi)網(wǎng)站發(fā)布含有的反動(dòng)、邪教、色情等不良信息網(wǎng)頁內(nèi)容。

2.1.3 網(wǎng)絡(luò)安全審計(jì)服務(wù)器

網(wǎng)絡(luò)安全審計(jì)服務(wù)器與IDC 端安全審計(jì)管理系統(tǒng)服務(wù)器對(duì)接，從IDC 端安全審計(jì)管理系統(tǒng)服務(wù)器上獲取更新后的基礎(chǔ)信息和IDC 端安全審計(jì)管理系統(tǒng)服務(wù)器下發(fā)的審計(jì)策略等數(shù)據(jù)。

網(wǎng)絡(luò)安全審計(jì)服務(wù)器把從網(wǎng)絡(luò)數(shù)據(jù)中獲取的域名、IP 等信息上傳到IDC 端安全審計(jì)管理系統(tǒng)服務(wù)器。

網(wǎng)絡(luò)安全審計(jì)服務(wù)器實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的解析，同時(shí)匹配審計(jì)策略產(chǎn)生報(bào)警記錄，然后把數(shù)據(jù)上傳到IDC 端安全審計(jì)管理系統(tǒng)服務(wù)器。

每一臺(tái)分流設(shè)備配置一臺(tái)對(duì)應(yīng)的網(wǎng)絡(luò)安全審計(jì)專用設(shè)備。

2.1.4 IDC 端安全審計(jì)管理系統(tǒng)服務(wù)器

IDC 端安全審計(jì)管理系統(tǒng)服務(wù)器收集網(wǎng)絡(luò)安全審計(jì)服務(wù)器上傳的域名、IP 等動(dòng)態(tài)獲取的互聯(lián)網(wǎng)基礎(chǔ)資源信息。

IDC 端安全審計(jì)管理系統(tǒng)服務(wù)器提供統(tǒng)一的管理界面給用戶，實(shí)現(xiàn)對(duì)機(jī)房、服務(wù)器、客戶資料等基礎(chǔ)資源數(shù)據(jù)的統(tǒng)一維護(hù)。

IDC 端安全審計(jì)管理系統(tǒng)服務(wù)器與通信管理局系統(tǒng)對(duì)接，接收管控策略，并上報(bào)數(shù)據(jù)。

IDC 端安全審計(jì)管理系統(tǒng)服務(wù)器提供機(jī)房業(yè)務(wù)管理功能頁面，支持機(jī)房業(yè)務(wù)處理。

IDC 端安全審計(jì)管理系統(tǒng)服務(wù)器提供報(bào)警日志、審計(jì)日志統(tǒng)一查詢頁面。

8/ 22

通過IDC 端安全審計(jì)管理系統(tǒng)服務(wù)器的分級(jí)管理機(jī)制，實(shí)現(xiàn)未來系統(tǒng)的持續(xù)擴(kuò)容性。新增IDC 鏈路時(shí)，只需要部署相應(yīng)的網(wǎng)絡(luò)安全審計(jì)專用設(shè)備和串接專用探針，通過網(wǎng)絡(luò)安全審計(jì)服務(wù)器與IDC 端安全審計(jì)管理系統(tǒng)服務(wù)器對(duì)接，從而實(shí)現(xiàn)與原有系統(tǒng)的互通和一致性，必要時(shí)增加IDC 端安全審計(jì)管理系統(tǒng)服務(wù)器即可。

2.1.5 IDC 端不良信息分析模塊 IDC 端不良信息分析模塊安裝在IDC 端安全審計(jì)管理系統(tǒng)服務(wù)器上。

IDC 端不良信息分析模塊主要負(fù)責(zé)對(duì)HTTP 網(wǎng)頁訪問內(nèi)容關(guān)鍵字進(jìn)行報(bào)警匹配。網(wǎng)絡(luò)安全審計(jì)服務(wù)器將網(wǎng)絡(luò)數(shù)據(jù)中獲取的URL 和HTTP 內(nèi)容關(guān)鍵字傳遞給IDC 端不良信息分析模塊，IDC 端不良信息分析模塊將匹配結(jié)果返回給網(wǎng)絡(luò)安全審計(jì)服務(wù)器，最后通過報(bào)警管理頁面展示報(bào)警結(jié)果。

2.1.6 接入資源管理模塊

接入資源管理模塊安裝在IDC 端安全審計(jì)管理系統(tǒng)服務(wù)器上。

接入資源管理模塊實(shí)現(xiàn)對(duì)IDC 機(jī)房?jī)?nèi)所有物理資源和邏輯資源信息的定義和維護(hù)。

9/ 22

2.2

軟件系統(tǒng)邏輯結(jié)構(gòu)圖

分流設(shè)備

圖1：邏輯架構(gòu)圖

從上圖可以看出，本解決方案包括分流設(shè)備，網(wǎng)絡(luò)安全審計(jì)服務(wù)器、IDC 端安全審計(jì)管理系統(tǒng)服務(wù)器。

網(wǎng)絡(luò)數(shù)據(jù)的獲取、過濾與解析：分流設(shè)備獲取網(wǎng)絡(luò)數(shù)據(jù)包后經(jīng)過數(shù)據(jù)包過濾，過濾干擾的數(shù)據(jù)包和不需審計(jì)的相關(guān)協(xié)議數(shù)據(jù)包，將審計(jì)系統(tǒng)所需數(shù)據(jù)鏡像到指定的網(wǎng)絡(luò)安全審計(jì)服務(wù)器。網(wǎng)絡(luò)安全審計(jì)服務(wù)器的網(wǎng)絡(luò)數(shù)據(jù)抓包模塊接收網(wǎng)絡(luò)數(shù)據(jù)包后傳遞給數(shù)據(jù)包解析模塊進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)解析。

審計(jì)策略下發(fā)管理：IDC 端安全審計(jì)管理系統(tǒng)服務(wù)器審計(jì)策略管理模塊將審計(jì)策略下發(fā)到網(wǎng)絡(luò)安全審計(jì)服務(wù)器，網(wǎng)絡(luò)安全審計(jì)服務(wù)器在網(wǎng)絡(luò)數(shù)據(jù)包解析時(shí)，將及時(shí)匹配審計(jì)策略并產(chǎn)生不良信息的報(bào)警記錄。

10/ 22