IDC 管控系統(tǒng)介紹IDC 管控系統(tǒng)方案說明北京亞鴻世紀科技發(fā)展有限公司 ,目錄1. 總體描述 . ...................................

IDC 管控系統(tǒng)介紹

IDC 管控系統(tǒng)

方案說明

北京亞鴻世紀科技發(fā)展有限公司

目錄

1. 總體描述 . ...........................................................................................................4

IDC 管控系統(tǒng)總體目標 .................................................................................4

系統(tǒng)總體原則 ..............................................................................................4 1.1 1.2

1.2.1 系統(tǒng)遵循法律法規(guī) ....................................................................................4

1.2.2 建設原則 ..................................................................................................5 2. 系統(tǒng)介紹 . ...........................................................................................................6

技術原理 . .....................................................................................................6 2.1

2.1.1 綜述 .........................................................................................................6

2.1.2 串接專用探針 ...........................................................................................7

2.1.3 網(wǎng)絡安全審計服務器 ................................................................................8

2.1.4 IDC 端安全審計管理系統(tǒng)服務器 . ...............................................................8

2.1.5 IDC 端不良信息分析模塊 ..........................................................................9

2.1.6 接入資源管理模塊 ....................................................................................9

2.2

2.3 軟件系統(tǒng)邏輯結構圖 . ................................................................................. 10 系統(tǒng)功能 . ................................................................................................... 11

2.3.1 安全審計（訪問日志管理） . ................................................................... 11

2.3.2 資源管理（基礎數(shù)據(jù)管理） . ................................................................... 12

2/ 22

2.3.3 違法網(wǎng)站管理 ......................................................................................... 16

2.3.4 信息安全管理 ......................................................................................... 17

2.3.5 統(tǒng)計分析 ................................................................................................ 19

2.3.6 系統(tǒng)管理 ................................................................................................ 19

2.4

系統(tǒng)高穩(wěn)定性、高可靠性的實現(xiàn)方式 . ........................................................ 22

3/ 22

1. 總體描述

1.1 IDC 管控系統(tǒng)總體目標

信息安全管理系統(tǒng)主要用于是實現(xiàn)互聯(lián)網(wǎng)數(shù)據(jù)中心基礎數(shù)據(jù)管理、上網(wǎng)日志管理、信息安全管理、違法網(wǎng)站管理等功能的信息安全管理系統(tǒng)，以滿足監(jiān)管機構的監(jiān)管需求和IDC 經(jīng)營單位自身的信息安全管理需求。每個業(yè)務經(jīng)營單位建設一個統(tǒng)一的ISMS ，并與運營商監(jiān)管機構建設的安全監(jiān)管系統(tǒng)（SMCS ）進行通信，實現(xiàn)監(jiān)管機構的監(jiān)管需求。

1.2 系統(tǒng)總體原則

1.2.1 系統(tǒng)遵循法律法規(guī)

（1）《中華人民共和國計算機信息系統(tǒng)安全保護條例》；

（2）《公安部關于對與國際聯(lián)網(wǎng)的計算機信息系統(tǒng)進行備案工作的通知》，公通字〔1996〕8號；

（3）《中華人民共和國國家標準計算機信息系統(tǒng)安全保護等級劃分準則》（GB 17859-1999）；

（4）《關于信息安全等級保護工作的實施意見》，公通字[2004]66號；

（5）《互聯(lián)網(wǎng)安全保護技術措施規(guī)定》，2005年中華人民共和國公安部第82號令發(fā)布，2006年3月1日施行）；

（6）《信息安全技術信息系統(tǒng)安全等級保護定級指南（報批稿）》；

（7）《信息安全技術信息系統(tǒng)安全等級保護基本要求（報批稿）》；

4/ 22

（8）《信息安全技術信息系統(tǒng)安全等級保護實施指南（報批稿）》；

（9）《信息安全等級保護管理辦法》，公通字[2007]43號。

（10）工信部標準《IDC/ISP信息安全管理系統(tǒng)技術要求（送審稿）》

（11）工信部標準《IDC/ISP信息安全管理系統(tǒng)接口規(guī)范（送審稿）》

1.2.2 建設原則

（1）規(guī)范性：嚴格遵循電信級技術規(guī)范和業(yè)務規(guī)范的要求，由集團進行整體規(guī)劃與統(tǒng)一建設安排。

（2）開放性：系統(tǒng)遵循開放性架構，采用開放的接口協(xié)議與開發(fā)平臺，為用戶提供統(tǒng)一的、開放的功能調(diào)用；業(yè)務維護和發(fā)展不依賴于設備廠商，能夠保證業(yè)務的持續(xù)升級和發(fā)展；

（3）安全性：系統(tǒng)按照電信級的應用進行設計，系統(tǒng)軟硬件架構充分考慮整個系統(tǒng)運行的安全策略和機制；能夠采用多種安全技術手段，為用戶的業(yè)務開展提供完善的安全技術保障；

（4）成熟性：采用成熟穩(wěn)定并具有電信級運營實例的硬件平臺和第三方軟件。

5/ 22

2. 系統(tǒng)介紹

2.1 技術原理

2.1.1 綜述

系統(tǒng)采用軟硬件相結合的方式，可以實現(xiàn)對互聯(lián)網(wǎng)不良信息的實時監(jiān)控。

本系統(tǒng)由分流設備、網(wǎng)絡安全審計服務器、IDC 端安全審計管理系統(tǒng)服務器組成。系統(tǒng)通過前端分流設備對網(wǎng)絡數(shù)據(jù)的實時監(jiān)測，把需審計的數(shù)據(jù)報文送至網(wǎng)絡安全審計服務器，不良信息分析軟件實現(xiàn)對網(wǎng)絡安全審計服務器中不良信息進行分析，管理中心軟件實現(xiàn)對網(wǎng)絡安全審計專用設備的統(tǒng)一管理。

部署圖：

6/ 22

2.1.2 串接專用探針

每一條GE 鏈路上，分流設備串接（或者并接）在IDC 機房的出口路由器至骨干網(wǎng)間的GE 鏈路之間，監(jiān)控全部的出口鏈路流量。

分流設備采用高集成度的新一代多核處理器技術。在串接模式下能夠控制上下行上下游設備流量傳輸，在斷電、重啟、故障或接口告警時自動切換到直通狀態(tài)，不影響串接鏈路上流量傳輸。

分流設備通過端口與審計系統(tǒng)（網(wǎng)絡安全審計服務器 IDC端安全審計管理系統(tǒng)服務器）相連接，通過分析篩選把審計系統(tǒng)需要審計和分析的網(wǎng)絡數(shù)據(jù)傳送給審計系

7/ 22

統(tǒng)。審計系統(tǒng)從傳入的數(shù)據(jù)包中獲取IDC 機房內(nèi)的域名、IP 等網(wǎng)絡基礎資源信息，對IDC 的網(wǎng)絡訪問行為進行監(jiān)控和過濾、根據(jù)預先設定的審計策略主動發(fā)現(xiàn)和過濾在這些行為中所包含的有害信息、及時發(fā)現(xiàn)監(jiān)管范圍內(nèi)網(wǎng)站發(fā)布含有的反動、邪教、色情等不良信息網(wǎng)頁內(nèi)容。

2.1.3 網(wǎng)絡安全審計服務器

網(wǎng)絡安全審計服務器與IDC 端安全審計管理系統(tǒng)服務器對接，從IDC 端安全審計管理系統(tǒng)服務器上獲取更新后的基礎信息和IDC 端安全審計管理系統(tǒng)服務器下發(fā)的審計策略等數(shù)據(jù)。

網(wǎng)絡安全審計服務器把從網(wǎng)絡數(shù)據(jù)中獲取的域名、IP 等信息上傳到IDC 端安全審計管理系統(tǒng)服務器。

網(wǎng)絡安全審計服務器實現(xiàn)對網(wǎng)絡數(shù)據(jù)包的解析，同時匹配審計策略產(chǎn)生報警記錄，然后把數(shù)據(jù)上傳到IDC 端安全審計管理系統(tǒng)服務器。

每一臺分流設備配置一臺對應的網(wǎng)絡安全審計專用設備。

2.1.4 IDC 端安全審計管理系統(tǒng)服務器

IDC 端安全審計管理系統(tǒng)服務器收集網(wǎng)絡安全審計服務器上傳的域名、IP 等動態(tài)獲取的互聯(lián)網(wǎng)基礎資源信息。

IDC 端安全審計管理系統(tǒng)服務器提供統(tǒng)一的管理界面給用戶，實現(xiàn)對機房、服務器、客戶資料等基礎資源數(shù)據(jù)的統(tǒng)一維護。

IDC 端安全審計管理系統(tǒng)服務器與通信管理局系統(tǒng)對接，接收管控策略，并上報數(shù)據(jù)。

IDC 端安全審計管理系統(tǒng)服務器提供機房業(yè)務管理功能頁面，支持機房業(yè)務處理。

IDC 端安全審計管理系統(tǒng)服務器提供報警日志、審計日志統(tǒng)一查詢頁面。

8/ 22

通過IDC 端安全審計管理系統(tǒng)服務器的分級管理機制，實現(xiàn)未來系統(tǒng)的持續(xù)擴容性。新增IDC 鏈路時，只需要部署相應的網(wǎng)絡安全審計專用設備和串接專用探針，通過網(wǎng)絡安全審計服務器與IDC 端安全審計管理系統(tǒng)服務器對接，從而實現(xiàn)與原有系統(tǒng)的互通和一致性，必要時增加IDC 端安全審計管理系統(tǒng)服務器即可。

2.1.5 IDC 端不良信息分析模塊 IDC 端不良信息分析模塊安裝在IDC 端安全審計管理系統(tǒng)服務器上。

IDC 端不良信息分析模塊主要負責對HTTP 網(wǎng)頁訪問內(nèi)容關鍵字進行報警匹配。網(wǎng)絡安全審計服務器將網(wǎng)絡數(shù)據(jù)中獲取的URL 和HTTP 內(nèi)容關鍵字傳遞給IDC 端不良信息分析模塊，IDC 端不良信息分析模塊將匹配結果返回給網(wǎng)絡安全審計服務器，最后通過報警管理頁面展示報警結果。

2.1.6 接入資源管理模塊

接入資源管理模塊安裝在IDC 端安全審計管理系統(tǒng)服務器上。

接入資源管理模塊實現(xiàn)對IDC 機房內(nèi)所有物理資源和邏輯資源信息的定義和維護。

9/ 22

2.2

軟件系統(tǒng)邏輯結構圖

分流設備

圖1：邏輯架構圖

從上圖可以看出，本解決方案包括分流設備，網(wǎng)絡安全審計服務器、IDC 端安全審計管理系統(tǒng)服務器。

網(wǎng)絡數(shù)據(jù)的獲取、過濾與解析：分流設備獲取網(wǎng)絡數(shù)據(jù)包后經(jīng)過數(shù)據(jù)包過濾，過濾干擾的數(shù)據(jù)包和不需審計的相關協(xié)議數(shù)據(jù)包，將審計系統(tǒng)所需數(shù)據(jù)鏡像到指定的網(wǎng)絡安全審計服務器。網(wǎng)絡安全審計服務器的網(wǎng)絡數(shù)據(jù)抓包模塊接收網(wǎng)絡數(shù)據(jù)包后傳遞給數(shù)據(jù)包解析模塊進行網(wǎng)絡數(shù)據(jù)解析。

審計策略下發(fā)管理：IDC 端安全審計管理系統(tǒng)服務器審計策略管理模塊將審計策略下發(fā)到網(wǎng)絡安全審計服務器，網(wǎng)絡安全審計服務器在網(wǎng)絡數(shù)據(jù)包解析時，將及時匹配審計策略并產(chǎn)生不良信息的報警記錄。

10/ 22