IDC信息安全管控系统方案说明
IDC 管控系统介绍IDC 管控系统方案说明北京亚鸿世纪科技发展有限公司 ,目录1. 总体描述 . ...................................
IDC 管控系统介绍
IDC 管控系统
方案说明
北京亚鸿世纪科技发展有限公司
,目录
1. 总体描述 . ...........................................................................................................4
IDC 管控系统总体目标 .................................................................................4
系统总体原则 ..............................................................................................4 1.1 1.2
1.2.1 系统遵循法律法规 ....................................................................................4
1.2.2 建设原则 ..................................................................................................5 2. 系统介绍 . ...........................................................................................................6
技术原理 . .....................................................................................................6 2.1
2.1.1 综述 .........................................................................................................6
2.1.2 串接专用探针 ...........................................................................................7
2.1.3 网络安全审计服务器 ................................................................................8
2.1.4 IDC 端安全审计管理系统服务器 . ...............................................................8
2.1.5 IDC 端不良信息分析模块 ..........................................................................9
2.1.6 接入资源管理模块 ....................................................................................9
2.2
2.3 软件系统逻辑结构图 . ................................................................................. 10 系统功能 . ................................................................................................... 11
2.3.1 安全审计(访问日志管理) . ................................................................... 11
2.3.2 资源管理(基础数据管理) . ................................................................... 12
2/ 22
,2.3.3 违法网站管理 ......................................................................................... 16
2.3.4 信息安全管理 ......................................................................................... 17
2.3.5 统计分析 ................................................................................................ 19
2.3.6 系统管理 ................................................................................................ 19
2.4
系统高稳定性、高可靠性的实现方式 . ........................................................ 22
3/ 22
,1. 总体描述
1.1 IDC 管控系统总体目标
信息安全管理系统主要用于是实现互联网数据中心基础数据管理、上网日志管理、信息安全管理、违法网站管理等功能的信息安全管理系统,以满足监管机构的监管需求和IDC 经营单位自身的信息安全管理需求。每个业务经营单位建设一个统一的ISMS ,并与运营商监管机构建设的安全监管系统(SMCS )进行通信,实现监管机构的监管需求。
1.2 系统总体原则
1.2.1 系统遵循法律法规
(1)《中华人民共和国计算机信息系统安全保护条例》;
(2)《公安部关于对与国际联网的计算机信息系统进行备案工作的通知》,公通字〔1996〕8号;
(3)《中华人民共和国国家标准计算机信息系统安全保护等级划分准则》(GB 17859-1999);
(4)《关于信息安全等级保护工作的实施意见》,公通字[2004]66号;
(5)《互联网安全保护技术措施规定》,2005年中华人民共和国公安部第82号令发布,2006年3月1日施行);
(6)《信息安全技术信息系统安全等级保护定级指南(报批稿)》;
(7)《信息安全技术信息系统安全等级保护基本要求(报批稿)》;
4/ 22
,(8)《信息安全技术信息系统安全等级保护实施指南(报批稿)》;
(9)《信息安全等级保护管理办法》,公通字[2007]43号。
(10)工信部标准《IDC/ISP信息安全管理系统技术要求(送审稿)》
(11)工信部标准《IDC/ISP信息安全管理系统接口规范(送审稿)》
1.2.2 建设原则
(1)规范性:严格遵循电信级技术规范和业务规范的要求,由集团进行整体规划与统一建设安排。
(2)开放性:系统遵循开放性架构,采用开放的接口协议与开发平台,为用户提供统一的、开放的功能调用;业务维护和发展不依赖于设备厂商,能够保证业务的持续升级和发展;
(3)安全性:系统按照电信级的应用进行设计,系统软硬件架构充分考虑整个系统运行的安全策略和机制;能够采用多种安全技术手段,为用户的业务开展提供完善的安全技术保障;
(4)成熟性:采用成熟稳定并具有电信级运营实例的硬件平台和第三方软件。
5/ 22
,2. 系统介绍
2.1 技术原理
2.1.1 综述
系统采用软硬件相结合的方式,可以实现对互联网不良信息的实时监控。
本系统由分流设备、网络安全审计服务器、IDC 端安全审计管理系统服务器组成。系统通过前端分流设备对网络数据的实时监测,把需审计的数据报文送至网络安全审计服务器,不良信息分析软件实现对网络安全审计服务器中不良信息进行分析,管理中心软件实现对网络安全审计专用设备的统一管理。
部署图:
6/ 22
,
2.1.2 串接专用探针
每一条GE 链路上,分流设备串接(或者并接)在IDC 机房的出口路由器至骨干网间的GE 链路之间,监控全部的出口链路流量。
分流设备采用高集成度的新一代多核处理器技术。在串接模式下能够控制上下行上下游设备流量传输,在断电、重启、故障或接口告警时自动切换到直通状态,不影响串接链路上流量传输。
分流设备通过端口与审计系统(网络安全审计服务器 IDC端安全审计管理系统服务器)相连接,通过分析筛选把审计系统需要审计和分析的网络数据传送给审计系
7/ 22
,统。审计系统从传入的数据包中获取IDC 机房内的域名、IP 等网络基础资源信息,对IDC 的网络访问行为进行监控和过滤、根据预先设定的审计策略主动发现和过滤在这些行为中所包含的有害信息、及时发现监管范围内网站发布含有的反动、邪教、色情等不良信息网页内容。
2.1.3 网络安全审计服务器
网络安全审计服务器与IDC 端安全审计管理系统服务器对接,从IDC 端安全审计管理系统服务器上获取更新后的基础信息和IDC 端安全审计管理系统服务器下发的审计策略等数据。
网络安全审计服务器把从网络数据中获取的域名、IP 等信息上传到IDC 端安全审计管理系统服务器。
网络安全审计服务器实现对网络数据包的解析,同时匹配审计策略产生报警记录,然后把数据上传到IDC 端安全审计管理系统服务器。
每一台分流设备配置一台对应的网络安全审计专用设备。
2.1.4 IDC 端安全审计管理系统服务器
IDC 端安全审计管理系统服务器收集网络安全审计服务器上传的域名、IP 等动态获取的互联网基础资源信息。
IDC 端安全审计管理系统服务器提供统一的管理界面给用户,实现对机房、服务器、客户资料等基础资源数据的统一维护。
IDC 端安全审计管理系统服务器与通信管理局系统对接,接收管控策略,并上报数据。
IDC 端安全审计管理系统服务器提供机房业务管理功能页面,支持机房业务处理。
IDC 端安全审计管理系统服务器提供报警日志、审计日志统一查询页面。
8/ 22
,通过IDC 端安全审计管理系统服务器的分级管理机制,实现未来系统的持续扩容性。新增IDC 链路时,只需要部署相应的网络安全审计专用设备和串接专用探针,通过网络安全审计服务器与IDC 端安全审计管理系统服务器对接,从而实现与原有系统的互通和一致性,必要时增加IDC 端安全审计管理系统服务器即可。
2.1.5 IDC 端不良信息分析模块 IDC 端不良信息分析模块安装在IDC 端安全审计管理系统服务器上。
IDC 端不良信息分析模块主要负责对HTTP 网页访问内容关键字进行报警匹配。网络安全审计服务器将网络数据中获取的URL 和HTTP 内容关键字传递给IDC 端不良信息分析模块,IDC 端不良信息分析模块将匹配结果返回给网络安全审计服务器,最后通过报警管理页面展示报警结果。
2.1.6 接入资源管理模块
接入资源管理模块安装在IDC 端安全审计管理系统服务器上。
接入资源管理模块实现对IDC 机房内所有物理资源和逻辑资源信息的定义和维护。
9/ 22
,2.2
软件系统逻辑结构图
分流设备
图1:逻辑架构图
从上图可以看出,本解决方案包括分流设备,网络安全审计服务器、IDC 端安全审计管理系统服务器。
网络数据的获取、过滤与解析:分流设备获取网络数据包后经过数据包过滤,过滤干扰的数据包和不需审计的相关协议数据包,将审计系统所需数据镜像到指定的网络安全审计服务器。网络安全审计服务器的网络数据抓包模块接收网络数据包后传递给数据包解析模块进行网络数据解析。
审计策略下发管理:IDC 端安全审计管理系统服务器审计策略管理模块将审计策略下发到网络安全审计服务器,网络安全审计服务器在网络数据包解析时,将及时匹配审计策略并产生不良信息的报警记录。
10/ 22