-
IDC
管控系统介绍
IDC
管控系统
方案说明
北京亚鸿世纪科技发展有限公司
目录
1.
总体描述
.
..................................................
..................................................
.......4
IDC
管控系统总体目标
.....
..................................................
..........................4
系统总体原则
.....................
..................................................
.......................4
1.1
1.2
1.2.1
系统遵循法律法规
........
..................................................
..........................4
1.2.2
建设原则
.......................
..................................................
.........................5
2.
系统介绍
.
..................................................
..................................................
.......6
技术原理
.
..............................
..................................................
.....................6
2.1
2.1.1
综述
.........................
..................................................
..............................6
2.1.2
串接专用探针
.....................
..................................................
....................7
2.1.3
网络安全审计服务器
..................
..................................................
............8
2.1.4
IDC
端安全审计管理系统服务器
<
/p>
.
............................
...................................8
2.1.5
IDC
端不良信息分析模块
....
..................................................
....................9
2.1.6
接入资源管理模块
........
..................................................
..........................9
2.2
2.3
软件系统逻辑结构图
.
.............................................
....................................
1
0
系统功能
.
..................................................
.................................................
1
1
2.3.1
安全审计(访问日志管理)
.
..........................................
.........................
1
1
2.3.2
资源管理(基础数据管理)
.
..........................................
.........................
1
2
2
/
22
2.3.3
违法网站管理
.....................
..................................................
..................
1
6
2.3.4
信息安全管理
.....................
..................................................
..................
1
7
2.3.5
统计分析
.......................
..................................................
.......................
1
9
2.3.6
系统管理
.......................
..................................................
.......................
1
9
2.4
系统高稳定性、高可靠性的实现方式
.
......................................
..................
2
2
3
/
22
1.
总体描述
1.1
IDC
管控系统总体目标
信息安全管理系统主要用于是实现互联网数据中心基础数据管理、上网日志管
理、信息安全管理、违法网站管理等功能的信息安全管理系统,以满足监管机构的监
管
需求和
IDC
经营单位自身的信息安全管理需求。每个业务经营
单位建设一个统一的
ISMS
,并与运营商监管机构建设的安全
监管系统(
SMCS
)进行通信,实现监管机
< br>构的监管需求。
1.2
系统总体原则
1.2.1
系统遵循法律法规
(
1
)《中华人民共和国计算机信息系统安全保护条例》;
(
2
)《公安部关于对与国际联网
的计算机信息系统进行备案工作的通知》,公
通字〔
1996<
/p>
〕
8
号;
p>
(
3
)《中华人民共和国国家标准计算机信
息系统安全保护等级划分准则》(
GB
17859-1999
);
(
4
)《关于信息安全等级保护工作的实施意见
》,公通字
[2004]66
号;
<
/p>
(
5
)《互联网安全保护技术措施规定》
,
2005
年中华人民共和国公安部第
82
号
令发布,
2006
年
3
月
1
< br>日施行);
(
6
)《信息安全技术信息系统安全等级保护定级指南(报批稿)》;
(
7
)《信息安全技术信息系统安全等级保护基
本要求(报批稿)》;
4
/
22
<
/p>
(
8
)《信息安全技术信息系统安全等级
保护实施指南(报批稿)》;
(
9<
/p>
)《信息安全等级保护管理办法》,公通字
[2007]43
p>
号。
(
10
p>
)工信部标准《
IDC/ISP
信息安全管
理系统技术要求(送审稿)》
(
11
)工信部标准《
IDC/ISP
信息安
全管理系统接口规范(送审稿)》
1.2.2
建设原则
(
1
)规范性:严格遵循电信级技术规范和业务规范
的要求,由集团进行整体规
划与统一建设安排。
(
2
)开放性:系统遵循开放性架构,采用开放的接
口协议与开发平台,为用户
提供统一的、开放的功能调用;业务维护和发展不依赖于设备
厂商,能够保证业务的
持续升级和发展;
(
3
)安全性:系统按照电信级的应用进行设计,系统软硬
件架构充分考虑整个
系统运行的安全策略和机制;能够采用多种安全技术手段,为用户的
业务开展提供完
善的安全技术保障;
(
4
)成熟性:采用成熟稳定并具有电信级运营实例的硬件平台
和第三方软件。
5
/
22
2.
系统介绍
2.1
技术原理
2.1.1
综述
系统采用软硬件相结合的方式,
可以实现对互联网不良信息的实时监控。
本系统由分流设备、
网络安全审计服务器、
IDC
端安全审计管理系统服务器组
p>
成。系统通过前端分流设备对网络数据的实时监测,把需审计的数据报文送至网络安
全审计服务器,不良信息分析软件实现对网络安全审计服务器中不良信息进行分析,
管理中心软件实现对网络安全审计专用设备的统一管理。
部署图:
6
/
22
INTERNET
2*GE
链路
Router
光
保护
Bypass
设备(串接)
*2<
/p>
Rtouer
数据探针
FW
SMMS
系统
信息安全管理系统
服务器
FW
交换机
IDC Server
群
通信接口
p>
GE
链路
以太网链路
本期新增设备
2.1.2
串接专用探针
每一条
GE
链路上,分流设备串接(或者并接)在
IDC
p>
机房的出口路由器至骨干网
间的
GE
链路之间,监控全部的出口链路流量。
分流
设备采用高集成度的新一代多核处理器技术。在串接模式下能够控制上下行
上下游设备流
量传输,在断电、重启、故障或接口告警时自动切换到直通状态,不影
响串接链路上流量
传输。
分流设备通过端口与审计系统(网络安全审计服务器<
/p>
+IDC
端安全审计管理系统服
务器)相
连接,通过分析筛选把审计系统需要审计和分析的网络数据传送给审计系
7
/
22
统。审计系统从传入的数据包中获取
IDC
机房内的域名、
IP
等网络基础
资源信息,对
IDC
的网络访问行为进行监控和过滤、根据预先
设定的审计策略主动发现和过滤在这
些行为中所包含的有害信息、及时发现监管范围内网
站发布含有的反动、邪教、色情
等不良信息网页内容。
2.1.3
网络安全审计服务器
<
/p>
网络安全审计服务器与
IDC
端安全审计
管理系统服务器对接,从
IDC
端安全审计
管理系统服务器上获取更新后的基础信息和
IDC
端安全审
计管理系统服务器下发的审
计策略等数据。
< br>网络安全审计服务器把从网络数据中获取的域名、
IP
等
信息上传到
IDC
端安全审
计管理系统
服务器。
网络安全审计服务器实现对网络数据包的解析,同时
匹配审计策略产生报警记
录,然后把数据上传到
IDC
端安全审计管理系统服务器。
每一台分流设备配置一台对应的网络安全审计专用设备。
2.1.4
IDC
端安全审计管理系统服务器
<
/p>
IDC
端安全审计管理系统服务器收集网络安全审计服务器上传的
域名、
IP
等动态
获取的互联网基础资
源信息。
IDC
端安全审计管理系统
服务器提供统一的管理界面给用户,实现对机房、服务
器、客户资料等基础资源数据的统
一维护。
IDC
端安全审计管理系统
服务器与通信管理局系统对接,接收管控策略,并上报
数据。
IDC
端安全审计管理系统服务器提供机房业务管理功能页面,
支持机房业务处
理。
IDC
端安全审计管理系统服务器提供报警日志、审计日志统一查询页面。
8
/
22
通过
ID
C
端安全审计管理系统服务器的分级管理机制,实现未来系统的持续扩容
性。新增
IDC
链路时,只需要部署相应的网络安全审
计专用设备和串接专用探针,通
过网络安全审计服务器与
IDC
端安全审计管理系统服务器对接,从而实现与原有系统
的互通和
一致性,必要时增加
IDC
端安全审计管理系统服务器即可。<
/p>
2.1.5
IDC
端不良信息分析模块
IDC
端不良信息分析模块安装在
IDC
端安全审计管理系统服务器上。
IDC
p>
端不良信息分析模块主要负责对
HTTP
网
页访问内容关键字进行报警匹配。
网络安全审计服务器将网络数据中获取的
URL
和
HTTP
内容关键
字传递给
IDC
端不良
信息分析模块,
IDC
端不良信息分析模块将匹配结果返回给网络安全审计服务
器,最
后通过报警管理页面展示报警结果。
2.1.6
接入资源管理模块
p>
接入资源管理模块安装在
IDC
端安全审计
管理系统服务器上。
接入资源管理模块实现对
IDC
机房内所有物理资源和逻辑资源信息的定义和维
护。
9
/
22
2.2
软件系统逻辑结构图
不良信息分析模
块
备案信息系统
域名
/IP
封堵指令
网络安全审计服务器
增
< br>值
业
务
处
理
模
块
数
据
统
计
模
块
p>
IDC
端安全审计管理系统服务器
机
房
资
源
管
理
模
块
集
中
管
理
控
制
模
块
统
计
分
析
模
块<
/p>
模
块
域
名
备
案
接
口
模
块
内
容
审
计
日
志
模
块
封
堵
模
块
未注
册域
名报
警模
块
未注
册
IP
报警
模块
未注
册服
务报
警模
块
审计
策略
应用
模块
行为
审计
日志
模块
分
流
设
备
网
络
数
据
处
理
模
块
网络
数据
抓包
< br>模块
数据包解析模块
审计
策略<
/p>
管理
模块
系
统<
/p>
管
理
模
块
业务
处理
模块
p>
语
义
识
别
模
块
系统
配置
模块
报警
信息
管理
p>
模块
数据包解析模块
报警信息入库模块
p>
数据处理模块
数据库
图
1
:逻辑架构图
从上图可以看出,本解决方案包括分流设备,网络安全审计服务器、
IDC<
/p>
端安全
审计管理系统服务器。
网络数据的获取、过滤与解析:分流设备获取网络数据包后经过数据包过滤,过
< br>滤干扰的数据包和不需审计的相关协议数据包,将审计系统所需数据镜像到指定的网
络安全审计服务器。网络安全审计服务器的网络数据抓包模块接收网络数据包后传递
给
数据包解析模块进行网络数据解析。
审计策略下发管理:
p>
IDC
端安全审计管理系统服务器审计策略管理模块将审计策
略下发到网络安全审计服务器,网络安全审计服务器在网络数据包解析时,将及时匹
配审计策略并产生不良信息的报警记录。
10
/
22
域名、
I
P
的封堵处理:
IDC
端安全审计管理
系统服务器提供对不良信息的域名、
IP
提供下发封堵指令的功
能,用户向分流设备下发指定域名、
IP
封堵指令,使分流设<
/p>
备在及时发现这些域名、
IP
的同时及时
能对其进行封堵。
2.3
系统功能
2.3.1
安全审计(访问日志管理)
ISMS
应对
IDC
的双向流量数据进行监测,
并进行日志记录,形成访问日志。访问
日志记录包括源
/
目的
IP
,源
/
p>
目的端口、源
/
目的
MAC
、源
/
目的账号、主叫电话号
码、
访问域名、
URL
以及采集时间,
对属于公共信息的数据还应留存相关内容。访问日志
应可根据时间、
IP
、域名、关键词进行查询。
2.3.1.1
行为审计
?
网页访问
对外部访问
IDC
机房内网页的行为进
行安全审计并产生访问日志数据,用户可以
对日志数据进行查询,本系统支持灵活多样的
查询条件。用户可以根据工作需要自定
义日志数据的留存时间。
?
邮件访问
对外部访问
IDC
机房内的邮件服务器
进行邮件发送和接收行为进行安全审计并产
生访问日志数据。用户可以根据工作需要自定
义日志数据的留存时间。
?
文件传输
对外部访问
IDC
机房内的
FTP
服务器
,上传文件的行为进行安全审计并产生访问
日志数据,用户可以对日志数据进行查询,本
系统支持灵活多样的查询条件。用户可
以根据工作需要自定义日志数据的留存时间。
p>
?
远程登录
11
/
22
-
-
-
-
-
-
-
-
-
上一篇:修改病句
下一篇:12、常见POCT检测项目及临床意义