中訊郵電咨詢?cè)O(shè)計(jì)院有限公司 │馬昌軍 張玲

如何構(gòu)建IDC/ISP信息安全技術(shù)管理系統(tǒng)

中訊郵電咨詢?cè)O(shè)計(jì)院有限公司 │馬昌軍 張玲

為滿足工信部關(guān)于IDC/ISP信息安全管理系統(tǒng)的相關(guān)要求，以及同時(shí)滿足省內(nèi)用戶訪問(wèn)IDC業(yè)務(wù)行為分析、省內(nèi)重點(diǎn)ICP流量流向分析、IDC業(yè)務(wù)和流量精細(xì)化控制等需求，國(guó)內(nèi)電信運(yùn)營(yíng)商提出了IDC/ISP信息安全管理系統(tǒng)的建設(shè)思路。

圖1 ISMS系統(tǒng)架構(gòu)

隨著近年來(lái)互聯(lián)網(wǎng)產(chǎn)業(yè)的飛速發(fā)展，互聯(lián)網(wǎng)的服務(wù)模式和傳播渠道也日趨多樣化。新聞網(wǎng)站、門戶網(wǎng)站、搜索引擎、論壇、博客、P2P等多種服務(wù)模式并存，互聯(lián)網(wǎng)已演化成為一個(gè)虛擬社會(huì)，互聯(lián)網(wǎng)安全管理面臨空前的挑戰(zhàn)。在加強(qiáng)互聯(lián)網(wǎng)安全管理的同時(shí)，組織力量開展互聯(lián)網(wǎng)信息的匯集整理與分析，對(duì)于全面了解社情民意，做好網(wǎng)絡(luò)宣傳監(jiān)管工作具有重要意義。

目前，在互聯(lián)網(wǎng)接入服務(wù)提供和管理工作中還存在安全意識(shí)淡薄、管理基礎(chǔ)薄弱、查處手段缺失、違法信息發(fā)現(xiàn)及處置難，日志留存落實(shí)不到位等問(wèn)題和薄弱環(huán)節(jié)。

全國(guó)人大常委會(huì)2012年12月28日頒布的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第五、十條和《互聯(lián)網(wǎng)信息服務(wù)管理辦法》（國(guó)務(wù)院第292號(hào)令）第十四條規(guī)定了互聯(lián)網(wǎng)接入服務(wù)提供商應(yīng)當(dāng)采取技術(shù)措施，發(fā)現(xiàn)、處置傳輸?shù)倪`法信息，并做好日志留存工作?！豆I(yè)和信息化部、國(guó)務(wù)院國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)關(guān)于開展基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全責(zé)任考核有關(guān)工作的指導(dǎo)意見(jiàn)》（工信部聯(lián)保[2012]551號(hào)）、《工業(yè)和信息化部辦公廳關(guān)于印發(fā)〈2014年省級(jí)基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全工作考核要點(diǎn)與評(píng)分標(biāo)準(zhǔn)〉的通知》（工信廳保[2014]15號(hào)），也明確要求將基礎(chǔ)電信企業(yè)IDC/ISP信息安全管理及技術(shù)手段建設(shè)納入省級(jí)公司的考核體系。

2012年12月，工業(yè)和信息化部發(fā)布了《互聯(lián)網(wǎng)數(shù)據(jù)中心和互聯(lián)網(wǎng)接入服務(wù)信息安全管理系統(tǒng)技術(shù)要求》、《互聯(lián)網(wǎng)數(shù)據(jù)中心和互聯(lián)網(wǎng)接入服務(wù)信息安全管理系統(tǒng)接口規(guī)范》和《互聯(lián)網(wǎng)數(shù)據(jù)中心和互聯(lián)網(wǎng)接入服務(wù)信息安全管理系統(tǒng)及接口測(cè)試方法》，對(duì)IDC在互聯(lián)網(wǎng)信息安全管理方面，包括基礎(chǔ)數(shù)據(jù)管理、訪問(wèn)日志管理、違法網(wǎng)站及違法信息發(fā)現(xiàn)與處置等提出了更加具體的要求。

為滿足工信部關(guān)于IDC/ISP信息安全管理系統(tǒng)的相關(guān)要求，以及同時(shí)滿足省內(nèi)用戶訪問(wèn)IDC業(yè)務(wù)行為分析、省內(nèi)重點(diǎn)ICP流量流向分析、IDC業(yè)務(wù)和流量精細(xì)化控制等需求，國(guó)內(nèi)電信運(yùn)營(yíng)商提出了IDC/ISP信息安全管理系統(tǒng)的建設(shè)思路。

ISMS系統(tǒng)基本架構(gòu)

IDC信息安全管理系統(tǒng)（Information Security Management System，簡(jiǎn)稱ISMS）是lDC經(jīng)營(yíng)者建設(shè)的具有基礎(chǔ)數(shù)據(jù)管理、訪問(wèn)日志管理、信息安全管理等功能的信息安全管理系統(tǒng)，用于滿足電信管理部門和IDC經(jīng)營(yíng)者信息安全的管理需求。每個(gè)省公司建設(shè)一個(gè)統(tǒng)一的ISMS，與電信管理部門建設(shè)的安全監(jiān)管系統(tǒng)（SMMS）通過(guò)信息安全管理接口（ISMI）進(jìn)行通信，實(shí)現(xiàn)電信管理部門的監(jiān)管需求。通信管理局側(cè)的安全監(jiān)管系統(tǒng)（SMMS）負(fù)責(zé)監(jiān)控策略的制定并下發(fā)，以及接收IDC信息安全管理系統(tǒng)（ISMS）分析的結(jié)果。

ISMS系統(tǒng)架構(gòu)如圖1所示

ISMS系統(tǒng)實(shí)施原則

（一）IDC出口鏈路覆蓋范圍

（1）應(yīng)100%覆蓋需監(jiān)管的IDC出口帶寬；

（2）一次工程實(shí)現(xiàn)單個(gè)IDC機(jī)房出口鏈路100%覆蓋，滿足內(nèi)容審計(jì)功能需求。

（二）鏈路類型覆蓋范圍

（1）所有廠商EU設(shè)備均支持10GE端口，產(chǎn)業(yè)規(guī)模大；POS端口不是后續(xù)網(wǎng)絡(luò)發(fā)展方向，且部分廠商EU設(shè)備不支持POS端口，產(chǎn)業(yè)規(guī)模小，應(yīng)謹(jǐn)慎覆蓋；后續(xù)應(yīng)綜合EU設(shè)備支持情況和產(chǎn)業(yè)規(guī)模，考慮IDC機(jī)房出口鏈路的擴(kuò)容和改造；

（2）優(yōu)先覆蓋10GE、100GE端口，也可根據(jù)實(shí)際需求覆蓋GE和40G POS鏈路，原則上不考慮10G POS端口。

（三）設(shè)備部署原則

（1）EU部署在IDC機(jī)房，監(jiān)控IDC出口鏈路，后續(xù)可作為IDC出口帶寬配套與帶寬擴(kuò)容同步進(jìn)行；

（2）CU全省集中建設(shè)部署1套；

（3）EU覆蓋鏈路可采用串接方式，也可根據(jù)省內(nèi)業(yè)務(wù)和運(yùn)維部門需求采用并接方式；若選擇并接方式，應(yīng)提前做好溝通工作，確保完全滿足工信部/省管局當(dāng)前和未來(lái)內(nèi)容審計(jì)要求。

圖2 IDC網(wǎng)絡(luò)拓?fù)?/p>

ISMS系統(tǒng)組網(wǎng)方案

IDC網(wǎng)絡(luò)架構(gòu)有以下3種情況：

（1）采用IDC機(jī)房-地市IDC匯聚-省IDC核心三級(jí)連接的方式；

（2）采用IDC機(jī)房-省IDC核心的二級(jí)連接方式；

（3）采用IDC機(jī)房-地市城域網(wǎng)-骨干網(wǎng)-省IDC核心這種不直接與IDC匯聚核心連接的方式。

IDC網(wǎng)絡(luò)拓?fù)鋱D如圖2所示。

ISMS系統(tǒng)組網(wǎng)的整體原則為，在每個(gè)涉及到的機(jī)房?jī)?nèi)部署2臺(tái)EU系統(tǒng)組網(wǎng)交換機(jī)，用于數(shù)據(jù)傳輸、網(wǎng)管、EU平臺(tái)的組網(wǎng)，EU系統(tǒng)組網(wǎng)交換機(jī)通過(guò)N?GE上聯(lián)匯聚交換機(jī)，采用裸纖或傳輸承載。具體組網(wǎng)拓?fù)淙鐖D3所示。

（一）EU部署位置方案

（1）IDC機(jī)房上行

按照部署在IDC機(jī)房出口上行的方式，隨著IDC出口鏈路的擴(kuò)容而進(jìn)行EU的按需擴(kuò)容。

（2）省IDC匯聚核心下行

否定此種方案，原因有2點(diǎn)：其一，絕大部分地市的城域網(wǎng)都直接和本地市的IDC匯聚節(jié)點(diǎn)進(jìn)行連接，如果在省IDC匯聚核心下行進(jìn)行部署，這部分流量是無(wú)法監(jiān)控的；其二，由于所有流量進(jìn)行混傳，那么在省IDC匯聚核心的路由器實(shí)際流量都是沒(méi)有規(guī)則的，需要超大量的傳輸資源將所有流量進(jìn)行匯聚后再進(jìn)行（同源同宿）分流處理才行。傳輸資源還是跨地市的，獲取難度很大。

（3）地市IDC匯聚設(shè)備上行

在地市IDC匯聚核心處進(jìn)行采集。在這里采集既保證了所有流量全部監(jiān)控，同時(shí)也解決了采集點(diǎn)過(guò)多、分散的問(wèn)題。

經(jīng)過(guò)以上討論及比對(duì)，建議選用方案三進(jìn)行EU的部署。

圖3 ISMS網(wǎng)絡(luò)拓?fù)?/p>

（二）EU組網(wǎng)建設(shè)方案

在每個(gè)涉及到的IDC機(jī)房?jī)?nèi)部署2臺(tái)EU系統(tǒng)組網(wǎng)交換機(jī)，用于數(shù)據(jù)傳輸、網(wǎng)管、EU平臺(tái)的組網(wǎng)，EU系統(tǒng)組網(wǎng)交換機(jī)通過(guò)N?GE上聯(lián)匯聚交換機(jī)，采用裸纖或傳輸承載至省中心CU。

（三）并接封堵鏈路部署方案

（1）地市存在一對(duì)IDC核心路由器（在異機(jī)房）

對(duì)于此種模型，每個(gè)機(jī)房的EU接入交換機(jī)各出一條鏈路和該機(jī)房的IDC核心相連。服務(wù)器平均分為兩組，分別掛在兩臺(tái)EU接入交換機(jī)下面。接入交換機(jī)上下行和互連分別透?jìng)鞣舛滤玫膙lan，交換機(jī)透?jìng)鱲lan時(shí)，下行使用access，上行和互連使用trunk，IDC核心側(cè)采用子接口終結(jié)vlan的形式。對(duì)于二層封堵的，需要分配私網(wǎng)地址段，在IDC核心側(cè)接口上配置地址，服務(wù)器側(cè)無(wú)需配置地址。對(duì)于三層封堵的，需要分配私網(wǎng)地址段，將網(wǎng)關(guān)配置在IDC核心上，其他地址分別配置在服務(wù)器端口上。當(dāng)其中一臺(tái)接入交換機(jī)只是上行鏈路down時(shí)，IDC維護(hù)人員手動(dòng)將故障鏈路的子接口遷移到另一個(gè)核心的端口上。當(dāng)其中一臺(tái)接入交換機(jī)出現(xiàn)故障時(shí)，服務(wù)器維護(hù)人員手動(dòng)將封堵業(yè)務(wù)指定到另一臺(tái)交換機(jī)下掛的服務(wù)器。從而實(shí)現(xiàn)封堵業(yè)務(wù)的冷備。

（2）地市存在兩對(duì)IDC核心路由器（分別在異機(jī)房）

對(duì)于此種模型，原則上和一組跨機(jī)房IDC核心的模型一樣。不同的地方是，在此類模型中，同一個(gè)機(jī)房會(huì)存在兩組IDC核心。對(duì)于此類情況，首先將服務(wù)器分為兩大組，分別用于IDC核心A和B，他們使用不同的vlan和地址段，然后再將兩大組服務(wù)器分別平均下掛到機(jī)房的兩臺(tái)機(jī)（如交換機(jī)）下面。

（3）IDC機(jī)房存在一對(duì)出口交換機(jī)/路由器

對(duì)于此種模型，EU接入交換機(jī)和IDC核心成口字形互聯(lián)。接入交換機(jī)上下行和互連分別透?jìng)鞣舛滤玫膙lan，交換機(jī)透?jìng)鱲lan時(shí)，下行使用access，上行和互連使用trunk，IDC核心側(cè)采用子接口終結(jié)vlan的形式。IDC核心向下啟用vrrp，通過(guò)接入交換機(jī)實(shí)現(xiàn)二層“心跳互通”。服務(wù)器平均分為兩組，分別掛在兩臺(tái)EU接入交換機(jī)下面。接入交換機(jī)到IDC核心鏈路故障時(shí)，通過(guò)vrrp自行切換。當(dāng)其中一臺(tái)接入交換機(jī)出現(xiàn)故障時(shí)，服務(wù)器維護(hù)人員手動(dòng)將封堵業(yè)務(wù)指定到另一臺(tái)交換機(jī)下掛的服務(wù)器。從而實(shí)現(xiàn)封堵業(yè)務(wù)的冷備。

編輯｜張鵬 zhanpeng@bjxintong.com.cn