韋芹余

江蘇省通信管理局

0 引言

IP是Internet Protocol（網(wǎng)際互連協(xié)議）的縮寫(xiě)，是TCP/IP體系中的網(wǎng)絡(luò)層協(xié)議，是整個(gè)TCP/IP協(xié)議族的核心，也是構(gòu)成互聯(lián)網(wǎng)的基礎(chǔ)。江蘇省作為互聯(lián)網(wǎng)大省，截至2020年底，全省分配使用的IPv4地址已達(dá)到2500萬(wàn)，用于LTE終端的IPv6地址9321萬(wàn)，單純的依靠人力做好一個(gè)省份的IP地址管理工作已然不現(xiàn)實(shí)，需要建設(shè)技術(shù)手段來(lái)監(jiān)測(cè)全省IP地址分配使用情況，不斷提高全省IP地址的完整率、準(zhǔn)確率，建立權(quán)威IP數(shù)據(jù)資源庫(kù)。近年來(lái)，隨著Hadoop等大數(shù)據(jù)技術(shù)的發(fā)展，對(duì)海量數(shù)據(jù)的分析處理已有完備的解決方案，利用大數(shù)據(jù)技術(shù)可以實(shí)現(xiàn)對(duì)IP地址的精細(xì)化管理。

1 IP地址分配管理

1.1 國(guó)內(nèi)IP地址的獲取

互聯(lián)網(wǎng)的IP地址分配是分級(jí)進(jìn)行的。ICANN（IANA）對(duì)互聯(lián)網(wǎng)上的IP地址進(jìn)行統(tǒng)一的管理，ICANN將地址分配給區(qū)域互聯(lián)網(wǎng)地址注冊(cè)機(jī)構(gòu)（RIR），RIR負(fù)責(zé)各自地區(qū)的IP地址分配、注冊(cè)和管理工作。通常RIR會(huì)直接或通過(guò)當(dāng)?shù)氐膰?guó)家級(jí)互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)（NIR）將IP地址分配給本地互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)（LIR），然后由LIR分配給下游的互聯(lián)網(wǎng)服務(wù)提供商或終端用戶。目前，全球共有5個(gè)RIR，分別是：ARIN（負(fù)責(zé)北美地區(qū)業(yè)務(wù)）、RIPE NCC（負(fù)責(zé)歐洲地區(qū)業(yè)務(wù)）、APNIC（負(fù)責(zé)亞太地區(qū)業(yè)務(wù)）、LACNIC（負(fù)責(zé)拉丁美洲地區(qū)業(yè)務(wù)）、AfriNIC（負(fù)責(zé)非洲地區(qū)業(yè)務(wù)）。

工業(yè)和信息化部是我國(guó)IP地址分配和管理的主管部門(mén)，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）是APNIC認(rèn)定的中國(guó)大陸地區(qū)唯一的國(guó)家互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)。以CNNIC為召集單位的CNNIC IP地址分配聯(lián)盟幫助中國(guó)大陸地區(qū)的相關(guān)單位和組織從亞太互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)（APNIC）申請(qǐng)IP地址。

1.2 IP地址備案管理辦法

我國(guó)對(duì)IP地址的分配使用實(shí)行備案管理，工業(yè)和信息化部（原信息產(chǎn)業(yè)部）制定了《互聯(lián)網(wǎng)IP地址備案管理辦法》，自2005年3月20日起施行。辦法對(duì)IP地址的分配機(jī)構(gòu)進(jìn)行了定義，明確了IP地址的監(jiān)督管理部門(mén)、IP地址報(bào)備的責(zé)任主體、報(bào)備的流程、報(bào)備的數(shù)據(jù)字段以及違反規(guī)定的罰則。

1.3 IP地址管理的實(shí)名制要求

按照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十四條的要求，網(wǎng)絡(luò)運(yùn)營(yíng)者為用戶辦理網(wǎng)絡(luò)接入、域名注冊(cè)服務(wù)，在與用戶簽訂協(xié)議或者確認(rèn)提供服務(wù)時(shí)，應(yīng)當(dāng)要求用戶提供真實(shí)身份信息。用戶不提供真實(shí)身份信息的，網(wǎng)絡(luò)運(yùn)營(yíng)者不得為其提供相關(guān)服務(wù)。

各級(jí)IP地址管理機(jī)構(gòu)在分配IP地址時(shí)，應(yīng)落實(shí)網(wǎng)絡(luò)實(shí)名制要求，保證IP使用單位、使用人信息真實(shí)、準(zhǔn)確、可溯源?；A(chǔ)電信企業(yè)和接入服務(wù)企業(yè)在為用戶辦理業(yè)務(wù)分配IP地址時(shí)，應(yīng)落實(shí)實(shí)名制要求，強(qiáng)化源頭管理，提升實(shí)名制驗(yàn)真技術(shù)手段，可采用真人視頻驗(yàn)證、支付驗(yàn)證、手機(jī)短信驗(yàn)證等多種驗(yàn)證方式，筑牢IP地址安全合規(guī)使用的防火墻。

2 IP地址管理系統(tǒng)建設(shè)目標(biāo)及系統(tǒng)架構(gòu)

2.1 項(xiàng)目建設(shè)目標(biāo)

結(jié)合IP地址管理工作要求，建設(shè)IP地址資源管理系統(tǒng)，每日統(tǒng)計(jì)分析基礎(chǔ)電信企業(yè)和接入服務(wù)企業(yè)備案的全量IP地址，開(kāi)發(fā)IP地址核查比對(duì)、資產(chǎn)的探測(cè)、安全風(fēng)險(xiǎn)分析、數(shù)據(jù)標(biāo)簽等功能模塊，實(shí)現(xiàn)對(duì)IP地址的精細(xì)化管理，可快速準(zhǔn)確進(jìn)行IP地址檢索。

首先要定義IP地址管理的標(biāo)準(zhǔn)規(guī)范和流程，明確核心關(guān)注的IP地址數(shù)據(jù)字段，系統(tǒng)要具有良好的可靠性設(shè)計(jì)，確保系統(tǒng)穩(wěn)定運(yùn)行，避免單點(diǎn)故障；系統(tǒng)應(yīng)用后無(wú)論是軟件升級(jí)、硬件升級(jí)或是數(shù)據(jù)割接，都要能保證業(yè)務(wù)持續(xù)性。

2.2 項(xiàng)目整體架構(gòu)

系統(tǒng)采用分層結(jié)構(gòu)設(shè)計(jì)，主要包括：數(shù)據(jù)匯入層、數(shù)據(jù)存儲(chǔ)處理層、業(yè)務(wù)處理層、功能展示層，整體架構(gòu)如圖1所示，各層功能說(shuō)明如下：

圖1 系統(tǒng)整體架構(gòu)

數(shù)據(jù)匯入層：開(kāi)發(fā)數(shù)據(jù)傳輸接口，數(shù)據(jù)加密傳輸，接口連接鑒權(quán)，省里的基礎(chǔ)電信企業(yè)和接入服務(wù)企業(yè)每日調(diào)用接口，將全量IP地址報(bào)送。匯入的數(shù)據(jù)還包括可輔助進(jìn)行IP地址核查比對(duì)的網(wǎng)絡(luò)安全事件數(shù)據(jù)、日志數(shù)據(jù)等。

數(shù)據(jù)存儲(chǔ)處理層：大數(shù)據(jù)平臺(tái)根據(jù)kafka消息隊(duì)列進(jìn)行數(shù)據(jù)解析入庫(kù)，存儲(chǔ)在presto數(shù)據(jù)庫(kù)中，數(shù)據(jù)處理使用離線spark任務(wù)，最終的結(jié)果表、統(tǒng)計(jì)表保存在大數(shù)據(jù)平臺(tái)的presto、tidb庫(kù)中。

業(yè)務(wù)處理層：IP基礎(chǔ)資源核查比對(duì)模塊對(duì)基礎(chǔ)電信企業(yè)和接入服務(wù)企業(yè)上報(bào)的IP數(shù)據(jù)進(jìn)行分析，核查比對(duì)數(shù)據(jù)中的異常情況，實(shí)現(xiàn)IP數(shù)據(jù)整合、問(wèn)題IP數(shù)據(jù)的發(fā)現(xiàn)。

功能展示層：系統(tǒng)界面展示IP地址總體概覽、IP資源綜合管理、數(shù)據(jù)查詢、數(shù)據(jù)標(biāo)簽管理以及系統(tǒng)管理等功能。

3 IP地址管理系統(tǒng)核心業(yè)務(wù)介紹

3.1 IP地址核查比對(duì)業(yè)務(wù)邏輯

系統(tǒng)每日對(duì)全省全量IP數(shù)據(jù)核查比對(duì)，檢測(cè)IP地址信息不準(zhǔn)確、不規(guī)范，IP使用單位信息更新不及時(shí)，IP使用未報(bào)備、多頭報(bào)備等問(wèn)題，形成數(shù)據(jù)IP核查驗(yàn)證、問(wèn)題定位、工單下發(fā)、處置反饋的閉環(huán)管理機(jī)制，提高全省IP數(shù)據(jù)質(zhì)量。核查比對(duì)的邏輯思維導(dǎo)圖如圖2所示。

圖2 核查比對(duì)邏輯思維導(dǎo)圖

3.2 IP地址數(shù)據(jù)標(biāo)簽化

目前公有IPv4已分配殆盡，資源非常緊張，IPv4地址可以逐個(gè)進(jìn)行精細(xì)化管理。隨著IPv6地址的推廣使用，對(duì)全量IP地址進(jìn)行全覆蓋監(jiān)測(cè)也不現(xiàn)實(shí)。IPv6在分配使用上按照地址塊進(jìn)行管理，重點(diǎn)管好現(xiàn)網(wǎng)監(jiān)測(cè)到的實(shí)際在用的、活躍的IPv6地址。對(duì)IP地址進(jìn)行畫(huà)像、數(shù)據(jù)標(biāo)簽化，按照業(yè)務(wù)類(lèi)型分類(lèi)，根據(jù)IP地址開(kāi)放的端口、通信協(xié)議將IP分為：web應(yīng)用、DSN解析、郵件服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)、ftp服務(wù)等類(lèi)型IP；按照行業(yè)分類(lèi)，根據(jù)使用單位所屬行業(yè)進(jìn)行統(tǒng)計(jì)，將IP分為：金融行業(yè)、教育行業(yè)、醫(yī)療行業(yè)、電力行業(yè)、工業(yè)互聯(lián)網(wǎng)等類(lèi)型IP。IP數(shù)據(jù)標(biāo)簽化后，可以與各行業(yè)的大數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，疊加行業(yè)應(yīng)用。

3.3 IP地址資產(chǎn)探測(cè)

系統(tǒng)的IP資產(chǎn)探測(cè)引擎可具備發(fā)現(xiàn)IP資產(chǎn)以及資產(chǎn)的安全屬性的能力，支持的資產(chǎn)掃描對(duì)象包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、WEB應(yīng)用、數(shù)據(jù)庫(kù)等對(duì)象，發(fā)現(xiàn)其資產(chǎn)屬性、安全屬性等特征和信息。IP資產(chǎn)探測(cè)引擎實(shí)現(xiàn)對(duì)IP資產(chǎn)的掃描以及端口、服務(wù)、操作系統(tǒng)的識(shí)別，對(duì)各類(lèi)WEB組件以及后臺(tái)數(shù)據(jù)庫(kù)進(jìn)行探測(cè)與識(shí)別。

3.4 IP信息變更歷史軌跡記錄

系統(tǒng)每日對(duì)全量IP地址進(jìn)行統(tǒng)計(jì)分析，數(shù)據(jù)是結(jié)構(gòu)化存儲(chǔ)的，生成的IP基準(zhǔn)庫(kù)里無(wú)法記錄IP變更的歷史軌跡。但是在網(wǎng)絡(luò)安全事件溯源中，一個(gè)IP地址以前被哪些單位使用過(guò)是非常重要的信息，建立IP歷史軌跡很有必要。在對(duì)IP地址進(jìn)行核查比對(duì)的過(guò)程中，發(fā)現(xiàn)IP地址的使用單位等重要信息變更，可以及時(shí)記錄到IP歷史軌跡數(shù)據(jù)表中，標(biāo)記更新的內(nèi)容，建立IP地址全生命周期的管理。

4 結(jié)束語(yǔ)

建設(shè)IP地址管理系統(tǒng)，對(duì)IP進(jìn)行精細(xì)化管理，需要持續(xù)跟蹤研究電信業(yè)務(wù)形態(tài)、新型技術(shù)演進(jìn)，加強(qiáng)主管部門(mén)之間的信息共享、協(xié)同聯(lián)動(dòng)，可與公安部門(mén)、市場(chǎng)監(jiān)管部門(mén)的相關(guān)接口進(jìn)行對(duì)接，進(jìn)一步核驗(yàn)IP地址備案數(shù)據(jù)的真實(shí)性、準(zhǔn)確性，建設(shè)省級(jí)最權(quán)威IP地址基準(zhǔn)數(shù)據(jù)庫(kù)。