［陳敏］

1 引言

IDC信息安全管理系統(tǒng)（Information Security Management System，簡(jiǎn)稱ISMS）是lDC 經(jīng)營(yíng)者建設(shè)的具有基礎(chǔ)數(shù)據(jù)管理、訪問日志管理、信息安全管理等功能的信息安全管理系統(tǒng)，用于滿足電信管理部門和IDC 經(jīng)營(yíng)者信息安全的管理需求。為了有效解決行業(yè)網(wǎng)絡(luò)與數(shù)據(jù)安全技術(shù)監(jiān)管需求，需要對(duì)現(xiàn)有系統(tǒng)做何改造升級(jí)呢？本文從IDCISP 信安系統(tǒng)的架構(gòu)及功能開始，探討在網(wǎng)絡(luò)安全和數(shù)據(jù)安全新增功能需求下，整個(gè)信安系統(tǒng)要做哪些工作來(lái)重新構(gòu)建一個(gè)數(shù)據(jù)安全、網(wǎng)絡(luò)安全、深度合成信息檢測(cè)處置等技術(shù)能力的安全管理系統(tǒng)。

2 IDCISP 信安系統(tǒng)總體架構(gòu)

IDCISP 信息安全管理系統(tǒng)總體架構(gòu)如圖1 所示，包括：控制單元（CU）和執(zhí)行單元（EU）。

圖1 IDCISP 信息安全管理系統(tǒng)總體架構(gòu)圖

控制單元（CU）：CU 核心控制單元和存儲(chǔ)單元集中部署，CU 的核心控制單元負(fù)責(zé)與安全監(jiān)管系統(tǒng)（SMMS）進(jìn)行通信，接收來(lái)自SMMS 的管理指令，并根據(jù)要求向SMMS 上報(bào)數(shù)據(jù)，同時(shí)還要實(shí)現(xiàn)對(duì)各執(zhí)行單元進(jìn)行集中管理，完成管理指令的調(diào)度、轉(zhuǎn)發(fā)和執(zhí)行及數(shù)據(jù)的匯總、分析和預(yù)警。

執(zhí)行單元（EU）：EU 部署在各IDC 機(jī)房中，在IDC機(jī)房出口路由器設(shè)備的出口鏈路上加分光器，經(jīng)分光器復(fù)制之后的一條鏈路仍連接原有上聯(lián)的網(wǎng)絡(luò)設(shè)備，另外一條鏈路接入執(zhí)行單元的分流設(shè)備。分流設(shè)備具有一定的過濾功能，將過濾之后的數(shù)據(jù)傳給分析監(jiān)控服務(wù)器，另外也通過一條鏈路與IDC 核心網(wǎng)絡(luò)設(shè)備連接，通過發(fā)送數(shù)據(jù)包中斷或干擾用戶正常業(yè)務(wù)連接達(dá)到對(duì)用戶流量的控制。

3 需求分析

3.1 必要性

（1）為貫徹落實(shí)《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，進(jìn)一步加強(qiáng)數(shù)據(jù)安全和網(wǎng)絡(luò)安全技術(shù)監(jiān)管能力建設(shè)，統(tǒng)籌構(gòu)建數(shù)據(jù)安全監(jiān)管平臺(tái)，一體化推進(jìn)網(wǎng)絡(luò)安全技術(shù)建設(shè)。

（2）為滿足IDC 及互聯(lián)網(wǎng)專線業(yè)務(wù)的發(fā)展需求，滿足用戶訪問IDC 業(yè)務(wù)行為分析需求、滿足重點(diǎn)ICP 流量流向分析需求，滿足IDC 業(yè)務(wù)和流量精細(xì)化控制需求，實(shí)現(xiàn)對(duì)IDC 業(yè)務(wù)流量進(jìn)行安全管控和分析。

（3）積極推進(jìn)云網(wǎng)融合一體化的建設(shè)需求，實(shí)現(xiàn)設(shè)備上云。

3.2 功能性

（1）優(yōu)化信安系統(tǒng)數(shù)據(jù)采集和處置能力，具備在IDC 機(jī)房出入口按需采集雙向網(wǎng)絡(luò)流量能力，進(jìn)一步增強(qiáng)精細(xì)化處置能力。

（2）二是擴(kuò)大系統(tǒng)覆蓋范圍，滿足對(duì)專線加密傳輸流量的數(shù)據(jù)傳輸日志分析以及非加密傳輸流量的按需采集與分析需求。

（3）三是擴(kuò)展系統(tǒng)功能，新增數(shù)據(jù)安全模塊，支持流量數(shù)據(jù)識(shí)別、數(shù)據(jù)分級(jí)分類，可對(duì)數(shù)據(jù)泄露、跨境流動(dòng)等行為開展監(jiān)測(cè)溯源和處置；新增網(wǎng)絡(luò)安全模塊，可實(shí)現(xiàn)網(wǎng)絡(luò)攻擊、惡意程序、網(wǎng)絡(luò)異常行為等監(jiān)測(cè)溯源和處置。

4 信安系統(tǒng)改造方案

4.1 總體架構(gòu)

根據(jù)改造功能要求，原有采集執(zhí)行層EU 實(shí)現(xiàn)全量流量、特定流量的信安、網(wǎng)安、數(shù)安識(shí)別、監(jiān)測(cè)、風(fēng)險(xiǎn)發(fā)現(xiàn)、處置等功能。而控制存儲(chǔ)層CU 實(shí)現(xiàn)結(jié)果日志存儲(chǔ)、分析、上報(bào)，規(guī)則指令接受、轉(zhuǎn)發(fā)，采集執(zhí)行層能力調(diào)用。系統(tǒng)升級(jí)改造后的總體架構(gòu)如圖2 所示。

圖2 升級(jí)改造后的IDCISP 總體架構(gòu)圖

4.2 控制單元CU

CU 系統(tǒng)優(yōu)化升級(jí)為數(shù)據(jù)單元、控制單元、統(tǒng)一接口單元幾大部分，各部分功能如下。

（1）數(shù)據(jù)單元：主要包括基礎(chǔ)服務(wù)、數(shù)據(jù)接入、數(shù)據(jù)分析、分發(fā)共享、數(shù)據(jù)管理、安全管理和系統(tǒng)管理等功能，預(yù)留數(shù)據(jù)共享接口。

（2）控制單元：主要包括信安控制、網(wǎng)安控制、數(shù)安控制等功能，其中數(shù)安和網(wǎng)安為新增功能。

（3）統(tǒng)一接口單元：負(fù)責(zé)與省管局側(cè)/部側(cè)信安系統(tǒng)以及各控制單元進(jìn)行統(tǒng)一對(duì)接，實(shí)現(xiàn)接口統(tǒng)一、規(guī)則轉(zhuǎn)化與管理等功能，并向其它第三方系統(tǒng)提供接口。

4.3 采集單元EU

EU 系統(tǒng)優(yōu)化升級(jí)為分流單元、全量執(zhí)行單元、數(shù)安執(zhí)行單元、特定網(wǎng)安執(zhí)行單元幾大部分，各部分功能及實(shí)現(xiàn)方式如下。

（1）分流單元：通過部署分流器實(shí)現(xiàn)鏈路匯聚、同源同宿、負(fù)載均擔(dān)等原始流量轉(zhuǎn)發(fā)能力。

（2）全量執(zhí)行單元：通過部署通用基礎(chǔ)能力服務(wù)器實(shí)現(xiàn)統(tǒng)一DPI 服務(wù)器（EU 服務(wù)器）功能，具備網(wǎng)絡(luò)攻擊、惡意程序網(wǎng)絡(luò)活動(dòng)監(jiān)測(cè)等網(wǎng)安功能，訪問日志精細(xì)化處置能力，實(shí)現(xiàn)按需流量采集等信安功能。

（3）數(shù)安執(zhí)行單元：通過部署數(shù)安擴(kuò)展能力服務(wù)器實(shí)現(xiàn)數(shù)據(jù)監(jiān)測(cè)識(shí)別、還原、分級(jí)、分類、安全風(fēng)險(xiǎn)監(jiān)測(cè)等數(shù)安功能。

（4）特定網(wǎng)安執(zhí)行單元：通過部署網(wǎng)安擴(kuò)展能力服務(wù)器實(shí)現(xiàn)惡意文件還原、網(wǎng)絡(luò)異常行為監(jiān)測(cè)等網(wǎng)安功能。

5 系統(tǒng)部署

系統(tǒng)流量采集覆蓋范圍為IDC 出口雙向流量、互聯(lián)網(wǎng)專線出口鏈路雙向流量。

IDCISP 信安系統(tǒng)部署如圖3 所示，建議如下。

圖3 IDCISP 信安系統(tǒng)部署示意圖

（1）控制單元（含統(tǒng)一接口單元、數(shù)據(jù)單元）統(tǒng)一部署于省中心；有條件的可以采用存算分離的方式進(jìn)行部署，即接口單元和控制單元統(tǒng)一部署，數(shù)據(jù)存儲(chǔ)單元分散部署。

（2）分流單元、全量執(zhí)行單元、特定網(wǎng)安執(zhí)行單元、數(shù)安執(zhí)行單元主要部署于各地市IDC 機(jī)房或匯聚機(jī)房。

（3）全量執(zhí)行單元接收和處理全量流量，特定網(wǎng)安執(zhí)行單元、數(shù)安執(zhí)行單元接收和處理按需流量。

6 系統(tǒng)云化

IDCISP 信息安全管理系統(tǒng)主要采用的是X86 架構(gòu)服務(wù)器，且各網(wǎng)元接口均已實(shí)現(xiàn)IP 化，具備虛擬條件。其中CU 控制單元根據(jù)其網(wǎng)絡(luò)架構(gòu)特征及所用設(shè)備的特性，可以采用虛擬化技術(shù)實(shí)現(xiàn)云化部署。具體云化方案如圖4所示。

圖4 IDCISP 信息安全管理系統(tǒng)云化示意圖

云化部署建議：（1）在云節(jié)點(diǎn)新建CU 節(jié)點(diǎn)。

（2）應(yīng)用服務(wù)器由云資源池提供虛擬資源，便于部署新CU。

（3）采集服務(wù)器、存儲(chǔ)服務(wù)器結(jié)合現(xiàn)有資源，按需擴(kuò)容，由云資源池提供虛擬資源或物理設(shè)備。

（4）云資源池節(jié)點(diǎn)與原CU 節(jié)點(diǎn)通過傳輸專線組網(wǎng)，采集服務(wù)器和存儲(chǔ)服務(wù)器不同節(jié)點(diǎn)部署時(shí)，盡量匹配資源，減少資源消耗。

（5）新建EU 節(jié)點(diǎn)盡量回傳新CU 所在云節(jié)點(diǎn)。

7 結(jié)束語(yǔ)

本文介紹IDCISP 信息安全管理系統(tǒng)并對(duì)系統(tǒng)的升級(jí)改造進(jìn)行簡(jiǎn)單描述，其中的信息安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全等與我們的生活息息相關(guān)。IDCISP 信安系統(tǒng)針對(duì)IDC及互聯(lián)網(wǎng)專線，通過各種技術(shù)手段，為依法加強(qiáng)互聯(lián)網(wǎng)管理，保障信息、數(shù)據(jù)及網(wǎng)絡(luò)安全，營(yíng)造綠色、健康、有序的互聯(lián)網(wǎng)環(huán)境，凈化網(wǎng)絡(luò)不良內(nèi)容，提升網(wǎng)絡(luò)服務(wù)品質(zhì)，促進(jìn)互聯(lián)網(wǎng)文化的繁榮發(fā)展和維護(hù)社會(huì)穩(wěn)定提供有效的技術(shù)手段和管理支撐。