［陳敏］

1 引言

IDC信息安全管理系統(tǒng)（Information Security Management System，簡稱ISMS）是lDC 經(jīng)營者建設(shè)的具有基礎(chǔ)數(shù)據(jù)管理、訪問日志管理、信息安全管理等功能的信息安全管理系統(tǒng)，用于滿足電信管理部門和IDC 經(jīng)營者信息安全的管理需求。為了有效解決行業(yè)網(wǎng)絡(luò)與數(shù)據(jù)安全技術(shù)監(jiān)管需求，需要對現(xiàn)有系統(tǒng)做何改造升級呢？本文從IDCISP 信安系統(tǒng)的架構(gòu)及功能開始，探討在網(wǎng)絡(luò)安全和數(shù)據(jù)安全新增功能需求下，整個信安系統(tǒng)要做哪些工作來重新構(gòu)建一個數(shù)據(jù)安全、網(wǎng)絡(luò)安全、深度合成信息檢測處置等技術(shù)能力的安全管理系統(tǒng)。

2 IDCISP 信安系統(tǒng)總體架構(gòu)

IDCISP 信息安全管理系統(tǒng)總體架構(gòu)如圖1 所示，包括：控制單元（CU）和執(zhí)行單元（EU）。

圖1 IDCISP 信息安全管理系統(tǒng)總體架構(gòu)圖

控制單元（CU）：CU 核心控制單元和存儲單元集中部署，CU 的核心控制單元負責(zé)與安全監(jiān)管系統(tǒng)（SMMS）進行通信，接收來自SMMS 的管理指令，并根據(jù)要求向SMMS 上報數(shù)據(jù)，同時還要實現(xiàn)對各執(zhí)行單元進行集中管理，完成管理指令的調(diào)度、轉(zhuǎn)發(fā)和執(zhí)行及數(shù)據(jù)的匯總、分析和預(yù)警。

執(zhí)行單元（EU）：EU 部署在各IDC 機房中，在IDC機房出口路由器設(shè)備的出口鏈路上加分光器，經(jīng)分光器復(fù)制之后的一條鏈路仍連接原有上聯(lián)的網(wǎng)絡(luò)設(shè)備，另外一條鏈路接入執(zhí)行單元的分流設(shè)備。分流設(shè)備具有一定的過濾功能，將過濾之后的數(shù)據(jù)傳給分析監(jiān)控服務(wù)器，另外也通過一條鏈路與IDC 核心網(wǎng)絡(luò)設(shè)備連接，通過發(fā)送數(shù)據(jù)包中斷或干擾用戶正常業(yè)務(wù)連接達到對用戶流量的控制。

3 需求分析

3.1 必要性

（1）為貫徹落實《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》，進一步加強數(shù)據(jù)安全和網(wǎng)絡(luò)安全技術(shù)監(jiān)管能力建設(shè)，統(tǒng)籌構(gòu)建數(shù)據(jù)安全監(jiān)管平臺，一體化推進網(wǎng)絡(luò)安全技術(shù)建設(shè)。

（2）為滿足IDC 及互聯(lián)網(wǎng)專線業(yè)務(wù)的發(fā)展需求，滿足用戶訪問IDC 業(yè)務(wù)行為分析需求、滿足重點ICP 流量流向分析需求，滿足IDC 業(yè)務(wù)和流量精細化控制需求，實現(xiàn)對IDC 業(yè)務(wù)流量進行安全管控和分析。

（3）積極推進云網(wǎng)融合一體化的建設(shè)需求，實現(xiàn)設(shè)備上云。

3.2 功能性

（1）優(yōu)化信安系統(tǒng)數(shù)據(jù)采集和處置能力，具備在IDC 機房出入口按需采集雙向網(wǎng)絡(luò)流量能力，進一步增強精細化處置能力。

（2）二是擴大系統(tǒng)覆蓋范圍，滿足對專線加密傳輸流量的數(shù)據(jù)傳輸日志分析以及非加密傳輸流量的按需采集與分析需求。

（3）三是擴展系統(tǒng)功能，新增數(shù)據(jù)安全模塊，支持流量數(shù)據(jù)識別、數(shù)據(jù)分級分類，可對數(shù)據(jù)泄露、跨境流動等行為開展監(jiān)測溯源和處置；新增網(wǎng)絡(luò)安全模塊，可實現(xiàn)網(wǎng)絡(luò)攻擊、惡意程序、網(wǎng)絡(luò)異常行為等監(jiān)測溯源和處置。

4 信安系統(tǒng)改造方案

4.1 總體架構(gòu)

根據(jù)改造功能要求，原有采集執(zhí)行層EU 實現(xiàn)全量流量、特定流量的信安、網(wǎng)安、數(shù)安識別、監(jiān)測、風(fēng)險發(fā)現(xiàn)、處置等功能。而控制存儲層CU 實現(xiàn)結(jié)果日志存儲、分析、上報，規(guī)則指令接受、轉(zhuǎn)發(fā)，采集執(zhí)行層能力調(diào)用。系統(tǒng)升級改造后的總體架構(gòu)如圖2 所示。

圖2 升級改造后的IDCISP 總體架構(gòu)圖

4.2 控制單元CU

CU 系統(tǒng)優(yōu)化升級為數(shù)據(jù)單元、控制單元、統(tǒng)一接口單元幾大部分，各部分功能如下。

（1）數(shù)據(jù)單元：主要包括基礎(chǔ)服務(wù)、數(shù)據(jù)接入、數(shù)據(jù)分析、分發(fā)共享、數(shù)據(jù)管理、安全管理和系統(tǒng)管理等功能，預(yù)留數(shù)據(jù)共享接口。

（2）控制單元：主要包括信安控制、網(wǎng)安控制、數(shù)安控制等功能，其中數(shù)安和網(wǎng)安為新增功能。

（3）統(tǒng)一接口單元：負責(zé)與省管局側(cè)/部側(cè)信安系統(tǒng)以及各控制單元進行統(tǒng)一對接，實現(xiàn)接口統(tǒng)一、規(guī)則轉(zhuǎn)化與管理等功能，并向其它第三方系統(tǒng)提供接口。

4.3 采集單元EU

EU 系統(tǒng)優(yōu)化升級為分流單元、全量執(zhí)行單元、數(shù)安執(zhí)行單元、特定網(wǎng)安執(zhí)行單元幾大部分，各部分功能及實現(xiàn)方式如下。

（1）分流單元：通過部署分流器實現(xiàn)鏈路匯聚、同源同宿、負載均擔(dān)等原始流量轉(zhuǎn)發(fā)能力。

（2）全量執(zhí)行單元：通過部署通用基礎(chǔ)能力服務(wù)器實現(xiàn)統(tǒng)一DPI 服務(wù)器（EU 服務(wù)器）功能，具備網(wǎng)絡(luò)攻擊、惡意程序網(wǎng)絡(luò)活動監(jiān)測等網(wǎng)安功能，訪問日志精細化處置能力，實現(xiàn)按需流量采集等信安功能。

（3）數(shù)安執(zhí)行單元：通過部署數(shù)安擴展能力服務(wù)器實現(xiàn)數(shù)據(jù)監(jiān)測識別、還原、分級、分類、安全風(fēng)險監(jiān)測等數(shù)安功能。

（4）特定網(wǎng)安執(zhí)行單元：通過部署網(wǎng)安擴展能力服務(wù)器實現(xiàn)惡意文件還原、網(wǎng)絡(luò)異常行為監(jiān)測等網(wǎng)安功能。

5 系統(tǒng)部署

系統(tǒng)流量采集覆蓋范圍為IDC 出口雙向流量、互聯(lián)網(wǎng)專線出口鏈路雙向流量。

IDCISP 信安系統(tǒng)部署如圖3 所示，建議如下。

圖3 IDCISP 信安系統(tǒng)部署示意圖

（1）控制單元（含統(tǒng)一接口單元、數(shù)據(jù)單元）統(tǒng)一部署于省中心；有條件的可以采用存算分離的方式進行部署，即接口單元和控制單元統(tǒng)一部署，數(shù)據(jù)存儲單元分散部署。

（2）分流單元、全量執(zhí)行單元、特定網(wǎng)安執(zhí)行單元、數(shù)安執(zhí)行單元主要部署于各地市IDC 機房或匯聚機房。

（3）全量執(zhí)行單元接收和處理全量流量，特定網(wǎng)安執(zhí)行單元、數(shù)安執(zhí)行單元接收和處理按需流量。

6 系統(tǒng)云化

IDCISP 信息安全管理系統(tǒng)主要采用的是X86 架構(gòu)服務(wù)器，且各網(wǎng)元接口均已實現(xiàn)IP 化，具備虛擬條件。其中CU 控制單元根據(jù)其網(wǎng)絡(luò)架構(gòu)特征及所用設(shè)備的特性，可以采用虛擬化技術(shù)實現(xiàn)云化部署。具體云化方案如圖4所示。

圖4 IDCISP 信息安全管理系統(tǒng)云化示意圖

云化部署建議：（1）在云節(jié)點新建CU 節(jié)點。

（2）應(yīng)用服務(wù)器由云資源池提供虛擬資源，便于部署新CU。

（3）采集服務(wù)器、存儲服務(wù)器結(jié)合現(xiàn)有資源，按需擴容，由云資源池提供虛擬資源或物理設(shè)備。

（4）云資源池節(jié)點與原CU 節(jié)點通過傳輸專線組網(wǎng)，采集服務(wù)器和存儲服務(wù)器不同節(jié)點部署時，盡量匹配資源，減少資源消耗。

（5）新建EU 節(jié)點盡量回傳新CU 所在云節(jié)點。

7 結(jié)束語

本文介紹IDCISP 信息安全管理系統(tǒng)并對系統(tǒng)的升級改造進行簡單描述，其中的信息安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全等與我們的生活息息相關(guān)。IDCISP 信安系統(tǒng)針對IDC及互聯(lián)網(wǎng)專線，通過各種技術(shù)手段，為依法加強互聯(lián)網(wǎng)管理，保障信息、數(shù)據(jù)及網(wǎng)絡(luò)安全，營造綠色、健康、有序的互聯(lián)網(wǎng)環(huán)境，凈化網(wǎng)絡(luò)不良內(nèi)容，提升網(wǎng)絡(luò)服務(wù)品質(zhì)，促進互聯(lián)網(wǎng)文化的繁榮發(fā)展和維護社會穩(wěn)定提供有效的技術(shù)手段和管理支撐。