Idc/isp信息安全管理系统及其信息管理方法
Idc/isp信息安全管理系统及其信息管理方法
【技术领域】
[0001] 本发明设及信息安全管理,具体为一种IDC/ISP信息安全管理系统及其信息管理 方法。
【背景技术】
[0002] 随着近年来互联网产业的飞速发展,互联网的服务模式和传播渠道也日趋多样 化。新闻网站、Π 户网站、捜索引擎、论坛、博客、P2P等多种服务模式并存,互联网已演化成 为一个虚拟社会,互联网安全管理面临空前的挑战。在加强互联网安全管理的同时,组织力 量开展互联网信息的汇集整理与分析,对于全面了解社情民意,做好网络宣传监管工作具 有重要意义。
[0003] 但目前,在互联网接入服务提供和管理工作中还存在安全意识淡薄、管理基础薄 弱、查处手段缺失,违法信息发现难、处置难,日志留存落实不到位等问题和薄弱环节。
【发明内容】
[0004] 针对现有技术中的问题,本发明提供一种对IDC/ISP进行基础数据管理、访问日志 管理和信息安全管理的IDC/ISP信息安全管理系统及其信息管理方法。
[000引为了达到上述目的,本发明的技术方案是:一种IDC/ISP信息安全管理系统包括控 制平台、网站备案管理系统、IDC运营管理平台、省端执行系统、统一DPI设备系统对接组成;
[0006] 控制平台:负责与安全监管系统、网站备案管理系统、省端执行系统进行对接;接 收网站备案管理系统同步的基础数据;提供基础数据录入、添加、修改、删除,提供XML或化S 等格式实现基础数据导入导出功能;支持接收SMMS下发的基础数据退回信息,并支持将退 回信息转发至网站备案管理系统;接收、保存省端执行系统上报的活跃资源统计信息、监测 日志、过滤日志等;转发SMMS下发的违法信息监测、过滤指令、访问日志查询指令、违法信息 规则库、信息安全管理指令查询指令、代码表发布指令;转发SMMS下发的违法网站、免过滤 网站列表(域名、IP形式);负责上报IDC/ISP基础数据、访问日志、监测日志、过滤日志、查询 指令结果至SMMS;接收省端执行系统定时上报的活跃资源统计信息,并提取日志中的IP、 U化等信息进行除重并计数;支持将除重后的IP、mL等信息与基础数据进行比对,实现活跃 资源监测、异常IP监测和违法违规网站发现;提供系统管理功能;控制平台可W通过不良信 息监控系统中央平台改造实现或是由省公司自建控制平台。
[0007] 安全监管系统:负责提供基于IP地址、端口、域名、1]化、关键词等条件的违法信息 规则库;下发访问日志查询、监测、过滤指令;下发信息安全管理指令查询指令;下发代码表 发布指令;接收控制平台上报监测日志、过滤日志、告警信息及查询指令结果、指令执行情 况;下发违法网站、免过滤网站列表(域名、IP形式)。
[000引IDC运营管理平台:提供基础数据信息至网站备案管理系统,同步工信部业务综合 管理系统的数据代码表信息至网站备案管理系统,接收网站备案管理系统下发的基础数据 退回信息;
[0009] 网站备案管理系统:接收IDC运营管理平台同步的基础数据信息;实现对IDC机房 及用户的基础信息管理,包括对IDC经营单位、IDC机房数据及IDC用户数据等信息的数据导 入、添加、删除/修改和上报等功能;提供XML或XLS等常见数据格式进行基础数据导入导出 功能,并能进行本地数据冲突校验,避免因导入数据可能出现的错漏与既有数据产生冲突; 提供基础数据补录接口;支持接收控制平台下发的基础数据退回信息,并支持将退回信息 转发至IDC运营管理系统;上报IDC/ISP基础数据信息至控制平台;
[0010] 省端执行系统:负责保存控制平台下发的违法网站、免过滤网站列表,基于IP、端 口、域名、m?L、关键词等条件的违法信息规则库;统一 DPI负责对现网流量进行采集,对流量 数据进行分析、识别、还原;支持对活跃资源信息进行统计并将结果定时上报至控制平台; 对发现的违法信息进行记录并形成监测日志;上报监测日志至控制平台;对发现的违法信 息依据过滤指令进行过滤封堵处置;输出并上报过滤日志至控制平台;统一 DPI将流量日志 发送至日志合成服务器,日志合成服务器生成原始XDR话单并发送至数据合成服务器(原日 志留存系统中的网络日志服务器)进行存储;
[0011] 统一DPI设备系统:接收日志合成服务器提供的访问日志原始XDR话单;提供访问 日志数据存储;提供访问日志查询接口;提供活跃域名、活跃IP及应用端口等信息至省端执 行系统。
[0012] 为了达到上述目的,本发明的技术方案是:一种IDC/ISP信息安全管理系统的信息 管理方法,包括:
[001引基础数据上报
[0014] 基础数据上报主要实现对IDC机房及用户的基础信息采集、管理和上报。基础数据 上报指ISMS将IDC/ISP经营单位信息、机房数据和IDC/ISP用户数据上报至SMMS,并及时将 含修改内容的记录上报至SMMS,SMMS下发查询指令对基础数据进行查询;
[0015] (l)ID(yiSP经营单位信息,包括:ID(VISP许可证号、单位名称(与许可证上登记信 息一致)、单位地址及邮编、企业法人、网络信息安全责任人、应急联系人信息;
[0016] (2)机房数据,包括:机房编号、机房名称、机房性质、机房所在地、机房地址及邮 编、机房网络信息安全责任人信息、互联网出入口信息列表及IP段信息列表,其中:
[0017 ] ①互联网出入口信息包括互联网出入口编号、网关IP地址、带宽;
[0018] ②IP段信息包括起始IP地址、终止IP地址、IP地址使用方式、使用单位信息、分配 使用时间;
[0019] (3HDC/ISP用户数据,包括:用户属性(提供应用服务/其他)、单位名称(或姓名)、 单位地址及邮编、单位属性、证件类型、证件号码、网络信息安全责任人信息,提供应用服务 的用户需要上报应用服务信息列表,其他用户则需要上报占用机房信息,其中:
[0020] ①应用服务信息包括登记备案属性、许可证号或备案号、接入方式、服务内容、域 名信息列表(对支持域名指向的应用服务,如:HTTP、FTP、SMTP、P0P3等需提供本级域名)及 占用机房?目息;
[0021] ②占用机房信息包括机房编码、分配的IP地址(如果为应用服务分配的是私网地 址,则需要NAT地址映射表)、带宽及分配时间。
[0022] IDCyiSP基础数据可通过网站未备案发现系统与对接,获取所需的基础数据。网站 未备案发现系统汇总该平台和IDC运营管理平台已有的基础数据,控制平台、IDC运营管理 平台提供手动录入接口;
[0023] 基础数据监测
[0024] 对机房内的IP使用方式进行监测,实时发现未报备IP地址接入、发现实际使用情 况与报备不符的IP。
[0025] 对发现异常的IP地址记录:IP、登记使用方式、登记域名、异常类型(使用方式或登 记域名异常)、实际使用方式、实际域名、发现时间等监测信息。监测信息定时上报(上报周 期为日),并供SMMS查询;
[0026] 日志生成及存储
[0027] ISMS对IDC/ISP的上行流量(包含但不限于基于HTTP、FTP、SMTP、P0P3等协议的流 量)数据进行监测,并记录和统计访问信息,由日志合成服务器(功能包含在日志统计分析 服务器中)生成访问日志,由网络日志服务器进行存储。
[002引日志查询
[0029] 原始访问日志在网络日志服务器进行存储,控制平台对存储在网络日志服务器中 的访问日志进行查询,并将查询结果上报至SMMS。
[0030] 信息安全管理
[0031 ]信息安全管理不仅要实现对IDC机房域名、m?L、IP、端口、协议、关键字网页内容等 信息;在应急状态下,可实现区域管控功能;实现网站访问日志、关键词访问及违法违规网 站、BBS发帖等日志的查询功能;同时还要实现网络安全监测功能,能够辨别和防护僵木蠕 病毒、缓冲区溢出攻击、拒绝服务攻击等。
[0032] 违法违规网站管理
[0033] ISMS具备违法违规网站的发现、处置及上报功能,并记录违法违规网站相关信息, 定时上报至SMMS,并供SMMS查询。
[0034] 违法信息监测发现
[003引 ISMS对IDC/ISP的双向流量(包含但不限于基于HTTP、FTP、SMTP等协议的流量)数 据进行监测,对发现的违法信息进行记录,形成监测日志,并在触发监测指令10分钟内上报 至SMMS。违法信息监测发现功能由信息安全管理模块实现,
[0036] 违法信息过滤处置
[0037] ISMS对IDC/ISP的双向流量(包含但不限于基于HTTP、FTP、SMTP等协议的流量)数 据进行监测,根据管理要求针对违法信息生成过滤指令,对发现的违法信息进行过滤处置, 并进行记录形成过滤日志,并在触发过滤指令10分钟内上报至SMMS。
[003引安全管理
[0039] 安全管理提供有效的控制机制,对用户接入、访问即时消息业务服务平台进行限 审IJ,确保每个合法用户能够正常登录、使用已授权的软件模块、操作合法级别的命令,防止 越权访问的情况发生,W保障网络设备的安全运行,并对系统中发生的认证,授权访问等操 作进行记账,使操作具有不可否认性。
[0040] 根据上述方案可W看出本实用具有如下优点:通过该系统可W全面了解社情民 意,做好网络宣传监管工作,并解决互联网接入服务提供和管理工作中存在的安全意识淡 薄、管理基础薄弱、查处手段缺失,违法信息发现难、处置难,日志留存落实不到位等问题和 薄弱环节。
[0041] 满足工信部关于IDC/ISP信息安全管理系统的相关要求,同时满足省内用户访问 IDC业务行为分析、省内重点ICP流量流向分析、IDC业务和流量精细化控制等需求。
【附图说明】
[0042] 附图1为本发明的IDC/ISP信息安全管理系统的网络拓扑示意图。
[0043] 附图2为本发明的SMMS系统的框图示意图。
[0044] 附图3为本发明的IDC/ISP信息安全管理系统的信息管理方法的示意图。
[004引附图4为本发明的IDC/ISP信息安全管理系统的信息管理方法的示意图。
[0046] 附图5为本发明的IDC/ISP信息安全管理系统的信息管理方法的示意图。
[0047] 附图6为本发明的IDC/ISP信息安全管理系统的信息管理方法的示意图。
[0048] 附图7为本发明的IDC/ISP信息安全管理系统的信息管理方法的示意图。
[0049] 附图8为本发明的IDC/ISP信息安全管理系统的信息管理方法的示意图。
[0050] 附图9为本发明的IDC/ISP信息安全管理系统的信息管理方法的示意图。
【具体实施方式】
[0051 ]下面结合附图和实施例对本发明进行进一步说明。
[0052] 一种IDC/ISP信息安全管理系统包括控制平台、网站备案管理系统、IDC运营管理 平台、省端执行系统、统一 DPI设备系统对接组成;
[0053] 控制平台:负责与安全监管系统、网站备案管理系统、省端执行系统进行对接;接 收网站备案管理系统同步的基础数据;提供基础数据录入、添加、修改、删除,提供XML或化S 等格式实现基础数据导入导出功能;支持接收SMMS下发的基础数据退回信息,并支持将退 回信息转发至网站备案管理系统;接收、保存省端执行系统上报的活跃资源统计信息、监测 日志、过滤日志等;转发SMMS下发的违法信息监测、过滤指令、访问日志查询指令、违法信息 规则库、信息安全管理指令查询指令、代码表发布指令;转发SMMS下发的违法网站、免过滤 网站列表(域名、IP形式);负责上报IDC/ISP基础数据、访问日志、监测日志、过滤日志、查询 指令结果至SMMS;接收省端执行系统定时上报的活跃资源统计信息,并提取日志中的IP、 U化等信息进行除重并计数;支持将除重后的IP、mL等信息与基础数据进行比对,实现活跃 资源监测、异常IP监测和违法违规网站发现;提供系统管理功能;控制平台可W通过不良信 息监控系统中央平台改造实现或是由省公司自建控制平台。
[0054] 安全监管系统:负责提供基于IP地址、端口、域名、11化、关键词等条件的违法信息 规则库;下发访问日志查询、监测、过滤指令;下发信息安全管理指令查询指令;下发代码表 发布指令;接收控制平台上报监测日志、过滤日志、告警信息及查询指令结果、指令执行情 况;下发违法网站、免过滤网站列表(域名、IP形式)。
[0055] IDC运营管理平台:提供基础数据信息至网站备案管理系统,同步工信部业务综合 管理系统的数据代码表信息至网站备案管理系统,接收网站备案管理系统下发的基础数据 退回信息;
[0056] 网站备案管理系统:接收IDC运营管理平台同步的基础数据信息;实现对IDC机房 及用户的基础信息管理,包括对IDC经营单位、IDC机房数据及IDC用户数据等信息的数据导 入、添加、删除/修改和上报等功能;提供XML或XLS等常见数据格式进行基础数据导入导出 功能,并能进行本地数据冲突校验,避免因导入数据可能出现的错漏与既有数据产生冲突; 提供基础数据补录接口;支持接收控制平台下发的基础数据退回信息,并支持将退回信息 转发至IDC运营管理系统;上报IDC/ISP基础数据信息至控制平台;
[0057] 省端执行系统:负责保存控制平台下发的违法网站、免过滤网站列表,基于IP、端 口、域名、m?L、关键词等条件的违法信息规则库;统一 DPI负责对现网流量进行采集,对流量 数据进行分析、识别、还原;支持对活跃资源信息进行统计并将结果定时上报至控制平台; 对发现的违法信息进行记录并形成监测日志;上报监测日志至控制平台;对发现的违法信 息依据过滤指令进行过滤封堵处置;输出并上报过滤日志至控制平台;统一 DPI将流量日志 发送至日志合成服务器,日志合成服务器生成原始XDR话单并发送至数据合成服务器(原日 志留存系统中的网络日志服务器)进行存储;
[0058] 统一DPI设备系统:接收日志合成服务器提供的访问日志原始XDR话单;提供访问 日志数据存储;提供访问日志查询接口;提供活跃域名、活跃IP及应用端口等信息至省端执 行系统。
[0059] 一种IDC/ISP信息安全管理系统的信息管理方法,包括:
[0060] 基础数据上报
[0061] 基础数据上报主要实现对IDC机房及用户的基础信息采集、管理和上报。基础数据 上报指ISMS将IDC/ISP经营单位信息、机房数据和IDC/ISP用户数据上报至SMMS,并及时将 含修改内容的记录上报至SMMS,SMMS下发查询指令对基础数据进行查询;
[0062] (l)ID(yiSP经营单位信息,包括:ID(VISP许可证号、单位名称(与许可证上登记信 息一致)、单位地址及邮编、企业法人、网络信息安全责任人、应急联系人信息;
[0063] (2)机房数据,包括:机房编号、机房名称、机房性质、机房所在地、机房地址及邮 编、机房网络信息安全责任人信息、互联网出入口信息列表及IP段信息列表,其中:
[0064] ①互联网出入口信息包括互联网出入口编号、网关IP地址、带宽;
[0065] ②IP段信息包括起始IP地址、终止IP地址、IP地址使用方式、使用单位信息、分配 使用时间;
[0066] (3)ID(VISP用户数据,包括:用户属性(提供应用服务/其他)、单位名称(或姓名)、 单位地址及邮编、单位属性、证件类型、证件号码、网络信息安全责任人信息,提供应用服务 的用户需要上报应用服务信息列表,其他用户则需要上报占用机房信息,其中:
[0067] ①应用服务信息包括登记备案属性、许可证号或备案号、接入方式、服务内容、域 名信息列表(对支持域名指向的应用服务,如:HTTP、FTP、SMTP、P0P3等需提供本级域名)及 占用机房?目息;
[0068] ②占用机房信息包括机房编码、分配的IP地址(如果为应用服务分配的是私网地 址,则需要NAT地址映射表)、带宽 及分配时间。
[0069] IDCyiSP基础数据可通过网站未备案发现系统与对接,获取所需的基础数据。网站 未备案发现系统汇总该平台和IDC运营管理平台已有的基础数据,控制平台、IDC运营管理 平台提供手动录入接口;
[0070] 基础数据监测
[0071] 对机房内的IP使用方式进行监测,实时发现未报备IP地址接入、发现实际使用情 况与报备不符的IP。
[0072] 对发现异常的IP地址记录:IP、登记使用方式、登记域名、异常类型(使用方式或登 记域名异常)、实际使用方式、实际域名、发现时间等监测信息。监测信息定时上报(上报周 期为日),并供SMMS查询;
[0073] 日志生成及存储
[0074] ISMS对IDC/ISP的上行流量(包含但不限于基于HTTP、FTP、SMTP、P0P3等协议的流 量)数据进行监测,并记录和统计访问信息,由日志合成服务器(功能包含在日志统计分析 服务器中)生成访问日志,由网络日志服务器进行存储。
[007引 日志查询
[0076] 原始访问日志在网络日志服务器进行存储,控制平台对存储在网络日志服务器中 的访问日志进行查询,并将查询结果上报至SMMS。
[0077] 信息安全管理
[0078] 信息安全管理不仅要实现对IDC机房域名、m?L、IP、端口、协议、关键字网页内容等 信息;在应急状态下,可实现区域管控功能;实现网站访问日志、关键词访问及违法违规网 站、BBS发帖等日志的查询功能;同时还要实现网络安全监测功能,能够辨别和防护僵木蠕 病毒、缓冲区溢出攻击、拒绝服务攻击等。
[0079] 违法违规网站管理
[0080] ISMS具备违法违规网站的发现、处置及上报功能,并记录违法违规网站相关信息, 定时上报至SMMS,并供SMMS查询。
[0081] 违法信息监测发现
[0082] SMS对IDC/ISP的双向流量(包含但不限于基于HTTP、FTP、SMTP等协议的流量)数据 进行监测,对发现的违法信息进行记录,形成监测日志,并在触发监测指令10分钟内上报至 SMMS。违法信息监测发现功能由信息安全管理模块实现,
[0083] 违法信息过滤处置
[0084] ISMS对IDC/ISP的双向流量(包含但不限于基于HTTP、FTP、SMTP等协议的流量)数 据进行监测,根据管理要求针对违法信息生成过滤指令,对发现的违法信息进行过滤处置, 并进行记录形成过滤日志,并在触发过滤指令10分钟内上报至SMMS。
[0085] 安全管理
[0086] 安全管理提供有效的控制机制,对用户接入、访问即时消息业务服务平台进行限 审IJ,确保每个合法用户能够正常登录、使用已授权的软件模块、操作合法级别的命令,防止 越权访问的情况发生,W保障网络设备的安全运行,并对系统中发生的认证,授权访问等操 作进行记账,使操作具有不可否认性。
[0087] 统一 DPI 设备
[0088] 统一 DPI设备采用业界领先的64位众核处理进行设计和开发,该处理器针对网络 流量的转发和处理进行了优化,配合自主研发并针对多核硬件架构进行精屯、优化的新一代 并行多业务系统平台,对互联网流量进行精细化管理,并具备IDC/ISP不良信息管控需求而 设计的流量采集、分析和管理设备。该设备除提供综合流量分析、应用层流量管理、用户行 为分析等功能外,还具备符合工信部有关不良信息过滤及ICP/ISP备案所要求的各种功能 和标准接口,具备与多家CU厂商平台对接的能力,从而构建满足工信部及运营商要求的 iDcyisp信息安全管理解决方案。
[0089] 统一DPI设备的处理能力包括W下类型:
[0090]
[0091 ] DPI设备硬件上采用多核处理器+ASIC+FPGA+TACM架构,并实现控制平面的系统维 护与数据平面的快速转发相互分离。在控制平面采用多核处理器,针对系统进行管理、调度 W及流量的识别、分析、处理。专用高性能多核处理器的多核并行处理能力为应用层内容安 全功能提供了强大的保障,同时又避免了纯ASIC和NP安全系统对会话可管理能力和流量控 制能力弱的弊病。
[0092] 在数据平面采用ASIC+FPGA硬件数据转发结构,基于TCAM硬件实现查表。CI0Q结构 设计的交换网保证系统在未来可扩展到10G的总体结构,支持虚拟输入输出队列(VoQ),可 W避免线端阻塞化0LB),提高系统整体效率。
[0093] ASIC最大的特点就是具有高速稳定的转发处理能力。FPGA作为可编程ASIC,具有 可升级的灵活性,同时可具备较高的交换性能;加上TCAM高速查表技术(多并行计算,每秒 钟可处理上百万条记录),可支持更多更复杂的业务。流量的存储、速率管理、拥塞控制、队 列的管理调度等功能。FPGA完成包的封装识别、协议库查找,并且查找使用TCAM技术,特点 是查找速度快,且查找速率与具体的关键字和表的大小无关,甚至启动A化和流分类运样复 杂的查找,也丝毫不影响查找速度。因此ASIC和FPGA共同完成数据的匹配、存储、转发、流量 控制管。
[0094] 在系统软件方面DPI设备采用专用多线程实时64位并行操作系统,多线程的并行 处理能力和模块化的结构易于集成和扩展安全功能,专用的安全加固的64位操作系统针对 新一代多核处理器安全架构进行了全面的优化和安全加固,极大地提高了系统的处理效 率、系统稳定性和安全性。模块化和多线程的处理机制,为新一代的网络安全系统提供了极 大的可扩展能力,包括支持更多核处理器和集成更多安全功能。
[0095] 1、软件要求为模块化结构
[0096] DPI设备系统软件采用模块化结构设计,不同的模块实现不同的功能。不同的模块 间的信息交互使用标准的loCtl函数或者消息进行。
[0097] 软件模块对内部数据结构的访问前都要对输入参数进行了严格的范围判断检查, 参数值不在合格范围内时访问操作都被禁止,避免因为错误的输入而发生运行错误;
[0098] 模块的重要数据结构与临时变量使用了不同的空间范围,避免重要数据结构被意 外修改;对系统的内存进行了分段保护,保证了模块的独立性;通过W上手段保证了软件的 容错性。
[0099] 2、软件模块的维护和更新都不影响其它软件模块。
[0100] 软件模块化结构:必须保证软件为模块化结构、安全可靠、具有容错能力,任何软 件模块的维护和更新都不影响其它软件模块。
[0101] DPI设备软件均采用模块化设计,不同的模块实现不同的功能。不同的模块间的信 息交互使用标准的loCtl函数或者消息进行。模块内部的数据结构都使用函数或者宏进行 了封装,其他模块访问模块内部的数据结构只能够通过封装后函数或者宏来访问,不能够 直接对模块内部的数据结构进行修改。因此,模块内部的修改不会对周围的模块产生影响。
[0102] 采用创新的新一代网络安全架构的DPI设备提供了更高、更可靠、更稳定和更安全 的综合处理能力,开创了新一代网络安全的新纪元
[0103] CU 配置
[0104] 在CU(控制平台)中,主要需要配置日志统计分析服务器,WEB应用服务器,数据库 服务器。
[0105] 日志统计分析服务器主要包含日志合成服务器的功能,即负责从数据流量中生成 和接收访问日志,还要负责访问日志的汇总与上传,其中访问日志的数据处理占据了服务 器的大部分使用性能。
[0106] W邸应用服务器主要负责基础数据的汇总与上传、系统配置和权限管理,接口模块 管理,统计报表管理等。基础数据的来源主要包括从网站备案系统和IDC运营管理平台获 取,W及从本地手工或者批量录入。
[0107] 可W理解的是,W上关于本发明的具体描述,仅用于说明本发明而并非受限于本 发明实施例所描述的技术方案,本领域的普通技术人员应当理解,仍然可W对本发明进行 修改或等同替换,W达到相同的技术效果;只要满足使用需要,都在本发明的保护范围之 内。
【主权项】< br>1. 一种IDC/ISP信息安全管理系统包括控制平台、网站备案管理系统、IDC运营管理平 台、省端执行系统、统一DPI设备系统对接组成; 控制平台:负责与安全监管系统、网站备案管理系统、省端执行系统进行对接;接收网 站备案管理系统同步的基础数据;提供基础数据录入、添加、修改、删除,提供XML或XLS等格 式实现基础数据导入导出功能;支持接收SMMS下发的基础数据退回信息,并支持将退回信 息转发至网站备案管理系统;接收、保存省端执行系统上报的活跃资源统计信息、监测日 志、过滤日志等;转发SMMS下发的违法信息监测、过滤指令、访问日志查询指令、违法信息规 则库、信息安全管理指令查询指令、代码表发布指令;转发SMMS下发的违法网站、免过滤网 站列表(域名、IP形式);负责上报IDC/ISP基础数据、访问日志、监测日志、过滤日志、查询指 令结果至SMMS;接收省端执行系统定时上报的活跃资源统计信息,并提取日志中的IP、URL 等信息进行除重并计数;支持将除重后的IP、URL等信息与基础数据进行比对,实现活跃资 源监测、异常IP监测和违法违规网站发现;提供系统管理功能;控制平台可以通过不良信息 监控系统中央平台改造实现或是由省公司自建控制平台。 安全监管系统:负责提供基于IP地址、端口、域名、URL、关键词等条件的违法信息规则 库;下发访问日志查询、监测、过滤指令;下发信息安全管理指令查询指令;下发代码表发布 指令;接收控制平台上报监测日志、过滤日志、告警信息及查询指令结果、指令执行情况;下 发违法网站、免过滤网站列表(域名、IP形式)。 IDC运营管理平台:提供基础数据信息至网站备案管理系统,同步工信部业务综合管理 系统的数据代码表信息至网站备案管理系统,接收网站备案管理系统下发的基础数据退回 信息; 网站备案管理系统:接收IDC运营管理平台同步的基础数据信息;实现对IDC机房及用 户的基础信息管理,包括对IDC经营单位、IDC机房数据及IDC用户数据等信息的数据导入、 添加、删除/修改和上报等功能;提供XML或XLS等常见数据格式进行基础数据导入导出功 能,并能进行本地数据冲突校验,避免因导入数据可能出现的错漏与既有数据产生冲突;提 供基础数据补录接口;支持接收控制平台下发的基础数据退回信息,并支持将退回信息转 发至IDC运营管理系统;上报IDC/ISP基础数据信息至控制平台; 省端执行系统:负责保存控制平台下发的违法网站、免过滤网站列表,基于IP、端口、域 名、URL、关键词等条件的违法信息规则库;统一DPI负责对现网流量进行采集,对流量数据 进行分析、识别、还原;支持对活跃资源信息进行统计并将结果定时上报至控制平台;对发 现的违法信息进行记录并形成监测日志;上报监测日志至控制平台;对发现的违法信息依 据过滤指令进行过滤封堵处置;输出并上报过滤日志至控制平台;统一DPI将流量日志发送 至日志合成服务器,日志合成服务器生成原始XDR话单并发送至数据合成服务器(原日志留 存系统中的网络日志服务器)进行存储; 统一DPI设备系统:接收日志合成服务器提供的访问日志原始XDR话单;提供访问日志 数据存储;提供访问日志查询接口;提供活跃域名、活跃IP及应用端口等信息至省端执行系 统。2. -种IDC/ISP信息安全管理系统的信息管理方法,包括: 基础数据上报: 基础数据上报实现对IDC机房及用户的基础信息采集、管理和上报。基础数据上报指 ISMS将IDC/ISP经营单位信息、机房数据和IDC/ISP用户数据上报至SMMS,并及时将含修改 内容的记录上报至SMMS,SMMS下发查询指令对基础数据进行查询; (1)IDC/ISP经营单位信息,包括:IDC/ISP许可证号、单位名称(与许可证上登记信息一 致)、单位地址及邮编、企业法人、网络信息安全责任人、应急联系人信息; (2) 机房数据,包括:机房编号、机房名称、机房性质、机房所在地、机房地址及邮编、机 房网络信息安全责任人信息、互联网出入口信息列表及IP段信息列表,其中: ① 互联网出入口信息包括互联网出入口编号、网关IP地址、带宽; ②IP段信息包括起始IP地址、终止IP地址、IP地址使用方式、使用单位信息、分配使用 时间; (3)IDC/ISP用户数据,包括:用户属性(提供应用服务/其他)、单位名称(或姓名)、单位 地址及邮编、单位属性、证件类型、证件号码、网络信息安全责任人信息,提供应用服务的用 户需要上报应用服务信息列表,其他用户则需要上报占用机房信息,其中: ①应用服务信息包括登记备案属性、许可证号或备案号、接入方式、服务内容、域名信 息列表(对支持域名指向的应用服务,如:HTTP、FTP、SMTP、POP3等需提供本级域名)及占用 机房ig息; ② 占用机房信息包括机房编码、分配的IP地址(如果为应用服务分配的是私网地址,则 需要NAT地址映射表)、带宽及分配时间。 IDC/ISP基础数据可通过网站未备案发现系统与对接,获取所需的基础数据。网站未备 案发现系统汇总该平台和IDC运营管理平台已有的基础数据,控制平台、IDC运营管理平台 提供手动录入接口; 基础数据监测: 对机房内的IP使用方式进行监测,实时发现未报备IP地址接入、发现实际使用情况与 报备不符的IP。 对发现异常的IP地址记录:IP、登记使用方式、登记域名、异常类型(使用方式或登记域 名异常)、实际使用方式、实际域名、发现时间等监测信息。监测信息定时上报(上报周期为 日),并供SMMS查询; 日志生成及存储: ISMS对IDC/ISP的上行流量(包含但不限于基于取^、?了?、310^(^3等协议的流量)数 据进行监测,并记录和统计访问信息,由日志合成服务器(功能包含在日志统计分析服务器 中)生成访问日志,由网络日志服务器进行存储。 日志查询: 原始访问日志在网络日志服务器进行存储,控制平台对存储在网络日志服务器中的访 问日志进行查询,并将查询结果上报至SMMS。 信息安全管理: 信息安全管理不仅要实现对IDC机房域名、URL、IP、端口、协议、关键字网页内容等信 息;在应急状态下,可实现区域管控功能;实现网站访问日志、关键词访问及违法违规网站、 BBS发帖等日志的查询功能;同时还要实现网络安全监测功能,能够辨别和防护僵木蠕病 毒、缓冲区溢出攻击、拒绝服务攻击等。 违法违规网站管理: ISMS具备违法违规网站的发现、处置及上报功能,并记录违法违规网站相关信息,定时 上报至SMMS,并供SMMS查询。 违法信息监测发现: ISMS对IDC/ISP的双向流量(包含但不限于基于HTTP、FTP、SMTP等协议的流量)数据进 行监测,对发现的违法信息进行记录,形成监测日志,并在触发监测指令10分钟内上报至 SMMS。违法信息监测发现功能由信息安全管理模块实现, 违法信息过滤处置: ISMS对IDC/ISP的双向流量(包含但不限于基于HTTP、FTP、SMTP等协议的流量)数据进 行监测,根据管理要求针对违法信息生成过滤指令,对发现的违法信息进行过滤处置,并进 行记录形成过滤日志,并在触发过滤指令10分钟内上报至SMMS。 安全管理: 安全管理提供有效的控制机制,对用户接入、访问即时消息业务服务平台进行限制,确 保每个合法用户能够正常登录、使用已授权的软件模块、操作合法级别的命令,防止越权访 问的情况发生,以保障网络设备的安全运行,并对系统中发生的认证,授权访问等操作进行 记账,使操作具有不可否认性。
【专利摘要】本发明公开了一种本发明涉及信息安全管理,具体为一种对IDC/ISP进行基础数据管理、访问日志管理和信息安全管理的IDC/ISP信息安全管理系统及其信息管理方法,包括控制平台、网站备案管理系统、IDC运营管理平台、省端执行系统、统一DPI设备系统对接组成。
【IPC分类】H04L29/08, H04L12/24, H04L29/06, G06F17/30
【公开号】CN105490831
【申请号】CN201510665515
【发明人】黄永军
【申请人】北京微智信业科技有限公司
【公开日】2016年4月13日
【申请日】2015年10月16日
【技术领域】
[0001] 本发明设及信息安全管理,具体为一种IDC/ISP信息安全管理系统及其信息管理 方法。
【背景技术】
[0002] 随着近年来互联网产业的飞速发展,互联网的服务模式和传播渠道也日趋多样 化。新闻网站、Π 户网站、捜索引擎、论坛、博客、P2P等多种服务模式并存,互联网已演化成 为一个虚拟社会,互联网安全管理面临空前的挑战。在加强互联网安全管理的同时,组织力 量开展互联网信息的汇集整理与分析,对于全面了解社情民意,做好网络宣传监管工作具 有重要意义。
[0003] 但目前,在互联网接入服务提供和管理工作中还存在安全意识淡薄、管理基础薄 弱、查处手段缺失,违法信息发现难、处置难,日志留存落实不到位等问题和薄弱环节。
【发明内容】
[0004] 针对现有技术中的问题,本发明提供一种对IDC/ISP进行基础数据管理、访问日志 管理和信息安全管理的IDC/ISP信息安全管理系统及其信息管理方法。
[000引为了达到上述目的,本发明的技术方案是:一种IDC/ISP信息安全管理系统包括控 制平台、网站备案管理系统、IDC运营管理平台、省端执行系统、统一DPI设备系统对接组成;
[0006] 控制平台:负责与安全监管系统、网站备案管理系统、省端执行系统进行对接;接 收网站备案管理系统同步的基础数据;提供基础数据录入、添加、修改、删除,提供XML或化S 等格式实现基础数据导入导出功能;支持接收SMMS下发的基础数据退回信息,并支持将退 回信息转发至网站备案管理系统;接收、保存省端执行系统上报的活跃资源统计信息、监测 日志、过滤日志等;转发SMMS下发的违法信息监测、过滤指令、访问日志查询指令、违法信息 规则库、信息安全管理指令查询指令、代码表发布指令;转发SMMS下发的违法网站、免过滤 网站列表(域名、IP形式);负责上报IDC/ISP基础数据、访问日志、监测日志、过滤日志、查询 指令结果至SMMS;接收省端执行系统定时上报的活跃资源统计信息,并提取日志中的IP、 U化等信息进行除重并计数;支持将除重后的IP、mL等信息与基础数据进行比对,实现活跃 资源监测、异常IP监测和违法违规网站发现;提供系统管理功能;控制平台可W通过不良信 息监控系统中央平台改造实现或是由省公司自建控制平台。
[0007] 安全监管系统:负责提供基于IP地址、端口、域名、1]化、关键词等条件的违法信息 规则库;下发访问日志查询、监测、过滤指令;下发信息安全管理指令查询指令;下发代码表 发布指令;接收控制平台上报监测日志、过滤日志、告警信息及查询指令结果、指令执行情 况;下发违法网站、免过滤网站列表(域名、IP形式)。
[000引IDC运营管理平台:提供基础数据信息至网站备案管理系统,同步工信部业务综合 管理系统的数据代码表信息至网站备案管理系统,接收网站备案管理系统下发的基础数据 退回信息;
[0009] 网站备案管理系统:接收IDC运营管理平台同步的基础数据信息;实现对IDC机房 及用户的基础信息管理,包括对IDC经营单位、IDC机房数据及IDC用户数据等信息的数据导 入、添加、删除/修改和上报等功能;提供XML或XLS等常见数据格式进行基础数据导入导出 功能,并能进行本地数据冲突校验,避免因导入数据可能出现的错漏与既有数据产生冲突; 提供基础数据补录接口;支持接收控制平台下发的基础数据退回信息,并支持将退回信息 转发至IDC运营管理系统;上报IDC/ISP基础数据信息至控制平台;
[0010] 省端执行系统:负责保存控制平台下发的违法网站、免过滤网站列表,基于IP、端 口、域名、m?L、关键词等条件的违法信息规则库;统一 DPI负责对现网流量进行采集,对流量 数据进行分析、识别、还原;支持对活跃资源信息进行统计并将结果定时上报至控制平台; 对发现的违法信息进行记录并形成监测日志;上报监测日志至控制平台;对发现的违法信 息依据过滤指令进行过滤封堵处置;输出并上报过滤日志至控制平台;统一 DPI将流量日志 发送至日志合成服务器,日志合成服务器生成原始XDR话单并发送至数据合成服务器(原日 志留存系统中的网络日志服务器)进行存储;
[0011] 统一DPI设备系统:接收日志合成服务器提供的访问日志原始XDR话单;提供访问 日志数据存储;提供访问日志查询接口;提供活跃域名、活跃IP及应用端口等信息至省端执 行系统。
[0012] 为了达到上述目的,本发明的技术方案是:一种IDC/ISP信息安全管理系统的信息 管理方法,包括:
[001引基础数据上报
[0014] 基础数据上报主要实现对IDC机房及用户的基础信息采集、管理和上报。基础数据 上报指ISMS将IDC/ISP经营单位信息、机房数据和IDC/ISP用户数据上报至SMMS,并及时将 含修改内容的记录上报至SMMS,SMMS下发查询指令对基础数据进行查询;
[0015] (l)ID(yiSP经营单位信息,包括:ID(VISP许可证号、单位名称(与许可证上登记信 息一致)、单位地址及邮编、企业法人、网络信息安全责任人、应急联系人信息;
[0016] (2)机房数据,包括:机房编号、机房名称、机房性质、机房所在地、机房地址及邮 编、机房网络信息安全责任人信息、互联网出入口信息列表及IP段信息列表,其中:
[0017 ] ①互联网出入口信息包括互联网出入口编号、网关IP地址、带宽;
[0018] ②IP段信息包括起始IP地址、终止IP地址、IP地址使用方式、使用单位信息、分配 使用时间;
[0019] (3HDC/ISP用户数据,包括:用户属性(提供应用服务/其他)、单位名称(或姓名)、 单位地址及邮编、单位属性、证件类型、证件号码、网络信息安全责任人信息,提供应用服务 的用户需要上报应用服务信息列表,其他用户则需要上报占用机房信息,其中:
[0020] ①应用服务信息包括登记备案属性、许可证号或备案号、接入方式、服务内容、域 名信息列表(对支持域名指向的应用服务,如:HTTP、FTP、SMTP、P0P3等需提供本级域名)及 占用机房?目息;
[0021] ②占用机房信息包括机房编码、分配的IP地址(如果为应用服务分配的是私网地 址,则需要NAT地址映射表)、带宽及分配时间。
[0022] IDCyiSP基础数据可通过网站未备案发现系统与对接,获取所需的基础数据。网站 未备案发现系统汇总该平台和IDC运营管理平台已有的基础数据,控制平台、IDC运营管理 平台提供手动录入接口;
[0023] 基础数据监测
[0024] 对机房内的IP使用方式进行监测,实时发现未报备IP地址接入、发现实际使用情 况与报备不符的IP。
[0025] 对发现异常的IP地址记录:IP、登记使用方式、登记域名、异常类型(使用方式或登 记域名异常)、实际使用方式、实际域名、发现时间等监测信息。监测信息定时上报(上报周 期为日),并供SMMS查询;
[0026] 日志生成及存储
[0027] ISMS对IDC/ISP的上行流量(包含但不限于基于HTTP、FTP、SMTP、P0P3等协议的流 量)数据进行监测,并记录和统计访问信息,由日志合成服务器(功能包含在日志统计分析 服务器中)生成访问日志,由网络日志服务器进行存储。
[002引日志查询
[0029] 原始访问日志在网络日志服务器进行存储,控制平台对存储在网络日志服务器中 的访问日志进行查询,并将查询结果上报至SMMS。
[0030] 信息安全管理
[0031 ]信息安全管理不仅要实现对IDC机房域名、m?L、IP、端口、协议、关键字网页内容等 信息;在应急状态下,可实现区域管控功能;实现网站访问日志、关键词访问及违法违规网 站、BBS发帖等日志的查询功能;同时还要实现网络安全监测功能,能够辨别和防护僵木蠕 病毒、缓冲区溢出攻击、拒绝服务攻击等。
[0032] 违法违规网站管理
[0033] ISMS具备违法违规网站的发现、处置及上报功能,并记录违法违规网站相关信息, 定时上报至SMMS,并供SMMS查询。
[0034] 违法信息监测发现
[003引 ISMS对IDC/ISP的双向流量(包含但不限于基于HTTP、FTP、SMTP等协议的流量)数 据进行监测,对发现的违法信息进行记录,形成监测日志,并在触发监测指令10分钟内上报 至SMMS。违法信息监测发现功能由信息安全管理模块实现,
[0036] 违法信息过滤处置
[0037] ISMS对IDC/ISP的双向流量(包含但不限于基于HTTP、FTP、SMTP等协议的流量)数 据进行监测,根据管理要求针对违法信息生成过滤指令,对发现的违法信息进行过滤处置, 并进行记录形成过滤日志,并在触发过滤指令10分钟内上报至SMMS。
[003引安全管理
[0039] 安全管理提供有效的控制机制,对用户接入、访问即时消息业务服务平台进行限 审IJ,确保每个合法用户能够正常登录、使用已授权的软件模块、操作合法级别的命令,防止 越权访问的情况发生,W保障网络设备的安全运行,并对系统中发生的认证,授权访问等操 作进行记账,使操作具有不可否认性。
[0040] 根据上述方案可W看出本实用具有如下优点:通过该系统可W全面了解社情民 意,做好网络宣传监管工作,并解决互联网接入服务提供和管理工作中存在的安全意识淡 薄、管理基础薄弱、查处手段缺失,违法信息发现难、处置难,日志留存落实不到位等问题和 薄弱环节。
[0041] 满足工信部关于IDC/ISP信息安全管理系统的相关要求,同时满足省内用户访问 IDC业务行为分析、省内重点ICP流量流向分析、IDC业务和流量精细化控制等需求。
【附图说明】
[0042] 附图1为本发明的IDC/ISP信息安全管理系统的网络拓扑示意图。
[0043] 附图2为本发明的SMMS系统的框图示意图。
[0044] 附图3为本发明的IDC/ISP信息安全管理系统的信息管理方法的示意图。
[004引附图4为本发明的IDC/ISP信息安全管理系统的信息管理方法的示意图。
[0046] 附图5为本发明的IDC/ISP信息安全管理系统的信息管理方法的示意图。
[0047] 附图6为本发明的IDC/ISP信息安全管理系统的信息管理方法的示意图。
[0048] 附图7为本发明的IDC/ISP信息安全管理系统的信息管理方法的示意图。
[0049] 附图8为本发明的IDC/ISP信息安全管理系统的信息管理方法的示意图。
[0050] 附图9为本发明的IDC/ISP信息安全管理系统的信息管理方法的示意图。
【具体实施方式】
[0051 ]下面结合附图和实施例对本发明进行进一步说明。
[0052] 一种IDC/ISP信息安全管理系统包括控制平台、网站备案管理系统、IDC运营管理 平台、省端执行系统、统一 DPI设备系统对接组成;
[0053] 控制平台:负责与安全监管系统、网站备案管理系统、省端执行系统进行对接;接 收网站备案管理系统同步的基础数据;提供基础数据录入、添加、修改、删除,提供XML或化S 等格式实现基础数据导入导出功能;支持接收SMMS下发的基础数据退回信息,并支持将退 回信息转发至网站备案管理系统;接收、保存省端执行系统上报的活跃资源统计信息、监测 日志、过滤日志等;转发SMMS下发的违法信息监测、过滤指令、访问日志查询指令、违法信息 规则库、信息安全管理指令查询指令、代码表发布指令;转发SMMS下发的违法网站、免过滤 网站列表(域名、IP形式);负责上报IDC/ISP基础数据、访问日志、监测日志、过滤日志、查询 指令结果至SMMS;接收省端执行系统定时上报的活跃资源统计信息,并提取日志中的IP、 U化等信息进行除重并计数;支持将除重后的IP、mL等信息与基础数据进行比对,实现活跃 资源监测、异常IP监测和违法违规网站发现;提供系统管理功能;控制平台可W通过不良信 息监控系统中央平台改造实现或是由省公司自建控制平台。
[0054] 安全监管系统:负责提供基于IP地址、端口、域名、11化、关键词等条件的违法信息 规则库;下发访问日志查询、监测、过滤指令;下发信息安全管理指令查询指令;下发代码表 发布指令;接收控制平台上报监测日志、过滤日志、告警信息及查询指令结果、指令执行情 况;下发违法网站、免过滤网站列表(域名、IP形式)。
[0055] IDC运营管理平台:提供基础数据信息至网站备案管理系统,同步工信部业务综合 管理系统的数据代码表信息至网站备案管理系统,接收网站备案管理系统下发的基础数据 退回信息;
[0056] 网站备案管理系统:接收IDC运营管理平台同步的基础数据信息;实现对IDC机房 及用户的基础信息管理,包括对IDC经营单位、IDC机房数据及IDC用户数据等信息的数据导 入、添加、删除/修改和上报等功能;提供XML或XLS等常见数据格式进行基础数据导入导出 功能,并能进行本地数据冲突校验,避免因导入数据可能出现的错漏与既有数据产生冲突; 提供基础数据补录接口;支持接收控制平台下发的基础数据退回信息,并支持将退回信息 转发至IDC运营管理系统;上报IDC/ISP基础数据信息至控制平台;
[0057] 省端执行系统:负责保存控制平台下发的违法网站、免过滤网站列表,基于IP、端 口、域名、m?L、关键词等条件的违法信息规则库;统一 DPI负责对现网流量进行采集,对流量 数据进行分析、识别、还原;支持对活跃资源信息进行统计并将结果定时上报至控制平台; 对发现的违法信息进行记录并形成监测日志;上报监测日志至控制平台;对发现的违法信 息依据过滤指令进行过滤封堵处置;输出并上报过滤日志至控制平台;统一 DPI将流量日志 发送至日志合成服务器,日志合成服务器生成原始XDR话单并发送至数据合成服务器(原日 志留存系统中的网络日志服务器)进行存储;
[0058] 统一DPI设备系统:接收日志合成服务器提供的访问日志原始XDR话单;提供访问 日志数据存储;提供访问日志查询接口;提供活跃域名、活跃IP及应用端口等信息至省端执 行系统。
[0059] 一种IDC/ISP信息安全管理系统的信息管理方法,包括:
[0060] 基础数据上报
[0061] 基础数据上报主要实现对IDC机房及用户的基础信息采集、管理和上报。基础数据 上报指ISMS将IDC/ISP经营单位信息、机房数据和IDC/ISP用户数据上报至SMMS,并及时将 含修改内容的记录上报至SMMS,SMMS下发查询指令对基础数据进行查询;
[0062] (l)ID(yiSP经营单位信息,包括:ID(VISP许可证号、单位名称(与许可证上登记信 息一致)、单位地址及邮编、企业法人、网络信息安全责任人、应急联系人信息;
[0063] (2)机房数据,包括:机房编号、机房名称、机房性质、机房所在地、机房地址及邮 编、机房网络信息安全责任人信息、互联网出入口信息列表及IP段信息列表,其中:
[0064] ①互联网出入口信息包括互联网出入口编号、网关IP地址、带宽;
[0065] ②IP段信息包括起始IP地址、终止IP地址、IP地址使用方式、使用单位信息、分配 使用时间;
[0066] (3)ID(VISP用户数据,包括:用户属性(提供应用服务/其他)、单位名称(或姓名)、 单位地址及邮编、单位属性、证件类型、证件号码、网络信息安全责任人信息,提供应用服务 的用户需要上报应用服务信息列表,其他用户则需要上报占用机房信息,其中:
[0067] ①应用服务信息包括登记备案属性、许可证号或备案号、接入方式、服务内容、域 名信息列表(对支持域名指向的应用服务,如:HTTP、FTP、SMTP、P0P3等需提供本级域名)及 占用机房?目息;
[0068] ②占用机房信息包括机房编码、分配的IP地址(如果为应用服务分配的是私网地 址,则需要NAT地址映射表)、带宽 及分配时间。
[0069] IDCyiSP基础数据可通过网站未备案发现系统与对接,获取所需的基础数据。网站 未备案发现系统汇总该平台和IDC运营管理平台已有的基础数据,控制平台、IDC运营管理 平台提供手动录入接口;
[0070] 基础数据监测
[0071] 对机房内的IP使用方式进行监测,实时发现未报备IP地址接入、发现实际使用情 况与报备不符的IP。
[0072] 对发现异常的IP地址记录:IP、登记使用方式、登记域名、异常类型(使用方式或登 记域名异常)、实际使用方式、实际域名、发现时间等监测信息。监测信息定时上报(上报周 期为日),并供SMMS查询;
[0073] 日志生成及存储
[0074] ISMS对IDC/ISP的上行流量(包含但不限于基于HTTP、FTP、SMTP、P0P3等协议的流 量)数据进行监测,并记录和统计访问信息,由日志合成服务器(功能包含在日志统计分析 服务器中)生成访问日志,由网络日志服务器进行存储。
[007引 日志查询
[0076] 原始访问日志在网络日志服务器进行存储,控制平台对存储在网络日志服务器中 的访问日志进行查询,并将查询结果上报至SMMS。
[0077] 信息安全管理
[0078] 信息安全管理不仅要实现对IDC机房域名、m?L、IP、端口、协议、关键字网页内容等 信息;在应急状态下,可实现区域管控功能;实现网站访问日志、关键词访问及违法违规网 站、BBS发帖等日志的查询功能;同时还要实现网络安全监测功能,能够辨别和防护僵木蠕 病毒、缓冲区溢出攻击、拒绝服务攻击等。
[0079] 违法违规网站管理
[0080] ISMS具备违法违规网站的发现、处置及上报功能,并记录违法违规网站相关信息, 定时上报至SMMS,并供SMMS查询。
[0081] 违法信息监测发现
[0082] SMS对IDC/ISP的双向流量(包含但不限于基于HTTP、FTP、SMTP等协议的流量)数据 进行监测,对发现的违法信息进行记录,形成监测日志,并在触发监测指令10分钟内上报至 SMMS。违法信息监测发现功能由信息安全管理模块实现,
[0083] 违法信息过滤处置
[0084] ISMS对IDC/ISP的双向流量(包含但不限于基于HTTP、FTP、SMTP等协议的流量)数 据进行监测,根据管理要求针对违法信息生成过滤指令,对发现的违法信息进行过滤处置, 并进行记录形成过滤日志,并在触发过滤指令10分钟内上报至SMMS。
[0085] 安全管理
[0086] 安全管理提供有效的控制机制,对用户接入、访问即时消息业务服务平台进行限 审IJ,确保每个合法用户能够正常登录、使用已授权的软件模块、操作合法级别的命令,防止 越权访问的情况发生,W保障网络设备的安全运行,并对系统中发生的认证,授权访问等操 作进行记账,使操作具有不可否认性。
[0087] 统一 DPI 设备
[0088] 统一 DPI设备采用业界领先的64位众核处理进行设计和开发,该处理器针对网络 流量的转发和处理进行了优化,配合自主研发并针对多核硬件架构进行精屯、优化的新一代 并行多业务系统平台,对互联网流量进行精细化管理,并具备IDC/ISP不良信息管控需求而 设计的流量采集、分析和管理设备。该设备除提供综合流量分析、应用层流量管理、用户行 为分析等功能外,还具备符合工信部有关不良信息过滤及ICP/ISP备案所要求的各种功能 和标准接口,具备与多家CU厂商平台对接的能力,从而构建满足工信部及运营商要求的 iDcyisp信息安全管理解决方案。
[0089] 统一DPI设备的处理能力包括W下类型:
[0090]
[0091 ] DPI设备硬件上采用多核处理器+ASIC+FPGA+TACM架构,并实现控制平面的系统维 护与数据平面的快速转发相互分离。在控制平面采用多核处理器,针对系统进行管理、调度 W及流量的识别、分析、处理。专用高性能多核处理器的多核并行处理能力为应用层内容安 全功能提供了强大的保障,同时又避免了纯ASIC和NP安全系统对会话可管理能力和流量控 制能力弱的弊病。
[0092] 在数据平面采用ASIC+FPGA硬件数据转发结构,基于TCAM硬件实现查表。CI0Q结构 设计的交换网保证系统在未来可扩展到10G的总体结构,支持虚拟输入输出队列(VoQ),可 W避免线端阻塞化0LB),提高系统整体效率。
[0093] ASIC最大的特点就是具有高速稳定的转发处理能力。FPGA作为可编程ASIC,具有 可升级的灵活性,同时可具备较高的交换性能;加上TCAM高速查表技术(多并行计算,每秒 钟可处理上百万条记录),可支持更多更复杂的业务。流量的存储、速率管理、拥塞控制、队 列的管理调度等功能。FPGA完成包的封装识别、协议库查找,并且查找使用TCAM技术,特点 是查找速度快,且查找速率与具体的关键字和表的大小无关,甚至启动A化和流分类运样复 杂的查找,也丝毫不影响查找速度。因此ASIC和FPGA共同完成数据的匹配、存储、转发、流量 控制管。
[0094] 在系统软件方面DPI设备采用专用多线程实时64位并行操作系统,多线程的并行 处理能力和模块化的结构易于集成和扩展安全功能,专用的安全加固的64位操作系统针对 新一代多核处理器安全架构进行了全面的优化和安全加固,极大地提高了系统的处理效 率、系统稳定性和安全性。模块化和多线程的处理机制,为新一代的网络安全系统提供了极 大的可扩展能力,包括支持更多核处理器和集成更多安全功能。
[0095] 1、软件要求为模块化结构
[0096] DPI设备系统软件采用模块化结构设计,不同的模块实现不同的功能。不同的模块 间的信息交互使用标准的loCtl函数或者消息进行。
[0097] 软件模块对内部数据结构的访问前都要对输入参数进行了严格的范围判断检查, 参数值不在合格范围内时访问操作都被禁止,避免因为错误的输入而发生运行错误;
[0098] 模块的重要数据结构与临时变量使用了不同的空间范围,避免重要数据结构被意 外修改;对系统的内存进行了分段保护,保证了模块的独立性;通过W上手段保证了软件的 容错性。
[0099] 2、软件模块的维护和更新都不影响其它软件模块。
[0100] 软件模块化结构:必须保证软件为模块化结构、安全可靠、具有容错能力,任何软 件模块的维护和更新都不影响其它软件模块。
[0101] DPI设备软件均采用模块化设计,不同的模块实现不同的功能。不同的模块间的信 息交互使用标准的loCtl函数或者消息进行。模块内部的数据结构都使用函数或者宏进行 了封装,其他模块访问模块内部的数据结构只能够通过封装后函数或者宏来访问,不能够 直接对模块内部的数据结构进行修改。因此,模块内部的修改不会对周围的模块产生影响。
[0102] 采用创新的新一代网络安全架构的DPI设备提供了更高、更可靠、更稳定和更安全 的综合处理能力,开创了新一代网络安全的新纪元
[0103] CU 配置
[0104] 在CU(控制平台)中,主要需要配置日志统计分析服务器,WEB应用服务器,数据库 服务器。
[0105] 日志统计分析服务器主要包含日志合成服务器的功能,即负责从数据流量中生成 和接收访问日志,还要负责访问日志的汇总与上传,其中访问日志的数据处理占据了服务 器的大部分使用性能。
[0106] W邸应用服务器主要负责基础数据的汇总与上传、系统配置和权限管理,接口模块 管理,统计报表管理等。基础数据的来源主要包括从网站备案系统和IDC运营管理平台获 取,W及从本地手工或者批量录入。
[0107] 可W理解的是,W上关于本发明的具体描述,仅用于说明本发明而并非受限于本 发明实施例所描述的技术方案,本领域的普通技术人员应当理解,仍然可W对本发明进行 修改或等同替换,W达到相同的技术效果;只要满足使用需要,都在本发明的保护范围之 内。
【主权项】< br>1. 一种IDC/ISP信息安全管理系统包括控制平台、网站备案管理系统、IDC运营管理平 台、省端执行系统、统一DPI设备系统对接组成; 控制平台:负责与安全监管系统、网站备案管理系统、省端执行系统进行对接;接收网 站备案管理系统同步的基础数据;提供基础数据录入、添加、修改、删除,提供XML或XLS等格 式实现基础数据导入导出功能;支持接收SMMS下发的基础数据退回信息,并支持将退回信 息转发至网站备案管理系统;接收、保存省端执行系统上报的活跃资源统计信息、监测日 志、过滤日志等;转发SMMS下发的违法信息监测、过滤指令、访问日志查询指令、违法信息规 则库、信息安全管理指令查询指令、代码表发布指令;转发SMMS下发的违法网站、免过滤网 站列表(域名、IP形式);负责上报IDC/ISP基础数据、访问日志、监测日志、过滤日志、查询指 令结果至SMMS;接收省端执行系统定时上报的活跃资源统计信息,并提取日志中的IP、URL 等信息进行除重并计数;支持将除重后的IP、URL等信息与基础数据进行比对,实现活跃资 源监测、异常IP监测和违法违规网站发现;提供系统管理功能;控制平台可以通过不良信息 监控系统中央平台改造实现或是由省公司自建控制平台。 安全监管系统:负责提供基于IP地址、端口、域名、URL、关键词等条件的违法信息规则 库;下发访问日志查询、监测、过滤指令;下发信息安全管理指令查询指令;下发代码表发布 指令;接收控制平台上报监测日志、过滤日志、告警信息及查询指令结果、指令执行情况;下 发违法网站、免过滤网站列表(域名、IP形式)。 IDC运营管理平台:提供基础数据信息至网站备案管理系统,同步工信部业务综合管理 系统的数据代码表信息至网站备案管理系统,接收网站备案管理系统下发的基础数据退回 信息; 网站备案管理系统:接收IDC运营管理平台同步的基础数据信息;实现对IDC机房及用 户的基础信息管理,包括对IDC经营单位、IDC机房数据及IDC用户数据等信息的数据导入、 添加、删除/修改和上报等功能;提供XML或XLS等常见数据格式进行基础数据导入导出功 能,并能进行本地数据冲突校验,避免因导入数据可能出现的错漏与既有数据产生冲突;提 供基础数据补录接口;支持接收控制平台下发的基础数据退回信息,并支持将退回信息转 发至IDC运营管理系统;上报IDC/ISP基础数据信息至控制平台; 省端执行系统:负责保存控制平台下发的违法网站、免过滤网站列表,基于IP、端口、域 名、URL、关键词等条件的违法信息规则库;统一DPI负责对现网流量进行采集,对流量数据 进行分析、识别、还原;支持对活跃资源信息进行统计并将结果定时上报至控制平台;对发 现的违法信息进行记录并形成监测日志;上报监测日志至控制平台;对发现的违法信息依 据过滤指令进行过滤封堵处置;输出并上报过滤日志至控制平台;统一DPI将流量日志发送 至日志合成服务器,日志合成服务器生成原始XDR话单并发送至数据合成服务器(原日志留 存系统中的网络日志服务器)进行存储; 统一DPI设备系统:接收日志合成服务器提供的访问日志原始XDR话单;提供访问日志 数据存储;提供访问日志查询接口;提供活跃域名、活跃IP及应用端口等信息至省端执行系 统。2. -种IDC/ISP信息安全管理系统的信息管理方法,包括: 基础数据上报: 基础数据上报实现对IDC机房及用户的基础信息采集、管理和上报。基础数据上报指 ISMS将IDC/ISP经营单位信息、机房数据和IDC/ISP用户数据上报至SMMS,并及时将含修改 内容的记录上报至SMMS,SMMS下发查询指令对基础数据进行查询; (1)IDC/ISP经营单位信息,包括:IDC/ISP许可证号、单位名称(与许可证上登记信息一 致)、单位地址及邮编、企业法人、网络信息安全责任人、应急联系人信息; (2) 机房数据,包括:机房编号、机房名称、机房性质、机房所在地、机房地址及邮编、机 房网络信息安全责任人信息、互联网出入口信息列表及IP段信息列表,其中: ① 互联网出入口信息包括互联网出入口编号、网关IP地址、带宽; ②IP段信息包括起始IP地址、终止IP地址、IP地址使用方式、使用单位信息、分配使用 时间; (3)IDC/ISP用户数据,包括:用户属性(提供应用服务/其他)、单位名称(或姓名)、单位 地址及邮编、单位属性、证件类型、证件号码、网络信息安全责任人信息,提供应用服务的用 户需要上报应用服务信息列表,其他用户则需要上报占用机房信息,其中: ①应用服务信息包括登记备案属性、许可证号或备案号、接入方式、服务内容、域名信 息列表(对支持域名指向的应用服务,如:HTTP、FTP、SMTP、POP3等需提供本级域名)及占用 机房ig息; ② 占用机房信息包括机房编码、分配的IP地址(如果为应用服务分配的是私网地址,则 需要NAT地址映射表)、带宽及分配时间。 IDC/ISP基础数据可通过网站未备案发现系统与对接,获取所需的基础数据。网站未备 案发现系统汇总该平台和IDC运营管理平台已有的基础数据,控制平台、IDC运营管理平台 提供手动录入接口; 基础数据监测: 对机房内的IP使用方式进行监测,实时发现未报备IP地址接入、发现实际使用情况与 报备不符的IP。 对发现异常的IP地址记录:IP、登记使用方式、登记域名、异常类型(使用方式或登记域 名异常)、实际使用方式、实际域名、发现时间等监测信息。监测信息定时上报(上报周期为 日),并供SMMS查询; 日志生成及存储: ISMS对IDC/ISP的上行流量(包含但不限于基于取^、?了?、310^(^3等协议的流量)数 据进行监测,并记录和统计访问信息,由日志合成服务器(功能包含在日志统计分析服务器 中)生成访问日志,由网络日志服务器进行存储。 日志查询: 原始访问日志在网络日志服务器进行存储,控制平台对存储在网络日志服务器中的访 问日志进行查询,并将查询结果上报至SMMS。 信息安全管理: 信息安全管理不仅要实现对IDC机房域名、URL、IP、端口、协议、关键字网页内容等信 息;在应急状态下,可实现区域管控功能;实现网站访问日志、关键词访问及违法违规网站、 BBS发帖等日志的查询功能;同时还要实现网络安全监测功能,能够辨别和防护僵木蠕病 毒、缓冲区溢出攻击、拒绝服务攻击等。 违法违规网站管理: ISMS具备违法违规网站的发现、处置及上报功能,并记录违法违规网站相关信息,定时 上报至SMMS,并供SMMS查询。 违法信息监测发现: ISMS对IDC/ISP的双向流量(包含但不限于基于HTTP、FTP、SMTP等协议的流量)数据进 行监测,对发现的违法信息进行记录,形成监测日志,并在触发监测指令10分钟内上报至 SMMS。违法信息监测发现功能由信息安全管理模块实现, 违法信息过滤处置: ISMS对IDC/ISP的双向流量(包含但不限于基于HTTP、FTP、SMTP等协议的流量)数据进 行监测,根据管理要求针对违法信息生成过滤指令,对发现的违法信息进行过滤处置,并进 行记录形成过滤日志,并在触发过滤指令10分钟内上报至SMMS。 安全管理: 安全管理提供有效的控制机制,对用户接入、访问即时消息业务服务平台进行限制,确 保每个合法用户能够正常登录、使用已授权的软件模块、操作合法级别的命令,防止越权访 问的情况发生,以保障网络设备的安全运行,并对系统中发生的认证,授权访问等操作进行 记账,使操作具有不可否认性。
【专利摘要】本发明公开了一种本发明涉及信息安全管理,具体为一种对IDC/ISP进行基础数据管理、访问日志管理和信息安全管理的IDC/ISP信息安全管理系统及其信息管理方法,包括控制平台、网站备案管理系统、IDC运营管理平台、省端执行系统、统一DPI设备系统对接组成。
【IPC分类】H04L29/08, H04L12/24, H04L29/06, G06F17/30
【公开号】CN105490831
【申请号】CN201510665515
【发明人】黄永军
【申请人】北京微智信业科技有限公司
【公开日】2016年4月13日
【申请日】2015年10月16日
最新回复(0)