论文部分内容阅读
[摘 要]本文主要对互联网专线信息安全管理系统的概述、系统架构、系统功能以及互联网专线信息安全管理系统的情况进行了介绍。
[关键词]互联网专线、信息安全管理系统、采集、分析、监控
中图分类号:TP732 文献标识码:A 文章编号:1009-914X(2018)42-0128-01
2017年工信部办公厅下发的《工业和信息化部办公厅关于印发<2017年省级基础电信企业网络与信息安全工作考核要点与评分标准>的通知(工信厅网安【2017】14号)》中要求企业侧IDC/ISP信息安全技术管理系统需实现:
1) 对IDC/ISP业务链路的全覆盖。
2) 在2017年6月30日前覆盖所有互联网专线业务(暂不包含家庭宽带与点到点数据专线业务)。
3) ISMS系统与IDC/ISP(含互联网专线)业务发展同步配套。
一、系统概述
互联网专线信息安全管理系统是互联网专线业务经营者建设的具有基础数据管理、访问日志管理、信息安全管理等功能的信息安全管理系统,以满足电信管理部门和专线业务经营者信息安全的管理需求。河北联通建设一个统一的互联网专线信息安全管理系统,与电信管理部门的安全监管系统通过互联网专线信息安全管理系统接口进行通信,实现电信管理部门的监管需求。电信管理部门的安全监管系统负责监控策略的制定并下发,和接收互联网专线安全管理分析的结果。
二、系统功能
互联网专线信息安全管理系统包括控制单元(Control Unit,简称CU,与IDC/ISP共用)、执行单元(Execution Unit,简称EU)两个部分。
CU负责与安全监管系统、EU进行对接;提供基础数据录入、添加功能;转发电信管理部门的安全监管系统下发的违法信息监测、过滤指令、访问日志查询指令、违法信息规则库、信息安全管理指令查询指令、代码表发布指令;负责上报互联网专线业务基础数据、访问日志、监测日志、过滤日志、查询指令结果至电信管理部门的安全监管系统;支持将除重后的IP、URL等信息与基础数据进行比对,实现异常IP监测和违法违规网站发现;提供系统管理功能。
EU负责保存控制平台下发的基于IP、端口、域名、URL、关键词等条件的违法信息规则库;对现网流量进行采集,对流量数据进行分析、识别、还原;对发现的违法信息进行记录并形成监测日志;对发现的违法信息依据封堵规则进行封堵处置。
X1接口:CU与EU之间的通信接口。主要实现CU对EU的集中管理、信息安全管理策略的下发、监测日志的传输、以及3天内的数据恢复能力。
按照上述系统功能及接口规范的要求,可以将互联网专线信息安全管理系统在逻辑功能架构上分为管理控制层、采集及过滤层及网络设备层。各个层次系统设备的功能如下:
管理控制层:系统集中控制中心,可对接多个管理中心接口,业务数据管理、原始日志检索,上报数据与管局侧系统,下发管局的策略指令和基础信息等。
采集及过滤层:对互联网专线业务数据进行双向监测分析和过滤控制,包括对原始流量捕包分析,对关键字、URL、黑名单进行匹配过滤。
网络设备层:包括各类网络设备,交换机、安全防护等。
三、系统架构
互联网专线信息安全管理系统管理控制中心可以支撑分布式部署集中管理的模式。既能将各EU进行管理把数据按接口规范要求上报与管局侧系统,又能作为省公司的综合管理平台,实现对所属城域网CR机房的集中监测和综合管理。
本系统管理控制侧包括WEB服务器、接口服务器、数据库服务器、管理控制服务器,与IDC/ISP信息安全管理系统CU设备部署在相同节点。
采集过滤层功能在互联网专线信息安全管理系统执行单元实现,执行单元建设在各城域网CR机房。多个执行单元可以通过数据网与控制单元的交换机进行连接。本期工程执行单元对城域网CR出口链路的监控方式采取并接方式。
采集过滤层的主要功能包括数据采集,信息监测和过滤。
采集及过滤层并接方式下一般由汇聚分流设备、监测分析服务器、过滤控制服务器、分光器组成。
并接采集过滤层方式的实现方案是在城域网CR至骨干网链路上加分光器,经分光器复制之后的一条链路仍连接原有上联的网络设备,另外一条链路接入执行单元的过滤控制服务器。过滤控制服务器将互联网专线业务流量按照管局下发的过滤策略进行过滤,并将数据传给监测分析服务器,对出口流量进行监测形成日志。并接方式下过滤控制服务器通过一条链路与城域网CR设备连接,通过发送数据包中断或干扰用户正常业务连接达到对用户流量的控制。
四、网络承载方案
互联网专线信息安全管理系统的控制单元需要与管局侧的安全监管系统进行通信,接收来自安全监管系统的管理指令,并根据要求向安全监管系统上报监测日志和过滤日志等数据,同时还要实现对本单位各城域网CR机房的执行单元进行集中管理,完成管理指令的转发和执行及数据的汇总和分析。因此控制单元需要实现与本单位执行单元之间及与管局侧安全监管系统之间的连接。
由于管局侧的安全监管系统具有较高的安全等级,互联网专线信息安全管理系统控制单元与安全监管系统之间的连接需采用传输专线的方式。
互聯网专线信息安全管理系统控制单元与执行单元之间的连接方案:
为了保证互联网专线信息安全管理系统数据传输的安全性,本期工程要求命令及日志数据在传输过程中按照规范中的方式进行压缩及加密。
控制单元与执行单元之间的连接通过169网实现,由于安全管理系统的执行单元和控制单元都部署所在机房自然接入169网,所以接入方便。且169网带宽高,完全可以满足本系统数据传输的带宽需求,且本系统的数据传输不会对网络造成较大的影响。
五、结语
互联网专线信息安全管理系统新建工程实施将更好地促进计算机互联网络健康快速的发展,为精神文明事业和“和谐社会”的建设起到重要的现实作用,具有广泛的社会效益。
[关键词]互联网专线、信息安全管理系统、采集、分析、监控
中图分类号:TP732 文献标识码:A 文章编号:1009-914X(2018)42-0128-01
2017年工信部办公厅下发的《工业和信息化部办公厅关于印发<2017年省级基础电信企业网络与信息安全工作考核要点与评分标准>的通知(工信厅网安【2017】14号)》中要求企业侧IDC/ISP信息安全技术管理系统需实现:
1) 对IDC/ISP业务链路的全覆盖。
2) 在2017年6月30日前覆盖所有互联网专线业务(暂不包含家庭宽带与点到点数据专线业务)。
3) ISMS系统与IDC/ISP(含互联网专线)业务发展同步配套。
一、系统概述
互联网专线信息安全管理系统是互联网专线业务经营者建设的具有基础数据管理、访问日志管理、信息安全管理等功能的信息安全管理系统,以满足电信管理部门和专线业务经营者信息安全的管理需求。河北联通建设一个统一的互联网专线信息安全管理系统,与电信管理部门的安全监管系统通过互联网专线信息安全管理系统接口进行通信,实现电信管理部门的监管需求。电信管理部门的安全监管系统负责监控策略的制定并下发,和接收互联网专线安全管理分析的结果。
二、系统功能
互联网专线信息安全管理系统包括控制单元(Control Unit,简称CU,与IDC/ISP共用)、执行单元(Execution Unit,简称EU)两个部分。
CU负责与安全监管系统、EU进行对接;提供基础数据录入、添加功能;转发电信管理部门的安全监管系统下发的违法信息监测、过滤指令、访问日志查询指令、违法信息规则库、信息安全管理指令查询指令、代码表发布指令;负责上报互联网专线业务基础数据、访问日志、监测日志、过滤日志、查询指令结果至电信管理部门的安全监管系统;支持将除重后的IP、URL等信息与基础数据进行比对,实现异常IP监测和违法违规网站发现;提供系统管理功能。
EU负责保存控制平台下发的基于IP、端口、域名、URL、关键词等条件的违法信息规则库;对现网流量进行采集,对流量数据进行分析、识别、还原;对发现的违法信息进行记录并形成监测日志;对发现的违法信息依据封堵规则进行封堵处置。
X1接口:CU与EU之间的通信接口。主要实现CU对EU的集中管理、信息安全管理策略的下发、监测日志的传输、以及3天内的数据恢复能力。
按照上述系统功能及接口规范的要求,可以将互联网专线信息安全管理系统在逻辑功能架构上分为管理控制层、采集及过滤层及网络设备层。各个层次系统设备的功能如下:
管理控制层:系统集中控制中心,可对接多个管理中心接口,业务数据管理、原始日志检索,上报数据与管局侧系统,下发管局的策略指令和基础信息等。
采集及过滤层:对互联网专线业务数据进行双向监测分析和过滤控制,包括对原始流量捕包分析,对关键字、URL、黑名单进行匹配过滤。
网络设备层:包括各类网络设备,交换机、安全防护等。
三、系统架构
互联网专线信息安全管理系统管理控制中心可以支撑分布式部署集中管理的模式。既能将各EU进行管理把数据按接口规范要求上报与管局侧系统,又能作为省公司的综合管理平台,实现对所属城域网CR机房的集中监测和综合管理。
本系统管理控制侧包括WEB服务器、接口服务器、数据库服务器、管理控制服务器,与IDC/ISP信息安全管理系统CU设备部署在相同节点。
采集过滤层功能在互联网专线信息安全管理系统执行单元实现,执行单元建设在各城域网CR机房。多个执行单元可以通过数据网与控制单元的交换机进行连接。本期工程执行单元对城域网CR出口链路的监控方式采取并接方式。
采集过滤层的主要功能包括数据采集,信息监测和过滤。
采集及过滤层并接方式下一般由汇聚分流设备、监测分析服务器、过滤控制服务器、分光器组成。
并接采集过滤层方式的实现方案是在城域网CR至骨干网链路上加分光器,经分光器复制之后的一条链路仍连接原有上联的网络设备,另外一条链路接入执行单元的过滤控制服务器。过滤控制服务器将互联网专线业务流量按照管局下发的过滤策略进行过滤,并将数据传给监测分析服务器,对出口流量进行监测形成日志。并接方式下过滤控制服务器通过一条链路与城域网CR设备连接,通过发送数据包中断或干扰用户正常业务连接达到对用户流量的控制。
四、网络承载方案
互联网专线信息安全管理系统的控制单元需要与管局侧的安全监管系统进行通信,接收来自安全监管系统的管理指令,并根据要求向安全监管系统上报监测日志和过滤日志等数据,同时还要实现对本单位各城域网CR机房的执行单元进行集中管理,完成管理指令的转发和执行及数据的汇总和分析。因此控制单元需要实现与本单位执行单元之间及与管局侧安全监管系统之间的连接。
由于管局侧的安全监管系统具有较高的安全等级,互联网专线信息安全管理系统控制单元与安全监管系统之间的连接需采用传输专线的方式。
互聯网专线信息安全管理系统控制单元与执行单元之间的连接方案:
为了保证互联网专线信息安全管理系统数据传输的安全性,本期工程要求命令及日志数据在传输过程中按照规范中的方式进行压缩及加密。
控制单元与执行单元之间的连接通过169网实现,由于安全管理系统的执行单元和控制单元都部署所在机房自然接入169网,所以接入方便。且169网带宽高,完全可以满足本系统数据传输的带宽需求,且本系统的数据传输不会对网络造成较大的影响。
五、结语
互联网专线信息安全管理系统新建工程实施将更好地促进计算机互联网络健康快速的发展,为精神文明事业和“和谐社会”的建设起到重要的现实作用,具有广泛的社会效益。