IDC信息安全系統(tǒng)架構

2014.05.09IDC信息安全系統(tǒng)架構目錄2概述1IDC信息安全系統(tǒng)整體架構3IDC信息安全管理模塊分析4DPI與信息安全管理模塊關系5上網(wǎng)日志留存系統(tǒng)技術架構6IDC信息安全系統(tǒng)部署方式P1概述-業(yè)務需求如何對IDC機房的基礎資源進行統(tǒng)一管理？如何準確掌握IDC機房內(nèi)有多少網(wǎng)站？多少域名？如何發(fā)現(xiàn)IDC機房內(nèi)未備案、黑名單網(wǎng)站信息？如何主動發(fā)現(xiàn)IDC機房內(nèi)接入網(wǎng)站的有害信息？如何對IDC機房內(nèi)有害信息實行實時封堵管控？如何溯源網(wǎng)絡行為日志？P2概述-信息安全系統(tǒng)P3穩(wěn)定可靠不良信息監(jiān)測過濾平臺不良信息監(jiān)測、過濾3高效的分布式海量數(shù)據(jù)檢索方案訪問日志2細致詳實的機房數(shù)據(jù)監(jiān)測基礎數(shù)據(jù)監(jiān)測1基于行業(yè)違規(guī)處置的擴展管控模塊違規(guī)控管4信息安全系統(tǒng)概述-功能介紹P4系統(tǒng)管理資源管理信息監(jiān)測黑白名單信息過濾業(yè)務管理統(tǒng)計分析IDC信息安全管理系統(tǒng)資源、監(jiān)測、控管、業(yè)務四維一體化管理模式全面了解管轄范圍內(nèi)基礎資源、域名信息實時監(jiān)測機房內(nèi)違法違規(guī)信息實時過濾機房內(nèi)不良信息實時掌握機房內(nèi)黑名單接入情況全面掌握機房內(nèi)虛擬主機、未備案等信息多維度統(tǒng)計分析資源、業(yè)務數(shù)據(jù)、控管結果目錄2概述1IDC信息安全系統(tǒng)整體架構3IDC信息安全管理模塊分析4DPI與信息安全管理模塊關系5上網(wǎng)日志留存系統(tǒng)技術架構6IDC信息安全系統(tǒng)部署方式P5IDC信息安全系統(tǒng)部署架構P6IDC信息安全系統(tǒng)整體架構P7

系統(tǒng)整體分為中央控制平臺【CU】、省端執(zhí)行系統(tǒng)【EU】、管局系統(tǒng)、內(nèi)部相關系統(tǒng)三大模塊。省端執(zhí)行系統(tǒng)主要包括：信息安全管理模塊、日志合成服務器和統(tǒng)一DPI設備；控制平臺按中國移動集團的內(nèi)部接口規(guī)范和技術標準與內(nèi)部的集團網(wǎng)站備案系統(tǒng)、IDC運營管理平臺、上網(wǎng)日志留存系統(tǒng)、網(wǎng)管系統(tǒng)等通過接口實現(xiàn)信息共享。目錄2概述1IDC信息安全系統(tǒng)整體架構3IDC信息安全管理模塊分析4DPI與信息安全管理模塊關系5上網(wǎng)日志留存系統(tǒng)技術架構6IDC信息安全系統(tǒng)部署方式P8IDC信息安全管理模塊分析P9信息安全管理模塊作為執(zhí)行單元(EU)，將生成的監(jiān)測日志、過濾日志、違法違規(guī)信息發(fā)送給中央控制平臺(CU)，在中央控制平臺端可通過WEB管理系統(tǒng)管理相關數(shù)據(jù)。根據(jù)移動實際業(yè)務情況還可從信息安全管理模塊直接輸出訪問日志到上網(wǎng)日志留存系統(tǒng)。同時信息安全管理模塊還定時回傳運行狀態(tài)至中央控制平臺，以實現(xiàn)統(tǒng)一管理。IDC信息安全管理模塊對信息進行監(jiān)測、過濾P10目錄2概述1IDC信息安全系統(tǒng)整體架構3IDC信息安全管理模塊分析4DPI與信息安全管理模塊關系5上網(wǎng)日志留存系統(tǒng)技術架構6IDC信息安全系統(tǒng)部署方式P11DPI與信息安全管理模塊關系P12

DPI設備負責對IDC鏈路雙向流量進行監(jiān)測解析，按照業(yè)務需求采集流量相關數(shù)據(jù)提交至信息安全管理模塊及日志合成服務器。

DPI設備將分離流量至信息安全管理模塊，將流量日志傳輸至日志合成服務器。IDC信息安全管理系統(tǒng)需要從DPI設備分流全報文數(shù)據(jù)至信息安全管理模塊。

系統(tǒng)邏輯結構圖如下所示：目錄2概述1IDC信息安全系統(tǒng)整體架構3IDC信息安全管理模塊分析4DPI與信息安全管理模塊關系5上網(wǎng)日志留存系統(tǒng)技術架構6IDC信息安全系統(tǒng)部署方式P13上網(wǎng)日志留存系統(tǒng)日志架構P14上網(wǎng)日志留存系統(tǒng)實現(xiàn)對IDC鏈路的上網(wǎng)日志進行存儲，以及用于對日志做業(yè)務方面的信息分析，包括常用的TCP協(xié)議以會話為單位記錄，UDP協(xié)議以數(shù)據(jù)包為單位記錄。管局側(cè)SMMS系統(tǒng)可下發(fā)查詢指令到中央控制平臺進行日志查詢，中央控制平臺轉(zhuǎn)發(fā)查詢指令給網(wǎng)絡日志服務器，并返回相應的日志結果數(shù)據(jù)。海量數(shù)據(jù)高效存儲海量數(shù)據(jù)高效檢索網(wǎng)頁瀏覽訪問日志管理P15策略下發(fā)移動控制平臺管局側(cè)SMMS數(shù)據(jù)上報……指令下發(fā)結果上報移動控制平臺日志查詢平臺上網(wǎng)日志留存系統(tǒng)日志合成服務器目錄2概述1IDC信息安全系統(tǒng)整體架構3IDC信息安全管理模塊分析4DPI與信息安全管理模塊關系5上網(wǎng)日志留存系統(tǒng)技術架構6IDC信息安全系統(tǒng)部署方式P16部署方式-鏡像P17鏡像方式使用環(huán)境建議流量>500MB；監(jiān)控口帶寬容量>=鏡像口帶寬容量。部署特點：不需要額外的網(wǎng)絡設備，成本低；部署方面靈活，可調(diào)整監(jiān)控流量的范圍。部署方式-分光P18分光方式使用環(huán)境流量<=10G；分光光強達到設備網(wǎng)卡識別要求。