《IDC信息安全管控系统方案说明(共17页)》由会员分享,可在线阅读,更多相关《IDC信息安全管控系统方案说明(共17页)(17页珍藏版)》请在金锄头文库上搜索。
1、精选优质文档-倾情为你奉上 IDC管控系统介绍 IDC管控系统 方案说明 北京亚鸿世纪科技发展有限公司 目录 1.总体描述 .4 IDC管控系统总体目标 .41.1 系统总体原则 .41.2 1.2.1系统遵循法律法规 .4 1.2.2建设原则 .5 2.系统介绍 .6 技术原理 .62.1 2.1.1综述 .6 2.1.2串接专用探针 .7 2.1.3网络安全审计服务器 .8 2.1.4IDC端安全审计管理系统服务器 .8 2.1.5IDC端不良信息分析模块 .9 2.1.6接入资源管理模块 .9 2.2软件系统逻辑结构图 . 10 2.3系统功能 . 11 2.3.1安全审计(访问日志管理
2、) . 11 2.3.2资源管理(基础数据管理) . 12 2/ 22 2.3.3违法网站管理 . 16 2.3.4信息安全管理 . 17 2.3.5统计分析 . 19 2.3.6系统管理 . 19 2.4系统高稳定性、高可靠性的实现方式 . 22 3/ 22 1. 总体描述 1.1 IDC管控系统总体目标 信息安全管理系统主要用于是实现互联网数据中心基础数据管理、上网日志管理、信息安全管理、违法网站管理等功能的信息安全管理系统,以满足监管机构的监管需求和IDC经营单位自身的信息安全管理需求。每个业务经营单位建设一个统一的ISMS,并与运营商监管机构建设的安全监管系统(SMCS)进行通信,实现
3、监管机构的监管需求。 1.2 系统总体原则 1.2.1 系统遵循法律法规 (1)中华人民共和国计算机信息系统安全保护条例; (2)公安部关于对与国际联网的计算机信息系统进行备案工作的通知,公通字19968号; (3)中华人民共和国国家标准计算机信息系统安全保护等级划分准则(GB 17859-1999); (4)关于信息安全等级保护工作的实施意见,公通字200466号; (5)互联网安全保护技术措施规定,2005年中华人民共和国公安部第82号令发布,2006年3月1日施行); (6)信息安全技术信息系统安全等级保护定级指南(报批稿); (7)信息安全技术信息系统安全等级保护基本要求(报批稿);
4、4/ 22 (8)信息安全技术信息系统安全等级保护实施指南(报批稿); (9)信息安全等级保护管理办法,公通字200743号。 (10)工信部标准IDC/ISP信息安全管理系统技术要求(送审稿) (11)工信部标准IDC/ISP信息安全管理系统接口规范(送审稿) 1.2.2 建设原则 (1)规范性:严格遵循电信级技术规范和业务规范的要求,由集团进行整体规划与统一建设安排。 (2)开放性:系统遵循开放性架构,采用开放的接口协议与开发平台,为用户提供统一的、开放的功能调用;业务维护和发展不依赖于设备厂商,能够保证业务的持续升级和发展; (3)安全性:系统按照电信级的应用进行设计,系统软硬件架构充分
5、考虑整个系统运行的安全策略和机制;能够采用多种安全技术手段,为用户的业务开展提供完善的安全技术保障; (4)成熟性:采用成熟稳定并具有电信级运营实例的硬件平台和第三方软件。 5/ 22 2. 系统介绍 2.1 技术原理 2.1.1 综述 系统采用软硬件相结合的方式,可以实现对互联网不良信息的实时监控。 本系统由分流设备、网络安全审计服务器、IDC端安全审计管理系统服务器组成。系统通过前端分流设备对网络数据的实时监测,把需审计的数据报文送至网络安全审计服务器,不良信息分析软件实现对网络安全审计服务器中不良信息进行分析,管理中心软件实现对网络安全审计专用设备的统一管理。 部署图: 6/ 22 IN
6、TERNET 2*GE链路 光保护Bypass设备(串接)*2 Router Rtouer 数据探针 信息安全管理系统 FW 服务器 SMMS系统 FW 交换机 IDC Server群 GE链路 通信接口 本期新增设备 以太网链路2.1.2 串接专用探针 每一条GE链路上,分流设备串接(或者并接)在IDC机房的出口路由器至骨干网间的GE链路之间,监控全部的出口链路流量。 分流设备采用高集成度的新一代多核处理器技术。在串接模式下能够控制上下行上下游设备流量传输,在断电、重启、故障或接口告警时自动切换到直通状态,不影响串接链路上流量传输。 分流设备通过端口与审计系统(网络安全审计服务器+IDC端安
7、全审计管理系统服务器)相连接,通过分析筛选把审计系统需要审计和分析的网络数据传送给审计系 7/ 22 统。审计系统从传入的数据包中获取IDC机房内的域名、IP等网络基础资源信息,对IDC的网络访问行为进行监控和过滤、根据预先设定的审计策略主动发现和过滤在这些行为中所包含的有害信息、及时发现监管范围内网站发布含有的反动、邪教、色情等不良信息网页内容。 2.1.3 网络安全审计服务器 网络安全审计服务器与IDC端安全审计管理系统服务器对接,从IDC端安全审计管理系统服务器上获取更新后的基础信息和IDC端安全审计管理系统服务器下发的审计策略等数据。 网络安全审计服务器把从网络数据中获取的域名、IP等
8、信息上传到IDC端安全审计管理系统服务器。 网络安全审计服务器实现对网络数据包的解析,同时匹配审计策略产生报警记录,然后把数据上传到IDC端安全审计管理系统服务器。 每一台分流设备配置一台对应的网络安全审计专用设备。 2.1.4 IDC端安全审计管理系统服务器 IDC端安全审计管理系统服务器收集网络安全审计服务器上传的域名、IP等动态获取的互联网基础资源信息。 IDC端安全审计管理系统服务器提供统一的管理界面给用户,实现对机房、服务器、客户资料等基础资源数据的统一维护。 IDC端安全审计管理系统服务器与通信管理局系统对接,接收管控策略,并上报数据。 IDC端安全审计管理系统服务器提供机房业务管
9、理功能页面,支持机房业务处理。 IDC端安全审计管理系统服务器提供报警日志、审计日志统一查询页面。 8/ 22 通过IDC端安全审计管理系统服务器的分级管理机制,实现未来系统的持续扩容性。新增IDC链路时,只需要部署相应的网络安全审计专用设备和串接专用探针,通过网络安全审计服务器与IDC端安全审计管理系统服务器对接,从而实现与原有系统的互通和一致性,必要时增加IDC端安全审计管理系统服务器即可。 2.1.5 IDC端不良信息分析模块 IDC端不良信息分析模块安装在IDC端安全审计管理系统服务器上。 IDC端不良信息分析模块主要负责对HTTP网页访问内容关键字进行报警匹配。网络安全审计服务器将网络数据中获取的URL和HTTP内容关键字传递给IDC端不良
