IDC信息安全系统架构

1、SURFILTER NETWORK TECHNOLOGY CO.,LTD.任子行网络技术股份有限公司2014.05.09IDCIDC信息安全系统架构信息安全系统架构WWW.1218.COM.CN WWW.SURFILTER.COMSURFILTER NETWORK TECHNOLOGY CO.,LTD目 录2概述1IDC信息安全系统整体架构3IDC信息安全管理模块分析4DPI与信息安全管理模块关系5上网日志留存系统技术架构6IDC信息安全系统部署方式P1WWW.1218.COM.CN WWW.SURFILTER.COMSURFILTER NETWORK TECHNOLOGY CO.,LTD概

2、述-业务需求如何对IDC机房的基础资源进行统一管理？如何准确掌握IDC机房内有多少网站？多少域名？如何发现IDC机房内未备案、黑名单网站信息？如何主动发现IDC机房内接入网站的有害信息？如何对IDC机房内有害信息实行实时封堵管控？如何溯源网络行为日志？P2WWW.1218.COM.CN WWW.SURFILTER.COMSURFILTER NETWORK TECHNOLOGY CO.,LTD概 述-信息安全系统P3 稳定可靠不良信息监测过滤平台不良信息监不良信息监测、过滤测、过滤3 高效的分布式海量数据检索方案访问日志访问日志2 细致详实的机房数据监测基础数据监基础数据监测测1 基于行业违规处

3、置的扩展管控模块违规控管违规控管4信息安全系统WWW.1218.COM.CN WWW.SURFILTER.COMSURFILTER NETWORK TECHNOLOGY CO.,LTD概 述-功能介绍P4系统管理资源管理信息监测黑白名单信息过滤业务管理统计分析IDC信息安全管理系统全面了解管辖范围内基础资源、域名信息实时监测机房内违法违规信息实时过滤机房内不良信息实时掌握机房内黑名单接入情况全面掌握机房内虚拟主机、未备案等信息多维度统计分析资源、业务数据、控管结果WWW.1218.COM.CN WWW.SURFILTER.COMSURFILTER NETWORK TECHNOLOGY CO.,

4、LTD目 录2概述1IDC信息安全系统整体架构3IDC信息安全管理模块分析4DPI与信息安全管理模块关系5上网日志留存系统技术架构6IDC信息安全系统部署方式P5WWW.1218.COM.CN WWW.SURFILTER.COMSURFILTER NETWORK TECHNOLOGY CO.,LTDIDC信息安全系统部署架构P6WWW.1218.COM.CN WWW.SURFILTER.COMSURFILTER NETWORK TECHNOLOGY CO.,LTDIDC信息安全系统整体架构P7 系统整体分为中央控制平台【CU】、省端执行系统【EU】、管局系统、内部相关系统三大模块。省端执行系统

5、主要包括：信息安全管理模块、日志合成服务器和统一DPI设备；控制平台按中国移动集团的内部接口规范和技术标准与内部的集团网站备案系统、IDC运营管理平台、上网日志留存系统、网管系统等通过接口实现信息共享。WWW.1218.COM.CN WWW.SURFILTER.COMSURFILTER NETWORK TECHNOLOGY CO.,LTD目 录2概述1IDC信息安全系统整体架构3IDC信息安全管理模块分析4DPI与信息安全管理模块关系5上网日志留存系统技术架构6IDC信息安全系统部署方式P8WWW.1218.COM.CN WWW.SURFILTER.COMSURFILTER NETWORK T

6、ECHNOLOGY CO.,LTDIDC信息安全管理模块分析P9 信息安全管理模块作为执行单元(EU)，将生成的监测日志、过滤日志、违法违规信息发送给中央控制平台(CU)，在中央控制平台端可通过WEB管理系统管理相关数据。根据移动实际业务情况还可从信息安全管理模块直接输出访问日志到上网日志留存系统。同时信息安全管理模块还定时回传运行状态至中央控制平台，以实现统一管理。WWW.1218.COM.CN WWW.SURFILTER.COMSURFILTER NETWORK TECHNOLOGY CO.,LTDIDC信息安全管理模块对信息进行监测、过滤P10WWW.1218.COM.CN WWW.SU

7、RFILTER.COMSURFILTER NETWORK TECHNOLOGY CO.,LTD目 录2概述1IDC信息安全系统整体架构3IDC信息安全管理模块分析4DPI与信息安全管理模块关系5上网日志留存系统技术架构6IDC信息安全系统部署方式P11WWW.1218.COM.CN WWW.SURFILTER.COMSURFILTER NETWORK TECHNOLOGY CO.,LTDDPI与信息安全管理模块关系P12 DPI设备负责对IDC链路双向流量进行监测解析，按照业务需求采集流量相关数据提交至信息安全管理模块及日志合成服务器。 DPI设备将分离流量至信息安全管理模块，将流量日志传输至

8、日志合成服务器。IDC信息安全管理系统需要从DPI设备分流全报文数据至信息安全管理模块。 系统逻辑结构图如下所示：WWW.1218.COM.CN WWW.SURFILTER.COMSURFILTER NETWORK TECHNOLOGY CO.,LTD目 录2概述1IDC信息安全系统整体架构3IDC信息安全管理模块分析4DPI与信息安全管理模块关系5上网日志留存系统技术架构6IDC信息安全系统部署方式P13WWW.1218.COM.CN WWW.SURFILTER.COMSURFILTER NETWORK TECHNOLOGY CO.,LTD上网日志留存系统日志架构P14 上网日志留存系统实现

9、对IDC链路的上网日志进行存储，以及用于对日志做业务方面的信息分析，包括常用的TCP协议以会话为单位记录，UDP协议以数据包为单位记录。管局侧SMMS系统可下发查询指令到中央控制平台进行日志查询，中央控制平台转发查询指令给网络日志服务器，并返回相应的日志结果数据。海量数据高效存储海量数据高效存储海量数据高效检索海量数据高效检索网页浏览WWW.1218.COM.CN WWW.SURFILTER.COMSURFILTER NETWORK TECHNOLOGY CO.,LTD访问日志管理P15策略下发移动控制平台管局侧SMMS数据上报指令下发结果上报移动控制平台日志查询平台日志查询平台上网日志留存系

10、统上网日志留存系统日志合成服务器WWW.1218.COM.CN WWW.SURFILTER.COMSURFILTER NETWORK TECHNOLOGY CO.,LTD目 录2概述1IDC信息安全系统整体架构3IDC信息安全管理模块分析4DPI与信息安全管理模块关系5上网日志留存系统技术架构6IDC信息安全系统部署方式P16WWW.1218.COM.CN WWW.SURFILTER.COMSURFILTER NETWORK TECHNOLOGY CO.,LTD部署方式-镜像P17镜像方式使用环境1. 建议流量 500MB；2. 监控口带宽容量=镜像口带宽容量。部署特点：1. 不需要额外的网络设备，成本低；2. 部署方面灵活，可调整监控流量的范围。WWW.1218.COM.CN WWW.SURFILTER.COMSURFILTER NETWORK TECHNOLOGY CO.,LTD部署方式-分光P18分光方式使用环境1. 流量= 10G；2. 分光光强达到设备网卡识别要求。部署特点：1. 支持大流量审计；2. 对基础网络不产生任何影响。 WWW.1218.COM.CN WWW.SURFILTER.COMSURFILTER NETWORK TECHNOLOGY CO.,LTD附录 1-典型EU系统组网拓扑图P19WWW.121