IDC信息安全系统架构

IDC信息安全系统架构第一页，共23页。目录2概述1IDC信息安全系统整体架构3IDC信息安全管理模块分析4DPI与信息安全管理模块关系5上网日志留存系统技术架构6IDC信息安全系统部署方式第二页，共23页。概述-业务需求如何对IDC机房的基础资源进行统一管理？如何准确掌握IDC机房内有多少网站？多少域名？如何发现IDC机房内未备案、黑名单网站信息？如何主动发现IDC机房内接入网站的有害信息？如何对IDC机房内有害信息实行实时封堵管控？如何溯源网络行为日志？第三页，共23页。概述-信息安全系统稳定可靠不良信息监测过滤平台不良信息监测、过滤3高效的分布式海量数据检索方案访问日志2细致详实的机房数据监测基础数据监测1基于行业违规处置的扩展管控模块违规控管4信息安全系统第四页，共23页。概述-功能介绍系统管理资源管理信息监测黑白名单信息过滤业务管理统计分析IDC信息安全管理系统资源、监测、控管、业务四维一体化管理模式全面了解管辖范围内基础资源、域名信息实时监测机房内违法违规信息实时过滤机房内不良信息实时掌握机房内黑名单接入情况全面掌握机房内虚拟主机、未备案等信息多维度统计分析资源、业务数据、控管结果第五页，共23页。目录2概述1IDC信息安全系统整体架构3IDC信息安全管理模块分析4DPI与信息安全管理模块关系5上网日志留存系统技术架构6IDC信息安全系统部署方式第六页，共23页。IDC信息安全系统部署架构第七页，共23页。IDC信息安全系统整体架构

系统整体分为中央控制平台【CU】、省端执行系统【EU】、管局系统、内部相关系统三大模块。省端执行系统主要包括：信息安全管理模块、日志合成服务器和统一DPI设备；控制平台按中国移动集团的内部接口规范和技术标准与内部的集团网站备案系统、IDC运营管理平台、上网日志留存系统、网管系统等通过接口实现信息共享。第八页，共23页。目录2概述1IDC信息安全系统整体架构3IDC信息安全管理模块分析4DPI与信息安全管理模块关系5上网日志留存系统技术架构6IDC信息安全系统部署方式第九页，共23页。IDC信息安全管理模块分析信息安全管理模块作为执行单元(EU)，将生成的监测日志、过滤日志、违法违规信息发送给中央控制平台(CU)，在中央控制平台端可通过WEB管理系统管理相关数据。根据移动实际业务情况还可从信息安全管理模块直接输出访问日志到上网日志留存系统。同时信息安全管理模块还定时回传运行状态至中央控制平台，以实现统一管理。第十页，共23页。IDC信息安全管理模块对信息进行监测、过滤第十一页，共23页。目录2概述1IDC信息安全系统整体架构3IDC信息安全管理模块分析4DPI与信息安全管理模块关系5上网日志留存系统技术架构6IDC信息安全系统部署方式第十二页，共23页。DPI与信息安全管理模块关系

DPI设备负责对IDC链路双向流量进行监测解析，按照业务需求采集流量相关数据提交至信息安全管理模块及日志合成服务器。

DPI设备将分离流量至信息安全管理模块，将流量日志传输至日志合成服务器。IDC信息安全管理系统需要从DPI设备分流全报文数据至信息安全管理模块。

系统逻辑结构图如下所示：第十三页，共23页。目录2概述1IDC信息安全系统整体架构3IDC信息安全管理模块分析4DPI与信息安全管理模块关系5上网日志留存系统技术架构6IDC信息安全系统部署方式第十四页，共23页。上网日志留存系统日志架构上网日志留存系统实现对IDC链路的上网日志进行存储，以及用于对日志做业务方面的信息分析，包括常用的TCP协议以会话为单位记录，UDP协议以数据包为单位记录。管局侧SMMS系统可下发查询指令到中央控制平台进行日志查询，中央控制平台转发查询指令给网络日志服务器，并返回相应的日志结果数据。海量数据高效存储海量数据高效检索网页浏览第十五页，共23页。访问日志管理策略下发移动控制平台管局侧SMMS数据上报……指令下发结果上报移动控制平台日志查询平台上网日志留存系统日志合成服务器第十六页，共23页。目录2概述1IDC信息安全系统整体架构3IDC信息安全管理模块分析4DPI与信息安全管理模块关系5上网日志留存系统技术架构6IDC信息安全系统部署方式第十七页，共23页。部署方式-镜像镜像方式使用环境建议流量>500MB；监控口带宽容量>=镜像口带宽容量。部署特点：不需要额外的网络设备，成本低；部署方面灵活，可调整监控流量的范围。第十八页，共23页。部署方式-分光分光方式使用环境流量<=10G；分光光强达到设备网卡识别要求。部署特点：支持大流量审计；对基础网络不产生任何影响。

第十