IDC信息安全系统架构

1、SURFILTER NETWORK TECHNOLOGY CO.,LTD. 任子行网络技术股份有限公司 2014.05.09 IDCIDC信息安全系统架构信息安全系统架构 WWW.1218.COM.CN WWW.SURFILTER.COM SURFILTER NETWORK TECHNOLOGY CO.,LTD 目 录 2 概述1 IDC信息安全系统整体架构 3 IDC信息安全管理模块分析 4 DPI与信息安全管理模块关系 5 上网日志留存系统技术架构 6 IDC信息安全系统部署方式 P1 WWW.1218.COM.CN WWW.SURFILTER.COM SURFILTER NETWORK

2、TECHNOLOGY CO.,LTD 概 述-业务需求 如何对IDC机房的基础资源进行统一管理？ 如何准确掌握IDC机房内有多少网站？多少域名？ 如何发现IDC机房内未备案、黑名单网站信息？ 如何主动发现IDC机房内接入网站的有害信息？ 如何对IDC机房内有害信息实行实时封堵管控？ 如何溯源网络行为日志？ P2 WWW.1218.COM.CN WWW.SURFILTER.COM SURFILTER NETWORK TECHNOLOGY CO.,LTD 概 述-信息安全系统 P3 稳定可靠不 良信息监测 过滤平台 不良信息监不良信息监 测、过滤测、过滤 3 高效的分布 式海量数据 检索方案 访问

3、日志访问日志 2 细致详实的 机房数据监 测 基础数据监基础数据监 测测 1 基于行业违 规处置的扩 展管控模块 违规控管违规控管 4 信息安全系统 WWW.1218.COM.CN WWW.SURFILTER.COM SURFILTER NETWORK TECHNOLOGY CO.,LTD 概 述-功能介绍 P4 系统 管理 资源 管理 信息 监测 黑白 名单 信息 过滤 业务 管理 统计 分析 IDC信息安 全管理系统 全面了解管辖范围内基础资源、域名信息 实时监测机房内违法违规信息 实时过滤机房内不良信息 实时掌握机房内黑名单接入情况 全面掌握机房内虚拟主机、未备案等信息 多维度统计分析资

4、源、业务数据、控管结果 WWW.1218.COM.CN WWW.SURFILTER.COM SURFILTER NETWORK TECHNOLOGY CO.,LTD 目 录 2 概述1 IDC信息安全系统整体架构 3 IDC信息安全管理模块分析 4 DPI与信息安全管理模块关系 5 上网日志留存系统技术架构 6 IDC信息安全系统部署方式 P5 WWW.1218.COM.CN WWW.SURFILTER.COM SURFILTER NETWORK TECHNOLOGY CO.,LTD IDC信息安全系统部署架构 P6 WWW.1218.COM.CN WWW.SURFILTER.COM SURF

5、ILTER NETWORK TECHNOLOGY CO.,LTD IDC信息安全系统整体架构 P7 系统整体分为中央控制平台【CU】、省端执行系统【EU】、管局系统、内部相关系统三大模 块。省端执行系统主要包括：信息安全管理模块、日志合成服务器和统一DPI设备；控制平台按中 国移动集团的内部接口规范和技术标准与内部的集团网站备案系统、IDC运营管理平台、上网日志 留存系统、网管系统等通过接口实现信息共享。 WWW.1218.COM.CN WWW.SURFILTER.COM SURFILTER NETWORK TECHNOLOGY CO.,LTD 目 录 2 概述1 IDC信息安全系统整体架构

6、3 IDC信息安全管理模块分析 4 DPI与信息安全管理模块关系 5 上网日志留存系统技术架构 6 IDC信息安全系统部署方式 P8 WWW.1218.COM.CN WWW.SURFILTER.COM SURFILTER NETWORK TECHNOLOGY CO.,LTD IDC信息安全管理模块分析 P9 信息安全管理模块作为执行单元(EU)，将生成的监测日志、过滤日志、违法违规 信息发送给中央控制平台(CU)，在中央控制平台端可通过WEB管理系统管理相关数据。 根据移动实际业务情况还可从信息安全管理模块直接输出访问日志到上网日志留存系 统。同时信息安全管理模块还定时回传运行状态至中央控制平

7、台，以实现统一管理。 WWW.1218.COM.CN WWW.SURFILTER.COM SURFILTER NETWORK TECHNOLOGY CO.,LTD IDC信息安全管理模块对信息进行监测、过滤 P10 WWW.1218.COM.CN WWW.SURFILTER.COM SURFILTER NETWORK TECHNOLOGY CO.,LTD 目 录 2 概述1 IDC信息安全系统整体架构 3 IDC信息安全管理模块分析 4 DPI与信息安全管理模块关系 5 上网日志留存系统技术架构 6 IDC信息安全系统部署方式 P11 WWW.1218.COM.CN WWW.SURFILTER

8、.COM SURFILTER NETWORK TECHNOLOGY CO.,LTD DPI与信息安全管理模块关系 P12 DPI设备负责对IDC链路双向流量进行监测解析，按照业务需求采集流量相关 数据提交至信息安全管理模块及日志合成服务器。 DPI设备将分离流量至信息安全管理模块，将流量日志传输至日志合成服务器。 IDC信息安全管理系统需要从DPI设备分流全报文数据至信息安全管理模块。 系统逻辑结构图如下所示： WWW.1218.COM.CN WWW.SURFILTER.COM SURFILTER NETWORK TECHNOLOGY CO.,LTD 目 录 2 概述1 IDC信息安全系统整体

9、架构 3 IDC信息安全管理模块分析 4 DPI与信息安全管理模块关系 5 上网日志留存系统技术架构 6 IDC信息安全系统部署方式 P13 WWW.1218.COM.CN WWW.SURFILTER.COM SURFILTER NETWORK TECHNOLOGY CO.,LTD 上网日志留存系统日志架构 P14 上网日志留存系统实现对IDC链路的上网日志进行存储，以及用于对日志做业务 方面的信息分析，包括常用的TCP协议以会话为单位记录，UDP协议以数据包为单位 记录。管局侧SMMS系统可下发查询指令到中央控制平台进行日志查询，中央控制平 台转发查询指令给网络日志服务器，并返回相应的日志结

10、果数据。 海量数据高效存储海量数据高效存储海量数据高效检索海量数据高效检索 网 页 浏 览 WWW.1218.COM.CN WWW.SURFILTER.COM SURFILTER NETWORK TECHNOLOGY CO.,LTD 访问日志管理 P15 策略下发 移动控制平台 管局侧SMMS 数据上报 指令下发 结果上报 移动控制平台 日志查询平台日志查询平台 上网日志留存系统上网日志留存系统 日志合成服务器 WWW.1218.COM.CN WWW.SURFILTER.COM SURFILTER NETWORK TECHNOLOGY CO.,LTD 目 录 2 概述1 IDC信息安全系统整体

11、架构 3 IDC信息安全管理模块分析 4 DPI与信息安全管理模块关系 5 上网日志留存系统技术架构 6 IDC信息安全系统部署方式 P16 WWW.1218.COM.CN WWW.SURFILTER.COM SURFILTER NETWORK TECHNOLOGY CO.,LTD 部署方式-镜像 P17 镜像方式 使用环境 1. 建议流量 500MB； 2. 监控口带宽容量=镜像口带宽容量。 部署特点： 1. 不需要额外的网络设备，成本低； 2. 部署方面灵活，可调整监控流量的范围。 WWW.1218.COM.CN WWW.SURFILTER.COM SURFILTER NETWORK TECHNOLOGY CO.,LTD 部署方式-分光 P18 分光方式 使用环境 1. 流量= 10G； 2. 分光光强达到设备网卡识别要求。 部署特点： 1. 支持大流量审计； 2. 对基础网络不产生任何影响。 WWW.1218.COM.CN WWW.SURFILTER.COM SURFILTER NETWORK TECHNOLOGY CO.,LTD 附录 1-典型EU系统组网拓扑图 P19 WWW