如何構建IDC/ISP信息安全技術管理系統

中訊郵電咨詢設計院有限公司 │馬昌軍 張玲

如何構建IDC/ISP信息安全技術管理系統

中訊郵電咨詢設計院有限公司 │馬昌軍 張玲

為滿足工信部關于IDC/ISP信息安全管理系統的相關要求，以及同時滿足省內用戶訪問IDC業務行為分析、省內重點ICP流量流向分析、IDC業務和流量精細化控制等需求，國內電信運營商提出了IDC/ISP信息安全管理系統的建設思路。

圖1 ISMS系統架構

隨著近年來互聯網產業的飛速發展，互聯網的服務模式和傳播渠道也日趨多樣化。新聞網站、門戶網站、搜索引擎、論壇、博客、P2P等多種服務模式并存，互聯網已演化成為一個虛擬社會，互聯網安全管理面臨空前的挑戰。在加強互聯網安全管理的同時，組織力量開展互聯網信息的匯集整理與分析，對于全面了解社情民意，做好網絡宣傳監管工作具有重要意義。

目前，在互聯網接入服務提供和管理工作中還存在安全意識淡薄、管理基礎薄弱、查處手段缺失、違法信息發現及處置難，日志留存落實不到位等問題和薄弱環節。

全國人大常委會2012年12月28日頒布的《關于加強網絡信息保護的決定》第五、十條和《互聯網信息服務管理辦法》（國務院第292號令）第十四條規定了互聯網接入服務提供商應當采取技術措施，發現、處置傳輸的違法信息，并做好日志留存工作?！豆I和信息化部、國務院國有資產監督管理委員會關于開展基礎電信企業網絡與信息安全責任考核有關工作的指導意見》（工信部聯保[2012]551號）、《工業和信息化部辦公廳關于印發〈2014年省級基礎電信企業網絡與信息安全工作考核要點與評分標準〉的通知》（工信廳保[2014]15號），也明確要求將基礎電信企業IDC/ISP信息安全管理及技術手段建設納入省級公司的考核體系。

2012年12月，工業和信息化部發布了《互聯網數據中心和互聯網接入服務信息安全管理系統技術要求》、《互聯網數據中心和互聯網接入服務信息安全管理系統接口規范》和《互聯網數據中心和互聯網接入服務信息安全管理系統及接口測試方法》，對IDC在互聯網信息安全管理方面，包括基礎數據管理、訪問日志管理、違法網站及違法信息發現與處置等提出了更加具體的要求。

為滿足工信部關于IDC/ISP信息安全管理系統的相關要求，以及同時滿足省內用戶訪問IDC業務行為分析、省內重點ICP流量流向分析、IDC業務和流量精細化控制等需求，國內電信運營商提出了IDC/ISP信息安全管理系統的建設思路。

ISMS系統基本架構

IDC信息安全管理系統（Information Security Management System，簡稱ISMS）是lDC經營者建設的具有基礎數據管理、訪問日志管理、信息安全管理等功能的信息安全管理系統，用于滿足電信管理部門和IDC經營者信息安全的管理需求。每個省公司建設一個統一的ISMS，與電信管理部門建設的安全監管系統（SMMS）通過信息安全管理接口（ISMI）進行通信，實現電信管理部門的監管需求。通信管理局側的安全監管系統（SMMS）負責監控策略的制定并下發，以及接收IDC信息安全管理系統（ISMS）分析的結果。

ISMS系統架構如圖1所示

ISMS系統實施原則

（一）IDC出口鏈路覆蓋范圍

（1）應100%覆蓋需監管的IDC出口帶寬；

（2）一次工程實現單個IDC機房出口鏈路100%覆蓋，滿足內容審計功能需求。

（二）鏈路類型覆蓋范圍

（1）所有廠商EU設備均支持10GE端口，產業規模大；POS端口不是后續網絡發展方向，且部分廠商EU設備不支持POS端口，產業規模小，應謹慎覆蓋；后續應綜合EU設備支持情況和產業規模，考慮IDC機房出口鏈路的擴容和改造；

（2）優先覆蓋10GE、100GE端口，也可根據實際需求覆蓋GE和40G POS鏈路，原則上不考慮10G POS端口。

（三）設備部署原則

（1）EU部署在IDC機房，監控IDC出口鏈路，后續可作為IDC出口帶寬配套與帶寬擴容同步進行；

（2）CU全省集中建設部署1套；

（3）EU覆蓋鏈路可采用串接方式，也可根據省內業務和運維部門需求采用并接方式；若選擇并接方式，應提前做好溝通工作，確保完全滿足工信部/省管局當前和未來內容審計要求。

圖2 IDC網絡拓撲

ISMS系統組網方案

IDC網絡架構有以下3種情況：

（1）采用IDC機房-地市IDC匯聚-省IDC核心三級連接的方式；

（2）采用IDC機房-省IDC核心的二級連接方式；

（3）采用IDC機房-地市城域網-骨干網-省IDC核心這種不直接與IDC匯聚核心連接的方式。

IDC網絡拓撲圖如圖2所示。

ISMS系統組網的整體原則為，在每個涉及到的機房內部署2臺EU系統組網交換機，用于數據傳輸、網管、EU平臺的組網，EU系統組網交換機通過N?GE上聯匯聚交換機，采用裸纖或傳輸承載。具體組網拓撲如圖3所示。

（一）EU部署位置方案

（1）IDC機房上行

按照部署在IDC機房出口上行的方式，隨著IDC出口鏈路的擴容而進行EU的按需擴容。

（2）省IDC匯聚核心下行

否定此種方案，原因有2點：其一，絕大部分地市的城域網都直接和本地市的IDC匯聚節點進行連接，如果在省IDC匯聚核心下行進行部署，這部分流量是無法監控的；其二，由于所有流量進行混傳，那么在省IDC匯聚核心的路由器實際流量都是沒有規則的，需要超大量的傳輸資源將所有流量進行匯聚后再進行（同源同宿）分流處理才行。傳輸資源還是跨地市的，獲取難度很大。

（3）地市IDC匯聚設備上行

在地市IDC匯聚核心處進行采集。在這里采集既保證了所有流量全部監控，同時也解決了采集點過多、分散的問題。

經過以上討論及比對，建議選用方案三進行EU的部署。

圖3 ISMS網絡拓撲

（二）EU組網建設方案

在每個涉及到的IDC機房內部署2臺EU系統組網交換機，用于數據傳輸、網管、EU平臺的組網，EU系統組網交換機通過N?GE上聯匯聚交換機，采用裸纖或傳輸承載至省中心CU。

（三）并接封堵鏈路部署方案

（1）地市存在一對IDC核心路由器（在異機房）

對于此種模型，每個機房的EU接入交換機各出一條鏈路和該機房的IDC核心相連。服務器平均分為兩組，分別掛在兩臺EU接入交換機下面。接入交換機上下行和互連分別透傳封堵所用的vlan，交換機透傳vlan時，下行使用access，上行和互連使用trunk，IDC核心側采用子接口終結vlan的形式。對于二層封堵的，需要分配私網地址段，在IDC核心側接口上配置地址，服務器側無需配置地址。對于三層封堵的，需要分配私網地址段，將網關配置在IDC核心上，其他地址分別配置在服務器端口上。當其中一臺接入交換機只是上行鏈路down時，IDC維護人員手動將故障鏈路的子接口遷移到另一個核心的端口上。當其中一臺接入交換機出現故障時，服務器維護人員手動將封堵業務指定到另一臺交換機下掛的服務器。從而實現封堵業務的冷備。

（2）地市存在兩對IDC核心路由器（分別在異機房）

對于此種模型，原則上和一組跨機房IDC核心的模型一樣。不同的地方是，在此類模型中，同一個機房會存在兩組IDC核心。對于此類情況，首先將服務器分為兩大組，分別用于IDC核心A和B，他們使用不同的vlan和地址段，然后再將兩大組服務器分別平均下掛到機房的兩臺機（如交換機）下面。

（3）IDC機房存在一對出口交換機/路由器

對于此種模型，EU接入交換機和IDC核心成口字形互聯。接入交換機上下行和互連分別透傳封堵所用的vlan，交換機透傳vlan時，下行使用access，上行和互連使用trunk，IDC核心側采用子接口終結vlan的形式。IDC核心向下啟用vrrp，通過接入交換機實現二層“心跳互通”。服務器平均分為兩組，分別掛在兩臺EU接入交換機下面。接入交換機到IDC核心鏈路故障時，通過vrrp自行切換。當其中一臺接入交換機出現故障時，服務器維護人員手動將封堵業務指定到另一臺交換機下掛的服務器。從而實現封堵業務的冷備。

編輯｜張鵬 zhanpeng@bjxintong.com.cn