IP地址精細化管理系統建設方案研究

韋芹余

江蘇省通信管理局

0 引言

IP是Internet Protocol（網際互連協議）的縮寫，是TCP/IP體系中的網絡層協議，是整個TCP/IP協議族的核心，也是構成互聯網的基礎。江蘇省作為互聯網大省，截至2020年底，全省分配使用的IPv4地址已達到2500萬，用于LTE終端的IPv6地址9321萬，單純的依靠人力做好一個省份的IP地址管理工作已然不現實，需要建設技術手段來監測全省IP地址分配使用情況，不斷提高全省IP地址的完整率、準確率，建立權威IP數據資源庫。近年來，隨著Hadoop等大數據技術的發展，對海量數據的分析處理已有完備的解決方案，利用大數據技術可以實現對IP地址的精細化管理。

1 IP地址分配管理

1.1 國內IP地址的獲取

互聯網的IP地址分配是分級進行的。ICANN（IANA）對互聯網上的IP地址進行統一的管理，ICANN將地址分配給區域互聯網地址注冊機構（RIR），RIR負責各自地區的IP地址分配、注冊和管理工作。通常RIR會直接或通過當地的國家級互聯網注冊機構（NIR）將IP地址分配給本地互聯網注冊機構（LIR），然后由LIR分配給下游的互聯網服務提供商或終端用戶。目前，全球共有5個RIR，分別是：ARIN（負責北美地區業務）、RIPE NCC（負責歐洲地區業務）、APNIC（負責亞太地區業務）、LACNIC（負責拉丁美洲地區業務）、AfriNIC（負責非洲地區業務）。

工業和信息化部是我國IP地址分配和管理的主管部門，中國互聯網絡信息中心（CNNIC）是APNIC認定的中國大陸地區唯一的國家互聯網注冊機構。以CNNIC為召集單位的CNNIC IP地址分配聯盟幫助中國大陸地區的相關單位和組織從亞太互聯網注冊機構（APNIC）申請IP地址。

1.2 IP地址備案管理辦法

我國對IP地址的分配使用實行備案管理，工業和信息化部（原信息產業部）制定了《互聯網IP地址備案管理辦法》，自2005年3月20日起施行。辦法對IP地址的分配機構進行了定義，明確了IP地址的監督管理部門、IP地址報備的責任主體、報備的流程、報備的數據字段以及違反規定的罰則。

1.3 IP地址管理的實名制要求

按照《中華人民共和國網絡安全法》第二十四條的要求，網絡運營者為用戶辦理網絡接入、域名注冊服務，在與用戶簽訂協議或者確認提供服務時，應當要求用戶提供真實身份信息。用戶不提供真實身份信息的，網絡運營者不得為其提供相關服務。

各級IP地址管理機構在分配IP地址時，應落實網絡實名制要求，保證IP使用單位、使用人信息真實、準確、可溯源。基礎電信企業和接入服務企業在為用戶辦理業務分配IP地址時，應落實實名制要求，強化源頭管理，提升實名制驗真技術手段，可采用真人視頻驗證、支付驗證、手機短信驗證等多種驗證方式，筑牢IP地址安全合規使用的防火墻。

2 IP地址管理系統建設目標及系統架構

2.1 項目建設目標

結合IP地址管理工作要求，建設IP地址資源管理系統，每日統計分析基礎電信企業和接入服務企業備案的全量IP地址，開發IP地址核查比對、資產的探測、安全風險分析、數據標簽等功能模塊，實現對IP地址的精細化管理，可快速準確進行IP地址檢索。

首先要定義IP地址管理的標準規范和流程，明確核心關注的IP地址數據字段，系統要具有良好的可靠性設計，確保系統穩定運行，避免單點故障；系統應用后無論是軟件升級、硬件升級或是數據割接，都要能保證業務持續性。

2.2 項目整體架構

系統采用分層結構設計，主要包括：數據匯入層、數據存儲處理層、業務處理層、功能展示層，整體架構如圖1所示，各層功能說明如下：

圖1 系統整體架構

數據匯入層：開發數據傳輸接口，數據加密傳輸，接口連接鑒權，省里的基礎電信企業和接入服務企業每日調用接口，將全量IP地址報送。匯入的數據還包括可輔助進行IP地址核查比對的網絡安全事件數據、日志數據等。

數據存儲處理層：大數據平臺根據kafka消息隊列進行數據解析入庫，存儲在presto數據庫中，數據處理使用離線spark任務，最終的結果表、統計表保存在大數據平臺的presto、tidb庫中。

業務處理層：IP基礎資源核查比對模塊對基礎電信企業和接入服務企業上報的IP數據進行分析，核查比對數據中的異常情況，實現IP數據整合、問題IP數據的發現。

功能展示層：系統界面展示IP地址總體概覽、IP資源綜合管理、數據查詢、數據標簽管理以及系統管理等功能。

3 IP地址管理系統核心業務介紹

3.1 IP地址核查比對業務邏輯

系統每日對全省全量IP數據核查比對，檢測IP地址信息不準確、不規范，IP使用單位信息更新不及時，IP使用未報備、多頭報備等問題，形成數據IP核查驗證、問題定位、工單下發、處置反饋的閉環管理機制，提高全省IP數據質量。核查比對的邏輯思維導圖如圖2所示。

圖2 核查比對邏輯思維導圖

3.2 IP地址數據標簽化

目前公有IPv4已分配殆盡，資源非常緊張，IPv4地址可以逐個進行精細化管理。隨著IPv6地址的推廣使用，對全量IP地址進行全覆蓋監測也不現實。IPv6在分配使用上按照地址塊進行管理，重點管好現網監測到的實際在用的、活躍的IPv6地址。對IP地址進行畫像、數據標簽化，按照業務類型分類，根據IP地址開放的端口、通信協議將IP分為：web應用、DSN解析、郵件服務器、數據庫服務、ftp服務等類型IP；按照行業分類，根據使用單位所屬行業進行統計，將IP分為：金融行業、教育行業、醫療行業、電力行業、工業互聯網等類型IP。IP數據標簽化后，可以與各行業的大數據進行關聯分析，疊加行業應用。

3.3 IP地址資產探測

系統的IP資產探測引擎可具備發現IP資產以及資產的安全屬性的能力，支持的資產掃描對象包括網絡設備、安全設備、服務器、WEB應用、數據庫等對象，發現其資產屬性、安全屬性等特征和信息。IP資產探測引擎實現對IP資產的掃描以及端口、服務、操作系統的識別，對各類WEB組件以及后臺數據庫進行探測與識別。

3.4 IP信息變更歷史軌跡記錄

系統每日對全量IP地址進行統計分析，數據是結構化存儲的，生成的IP基準庫里無法記錄IP變更的歷史軌跡。但是在網絡安全事件溯源中，一個IP地址以前被哪些單位使用過是非常重要的信息，建立IP歷史軌跡很有必要。在對IP地址進行核查比對的過程中，發現IP地址的使用單位等重要信息變更，可以及時記錄到IP歷史軌跡數據表中，標記更新的內容，建立IP地址全生命周期的管理。

4 結束語

建設IP地址管理系統，對IP進行精細化管理，需要持續跟蹤研究電信業務形態、新型技術演進，加強主管部門之間的信息共享、協同聯動，可與公安部門、市場監管部門的相關接口進行對接，進一步核驗IP地址備案數據的真實性、準確性，建設省級最權威IP地址基準數據庫。