IP地址精細化管理系統(tǒng)建設方案研究

韋芹余

江蘇省通信管理局

0 引言

IP是Internet Protocol（網(wǎng)際互連協(xié)議）的縮寫，是TCP/IP體系中的網(wǎng)絡層協(xié)議，是整個TCP/IP協(xié)議族的核心，也是構成互聯(lián)網(wǎng)的基礎。江蘇省作為互聯(lián)網(wǎng)大省，截至2020年底，全省分配使用的IPv4地址已達到2500萬，用于LTE終端的IPv6地址9321萬，單純的依靠人力做好一個省份的IP地址管理工作已然不現(xiàn)實，需要建設技術手段來監(jiān)測全省IP地址分配使用情況，不斷提高全省IP地址的完整率、準確率，建立權威IP數(shù)據(jù)資源庫。近年來，隨著Hadoop等大數(shù)據(jù)技術的發(fā)展，對海量數(shù)據(jù)的分析處理已有完備的解決方案，利用大數(shù)據(jù)技術可以實現(xiàn)對IP地址的精細化管理。

1 IP地址分配管理

1.1 國內(nèi)IP地址的獲取

互聯(lián)網(wǎng)的IP地址分配是分級進行的。ICANN（IANA）對互聯(lián)網(wǎng)上的IP地址進行統(tǒng)一的管理，ICANN將地址分配給區(qū)域互聯(lián)網(wǎng)地址注冊機構（RIR），RIR負責各自地區(qū)的IP地址分配、注冊和管理工作。通常RIR會直接或通過當?shù)氐膰壹壔ヂ?lián)網(wǎng)注冊機構（NIR）將IP地址分配給本地互聯(lián)網(wǎng)注冊機構（LIR），然后由LIR分配給下游的互聯(lián)網(wǎng)服務提供商或終端用戶。目前，全球共有5個RIR，分別是：ARIN（負責北美地區(qū)業(yè)務）、RIPE NCC（負責歐洲地區(qū)業(yè)務）、APNIC（負責亞太地區(qū)業(yè)務）、LACNIC（負責拉丁美洲地區(qū)業(yè)務）、AfriNIC（負責非洲地區(qū)業(yè)務）。

工業(yè)和信息化部是我國IP地址分配和管理的主管部門，中國互聯(lián)網(wǎng)絡信息中心（CNNIC）是APNIC認定的中國大陸地區(qū)唯一的國家互聯(lián)網(wǎng)注冊機構。以CNNIC為召集單位的CNNIC IP地址分配聯(lián)盟幫助中國大陸地區(qū)的相關單位和組織從亞太互聯(lián)網(wǎng)注冊機構（APNIC）申請IP地址。

1.2 IP地址備案管理辦法

我國對IP地址的分配使用實行備案管理，工業(yè)和信息化部（原信息產(chǎn)業(yè)部）制定了《互聯(lián)網(wǎng)IP地址備案管理辦法》，自2005年3月20日起施行。辦法對IP地址的分配機構進行了定義，明確了IP地址的監(jiān)督管理部門、IP地址報備的責任主體、報備的流程、報備的數(shù)據(jù)字段以及違反規(guī)定的罰則。

1.3 IP地址管理的實名制要求

按照《中華人民共和國網(wǎng)絡安全法》第二十四條的要求，網(wǎng)絡運營者為用戶辦理網(wǎng)絡接入、域名注冊服務，在與用戶簽訂協(xié)議或者確認提供服務時，應當要求用戶提供真實身份信息。用戶不提供真實身份信息的，網(wǎng)絡運營者不得為其提供相關服務。

各級IP地址管理機構在分配IP地址時，應落實網(wǎng)絡實名制要求，保證IP使用單位、使用人信息真實、準確、可溯源。基礎電信企業(yè)和接入服務企業(yè)在為用戶辦理業(yè)務分配IP地址時，應落實實名制要求，強化源頭管理，提升實名制驗真技術手段，可采用真人視頻驗證、支付驗證、手機短信驗證等多種驗證方式，筑牢IP地址安全合規(guī)使用的防火墻。

2 IP地址管理系統(tǒng)建設目標及系統(tǒng)架構

2.1 項目建設目標

結合IP地址管理工作要求，建設IP地址資源管理系統(tǒng)，每日統(tǒng)計分析基礎電信企業(yè)和接入服務企業(yè)備案的全量IP地址，開發(fā)IP地址核查比對、資產(chǎn)的探測、安全風險分析、數(shù)據(jù)標簽等功能模塊，實現(xiàn)對IP地址的精細化管理，可快速準確進行IP地址檢索。

首先要定義IP地址管理的標準規(guī)范和流程，明確核心關注的IP地址數(shù)據(jù)字段，系統(tǒng)要具有良好的可靠性設計，確保系統(tǒng)穩(wěn)定運行，避免單點故障；系統(tǒng)應用后無論是軟件升級、硬件升級或是數(shù)據(jù)割接，都要能保證業(yè)務持續(xù)性。

2.2 項目整體架構

系統(tǒng)采用分層結構設計，主要包括：數(shù)據(jù)匯入層、數(shù)據(jù)存儲處理層、業(yè)務處理層、功能展示層，整體架構如圖1所示，各層功能說明如下：

圖1 系統(tǒng)整體架構

數(shù)據(jù)匯入層：開發(fā)數(shù)據(jù)傳輸接口，數(shù)據(jù)加密傳輸，接口連接鑒權，省里的基礎電信企業(yè)和接入服務企業(yè)每日調(diào)用接口，將全量IP地址報送。匯入的數(shù)據(jù)還包括可輔助進行IP地址核查比對的網(wǎng)絡安全事件數(shù)據(jù)、日志數(shù)據(jù)等。

數(shù)據(jù)存儲處理層：大數(shù)據(jù)平臺根據(jù)kafka消息隊列進行數(shù)據(jù)解析入庫，存儲在presto數(shù)據(jù)庫中，數(shù)據(jù)處理使用離線spark任務，最終的結果表、統(tǒng)計表保存在大數(shù)據(jù)平臺的presto、tidb庫中。

業(yè)務處理層：IP基礎資源核查比對模塊對基礎電信企業(yè)和接入服務企業(yè)上報的IP數(shù)據(jù)進行分析，核查比對數(shù)據(jù)中的異常情況，實現(xiàn)IP數(shù)據(jù)整合、問題IP數(shù)據(jù)的發(fā)現(xiàn)。

功能展示層：系統(tǒng)界面展示IP地址總體概覽、IP資源綜合管理、數(shù)據(jù)查詢、數(shù)據(jù)標簽管理以及系統(tǒng)管理等功能。

3 IP地址管理系統(tǒng)核心業(yè)務介紹

3.1 IP地址核查比對業(yè)務邏輯

系統(tǒng)每日對全省全量IP數(shù)據(jù)核查比對，檢測IP地址信息不準確、不規(guī)范，IP使用單位信息更新不及時，IP使用未報備、多頭報備等問題，形成數(shù)據(jù)IP核查驗證、問題定位、工單下發(fā)、處置反饋的閉環(huán)管理機制，提高全省IP數(shù)據(jù)質(zhì)量。核查比對的邏輯思維導圖如圖2所示。

圖2 核查比對邏輯思維導圖

3.2 IP地址數(shù)據(jù)標簽化

目前公有IPv4已分配殆盡，資源非常緊張，IPv4地址可以逐個進行精細化管理。隨著IPv6地址的推廣使用，對全量IP地址進行全覆蓋監(jiān)測也不現(xiàn)實。IPv6在分配使用上按照地址塊進行管理，重點管好現(xiàn)網(wǎng)監(jiān)測到的實際在用的、活躍的IPv6地址。對IP地址進行畫像、數(shù)據(jù)標簽化，按照業(yè)務類型分類，根據(jù)IP地址開放的端口、通信協(xié)議將IP分為：web應用、DSN解析、郵件服務器、數(shù)據(jù)庫服務、ftp服務等類型IP；按照行業(yè)分類，根據(jù)使用單位所屬行業(yè)進行統(tǒng)計，將IP分為：金融行業(yè)、教育行業(yè)、醫(yī)療行業(yè)、電力行業(yè)、工業(yè)互聯(lián)網(wǎng)等類型IP。IP數(shù)據(jù)標簽化后，可以與各行業(yè)的大數(shù)據(jù)進行關聯(lián)分析，疊加行業(yè)應用。

3.3 IP地址資產(chǎn)探測

系統(tǒng)的IP資產(chǎn)探測引擎可具備發(fā)現(xiàn)IP資產(chǎn)以及資產(chǎn)的安全屬性的能力，支持的資產(chǎn)掃描對象包括網(wǎng)絡設備、安全設備、服務器、WEB應用、數(shù)據(jù)庫等對象，發(fā)現(xiàn)其資產(chǎn)屬性、安全屬性等特征和信息。IP資產(chǎn)探測引擎實現(xiàn)對IP資產(chǎn)的掃描以及端口、服務、操作系統(tǒng)的識別，對各類WEB組件以及后臺數(shù)據(jù)庫進行探測與識別。

3.4 IP信息變更歷史軌跡記錄

系統(tǒng)每日對全量IP地址進行統(tǒng)計分析，數(shù)據(jù)是結構化存儲的，生成的IP基準庫里無法記錄IP變更的歷史軌跡。但是在網(wǎng)絡安全事件溯源中，一個IP地址以前被哪些單位使用過是非常重要的信息，建立IP歷史軌跡很有必要。在對IP地址進行核查比對的過程中，發(fā)現(xiàn)IP地址的使用單位等重要信息變更，可以及時記錄到IP歷史軌跡數(shù)據(jù)表中，標記更新的內(nèi)容，建立IP地址全生命周期的管理。

4 結束語

建設IP地址管理系統(tǒng)，對IP進行精細化管理，需要持續(xù)跟蹤研究電信業(yè)務形態(tài)、新型技術演進，加強主管部門之間的信息共享、協(xié)同聯(lián)動，可與公安部門、市場監(jiān)管部門的相關接口進行對接，進一步核驗IP地址備案數(shù)據(jù)的真實性、準確性，建設省級最權威IP地址基準數(shù)據(jù)庫。