簡談IDCISP 信息安全管理系統(tǒng)升級改造

［陳敏］

1 引言

IDC信息安全管理系統(tǒng)（Information Security Management System，簡稱ISMS）是lDC 經營者建設的具有基礎數(shù)據管理、訪問日志管理、信息安全管理等功能的信息安全管理系統(tǒng)，用于滿足電信管理部門和IDC 經營者信息安全的管理需求。為了有效解決行業(yè)網絡與數(shù)據安全技術監(jiān)管需求，需要對現(xiàn)有系統(tǒng)做何改造升級呢？本文從IDCISP 信安系統(tǒng)的架構及功能開始，探討在網絡安全和數(shù)據安全新增功能需求下，整個信安系統(tǒng)要做哪些工作來重新構建一個數(shù)據安全、網絡安全、深度合成信息檢測處置等技術能力的安全管理系統(tǒng)。

2 IDCISP 信安系統(tǒng)總體架構

IDCISP 信息安全管理系統(tǒng)總體架構如圖1 所示，包括：控制單元（CU）和執(zhí)行單元（EU）。

圖1 IDCISP 信息安全管理系統(tǒng)總體架構圖

控制單元（CU）：CU 核心控制單元和存儲單元集中部署，CU 的核心控制單元負責與安全監(jiān)管系統(tǒng)（SMMS）進行通信，接收來自SMMS 的管理指令，并根據要求向SMMS 上報數(shù)據，同時還要實現(xiàn)對各執(zhí)行單元進行集中管理，完成管理指令的調度、轉發(fā)和執(zhí)行及數(shù)據的匯總、分析和預警。

執(zhí)行單元（EU）：EU 部署在各IDC 機房中，在IDC機房出口路由器設備的出口鏈路上加分光器，經分光器復制之后的一條鏈路仍連接原有上聯(lián)的網絡設備，另外一條鏈路接入執(zhí)行單元的分流設備。分流設備具有一定的過濾功能，將過濾之后的數(shù)據傳給分析監(jiān)控服務器，另外也通過一條鏈路與IDC 核心網絡設備連接，通過發(fā)送數(shù)據包中斷或干擾用戶正常業(yè)務連接達到對用戶流量的控制。

3 需求分析

3.1 必要性

（1）為貫徹落實《中華人民共和國數(shù)據安全法》《中華人民共和國網絡安全法》，進一步加強數(shù)據安全和網絡安全技術監(jiān)管能力建設，統(tǒng)籌構建數(shù)據安全監(jiān)管平臺，一體化推進網絡安全技術建設。

（2）為滿足IDC 及互聯(lián)網專線業(yè)務的發(fā)展需求，滿足用戶訪問IDC 業(yè)務行為分析需求、滿足重點ICP 流量流向分析需求，滿足IDC 業(yè)務和流量精細化控制需求，實現(xiàn)對IDC 業(yè)務流量進行安全管控和分析。

（3）積極推進云網融合一體化的建設需求，實現(xiàn)設備上云。

3.2 功能性

（1）優(yōu)化信安系統(tǒng)數(shù)據采集和處置能力，具備在IDC 機房出入口按需采集雙向網絡流量能力，進一步增強精細化處置能力。

（2）二是擴大系統(tǒng)覆蓋范圍，滿足對專線加密傳輸流量的數(shù)據傳輸日志分析以及非加密傳輸流量的按需采集與分析需求。

（3）三是擴展系統(tǒng)功能，新增數(shù)據安全模塊，支持流量數(shù)據識別、數(shù)據分級分類，可對數(shù)據泄露、跨境流動等行為開展監(jiān)測溯源和處置；新增網絡安全模塊，可實現(xiàn)網絡攻擊、惡意程序、網絡異常行為等監(jiān)測溯源和處置。

4 信安系統(tǒng)改造方案

4.1 總體架構

根據改造功能要求，原有采集執(zhí)行層EU 實現(xiàn)全量流量、特定流量的信安、網安、數(shù)安識別、監(jiān)測、風險發(fā)現(xiàn)、處置等功能。而控制存儲層CU 實現(xiàn)結果日志存儲、分析、上報，規(guī)則指令接受、轉發(fā)，采集執(zhí)行層能力調用。系統(tǒng)升級改造后的總體架構如圖2 所示。

圖2 升級改造后的IDCISP 總體架構圖

4.2 控制單元CU

CU 系統(tǒng)優(yōu)化升級為數(shù)據單元、控制單元、統(tǒng)一接口單元幾大部分，各部分功能如下。

（1）數(shù)據單元：主要包括基礎服務、數(shù)據接入、數(shù)據分析、分發(fā)共享、數(shù)據管理、安全管理和系統(tǒng)管理等功能，預留數(shù)據共享接口。

（2）控制單元：主要包括信安控制、網安控制、數(shù)安控制等功能，其中數(shù)安和網安為新增功能。

（3）統(tǒng)一接口單元：負責與省管局側/部側信安系統(tǒng)以及各控制單元進行統(tǒng)一對接，實現(xiàn)接口統(tǒng)一、規(guī)則轉化與管理等功能，并向其它第三方系統(tǒng)提供接口。

4.3 采集單元EU

EU 系統(tǒng)優(yōu)化升級為分流單元、全量執(zhí)行單元、數(shù)安執(zhí)行單元、特定網安執(zhí)行單元幾大部分，各部分功能及實現(xiàn)方式如下。

（1）分流單元：通過部署分流器實現(xiàn)鏈路匯聚、同源同宿、負載均擔等原始流量轉發(fā)能力。

（2）全量執(zhí)行單元：通過部署通用基礎能力服務器實現(xiàn)統(tǒng)一DPI 服務器（EU 服務器）功能，具備網絡攻擊、惡意程序網絡活動監(jiān)測等網安功能，訪問日志精細化處置能力，實現(xiàn)按需流量采集等信安功能。

（3）數(shù)安執(zhí)行單元：通過部署數(shù)安擴展能力服務器實現(xiàn)數(shù)據監(jiān)測識別、還原、分級、分類、安全風險監(jiān)測等數(shù)安功能。

（4）特定網安執(zhí)行單元：通過部署網安擴展能力服務器實現(xiàn)惡意文件還原、網絡異常行為監(jiān)測等網安功能。

5 系統(tǒng)部署

系統(tǒng)流量采集覆蓋范圍為IDC 出口雙向流量、互聯(lián)網專線出口鏈路雙向流量。

IDCISP 信安系統(tǒng)部署如圖3 所示，建議如下。

圖3 IDCISP 信安系統(tǒng)部署示意圖

（1）控制單元（含統(tǒng)一接口單元、數(shù)據單元）統(tǒng)一部署于省中心；有條件的可以采用存算分離的方式進行部署，即接口單元和控制單元統(tǒng)一部署，數(shù)據存儲單元分散部署。

（2）分流單元、全量執(zhí)行單元、特定網安執(zhí)行單元、數(shù)安執(zhí)行單元主要部署于各地市IDC 機房或匯聚機房。

（3）全量執(zhí)行單元接收和處理全量流量，特定網安執(zhí)行單元、數(shù)安執(zhí)行單元接收和處理按需流量。

6 系統(tǒng)云化

IDCISP 信息安全管理系統(tǒng)主要采用的是X86 架構服務器，且各網元接口均已實現(xiàn)IP 化，具備虛擬條件。其中CU 控制單元根據其網絡架構特征及所用設備的特性，可以采用虛擬化技術實現(xiàn)云化部署。具體云化方案如圖4所示。

圖4 IDCISP 信息安全管理系統(tǒng)云化示意圖

云化部署建議：（1）在云節(jié)點新建CU 節(jié)點。

（2）應用服務器由云資源池提供虛擬資源，便于部署新CU。

（3）采集服務器、存儲服務器結合現(xiàn)有資源，按需擴容，由云資源池提供虛擬資源或物理設備。

（4）云資源池節(jié)點與原CU 節(jié)點通過傳輸專線組網，采集服務器和存儲服務器不同節(jié)點部署時，盡量匹配資源，減少資源消耗。

（5）新建EU 節(jié)點盡量回傳新CU 所在云節(jié)點。

7 結束語

本文介紹IDCISP 信息安全管理系統(tǒng)并對系統(tǒng)的升級改造進行簡單描述，其中的信息安全、網絡安全和數(shù)據安全等與我們的生活息息相關。IDCISP 信安系統(tǒng)針對IDC及互聯(lián)網專線，通過各種技術手段，為依法加強互聯(lián)網管理，保障信息、數(shù)據及網絡安全，營造綠色、健康、有序的互聯(lián)網環(huán)境，凈化網絡不良內容，提升網絡服務品質，促進互聯(lián)網文化的繁榮發(fā)展和維護社會穩(wěn)定提供有效的技術手段和管理支撐。