IDC信息安全管控系统方案说明详解.docVIP

IDC管控系统 方案说明 北京亚鸿世纪科技发展有限公司 目录 1. 总体描述 4 1.1 IDC管控系统总体目标 4 1.2 系统总体原则 4 1.2.1 系统遵循法律法规 4 1.2.2 建设原则 5 2. 系统介绍 6 2.1 技术原理 6 2.1.1 综述 6 2.1.2 串接专用探针 7 2.1.3 网络安全审计服务器 7 2.1.4 IDC端安全审计管理系统服务器 8 2.1.5 IDC端不良信息分析模块 8 2.1.6 接入资源管理模块 8 2.2 软件系统逻辑结构图 9 2.3 系统功能 10 2.3.1 安全审计（访问日志管理） 10 2.3.2 资源管理（基础数据管理） 11 2.3.3 违法网站管理 16 2.3.4 信息安全管理 16 2.3.5 统计分析 18 2.3.6 系统管理 19 2.4 系统高稳定性、高可靠性的实现方式 21 总体描述 IDC管控系统总体目标 信息安全管理系统是实现互联网数据中心、信息、等功能的信息安全管理系统，以满足监管机构的监管需求和IDC自身的信息安全需求。每个业务经营单位建设一个统一的ISMS，并与监管机构建设的安全监管（SMC）进行通信，实现监管机构的监管需求。 系统总体原则 （1）《中华人民共和国计算机信息系统安全保护条例 （2）《公安部关于对与国际联网的计算机信息系统进行备案工作的通知公通字〔1996〕8号 （3）《中华人民共和国国家标准计算机信息系统安全保护等级划分准则GB 17859-1999）； （4）《关于信息安全等级保护工作的实施意见》，公通字[2004]66号； （5）《互联网安全保护技术措施规定 （6）《信息安全技术信息系统安全等级保护定级指南（报批稿）》； （7）《信息安全技术信息系统安全等级保护基本要求（报批稿）》； （8）《信息安全技术信息系统安全等级保护实施指南（报批稿）》； （9）《信息安全等级保护管理办法[2007]43号。 （10）工信部标准《IDC/ISP信息安全管理系统技术要求（送审稿）》 （11）工信部标准《IDC/ISP信息安全管理系统接口规范（送审稿）》 建设原则 （1）严格遵循技术规范和业务规范的要求，由集团进行整体规划与统一建设安排 （）开放性：系统遵循开放性架构，为用户提供统一的、开放的调用；业务维护和发展不依赖于设备厂商，能够保证业务的持续升级和发展； （）安全性：系统按照电信级的应用进行设计，系统软硬件架构充分考虑整个系统运行的安全策略和机制；采用多种安全技术手段，为用户提供完善的安全技术保障； （）成熟性：采用成熟稳定并具有电信级运营实例的硬件平台和第三方软件。 技术原理 综述 系统采用软硬件相结合的方式，可以实现对互联网不良信息的实时监控。 本系统由分流设备、网络安全审计服务器、IDC端安全审计管理系统服务器组成。系统通过前端分流设备对网络数据的实时监测，把需审计的数据报文送至网络安全审计服务器，不良信息分析软件实现对网络安全审计服务器中不良信息进行分析，管理中心软件实现对网络安全审计专用设备的统一管理。 部署图： 串接专用探针 每一条GE链路上，分流设备串接（或者并接）在IDC机房的出口路由器至骨干网间的GE链路之间，监控全部的出口链路流量。 分流设备采用高集成度的新一代多核处理器技术。在串接模式下能够控制上下行上下游设备流量传输，在断电、重启、故障或接口告警时自动切换到直通状态，不影响串接链路上流量传输。 分流设备通过端口与审计系统（网络安全审计服务器+IDC端安全审计管理系统服务器）相连接，通过分析筛选把审计系统需要审计和分析的网络数据传送给审计系统。审计系统从传入的数据包中获取IDC机房内的域名、IP等网络基础资源信息，对IDC的网络访问行为进行监控和过滤、根据预先设定的审计策略主动发现和过滤在这些行为中所包含的有害信息、及时发现监管范围内网站发布反动、邪教、色情等不良网页内容 网络安全审计服务器 网络安全审计服务器与IDC端安全审计管理系统服务器对接，从IDC端安全审计管理系统服务器上获取更新后的基础信息和IDC端安全审计管理系统服务器下发的审计策略等数据。 网络安全审计服务器把从网络数据中获取的域名、IP等信息上传到IDC端安全审计管理系统服务器。 网络安全审计服务器实现对网络数据包的解析，同时匹配审计策略产生报警记录，然后把数据上传到IDC端安全审计管理系统服务器。 每一台分流设备配置一台对应的网络安全审计专用设备。 IDC端安全审计管理系统服务器 IDC端安全审计管理系统服务器收集网络安全审计服务器上传的域名、IP等动态获取的互联网基础资源信息。 IDC端安全审计管理系统服务器提供统一的管理界面给用户，实现对机房、服务器、客户资料等基础资源数据的统一维护。 IDC端安全审计管理系统服务