青海联通网站扫描与流量监测项目的建议书20110610.doc

青海联通网站扫描与流量监测 项目建议书 2011年06月 目 录 1. 项目建设意义与必要性 3 1.1 项目背景 3 1.2 项目建设的必要性和建设原则 3 2. 建设方案及规模 4 2.1 建设目标 4 2.2 业务需求 5 2.2.1 与网络和业务规划相关的问题 5 2.2.2 与网络安全运营相关的问题 6 2.3 本期建设内容 6 2.3.1 本期工程建设方案 6 2.3.2 流量分析监控 8 2.3.3 网站监控 8 3. 建设规模及投资估算 9 3.1 投资估算 9 4. 进度计划 9 5. 经济效益分析与风险评估 10 项目建设意义与必要性 项目背景 随着互联网服务的普及，网络上各个环节的带宽越来越大。国际出口的带宽以及国内运营商之间互联带宽都在成指数趋势增长。一些大型城域网的出口带宽都超过了 10Gbps，电信级 IDC 的出口带宽很多也都超过 5Gbps。伴随着带宽的增加，网络上的应用和业务也不断的丰富，如基于流媒体的音视频服务，基于 MPLS 的 VPN 业务等等。与此同时，网络攻击的成本和技术门槛大幅下降，网络上的各种攻击和异常流量大量出现。在这种流量成分日益复杂，异常流量海量涌现的情况下，对网络流量进行深入分析从而全面了解流量的各种分布以及变化趋势就显得十分必要了。 随着互联网的发展，网络信息安全监控技术日趋成熟。信息监控的处理能力逐步提升，由最初只能通过镜像方式监控局部的百兆、千兆线路，到目前可实现对10G链路的高效监控，建设投资规模也大幅度下降。 项目建设的必要性和建设原则 本项目的实施，有利于提升青海联通网络服务质量，预测网络流量发展趋势，为网络建设和网络维护提供可靠依据；为用户提供流畅、稳定、安全的网络环境。 在流量分析方面，通过对流量的协议分析，可建立全网流量模型，基于流量模型，可实时监测网络流量状态，发现异常流量，预测流量增长趋势。对异常流量变化、设备流量负载情况发出报警信息。 可在内容监测方面，从最初的仅仅通过关键字查询进行网站内容甄别，到目前通过IP协议分析技术的应用，对互联网网络层和应用层各类协议进行分析处理，可以实时完成数据报文的内容识别和检查；通过异常检测引擎实时报告DoS/DDoS攻击、发现蠕虫、飞客等病毒的网络流量。 项目建设遵循互联网及网络信息安全行业标准，依据如下原则建设： 1)保密性 信息按给定要求不泄漏给非授权的个人、实体或过程，或提供其利用的特性，即杜绝有用信息泄漏给非授权个人或实体，强调有用信息只被授权对象使用的特征。 2)技术主流性与先进性 信息技术的发展十分迅速，在综合考虑性价比的前提下，及时了解新技术，使用主流的先进技术、设备和算法，使目标系统更先进、更完善。 3)可扩展性 考虑到系统将来的变化，系统应具有良好的扩展性。第一，在体系结构上应具有可伸缩性，以适应扩大业务范围和增加多种应用的需要，特别是系统硬件和软件应采用模块化的可扩展结构。第二，模块之间和本系统与外部系统之间通过标准接口交互。 4)标准化 系统的各个部分遵循相应的国际和国内标准。遵循这些标准使得各部分间的互用性更加便捷。系统支持标准的算法、消息格式和协议。 5)易操作性 为了让信息安全管理操作员能在业务管理的应用中，充分利用本工程提供的功能，系统必须是易操作的和透明的，即操作员不需要了解其中的具体技术细节，通过WEB方式及应用程序提供的GUI界面就能实现应用系统需要的功能。 6)可维护性 系统具备良好的可维护性。系统的软、硬件系统都具有良好的模块化结构，保证系统设计的合理性，配置相关的管理手段。 7)符合国家有关法律法规 选用的产品符合国家的相关法律、法规。 建设方案及规模 建设目标 本期目标通过对中心机房和天桥机房的出口流量检测分析，达到以下目的： 建立全网流量模型 掌握全网流量分布状况，各类应用流量分布状态，将流量按IP、时间、应用、方向等要素分类统计，建立贴近实际的网络流量模型，生成动态历史基线，预测流量增长趋势，作为后期网络建设、调整规划依据。 网络流量异常告警 实时检测网络流量，对网络流量异常发出告警，及时通知运维人员。 监测网络攻击 具备特征检测、异常检测两种异常检测引擎，可以监测到DDoS、缓冲区溢出、SQL 注入、暴力猜测、蠕虫、飞客、木马后门等、不正常路由等异常流量，并报警。 网站内容识别 网站备案情况的监督及管理。 业务需求 网络流量的复杂性给网络的运营维护带来了巨大挑战，运维人员通常关心的问题包括两大类，一类是与网络和业务规划相关的问题，即关于网络流量成分组成以及地域分布的情况。 另一类是与网络安全运营相关的问题，即关于异常流量的种类和数量、来源等情况。流量分析的目的就是解决运维人员这两个方面的问题。 与网络和业务规划相关的问题 与网络和业务规划相关的问题基本是围