◆宋 利 任 敏
IDC/ISP系统在电信行业的建设浅谈
◆宋 利1任 敏2
(1.中国电信集团公司山西省电信分公司 山西 030006;2.广东省电信规划设计院有限公司 北京 100027)
随着近年来云计算产业的飞速发展,互联网IDC的服务模式和传播渠道也日趋多样化。但目前,在互联网接入服务提供和管理工作中还存在安全意识淡薄、管理基础薄弱、查处手段缺失,违法信息发现难、处置难,日志留存落实不到位等问题和薄弱环节。需要运营商及民营企业及时做好网络监管工作。
云计算;IDC/ISP;安全架构;网络监管
为满足工信部关于IDC/ISP信息安全管理系统的相关要求,同时满足省内用户访问IDC业务行为分析、省内重点ICP流量流向分析、IDC业务和流量精细化控制等需求。文中主要研究IDC/ISP系统的建设过程,包含网络现状、业务需求、系统架构等相关内容。
1.1 IDC业务现状
大中型省份的IDC主要贯彻执行IDC业务集约化运营的指导方针,坚持资源集约管理和规模效益管理的原则。机架扩容的原则是:重点促进机架数较多、需求量较大机房规模发展。带宽扩容的原则是:重点扶持人口密集地区IDC大带宽发展,其他地市有实际客户需求的,可在当年的预算范围内适当发展。
大区中心IDC 应规划建设专门的数据与灾备中心场地资源,实现面向高端行业客户和跨省灾备客户的业务布局;省中心和地市IDC 机房规划建设时,也可同时考虑本省和本地数据和灾备业务的发展需要。
以做强基础产品,做大增值产品为发展策略:(1)基础产品:作为核心产品,面向高、中、低端客户,完全覆盖市场;产品实现差异化、集中化、规模化和国际化;(2)增值产品:增强业务黏性,提高整体收入规模;实现体系化、专业化、个性化、规模。
1.2 网络现状分析
就国内某运营商而言,到目前为止全国较大省份IDC上连方式主要采用以下三类。第一类是通过省IDC平台接入数据骨干网络;第二类是IDC与本地IP城域网地位平行,分别直接上联省会城市的骨干网络;第三类是IDC通过路由器上连至本地IP城域网出口,由IP城域网上联到省会城市的骨干网络,主要包括地市及分公司。
与IDC/ISP信息安全管理系统关系最为密切的是网站备案系统。对于IDC通过路由器上连至本地IP城域网出口,由IP城域网上联到网站备案系统通过宽带行为分析系统进行分光采集,并将前端采集数据送到网站备案系统在广州和深圳的统一平台进行分析处理,实现网站的分析和阻断。
目前IDC/ISP信息安全管理系统的主要功能、性能方面的要求如下:
(1)系统应符合《互联网数据中心和互联网接入服务信息安全管理系统技术要求》(YD/T2248-2012)要求,具备基础数据管理、访问日志管理、违法网站及违法信息发现与处置的基本功能;
(2)根据《互联网数据中心和互联网接入服务信息安全管理系统接口规范》(YD/T2405-2012)要求,系统应具备与通信管理局监控平台实现对接的能力,并按照通信管理局要求将有关数据传送到指定位置,实现系统对接;
(3)同步扩容配套,对已经具备系统的IDC/ISP机房(带宽),各省公司在扩容省级和线路调整时,应确保系统与IDC/ISP网络同步扩容、调整,避免出现覆盖不全的问题;
(4)基础数据管理:包含机房信息、互联网出口信息、路由信息、IP段信息、服务器信息等相关数据的管理;
(5)上网日志管理:ISMS应对IDC的双向流量数据进行监测,并进行日志记录,形成上网日志;
(6)违法网站管理:ISMS应提供对违法网站的发现、处置及上报操作,支持在IDC端直接对违法网站进行阻断,并对违法网站的域名、IP、服务内容、违法类型以及当前状态(自动封堵、指令封堵或未封堵)进行日志记录,定时/定期/及时上报;
(7)信息安全管理:ISMS应对IDC网络中传输的数据进行检查,发现网络中的不良信息等,记录源/目的IP等信息,并根据已设置的策略进行处理,上报监测日志及过滤日志等信息。相关的监测信息数据可根据SMCC策略要求上报给SMCC;
(8)统计分析:ISMS应对基础数据进行统计分析,按照日、周、月等周期及服务内容、分布区域、用户类别、使用方式等条件,提供多种数据分析报告;
(9)系统管理:分为权限管理和运行维护;
(10)处理能力:ISMS对网络数据、IDC资源使用情况等进行管控,应具备网络数据的实时处理能力,避免对网络数据造成延迟、丢失等影响。系统对网络被监控协议数据包的捕获率,即捕获被监控协议数据包数量/实际被监控协议数据包数量之比应不低于95%。
3.1 工信部ISMS系统架构
IDC信息安全管理系统(Information Security Management System,ISMS)是lDC经营者建设的具有基础数据管理、访问日志管理、信息安全管理等功能的信息安全管理系统,用于满足电信管理部门和IDC经营者信息安全的管理需求。每个省公司建设一个统一的ISMS,与电信管理部门建设的安全监管系统(SMMS)通过信息安全管理接口(ISMI)进行通信,实现电信管理部门的监管需求。通信管理局侧的安全监管系统(SMMS)负责监控策略的制定并下发,和接收IDC信息安全管理系统(ISMS)分析的结果。
IDC信息安全管理系统包括:控制单元(CU)和执行单元(EU)。控制单元按省集中部署,负责与安全监管系统(SMMS)进行通信,接收来自SMMS的管理指令,并根据要求向SMMS上报数据,同时还要实现对本省各IDC机房的执行单元进行集中管理,完成管理指令的调度、转发和执行及数据的汇总、分析和预警。执行单元部署在所覆盖的IDC机房,负责实现本地IDC的信息安全管理。
3.2 系统部署及总体建设要求
控制单元CU全省集中部署,负责与安全监管系统(SMMS)进行通信,接收来自SMMS的管理指令,并根据要求向SMMS上报数据,同时还要实现对全省各IDC机房的执行单元进行集中管理,完成管理指令的调度、转发和执行及数据的汇总、分析和预警。
(1)EU系统建设要求
EU系统建设时须根据工信部相关要求、中国电信关于EU的部署原则、各IDC配套环境条件等因素选择合适的IDC机房部署EU,实现对IDC机房出口链路的覆盖。EU部署在各IDC机房中,一般由交换机、分流设备、分析监控服务器、分光器或光保护器组成,分流设备也会根据不同厂家和不同的监控方式而分设为分流设备及预处理前端机。
EU对IDC出口链路的监控可根据接入方式及监控流程的不同方式:并接方式和串接方式。
(2)CU系统建设要求
CU系统支持针对应用、用户的集中数据的综合分析,从功能模块角度可以分为全应用分析和管理、用户行为分析和管理、安全检测信息分析等,并可提供多种查询维度下的结果展示和报表输出。CU系统支持互联网数据中心和互联网接入服务信息安全管理(即IDC/ISP信息安全管理)以及针对IDC/ISP的流量流向分析。CU系统分布式部署于各个地市,通过IP网络与分布部署的各厂家CU设备互通,实现分析数据的上传和管理策略的下发。
(3)EU平台存储系统建设要求
建议采用分布式文件存储系统,实现用户访问日志和监控日志的海量存储。
CU系统实现海量用户访问日志数据的采集、存储、管理、数据处理,支持海量数据查询、业务分析、用户行为分析、异常IP监测、流量流向分析等应用场景建模,以及处理任务的调度。
本系统建成后,将进一步加强IDC网络信息安全的保障、维护互联网信息的安全、规范IDC接入服务;并将进一步提升行业用户的业务感知度和用户黏度,并将促进IDC业务进一步发展,为运营商带来更多的业务和利润增长点,为电信行业的网络安全进程跨上一个新台阶。