中訊郵電咨詢設(shè)計院有限公司 │馬昌軍 張玲

如何構(gòu)建IDC/ISP信息安全技術(shù)管理系統(tǒng)

中訊郵電咨詢設(shè)計院有限公司 │馬昌軍 張玲

為滿足工信部關(guān)于IDC/ISP信息安全管理系統(tǒng)的相關(guān)要求，以及同時滿足省內(nèi)用戶訪問IDC業(yè)務(wù)行為分析、省內(nèi)重點ICP流量流向分析、IDC業(yè)務(wù)和流量精細化控制等需求，國內(nèi)電信運營商提出了IDC/ISP信息安全管理系統(tǒng)的建設(shè)思路。

圖1 ISMS系統(tǒng)架構(gòu)

隨著近年來互聯(lián)網(wǎng)產(chǎn)業(yè)的飛速發(fā)展，互聯(lián)網(wǎng)的服務(wù)模式和傳播渠道也日趨多樣化。新聞網(wǎng)站、門戶網(wǎng)站、搜索引擎、論壇、博客、P2P等多種服務(wù)模式并存，互聯(lián)網(wǎng)已演化成為一個虛擬社會，互聯(lián)網(wǎng)安全管理面臨空前的挑戰(zhàn)。在加強互聯(lián)網(wǎng)安全管理的同時，組織力量開展互聯(lián)網(wǎng)信息的匯集整理與分析，對于全面了解社情民意，做好網(wǎng)絡(luò)宣傳監(jiān)管工作具有重要意義。

目前，在互聯(lián)網(wǎng)接入服務(wù)提供和管理工作中還存在安全意識淡薄、管理基礎(chǔ)薄弱、查處手段缺失、違法信息發(fā)現(xiàn)及處置難，日志留存落實不到位等問題和薄弱環(huán)節(jié)。

全國人大常委會2012年12月28日頒布的《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》第五、十條和《互聯(lián)網(wǎng)信息服務(wù)管理辦法》（國務(wù)院第292號令）第十四條規(guī)定了互聯(lián)網(wǎng)接入服務(wù)提供商應當采取技術(shù)措施，發(fā)現(xiàn)、處置傳輸?shù)倪`法信息，并做好日志留存工作。《工業(yè)和信息化部、國務(wù)院國有資產(chǎn)監(jiān)督管理委員會關(guān)于開展基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全責任考核有關(guān)工作的指導意見》（工信部聯(lián)保[2012]551號）、《工業(yè)和信息化部辦公廳關(guān)于印發(fā)〈2014年省級基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全工作考核要點與評分標準〉的通知》（工信廳保[2014]15號），也明確要求將基礎(chǔ)電信企業(yè)IDC/ISP信息安全管理及技術(shù)手段建設(shè)納入省級公司的考核體系。

2012年12月，工業(yè)和信息化部發(fā)布了《互聯(lián)網(wǎng)數(shù)據(jù)中心和互聯(lián)網(wǎng)接入服務(wù)信息安全管理系統(tǒng)技術(shù)要求》、《互聯(lián)網(wǎng)數(shù)據(jù)中心和互聯(lián)網(wǎng)接入服務(wù)信息安全管理系統(tǒng)接口規(guī)范》和《互聯(lián)網(wǎng)數(shù)據(jù)中心和互聯(lián)網(wǎng)接入服務(wù)信息安全管理系統(tǒng)及接口測試方法》，對IDC在互聯(lián)網(wǎng)信息安全管理方面，包括基礎(chǔ)數(shù)據(jù)管理、訪問日志管理、違法網(wǎng)站及違法信息發(fā)現(xiàn)與處置等提出了更加具體的要求。

為滿足工信部關(guān)于IDC/ISP信息安全管理系統(tǒng)的相關(guān)要求，以及同時滿足省內(nèi)用戶訪問IDC業(yè)務(wù)行為分析、省內(nèi)重點ICP流量流向分析、IDC業(yè)務(wù)和流量精細化控制等需求，國內(nèi)電信運營商提出了IDC/ISP信息安全管理系統(tǒng)的建設(shè)思路。

ISMS系統(tǒng)基本架構(gòu)

IDC信息安全管理系統(tǒng)（Information Security Management System，簡稱ISMS）是lDC經(jīng)營者建設(shè)的具有基礎(chǔ)數(shù)據(jù)管理、訪問日志管理、信息安全管理等功能的信息安全管理系統(tǒng)，用于滿足電信管理部門和IDC經(jīng)營者信息安全的管理需求。每個省公司建設(shè)一個統(tǒng)一的ISMS，與電信管理部門建設(shè)的安全監(jiān)管系統(tǒng)（SMMS）通過信息安全管理接口（ISMI）進行通信，實現(xiàn)電信管理部門的監(jiān)管需求。通信管理局側(cè)的安全監(jiān)管系統(tǒng)（SMMS）負責監(jiān)控策略的制定并下發(fā)，以及接收IDC信息安全管理系統(tǒng)（ISMS）分析的結(jié)果。

ISMS系統(tǒng)架構(gòu)如圖1所示

ISMS系統(tǒng)實施原則

（一）IDC出口鏈路覆蓋范圍

（1）應100%覆蓋需監(jiān)管的IDC出口帶寬；

（2）一次工程實現(xiàn)單個IDC機房出口鏈路100%覆蓋，滿足內(nèi)容審計功能需求。

（二）鏈路類型覆蓋范圍

（1）所有廠商EU設(shè)備均支持10GE端口，產(chǎn)業(yè)規(guī)模大；POS端口不是后續(xù)網(wǎng)絡(luò)發(fā)展方向，且部分廠商EU設(shè)備不支持POS端口，產(chǎn)業(yè)規(guī)模小，應謹慎覆蓋；后續(xù)應綜合EU設(shè)備支持情況和產(chǎn)業(yè)規(guī)模，考慮IDC機房出口鏈路的擴容和改造；

（2）優(yōu)先覆蓋10GE、100GE端口，也可根據(jù)實際需求覆蓋GE和40G POS鏈路，原則上不考慮10G POS端口。

（三）設(shè)備部署原則

（1）EU部署在IDC機房，監(jiān)控IDC出口鏈路，后續(xù)可作為IDC出口帶寬配套與帶寬擴容同步進行；

（2）CU全省集中建設(shè)部署1套；

（3）EU覆蓋鏈路可采用串接方式，也可根據(jù)省內(nèi)業(yè)務(wù)和運維部門需求采用并接方式；若選擇并接方式，應提前做好溝通工作，確保完全滿足工信部/省管局當前和未來內(nèi)容審計要求。

圖2 IDC網(wǎng)絡(luò)拓撲

ISMS系統(tǒng)組網(wǎng)方案

IDC網(wǎng)絡(luò)架構(gòu)有以下3種情況：

（1）采用IDC機房-地市IDC匯聚-省IDC核心三級連接的方式；

（2）采用IDC機房-省IDC核心的二級連接方式；

（3）采用IDC機房-地市城域網(wǎng)-骨干網(wǎng)-省IDC核心這種不直接與IDC匯聚核心連接的方式。

IDC網(wǎng)絡(luò)拓撲圖如圖2所示。

ISMS系統(tǒng)組網(wǎng)的整體原則為，在每個涉及到的機房內(nèi)部署2臺EU系統(tǒng)組網(wǎng)交換機，用于數(shù)據(jù)傳輸、網(wǎng)管、EU平臺的組網(wǎng)，EU系統(tǒng)組網(wǎng)交換機通過N?GE上聯(lián)匯聚交換機，采用裸纖或傳輸承載。具體組網(wǎng)拓撲如圖3所示。

（一）EU部署位置方案

（1）IDC機房上行

按照部署在IDC機房出口上行的方式，隨著IDC出口鏈路的擴容而進行EU的按需擴容。

（2）省IDC匯聚核心下行

否定此種方案，原因有2點：其一，絕大部分地市的城域網(wǎng)都直接和本地市的IDC匯聚節(jié)點進行連接，如果在省IDC匯聚核心下行進行部署，這部分流量是無法監(jiān)控的；其二，由于所有流量進行混傳，那么在省IDC匯聚核心的路由器實際流量都是沒有規(guī)則的，需要超大量的傳輸資源將所有流量進行匯聚后再進行（同源同宿）分流處理才行。傳輸資源還是跨地市的，獲取難度很大。

（3）地市IDC匯聚設(shè)備上行

在地市IDC匯聚核心處進行采集。在這里采集既保證了所有流量全部監(jiān)控，同時也解決了采集點過多、分散的問題。

經(jīng)過以上討論及比對，建議選用方案三進行EU的部署。

圖3 ISMS網(wǎng)絡(luò)拓撲

（二）EU組網(wǎng)建設(shè)方案

在每個涉及到的IDC機房內(nèi)部署2臺EU系統(tǒng)組網(wǎng)交換機，用于數(shù)據(jù)傳輸、網(wǎng)管、EU平臺的組網(wǎng)，EU系統(tǒng)組網(wǎng)交換機通過N?GE上聯(lián)匯聚交換機，采用裸纖或傳輸承載至省中心CU。

（三）并接封堵鏈路部署方案

（1）地市存在一對IDC核心路由器（在異機房）

對于此種模型，每個機房的EU接入交換機各出一條鏈路和該機房的IDC核心相連。服務(wù)器平均分為兩組，分別掛在兩臺EU接入交換機下面。接入交換機上下行和互連分別透傳封堵所用的vlan，交換機透傳vlan時，下行使用access，上行和互連使用trunk，IDC核心側(cè)采用子接口終結(jié)vlan的形式。對于二層封堵的，需要分配私網(wǎng)地址段，在IDC核心側(cè)接口上配置地址，服務(wù)器側(cè)無需配置地址。對于三層封堵的，需要分配私網(wǎng)地址段，將網(wǎng)關(guān)配置在IDC核心上，其他地址分別配置在服務(wù)器端口上。當其中一臺接入交換機只是上行鏈路down時，IDC維護人員手動將故障鏈路的子接口遷移到另一個核心的端口上。當其中一臺接入交換機出現(xiàn)故障時，服務(wù)器維護人員手動將封堵業(yè)務(wù)指定到另一臺交換機下掛的服務(wù)器。從而實現(xiàn)封堵業(yè)務(wù)的冷備。

（2）地市存在兩對IDC核心路由器（分別在異機房）

對于此種模型，原則上和一組跨機房IDC核心的模型一樣。不同的地方是，在此類模型中，同一個機房會存在兩組IDC核心。對于此類情況，首先將服務(wù)器分為兩大組，分別用于IDC核心A和B，他們使用不同的vlan和地址段，然后再將兩大組服務(wù)器分別平均下掛到機房的兩臺機（如交換機）下面。

（3）IDC機房存在一對出口交換機/路由器

對于此種模型，EU接入交換機和IDC核心成口字形互聯(lián)。接入交換機上下行和互連分別透傳封堵所用的vlan，交換機透傳vlan時，下行使用access，上行和互連使用trunk，IDC核心側(cè)采用子接口終結(jié)vlan的形式。IDC核心向下啟用vrrp，通過接入交換機實現(xiàn)二層“心跳互通”。服務(wù)器平均分為兩組，分別掛在兩臺EU接入交換機下面。接入交換機到IDC核心鏈路故障時，通過vrrp自行切換。當其中一臺接入交換機出現(xiàn)故障時，服務(wù)器維護人員手動將封堵業(yè)務(wù)指定到另一臺交換機下掛的服務(wù)器。從而實現(xiàn)封堵業(yè)務(wù)的冷備。

編輯｜張鵬 zhanpeng@bjxintong.com.cn