IP地址精細(xì)化管理系統(tǒng)建設(shè)方案研究

韋芹余

江蘇省通信管理局

0 引言

IP是Internet Protocol（網(wǎng)際互連協(xié)議）的縮寫，是TCP/IP體系中的網(wǎng)絡(luò)層協(xié)議，是整個(gè)TCP/IP協(xié)議族的核心，也是構(gòu)成互聯(lián)網(wǎng)的基礎(chǔ)。江蘇省作為互聯(lián)網(wǎng)大省，截至2020年底，全省分配使用的IPv4地址已達(dá)到2500萬，用于LTE終端的IPv6地址9321萬，單純的依靠人力做好一個(gè)省份的IP地址管理工作已然不現(xiàn)實(shí)，需要建設(shè)技術(shù)手段來監(jiān)測全省IP地址分配使用情況，不斷提高全省IP地址的完整率、準(zhǔn)確率，建立權(quán)威IP數(shù)據(jù)資源庫。近年來，隨著Hadoop等大數(shù)據(jù)技術(shù)的發(fā)展，對海量數(shù)據(jù)的分析處理已有完備的解決方案，利用大數(shù)據(jù)技術(shù)可以實(shí)現(xiàn)對IP地址的精細(xì)化管理。

1 IP地址分配管理

1.1 國內(nèi)IP地址的獲取

互聯(lián)網(wǎng)的IP地址分配是分級進(jìn)行的。ICANN（IANA）對互聯(lián)網(wǎng)上的IP地址進(jìn)行統(tǒng)一的管理，ICANN將地址分配給區(qū)域互聯(lián)網(wǎng)地址注冊機(jī)構(gòu)（RIR），RIR負(fù)責(zé)各自地區(qū)的IP地址分配、注冊和管理工作。通常RIR會直接或通過當(dāng)?shù)氐膰壹壔ヂ?lián)網(wǎng)注冊機(jī)構(gòu)（NIR）將IP地址分配給本地互聯(lián)網(wǎng)注冊機(jī)構(gòu)（LIR），然后由LIR分配給下游的互聯(lián)網(wǎng)服務(wù)提供商或終端用戶。目前，全球共有5個(gè)RIR，分別是：ARIN（負(fù)責(zé)北美地區(qū)業(yè)務(wù)）、RIPE NCC（負(fù)責(zé)歐洲地區(qū)業(yè)務(wù)）、APNIC（負(fù)責(zé)亞太地區(qū)業(yè)務(wù)）、LACNIC（負(fù)責(zé)拉丁美洲地區(qū)業(yè)務(wù)）、AfriNIC（負(fù)責(zé)非洲地區(qū)業(yè)務(wù)）。

工業(yè)和信息化部是我國IP地址分配和管理的主管部門，中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）是APNIC認(rèn)定的中國大陸地區(qū)唯一的國家互聯(lián)網(wǎng)注冊機(jī)構(gòu)。以CNNIC為召集單位的CNNIC IP地址分配聯(lián)盟幫助中國大陸地區(qū)的相關(guān)單位和組織從亞太互聯(lián)網(wǎng)注冊機(jī)構(gòu)（APNIC）申請IP地址。

1.2 IP地址備案管理辦法

我國對IP地址的分配使用實(shí)行備案管理，工業(yè)和信息化部（原信息產(chǎn)業(yè)部）制定了《互聯(lián)網(wǎng)IP地址備案管理辦法》，自2005年3月20日起施行。辦法對IP地址的分配機(jī)構(gòu)進(jìn)行了定義，明確了IP地址的監(jiān)督管理部門、IP地址報(bào)備的責(zé)任主體、報(bào)備的流程、報(bào)備的數(shù)據(jù)字段以及違反規(guī)定的罰則。

1.3 IP地址管理的實(shí)名制要求

按照《中華人民共和國網(wǎng)絡(luò)安全法》第二十四條的要求，網(wǎng)絡(luò)運(yùn)營者為用戶辦理網(wǎng)絡(luò)接入、域名注冊服務(wù)，在與用戶簽訂協(xié)議或者確認(rèn)提供服務(wù)時(shí)，應(yīng)當(dāng)要求用戶提供真實(shí)身份信息。用戶不提供真實(shí)身份信息的，網(wǎng)絡(luò)運(yùn)營者不得為其提供相關(guān)服務(wù)。

各級IP地址管理機(jī)構(gòu)在分配IP地址時(shí)，應(yīng)落實(shí)網(wǎng)絡(luò)實(shí)名制要求，保證IP使用單位、使用人信息真實(shí)、準(zhǔn)確、可溯源?；A(chǔ)電信企業(yè)和接入服務(wù)企業(yè)在為用戶辦理業(yè)務(wù)分配IP地址時(shí)，應(yīng)落實(shí)實(shí)名制要求，強(qiáng)化源頭管理，提升實(shí)名制驗(yàn)真技術(shù)手段，可采用真人視頻驗(yàn)證、支付驗(yàn)證、手機(jī)短信驗(yàn)證等多種驗(yàn)證方式，筑牢IP地址安全合規(guī)使用的防火墻。

2 IP地址管理系統(tǒng)建設(shè)目標(biāo)及系統(tǒng)架構(gòu)

2.1 項(xiàng)目建設(shè)目標(biāo)

結(jié)合IP地址管理工作要求，建設(shè)IP地址資源管理系統(tǒng)，每日統(tǒng)計(jì)分析基礎(chǔ)電信企業(yè)和接入服務(wù)企業(yè)備案的全量IP地址，開發(fā)IP地址核查比對、資產(chǎn)的探測、安全風(fēng)險(xiǎn)分析、數(shù)據(jù)標(biāo)簽等功能模塊，實(shí)現(xiàn)對IP地址的精細(xì)化管理，可快速準(zhǔn)確進(jìn)行IP地址檢索。

首先要定義IP地址管理的標(biāo)準(zhǔn)規(guī)范和流程，明確核心關(guān)注的IP地址數(shù)據(jù)字段，系統(tǒng)要具有良好的可靠性設(shè)計(jì)，確保系統(tǒng)穩(wěn)定運(yùn)行，避免單點(diǎn)故障；系統(tǒng)應(yīng)用后無論是軟件升級、硬件升級或是數(shù)據(jù)割接，都要能保證業(yè)務(wù)持續(xù)性。

2.2 項(xiàng)目整體架構(gòu)

系統(tǒng)采用分層結(jié)構(gòu)設(shè)計(jì)，主要包括：數(shù)據(jù)匯入層、數(shù)據(jù)存儲處理層、業(yè)務(wù)處理層、功能展示層，整體架構(gòu)如圖1所示，各層功能說明如下：

圖1 系統(tǒng)整體架構(gòu)

數(shù)據(jù)匯入層：開發(fā)數(shù)據(jù)傳輸接口，數(shù)據(jù)加密傳輸，接口連接鑒權(quán)，省里的基礎(chǔ)電信企業(yè)和接入服務(wù)企業(yè)每日調(diào)用接口，將全量IP地址報(bào)送。匯入的數(shù)據(jù)還包括可輔助進(jìn)行IP地址核查比對的網(wǎng)絡(luò)安全事件數(shù)據(jù)、日志數(shù)據(jù)等。

數(shù)據(jù)存儲處理層：大數(shù)據(jù)平臺根據(jù)kafka消息隊(duì)列進(jìn)行數(shù)據(jù)解析入庫，存儲在presto數(shù)據(jù)庫中，數(shù)據(jù)處理使用離線spark任務(wù)，最終的結(jié)果表、統(tǒng)計(jì)表保存在大數(shù)據(jù)平臺的presto、tidb庫中。

業(yè)務(wù)處理層：IP基礎(chǔ)資源核查比對模塊對基礎(chǔ)電信企業(yè)和接入服務(wù)企業(yè)上報(bào)的IP數(shù)據(jù)進(jìn)行分析，核查比對數(shù)據(jù)中的異常情況，實(shí)現(xiàn)IP數(shù)據(jù)整合、問題IP數(shù)據(jù)的發(fā)現(xiàn)。

功能展示層：系統(tǒng)界面展示IP地址總體概覽、IP資源綜合管理、數(shù)據(jù)查詢、數(shù)據(jù)標(biāo)簽管理以及系統(tǒng)管理等功能。

3 IP地址管理系統(tǒng)核心業(yè)務(wù)介紹

3.1 IP地址核查比對業(yè)務(wù)邏輯

系統(tǒng)每日對全省全量IP數(shù)據(jù)核查比對，檢測IP地址信息不準(zhǔn)確、不規(guī)范，IP使用單位信息更新不及時(shí)，IP使用未報(bào)備、多頭報(bào)備等問題，形成數(shù)據(jù)IP核查驗(yàn)證、問題定位、工單下發(fā)、處置反饋的閉環(huán)管理機(jī)制，提高全省IP數(shù)據(jù)質(zhì)量。核查比對的邏輯思維導(dǎo)圖如圖2所示。

圖2 核查比對邏輯思維導(dǎo)圖

3.2 IP地址數(shù)據(jù)標(biāo)簽化

目前公有IPv4已分配殆盡，資源非常緊張，IPv4地址可以逐個(gè)進(jìn)行精細(xì)化管理。隨著IPv6地址的推廣使用，對全量IP地址進(jìn)行全覆蓋監(jiān)測也不現(xiàn)實(shí)。IPv6在分配使用上按照地址塊進(jìn)行管理，重點(diǎn)管好現(xiàn)網(wǎng)監(jiān)測到的實(shí)際在用的、活躍的IPv6地址。對IP地址進(jìn)行畫像、數(shù)據(jù)標(biāo)簽化，按照業(yè)務(wù)類型分類，根據(jù)IP地址開放的端口、通信協(xié)議將IP分為：web應(yīng)用、DSN解析、郵件服務(wù)器、數(shù)據(jù)庫服務(wù)、ftp服務(wù)等類型IP；按照行業(yè)分類，根據(jù)使用單位所屬行業(yè)進(jìn)行統(tǒng)計(jì)，將IP分為：金融行業(yè)、教育行業(yè)、醫(yī)療行業(yè)、電力行業(yè)、工業(yè)互聯(lián)網(wǎng)等類型IP。IP數(shù)據(jù)標(biāo)簽化后，可以與各行業(yè)的大數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，疊加行業(yè)應(yīng)用。

3.3 IP地址資產(chǎn)探測

系統(tǒng)的IP資產(chǎn)探測引擎可具備發(fā)現(xiàn)IP資產(chǎn)以及資產(chǎn)的安全屬性的能力，支持的資產(chǎn)掃描對象包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、WEB應(yīng)用、數(shù)據(jù)庫等對象，發(fā)現(xiàn)其資產(chǎn)屬性、安全屬性等特征和信息。IP資產(chǎn)探測引擎實(shí)現(xiàn)對IP資產(chǎn)的掃描以及端口、服務(wù)、操作系統(tǒng)的識別，對各類WEB組件以及后臺數(shù)據(jù)庫進(jìn)行探測與識別。

3.4 IP信息變更歷史軌跡記錄

系統(tǒng)每日對全量IP地址進(jìn)行統(tǒng)計(jì)分析，數(shù)據(jù)是結(jié)構(gòu)化存儲的，生成的IP基準(zhǔn)庫里無法記錄IP變更的歷史軌跡。但是在網(wǎng)絡(luò)安全事件溯源中，一個(gè)IP地址以前被哪些單位使用過是非常重要的信息，建立IP歷史軌跡很有必要。在對IP地址進(jìn)行核查比對的過程中，發(fā)現(xiàn)IP地址的使用單位等重要信息變更，可以及時(shí)記錄到IP歷史軌跡數(shù)據(jù)表中，標(biāo)記更新的內(nèi)容，建立IP地址全生命周期的管理。

4 結(jié)束語

建設(shè)IP地址管理系統(tǒng)，對IP進(jìn)行精細(xì)化管理，需要持續(xù)跟蹤研究電信業(yè)務(wù)形態(tài)、新型技術(shù)演進(jìn)，加強(qiáng)主管部門之間的信息共享、協(xié)同聯(lián)動，可與公安部門、市場監(jiān)管部門的相關(guān)接口進(jìn)行對接，進(jìn)一步核驗(yàn)IP地址備案數(shù)據(jù)的真實(shí)性、準(zhǔn)確性，建設(shè)省級最權(quán)威IP地址基準(zhǔn)數(shù)據(jù)庫。