简谈IDCISP 信息安全管理系统升级改造

［陈敏］

1 引言

IDC信息安全管理系统（Information Security Management System，简称ISMS）是lDC 经营者建设的具有基础数据管理、访问日志管理、信息安全管理等功能的信息安全管理系统，用于满足电信管理部门和IDC 经营者信息安全的管理需求。为了有效解决行业网络与数据安全技术监管需求，需要对现有系统做何改造升级呢？本文从IDCISP 信安系统的架构及功能开始，探讨在网络安全和数据安全新增功能需求下，整个信安系统要做哪些工作来重新构建一个数据安全、网络安全、深度合成信息检测处置等技术能力的安全管理系统。

2 IDCISP 信安系统总体架构

IDCISP 信息安全管理系统总体架构如图1 所示，包括：控制单元（CU）和执行单元（EU）。

图1 IDCISP 信息安全管理系统总体架构图

控制单元（CU）：CU 核心控制单元和存储单元集中部署，CU 的核心控制单元负责与安全监管系统（SMMS）进行通信，接收来自SMMS 的管理指令，并根据要求向SMMS 上报数据，同时还要实现对各执行单元进行集中管理，完成管理指令的调度、转发和执行及数据的汇总、分析和预警。

执行单元（EU）：EU 部署在各IDC 机房中，在IDC机房出口路由器设备的出口链路上加分光器，经分光器复制之后的一条链路仍连接原有上联的网络设备，另外一条链路接入执行单元的分流设备。分流设备具有一定的过滤功能，将过滤之后的数据传给分析监控服务器，另外也通过一条链路与IDC 核心网络设备连接，通过发送数据包中断或干扰用户正常业务连接达到对用户流量的控制。

3 需求分析

3.1 必要性

（1）为贯彻落实《中华人民共和国数据安全法》《中华人民共和国网络安全法》，进一步加强数据安全和网络安全技术监管能力建设，统筹构建数据安全监管平台，一体化推进网络安全技术建设。

（2）为满足IDC 及互联网专线业务的发展需求，满足用户访问IDC 业务行为分析需求、满足重点ICP 流量流向分析需求，满足IDC 业务和流量精细化控制需求，实现对IDC 业务流量进行安全管控和分析。

（3）积极推进云网融合一体化的建设需求，实现设备上云。

3.2 功能性

（1）优化信安系统数据采集和处置能力，具备在IDC 机房出入口按需采集双向网络流量能力，进一步增强精细化处置能力。

（2）二是扩大系统覆盖范围，满足对专线加密传输流量的数据传输日志分析以及非加密传输流量的按需采集与分析需求。

（3）三是扩展系统功能，新增数据安全模块，支持流量数据识别、数据分级分类，可对数据泄露、跨境流动等行为开展监测溯源和处置；新增网络安全模块，可实现网络攻击、恶意程序、网络异常行为等监测溯源和处置。

4 信安系统改造方案

4.1 总体架构

根据改造功能要求，原有采集执行层EU 实现全量流量、特定流量的信安、网安、数安识别、监测、风险发现、处置等功能。而控制存储层CU 实现结果日志存储、分析、上报，规则指令接受、转发，采集执行层能力调用。系统升级改造后的总体架构如图2 所示。

图2 升级改造后的IDCISP 总体架构图

4.2 控制单元CU

CU 系统优化升级为数据单元、控制单元、统一接口单元几大部分，各部分功能如下。

（1）数据单元：主要包括基础服务、数据接入、数据分析、分发共享、数据管理、安全管理和系统管理等功能，预留数据共享接口。

（2）控制单元：主要包括信安控制、网安控制、数安控制等功能，其中数安和网安为新增功能。

（3）统一接口单元：负责与省管局侧/部侧信安系统以及各控制单元进行统一对接，实现接口统一、规则转化与管理等功能，并向其它第三方系统提供接口。

4.3 采集单元EU

EU 系统优化升级为分流单元、全量执行单元、数安执行单元、特定网安执行单元几大部分，各部分功能及实现方式如下。

（1）分流单元：通过部署分流器实现链路汇聚、同源同宿、负载均担等原始流量转发能力。

（2）全量执行单元：通过部署通用基础能力服务器实现统一DPI 服务器（EU 服务器）功能，具备网络攻击、恶意程序网络活动监测等网安功能，访问日志精细化处置能力，实现按需流量采集等信安功能。

（3）数安执行单元：通过部署数安扩展能力服务器实现数据监测识别、还原、分级、分类、安全风险监测等数安功能。

（4）特定网安执行单元：通过部署网安扩展能力服务器实现恶意文件还原、网络异常行为监测等网安功能。

5 系统部署

系统流量采集覆盖范围为IDC 出口双向流量、互联网专线出口链路双向流量。

IDCISP 信安系统部署如图3 所示，建议如下。

图3 IDCISP 信安系统部署示意图

（1）控制单元（含统一接口单元、数据单元）统一部署于省中心；有条件的可以采用存算分离的方式进行部署，即接口单元和控制单元统一部署，数据存储单元分散部署。

（2）分流单元、全量执行单元、特定网安执行单元、数安执行单元主要部署于各地市IDC 机房或汇聚机房。

（3）全量执行单元接收和处理全量流量，特定网安执行单元、数安执行单元接收和处理按需流量。

6 系统云化

IDCISP 信息安全管理系统主要采用的是X86 架构服务器，且各网元接口均已实现IP 化，具备虚拟条件。其中CU 控制单元根据其网络架构特征及所用设备的特性，可以采用虚拟化技术实现云化部署。具体云化方案如图4所示。

图4 IDCISP 信息安全管理系统云化示意图

云化部署建议：（1）在云节点新建CU 节点。

（2）应用服务器由云资源池提供虚拟资源，便于部署新CU。

（3）采集服务器、存储服务器结合现有资源，按需扩容，由云资源池提供虚拟资源或物理设备。

（4）云资源池节点与原CU 节点通过传输专线组网，采集服务器和存储服务器不同节点部署时，尽量匹配资源，减少资源消耗。

（5）新建EU 节点尽量回传新CU 所在云节点。

7 结束语

本文介绍IDCISP 信息安全管理系统并对系统的升级改造进行简单描述，其中的信息安全、网络安全和数据安全等与我们的生活息息相关。IDCISP 信安系统针对IDC及互联网专线，通过各种技术手段，为依法加强互联网管理，保障信息、数据及网络安全，营造绿色、健康、有序的互联网环境，净化网络不良内容，提升网络服务品质，促进互联网文化的繁荣发展和维护社会稳定提供有效的技术手段和管理支撑。