2014.05.09IDC信息安全系統(tǒng)架構(gòu)目錄2概述1IDC信息安全系統(tǒng)整體架構(gòu)3IDC信息安全管理模塊分析4DPI與信息安全管理模塊關(guān)系5上網(wǎng)日志留存系統(tǒng)技術(shù)架構(gòu)6IDC信息安全系統(tǒng)部署方式P1概述-業(yè)務(wù)需求如何對IDC機房的基礎(chǔ)資源進(jìn)行統(tǒng)一管理？如何準(zhǔn)確掌握IDC機房內(nèi)有多少網(wǎng)站？多少域名？如何發(fā)現(xiàn)IDC機房內(nèi)未備案、黑名單網(wǎng)站信息？如何主動發(fā)現(xiàn)IDC機房內(nèi)接入網(wǎng)站的有害信息？如何對IDC機房內(nèi)有害信息實行實時封堵管控？如何溯源網(wǎng)絡(luò)行為日志？P2概述-信息安全系統(tǒng)P3穩(wěn)定可靠不良信息監(jiān)測過濾平臺不良信息監(jiān)測、過濾3高效的分布式海量數(shù)據(jù)檢索方案訪問日志2細(xì)致詳實的機房數(shù)據(jù)監(jiān)測基礎(chǔ)數(shù)據(jù)監(jiān)測1基于行業(yè)違規(guī)處置的擴展管控模塊違規(guī)控管4信息安全系統(tǒng)概述-功能介紹P4系統(tǒng)管理資源管理信息監(jiān)測黑白名單信息過濾業(yè)務(wù)管理統(tǒng)計分析IDC信息安全管理系統(tǒng)資源、監(jiān)測、控管、業(yè)務(wù)四維一體化管理模式全面了解管轄范圍內(nèi)基礎(chǔ)資源、域名信息實時監(jiān)測機房內(nèi)違法違規(guī)信息實時過濾機房內(nèi)不良信息實時掌握機房內(nèi)黑名單接入情況全面掌握機房內(nèi)虛擬主機、未備案等信息多維度統(tǒng)計分析資源、業(yè)務(wù)數(shù)據(jù)、控管結(jié)果目錄2概述1IDC信息安全系統(tǒng)整體架構(gòu)3IDC信息安全管理模塊分析4DPI與信息安全管理模塊關(guān)系5上網(wǎng)日志留存系統(tǒng)技術(shù)架構(gòu)6IDC信息安全系統(tǒng)部署方式P5IDC信息安全系統(tǒng)部署架構(gòu)P6IDC信息安全系統(tǒng)整體架構(gòu)P7

系統(tǒng)整體分為中央控制平臺【CU】、省端執(zhí)行系統(tǒng)【EU】、管局系統(tǒng)、內(nèi)部相關(guān)系統(tǒng)三大模塊。省端執(zhí)行系統(tǒng)主要包括：信息安全管理模塊、日志合成服務(wù)器和統(tǒng)一DPI設(shè)備；控制平臺按中國移動集團的內(nèi)部接口規(guī)范和技術(shù)標(biāo)準(zhǔn)與內(nèi)部的集團網(wǎng)站備案系統(tǒng)、IDC運營管理平臺、上網(wǎng)日志留存系統(tǒng)、網(wǎng)管系統(tǒng)等通過接口實現(xiàn)信息共享。目錄2概述1IDC信息安全系統(tǒng)整體架構(gòu)3IDC信息安全管理模塊分析4DPI與信息安全管理模塊關(guān)系5上網(wǎng)日志留存系統(tǒng)技術(shù)架構(gòu)6IDC信息安全系統(tǒng)部署方式P8IDC信息安全管理模塊分析P9信息安全管理模塊作為執(zhí)行單元(EU)，將生成的監(jiān)測日志、過濾日志、違法違規(guī)信息發(fā)送給中央控制平臺(CU)，在中央控制平臺端可通過WEB管理系統(tǒng)管理相關(guān)數(shù)據(jù)。根據(jù)移動實際業(yè)務(wù)情況還可從信息安全管理模塊直接輸出訪問日志到上網(wǎng)日志留存系統(tǒng)。同時信息安全管理模塊還定時回傳運行狀態(tài)至中央控制平臺，以實現(xiàn)統(tǒng)一管理。IDC信息安全管理模塊對信息進(jìn)行監(jiān)測、過濾P10目錄2概述1IDC信息安全系統(tǒng)整體架構(gòu)3IDC信息安全管理模塊分析4DPI與信息安全管理模塊關(guān)系5上網(wǎng)日志留存系統(tǒng)技術(shù)架構(gòu)6IDC信息安全系統(tǒng)部署方式P11DPI與信息安全管理模塊關(guān)系P12

DPI設(shè)備負(fù)責(zé)對IDC鏈路雙向流量進(jìn)行監(jiān)測解析，按照業(yè)務(wù)需求采集流量相關(guān)數(shù)據(jù)提交至信息安全管理模塊及日志合成服務(wù)器。

DPI設(shè)備將分離流量至信息安全管理模塊，將流量日志傳輸至日志合成服務(wù)器。IDC信息安全管理系統(tǒng)需要從DPI設(shè)備分流全報文數(shù)據(jù)至信息安全管理模塊。

系統(tǒng)邏輯結(jié)構(gòu)圖如下所示：目錄2概述1IDC信息安全系統(tǒng)整體架構(gòu)3IDC信息安全管理模塊分析4DPI與信息安全管理模塊關(guān)系5上網(wǎng)日志留存系統(tǒng)技術(shù)架構(gòu)6IDC信息安全系統(tǒng)部署方式P13上網(wǎng)日志留存系統(tǒng)日志架構(gòu)P14上網(wǎng)日志留存系統(tǒng)實現(xiàn)對IDC鏈路的上網(wǎng)日志進(jìn)行存儲，以及用于對日志做業(yè)務(wù)方面的信息分析，包括常用的TCP協(xié)議以會話為單位記錄，UDP協(xié)議以數(shù)據(jù)包為單位記錄。管局側(cè)SMMS系統(tǒng)可下發(fā)查詢指令到中央控制平臺進(jìn)行日志查詢，中央控制平臺轉(zhuǎn)發(fā)查詢指令給網(wǎng)絡(luò)日志服務(wù)器，并返回相應(yīng)的日志結(jié)果數(shù)據(jù)。海量數(shù)據(jù)高效存儲海量數(shù)據(jù)高效檢索網(wǎng)頁瀏覽訪問日志管理P15策略下發(fā)移動控制平臺管局側(cè)SMMS數(shù)據(jù)上報……指令下發(fā)結(jié)果上報移動控制平臺日志查詢平臺上網(wǎng)日志留存系統(tǒng)日志合成服務(wù)器目錄2概述1IDC信息安全系統(tǒng)整體架構(gòu)3IDC信息安全管理模塊分析4DPI與信息安全管理模塊關(guān)系5上網(wǎng)日志留存系統(tǒng)技術(shù)架構(gòu)6IDC信息安全系統(tǒng)部署方式P16部署方式-鏡像P17鏡像方式使用環(huán)境建議流量>500MB；監(jiān)控口帶寬容量>=鏡像口帶寬容量。部署特點：不需要額外的網(wǎng)絡(luò)設(shè)備，成本低；部署方面靈活，可調(diào)整監(jiān)控流量的范圍。部署方式-分光P18分光方式使用環(huán)境流量<=10G；分光光強達(dá)到設(shè)備網(wǎng)卡識別要求。