IDCISP信息安全管理系统-20130216

网络安全组件
网络安全组件包括防火墙、入侵检测系统（IDS）、入侵防御
系统（IPS）、安全信息和事件管理系统（SIEM）等。

这些组
件通过协同工作来保护网络免受恶意攻击和未经授权的访问。

防火墙是网络安全的第一道防线，根据规则过滤和限制进出网络的流量。

IDS用于监测和识别网络中的攻击行为和异常活动。

IPS则会采取自动阻断措施，更积极地预防和抵御攻击。

SIEM则用于收集、分析和报告安全事件和信息，帮助网络管
理员及时发现和应对潜在的威胁。

除了这些组件，网络安全体系还包括加密技术、访问控制机制、恶意软件防护工具等，共同构建起一个全面的网络安全防御系统。

致远接入资源管理平台系统使用说明因特网数据中心（IDC）和因特网接入服务商（ISP）接入资源管理平台目录一、概述 (4)1.1 接入资源管理系统简介 (4)1.2 系统环境需求 (5)1.3 基本概念 (5)二、系统安装与配置 (6)2.1 系统安装 (6)2.2 系统运行 (6)2.3 系统配置 (7)三、基本操作说明 (8)3.1 系统登录与注销 (8)3.2 系统基本信息管理 (9)3.3 用户管理 (10)3.3.1 添加用户 (10)3.3.2 修改用户信息 (11)3.3.3 修改密码 (12)3.3.4 删除用户 (13)3.4 角色管理 (14)3.4.1 添加角色 (14)3.4.1 修改角色及角色权限对应关系 (15)3.4.1 删除角色 (15)3.5 系统日志管理 (15)3.5.1 系统日志管理 (15)3.5.2 错误日志管理 (16)3.5.3 资源日志管理 (17)3.6 物理资源管理 (18)3.7 逻辑资源管理 (19)3.8 客户信息管理 (19)3.9 资源分配管理 (20)3.10 资源信息统计 (21)3.11 通信接口管理 (22)四、附加内容 (23)4.1 术语和定义 (23)4.1.1 因特网数据中心Internet Data Center（IDC） (23)4.1.2 因特网接入服务商Internet Service Provider（ISP） (23)4.1.3 因特网内容服务商Internet Content Provider（ICP） (23)4.1.4 接入资源Internet Access Resource (23)4.1.5 接入资源管理平台Internet Access Resource Management Platform (23)4.2 缩略语 (24)4.3 接入资源内容 (24)4.3.1 物理资源 (24)4.3.2 逻辑资源 (24)4.3.3 客户信息 (25)一、概述1.1 接入资源管理平台系统简介IDC/ISP接入资源管理平台，是严格根据中华人民共和国工业和信息化部相关系统要求，自主开发的一套资源接入管理软件，完全符合国家YD/T2432-2012通信行业标准。

国际信息安全管理体系
国际信息安全管理体系（Information Security Management System，ISMS）是指针对信息安全，采用系统化、全面化、连续化的
方式，从企业组织管理、技术保障、安全措施、监督检查等方面全面
保障信息资产安全的体系性管理过程。

ISMS会针对领导、公用事业、金融机构、医疗机构、企业等不同类型的组织进行量身定制，包括信息安全、信息安全组织架构、风险
管理、业务连续性管理、培训和监督等多个方面。

ISMS标准化为企业提供了一个信息安全管理体系的基本框架。

ISO/IEC 27001和GB/T 22080就是ISMS的国际和国家标准，它们提供了一个完整的信息安全管理体系规范，将信息安全管理体系的要素、
流程、相关技术等作了详细规定，有助于提高企业信息安全管理水平，防范信息安全风险。

中国移动通信企业标准QB-╳╳-╳╳╳-╳╳╳╳中国移动I D C/I S P信息安全管理系统接口规范I n t e r f a c e S t a n d a r d o f I n f o r m a t i o nS e c u r i t y M a n a g e m e n t S y s t e m f o rI n t e r n e t D a t a C e n t e r/I n t e r n e tS e r v i c e P r o v i d e r版本号：0.1.0╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信集团公司发布目录前言 .............................................................................................................................................. I I1 范围 (1)2 规范性引用文件 (1)3 术语、定义和缩略语 (1)4 业务概述 (2)5 系统架构 (2)6 接口流程 (6)6.1 通信方式 (6)6.2管理指令处理流程 (6)6.3查询流程 (7)6.4数据上报、下发流程 (8)7 接口定义方法 (11)7.1idc_command()方法 (11)7.2idc_commandack()方法 (15)7.3file_load方法 (17)7.4SDTP方法 (19)8 数据代码表 (21)8.1登记备案属性代码表 (21)8.2接入方式代码表 (21)8.3单位属性代码表 (21)8.4证件类型代码表 (22)8.5机房性质代码表 (22)8.6代理类型代码表 (22)8.7服务内容代码表 (23)8.8监测规则及过滤规则代码表 (24)8.9违法违规情况表 (24)9 接口要求 (25)9.1控制平台与SMMS接口 (25)9.2控制平台与网站备案管理系统接口 (25)9.3网站备案管理系统与IDC运营管理平台接口 (34)9.4控制平台与省端执行系统接口 (40)9.5控制平台与上网日志留存系统接口 (51)9.6省端执行系统与上网日志留存系统接口 (54)9.7省端执行系统内部接口 (55)10 编制历史 (55)前言本标准规定了中国移动IDC/ISP信息安全管理系统的接口规范，用于指导中国移动IDC/ISP信息安全管理系统建设。

北京地区互联网数据中心和互联网接入服务信息安全管理系统技术要求（暂行）北京市通信管理局2014年8月目录前言 01范围 02规范性引用文件 03术语和定义 03。

1安全监管系统 security monitor management system 03。

2信息安全管理系统 information security management system 03。

3 互联网数据中心 internet data center 03。

4 互联网接入服务 internet service provider 03.5 互联网信息服务 internet content provider 03.6 IDC业务机房 the room of IDC service 03。

7 ISP业务节点 the node of ISP service (1)3。

8 业务客户customer (1)3。

9 访问用户 access user (1)3.10 源IP、源端口 source IP、source port (1)3。

11 目的IP、目的端口 destination IP、destination port (1)4缩略语 (1)5系统概述 (2)6系统功能 (2)6.1基础数据管理 (2)6.1。

1基础数据的分类 (2)6。

1.2基础数据本地管理 (3)6.1。

3基础数据上报与核验 (3)6.1。

4基础数据监测和处置 (4)6.2访问日志管理 (4)6.2.1访问日志记录功能 (4)6。

2。

2日志记录查询方式 (4)6。

2.3日志记录查询结果 (5)6.2.4日志留存时间 (5)6。

3信息安全管理 (5)6.3。

1活跃资源监测管理 (5)6.3。

2违法违规网站管理 (5)6.3.3违法信息监测和处置 (6)6。

4系统功能管理 (6)6.4.1权限管理 (6)6。

4.2运行维护 (7)7通信接口 (7)8性能要求 (7)8。

1处理能力 (7)8。

傲盾IDC/ISP信息安全管理系统功能介绍文档版本 V1.0发布日期 2012-09-20北京傲盾软件有限责任公司承诺为客户提供全方位的技术支持用户可与当地傲盾办事处联系，或直接与公司总部联系。

北京傲盾软件有限责任公司地址：中国北京市海淀区上地东路9号得实大厦五层南区邮编：100085网址：客户服务电话：（8610）-82728630，82728653，82729355，82728052 （881-884 技术支持中心ATC 20线）客户服务传真：（8610）-82728630-835客户服务邮箱：support@版权所有©北京傲盾软件有限公司。

傲盾公司保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档的部分或全部内容，并不得以任何形式传播。

商标声明以及其他傲盾商标均为北京傲盾软件有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

版本记录：前言版本说明本手册适用于傲盾IDC/ISP信息安全管理系统管理操作。

内容介绍本手册主要介绍了傲盾IDC/ISP信息安全管理系统的功能特性、使用方式方法等。

在使用傲盾IDC/ISP信息安全管理系统之前，请仔细阅读本手册。

1、概述 (5)1.1 背景概述 (5)1.2 产品概述 (6)1.3 术语与定义 (6)2、系统介绍 (8)2.1 系统总结构 (8)2.2 产品形态 (9)2.3 系统内部结构 (11)3、系统功能 (11)3.1 总体功能介绍 (11)3.2 基础数据上报 (12)3.3 基础数据检测 (14)3.4 访问日志管理 (15)3.5 信息安全管理 (16)3.6 权限管理 (17)3.7 综合数据管理 (18)3.8 运行维护 (18)3.9 系统管理 (19)4产品特点 (19)4. 1 性能 (19)4.2 易安装 (20)4.3 灵活组网 (20)4.4 操作维护方便 (20)4.5 标准的通信接口 (21)1、概述1.1 背景概述近年来，随着宽带接入技术、以及网络通信技术演进，互联网业务应用迅速扩张，其中互联网的网络和业务发展更为迅猛。

摘 要基于DPI的IDC/ISP信息安全管理系统设计与实现随着近年来互联网应用尤其是移动互联网的爆发式发展，新的网络应用形式日新月异，在飞速发展的同时也暴露出网络内容良莠不齐的实际问题，国家一向非常重视和提倡互联网及信息行业的健康发展，并大力营造绿色有序的市场秩序。

互联网数据中心（IDC）机房作为重要的网络和信息服务基础设施之一，汇集了大量的网络和信息资源，正因为这样，也使它成为网络信息安全的重点管控对象，加强网络内容管理的任务日益紧迫。

针对此种情况，为保障因特网数据中心（IDC）及因特网接入（ISP）市场的有序运行，国家工信部先后下发了一系列针对性的管理文件，要求包括基础运营商在内的各IDC/ISP业务运营企业必须建立信息安全管理系统（ISMS，下同），来重点加强对IDC/ISP 业务的监管，以保障国家互联网环境的健康，防范各类安全风险，防止各类不良信息的传播。

在国家要求对于内容级的信息安全监管的新形势下，传统的基于IP、端口和协议的识别方式已无法满足实际需要。

随着深度包检测（Deep Packet Inspection，DPI）技术的不断成熟，使其能够被应用在高速率、大带宽的网络中，能够实现对应用层的数据内容进行深层解析。

本文设计并实现了一个基于DPI技术、满足监管要求的信息安全管理系统，实现对不良信息及时发现和处置。

对流量采集、部署方式、网络数据分析、负载均衡、关键字检测等与ISMS实现有关的理论技术、方式方法进行了研讨和对比，详细论述了ISMS的整体设计原则、架构，各功能模块的定位、设计和实现，并对系统实现中的关键技术进行了深入的研究。

经对系统功能进行测试，成功实现对包含特定关键字的网络流量进行识别和封堵，与功能要求一致，经实际运行证明，可以满足信息安全管理工作的需要。

关键词：DPI、信息安全，IDC，ISP，信息安全管理系统，ISMS，安全监管系统，SMMSAbstractDesign and implementation of IDC/ISP InformationSecurity Management System based on DPIWith the application of Internet in recent years, especially the explosive development of the mobile Internet, network applications change rapidly. The new form in the rapid development has also exposed the practical problems of network content of the country has always attached great importance to uneven in quality, and promote the healthy development of Internet and information industry, and vigorously to create a green orderly market. The Internet Data Center (IDC) as one of the most important computer network and information service infrastructure, bringing together a large number of network and information resources, because of this, make it become the focus of the network information security management object, strengthen the network content management increasingly urgent task. In view of this situation, for the protection of the Internet Data Center (IDC) and Internet access (ISP) and orderly operation of the market, the State Ministry has issued a series of targeted management documents, requirements of the IDC/ISP business enterprise including infrastructure operators, must establish the information security management system (ISMS, below), to focus on strengthening the supervision of IDC/ISP services, in order to protect the national Internet environmental health, and guard against all kinds of security risks, prevent the spread of bad information.Under the new situation of information security supervision for content level, the traditional identification methods based on IP, port and protocol have been unable to meet the actual needs. With the maturity of Deep Packet Inspection (DPI) technology, it can be applied in high speed, large bandwidth network, and can realize deep analysis of the data content of application layer.This paper designs and implements an information security management system based on DPI technology, which meets the requirements of supervision, and realizes the timely detection and disposal of bad information. The traffic data collection, data analysis, network deployment and load balancing, keyword detection and ISMS to achieve the relevant theory and technology, methods are discussed and compared in detail the ISMS overall designprinciple, structure, orientation, each functional module design and implementation, and the key technology of realizing the system of deep research.After testing the function of the system, the network traffic with specific keyword is successfully identified and blocked, which is consistent with the functional requirements. The actual operation proves that it can meet the needs of information security management work. Keywords：DPI, information security, IDC, ISP, information security management system, ISMS, security monitoring system, SMMS目 录第1章绪论 (1)1.1 ISMS系统应用背景 (1)1.2 DPI发展起源和现状 (2)1.3 本文所探讨的内容 (4)1.4 本章小结 (4)第2章相关技术研究 (6)2.1 网络流量采集相关技术 (6)2.1.1 主动网络采集方式 (6)2.1.2 被动网络采集方式 (6)2.1.3 全量采集方式介绍 (7)2.1.4 抽样采集方式介绍 (7)2.2 网络流量识别相关技术 (7)2.2.1 端口识别方式 (9)2.2.2 DPI检测方式 (10)2.2.3 DFI检测方式 (13)2.2.4 流量分析技术比较 (13)2.3 负载均衡 (14)2.3.1 负载均衡的含义 (14)2.3.2哈希负载均衡 (14)2.4 关键字匹配技术算法 (15)2.4.1 AC算法 (16)2.4.2 DFA算法 (16)2.5 本章小结 (18)第3章 IDC/ISP信息安全管理系统架构设计 (19)3.1 ISMS系统需求分析 (19)3.1.1 ISMS功能需求 (19)3.1.2 ISMS功能结构 (19)3.1.3 ISMS逻辑层级 (20)3.2 上级接口 (21)3.3 ISMS总体架构 (21)3.3.1 控制单元－CU (22)3.3.2 执行单元－EU (22)3.3.3 存储单元－DU (23)3.4 ISMS网络部署 (23)3.4.1并行接入方式 (23)3.4.2 串行接入方式 (24)3.5 本章小节 (25)第4章 IDC/ISP信息安全管理系统设计与实现 (26)4.1 ISMS接入方式 (26)4.2 EU的部署 (26)4.3 DPI流量处理 (27)4.3 系统关键模块详细设计与实现 (27)4.3.1 流量处理模块 (27)4.3.2 策略解析模块 (28)4.3.3 数据库模块 (30)4.3.4 流量识别模块 (30)4.3.5 流量控制模块 (32)4.4 前台模块的设计与实现 (33)4.4.1 基础数据管理模块的实现 (34)4.5.2 信息安全监测过滤管理模块的实现 (36)4.5.3 访问日志管理模块的实现 (37)4.5.4 系统管理模块的实现 (37)第5章系统测试 (40)5.1测试环境 (40)5.2 测试目标选取 (40)5.3 系统功能测试 (40)5.3.1 确定关键字 (40)5.3.2 制定封堵策略 (41)5.3.3 封堵效果测试 (41)5.3.4 过滤日志查询 (42)5.4 系统性能测试 (42)5.4.1 网络延时和丢包 (42)5.4.2 网络运行情况检测 (43)5.5 测试结果 (44)第6章总结与展望 (45)参考文献 (46)作者简介及在学期间所取得的科研成果 (50)致谢 (51)第1章 绪 论1.1 ISMS系统应用背景随着国家信息化建设，互联网基础设施的不断完善，加上近年移动互联网、物联网等的迅猛发展，应用内容极大丰富。

移动I D C I S P信息安全管理系统接口规范VDocument serial number【NL89WT-NY98YT-NC8CB-NNUUT-NUT108】中国移动通信企业标准QB-╳╳-╳╳╳-╳╳╳╳中国移动I D C/I S P信息安全管理系统接口规范I n t e r f a c e S t a n d a r d o f I n f o r m a t i o nS e c u r i t y M a n a g e m e n t S y s t e m f o rI n t e r n e t D a t a C e n t e r/I n t e r n e tS e r v i c e P r o v i d e r版本号：╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信集团公司发布目录前言本标准规定了中国移动IDC/ISP信息安全管理系统的接口规范，用于指导中国移动IDC/ISP信息安全管理系统建设。

本标准包含了IDC/ISP信息安全管理系统接口协议、数据格式要求。

本标准是中国移动IDC/ISP信息安全管理系统的系列标准之一，该系列标准的结构、名称或预计的名称如下：本标准需与《中国移动IDC/ISP信息安全管理系统总体技术要求》《中国移动IDC/ISP信息安全管理系统控制平台设备规范》《中国移动IDC/ISP信息安全管理系统省端执行系统设备规范》配套使用。

本标准由中移号文件印发。

本标准由中国移动通信集团公司计划部提出，集团公司技术部归口。

本标准起草单位：中国移动通信研究院。

本标准主要起草人：1范围本标准主要包括中国移动IDC/ISP信息安全管理系统的系统架构、接口流程、接口方法、接口协议、接口数据格式等要求。

用于为中国移动IDC/ISP信息安全管理系统的开展、招标选型、工程建设及运行维护提供技术依据。

原则上在中国移动通信集团公司内部和厂商共同使用，适用于移动、铁通IDC接入等网络环境。