IDC安全

IDC/ISP信息安全管理系统

1、产品概述

随着互联网的服务模式和传播渠道也日趋多样化,新闻网站、门户网站、搜索引擎、论坛、博客、P2P等多种服务模式并存,互联网已演化成为一个虚拟社会,互联网安全管理面临空前的挑战。在加强互联网安全管理的同时,组织力量开展互联网信息的汇集整理与分析,对于全面了解社情民意,做好网络宣传监管工作具有重要意义。

但目前,在互联网接入服务提供和管理工作中还存在安全意识淡薄、管理基础薄弱、查处手段缺失,违法信息发现难、处置难,落实不到位等问题和薄弱环节。为解决上述问题,满足国家关于IDC/ISP信息安全管理系统的相关要求,同时满足基础电信运营商用户访问IDC业务行为分析、省内重点ICP流量流向分析、IDC业务和流量精细化控制等各类需求,恒安嘉新自主研发并推出了IDC/ISP信息安全管理系统产品。

2、产品架构

IDC/ISP信息安全管理系统架构如下图所示:

IDC/ISP信息安全管理系统包括控制单元(Control Unit,简称CU)和执行单元(Execution Unit,简称EU)两个部分。

控制单元(CU)负责与电信管理部门建设的安全监管系统(SMMS)进行通信,接收来自SMMS的管理指令,并根据要求向SMMS上报数据,同时还要实现对本单位各执行点的EU进行集中管理,完成管理指令的调度、转发和执行及数据的汇总、分析和预警。

执行单元(EU)根据指令要求,实现IDC 网络的监测、管控及日志记录等功能,并将结果汇总到控制单元(CU)。

3、产品功能

恒安嘉新IDC/ISP信息安全管理系统实现的功能如下:

序号 功能模块 具体描述
1 设备采集功能模块 支持基于整机的负载均衡功能,将采集的流量按需分配到不同的采集识别模块处理;支持整机同源同宿,从任意多个接口输入的同一个五元组的报文,交由同一个采集识别模块进行处理;支持协议转换功能,将PoS接口接收到的报文转换成以太网报文;支持智能流量镜像功能,支持从综分系统接收到的智能镜像策略执行智能镜像,如针对指定用户组、指定应用类型等智能镜像策略,EU设备按照策略通过特定端口按照指定时间周期进行智能镜像。
2 策略管理与同步模块 EU设备支持上线或重启后,主动向综分系统发起管理策略同步请求。为避免传输过程中的数据丢失,EU设备支持定期上报其保存的针对各类策略的版本号,上报间隔时间不小于30分钟。当EU设备收到了不连续的策略(即综分系统下发的某个策略被丢失),EU设备支持立即发起策略同步请求,保证策略的同步。
3 全应用识别模块 能够识别到网络中所有类型的网络流量,采集的数据结果包括应用类型,子应用类型等信息。能够根据应用特征精确识别中国电信自有应用和非自有应用。支持基于IPv4和IPv6的应用类型采集识别。各类应用流量采集识别结果上报字段中能够详细定义不同类应用所需识别和上报的关键字段;能够根据需求实现对特定用户组的特定应用进行详细数据采集。
4 全应用管理模块 支持根据应用采集识别结果,执行相应的管理策略。对于不同类型的应用能够实现相应的管理功能。管理策略支持通过综分系统制定和下发。EU设备按照综分系统下发的策略优先级次序执行策略。
5 用户行为采集识别数据采集与管理模块 实现用户偏好数据采集功能、一拖N用户识别数据采集功能以及非法路由用户检测数据采集功能。
6 监测事件展示功能 实现Web信息推送功能、一拖N用户管理功能以及非法路由用户管理功能。
7 DDOS异常流量检测与管理模块 能够从特定用户、用户组、全部用户等多个维度对检测应用层的攻击,包括TCP SYN FLOOD、ICMP攻击、 CC攻击、HTTP Get Flood、HTTP Post Flood、 SIP Flood、DNS Query Flood、DNS Reply Flood、Connection Flood等。能够从综分系统接收确定攻击与否的阈值,确保各EU设备采用相同的策略进行攻击流量的识别设定。
8 多链路/设备协同应用识别和管理模块 支持同设备对不同接口上收到的同用户的同应用进行同源同宿处理,解决同用户的同应用运行在不同的链路且这些链路均经过同一台EU设备时应用的处理;支持同设备内部和同厂商多设备间的同源同宿的功能。
9 EU设备管理功能模块 按照综分系统下发的上报策略要求,向综分系统上报设备管理相关的信息,如静态信息包括软件版本号、设备部署位置、部署方式(单向/双向、上行/下行、串接/并接)、设备总采集识别能力、总槽位数、占用的端口类型、占用的端口对应的链路名称;动态信息包括EU设备的端口利用率、CPU占用率。能够定期向综分系统发送设备心跳信息。综分系统对EU设备进行在线管理,按照综分系统分配并下发的唯一序号、设备名称进行设备的管理,并在上报的数据信息中携带EU设备序号。
10 入侵行为监测模块 基于网络流量中各类攻击手法、特征等信息进行流量的识别检测,并上报展示入侵事件数据;
11 防病毒模块 恒安嘉新Perseus引擎集成对木马、僵尸网络、蠕虫病毒各类反弹webshell脚本等事件并捕获还原病毒样本;
12 系统管理模块 实现系统监测设备、用户、角色、菜单管理,日志的审计等功能。

4、产品特点/优势

恒安嘉新IDC/ISP信息安全管理系统具备如下特点:

序号 产品特点 具体表现
1 全链路类型设备覆盖 该产品支持GE、10GE LAN、10GE WAN、10GE POS、40GE、40G POS,100GE等各类IDC出口链路类型,部署方式支持串联接入和并联接入两种方式,设备支持ATCA插卡式高密度集成,部署实施高效便捷。
2 国家级应急支撑服务能力 恒安嘉新是国家计算机网络应急技术处理协调中心国家级网络安全应急服务支撑单位(国家级)。在全国31个省市、自治区和直辖市设立了安全售后、应急响应服务中心和服务热线,由资深安全技术工程师为用户提供各类售后,应急支持服务。
3 模块化设计高扩展性 产品采用灵活的模块化调用集成设计,在硬件、软件上都具备良好的扩展性,采用SDN的模式,支持对链路的高效灵活调度,支持对多业务、多应用识别,网络安全,信息安全多维扩展的能力。
4 高效的智能关键字监测技术 系统支持关键字识别技术和中文环境下的语境分析,建立了关键词权重系统,根据查准率和出现概率科学判别模型,突破了关键字过滤的局限性,支持对非法内容进行分类处理及通配符适配,极大提升了检测的准确率,同时支持哈萨克,维吾尔语,柯尔克孜语等多类少数民族语言的监测及封堵。

5、典型部署架构

控制单元CU全省集中部署,一般部署在各省省会城市。

CU负责与安全监管系统(SMMS)进行通信,接收来自SMMS的管理指令,并根据要求向SMMS上报数据,同时还要实现对本省各IDC机房的EU执行单元EU进行集中管理,完成管理指令的调度、转发和执行及数据的汇总、分析和预警。

IDC信息安全管理系统典型部署方式如下图所示:

 

IDC网络安全态势感知系统

1、产品概述

恒安嘉新IDC网络安全态势感知系统以DPI深度包检测技术为核心,融合大数据技术为核心,对IDC出口流量进行实时检测与综合关联分析,发现针对IDC内重要资产的病毒传播行为以及网络入侵行为,实现相关安全事件的可知、可控、可测、可溯以及可视等要求。

  1. 通过前端DPI设备实现IDC出口数据实时采集、事件监测和处置;
  2. 通过大数据分析技术,实现IDC网络安全数据处理、情报研判、事件分析、数据取证、追溯、预警;
  3. 以IDC用户需求为触点,将入侵检测、病毒检测、违规业务检测及相应的预警、处置、追溯能力交付给用户,给IDC内用户提供定制化的安全功能与服务。

系统应用场景包括:

  1. 为IDC/云客户在汇聚出口提供病毒、入侵检测/封堵能力。
  2. 以客户视角展现租户资产安全威胁及受害情况。
  3. 帮助运营商识别潜在安全服务需求。

2、产品架构

3、产品功能

  1. 托管域名安全指数评估;根据检测到恶意事件的类型进行打分,评估每个域名受害程度。
  2. 恶意事件捕获:前端DPI设备实时捕获对IDC内IP资产的僵尸网络、木马、蠕虫、钓鱼网站、网络入侵等安全事件。
  3. 处置管理:
    1. 处置行为实时监控:实时展示针对IDC内IP资产的入侵行为、恶意代码行为的处置状态。
    2. 封堵策略管理:通过管理平台,对处置策略进行集中管理,包括处置策略的创建、审核、审批、下发等各个环节。
    3. 封堵策略下发:通过管理平台,向前端处置设备下发处置策略,处置策略包括IP、端口、URL、入侵行为特征或者多个条件的组合策略。
    4. 处置设备信息:通过管理平台,集中管理各个前端处置设备的信息,可以有选择的下发处置规则。
  4. 设备管理:
    1. 设备状态管理:通过管理平台,能够查看各个前端引擎的设备状态,包括网络接口状态、内存、CPU等利用率、核心进程工作状态等。
    2. 升级包管理:通过管理平台,向前端引擎统一下发软件升级包以及特征升级包。
  5. 特征库管理:
    1. 恶意代码特征库管理
    2. 入侵特征库管理
  6. 报表:提供定制化的威胁报表。
  7. 系统管理:系统用户管理、角色管理、操作日志管理、系统配置等支撑性功能。

5、产品特点/优势

6、典型部署架构

通过升级原有IDC的EU设备,加载病毒检测和入侵检测引擎,实现基于特征库的检测功能,检测命中的日志上报到分析服务器,分析服务器处理后入大数据impala库;应用服务器提供用户界面,并与各EU接口,进行封堵指令下发、特征库下发、心跳检测等。

串接部署:

并接部署: