汉土信息安全系统

汉土信息安全系统

一、概述

1.1 汉土信息安全系统简介

汉土信息安全系统(ISMS)是严格基于并完全符合中华人民共和国工业和信息化部《互联网数据中心和互联网接入服务汉土信息安全系统技术要求》、《互联网数据中心和互联网接入服务汉土信息安全系统接口规范》、《互联网数据中心和互联网接入服务汉土信息安全系统及接口测试方法》等相关国家标准设计,采用了多种先进技术设计开发而成。

本系统由“控制单元”(Control Unit,简称CU)和“执行单元”(Execution Unit,简称EU)两大部分组成:CU是企业侧Web端的信息管理系统,同时负责整体管理及与管局侧安全监管系统(SMMS)的接口通信;EU是网络抓包监控和阻断的执行系统。

两者之间为一对多关系的分布式部署结构,即一个CU可根据监控节点数量的需要,连接多个EU,从而实现经营者对其所有所下辖网络节点的流量、IP地址、域名、信息内容、应用等各类资源信息的采集、监测、分析和管控,满足电信管理部门和IDC/ISP 经营者的信息安全管理需求,为依法加强互联网管理,营造绿色、健康、有序的互联网环境,净化网络不良内容,促进互联网文化繁荣发展和维护社会稳定提供有力保障。

1.2 系统软硬件环境要求

部署“汉土信息安全系统”(ISMS),需要一台服务器用于安装CU;

用于EU的服务器数量要根据具体需要而定,至少一台;如果运营者有多个网络出口(比如多个机房)需要监控或需要监控的节点流量过大,超过了一个EU的数据处理能力,就需要采用多个EU分流处理。

1.3 基本功能

序号 企业功能规范项 企业系统的功能项名称
1 基础数据管理 经营单位管理
机房节点信息
客户信息
联系人信息
数据代码表
2 信息安全 访问日志
活跃资源
基础数据异常监测
违法网站监测记录
违法网站(黑名单)
免过滤网站(白名单)
违法信息监测规则
违法信息过滤规则
3 系统管理 用户管理
角色管理
系统日志
SMMS接口配置
数据安全
系统配置

注:具体功能可能随国家工信部规范标准和软件版本不同而有适当调整,以软件实际为准。

二、系统安装与部署

安装本软件前,要确保服务器操作系统、驱动程序、功能组件、数据库、系统目录权限、更新补丁、网络配置……等均已妥善安装设置好,能够满足通常的网站运行。此等常规性的基础准备工作属于网维人员常规工作范畴,请参考相关资料,不属本说明范畴。

2.1 CU软件安装

  • 1,将安装包中下所有文件放置到站点目录中,并按常规网站配制方法配置好nodejs、目录权限、绑定用于访问汉土信息安全系统的域名。
  • 2、用浏览器访问一次,系统将自动建立库结构和相关数据表
  • 3、安装完成
  • 2.2 EU软件安装

    EU的安装涉及Linux操作及底层抓包引擎,以及与CU的绑定,相对比较复杂由专业人员来安装配置

    2.3系统配置

    软件都安装好后,需要登录进入系统,进行一些参数设置,使之能够连接管局端以及各个EU,具体设置方法请参见“系统参数配置”一节。

    2.4硬件连接方式

    本系统支持串接模式和并接模式两种连接方式,可通过EU的启动参数自由设置切换。

    串接部署

    串接部署对于网络传输数据的分析和阻断可靠性极高,但会略微影响网络速度,且一旦EU系统损坏,存在造成被监控设备断网的风险(但该问题可通过采用高可用网络结构,冗余链路来避免单点故障影响)。

    并接部署

    并接部署也称旁路模式,需要交换机具有端口镜像功能,将需要监控的数据通信流量“抄送”一份给EU,故增加或撤下EU、以及EU发生故障,对原网络都没有任何影响,但在高速大流量时,并接模式的分析和阻断可靠性相对低。

    两种模式各有所长,可根据具体业务场景综合分析,决定所采用的模式。总之,串接就是要将EU的入口、出口网卡串于被监测网络设备的连网线路上;并接就是要将被监测网络设备的流量镜像给EU的入口网卡,并保证需要阻断时,由EU的出口网卡发送的阻断干扰包能到达被阻断的服务器。

    注:

    EU的三块网卡,在软件中将被设置分别作为 “普通连网用网卡”、“入口网卡”、“出口网卡”;其中“入口网卡”和“出口网卡”必须是Intel网卡,“普通连网用网卡”牌号无特殊要求。 以下串接、并接部署图为原理示意图,具体请参考《汉土信息安全系统设备部署说明》及结合现网实际情况规划部署。

    2.4.1串接模式

  • 1、将EU的“普通连网用网卡”连接到交换机任意一口,该网卡可以是任意牌号网卡,正常上分配给EU系统IP地址,以便对EU远程控制以及使EU能与CU通信。
  • 2、将Internet的外网网线连接到EU的“入口网卡”,该网卡必须是Intel网卡,不设IP地址。
  • 3、将EU的“出口网卡”连接后级交换机的上联口,该网卡必须是Intel网卡,不设IP地址(即EU的“入口网卡、出口网卡”组成网桥,后面所有被监控网络流量必须经过EU连接到互联网上;当EU软件启动后,这个网桥就会连通)。
  • 4、将CU的网卡连接到交换机任意一口,正常设置上分配给CU的IP地址(CU与EU间可分布式部署,只要公网能互相连通即可;如CU与EU在同一机房,建议尽量将两者连接在同一个交换机下,以获得最高速度和可靠性)。
  • 2.4.2并接模式

  • 1、将EU的“普通连网用网卡”连接到交换机任意一口,该网卡可以是任意牌号网卡,正常上分配给EU系统IP地址,以便对EU远程控制以及使EU能与CU通信。
  • 2、交换机开启端口镜像,将被监控的交换机端口的数据镜像到EU的“入口网卡”所在端口(并接时“入口网卡”用于接收镜像来的数据,该网卡必须是Intel网卡,不设IP地址)。
  • 3、将EU的“出口网卡”(并接时用于发送阻断干扰包,该网卡必须是Intel网卡,不设IP地址)连接到交换机其它任意端口,但该交换机端口需要与被阻断服务器端口处在同一个VLan,以便需要阻断访问时,阻断包能够到达被阻断的服务器。
  • 4、将CU的网卡连接到交换机任意一口,正常设置上分配给CU的IP地址(CU与EU间可分布式部署,只要公网能互相连通即可;如CU与EU在同一机房,建议尽量将两者连接在同一个交换机下,以获得最高速度和可靠性)。