汉土信息安全系统
一、概述
1.1 汉土信息安全系统简介
汉土信息安全系统(ISMS)是严格基于并完全符合中华人民共和国工业和信息化部《互联网数据中心和互联网接入服务汉土信息安全系统技术要求》、《互联网数据中心和互联网接入服务汉土信息安全系统接口规范》、《互联网数据中心和互联网接入服务汉土信息安全系统及接口测试方法》等相关国家标准设计,采用了多种先进技术设计开发而成。
本系统由“控制单元”(Control Unit,简称CU)和“执行单元”(Execution Unit,简称EU)两大部分组成:CU是企业侧Web端的信息管理系统,同时负责整体管理及与管局侧安全监管系统(SMMS)的接口通信;EU是网络抓包监控和阻断的执行系统。
两者之间为一对多关系的分布式部署结构,即一个CU可根据监控节点数量的需要,连接多个EU,从而实现经营者对其所有所下辖网络节点的流量、IP地址、域名、信息内容、应用等各类资源信息的采集、监测、分析和管控,满足电信管理部门和IDC/ISP 经营者的信息安全管理需求,为依法加强互联网管理,营造绿色、健康、有序的互联网环境,净化网络不良内容,促进互联网文化繁荣发展和维护社会稳定提供有力保障。
1.2 系统软硬件环境要求
部署“汉土信息安全系统”(ISMS),需要一台服务器用于安装CU;
用于EU的服务器数量要根据具体需要而定,至少一台;如果运营者有多个网络出口(比如多个机房)需要监控或需要监控的节点流量过大,超过了一个EU的数据处理能力,就需要采用多个EU分流处理。
1.3 基本功能
序号 | 企业功能规范项 | 企业系统的功能项名称 |
1 | 基础数据管理 | 经营单位管理 机房节点信息 客户信息 联系人信息 数据代码表 |
2 | 信息安全 | 访问日志 活跃资源 基础数据异常监测 违法网站监测记录 违法网站(黑名单) 免过滤网站(白名单) 违法信息监测规则 违法信息过滤规则 |
3 | 系统管理 | 用户管理 角色管理 系统日志 SMMS接口配置 数据安全 系统配置 |
注:具体功能可能随国家工信部规范标准和软件版本不同而有适当调整,以软件实际为准。
二、系统安装与部署
安装本软件前,要确保服务器操作系统、驱动程序、功能组件、数据库、系统目录权限、更新补丁、网络配置……等均已妥善安装设置好,能够满足通常的网站运行。此等常规性的基础准备工作属于网维人员常规工作范畴,请参考相关资料,不属本说明范畴。
2.1 CU软件安装
2.2 EU软件安装
EU的安装涉及Linux操作及底层抓包引擎,以及与CU的绑定,相对比较复杂由专业人员来安装配置
2.3系统配置
软件都安装好后,需要登录进入系统,进行一些参数设置,使之能够连接管局端以及各个EU,具体设置方法请参见“系统参数配置”一节。
2.4硬件连接方式
本系统支持串接模式和并接模式两种连接方式,可通过EU的启动参数自由设置切换。
串接部署
串接部署对于网络传输数据的分析和阻断可靠性极高,但会略微影响网络速度,且一旦EU系统损坏,存在造成被监控设备断网的风险(但该问题可通过采用高可用网络结构,冗余链路来避免单点故障影响)。
并接部署
并接部署也称旁路模式,需要交换机具有端口镜像功能,将需要监控的数据通信流量“抄送”一份给EU,故增加或撤下EU、以及EU发生故障,对原网络都没有任何影响,但在高速大流量时,并接模式的分析和阻断可靠性相对低。
两种模式各有所长,可根据具体业务场景综合分析,决定所采用的模式。总之,串接就是要将EU的入口、出口网卡串于被监测网络设备的连网线路上;并接就是要将被监测网络设备的流量镜像给EU的入口网卡,并保证需要阻断时,由EU的出口网卡发送的阻断干扰包能到达被阻断的服务器。
注:
EU的三块网卡,在软件中将被设置分别作为 “普通连网用网卡”、“入口网卡”、“出口网卡”;其中“入口网卡”和“出口网卡”必须是Intel网卡,“普通连网用网卡”牌号无特殊要求。 以下串接、并接部署图为原理示意图,具体请参考《汉土信息安全系统设备部署说明》及结合现网实际情况规划部署。