2014.05.09IDC信息安全系統架構目錄2概述1IDC信息安全系統整體架構3IDC信息安全管理模塊分析4DPI與信息安全管理模塊關系5上網日志留存系統技術架構6IDC信息安全系統部署方式P1概述-業務需求如何對IDC機房的基礎資源進行統一管理？如何準確掌握IDC機房內有多少網站？多少域名？如何發現IDC機房內未備案、黑名單網站信息？如何主動發現IDC機房內接入網站的有害信息？如何對IDC機房內有害信息實行實時封堵管控？如何溯源網絡行為日志？P2概述-信息安全系統P3穩定可靠不良信息監測過濾平臺不良信息監測、過濾3高效的分布式海量數據檢索方案訪問日志2細致詳實的機房數據監測基礎數據監測1基于行業違規處置的擴展管控模塊違規控管4信息安全系統概述-功能介紹P4系統管理資源管理信息監測黑白名單信息過濾業務管理統計分析IDC信息安全管理系統資源、監測、控管、業務四維一體化管理模式全面了解管轄范圍內基礎資源、域名信息實時監測機房內違法違規信息實時過濾機房內不良信息實時掌握機房內黑名單接入情況全面掌握機房內虛擬主機、未備案等信息多維度統計分析資源、業務數據、控管結果目錄2概述1IDC信息安全系統整體架構3IDC信息安全管理模塊分析4DPI與信息安全管理模塊關系5上網日志留存系統技術架構6IDC信息安全系統部署方式P5IDC信息安全系統部署架構P6IDC信息安全系統整體架構P7

系統整體分為中央控制平臺【CU】、省端執行系統【EU】、管局系統、內部相關系統三大模塊。省端執行系統主要包括：信息安全管理模塊、日志合成服務器和統一DPI設備；控制平臺按中國移動集團的內部接口規范和技術標準與內部的集團網站備案系統、IDC運營管理平臺、上網日志留存系統、網管系統等通過接口實現信息共享。目錄2概述1IDC信息安全系統整體架構3IDC信息安全管理模塊分析4DPI與信息安全管理模塊關系5上網日志留存系統技術架構6IDC信息安全系統部署方式P8IDC信息安全管理模塊分析P9信息安全管理模塊作為執行單元(EU)，將生成的監測日志、過濾日志、違法違規信息發送給中央控制平臺(CU)，在中央控制平臺端可通過WEB管理系統管理相關數據。根據移動實際業務情況還可從信息安全管理模塊直接輸出訪問日志到上網日志留存系統。同時信息安全管理模塊還定時回傳運行狀態至中央控制平臺，以實現統一管理。IDC信息安全管理模塊對信息進行監測、過濾P10目錄2概述1IDC信息安全系統整體架構3IDC信息安全管理模塊分析4DPI與信息安全管理模塊關系5上網日志留存系統技術架構6IDC信息安全系統部署方式P11DPI與信息安全管理模塊關系P12

DPI設備負責對IDC鏈路雙向流量進行監測解析，按照業務需求采集流量相關數據提交至信息安全管理模塊及日志合成服務器。

DPI設備將分離流量至信息安全管理模塊，將流量日志傳輸至日志合成服務器。IDC信息安全管理系統需要從DPI設備分流全報文數據至信息安全管理模塊。

系統邏輯結構圖如下所示：目錄2概述1IDC信息安全系統整體架構3IDC信息安全管理模塊分析4DPI與信息安全管理模塊關系5上網日志留存系統技術架構6IDC信息安全系統部署方式P13上網日志留存系統日志架構P14上網日志留存系統實現對IDC鏈路的上網日志進行存儲，以及用于對日志做業務方面的信息分析，包括常用的TCP協議以會話為單位記錄，UDP協議以數據包為單位記錄。管局側SMMS系統可下發查詢指令到中央控制平臺進行日志查詢，中央控制平臺轉發查詢指令給網絡日志服務器，并返回相應的日志結果數據。海量數據高效存儲海量數據高效檢索網頁瀏覽訪問日志管理P15策略下發移動控制平臺管局側SMMS數據上報……指令下發結果上報移動控制平臺日志查詢平臺上網日志留存系統日志合成服務器目錄2概述1IDC信息安全系統整體架構3IDC信息安全管理模塊分析4DPI與信息安全管理模塊關系5上網日志留存系統技術架構6IDC信息安全系統部署方式P16部署方式-鏡像P17鏡像方式使用環境建議流量>500MB；監控口帶寬容量>=鏡像口帶寬容量。部署特點：不需要額外的網絡設備，成本低；部署方面靈活，可調整監控流量的范圍。部署方式-分光P18分光方式使用環境流量<=10G；分光光強達到設備網卡識別要求。