項目背景

近年來互聯網產業飛速發展，互聯網的服務模式和傳播渠道也隨之日趨多樣化。新聞網站、門戶網站、搜索引擎、論壇、博客、P2P等多種服務模式并存，互聯網安全管理面臨著空前的挑戰。

然而，目前，在互聯網接入服務提供和管理工作中，廣泛存在著安全意識淡薄、管理基礎薄弱、查處手段缺失、違法信息發現及處置難、日志留存落實不到位等問題，互聯網安全自主維護防線極其薄弱。

全國人大常委會2012年12月28日頒布的《關于加強網絡信息保護的決定》第五、十條和《互聯網信息服務管理辦法》（國務院第292號令）第十四條規定了互聯網接入服務提供商應當采取技術措施，發現、處置通過網絡傳播的違法信息，并做好日志留存工作。

2012年12月，工業和信息化部發布了《互聯網數據中心和互聯網接入服務信息安全管理系統技術要求》、《互聯網數據中心和互聯網接入服務信息安全管理系統接口規范》以及《互聯網數據中心和互聯網接入服務信息安全管理系統及接口測試方法》，對IDC在互聯網信息安全管理方面，包括基礎數據管理、訪問日志管理、違法網站及違法信息發現與處置等提出了更加具體的要求。

為滿足工信部關于IDC/ISP信息安全管理系統的相關要求，以及同時滿足省內用戶訪問IDC業務行為分析、省內重點ICP流量流向分析、IDC業務和流量精細化控制等需求，國內電信運營商提出了IDC/ISP信息安全管理系統的建設思路，截止到2018年，百卓網絡共為中國電信集團建設了六期IDC/ISP信息安全管理系統。

解決方案

系統概述

百卓網絡IDC/ISP信息安全管理系統（Information Security Management System，簡稱ISMS）是依據工信部頒布的《互聯網數據中心和互聯網接入服務信息安全管理系統技術要求》以及《互聯網數據中心和互聯網接入服務信息安全管理系統接口規范》建設的具有基礎數據管理、訪問日志管理、信息安全管理等功能的信息安全管理系統，用以滿足電信管理部門和IDC經營者信息安全的管理需求。

每個省公司建設一個統一的ISMS，與電信管理部門建設的安全監管系統（SMMS）通過信息安全管理接口（ISMI）進行通信，實現電信管理部門的監管需求。

（圖：百卓網絡ISMS系統架構圖）

系統功能

百卓網絡ISMS信息安全管理系統包括控制單元（Control Unit，簡稱CU）和執行單元（Execution Unit，簡稱EU）兩個部分，其中EU執行單元根據需要可拆分為流量采集子系統、匯聚分流子系統、流量分析及控制子系統、集中管理子系統。

一、流量采集子系統

將DPI設備以透明的方式進行快速部署

以更低的建設成本對被監控鏈路中的流量進行提取

為被監控鏈路提供安全可靠的保護

二、匯聚分流子系統

物理層及鏈路層協議轉換

數據流量的匯聚和分發

數據流量的同源同宿處理

數據流量的過濾和篩選

三、流量分析及控制子系統

基于報文載荷特征的流量識別

解析報文內容，提取關鍵信息

基于數據流量的多維度分析和統計

基于策略對流量執行阻斷、限速、標識等動作

按照指定格式生成報文和數據流的日志信息

還原流量中承載的文件

四、集中管理子系統

可視化拓撲結構

全面化網元管理

深度業務監控

ISMS業務自動巡檢

即時性故障告警

多維度報表統計

五、ISMS-CU系統

基礎數據管理

基礎數據異常監測

違法信息安全管理

違法違規網站監測

活躍資源監測

未備案網站監測

IP異常監測

訪問日志管理

應用案例

百卓網絡ISMS解決方案可廣泛應用于中國移動、中國聯通、中國電信三大運營商，目前系統已覆蓋全國20多個省份三大運營商的IDC出口和城域網專線，總帶寬超過200T。

（圖：某省電信IDC/ISP系統部署方案）

方案優勢

全面精準的應用識別技術，監測更全面、更精準；

高密度網絡可視化分流器，多倍提高業務系統性能；

DPI高速采集零拷貝技術，有效提升效率；

業界具備全套軟硬件自主研發能力的實力廠商出品；

連續6年承建中國電信IDC/ISP信息安全管理系統，且信安考核通過率達到100%。