中文 | English
400-888-7180
解决方案
IDC 信息安全管理系统

1.背景

       基于对网络发展和运营商业务需求的理解,武汉绿网推出了IDC信息安全管理系统(Information Security Management System,简称ISMS)是lDC经营者建设的具有基础数据管理、访问日志管理、信息安全管理等功能的信息安全管理系统,以满足电信管理部门和IDC经营者信息安全的管理需求。每个省公司建设一个统一的ISMS,与电信管理部门建设的安全监管系统(SMMS)通过信息安全管理接口(ISMI)进行通信,实现电信管理部门的监管需求。通信管理局侧的安全监管系统(SMMS)负责监控策略的制定并下发,和接收IDC安全管理分析的结果。

 

2.简介

       IDC/ISP信息安全管理系统(ISMS)是IDC/ISP经营者建设的具有基础数据管理、访问日志管理、信息安全管理等功能的信息安全管理系统,以满足电信管理部门和IDC/ISP经营者的信息安全管理需要。

武汉绿色网络IDC/ISP信息安全管理系统架构如下图。ISMS包括控制单元(CU)和执行单元(EU)两个部分。CU以省为单位集中部署,EU部署在各IDC出口,并接收CU统一下发的指令。

 

       武汉绿色网络根据IDC机房规模不同,提供不同规格硬件产品,支持GE/2.5G POS/10G/10G POS/40G POS/100G等多种链路,且支持单台设备的多种链路混合部署。

 

 

3. 功能与性能

l ISMS系统基本功能结构

 

 

l 武汉绿色网络ISMS系统架构

 

 

       武汉绿色网络ISMS解决方案基于x86架构,在运营商测试及现网运营均展现出业界领先的处理性能。

u  大流量访问情况下访问日志条目的准确性数据稳定在99%以上,中国电信北研院实际测试准确率为100%

u  单设备单万兆端口支持的最大并发连接数为25M,每秒新建连接数超过2.5M,整机支持的最大并发连接数为50M,每秒新建连接数超过5M

u  总体应用数据流识别准确率:EU设备能采集识别出所监控链路上,每类应用的总流量及流量占比。其中未识别流量的占比小于5%, 识别错误率小于1%

u  单应用识别性能参数: Web类流量的识别准确率达到100%P2P类流量的识别率超过90%VideoStream/Download/Email/IM/Game类应用的识别率超过95%VoIP类流量的识别率超过95%

u  总体应用数据流管理误差率:串接EU设备对流量管理的精确度误差小于5%

u  单应用管理性能参数:串接设备P2P下载管理响应时间低于1msURL过滤管理的准确度达到100%

u  ISMS的规则匹配准确率达到95%以上。

u  独立式EU设备在串接时bypass功能切换时间小于20ms

 

4. 应用场景

系统支持串接和并接部署两种方式。

【串接部署】

 

【并接部署】

        EU并接方式的实现方案是在IDC机房出口路由器设备的出口链路上加分光器,经分光器复制之后的一条链路仍连接原有上联的网络设备,另外一条链路接入执行单元的分流设备。分流设备具有一定的过滤功能,将过滤之后的数据传给分析监控服务器,另外也通过一条链路与IDC核心网络设备连接,通过发送数据包中断或干扰用户正常业务连接达到对用户流量的控制。IDC/ISP信息安全管理系统EU并接方式的网络结构示意如下图所示:

 

 

CU建议部署在IDC核心机房,与省内所有EU设备网络连通即可。

 

5. 特点和优势

5.1 同时支持软件和硬件同源同宿方案

       支持大容量和跨节点同源同宿方案,很好地支持多链路应用场景,汇聚用户全流量,流量分析控制结果准确可靠。

 在处理同源同宿时保证ISMS功能全功能不失效,可以支持HTTPSMTPPOP3FTP协议的访问日志记录,监测日志记录和阻断功能。

5.2 良好的代理识别能力

 对于使用代理进行访问的请求,EU设备可以支持非加密代理的数据还原及内容深度匹配搜索,方便及时发现使用代理访问违法违规网站行为。

5.3 压缩内容的实时阻断

 优化的体系结构和处理机制实现对含压缩内容的网络流量的实时阻断,精准管控非法访问流量。

5.4 管控精细

 高精度的三维矩阵控制:最小控制颗粒度可精细到四个“一”,即:一个IP(网络用户)、一种协议、一个时间段内、流量控制精度可达1kbps

5.5 支持UDP封堵

 系统在串接场景下,支持识别UDP流,并进行关键字扫描,会形成IP地址+端口号的黑名单,系统即可根据黑名单实现实时的封堵。同时系统支持黑名单老化机制,且可手动设置。系统可按规范生成对应的访问日志、监控日志及封堵日志。

 系统在并接场景下,可支持识别UDP流和关键字扫描,同时生成访问日志和监控日志并上报。

5.6 高安全性

       DPI一体机主要以透明网桥形式部署,无需增加其他设备,不改变路由,不会改变现网结构。支持Bypass旁路保护系统,满足安全性要求高的用户需求。扩展时,按照线路进行设备的增加即可,对于多设备应用的情况,提供统一的管理平台,方便用户进行管理。

5.7 成熟经验

       ● 武汉绿网ISMS解决方案已成功应用于三大电信运营商现网超过3000G流量的监控。

      ● 产品已通过工信部研究院ISMI系统测试,成功与工管局SMMS系统对接

      ● 产品已通过中国电信北京研究院入网测试

 

 

 

 

top sex top sex top sex top sex top sex top sex top sex top sex top sex top sex top sex top sex top sex top sex top sex top sex top sex top sex top sex top sex top sex top sex top sex top sex top sex top sex top sex top sex top sex top sex top sex top sex seks seks taka top sex