doi:10.3969/j.issn.1000-1247.2019.03.012
基于互联网安全智慧化管理的
车力军
中国电信股份有限公司云南分公司
m云南电信管理着全省超过75%的互联网资源,对巨量的IDC、互联网专线信息必须严格规范管理、管控,然而全省IDC、互联网专线存在分散广、涉及面大、信息繁杂的现状,未备案域名发现技术判据确定及项目基础开 发的工作量都十分巨大,因此整个项目规划设计和建设任务非常艰巨。文中阐述云南电信克服重重困难,采用
系列国内领先的创新技术和管理机制实现了系统平台的建设,投资上千万构建出一套网络全覆盖的主动发现、
自动技术巡检的态势预警系统,大大提高了全省互联网安全管理效率和考核达标率,保障了互联网资产和网站 备案管理安全可控。
I互联网智慧化网络安全态势感知
□前言
随着H联网的飞速发展,互联网服务模式和传播渠道日趋多样化「新闻网站、门户网站、搜索引擎、论坛、微博、多种服务模式并存,互联网L1演化成为一个虚拟社会联网安仝管理面临空前的挑战:在鼓励互联网大发展的同时.建役"联网安全管理和态毎感知预警处程综合平台.以丿川强“联网安全管理.系统化实现所悴理的互联网信息汇集与分析,防范和处置安全风险,对「净化网络空间,全面了解社情民意.做好互联网安全监管工作兵有匝要意义。
互联网IDC、网站等是网络信息非常帀:要的来源,如不进行管控备案,违法违规的涉黄涉恐网站将对国家、社会造成极大咸胁'近年来国家行业管理部门先后岀台系列管理及考核要求,如工业和信息化部发布了《工业和信息化部关于进一步落实网站备案信息真实性核验工作方案(试行)》《关丁丿干展加强网站备案管理专项彳亍动的通知》《互联网域名管理办法(征求意见稿)》等,“先备案.示接
入;谁接入谁负责,谁管:理谯负责”等耍求成为管理的红线,云南电信管理.着省内超过75%,的互联网资源,责任贡大;而对于全省百万级1P、数千个已备案网站的备案核杳、信息-致性,过去云南电信缺乏有效的技术验证手段,以及匸动发现问题的方式方法、防患于未然的管理前置能力.未形成主动上传F达未备案网站的自动预警能力.以前11[现问题:时.云南屯信都是被动等待「业和信息化部定期通报,然后只能对通报信息进行人丄核对及处理反馈。在缺乏柑应的智能化预警手段的脱F,只能通过亡羊补牢的方式,被动处理未备案网站的问题.这样既浪费时间.又耗费人孙人力.生产效率非常低下.同时也不能确保其准确率.严匝彩响I:业和信息化部、通信管:理局检查的达标率因此.采用整息化技术手段改变现状势在必行「
目问题提出和国内相关研究情况
网站备案率及备案信息准确率是国家4:笫部门针对运营商的卄:倬;关键的与核指标.全国不少育「I」部关注过提升各菜考核达标率的措施.在国家政策方面.胡钢对《互联网域名管理办法》进行了研究.林迅分析了堆「流社分析实现备案监管防控的实躊.王月领等对提升备案准确率的手段进行了一些探索.赵云对互联网域名管控提岀了若I:建议,陈利婷等对反爬虫技术机制进行了探讨,张东写则对广电信号播岀的安金预怦实践进行了描述,唐凌光、郑东和对IDC安全管控提出-些思考;在态势感知方面,陈希、马冰珂等对安全态势感知及预警的若干技术进行了探索.巩志等对当前建设网络佶息安全态势感知能力的必要性和实践提岀了建议:但是,凤内外在IDC、互联网专线技术管理、网站备案筲
理.尤J I在网站域名发现和备案达标率捉升方面,针对动态感知预警平台相关的设计和研究并不多见.文中的日标就是根据"1询形势.研究设i■十一种棊于互联网安全鮒化TV理的安全态势感知预警平台”
目项目平台建设内容
云南电信互联网安全智患化管理及态势感知预警平台满足丁业和信息化部关于IDC/1SP安全徐理的相关要求,同时满足省内丿I]户访问IDC业务、专线业务行为分析、省内IGP流臬流向分析、IDC业务、互联网专线业务和流帯粘细化控制等需求.云南电信从2014年起,在工业和信息化部和上级单位统一规范指导下不断规划和完善系统平台,使该平台实现了对全省IDC出口链路的1()()%的覆盖,其功能包括基础数据管理、访问日志管理、安全管理、安全追溯能力、互联网安全管理扌旨令接口、未备案域名检测预警、安全态势感知预警及处置等:
3.1平台系统架构
平台系统市业务控制单元CU和各地设备单元EU组成,CU 具备海宦存储能力,目前已对全省所冇I DC岀口带宽实现监控,云南电信项目平台网络拓扑结构如图1所示
GU集中部署在省会昆叨市的IDC机房内,通过核心交换机与各机房EU互通,各EU节点部署在16个州市分公司的IDG机房内,EU^IPCHl口链路的监控采用串接方式平台系统架构如图2所示
3.2平台系统功能
⑴基础数据骨理
¥台系统管理的IDC/ISP业务相关基础数据包括主体信息、资源信息两类:平台实现了基础数据监测异常记录的本地存储功能,且保存时间不少于12个月:
(2)访问日忐管理
平台基于外部访问用户对IDC/ISP接入互联网业务客户有关应用和服务的访问行为,完整记录和统计访问信息.形成访问]志。平台实现监测记录的本地存储功能,保存时间
不少于6个月,并供SMMS杏询
(3)安全管理
活跃资源监测:平台对IDC业务机房/ISP业务节点有关
核心层
汇集层
角蜡蚧5F-
9306-1
省干(D1)
NE5000E-1
/5F-
‘9306—3
省干(D3):省干(D4)省干(D2)
NE5000E-2
ICisc(
AS4134
AS65238
Cisco4507
■_2
/5F-
9306-4
1F-
9306-1
1F-
9306-2
1GE大带宽用户主机||共享另虫享用户主机||10GE大带宽用户主机|1GE大带宽用户主机I运维及防火墙用户|图注:删除10GE---------割接10GE100GE---------2x10GE10GE1GE---------FE
图1云南电信项目平台网络拓扑
________________弦信技术
业务链路上传送的公共信息数据进行全量监测:
违法违规网站筲理:平台系统付动实现对木备案网站和违法违规网站的监测、处揑等功能
违法信息监测和处豈!:平台支持SMMS通过]<发违法信息监廻/过滤抬令的方式.实现基丁JP地址、源/「I的端口、TCP/UDP,域名、URL、关键词规则的违法信息管理功能。
(4)系统功能管理
权限管理:平台系统实现对系统管理人员、操作人员、维护人员的身份认证和权根据不同的和授予相应的权限,卜经授权的用户不得使用系统的相应功能
运行维护:平台系统实现各子系统、组件程序的集中配逬管理,对各系统驪勢程序的运行状态进行实时监控.为系统的正常运行提供保障。平台能对分布于全部1DC业务机W/ISP业务肖T的系统设备状态进行持续监测.系统可靠性最低应达到99.99%「
定期自动将已备案单位的备案主体、法人等信息,与政府网站上的借息进行对比核验.记录信息不符的备案单位情况,并进行信息统计和数据分析:
定期自动扫描已备案单位的域名是否自动跳转到违法违规网页,通过Web+APP+公务邮件等方式向各州市分公司做岀预警,督促网站客户立即整改或分公司协助关停网站:
3.3平台自身安全健壮性特点
(1)系统本彷实现了访问控制并设有良好的备案和恢复机制,具性。
(2)系统卜:动进行安全漏洞监测.并及时対发现的漏洞进行预警修复
(3)系统在传输数据前后均设置了对端系统満求加解密验证,确保系统信息传播的可控性。
省干(D1)省干(D3)省干(D2)省干(D4) 5x10GE©x10GE"xIOGI5x10GE
核心层
光保护.
设备皿
1Ox1OGE\1Ox1OGE
局域网
交换机:
5F-
NE5000E-1
5F-
NE5000E-2
2x10GE
炮x弋
JOGE
道闸广告机
-----------
2x10GE
EU
5F-
Cisco7609-1I5F-、
Cisco7609-2
汇聚层
5F-Cisco4006—1
5F-
5F_Cisco4006—1
.Cisco4006-2/
1F-9306-11F-9306-2
共享沟虫享用户主机:;1OGE大带宽用户主机;;运维及防火墙用户
图注:------------1OGE------------GE
图2项目平台系统架构
捕虾机电路图
图3云南疑似未备案域名发现量情况
□平台项目创新点
项目平台在国内率先采川了系列科技创新举措,已获国家科技部查新认证,查新报告编号:(2018)53b2(MM1427
售检票系统
以下创新点在国内未见公开文献报道。
⑴基F秒能爬虫技术批笊收集域名信息.通过自适应线程进行数据优化筛选,实现对未备案域名分析抓取的创新应用。系统平台采用智能爬虫技术,建立高并发自适应线程优化的技术模型架构。
⑵基于存活ip过滤器、反爬虫技术、域名白查等技术,
全方位粘确识别未备案域名、存活ip等技术手段的集成创新。在存活ip过滤器中,我们使用主机发现、端口扫描、ip 过滤分析等技术提升ip过滤器的能力C
(3)通过Web+APP+公务邮件方式的女个预警发布能力平台,厶-南电信未备案域名监管安全态势感知与预警发布¥台能够满足移动互联网工作模式的需要,受到广大一线领导和备案管理员的好评。
发光模组目应用情况
项目从2()14年启动建设开始,经历4年的优化完善,2017年增加未备案域名安全态势感知预警功能以及智能化能力,逐步形成了现在的智慧化安全管理及综合态势感知预警平台'、口前该平台覆盖厶-南电信1()0%的IDC机房、互联网专线,并能对云南电信所有IP域实现未备案网站进行侦测侦警处崟、数据分析、安全班件溯源等。平台系统稳定运行,通过智慧化掌控全域网络安金信息,及时发现并处世互联网违法信息,在工业和信息化部通报前扫描发现未备案网站情况,并及时处辻,同时经过及时处逬,云南电信IP域的疑似未备案域名发现戢在逐丿]减少(图3)平台的使用提升了运营商对互联网的管控能力和工作效率,节约了劳动「-时和人工成木;净化了网络空
间;保障了企业互联网业务的良性
运?J,为企业健康发展提供有力的
支撐;为后期安全时I、可朔源提供可
靠的原始数据,降低网络安全享件
大功率同轴固定衰减器溯源成本,是-项具有领先创新技
术、示范效果好、推广潜力大、实
用价值高的试点小范项目:
□项目平台产生的效益
6.1经济效益方面
⑴经过几年的建设,系统平台
已覆盖云南电信全省网络,对IDC、
互联网专线等业务和网站备案管理起到保驾护航的作川,项I丨、卜台支撑的IDC业务和互联网C•线业务的收入近三年累计达2().6亿元,使国冇企业收入得到充分保障,避免了企业可能出现的经济损失和社会信特损失
(2)系统平台通过门适应多线程优化策略,只要数小时即可自动完成云南电信全省数仃万IP的未备案域名扌I描核查,以及数「已备案网站主体信息的比对「-作相关工作如采用人「-方式,即便每人每个工作日核对1()()()个IP的网站备案内容,也需要近1()年的时间,系统使云南电信未备案域名核查的工作效率提升了数千倍。
(3)平台安全态势预警发布可用电脑或移动终端接收并处置反馈,保证了基层单位能随时随地发现问题、处理间题,节约了管理员奔波回固定办公地点的劳动匸时,受到广大一线行理人员和基层领导的好评.
6.2社会效益方面
⑴系统自投入运行以来,云南电信辖内1P中工业和T i•息化部抽杏通报未备案网站数逐月下降,效杲显布通过IDC、专线的数据管理,中国电信的正规化、规范化更加得到认可,出现违法信息也能得到及时处置,对净化网络空间起到非常积极的作用,云南电信的社会信誓度得到极大提升,匚南省通信学会、通信管理局均对此给予了肯疋和好评:
⑵本项H负责人'JCNCERT专家联名发表了相关论文,充分说切项目相关内容得到业界专家和社会、行业的广泛认可。综I:分析.本项目具有显著的经济效益和社会效益,平台实用价値极高,示范效杲好。
a结束语
互联网IDC、专线、网站等是网络流址中乍常重要的信
(下转56页)
F,商务谈判时应该向客户说明这一慮*不合理的带宽会导致制定出不合理的低阶级联方案,在制定带宽大小和与其內I 关的价格策略时.需要考虑两者之间的关联因素带来的额外时延问题.提高带宽对降低时延是一个值得考虑的方案:对于SDH级联肓式有相邻级联和虚级联两种,如VC4级联表达方式分别是VC-4-XC与VC-4-XV,相邻级联仅t|-对VC4级别的颗粒,显然共•对传输VC12、VC3等较小颗粒级联传输时带宽效率很低.曰前已很少应用:同时两种不同的级联方式时延也略有差异.华为提供的数据是相邻级联会带來右时延.而虚级联带来的则是5<lp.s/£右〉
运营商目前在低时延通道市场的竞争.町川“惨烈”
字形容.与时间的竞争就彳'象-场1'侏赛跑.谁最快到达终点就是判断胜负的唯-依据如果信号跑完全程分为起跑、中途跑、冲刺三•个阶段的话,那么建设网络可以说是起跑阶段.这点中国联通虽然在开始阶段领先,但日前C尤优势"打:,因为领先的时间已被浪费」I「途跑:阶段可以被比喻为干线的优化,这点各运营商基本同步.这是因为干线光缆路市儿乎相同;城域网属于冲刺阶段,口询看来是中国联通的短板,这是当前建
(上接52页)
息来源,如不进行网络资产、网站备案等的安全监管,涉笊涉恐或带有病毒木马的网络信息将对国家、社会造成极大威胁和损害。面对百万级IP、成千上万个已备案网站的备案核查、信息一致性清核工作,传统人工处世的方式已不能满足实际管理需要。云南电信采用智能爬虫主动侦测、自适应未备案域名发现等创新技术手段,进行了互联网安全管理及态势感知智戕化预警平台设T I'与建设实践系统平台投入运行以来,通过智恿化系统运营作业,已累计主动发现未备案域名上万次、备案主体信息不准确项数千个,处置若下涉黄涉恐等不良信息,经核对,数据准确率达99.95%,取得了很好的实效,为塑造风沾气朗的互联网环境起到了保驾护航的作用
参考文献
[1]王月领,李敏•基于通信方式自动核验系统的提升网站备案信息准确率的方法[J].电信网技术,2017(1)
[2]刘石磊.对反爬虫网站的应对策略[J].电脑知识与技术,2017(5)
[3]唐凌光.郑东和•互联网数据中心安全管控的思考与探索[J].广东设、维护分割存在认识不一致的错误造成的,急需岀台规范化的建设、运维指导意见书来统一认识。阪
如对本文内容有任何观点或评论,请发E-mail至ttm@bjxintong:
作者简介
施炎
现就职于中国联通人连市分公司,研究方向为传输与接入:
尹海峰
现就职于中国联通上海市分公司.研究方向为传输与接入一
李文川
现就职于中国联通辽宁省分公司•硏究方向为传输与接入
陈东
现就职于中国联通公司,研究方向为传输与接入
胡甜甜
现就职1:中国联通大连市分公司,研究方向为市场营销
关新凯
现就职于中国联通大连市分公司,研究方向为传输与接入一'
徐玲玲
现就职丁中国联通大连市分公司•研究方向为传输与接入
公安科技.2018(3)
[4]陈希、马冰坷•态势感知技术在信息安全保障中的应用[J].工程与设计,2018(2)
[5]李井泉.刘惠颖•网络安全态势感知及主动预警技术研究[J].河北电力才支术,2017(10)
[6]毕锦雄.《网络安全法》背景下国家网络安全态势感知预警能力的建立[J].信息安全与通信保密,2017(7)
[7]车力军.曹华平•基于自适应智能爬虫技术的网站备案安全态势感知平台设计[』•互联网天地,2018(5趣
如对本文内容有任何观点或评论,请发E-mail至
作者简介
车力军
硕士,毕业于北京邮电大学,教授级高级工程师,现就职于中国电信云南公司网络与信息安全管理部,云南省政府科技进步奖专家评审组成员,主要研究方向为网络与信息安全、移动互联网、电子政务、光宽带等.
