韦芹余msld
2010国庆阅兵江苏省通信管理局
摘要:I P地址是构成互联网的基础,是非常重要的互联网基础资源,江苏作为互联网大省,对千万级IP v4地址、数亿级的IP v6地址进行有效的管理,很有必要建设一套I P地址综合管理平台。本文拟探讨如何通过I P地 址数据的汇聚、核查比对、数据标签管理、资产探测等实现对IP地址的精细化管理。 关键词:CNNIC;1P地址备案;IP v6; hadoop;实名制
0引言
末次冰期
IP是Internet Protocol (网际互连协议)的缩写,是TCP/ IP体系中的网络层协议,是整个TCP/IP协议族的核心,也是 构成互联网的基础。江苏省作为互联网大省,截至2020年底,全省分配使用的IPv4地址已达到2500万,用于LTE终端的 IPv6地址9321万,单纯的依靠人力做好一个省份的IP地址管 理工作已然不现实,需要建设技术手段来监测全省丨P地址分 配使用情况,不断提高全省IP地址的完整率、准确率,
建立 权威IP数据资源库。近年来,随着Hadoop等大数据技术的发展.对海量数据的分析处理已有完备的解决方案,利用大数据技 术可以实现对IP地址的精细化管理。
1IP地址分配管理
1.1国内丨P地址的获取
互联网的IP地址分配是分级进行的。丨CANN(IANA)对 互联网上的IP地址进行统一的管理,ICANN将地址分配给区 域互联网地址注册机构(R1R) ,RIR负责各自地区的IP地址 分配、注册和管理工作=通常RIR会直接或通过当地的国家 级互联网注册机构(NIR)将IP地址分配给本地互联网注册 机构(LIR),然后由LIR分配给下游的互联网服务提供商或 终端用户。目前,全球共有5个RIR,分别是:ARIN (负责 北美地区业务)、RIPENCC (负责欧洲地区业务)、APNIC (负责亚太地区业务)、LACNIC(负责拉丁美洲地区业务)、AfHNIC (负责非洲地区业务)。
工业和信息化部是我国IP地址分配和管理的主管部门,中国互联网络信息中心(CNNIC)是APNIC认定的中国大陆 地区唯一的国家互联网注册机构。以CNNIC为召集单位的 CNNIC IP地址分配联盟帮助中国大陆地区的相关单位和组织 从亚太互联网注册机构(APNIC)申请IP地址:1.2 IP地址备案管理办法
我国对IP地址的分配使用实行备案管理,工业和信息化 部(原信息产业部)制定了《互联网1P地址备
美洲豹xf案管理办法》,自2005年3月20日起施行。办法对IP地址的分配机构进行 了定义,明确了 IP地址的监督管理部门、IP地址报备的责任 主体、报备的流程、报备的数据字段以及违反规定的罚则_ 1.3 1P地址管理的实名制要求
按照《中华人民共和国网络安全法》第二十四条的要求,网络运营者为用户办理网络接人、域名注册服务,在与用户 签订协议或者确认提供服务时,应当要求用户提供真实身份 信息。用户不提供真实身份信息的,网络运营者不得为其提 供相关服务。
各级IP地址管理机构在分配IP地址时,应落实网络实名 制要求,保证IP使用单位、使用人信息真实、准确、可溯源。基础电信企业和接人服务企业在为用户办理业务分配IP地址 时,应落实实名制要求,强化源头管理,提升实名制验真技 术手段,可采用验证、支付验证、手机短信验证等 多种验证方式,筑牢IP地址安全合规使用的防火墙。
2 IP地址管理系统建设目标及系统架构2.1项目建设目标
结合IP地址管理工作要求,建设IP地址资源管理系统,每曰统计分析基础电信企业和接人服务企业备案的全量IP地 址,开发IP地址核查比对、资产的探测、安全风险分析、数 据标签等功能模块,实现对IP地址的精细化管理,可快速准 确进行IP地址检索。
首先要定义IP地址管理的标准规范和流程,明确核心关 注的1P地址数据字段,系统要具有良好的可靠性设计,确保 系统稳定运行,避免单点故障;系统应用后无论是软件升级、硬件升级或是数据割接,都要能保证业务持续性:
I2021.04 63
互联网
运营商上报数据异常比对r 接入商上报数据异常比对]
[运营商马接入商数据异常比对]
当天数锯与昨天数据异常比对
漏报异常比对
活跃异常比对违规异常比对
D H S 异常比对
网安事件比对IP 基础资源核对校块
預读取模块
内存处理模块
计算引擎
X 线 S park
分析计算
—II P 祕
览 I p 资源综合管理数据标签管理 i
| IPv #常数据工单
文件上报日志
|
|
节假日|
IP 数据查询导出任务管理IPv6^常数据工单|
接入商上报任务
系统管理
其他
数据采集中心
数
据汇入层
运营商上报数据接入商上报数据DNS 数据
网安事件活跃域名数据活跃IP 数据
3 IP 地址管理系统核心业务介绍
3.1丨P 地址核查比对业务逻辑
图1系统整体架构
系统每日对全省全量1P 数据核查比对,检测丨P 地址信息 不准确、不规范,IP 使用单位信息更新不及时,IP 使用未报备、 多头报备等问题,形成数据IP 核查验证、问题定位、工单下发、
64
2021.04 I
2.2项目整体架构
系统采用分层结构设计,主要包括:数据汇人层、数据 存储处理层、业务处理层、功能展示层,整体架构如图1所示, 各层功能说明如下:
数据汇入层:开发数据传输接口,数据加密传输,接口 连接鉴权,省里的基础电信企业和接入服务企业每日调用接 口,将全量IP 地址报送。汇人的数据还包括可辅助进行IP 地 址核查比对的网络安全事件数据、日志数据等
数据存储处理层:大数据平台根据kafka 消息队列进行
数据解析人库,存储在presto 数据库中,数据处理使用离 线spark 任务,最终的结果表、统计表保存在大数据平台的
presto、tidb 库中:
业务处理层:IP 基础资源核查比对模块对基础电信企业 和接人服务企业上报的IP 数据进行分析,核查比对数据中的 异常情况,实现IP 数据整合、问题IP 数据的发现
功能展示层:系统界面展示IP 地址总体概览、IP 资源综 合管理、数据查询、数据标签管理以及系统管理等功能
业
务处理层
数据存储处理层
展
示
层
互联网
I P地址核查比对逻辑思维导图
数据漏报
根据基础电信企业报送的全省IP地址来源数据,
核查所有IP地址分配使用情况
信息不全
衰变核验IP数据信息字段,必填项数据的完整性,多
源数据校准数据字段的真实性
报备异常
进数据多头报备、报备冲突核验,比如:多
家基础电信企业上报同一个IP;基础电信企业再
分配给接入服务企业的IP,接入服务企业未报
送;自带入网IP地址报备核验;自带入网IP地址
未报备
活跃异常
基于网络安全事件、日志等多源数据,进行IP地
址可用性分析,核验预留地址使用未报备慵况
\\业务异常
与DNS等曰志进行数据核査比对.动态地址接入
未备案网站等业务核验;违规经营电信业务的核
查,例如开放53端口进行DNS解折的核查图2核查比对逻辑思维导阁
处置反馈的闭环管理机制,提高全省IP数据质量:核查比对 的逻辑思维导图如图2所示:
3.2 IP地址数据标签化
S前公有丨P v4已分配殆尽,资源非常紧张,IP v4地址可 以逐个进行精细化管理随着IP v6地址的推广使用,对全量 I P地址进行全覆盖监测也不现实.IP v6在分配使用上按照地 址块进行管理,重点管好现网监测到的实际在用的、活跃的 IP v6地址对I P地址进行両像、数据标签化,按照业务类型 分类,根据IP地址开放的端口、通信协议将IP分为:web应用、DSN解析、邮件服务器、数据库服务、f t p服务等类型I P;按 照行业分类,根据使用单位所属行业进行统计,将IP分为:金融行业、教育行业、医疗行业、电力行业、丁业互联网等类 型IP I P数据标签化后,可以与各行业的大数据进行关联分析, 叠加行业应用:
3.3丨P地址资产探测
系统的IP资产探测引擎可具备发现1P资产以及资产的安 全属性的能力,支持的资产扫描对象包括网络设备、安全设备、服务器、WEB应用、数据库等对象,发现其资产属性、安全 属性等特征和信息_IP资产探测引擎实现对IP资产的扫描以 及端口、服务、操作系统的识别,对各类WEB组件以及后台数据库进行探测与识别:
3.4 IP信息变更历史轨迹记录
系统每日对全量1P地址进行统计分析,数据是结构化存 储的,生成的IP基准库里无法记录1P变更的历史轨迹但是在网络安全事件溯源中,一个IP地址以前被哪些单位使用过 是非常重要的信息,建立IP历史轨迹很有必要:在对1P地址 进行核查比对的过程中,发现1P地址的使用单位等重要信息 变更,可以及时记录到IP历史轨迹数据表中,标记更新的内容,建立1P地址全生命周期的管理
4结束语
建设ip地址管理系统,对i p进行精细化管理.需要持续 跟踪研究电信业务形态、新型技术演进,加强主管部门之间的 信息共享、协同联动,可与公安部门、市场监管部门的相关 接口进行对接,进一步核验ip地址备案数据的真实性、准确性,建设省级最权威i p地址基准数据库
作者简介:韦芹余(1985—),男,江苏南京人.T.程师, 学士;研究方向:网络安全,数据安全,互联网行业管理
(收稿日期:2021-02-20;责任编辑:赵明亮)
2021.04 6
5
