系统概述
龙翊信息安全管理系统是 IDC/云计算/CDN 经营者建设的具有基础数据管理、访问日志 管理、信息安全管理等功能的安全管理系统,以满足经营者和电信管理部门的信息安全管理 需求。每个经营者建设一个统一的 ISMS,并与电信管理部门建设的安全监管系统(SMMS)通 过信息安全管理接口(ISMI)进行通信,实现电信管理部门的监管需求。
龙翊信息安全管理系统遵循工信部相关标准规范,实现 ISMS 企业侧功能。系统主要包 括:CU(控制平台)、EU(执行系统)和 DU(日志系统)3 个子系统。CU 与工信部/省管 局 SMMS 系统对接实现基础数据的上报,系统接收信息安全指令后下发 EU 执行,并将 EU 执 行的结果的上报到 SMMS;EU 实现异常 IP 监测、违法违规网站监测、违法信息的监测发现和 过滤封堵处置(TCP/UDP)、访问日志的合成与上报等功能
系统架构 龙翊信息安全管理系统,整个系统由控制平台(CU)、执行系统(EU)、日志系统(DU)、 流量采集辅助系统组成。CU 控制平台对接工信部/省管局侧的安全监管系统(SMMS),系统 接收的 SMMS 管理指令后下发到下挂的 EU 执行系统,并根据要求向 SMMS 系统上报数据;EU 执行系统实现异常 IP 监测、违法违规网站监测、违法信息的监测发现和过滤封堵处置等功 能,DU 系统实现访问日志的存储,并提供查询接口。 系统架构如下图所示:
组网应用 1、并联组网 龙翊信息安全管理系统并联组网,是在 IDC 机房出口路由器设备的出口链路上加分光 器,经分光器复制之后的一条链路仍连接原有上联的网络设备,另外一条链路接入执行单元 的汇聚分流设备。汇聚分流设备具有一定的过滤功能,将过滤之后的数据传给分析监控服务 器,另外也通过一条链路与 IDC 核心网络设备连接,通过发送数据包中断或干扰用户正常业 务连接达到对用户流量的控制。根据现网业务流量汇聚的不同情况,分光器部署可以在汇聚交换机与机房出口汇聚路由器之间,或者是机房出口汇聚路由器与园区出口路由器之间,以 确保对全量业务流量进行分光。信息安全管理系统并接方式的网络结构如下图所示:
系统优势
高性能: 系统采用高性能DMA流量采集内核,运用超并行计算流量分析算法,大大提升系统性能;
易扩展: 系统采用分布式架构、模块化设计,具备良好的扩展性,支持动态扩容和功能扩展;
易部署: 支持并联与串连两种方案。系统部署,无需改变原有网络拓扑,不影响机房正常业务。
安全性: 系统充分考虑到安全性,操作系统、数据库、应用层都进行的安全加固,符合国家《信 息系统安全等级保护基本要求》GB/T 22239-2008要求的3.1级要求。 易管理: 系统支持多级权限管理,保证系统运维操作安全,防止敏感数据泄露。系统支持全面运 行和操作日志:登录日志、安全日志、配置日志、运行日志、错误日志等
