信息安全管理系统建设方案

XXX有限公司信息安全管理系统建设方案天津市国瑞数码安全系统有限公司二○一三年八月目录1工程背景和必要性32系统现状和需求分析43建设方案43.1建设原则43.2系统设计63.2.1系统总体逻辑架构63.2.2IDC信息安全管理系统架构83.2.3系统部署及网络拓扑93.2.3.1总体网络部署93.2.3.2系统管理端部署103.2.3.3执行单元（EU）部署113.2.4工程实施所需资源错误!未定义书签。3.3建设内容123.3.1ICP/IP地址备案管理系统133.3.1.1待办事宜133.3.1.2ICP备案管理133.3.1.3IP备案管理143.3.1.4未备案网站管理153.3.1.5黑名单管理153.3.1.6数据导入导出153.3.1.7用户授权管理163.3.1.8系统管理163.3.2IDC信息安全管理系统163.3.2.1基础数据上报163.3.2.2基础数据监测163.3.2.3访问日志管理173.3.2.4违规网站管理173.3.2.5信息监测发现173.3.2.6综合管控管理183.3.2.7管局指令管理183.3.2.8统计查询管理183.3.2.9用户授权管理193.3.2.10系统管理193.3.3接入资源管理系统193.3.3.1物理资源管理193.3.3.2逻辑资源管理193.3.3.3客户信息管理203.3.3.4资源间的关联203.3.3.5资源信息统计203.3.3.6日志管理203.3.3.7用户授权管理213.3.3.8系统管理213.4与省管局备案系统的集成方案213.5与SMMS系统的对接方案223.6与电信业务市场综合管理系统的对接方案223.7安全可靠性设计223.7.1系统安全概述223.7.1.1系统安全概述223.7.1.2安全设计目标233.7.2系统安全体系架构233.7.3安全防护243.7.3.1物理安全243.7.3.2网络安全253.7.3.3操作系统安全263.7.3.4用户认证与授权263.7.3.5通信安全273.7.3.6数据存储安全273.7.3.7可审计性273.7.3.8设备冗余273.7.3.9灾难备份283.7.4安全管理284预期工期295软硬件清单错误!未定义书签。1工程背景和必要性近年来，国家不断加大对互联网的监管和治理工作。中央针对加强互联网管理工作，先后下发了中办发〔2004〕32号、中办发〔2010〕24号，中发〔2011〕11号、工信部电管﹝2009﹞672号、工信部电管〔2009〕188号、工信部通保〔2011〕280号等，明确职责分工、强化互联网管理要求。2011年，中央在《关于加强和创新社会管理的意见》（中发〔2011〕11号）中明确要求加强网络技术手段和管理力量建设，完善网上有害信息的监测和查处机制，提高发现和处置能力。2012年11月，工信部发布了《关于进一步规范因特网数据中心（IDC）业务和因特网接入服务（ISP）业务市场准入工作的实施方案》（工信部电管函[2012]552号，以下简称《实施方案》）。《实施方案》要求：“申请IDC和ISP业务的企业，应建设独立并具有以下功能的IDC和ISP企业资源和业务管理系统：——建设企业端互联网网站备案管理系统，记录并及时变更所接入网站的主体信息、联系方式和接入信息等，并实现与部、省网站备案管理系统的连接。——建设企业接入资源管理平台，记录接入资源的分配、使用、出租、转让等信息，对接入资源异常使用实行日常发现、分析和处置，并实现与部电信业务市场综合管理系统的连接。——按照《互联网数据中心和互联网接入服务信息安全管理系统技术要求》和《互联网数据中心和互联网接入服务信息安全管理系统接口规范》等标准要求，建设IDC和ISP信息安全技术管理手段，具备基础数据管理、访问日志管理、违法违规网站及违法信息发现处置等技术能力。”xxxx作为申请IDC业务许可的企业，须落实国家关于互联网管理的有关要求，对企业网络信息安全保障依法实施监督管理，尽快建立相关系统，维护互联网网络信息安全。2系统现状和需求分析目前，xxxxxx主要提供互联网云平台服务，尚没有建设《实施方案》中要求的3套业务管理系统。xxxxxx拥有IDC机房有5个，现状如下：石家庄联通信息中心机房：机房出入口总带宽是为1G。温州电信十分局机房：机房出入口总带宽是为1G。北京APNIC兆维机房：机房出入口总带宽是为1G。成都电信西信机房：机房出入口总带宽是为1G。广州电信七星岗机房：机房出入口总带宽是为1G。根据建设需求，本期工程需要建设《实施方案》中要求的3套业务管理系统，并全覆盖技术管控IDC机房的2G带宽。3建设方案3.1建设原则根据国家相关规范和工程建设需求，在本工程建设中，遵循如下建设原则：利旧性本工程建设充分考虑了对现有应用系统的影响，通过模块化设计，内部功能高度集中，外部各模块低关联，保证现有应用系统改动最小，并最大程度的利用已有系统。先进性本工程建设中充分考虑实用和技术发展的趋势，平台服务器采用LINUX操作系统，平台服务器上的软件采用JAVA技术开发，整体开发架构合理先进，即保证了前端管理方便快速的需求，又能够使后台服务更稳定、具有更高的性能。系统建设选择的网络设备、服务器设备、数据库、操作系统以及Web应用服务器都采用目前业界主流的产品和技术。开放性本工程的开放性表现在互操作能力方面，工程建设应支持相关的国家和国际标准，支持多种平台和应用。安全可靠性本工程系统对系统的安全性、可靠性具有很高的要求。系统数据库中的敏感信息，网络中传输的备案信息、网站信息等数据，均需要进行安全保护。系统的设计开发充分利用认证技术、加密技术对数据进行防护，并使用访问控制手段对外部访问进行限制，最大程度上确保系统的安全性。同时，系统必须要建立完善的数据备份、系统备案与恢复机制，保证整个系统可用性和可靠性。标准化系统的运行支持标准的操作系统和服务器硬件环境，系统支持标准的密码算法、认证算法和数据压缩算法，支持标准的XML文件格式定义。本工程整体JAVA语言开发，通信协议采用标准的TCP/IP。可扩展性考虑到系统将来的变化，系统应具有良好的扩展性。第一，在体系结构上应具有可伸缩性，以适应扩大业务范围和增加多种应用的需要，特别是系统硬件和软件应采用模块化的可扩展结构。第二，模块之间和本系统与外部系统之间通过标准接口交互。本工程系统的设计，关键服务如Web服务、数据库服务等，均可实现在线增加服务器，以提供更大的服务能力；系统提供的数据压缩、数据加密和消息认证等算法均可进行扩展，以增加更好的算法支持；系统定义的数据传输格式，使用XML文件，可以方便进行业务增减而无须改变通信程序。兼容性本系统必须兼容现有系统原有的必备功能及业务数据，并制定有效的系统整合策略。易操作性系统必须坚持易操作性原则，简单、易用，高效、快捷，用户不需要了解其中的具体技术细节，通过系统提供的WEB管理界面就能实现其管理功能。可维护性系统应具备良好的可维护性。系统的软、硬件系统都具有良好的模块化结构，保证系统设计的合理性，配置相关的管理手段。合法性选用的产品符合国家的相关法律、法规。3.2系统设计3.2.1系统总体逻辑架构整个系统建设从逻辑功能上来讲，自上而下划分为四个层次：展现层、业务层、数据层、接口层等构成，其逻辑结构如下图所示。图：xxxxx互联网云平台综合监管系统的逻辑结构如上图所示，系统由展现层、服务层、数据层、接口层等构成。展现层展现层是用户进行策略配置、结果查询、数据报备、安全管控、数据统计分析和导出等操作的管理维护界面。系统用户都通过展现层进行业务操作。业务层业务层为展现层提供网站备案管理、接入资源管理、信息安全管理等的业务集合。业务层是连接展现层和数据层的纽带，通过业务层实现策略的下发、报备和发现的基础资源信息入库、综合管控信息入库、同步的数据入库等。数据层数据层主要功能用来保存系统中的相关数据，具体包括：接入商数据机房、服务器、互联网出入口等资源数据ICP数据IP数据基础资源监测数据信息监测数据访问日志数据管控数据用户信息数据用户权限数据管理策略数据系统配置数据接口层接口层主要功能是实现与外部系统的接口。具体包括：与省管局安全监管中心（SMMS）的接口与省管局ICP/IP地址备案管理系统的接口与工信部电信业务市场综合管理系统的接口与平台用户的接口根据系统的不同类型集成的方式可能不同，接口的表现形式也不一样，这里的接口只是逻辑上的接口。例如，与平台用户的接口仅仅是用户与系统的人机界面接口，而不需要有单独的接口。3.2.2IDC信息安全管理系统架构IDC信息安全管理系统（InformationSecurityManagementSystem，简称ISMS）包括控制单元（ControlUnit，简称CU）和执行单元（ExecutionUnit，简称EU）两个部分。CU负责与监管机构建设的安全监管系统（SMMS）进行通信，接收来自SMMS的管理指令，并根据要求向SMMS上报数据，同时CU将管理指令分发给EU执行，并接收EU对指令的执行结果和日志记录，实现对本单位各执行点的EU进行集中管理，完成管理指令的调度、转发和执行及数据的汇总、分析和预警。EU捕获网络数据，识别数据包采用的网络协议，对所监测线路主机的应用服务、网络代理服务、网站域名、用户上网信息等进行发现并及时上报CU，并响应CU的指令，协议阻断违规网站/网页，使网站丧失服务功能。ISMS的控制单元与执行单元之间、以及ISMS与SMMS之间的关系如下图所示：控制单元（CU）执行单元（EU）执行单元（EU）信息安全管理系统（ISMS）...安全监管系统（SMMS）信息安全管理接口(ISMI)请求结果请求结果IDC/ISP经营者电信管理部门图ISMS与SMMS之间的关系3.2.3系统部署及网络拓扑3.2.3.1总体网络部署本工程系统的部署包括两个部分：一是部署系统管理端（包括ICP/IP备案管理、控制单元（CU）和接入资源管理）相关配套设备，二是在IDC机房部署执行单元（EU）配套设备。系统管理端和EU通过内网加密通信。3.2.3.2系统管理端部署图：系统管理端部署网络拓扑图工程系统管理端（包括ICP/IP备案管理、控制单元（CU）和接入资源管理）的配套设备包括：信息填报服务器（可选）、分析处理/接口服务器、管理服务器、数据库服务器、磁盘阵列、交换机、防火墙等。根据保护对象、防护措施、安全策略以及网络应用需求等方面存在的差异，系统部署包括三个安全区：外网DMZ区、内网业务区、内网数据区。为了保证系统的安全和高效的数据传输效率，三个区的服务器均通过VLAN或防火墙进行逻辑隔离。只有外网DMZ区允许来自互联网的数据交互，其他两个区不允许从互联网进行访问，且只允许外网DMZ区内的相关服务来读取数据。不同安全区的用户/服务器用户进行通信都要严格限制访问的类型、端口、IP地址。系统通过互联网与通信管理局侧SMMS系统进行连接，通过内网与EU（IDC管控设备）进行连接。外网DMZ区外网DMZ区的主要功能是向省管局侧系统上报的数据，并提供数据采集和分析处理服务。外网DMZ区包括：信息填报服务器（可选）、分析处理/接口服务器1台。分析处理/接口服务器上主要部署与外部系统通信的接入服务和数据采集/预处理服务。信息填报服务器是可选服务器，主要提供ICP备案数据及基础数据填报服务，满足网站主办者自行报备网站备案信息的需要和IDC/ISP互联网填报基础数据的需要，用户可根据需要选择配备。内网业务区内网业务区的主要功能是系统台提供用户管理、授权管理、应用服务、审计等基础业务的支撑和服务。内网业务区包括：管理服务器1台。管理服务器上主要部署ICP/IP备案管理系统的Web应用服务、接入资源管理系统的Web应用服务和IDC信息安全管理系统的Web应用服务。内网数据区内网数据区的主要功能是汇集系统全部数据和文件，进行分析处理、存储，并提供数据支撑服务。内网