IDC/ISP信息安全管理系统串行与并行网络接入技术对比研究

IDC/ISP信息安全管理系统串行与并行网络接入技术对比研究

张英义

（中国移动通信集团黑龙江有限公司信息安全部 黑龙江省 哈尔滨市150000）

摘要：IDC/ISP信息安全管理系统基于DPI技术实现互联网内容管控，对互联网不良信息进行监测和处置。其在网络中的部署方式有并行接入和串行接入两种，本文对两种接入方式进行详细介绍，并进行对比分析。

关键词：信息安全管理，IDC，ISP，DPI，信安系统，ISMS

为加强互联网信息安全管理，保障互联网数据中心(IDC)及互联网接入(ISP)市场的有序运行，工业和信息化部于2013年2月下发了《关于认真做好2013年基础电信企业IDC/ISP信息安全技术管理系统建设的通知》（工信保函[2013] 71号），要求IDC/ISP业务经营者进行信息安全管理系统（ISMS，下同）的建设，加强对IDC及互联网专线等互联网接入业务的监管，以防止各类不良信息的传播，保障健康的上网环境。

IDC/ISP业务经营者一般基于汇聚分流、DPI（Deep Packet Inspection）技术来实现系统建设，在具体实现上有网络链路并行接入（旁路）和串行接入两种方式，本文将对两种接入方式进行详细介绍，并进行比较研究。

1 ISMS实现方式

ISMS可实现对运营商和接入商的互联网数据中心的基础数据管理、信息监测、信息过滤、异常IP管控、黑名单监控、接入网站和域名监管、接入资源统计分析等功能，从而实现对各地互联网数据中心的统一监督管理。系统对网络谣言、有害信息、违法信息、虚假信息核实等进行全面及时的监测和管控，实现资源统一、信息监测、违规控管、业务运行的一体化管理。

2 串行接入方式

将DPI设备部署在IDC机房的网络出口链路中。为避免在串接方式下因DPI设备单点故障导致机房网络瘫痪，需要在IDC出口链路上串接光保护器，用来保障网络的可用性和安全性。同时，为使流量均衡的分配到每台EU设备及解决网络流量同源同宿问题，需要在EU之前部署汇聚分流设备。

串接方案采用了光保护器串接模式，网络流量流经具有分路迂回（Bypass）功能的光保护器后进入DPI设备，然后流经汇聚分流设备，EU处理服务器，最后回到IDC出口。在ISMS系统或设备出现故障时，光保护器能够快速将网络流量恢复至原网络路径，避免出现网络中断。

串接方式实现技术原理简单，对网络流量控制精准度高。所有网络流量都要经ISMS系统处理后才能进行后续转发。系统直接对数据流进行控制，能够实现灵活管控，比并接方式管控效果更好。

采用串接方案，使ISMS成为了网络链路上的唯一通道，是潜在单点故障节点，系统或设备一旦出现问题，将直接导致网络中断。另外，串接方案需要在完成流量分析及相关管控的同时对流量进行迅速转发，会增加网络时延，影响网络服务质量。对相关设备的性能和运行稳定性要求较高。

串接方式网络结构如图1 所示。

图1 串接方式网络结构

3并行接入方式

通过分光器或采用交换机镜像的方式将数据流量复制一份到DPI设备，原数据报文传输路径不变。DPI、汇聚分流、EU处理服务器等设备对镜像流量进行分析处理。

并接方式需要在IDC机房出口链路上加装分光器，分光器将网络流量进行复制后，一条保持不变，另一条接入DPI设备，然后进入ISMS系统进行后续处理。

并接方式的可扩展性强，对原有网络影响小，通过分光实现旁路监测，不增加故障点。但其缺点也很明显：因其旁路部署，不能对原数据流量进行控制，导致控制能力下降，控制精准度较差，通常只能对TCP流量进行控制，对UDP流量无法控制。

并接方式的网络结构如图2。

图2并接方式网络结构

4 串接与并接方式的对比

串接与并接方式对比如表1:

表1 DPI串接与并接方式对比

3 总结

IDC/ISP信息安全管理系统建设中综合应用了多种网络技术，DPI技术是其中关键的一项。基于成本、网络架构、现有技术条件等多种因素影响着信安系统网络接入方式的选择。就现有技术而言串接方式和并接方式都能够实现对网络流量的阻断和限流。但是单从过滤效率考虑串接方式更高，稳定性更好。

参考文献：

[1] 宋利,任敏.IDC/ISP系统在电信行业的建设浅谈[J].网络安全技术与应用.2017.2(2):124-125.

[2] 刘莉丹，基于DPI的IDC/ISP信息安全管理系统设计与实现[D].吉林大学.2017

[3] YD/T2248-2015.互联网数据中心和互联网接入服务信息安全管理系统技术要求[S],2015.

1