随着网民、域名、网站、IDC服务机构数量以及网络带宽流量的不断增长,国内互联网上的信息传播流量和速度都达到了空前的程度,随之而来的各类违法有害信息也趁虚而入,网络信息安全成为各运营商必须面对的问题。
Web2.0、P2P、网络视频应用的不断兴起,论坛、聊天室、博客、即时通信、个人主页等交互类网络服务迅速膨胀,使得各类违法有害信息的传播方式也更加手段多样并且快速和隐蔽。一半的网民使用互联网作为信息获取的主要渠道,一旦出现违法有害信息,其危害及影响面会很大。
近年来政府针对互联网上违法有害信息传播也进行了多次“专项整顿”和“专项打击”行动,采取“抓信息源”(即网站经营单位)的做法,阶段性地抑制了违法有害信息的产生和传播。但由于缺乏有效技术手段和设备保障,每次专项行动中各级执法、执行机构的人员投入和工作量巨大,而且困难重重并难以形成长效机制,专项整治之后各类违规业务和违法有害信息又会出现“春风吹又生”的景象。
为提高网络管理水平和服务质量,有效防止信息安全事件的发生,迫切需要一个高性能、大容量、安全稳定的信息安全监控系统,在出现非法有害及敏感信息时能够及时进行告警并采取一定的措施,以保证移动互联网网络及下联客户、增值平台等的安全运行,杜绝网上非法信息的泛滥。
建设目标
针对移动互联网的内容监测系统建设要达到以下目标。
●实时监控不良信息的发布,及时追踪有害信息来源。
●监控移动互联网业务发展状况,对业务类型和访问流量进行分析统计,为企业互联网数据业务运营提供数据支持。
●建设中心监管平台,实现对全省互联网网站发布信息的全面监控与管理,及时发现不良信息、敏感信息,规范互联网行为,促进互联网信息化的良性发展。
建设原则
“互联网信息安全监控管理系统”的设计遵循以下原则。
●实用性:系统应部署简单,不影响互联网网络现状,网络拓扑不发生改变,不增加网络故障点。
●灵活性:“互联网信息安全监控管理系统”应采用模块化结构,具有良好的扩展能力,并能够根据将来信息安全形势发展需要,灵活扩展监控内容及网络覆盖范围。
●安全性:“互联网信息安全监控管理系统”必须从网络、主机、数据库和应用软件等方面保证系统运行和审计数据的安全。
可靠性:系统应有防护性能,防止网络病毒及攻击;应用软件应有容错能力,软件故障不应引起各类严重的系统再启动;整个系统需要按照电信级系统进行设计、开发及施工,充分保证7×24小时不间断运行,并且提供足够的冗余。
经济性:系统应具有较高的性能价格比,要根据实际网络规模进行紧凑配置,使资金的产出投入比达到最大值。
系统部署方案设计
互联网信息安全监控管理系统采取通行的IP协议分析技术,它是一种对互联网网络层和应用层各类协议进行分析处理的技术。系统通过采集获取移动数据网出口电路的网络流量数据,利用报文重组、协议规则分析等技术方法实现信息安全监控管理功能。结合互联网网络结构,有以下两种部署方案(如表所示)。
方案一:要实现最佳的监控性能,就需要最大范围的采集网络流量数据。设计选择移动互联网核心层上行出口电路分光或数据镜像方式采集网络流量数据。
方案二:接入层/汇聚层数据采集方案。在移动互联网接入层/汇聚层数据采集。
先从根源入手,对互联网的基本结构进行分析(如图1所示)。
●从不良内容密集度来看,大量的不良信息来源于外网,同时还有一些IDC接入的托管
●用户和专线用户也是不良信息的重要来源。
●从内容监管责任度来看,运营商对于IDC托管用户和专线接入用户承担很重的监管责任,而外网的不良信息则由于存在着接入和管理在外等因素影响而内容监管审核压力较小。
由于互联网的开放性特点,利用人工浏览和搜索技术对接入内容进行审核将会消耗大量的人力物力,形成一个甩不掉的沉重包袱;而自动的安全检测系统,则受制网络结构的复杂和数据流量的庞大,无法在宽带接入、城域网、骨干网等层面实现全部内容的监测过滤,部署覆盖全部网络接入层面的监控在技术和资金投入上都是不现实的。
因此,重点考虑图1中的1、2两个节点,即网络出口和IDC机房的监控。节点1即是方案一数据采集点部署位置,在移动互联网核心层,为本网到外网的网络接口。节点2即是方案二数据采集点部署的位置,在移动互联网汇聚层,主要针对IDC出口,集中了本网数据。
根据网络情况,首先在核心层网络出口部署相关的监控节点并且建设互联网内容安全管理的中心节点。上述节点的建设可以监测所有本网用户(专线用户、个人宽带用户)访问他网,如使用Web服务、即时通信工具、FTP服务等的信息内容;并可以监测所有外网用户访问的本网数据,可以实现对IDC主要内容的监测。同时可以考虑在汇聚层IDC部署对应的监控节点,以实现对IDC内容安全的全面管理。
