隨著我國國民經濟和社會信息化的快速發展,兩化融合工作的推進��,信息網絡已成為國家關鍵基礎設施之一��,其全局性和戰略性地位日益突出�����。
但是隨著地下黑客組織呈現經濟化�����、產業化發展趨勢�,以及網絡IP化����、全業務運營時代的到來�����,電信運營商的安全形勢異常嚴峻����。
尤其是電信運營商全業務經營的深入�,客戶信息安全意識的提高��,網絡的IP化終端智能化及業務的多樣化�����,物聯網的部署����,三網融合的啟動都對網絡與信息安全工作提出了更高的支撐需求。
總體而言�,信息網絡面臨的威脅主要有兩個大的方面:第一方面是來自黑客與競爭對手的DDoS攻擊�����。當一個機房遭受到數G的DDoS攻擊時,該機房幾乎處于癱瘓狀態�,
機房所有業務將停滯;第二方面是來自機房本身的大量非法信息威脅�����。機房服務器開設服務且無法有效的監控�����,導致大量的非法信息從機房流出。
缺少有效的監管措施是令電信運營商最頭疼的問題之一��。圖1以運營商IDC機房為例�,面臨的需要就達到六個方面。
傲盾非法信息監控解決方案中包含設備主要有:高性能分光器�����、ICP/IP地址信息備案管理系統��、異常流量檢測系統 ADP�����、異常流量清洗系統 ADC�、非法信息監控系統 ADM-A����、
AD統一管理平臺 ADMC�、圖片智能識別系統 ADM-I����、非法信息關鍵字處理系統 ADM-K、非法信息圖像處理系統 ADM-P��、非法信息域名處理系統 ADM-D。
方案中紅色線為帶有異常流量數據����、綠色線為清洗完畢“干凈”流量數據線�����。網絡數據經過傲盾檢測設備群集分析檢索出異常流量(包括DDoS攻擊�����、非法域名、非法低俗關鍵字�、非法色情圖片等)�����,
通過BGP策略路由告知相鄰AS改變帶有異常流量IP的路由�����,將異常流量牽引入傲盾異常流量清洗域�����,清洗設備通過讀取檢測設備分析出的異常信息��,自動針對該信息生成清洗規則���,
自動對該IP的異常流量攔截。只攔截該IP非法異常信息����,其正常數據將回注回主干網絡���,一次清洗流程完畢�。
該解決方案針對復雜數據采用組合策略清洗��,可同時封閉同一IP多條非法信息�。核心層連接匯聚層��,中間部署分光器����。分光器連接下層網絡和傲盾非法信息監控系統與傲盾異常流量檢測系統。
傲盾所有設備均連接同步交換機實現數據集中抓取���,數據內部共享,數據分布處理�,設備統一管理��。傲盾異常流量清洗系統同時雙線連接核心層�����,實現物理流量清洗通道���。
核心層:
設備配置BGP路由協議�����,實現IP動態牽引��,保障清洗設備正常牽引到異常流量IP。
分光器:
物理鏡像數據�,不影響數據吞吐量,不增加數據延時,對網絡架構透明�����。
ICP/IP地址信息備案管理系統:
ICP/IP設備經由工信部通信計量局統一測試通過。獲取檢測成功證書�。無需接入主網絡,不干擾網絡通信���,通過接口連接通管局備案中心,
獲取通管局黑名單域名����,ICP/IP備案管理系統自動下發黑名單域名到異常流量清洗系統。配合非法信息監控的網站黑名單�,可降低IDC機房服務器中的非法網站運營數量。
傲盾非法信息監控系統:
旁路接入網絡�����,不干擾網絡通信,該設備采用linux核心編碼���,負責數據抓取和核心處理��,應用數據報文重組����,可設置最大10萬個過濾關鍵詞����,支持處理負載平衡和橫向擴展�。
負責監控網絡整體信息,提供非法關鍵字監控模塊�、提供多媒體信息監控模塊、提供IP信息監控模塊�、提供域名黑名單模塊����、聯動模塊��。根據分析網站總體信息��,從而判斷該網站是否處于非法狀態��,
且及時將非法網站通告傲盾異常流量清洗系統�,可實現自動封閉非法網站����。
傲盾異常流量清洗系統:
旁路接入網絡,擁有先進的數據流指紋過濾技術���,可根據字節過濾信息,高效地攔截一切非法域名等非法信息����。
AD統一管理平臺:
旁路部署模式�����,配置公網接入公共網絡�����,所有公網傳輸數據均采用服務器加密客戶端解碼模式傳輸����,支持RBAC模型子集的權限管理,支持傲盾統一身份認證��,多用戶��、多權限劃分���。
在網絡中只有此設備暴露于廣域網,其他設備均通過內外IP連接�����,給監控數據提供了強大的安全保障����。除此之外系統中還集成了系統調度���、短信收發、電子郵件收發�����、系統日志���、消息向量中心等功能�。
圖片智能識別系統:
旁路接入網絡,且配置公網IP����,該系統不被外界訪問,只訪問外界����,且內置策略隱藏于網絡中。系統自動訂閱“非法信息圖像處理系統”數據庫中存儲抓取到的所有圖片URl路徑���。
通過網絡自動下載該圖片,異步對圖片進行分析�����,包括姿態����、膚色、人臉等敏感部位識別分析�����,完畢分析自動分類寫入“非法信息圖像處理系統”數據庫中。
非法信息關鍵字處理系統:
旁路接入網絡����,關鍵詞智能分析抓取到的敏感關鍵字���,采用模板比對模式�,比對關鍵字前后內容���,支持模糊識別,分析該關鍵字是否處于非法狀態�。保障不出現非法關鍵詞語句�����。
非法信息域名處理系統:
系統旁路接入網絡�����,系統記錄機房所有域名,且主動爬出該域名帶有的子域名信息�。系統記錄域名點擊次數�����,記錄域名備案信息,且存入數據庫生成報表�。
非法信息圖像處理系統:
系統旁路接入網絡,系統記錄所有域名圖像信息����,其中包括圖片信息、視頻信息等���。系統提供接口供“圖片智能識別系統”到該系統訂閱圖片URL路徑。該系統允許“圖片智能識別系統”將分析結果存儲其中數據庫����,
并自動分類圖片信息,其中包括已分析圖片�、未分析圖片。已分析圖片又包括審核通過圖片�����、審核模糊圖片��、審核未通過圖片���。
解決方案核心優勢
1�����、方案全旁路監聽部署��,不占用主干網絡帶寬��,不影響主干網絡通信。
2�����、方案自動封閉通管局備案中心通告的黑名單域名����。
3����、方案可以自動分析網絡中所有關鍵字���,且自動分析關鍵字是否處于非法語句中���,并可以自動封閉該頁面�。
4、方案可以自動分析圖片信息�����,無需人為審核�。系統自動分析圖片是否為色情或敏感圖片�����?��?梢愿鶕蛻粜枨笳{節分析敏感度,且支持自動封閉色情圖片����。
5�、方案可記錄正常域名是否觸犯涉及非法信息�����。且記錄非法信息具體路徑,保障網絡的“干凈”����。
6、方案支持DDoS大流量攻擊旁路清洗��,可以檢測出網絡中是否帶有潛在的網絡攻擊���,且自動牽引清洗攻擊流量����。
返回首頁>>
