三网融合网络信息安全技术监管平台建设研究

　　本文研究了三网融合网络信息安全技术监管平台建设体系，文中详述了监管平台的建设目标、建设思路及总体构架，为三网融合的网络信息安全技术监管提供理论及技术支持。

　　三网融合对于我国提升信息通信业水平和经济社会发展具有重大意义。电信网、互联网和广播电视网的融合在为相关行业和设备厂商带来发展机会的同时，也带来了新的网络和信息安全问题。

　　本文将对三网融合网络信息安全技术监管平台建设进行研究，详细阐述三网融合网络信息安全技术监管平台的建设思路和总体框架。

　　一、建设目标

　　国务院三网融合工作协调小组办公室在《关于三网融合试点工作有关问题的通知》中明确要求：“试点地区电信主管部门负责制定网络信息安全技术管控平台的属地化建设方案。”

　　加强网络信息安全平台建设的顶层设计成为当前全国和各省三网融合工作顺利开展的前提保障。在三网融合的技术管控手段方面，要考虑三网既有的风险与隐患，同时对融合后可能出现的新隐患进行防范和解决，可以从终端层面、网络层面、应用层面等多角度入手，构建三网融合下网络信息安全监控平台，充分发挥政府主管部门、行业和企业各自的资源和优势，对网络信息安全问题进行全方位的监控。

　　平台的建设目标是通过加强顶层设计、统筹计划、整合资源，实现事先预警、事中可控、事后可溯源，建成全网的监测、预警、跟踪和处置等综合技术能力，能够在三网融合新时期的社会维稳、经济发展、反失窃密、网络反恐、打击犯罪和国家安全等方面起到核心而有力的技术支撑作用。

　　因此必须建设强有力的监控手段，实现涵盖电信网、互联网和广播电视网三大网络的网络和信息内容的可管可控。重点需要实现以下几方面能力：

　　(1)基础资源的掌控能力。实现对IP、域名、网站、各种网络应用、用户信息的管理能力。

　　(2)网络信息安全事件的发现能力。实现对网络攻击事件、信息内容事件等的监测发现和提前预警能力。

　　(3)舆情信息的分析能力。通过平台及时掌握一定规模的省内相关的网络舆论的动态、导向、特点和趋势，可以对维稳相关的特定事件和对象进行跟踪其发生、发展、扩散、演变的轨迹等。

　　(4)特定信息和目标的管控能力。通过平台能够对省内的网站、域名、ip甚至软件应用进行实时管控。

　　(5)信息源的溯源定位能力。通过平台能对指定的信息源目标(一般为IP、时间信息)的发送者或接受者，在限定的时间内及时溯源关联到其用户属性以及地理位置信息，为公安、反恐等部门的处置提供支持。

　　同时，面对三网融合下对音视频、图像等更高的监控要求，还应具备以下几方面的手段和能力：

　　(1)应当具备文本、语音、视频、图片、文档等多媒体文件格式进行分析的能力，分析技术应包含语义分析、模式识别等内容，手段包含关键字比对，图像特征分析、视频流拆帧、语音识别等。

　　(2)应当可以从各种途径获取分析数据来源，包含和通讯设备建立信令接口、传输分光、端口镜像等，包含模数转换的能力，可以处理模拟信号。

　　(3)应当采用集中的方式，以减少投资规模，并支持线性扩容，处理能力随着规模的扩大线性增长，支持集中原则下的分布式处理，可以在多中心的模式下利用云计算实现分布式规模化服务能力。

　　(4)应当具备将信安监控的处理能力转化为社会价值的途径，对外提供定向的搜索服务，为各大企业提供舆情服务，充分利用闲置的平台服务能力。

　　二、建设思路

　　系统建设思路是“建设基础数据环境与提高控管手段并行，加强监管能力与提高对涉网管理部门技术支持服务能力并重”。三网融合下的网络信息安全管控平台应当集中部署，分散部署的投资太大。监控中心应采用云计算和hadoop的设计模式，将监控任务分布式处理，分给多台云计算设备来执行。(见下图1)

　　监控中心的相关必备要求如下：

　　(1)支持和各大运营商之间的数据采集接口(包含分光、信令监控等多种模式)，其中分光应在省网核心层面进行;支持数据输入接口，方便发布阻断指令;

　　(2)支持与三网融合的软交换汇接中心数据采集接口;支持数据输入接口，方便发布阻断指令;

　　(3)监控中心应具备至少2G以上的直连带宽，并随着监控内容的增加逐渐扩容，中心应托管在专业的数据机房，有专人维护，并保证7*24小时的不间断服务;

　　(4)具备各类内容监控能力，随时更新监控的列表;

　　(5)具备各种协议、内容格式转换的能力，支持对各种内容进行生成并记录MD5摘要。

　　三、总体架构

　　基于三网融合下的网络信息安全技术监管平台应当包括云计算资源池、信息采集模块等各个子系统，具体组织架构如下图2：

　　同时，需要满足以下系统要求：

　　(1)基于云计算的服务模式，支持线性扩容，资源随时动态调度。

　　(2)模块设计基于开源的Hadoop开发模式，支持全局动态调度资源和并行处理。

　　(3)具备采集运营商网络、通讯设备上分光数据或信令监控的能力。

　　(4)具备DNS流量采集能力，可直接采集到DNS Cache服务器的通信报文，获取报文中包含的域名信息和域名对应的IP地址信息。

　　(5)分权分域，支持分级按角色权限管理，具备灵活的工作流设计功能。

　　(6)爬虫模块作为信息采集的来源，要求能做到分布式服务、可查询工作状态、监控资源更新状态避免重复下载、具备断点续传能力、具备链接分析能力、可按照参数自动遍历网站;

　　(7)文字内容分析模块具备语义分析能力，可以灵活定义不同关联关系的关键字组。

　　(8)图像分析模块具备色情内容的识别能力，并可以灵活定义图像特征，以便发现相似的图像内容，具备为图像生成MD5的能力，避免充分识别相同的文件。

　　(9)声音分析模块具备关键字(组)声音识别发现能力，并记录命中的时间。

　　(10)视频分析模块具备关键帧拆帧能力，并利用静态图像识别和声音分析模块进行分析和检索;

　　(11)具备公共舆情监控的接口，可以为政府、企业等提供舆情监控服务。

　　(12)提供公共搜索接口，可以建立搜索参数，及时找到相关的信息。

　　(13)对外提供数据下达、上报的服务接口，以便和外接进行数据同步。

　　(14)提供备案流程、身份查询流程等服务。

　　(15)通过接口可以对信息安全违规内容进行阻断。

　　在具体功能模块方面，应当至少包括三网融合后的网络基础资源数据库、点网络单元监控子系统、网络安全监管子系统与信息安全监控子系统。

　　4.2.3.1基础资源管理子系统。三网融合后，广电网、通信网、互联网三网间的边界变模糊了，但针对网络基础资源的管理，应该紧紧围绕网络的基本要素IP和域名进行精确化的管理，对IP和域名相关的使用者信息、注册信息、备案信息、服务情况和存活状态等进行详细的采集和记录。

　　网络基础资源管理需要相应IT系统的支撑，该系统的主要功能应包括：

　　(1)建立统一完整的IP信息库，包括省内IP地址的用户信息和地理位置信息;

　　(2)建立IP地址数据信息的及时更新机制和监测比对手段;

　　(3)建立固定宽带、移动上网的IP溯源系统，并将广电宽带用户和动态IP的用户信息纳入到统一管理中。

　　(4)建立统一完整的省内接入网站数据库，网站信息包括网站备案状态、备案信息、域名信息、存活状态、网络服务状况和访问流量情况等。

　　(5)建立网站主动发现机制，包括对互联网音视频网站的及时发现。对我省接入的互联网站实现全量发现、采集和验证分析，自动与工信部的域名查询系统进行接口，通过接口进行域名备案与否的查询，一旦发现是未备案域名要及时进行告警。

　　(6)建立对网站备案信息真实性的核验机制，即通过与公安身份证信息比对、工商营业执照信息比对、质监组织机构代码证比对，电话拨测和IP反查，对网站主办者身份信息、联系方式、接入商信息实现自动、半自动的核实，以确定网站备案信息的真实性，确保网站备案信息的准确性。

　　4.2.3.2 重点网络单元监控子系统。基于三网融合的重点网络单元监控子系统采用分布式的数据采集方案，通过多层面采集任务的协同处理，通过数据与业务的分散化，实现全面、及时的报文信息获取。重点网络单元监控子系统结构如下图3所示：

　　重点网络单元监控子系统将利用已有数据源如互联网国际出口、短信息、搜索引擎等和新建数据源如互联网省级出口、重要IDC机房、重要信息系统、互联网网站、论坛、博客、社交网站、微博客等。各个通道的数据获取功能如下：

　　1.互联网国际出口数据获取

　　系统具备基于互联网国际出口监测数据的聚类、多业务应用数据监测、用户IP地址访问统计、热点与敏感事件监测等能力，提供灵活可操作可定制的开放接口功能。

　　2.互联网省级出口数据获取

　　系统具备基于互联网省级、城域网出口监测数据的聚类、多业务应用数据监测、用户IP地址访问统计、热点与敏感事件监测等能力。

　　3.移动网应用协议分析

　　通过对移动网的Gn口(电信为PDSN口)的流量进行镜像分光，对移动网上的各类应用进行协议分析，以及用户访问情况审计。

　　、重要信息系统关口监控

　　通过在IDC机房、重要信息系统出入口部署流控和审计设备，实现对IDC机房、重要信息系统内运行数据的全方位监测和管控能力。提供包括基础信息统计、用户访问情况审计、网络信息安全信息监测等目标。

　　解析数据获取

　　通过对省内DNS解析服务器进行镜像分光，以获取用户访问解析记录，实现全量域名发现、被动域名监测等功能。

　　4.2.3.3 网络安全监控子系统。能够对融合后的网络开展网络安全事件监测，发现重要的信息安全事件，及时预警，通报相关责任单位和部门;对遭受攻击的单位网络能够进行追踪溯源。调整优化相关企业和单位网络结构，将网络安全监测平台向地市延伸，进一步加强监测发现及预警等系统能力。

　　网络安全监控子系统由安全事件监测与安全信息获取模块、网络安全数据融合与关联分析模块、网络安全综合资源库、应急控制与主动防御模块、域名安全监管模块等构成，其中：

　　1.安全事件监测与安全信息获取模块的主要功能是全面发现和获取网络安全事件和网络安全威胁信息，主要由8个子系统组成，包括：基于报文特征的安全监测、基于流特征的安全监测、面向域名体系的安全监测、面向路由体系的安全监测、恶意代码综合捕获分析、面向WEB应用的安全监测、高危网络安全漏洞检测、外部安全事件数据接收子系统等。

　　2.网络安全数据融合与关联分析模块的主要功能是各个监控系统的数据进行整合分析，结合获取IP地址分配使用情况和域名解析使用情况信息，实现对多源、异构的网络安全监测数据的融合统一，并在数据融合的基础上实现对网络安全数据的全面高效的分析。除高性能多元数据融合、海量数据关联分析功能外，该系统还包括用来获取IP分配使用信息和域名解析使用信息的两个子系统——IP溯源定位系统、域名解析跟踪记录系统，而与域名相关的域名解析跟踪记录功能则列入域名安全监管子系统中实现。

　　3.应急控制与主动防御模块的主要功能是根据国家整体网络安全应急防护要求和在特定时期、针对为特定部门和系统提供专项防护和主动防御支撑的要求，提供对攻击源的切断、受控系统的接管、域名基础设施的备份系统启用等应急功能。主要包括域名控管与应急控制子系统、域名体系的备份系统、基于路由体系的应急控制系统、网络安全主动防御子系统等部分。

　　4.网络安全综合资源库的主要功能是保存漏洞信息、恶意的代码样本及分析报告、各种监测策略、应急控制策略、恶意服务器信息、受攻击主机和服务器等信息，并为整个平台的监测、应急控制和业务协同提供安全知识信息。

　　上述系统通过各种数据接口规范，从互联网国际出入口、省网络出入口、部分重要地市网络和部分重要IDC，以及党政军和重要信息系统网络获取原始监测数据，并将形成的网络安全知识信息和安全控制策略反馈给各个网络系统，从而构成一个闭合的监测和控制系统。

　　4.2.3.4 信息安全监控子系统

　　三网融合下的信息安全监控子系统主要包括基于三网融合的网络音视频监管、网站内容监管、网络舆情监测等组成部分。(见下图4)

　　系统主要功能包括：

　　(1)网站内容监管系统，根据内容对网站进行精细化分类，并对网站进出流量、内容提供监测甚至管控能力。

　　(2)网络音视频监管系统，在互联网国际出入口和省际出入口上对音视频流的封堵、监测、侦控功能。

　　(3)网络舆情监测系统，对互联网上敏感信息、热点话题进行监测发现。

　　作者：许源 赵云 来源：科学大众·教师版 2016年2期