0717中国移动idcisp信息安全管理系统接口规范v05docx.docx

1、0717中国移动idcisp信息安全管理系统接口规范v05docx中国移动通信企业标准QB-中国移动IDC/ISP信息安全管理系统接口规范 Interface Standard of Information Security Management System for Internet Data Center/Internet Service Provider-实施-发布版本号：0.1.0中国移动通信集团公司 发布目录前 言本标准规定了中国移动IDC/ISP信息安全管理系统的接口规范，用于指导中国移动IDC/ISP信息安全管理系统建设。本标准包含了IDC/ISP信息安全管理系统接口协议、数据格

2、式要求。本标准是中国移动IDC/ISP信息安全管理系统的系列标准之一，该系列标准的结构、名称或预计的名称如下：标准编号标准名称1中国移动IDC/ISP信息安全管理系统总体技术要求2中国移动IDC/ISP信息安全管理系统接口规范3中国移动IDC/ISP信息安全管理系统控制平台设备规范4中国移动IDC/ISP信息安全管理系统省端执行系统设备规范本标准需与中国移动IDC/ISP信息安全管理系统总体技术要求中国移动IDC/ISP信息安全管理系统控制平台设备规范中国移动IDC/ISP信息安全管理系统省端执行系统设备规范配套使用。本标准由中移号文件印发。本标准由中国移动通信集团公司计划部提出，集团公司技术

3、部归口。本标准起草单位：中国移动通信研究院。本标准主要起草人：范围本标准主要包括中国移动IDC/ISP信息安全管理系统的系统架构、接口流程、接口方法、接口协议、接口数据格式等要求。用于为中国移动IDC/ISP信息安全管理系统的开展、招标选型、工程建设及运行维护提供技术依据。原则上在中国移动通信集团公司内部和厂商共同使用，适用于移动、铁通IDC接入等网络环境。规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文

4、件，其最新版本适用于本标准。表2-1 规范性引用文件列表序号标准编号标准名称发布单位1YD/T 2045-2012互联网数据中心和互联网接入服务信息安全管理系统技术要求工业和信息化部2YD/T 2045-2012互联网数据中心和互联网接入服务信息安全管理系统接口规范工业和信息化部3YD/T 2045-2012互联网数据中心和互联网接入服务信息安全管理系统及接口测试方法工业和信息化部4QB-W-002-2005中国移动支撑系统集中账号管理、认证、授权与审计（4A）技术要求 中国移动通信集团公司5中国移动网站备案管理系统设备规范中国移动通信集团公司6中国移动IDC运营管理平台总体技术要求中国移动通

5、信集团公司7中国移动不良信息监控系统总体技术要求中国移动通信集团公司8中国移动IDC流量流向分析控制系统总体技术要求中国移动通信集团公司9中国移动统一DPI设备规范中国移动通信集团公司10中国移动上网日志留存系统总体技术要求中国移动通信集团公司11中国移动上网日志留存系统三期规范-数据合成服务器设备规范中国移动通信集团公司12中国移动上网日志留存系统三期规范-网络日志服务器设备规范中国移动通信集团公司13中国移动不良信息监控系统中央子系统设备规范中国移动通信集团公司14中国移动不良信息监控系统大区子系统设备规范中国移动通信集团公司术语、定义和缩略语本标准中术语、定义如表3-1所示。术语/定义术

6、语/定义解释用户与IDC/ISP签订合同的用户，包括在IDC托管主机、租赁主机、租用虚拟空间、专线接入的用户或从ISP获得互联网接入服务的用户访问用户访问通过IDC/ISP接入互联网的应用服务的外部用户。源IP、源端口访问用户所使用的终端或服务器等硬件设备的IP地址和端口目的IP、目的端口向访问用户提供服务的IDC/ISP应用服务所在服务器使用的IP地址和端口基础数据包括IDC/ISP经营者信息、机房数据及IDC/ISP用户数据。访问日志对IDC/ISP的上行流量数据进行监测，并记录和统计访问信息，形成访问日志。违法信息规则库基于IP地址、域名、URL地址、关键词等条件的监测、过滤规则库，用于

7、监测、过滤违法信息异常IP未报备IP地址接入、实际使用情况与报备不符的IP违法违规网站未备案登记的网站违法信息含有违法信息规则库内容的流量数据分光为防止IDCISP信息安全管理系统影响主链路通信而采取的措施。IDCISP信息安全管理系统前端的分光采集功能由分光器实现，通过在主链路上接入分光器，将少部分物理信号分离出来进行审核，其余大部分物理信号仍继续进行主链路的通信。中标经内容识别后自动判定为违法内容网内中国移动网内的IP地址段网外中国移动网外的IP地址段查全率指IDCISP信息安全管理系统提供的内容过滤功能正确判断符合过滤条件的内容的概率。要求应至少大于90。误判率指IDCISP信息安全管理

8、系统提供的内容过滤功能将合法内容判定为符合过滤条件的内容，并加以过滤的概率。要求小于10。漏判率指IDCISP信息安全管理系统提供的内容过滤功能将本应过滤的内容判定为合法内容，并予以放行的概率。要求不大于10。网站查准率指在所有中标域名（数量为F）中，达到“可封堵域名界定标准”的域名（数量为B）所占的概率B/F。域名封堵基于网站的域名（或URL）执行封堵，通过该网站域名不能进行访问。IP封堵基于网站的IP进行封堵，该IP上所承载的网站均不能访问。模糊封堵以域名从后向前匹配的方式对域名进行封堵，所封堵的域名包含其本身及其所有下级域名本标准中术语、定义如表3-2所示。表3-2 缩略语缩略语英文全称

9、中文含义BOSSBusiness Operation Support System运营支撑系统NTPNetwork Time Protocol网络时钟协议IDCInternetDataCenter互联网数据中心ISPInternetService Provider互联网接入服务SPService Provider服务提供商IPInternet Protocol互联网协议ISMIInformation Security Management Interface信息安全管理接口ISMSInformation Security Management System信息安全管理系统SMMSSecurit

10、y Monitor Management System安全监管系统URLUniform Resource Locator统一资源定位符MTBFMeanTimeBetweenFailure平均无故障时间HTTPHyperText Transfer Protocol超文本传输协议FTPFileTransferProtocol文件传输协议SMTPSimpleMailTransferProtocol简单邮件传输协议DPIDeep Packet Inspection深度包检测业务概述中国移动IDC/ISP信息安全管理系统（ISMS）的功能是对IDC/ISP进行基础数据管理、访问日志管理和信息安全管理。I

11、SMS的主要功能包括：上报IDC/ISP经营单位信息、机房数据、IDC/ISP用户数据等基础数据，并供SMMS查询；监测机房异常使用IP；监测IDC/ISP上行流量数据，记录和统计访问信息，形成访问日志，并供SMMS查询；发现、处置并上报违法违规网站；基于IP、域名、URL、关键词等条件监测IDC/ISP双向流量；提供基于IP、域名、URL、关键词等条件的过滤操作；上报监测日志、过滤日志信息等。系统架构中国移动ISMS由控制平台与IDC运营管理平台、网站备案管理系统、省端执行系统、上网日志留存系统对接组成。控制平台接收通信管理局侧的安全监管系统（SMMS）的管理指令，根据要求向安全监管系统上报

12、数据，控制平台与IDC运营管理平台对接实现基础数据同步；省端执行系统实现异常IP监测、违法违规网站监测、违法信息的监测发现和过滤封堵处置，上报监测和过滤日志。中国移动IDC/ISP信息安全管理系统功能架构图如图5-1所示，网络拓扑图如图5-2-1，图5-2-2所示，逻辑架构图如图5-3-1，图5-3-2所示。控制平台：负责与安全监管系统、IDC运营管理平台、省端执行系统进行对接；接收IDC运营管理平台同步的基础数据；提供基础数据录入、添加功能；接收、保存省端执行系统上报的监测日志、过滤日志等；转发SMMS下发的违法信息监测、过滤指令、访问日志查询指令、违法信息规则库、信息安全管理指令查询指令、

13、代码表发布指令；负责上报IDC/ISP基础数据、访问日志、监测日志、过滤日志、查询指令结果至SMMS；接收上网日志留存系统上报的IP、URL等信息并进行除重；支持将除重后的IP、URL等信息与基础数据进行比对，实现异常IP监测和违法违规网站发现；提供系统管理功能；控制平台可以通过不良信息监控系统中央平台改造实现或是由省公司自建控平台。安全监管系统：负责提供基于IP地址、端口、域名、URL、关键词等条件的违法信息规则库；下发访问日志查询、监测、过滤指令；下发信息安全管理指令查询指令；下发代码表发布指令；接收控制平台上报监测日志、过滤日志、告警信息及查询指令结果、指令执行情况；IDC运营管理平台：

14、提供基础数据信息至网站备案管理系统；网站备案管理系统：转发SMMS下发的代码表发布指令；接收IDC运营管理平台提供的基础数据信息；实现对IDC机房及用户的基础信息管理，包括对IDC经营单位、IDC机房数据及IDC用户数据等信息的数据导入、添加、删除/修改和上报等功能；提供基础数据补录接口；上报IDC/ISP基础数据信息至控制平台；省端执行系统：负责保存控制平台下发的基于IP、端口、域名、URL、关键词等条件的违法信息规则库；统一DPI设备负责对现网流量进行采集，对流量数据进行分析、识别、还原；对发现的违法信息进行记录并形成监测日志；上报监测日志至控制平台；对发现的违法信息依据过滤指令进行过滤封

15、堵处置；输出并上报过滤日志至控制平台；统一DPI将流量日志发送至日志合成服务器，日志合成服务器生成原始XDR话单并发送至网络日志服务器进行存储；上网日志留存系统：接收日志合成服务器提供的访问日志原始XDR话单，提供访问日志数据存储，提供访问日志查询接口。图5-1 中国移动IDC/ISP信息安全管理系统功能架构图图5-2-1 IDC/ISP信息安全管理系统网络拓扑图（控制平台改造不良信息监控系统中央平台实现）图5-2-2 IDC/ISP信息安全管理系统网络拓扑图（控制平台由省公司自建实现）图5-3-1 IDC/ISP信息安全管理系统逻辑架构图（控制平台改造不良信息监控系统中央平台实现）图5-3-

16、2 IDC/ISP信息安全管理系统逻辑架构图（控制平台由省公司自建实现）接口流程通信方式ISMS通信接口包括命令通道和数据通道。括号内内容为控制平台通过不良信息监控系统中央平台改造的实现方法。命令通道采用Webservice方式，SMMS通过调用ISMI接口方法将管理指令等下发给ISMS，ISMI命令通道管理指令处理流程、查询流程、接口方法参见互联网数据中心和互联网接入服务信息安全管理系统接口规范。ISMS系统内控制平台通过调用省端执行系统和上网日志留存系统（或控制平台调用省端执行系统、日志查询平台，日志查询平台调用网络日志服务器）接口方法将监测指令、过滤指令、查询指令、信息安全管理指令查询指

17、令、代码表发布指令等下发给省端执行系统，指令处理流程见6.2，查询流程见6.3，接口方法见7.1、7.2；数据通道采用FTP或SDTP方式，ISMS使用FTP协议将数据文件上报给SMMS，ISMI数据通道数据上报流程参见互联网数据中心和互联网接入服务信息安全管理系统接口规范。ISMS系统内控制平台、信息安全管理模块、IDC运营管理平台、网站备案管理系统、网络日志服务器、日志合成服务器（或控制平台、信息安全管理模块、IDC运营管理平台、网站备案管理系统、日志查询平台、网络日志服务器、日志合成服务器）通过使用FTP协议将基础数据、违法信息规则库、代码表、访问日志、查询结果、监测日志、过滤日志、指令

18、查询结果、指令执行情况、状态信息等进行上报和下发。统一DPI通过使用SDTP协议将XDR话单数据进行上报。数据上报、下发流程见6.4，接口方法见7.3、7.4。管理指令处理流程管理指令包含控制平台对省端执行系统中信息安全管理模块下发的监测指令、过滤指令，过滤指令的优先级高于监测指令。 控制平台通过管理指令完成对基础数据监测功能的开启或关闭，控制平台通过管理指令对省端执行系统的信息安全管理功能进行管理。控制平台将管理指令发送到省端执行系统后，等待接收省端执行系统反馈的指令生效信息，具体流程如下：控制平台调用idc_command()方法，将指令下发至省端执行系统。指令以XML文件的格式封装。省端

19、执行系统接收控制平台下发指令，进行认证和信息校验，完成信息校验后保存指令，并在同一连接内及时反馈指令接收是否成功的信息；如果省端执行系统没有成功收到下发命令，控制平台则需要重新下发指令。省端执行系统在指令约定时间内执行指令，将指令生效的结果信息通过调用idc_commandack()方法返回给控制平台，返回的内容是以XML文件的格式封装的结果。控制平台接收省端执行系统的指令生效结果信息，完成信息校验后进行保存，并在同一连接内及时反馈接收情况；如控制平台没有成功收到指令生效信息，省端执行系统需要重新上报指令生效结果信息。如果下发的指令需要上报数据，则省端执行系统调用数据上报流程上报数据。图6-1

20、给出了管理指令处理流程的示意图。图6-1 管理指令处理流程示意图查询流程查询指令包括：控制平台由省公司自建的情况下，查询指令包括：控制平台对省端执行系统中信息安全管理系统下发的信息安全管理指令查询指令；控制平台对网络日志服务器下发的访问日志查询指令、日志定时查询指令。控制平台由不良信息监控系统中央平台改造的情况下，查询指令包括：控制平台对省端执行系统中信息安全管理模块下发的信息安全管理指令查询指令；控制平台对日志查询平台下发的日志查询指令、日志定时查询指令；日志查询平台对网络日志服务器下发的日志查询指令、日志定时查询指令。控制平台由省公司自建的情况下，控制平台通过转发SMMS的查询指令，查询省

21、端执行系统的信息安全管理指令、网络日志服务器的访问日志。符合查询条件的数据通过数据上报流程异步返回到控制平台。查询流程如下： 控制平台调用idc_command()方法，将查询指令转发至省端执行系统、网络日志服务器。指令以XML文件的格式封装。省端执行系统、网络日志服务器接收控制平台下发的查询指令，对指令进行信息校验。完成校验后保存查询指令，并在同一连接内及时反馈指令接收情况；如省端执行系统、网络日志服务器没有成功接收到下发命令，控制平台则需要重新下发。查询的结果信息通过调用数据上报流程返回查询结果。图6-2-1给出了查询流程的示意图。图6-2-1 查询流程示意图(1)控制平台由不良信息监控系

22、统中央平台改造的情况下，控制平台通过转发SMMS的查询指令，查询省端执行系统的信息安全管理指令、上网日志留存系统的访问日志。日志查询平台转发控制平台的日志查询指令、日志定时查询指令查询网络日志服务器中的访问日志。符合查询条件的数据通过数据上报流程异步返回到控制平台。查询流程如下：控制平台（日志查询平台）调用idc_command()方法，将查询指令转发至省端执行系统、日志查询平台（网络日志服务器）。指令以XML文件的格式封装。省端执行系统、日志查询平台（网络日志服务器）接收控制平台下发的查询指令，对指令进行信息校验。完成校验后保存查询指令，并在同一连接内及时反馈指令接收情况；如省端执行系统、日

23、志查询平台（网络日志服务器）没有成功接收到下发命令，控制平台（日志查询平台）则需要重新下发。查询的结果信息通过调用数据上报流程返回查询结果。图6-2-2给出了查询流程的示意图。图6-2-2 查询流程示意图(2)数据上报、下发流程数据上报流程中上报的数据包括原始XDR数据、基础数据、访问日志、访问日志查询结果、监测日志、过滤日志、信息安全管理指令查询结果以及ISMS活动状态等。下发的数据包括违法信息规则库、代码表等。数据下发流程同上报流程。数据上报文件应带有.xml后缀名（如，“生成时间.xml”形式）。数据上报文件大小的要求为单个上报数据文件必须小于12M字节，如上报数据量较大，可分拆为多个文

24、件。数据上报处理结果为UTF-8编码的纯文本文件，不带后缀名（文件名示例“上报数据类型代码-上报数据文件名-处理结果代码”）。6.4.1 FTP方式上报控制平台为省端执行系统和网站备案管理系统创建一个IDC/ISP根目录，为便于描述，下文用idc_home表示该目录，控制平台负责维护自己的IDC/ISP根目录。上报数据文件的存放路径规则为：/idc_home/上报数据类型代码/上报日期/，其中上报数据类型共计七种，对应的代码表见表A，日期采用yyyy-MM-dd的格式编写。文件以生成时间命名，生成时间用1970年1月1日到文件生成时的秒数表示。控制平台由省公司自建方案：网站备案管理系统、省端执

25、行系统中的信息安全管理模块、网络日志服务器连接控制平台的FTP服务器，将上报的数据放到相应的目录下。IDC运营管理平台连接网站备案管理系统的FTP服务器，将上报的基础数据放到网站备案管理系统相应的目录下。 控制平台由不良信息监控系统中央平台改造方案：网站备案管理系统、省端执行系统中的信息安全管理模块、上网日志留存系统的日志查询平台连接控制平台的FTP服务器，将上报的数据放到相应的目录下。IDC运营管理平台连接网站备案管理系统的FTP服务器，将上报的基础数据放到网站备案管理系统相应的目录下。网络日志服务器连接日志查询平台FTP服务器将上报的日志查询结果数据放到相应的目录下。表 A 数据上报类型代

26、码表代码上报数据类型1基础数据2基础数据监测数据3访问日志查询结果4监测日志5过滤日志6信息安全管理指令查询结果7ISMS活动状态每个IDC/ISP根目录下除了表A中所列的数据上报目录以外，还应有一个名为999的目录，用来存放控制平台生成的上报文件处理结果，特定上报文件的处理结果文件存放路径为：/idc_home/999/数据类型代码-对应的文件原名-处理结果代码，文件内容为处理结果的必要描述，数据类型代码见表A，文件原名不含后缀，处理结果代码见表B。表B上报文件处理结果代码代码上报数据类型0处理完成1文件解密失败2文件校验失败3文件解压缩失败4文件格式异常5文件内容异常999其他错误网站备案

27、管理系统、省端执行系统中信息安全管理模块、网络日志服务器（控制平台由不良信息监控系统中央平台改造实现方案为：网站备案管理系统、省端执行系统中信息安全管理模块、日志查询平台、网络日志服务器）在数据上报目录下有新建和写入权限，无删除权限；而在上报文件处理结果目录下有删除权限，无新建和写入权限。控制平台由省公司自建方案数据上报的具体流程如下：网站备案管理系统及省端执行系统中信息安全管理模块、网络日志服务器产生上报数据并以XML文件的格式封装，网站备案管理系统及省端执行系统中信息安全管理模块、网络日志服务器调用file_load方法（见7.3），将原始的上报数据经过压缩加密封装后仍以xml格式传送至控

28、制平台；控制平台对上报的数据信息进行信息认证，如果认证成功则对上报的信息进行解密、解压等过程，得到原始上报数据，并进行相应处理；处理结束后，控制平台应生成相应的处理结果文件；网站备案管理系统及省端执行系统中信息安全管理模块、网络日志服务器应及时获取处理结果文件，解决文件处理过程中产生的错误和异常，并重新进行数据上报流程。具体流程如图6-3-1所示：图6-3-1 FTP传输方式数据上报流程(1)控制平台由省公司自建方案数据上报的具体流程如下：IDC运营管理平台及省端执行系统中信息安全管理模块、日志查询平台产生上报数据并以XML文件的格式封装，IDC运营管理平台、省端执行系统中信息安全管理模块及日

29、志查询平台调用file_load方法（见7.3），将原始的上报数据经过压缩加密封装后仍以xml格式传送至控制平台；控制平台对上报的数据信息进行信息认证，如果认证成功则对上报的信息进行解密、解压等过程，得到原始上报数据，并进行相应处理；处理结束后，控制平台应生成相应的处理结果文件；IDC运营管理平台、省端执行系统中信息安全管理模块及日志查询平台应及时获取处理结果文件，解决文件处理过程中产生的错误和异常，并重新进行数据上报流程。网络日志服务器上报日志查询结果至日志查询平台过程同日志查询平台上报日志查询结果至控制平台，均通过FTP方式上报。具体流程如图6-3-2所示：图6-3-2 FTP传输方式数据

30、上报流程(2)6.4.2 SDTP方式上报SDTP为实时数据共享传输协议。该协议是采集层与解码层的接口传输协议，也是解码层和共享层之间的接口传输协议。其传输特点是数据传输量大，实时性要求高，过程简单，不需要握手鉴权过程。统一DPI上报原始XDR话单至日志合成服务器采用SDTP方式进行数据的传输。消息交互的基本流程分为：版本协商，鉴权请求，数据传输，链路检测，连接终止。网络日志服务器侧应支持对链路检测周期的灵活设定。数据上报的具体流程如下：统一DPI向日志合成服务器指定的IP地址和端口建立TCP长连接；统一DPI发起版本协商流程，若协商失败，则拆除连接；统一DPI向日志合成服务器发起链路鉴权请求，若服务端鉴权失败，则拆除连接；统一DPI发送数据，日志合成服务器收到数据并处理后回复处理结果；在连接保持期间，如果没有数据包发送，统一DPI发送链路检测/应答包以维持此连接；若发现链路断开，则拆除连接；通信完成后，统一DPI主动发起链路释放请求；双方均可拆除该连接；SDTP协议连接管理流程如图5所示：图5 SDTP传输方式数据上报流程接口定义方法