互联网专线信安系统数据采集方案的设计和应用_任敏.pdf

32运营与应用DOI:10.3969/j.issn.1006-6403.2023.02.008互联网专线信安系统数据采集方案的设计和应用任敏王彬阐述了某电信企业为有效采集互联网专线流量数据，选取了多种数据采集方式，并进行了论证和比较，最终选择了“地市 SR 旁挂 EU 设备”方式，极大提高了专线流量采集覆盖率，同时能最小化网络改造和节约投资，助力专线系统数据安全、网络安全、信息安全业务健康发展。任敏通信工程硕士，通信专业一级建造师，中国移动通信集团设计院有限公司山西分院，长期从事电信行业业务网、支撑网、安全专业研究工作十余年，有丰富的一线规划和设计经验。王彬中国移动通信集团山西有限公司。关键词：互联网专线 数据采集 网络安全 数据安全摘要1 背景互联网专线信安系统作为互联网信安系统的重要组成部分，需要对互联网专线（含对外提供服务专线和普通专线）进行接入监控，实现违法网站过滤封堵、网络安全与数据安全风险探测，活跃资源信息统计及上报等功能。某电信企业在运营互联网专线信安系统的过程中，发现随着专线规模的不断增加，需处理的日志流量数据量不断增大，加上专线本身分散在全省各个子网中，要想汇总采集、处理，难度极大。2 研究现状本次研究目标为用最小成本、最优方案，实现某电信企业全省互联网专线纳入专线信安系统监控。待监控的专线分为两部分：一部分是对外提供服务（例如带网站）的互联网专线（已按地市接入 SR），另一部分为普通互联网专线（即为不对外提供服务的互联网专线，分散在全省 300500 余台 BRAS 上）。经调研，普通互联网专线数量远超对外提供服务的互联网专线，如果需要全量专线流量接入做相关安全监测分析，则需要对全省县级 BRAS 上承载的普通上网专线进行一对一接入，涉及全网改造，从工程造价、进度、工期来说，都是一个复杂的工程。由于对外提供服务的互联网专线已经汇聚至专线 SR路由器上，在 SR 设备上部署汇聚分流设备并将流量镜像33运营与应用互联网专线信安系统数据采集方案的设计和应用2023.02 广东通信技术给 EU 设备，即可实现对外提供业务的互联网专线的流量监控。但普通互联网专线接在县级网元-区县 BRAS 设备，需采用其他数据采集方式，业界主要包括以下 4 种。（1）省级 DPI 分光（方式 1）：通过选取在省网方向覆盖全省 DPI 分光镜像方式，得到专线侧流量，同时新增信安 EU 设备、网安 EU 设备和数安 EU 设备，达到全量互联网专线监控。该方式的优点仅在省级网元-省公司DPI 侧进行设备新增改造，不涉及地市建设内容。缺点是需要新增全量 DPI 覆盖，整体投资比较大，且覆盖效果不理想。（2）地市 CR 分光（方式 2）：该方式在地市核心CR 路由器至 BRAS/CR 之间新增分光器，一份流量送至到原有地市核心 CR 设备，另外一份流量送至汇聚分流设备，汇聚分流设备将流量送至 EU 设备，以此获取专线全流量。该方式优势是监控范围较全面，不涉及专线线路迁改，劣势是对组网结构改动较大，新增大量分光设备，造价较高，且需要进行多次网络割接。（3）区县 BRAS 旁挂 EU 设备（方式 3）：该方式直接在县级网元-各区县 BRAS 设备侧新增专线 EU 设备、网安 EU 设备和数安 EU 设备，该方案可在县级网元实现全量互联网专线监控，同时可以采集监控到地市内区县间互访流量。优点是可以全量采集专线侧流量，缺点是整体投资极大，同时还需要新增区县到各地市传输链路，整体实施难度极大、周期长、设备分布散不方便后期维护。可以看出，方式 1 的主要问题是“只能做到部分流量采集，造价较高”，方式 2 的主要问题是“组网结构和割接改造大，造价较高”，方式 3 的主要问题是“造价极高，传输改造和实施难度极大，维护非常不便”。（4）地市 SR 旁挂 EU 设备（方式 4）：为解决上述问 题，小组成员不断选取了多种数据采集技术，进行方案论证和比较，最终选择了“汇聚分流旁边EU”的方式（方式4），通过利旧现网 SR 设备和汇聚分流设备（已经接入对外提供服务的专线），同时将各区县 BRAS 设备中的不对外提供服务的互联网专线流量通过 VPN/传输链路接入汇聚分流设备，从而达到全量专线数据采集的目标。3 技术方案3.1 互联网专线信安系统现状3.1.1 互联网专线 CU 节点专线 CU 节点收到上级管局平台指令后，将指令信息转发给专线 CU 接口服务器，CU 接口服务器下发给各地市专线 EU 设备，并接收返回 ACK 结果；同时各地市专线 EU 将执行结果统一上报给 CU 接口服务器，CU 接口服务器转发 EU 上报的文件给专线 CU 日志上报服务器。3.1.2 互联网专线 EU 节点互联网专线 EU 节点主要功能如下。（1）保存 CU 控制平台下发的违法网站、免过滤网站列表，基于 IP、端口、域名、URL、关键词等条件的违法信息规则库。（2）接收 CU 控制平台下发的监测/过滤指令，并依据监测指令进行流量监测，依据过滤指令进行过滤封堵，生成将监测/过滤日志并上报至控制系统。（3）可以对指定类型报文数据进行内容还原，并依据关键词监测/过滤指令进行监测并生成监测/过滤日志。（4）将命中关键词监测/过滤指令转换为基于源/目的 IP、源/目的端口、传输层协议（TCP/UDP）、域名URL 等监测/过滤指令。（5）对活跃资源信息进行统计并将结果定时上报至CU 控制平台。3.2 多种数据采集监控方案研究对比在项目建设过程中，项目小组成员发现能否高效、全面的采集互联网专线流量，是决定互联网专线 EU 系统运行效果的关键因素。因此，项目小组成员参考现网经验，对 4 种流量采集场景方式及其运行效果进行了研究对比。3.2.1 省级 DPI 分光（方式 1）3.2.1.1 实现原理如图 1 所示，目前多数电信省份关于互联网专线路由方式为：互联网专线从县级网元（BRAS 设备）接入市级网元（CR 设备），然后通过 CMNET 城域网传输上传至省级网元（CMNET 省网、CMNET 骨干网、IDC）。34运营与应用运 营 与 应 用选取在省网方向增加 DPI 设备，全量覆盖全省 DPI，通过 DPI 分光方式采集专线侧流量，同时新增信安 EU 设备、网安 EU 设备和数安 EU 设备，达到全量互联网专线监控，实现流量采集管理、信息安全管理、数据安全管理、网络安全管理等功能。3.2.1.2 运行效果实验证明，该方案优势是能够充分利用现有设备并实现集中化部署，仅在省级网元-省公司侧进行设备新增改造，不涉及地市建设内容。劣势是目前地市 CR 到 CMNET 骨干网需要新增全量 DPI 覆盖，投资预计 1500+万，而且地市内区县互访流量无法明确监控采集。整体投资比较大，覆盖效果不理想。3.2.2 地市 CR 分光（方式 2）3.2.2.1 实现原理考虑到省网 DPI 采集存在造价高和区县侧采集范围不全等问题，项目小组成员调整了方案，如图 2 所示，采集位置设置在市级网元-地市 CR 核心路由器侧。该方式在地市核心 CR 路由器至 BRAS/CR 之间新增分光器，一份流量送至到原有地市核心 CR 设备，另外一份流量送至汇聚分流设备，专线 EU、网安设备和数安设备即可通过汇聚分流设备获取全量互联网专线流量，实现数据安全、网络安全、信息安全的各类功能。3.2.2.2 运行效果根据现网实际经验测算，地市核心 CR 设备总链路数为 2 0003 000 条，按照 1:1 分光配置，故所需分光器约为 2 0003 000 套。按照目前设备价格，单台 SR 设备造价约 12 万，单套分光器造价约 100 元，同时还需要新增区县到地市侧传输链路，共计投资约为1 2001 500万。该方式优势是监控范围较全面，不涉及专线线路迁改。劣势是对组网结构改动较大，造价较高，涉及到两点。（1）新增大量分光设备，且需要进行多次网络割接。（2）后续链路扩容均涉及分光器新增及网络割接，实施过程繁琐。图 1 新建省级 DPI 方式组网图图 2 地市 CR 分光方式组网图3.2.3 区县 BRAS 旁挂 EU（方式 3）3.2.3.1 实现原理如图 3 所示，该方式直接在县级网元-各区县 BRAS设备侧新增专线 EU 设备、网络安全设备和数据安全设备，该方案可在县级网元实现全量互联网专线监控，同时可以采集到地市内区县间互访流量。3.2.3.2 运行效果根据相关运营经验，由于中小型省份 BRAS 设备较多，共有 300500 台，根据现网 BRAS 实际承载专线带宽约810G，预计需要新增 300500 套信安 EU、网安 EU 和数安 EU 设备，预计设备投资约 8 000 万 1 亿左右。同时还需要新增区县到各地市传输链路，整体实施难度极大、周35运营与应用互联网专线信安系统数据采集方案的设计和应用2023.02 广东通信技术式汇聚设备，48*10GE+4*100GE 端口），汇聚分流设备侧已经纳入了对外提供服务的互联网专线。本试验方案将各区县 BRAS 设备中的不对外提供服务的互联网专线流量通过VPN/传输链路接入汇聚分流设备，同时在汇聚分流侧新增专线EU、网安设备和数安设备。该试验方案中，通过利旧现网 SR 设备和汇聚分流设备（已经接入对外提供服务的专线），将各区县 BRAS 设备中不对外提供服务的互联网专线流量接入汇聚分流设备，从而达到全量专线数据采集。大部分地市级的汇聚分流设备剩余端口可满足各区县 BRAS 设备互联网专线流量接入需求（按每个区县 2 台 BRAS，每台 BRAS 预留 1 个10GE 端口）。若后期业务需求量大，只需要把汇聚分流设备侧扩容端口即可满足，投资很小。3.2.4.2 运行效果经方案对比，本方式充分利用现网地市级网元设备资源，对 BRAS 设备、SR 设备和地市核心 CR 设备均不要进行改造，有效规避了造价高、采集范围不全、现网传输改造大的问题。综上所述，按本方式改造后，所有互联网专线流量均接入到汇聚分流设备。如后期流量增加需要扩容，仅需要扩容汇聚分流设备端口即可。随着后期业务需求流量增加，可考虑在后期方案中将盒式汇聚分流设备替换为框式汇聚分流设备。3.2.5 对比及结论4种采集监控方案的对比情况分析如表1所示。表 1 从方案、造价、周期等维度对四种方案进行了对比论证，其中方式 13 不同程度的存在造价高、周期长、效果差等问题。方式 4 的主要思路是充分利用现网地市级网元，对 BRAS 设备、SR 设备和地市核心 CR 设备均不要进行改造，有效的规避了造价高、采集范围不全、现期长、设备分布散不方便后期维护。3.2.4 地市 SR 旁挂 EU（方式 4）3.2.4.1 实现原理为规避方式 1、2、3 中存在的造价高、采集范围不全、现网传输改造大等问题，项目小组技术人员经过调研学习行业先进经验，结合某电信企业专线信安系统现状，给出了“地市 SR 旁挂 EU 设备”方式的解决方案，如图 4 所示，主要思路如下。图 3 区县 BRAS 旁挂 EU 组网图图 4 地市 SR 旁挂 EU 组网图将所有专线统一迁改至各地市 SR 设备统一管理、监控。因 SR 同机房均部署汇聚分流设备（配置端口选用盒36运营与应用运 营 与 应 用网传输改造大的问题。从而保证互联网专线流量日志被高效、完整的提取和传输，最终实现专线违法信息被及时分析、研判和处置。因此，为本研究推荐的方案。4 结束语本方案设计过程中，专线 EU 设备需要对全省所有地市的互联网专线进行接入监控，并对违法网站进行过滤封堵。互联网专线信安系统的运行效果很大程序上取决于专线的日志流量数据能否被高效、全面的采集和处理。本文通过对比省级 DPI 分光、地市 CR 分光、区县BRAS 旁挂 EU、地市 SR 旁挂 EU 方式等 4 种数据采集方案的原理和优劣势，得出了“汇聚分流旁边 EU 设备”方式是最优的数据采集和处理方式。该研究结论为互联网专线信安系统的高效运行和可持续发展打下了重要基础，同时为同类数据的分析应用提供了组网架构和数据处理的