一种IDC机房动态分类分级管理系统的制作方法

本发明涉及一种对idc机房进行动态分类、分级管理的技术，在不改变idc机房现有网络部署、客户资源分布的情况下，实现idc机房的按照客户业务种类的不同、网站规模的差异、监管要求的不等的逻辑分类、分级管理，并能依据动态的变化情况，进行实时调整。

背景技术：

随着互联网迅猛发展，各种新的技术新的业务形态不断涌现，互联网数据中心(简称idc)的业务呈现多态化、多元化、多层次发展的态势。一方面，随着大数据、云计算的迅猛发展，idc业务得到了长足的发展，相关的业务从主机租用、主机托管、带宽租用、虚拟主机等传统的idc业务向多种业务模式混杂的多态化发展，idc的发展是逐步的，在发展过程中，无法一步做到位对idc机房进行精准的不再改变的规划，从而导致了idc中的业务客户网站从最初的相对独立的不同区域(如：金融类客户、能源类客户、政府类客户、互联网门户网站、游戏网站、电子商城等)，向着即有相对独立又有混杂的多元化、多层次发展。idc机房物理上的区域划分和客户区分边界不再明晰而且随着业务的不断发展而动态变化，从而给idc机房管理带来了极大的挑战。另一方面，随着互联网在国民经济中的重要性进一步提升，idc业务作为互联网中最重要的一块业务也逐渐成为政府部门监管的重点对象，如何有效地对idc机房进行动态监管，实现逻辑有效的分类分级管理就成为摆在idc企业和行业监管部门面前迫切需要解决的问题。

本发明的目的在于提供一种在不改变idc机房现有业务资源布局的情况下，通过ip地址定位、流量采集分析实现对idc机房动态分类分级的管理技术，以解决对idc机房内业务客户按照不同行业分类、不同规模大小、不同监管属性进行分类分级管理的问题。

技术实现要素：

一种idc机房动态分类分级管理技术，实现该技术的系统采用模块化设计，通过在idc机房出入口部署监控设备，对流进流出idc机房的流量进行监测分析，实现idc机房内不同业务属性、不同规模网站的逻辑分类，并能依据不同的分类和不同的监管要求实现分级管理，在idc机房内物理客户资源进行增减和位置变更时进行自动发现和调整分类、分级策略，实施不同级别的安全管控。

本发明采用以下技术方案实现，一种idc机房动态分类分级管理系统由监控终端、idc企业侧管理中心和电信行业监管部门管理中心组成。其中：

监控终端基于http网络协议分析，从被监控网络中实时发现web网站域名、ip地址、记录访问量、内容监测和计数、对违规网站发送过滤指令阻断用户对该域名网站的访问，并通过socket通信来及时响应管理中心的管理控制，以及上报相关的统计数据；

idc企业侧管理中心对监控终端上报的ip地址、域名、访问量、不良信息等进行记录、存储、统计分析，并对idc机房网站进行动态分类和分级管理，根据其备案情况、内容情况进行分级管控；

电信行业监管部门侧管理中心对idc企业侧管理中心上报的ip地址、域名、访问量、不良信息等进行记录、存储、统计分析，并对idc机房网站进行动态分类和分级管理，根据其备案情况、内容情况进行分级管控。

本发明具有以下特征：

1.模块化设计，可由监控设备和管理中心组成，每个模块可细分、合并或适当扩展。

2.支持多级部署，管理中心分为两级，一级部署在idc企业，实现本企业的监控设备管理，另一级部署在通信监管部门，可实现管辖地域内所有idc企业的监控设备的管理。

3.自动发现，通过监控设备旁路部署捕获用户访问网站数据，基于协议分析，实时发现被监控idc机房内的ip地址、运行web网站，并记录网站访问量，自动提取ip地址、网站域名，并连同网站访问量和内容监测信息上报管理中心。

4.自动分类，管理中心依据监测到的ip地址和网站域名，依据事先填报的客户ip列表，对idc机房进行逻辑区域分类。

5.自动分级，管理中心依据设定的分级策略、逻辑区域分类、以及采集的动态监管数据，对idc机房的不同类别的客户网站按照不同的级别进行安全监管。

6.自动管控，按照idc机房的逻辑分类、设定的级别，通信行业监管部门的管理中心和idc企业的管理中心都可以下达对应级别的监测指令、过滤指令等，以便于达到对idc机房内重点关注区域的重点监测和管控目的。

7.动态调整，在idc机房中业务客户资源(ip、域名等)有增、删、改等调整时，本系统均会基于最新的监测结果动态调整分类、分级，并实现相应的监测和管控。

本发明的效果是能够对覆盖范围内的idc机房实现动态分类分级的精细化管理，在有效管控和打击idc机房不良信息的前提下，不影响提供正常内容业务的idc客户网站的服务质量，从而为idc企业和电信行业监管部门提供了一种投入和产出性价比较好的idc机房安全管理解决方案。

附图说明

图1为idc机房动态分级分类管理系统的结构框图；

图2为互联网站ip、域名发现及网站访问量上报的过程示意图；

图3为idc机房动态分类示意图；

图4为idc机房动态分级示意图；

图5为idc机房动态分类分级管理系统部署前idc机房业务网站使用管理示意图；

图6为idc机房动态分类分级管理系统部署后idc机房业务网站使用管理示意图。

具体实施方式

下面结合附图和实施例对本发明进行详细说明。

如图1所示，本发明idc机房动态分类分级管理系统由监控终端10、idc企业侧管理中心20和电信行业监管部门管理中心30组成。其中：

监控终端10，主要功能为基于http网络协议分析，从被监控网络中实时发现web网站域名、ip地址、记录访问量、内容监测和计数、对违规网站发送过滤指令阻断用户对该域名网站的访问，并通过socket通信来及时响应管理中心的管理控制，以及上报相关的统计数据。

监控终端10主要由发现模块14、过滤模块13、sensor服务模块12、管理维护模块11组成。

发现模块14：实时旁路监测网站访问，捕获访问请求包，并解析请求包发现用户访问的网站域名(简称发现域名)和ip地址；更新监控名单中的发现域名网站的访问记录(访问量)，查询监控名单中的发现域名的过滤属性并请求sensor服务查询在监控名单中不存在的域名网站的过滤属性；通知过滤模块对网站的访问请求进行过滤处理。

过滤模块13：根据发现模块提交的过滤信息组建tcp干扰包(rst+fin)，并对用户端发送tcp干扰包实现对被过滤域名网站的访问阻断过滤。

sensor服务模块12：实现监控终端与管理中心的安全通信。

管理维护模块11：实现对终端监控服务器的系统配置管理、管理员口令重置和恢复出厂默认配置。

idc企业侧管理中心20，主要功能是对监控终端上报的ip地址、域名、访问量、不良信息等进行记录、存储、统计分析，并对idc机房网站进行动态分类和分级管理，根据其备案情况、内容情况进行分级管控。

如图2所示，监控终端10现网采集ip地址、域名、访问量、流量内容的上报流程，上报对象为idc企业侧管理中心20和行业监管部门侧管理中心30。

如图3所示，管理中心依据ip地址、域名、客户信息等对网站的动态分类过程，idc企业侧管理中心与电信行业管理部门的管理中心均可对idc客户网站进行分类，当有冲突时，以电信行业管理部门的管理中心分类为准。

如图4所示，管理中心依据分类结果，结合ip地址、域名访问量、监测的不良信息内容等对网站的分级，不同级别的网站按照不同的监测与管控策略进行处理。idc企业侧管理中心与电信行业管理部门的管理中心均可对idc客户网站进行分级管控，当有冲突时，以电信行业管理部门的管理中心为准。

其中idc企业侧管理中心20由web管理模块21、网络监管数据库24、信息通道25、网络监控服务模块23、网络监控服务接口22组成；web管理模块21由机房分类模块211、机房分级模块212、机房管控策略模块213组成。

web管理模块21：提供操作界面，主要包括用户管理、分类管理、分级管理、管控策略管理和日志管理等web管理功能。

网络监管数据库24：存储网站域名、接入ip地址、域名备案状态、网站接入地、访问量、不良信息等统计信息、基础代码等数据。

信息通道25：为本系统部署后的各模块间协作通信的安全通道，起到上传下达的桥梁作用。

网络监控服务模块23：通过socket通信机制来与监控终端通信，接收监控终端的请求处理，同时转发web管理对监控终端的指令的处理。

网络监控服务接口22：提供网络监控服务与信息管道和监控终端之间通信的接口服务。

电信行业监管部门侧管理中心30，主要功能是对idc企业侧管理中心上报的ip地址、域名、访问量、不良信息等进行记录、存储、统计分析，并对idc机房网站进行动态分类和分级管理，根据其备案情况、内容情况进行分级管控。(其中上报以及分级、分类过程分别如图2/3/4所示)

其中电信行业监管部门侧管理中心30由web管理模块31、网络监管数据库34、信息通道35、网络监控服务模块33、网络监控服务接口32组成；web管理模块31由机房分类模块311、机房分级模块312、机房管控策略模块313组成。

web管理模块31：提供操作界面，主要包括用户管理、分类管理、分级管理、管控策略管理和日志管理等web管理功能。

网络监管数据库34：存储网站域名、接入ip地址、域名备案状态、网站接入地、访问量、不良信息等统计信息、基础代码等数据。

信息通道35：为本系统部署后的各模块间协作通信的安全通道，起到上传下达的桥梁作用。

网络监控服务模块33：通过socket通信机制来与监控终端通信，接收监控终端的请求处理，同时转发web管理对监控终端的指令的处理。

网络监控服务接口32：提供网络监控服务与信息管道和监控终端之间通信的接口服务。

当电信行业监管部门侧管理中心与idc企业侧管理中心同类指令下达到监控终端有冲突时，电信行业监管部门侧管理中心的优先级高于idc企业侧管理中心的优先级。

如图5所示为idc机房动态分类分级管理系统部署前idc机房业务网站使用管理示意图，其组成包括网络用户10(包括网络用户11、网路用户12、网络用户13等)，互联网20，核心路由器30，核心交换机40，idc机房区域a50(包括网站服务器51、网站服务器52、网站服务器53等)，idc机房区域b60(包括网站服务器61、网站服务器62、网站服务器63等)。在没有部署idc动态分类分级管理系统之前，对网站的控制是通过核心交换机40的访问控制策略实施的，配置复杂，存在误过滤可能。

上述管理模式为，不同物理区域的idc机房用户网站50、60通过网线/光纤或交换机连接至核心交换机40，核心交换机40通过核心路由器30连接至互联网20。网络用户10通过互联网20访问idc机房中用户网站50、60提供的网站服务。

如图6所示为idc机房动态分类分级管理系统部署后idc机房业务网站使用管理示意图，其组成包括网络用户10(包括网络用户11、网路用户12、网络用户13等)，互联网20，核心路由器30，核心交换机40，机房一级管控区域50(包括网站服务器51、网站服务器63、网站服务器53等)，机房三级管控区域60(包括网站服务器62等)，机房五级管控区域70(包括网站服务器52、网站服务器61等)，idc企业侧管理中心80(包括管理服务器81、监控设备82、交换机83、路由器84等)，电信行业监管部门管理中心90(包括管理服务器91、交换机92、路由器93等)和电信行业管理部门与idc企业之间互联的互联网100。

相对于图5表示的部署本发明前的网络结构示意图，主要区别在于idc企业侧管理中心和监控终端80的部署、电信行业监管部门侧管理中心90的部署，以及按照动态分类分级后，原有的idc用户网站区域50、60变化为一级管控机房50、三级管控机房60和五级管控机房70。通过分类分级后，51、53、63网站按照一级管控策略进行管控，即不监不控；62网站按照三级管控策略进行管控，即只监测并提醒idc业务客户进行自主管控；52、61网站按照五级管控策略进行管控，即直接过滤，严格管控。

各级策略的实施通过电信行业监管部门侧的管理中心或者idc企业侧管理中心下发给监控终端，由监控终端依据不同的策略级别，对相应的网站进行放过、监测放过、发干扰报文进行阻断等不同的管控策略。

本发明的效果是能够对覆盖范围内的idc机房实现动态分类分级的精细化管理，在有效管控和打击idc机房不良信息的前提下，不影响提供正常内容业务的idc客户网站的服务质量，从而为idc企业和电信行业监管部门提供了一种投入和产出性价比较好的idc机房安全管理解决方案。