本發(fā)明涉及一種對idc機房進行動態(tài)分類、分級管理的技術，在不改變idc機房現有網絡部署、客戶資源分布的情況下，實現idc機房的按照客戶業(yè)務種類的不同、網站規(guī)模的差異、監(jiān)管要求的不等的邏輯分類、分級管理，并能依據動態(tài)的變化情況，進行實時調整。

背景技術：

隨著互聯(lián)網迅猛發(fā)展，各種新的技術新的業(yè)務形態(tài)不斷涌現，互聯(lián)網數據中心(簡稱idc)的業(yè)務呈現多態(tài)化、多元化、多層次發(fā)展的態(tài)勢。一方面，隨著大數據、云計算的迅猛發(fā)展，idc業(yè)務得到了長足的發(fā)展，相關的業(yè)務從主機租用、主機托管、帶寬租用、虛擬主機等傳統(tǒng)的idc業(yè)務向多種業(yè)務模式混雜的多態(tài)化發(fā)展，idc的發(fā)展是逐步的，在發(fā)展過程中，無法一步做到位對idc機房進行精準的不再改變的規(guī)劃，從而導致了idc中的業(yè)務客戶網站從最初的相對獨立的不同區(qū)域(如：金融類客戶、能源類客戶、政府類客戶、互聯(lián)網門戶網站、游戲網站、電子商城等)，向著即有相對獨立又有混雜的多元化、多層次發(fā)展。idc機房物理上的區(qū)域劃分和客戶區(qū)分邊界不再明晰而且隨著業(yè)務的不斷發(fā)展而動態(tài)變化，從而給idc機房管理帶來了極大的挑戰(zhàn)。另一方面，隨著互聯(lián)網在國民經濟中的重要性進一步提升，idc業(yè)務作為互聯(lián)網中最重要的一塊業(yè)務也逐漸成為政府部門監(jiān)管的重點對象，如何有效地對idc機房進行動態(tài)監(jiān)管，實現邏輯有效的分類分級管理就成為擺在idc企業(yè)和行業(yè)監(jiān)管部門面前迫切需要解決的問題。

本發(fā)明的目的在于提供一種在不改變idc機房現有業(yè)務資源布局的情況下，通過ip地址定位、流量采集分析實現對idc機房動態(tài)分類分級的管理技術，以解決對idc機房內業(yè)務客戶按照不同行業(yè)分類、不同規(guī)模大小、不同監(jiān)管屬性進行分類分級管理的問題。

技術實現要素：

一種idc機房動態(tài)分類分級管理技術，實現該技術的系統(tǒng)采用模塊化設計，通過在idc機房出入口部署監(jiān)控設備，對流進流出idc機房的流量進行監(jiān)測分析，實現idc機房內不同業(yè)務屬性、不同規(guī)模網站的邏輯分類，并能依據不同的分類和不同的監(jiān)管要求實現分級管理，在idc機房內物理客戶資源進行增減和位置變更時進行自動發(fā)現和調整分類、分級策略，實施不同級別的安全管控。

本發(fā)明采用以下技術方案實現，一種idc機房動態(tài)分類分級管理系統(tǒng)由監(jiān)控終端、idc企業(yè)側管理中心和電信行業(yè)監(jiān)管部門管理中心組成。其中：

監(jiān)控終端基于http網絡協(xié)議分析，從被監(jiān)控網絡中實時發(fā)現web網站域名、ip地址、記錄訪問量、內容監(jiān)測和計數、對違規(guī)網站發(fā)送過濾指令阻斷用戶對該域名網站的訪問，并通過socket通信來及時響應管理中心的管理控制，以及上報相關的統(tǒng)計數據；

idc企業(yè)側管理中心對監(jiān)控終端上報的ip地址、域名、訪問量、不良信息等進行記錄、存儲、統(tǒng)計分析，并對idc機房網站進行動態(tài)分類和分級管理，根據其備案情況、內容情況進行分級管控；

電信行業(yè)監(jiān)管部門側管理中心對idc企業(yè)側管理中心上報的ip地址、域名、訪問量、不良信息等進行記錄、存儲、統(tǒng)計分析，并對idc機房網站進行動態(tài)分類和分級管理，根據其備案情況、內容情況進行分級管控。

本發(fā)明具有以下特征：

1.模塊化設計，可由監(jiān)控設備和管理中心組成，每個模塊可細分、合并或適當擴展。

2.支持多級部署，管理中心分為兩級，一級部署在idc企業(yè)，實現本企業(yè)的監(jiān)控設備管理，另一級部署在通信監(jiān)管部門，可實現管轄地域內所有idc企業(yè)的監(jiān)控設備的管理。

3.自動發(fā)現，通過監(jiān)控設備旁路部署捕獲用戶訪問網站數據，基于協(xié)議分析，實時發(fā)現被監(jiān)控idc機房內的ip地址、運行web網站，并記錄網站訪問量，自動提取ip地址、網站域名，并連同網站訪問量和內容監(jiān)測信息上報管理中心。

4.自動分類，管理中心依據監(jiān)測到的ip地址和網站域名，依據事先填報的客戶ip列表，對idc機房進行邏輯區(qū)域分類。

5.自動分級，管理中心依據設定的分級策略、邏輯區(qū)域分類、以及采集的動態(tài)監(jiān)管數據，對idc機房的不同類別的客戶網站按照不同的級別進行安全監(jiān)管。

6.自動管控，按照idc機房的邏輯分類、設定的級別，通信行業(yè)監(jiān)管部門的管理中心和idc企業(yè)的管理中心都可以下達對應級別的監(jiān)測指令、過濾指令等，以便于達到對idc機房內重點關注區(qū)域的重點監(jiān)測和管控目的。

7.動態(tài)調整，在idc機房中業(yè)務客戶資源(ip、域名等)有增、刪、改等調整時，本系統(tǒng)均會基于最新的監(jiān)測結果動態(tài)調整分類、分級，并實現相應的監(jiān)測和管控。

本發(fā)明的效果是能夠對覆蓋范圍內的idc機房實現動態(tài)分類分級的精細化管理，在有效管控和打擊idc機房不良信息的前提下，不影響提供正常內容業(yè)務的idc客戶網站的服務質量，從而為idc企業(yè)和電信行業(yè)監(jiān)管部門提供了一種投入和產出性價比較好的idc機房安全管理解決方案。

附圖說明

圖1為idc機房動態(tài)分級分類管理系統(tǒng)的結構框圖；

圖2為互聯(lián)網站ip、域名發(fā)現及網站訪問量上報的過程示意圖；

圖3為idc機房動態(tài)分類示意圖；

圖4為idc機房動態(tài)分級示意圖；

圖5為idc機房動態(tài)分類分級管理系統(tǒng)部署前idc機房業(yè)務網站使用管理示意圖；

圖6為idc機房動態(tài)分類分級管理系統(tǒng)部署后idc機房業(yè)務網站使用管理示意圖。

具體實施方式

下面結合附圖和實施例對本發(fā)明進行詳細說明。

如圖1所示，本發(fā)明idc機房動態(tài)分類分級管理系統(tǒng)由監(jiān)控終端10、idc企業(yè)側管理中心20和電信行業(yè)監(jiān)管部門管理中心30組成。其中：

監(jiān)控終端10，主要功能為基于http網絡協(xié)議分析，從被監(jiān)控網絡中實時發(fā)現web網站域名、ip地址、記錄訪問量、內容監(jiān)測和計數、對違規(guī)網站發(fā)送過濾指令阻斷用戶對該域名網站的訪問，并通過socket通信來及時響應管理中心的管理控制，以及上報相關的統(tǒng)計數據。

監(jiān)控終端10主要由發(fā)現模塊14、過濾模塊13、sensor服務模塊12、管理維護模塊11組成。

發(fā)現模塊14：實時旁路監(jiān)測網站訪問，捕獲訪問請求包，并解析請求包發(fā)現用戶訪問的網站域名(簡稱發(fā)現域名)和ip地址；更新監(jiān)控名單中的發(fā)現域名網站的訪問記錄(訪問量)，查詢監(jiān)控名單中的發(fā)現域名的過濾屬性并請求sensor服務查詢在監(jiān)控名單中不存在的域名網站的過濾屬性；通知過濾模塊對網站的訪問請求進行過濾處理。

過濾模塊13：根據發(fā)現模塊提交的過濾信息組建tcp干擾包(rst+fin)，并對用戶端發(fā)送tcp干擾包實現對被過濾域名網站的訪問阻斷過濾。

sensor服務模塊12：實現監(jiān)控終端與管理中心的安全通信。

管理維護模塊11：實現對終端監(jiān)控服務器的系統(tǒng)配置管理、管理員口令重置和恢復出廠默認配置。

idc企業(yè)側管理中心20，主要功能是對監(jiān)控終端上報的ip地址、域名、訪問量、不良信息等進行記錄、存儲、統(tǒng)計分析，并對idc機房網站進行動態(tài)分類和分級管理，根據其備案情況、內容情況進行分級管控。

如圖2所示，監(jiān)控終端10現網采集ip地址、域名、訪問量、流量內容的上報流程，上報對象為idc企業(yè)側管理中心20和行業(yè)監(jiān)管部門側管理中心30。

如圖3所示，管理中心依據ip地址、域名、客戶信息等對網站的動態(tài)分類過程，idc企業(yè)側管理中心與電信行業(yè)管理部門的管理中心均可對idc客戶網站進行分類，當有沖突時，以電信行業(yè)管理部門的管理中心分類為準。

如圖4所示，管理中心依據分類結果，結合ip地址、域名訪問量、監(jiān)測的不良信息內容等對網站的分級，不同級別的網站按照不同的監(jiān)測與管控策略進行處理。idc企業(yè)側管理中心與電信行業(yè)管理部門的管理中心均可對idc客戶網站進行分級管控，當有沖突時，以電信行業(yè)管理部門的管理中心為準。

其中idc企業(yè)側管理中心20由web管理模塊21、網絡監(jiān)管數據庫24、信息通道25、網絡監(jiān)控服務模塊23、網絡監(jiān)控服務接口22組成；web管理模塊21由機房分類模塊211、機房分級模塊212、機房管控策略模塊213組成。

web管理模塊21：提供操作界面，主要包括用戶管理、分類管理、分級管理、管控策略管理和日志管理等web管理功能。

網絡監(jiān)管數據庫24：存儲網站域名、接入ip地址、域名備案狀態(tài)、網站接入地、訪問量、不良信息等統(tǒng)計信息、基礎代碼等數據。

信息通道25：為本系統(tǒng)部署后的各模塊間協(xié)作通信的安全通道，起到上傳下達的橋梁作用。

網絡監(jiān)控服務模塊23：通過socket通信機制來與監(jiān)控終端通信，接收監(jiān)控終端的請求處理，同時轉發(fā)web管理對監(jiān)控終端的指令的處理。

網絡監(jiān)控服務接口22：提供網絡監(jiān)控服務與信息管道和監(jiān)控終端之間通信的接口服務。

電信行業(yè)監(jiān)管部門側管理中心30，主要功能是對idc企業(yè)側管理中心上報的ip地址、域名、訪問量、不良信息等進行記錄、存儲、統(tǒng)計分析，并對idc機房網站進行動態(tài)分類和分級管理，根據其備案情況、內容情況進行分級管控。(其中上報以及分級、分類過程分別如圖2/3/4所示)

其中電信行業(yè)監(jiān)管部門側管理中心30由web管理模塊31、網絡監(jiān)管數據庫34、信息通道35、網絡監(jiān)控服務模塊33、網絡監(jiān)控服務接口32組成；web管理模塊31由機房分類模塊311、機房分級模塊312、機房管控策略模塊313組成。

web管理模塊31：提供操作界面，主要包括用戶管理、分類管理、分級管理、管控策略管理和日志管理等web管理功能。

網絡監(jiān)管數據庫34：存儲網站域名、接入ip地址、域名備案狀態(tài)、網站接入地、訪問量、不良信息等統(tǒng)計信息、基礎代碼等數據。

信息通道35：為本系統(tǒng)部署后的各模塊間協(xié)作通信的安全通道，起到上傳下達的橋梁作用。

網絡監(jiān)控服務模塊33：通過socket通信機制來與監(jiān)控終端通信，接收監(jiān)控終端的請求處理，同時轉發(fā)web管理對監(jiān)控終端的指令的處理。

網絡監(jiān)控服務接口32：提供網絡監(jiān)控服務與信息管道和監(jiān)控終端之間通信的接口服務。

當電信行業(yè)監(jiān)管部門側管理中心與idc企業(yè)側管理中心同類指令下達到監(jiān)控終端有沖突時，電信行業(yè)監(jiān)管部門側管理中心的優(yōu)先級高于idc企業(yè)側管理中心的優(yōu)先級。

如圖5所示為idc機房動態(tài)分類分級管理系統(tǒng)部署前idc機房業(yè)務網站使用管理示意圖，其組成包括網絡用戶10(包括網絡用戶11、網路用戶12、網絡用戶13等)，互聯(lián)網20，核心路由器30，核心交換機40，idc機房區(qū)域a50(包括網站服務器51、網站服務器52、網站服務器53等)，idc機房區(qū)域b60(包括網站服務器61、網站服務器62、網站服務器63等)。在沒有部署idc動態(tài)分類分級管理系統(tǒng)之前，對網站的控制是通過核心交換機40的訪問控制策略實施的，配置復雜，存在誤過濾可能。

上述管理模式為，不同物理區(qū)域的idc機房用戶網站50、60通過網線/光纖或交換機連接至核心交換機40，核心交換機40通過核心路由器30連接至互聯(lián)網20。網絡用戶10通過互聯(lián)網20訪問idc機房中用戶網站50、60提供的網站服務。

如圖6所示為idc機房動態(tài)分類分級管理系統(tǒng)部署后idc機房業(yè)務網站使用管理示意圖，其組成包括網絡用戶10(包括網絡用戶11、網路用戶12、網絡用戶13等)，互聯(lián)網20，核心路由器30，核心交換機40，機房一級管控區(qū)域50(包括網站服務器51、網站服務器63、網站服務器53等)，機房三級管控區(qū)域60(包括網站服務器62等)，機房五級管控區(qū)域70(包括網站服務器52、網站服務器61等)，idc企業(yè)側管理中心80(包括管理服務器81、監(jiān)控設備82、交換機83、路由器84等)，電信行業(yè)監(jiān)管部門管理中心90(包括管理服務器91、交換機92、路由器93等)和電信行業(yè)管理部門與idc企業(yè)之間互聯(lián)的互聯(lián)網100。

相對于圖5表示的部署本發(fā)明前的網絡結構示意圖，主要區(qū)別在于idc企業(yè)側管理中心和監(jiān)控終端80的部署、電信行業(yè)監(jiān)管部門側管理中心90的部署，以及按照動態(tài)分類分級后，原有的idc用戶網站區(qū)域50、60變化為一級管控機房50、三級管控機房60和五級管控機房70。通過分類分級后，51、53、63網站按照一級管控策略進行管控，即不監(jiān)不控；62網站按照三級管控策略進行管控，即只監(jiān)測并提醒idc業(yè)務客戶進行自主管控；52、61網站按照五級管控策略進行管控，即直接過濾，嚴格管控。

各級策略的實施通過電信行業(yè)監(jiān)管部門側的管理中心或者idc企業(yè)側管理中心下發(fā)給監(jiān)控終端，由監(jiān)控終端依據不同的策略級別，對相應的網站進行放過、監(jiān)測放過、發(fā)干擾報文進行阻斷等不同的管控策略。

本發(fā)明的效果是能夠對覆蓋范圍內的idc機房實現動態(tài)分類分級的精細化管理，在有效管控和打擊idc機房不良信息的前提下，不影響提供正常內容業(yè)務的idc客戶網站的服務質量，從而為idc企業(yè)和電信行業(yè)監(jiān)管部門提供了一種投入和產出性價比較好的idc機房安全管理解決方案。