隨著網民、域名、網站、IDC服務機構數量以及網絡帶寬流量的不斷增長，國內互聯網上的信息傳播流量和速度都達到了空前的程度，隨之而來的各類違法有害信息也趁虛而入，網絡信息安全成為各運營商必須面對的問題。

Web2.0、P2P、網絡視頻應用的不斷興起，論壇、聊天室、博客、即時通信、個人主頁等交互類網絡服務迅速膨脹，使得各類違法有害信息的傳播方式也更加手段多樣并且快速和隱蔽。一半的網民使用互聯網作為信息獲取的主要渠道，一旦出現違法有害信息，其危害及影響面會很大。

近年來政府針對互聯網上違法有害信息傳播也進行了多次“專項整頓”和“專項打擊”行動，采取“抓信息源”（即網站經營單位）的做法，階段性地抑制了違法有害信息的產生和傳播。但由于缺乏有效技術手段和設備保障，每次專項行動中各級執法、執行機構的人員投入和工作量巨大，而且困難重重并難以形成長效機制，專項整治之后各類違規業務和違法有害信息又會出現“春風吹又生”的景象。

為提高網絡管理水平和服務質量，有效防止信息安全事件的發生，迫切需要一個高性能、大容量、安全穩定的信息安全監控系統，在出現非法有害及敏感信息時能夠及時進行告警并采取一定的措施，以保證移動互聯網網絡及下聯客戶、增值平臺等的安全運行，杜絕網上非法信息的泛濫。

建設目標

針對移動互聯網的內容監測系統建設要達到以下目標。

●實時監控不良信息的發布，及時追蹤有害信息來源。

●監控移動互聯網業務發展狀況，對業務類型和訪問流量進行分析統計，為企業互聯網數據業務運營提供數據支持。

●建設中心監管平臺，實現對全省互聯網網站發布信息的全面監控與管理，及時發現不良信息、敏感信息，規范互聯網行為，促進互聯網信息化的良性發展。

建設原則

“互聯網信息安全監控管理系統”的設計遵循以下原則。

●實用性：系統應部署簡單，不影響互聯網網絡現狀，網絡拓撲不發生改變，不增加網絡故障點。

●靈活性：“互聯網信息安全監控管理系統”應采用模塊化結構，具有良好的擴展能力，并能夠根據將來信息安全形勢發展需要，靈活擴展監控內容及網絡覆蓋范圍。

●安全性：“互聯網信息安全監控管理系統”必須從網絡、主機、數據庫和應用軟件等方面保證系統運行和審計數據的安全。

可靠性：系統應有防護性能，防止網絡病毒及攻擊；應用軟件應有容錯能力，軟件故障不應引起各類嚴重的系統再啟動；整個系統需要按照電信級系統進行設計、開發及施工，充分保證7×24小時不間斷運行，并且提供足夠的冗余。

經濟性：系統應具有較高的性能價格比，要根據實際網絡規模進行緊湊配置，使資金的產出投入比達到最大值。

系統部署方案設計

互聯網信息安全監控管理系統采取通行的IP協議分析技術，它是一種對互聯網網絡層和應用層各類協議進行分析處理的技術。系統通過采集獲取移動數據網出口電路的網絡流量數據，利用報文重組、協議規則分析等技術方法實現信息安全監控管理功能。結合互聯網網絡結構，有以下兩種部署方案（如表所示）。

方案一：要實現最佳的監控性能，就需要最大范圍的采集網絡流量數據。設計選擇移動互聯網核心層上行出口電路分光或數據鏡像方式采集網絡流量數據。

方案二：接入層/匯聚層數據采集方案。在移動互聯網接入層/匯聚層數據采集。

先從根源入手，對互聯網的基本結構進行分析（如圖1所示）。

●從不良內容密集度來看，大量的不良信息來源于外網，同時還有一些IDC接入的托管

●用戶和專線用戶也是不良信息的重要來源。

●從內容監管責任度來看，運營商對于IDC托管用戶和專線接入用戶承擔很重的監管責任，而外網的不良信息則由于存在著接入和管理在外等因素影響而內容監管審核壓力較小。

由于互聯網的開放性特點，利用人工瀏覽和搜索技術對接入內容進行審核將會消耗大量的人力物力，形成一個甩不掉的沉重包袱；而自動的安全檢測系統，則受制網絡結構的復雜和數據流量的龐大，無法在寬帶接入、城域網、骨干網等層面實現全部內容的監測過濾，部署覆蓋全部網絡接入層面的監控在技術和資金投入上都是不現實的。

因此，重點考慮圖1中的1、2兩個節點，即網絡出口和IDC機房的監控。節點1即是方案一數據采集點部署位置，在移動互聯網核心層，為本網到外網的網絡接口。節點2即是方案二數據采集點部署的位置，在移動互聯網匯聚層，主要針對IDC出口，集中了本網數據。

根據網絡情況，首先在核心層網絡出口部署相關的監控節點并且建設互聯網內容安全管理的中心節點。上述節點的建設可以監測所有本網用戶（專線用戶、個人寬帶用戶）訪問他網，如使用Web服務、即時通信工具、FTP服務等的信息內容；并可以監測所有外網用戶訪問的本網數據，可以實現對IDC主要內容的監測。同時可以考慮在匯聚層IDC部署對應的監控節點，以實現對IDC內容安全的全面管理。