内容分发网络服务信息安全管理系统接口规范(报批稿)-20161024

1内容分发网络服务信息安全管理系统接口规范1范围本标准规定了内容分发网络类服务相关信息安全管理系统与电信管理部门依照国家法律法规授权建设的信息安全管理系统间接口的功能要求、数据通信要求及数据交换格式等。本标准适用于为互联网信息服务提供者提供包括但不限于网页加速、下载加速、流媒体加速等服务的CDN业务经营者所建设的业务信息安全管理系统。2规范性引用文件下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本标准。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。YD/T3165-2016内容分发网络服务信息安全管理系统技术要求3术语和定义下列术语和定义适用于本文件。3.1安全监管系统securitymonitormanagementsystem电信管理部门依照国家法律法规授权建设的信息安全监管系统。3.2信息安全管理系统informationsecuritymanagementsystem业务经营者建设的符合本标准所规定信息安全管理系统要求的所有软、硬件系统的集合。3.3内容分发网络contentdeliverynetwork增值电信业务，定义详见《电信业务分类目录（2015版）》。3.4互联网数据中心internetdatacenter增值电信业务，定义详见《电信业务分类目录（2015版）》。3.5互联网接入服务internetserviceprovider增值电信业务，定义详见《电信业务分类目录（2015版）》。注：本标准中所有未指明的ISP均特指互联网接入服务。23.6互联网信息服务internetcontentprovider增值电信业务，定义详见《电信业务分类目录（2015版）》。3.7IDC业务机房theroomofIDCserviceIDC业务经营者利用既有的互联网通信线路、带宽资源及辅助设施（如，温湿度控制、除尘、消防、供配电、安防等），建立具有标准化电信级业务的环境和放置业务相关设备的场所。3.8ISP业务节点thenodeofISPserviceISP业务经营者利用接入服务器和相应的软硬件资源建立的、为客户提供接入互联网服务的业务节点。3.9业务客户customerCDN业务的客户，包括通过CDN服务商获得网页加速、下载加速、流媒体加速等服务的业务客户。3.10访问用户accessuser访问使用CDN网络进行内容加速的有关网站和应用的外部用户。3.11源IPsourceIP访问用户所使用的IP地址。3.12目的IPdestinationIPCDN业务客户所使用的IP地址。3.13加速域名speedupdomain需要进行内容分发的网站或应用所使用的域名，即使用CDN加速服务的域名。3.14CDN子网CDNsub-netCNAME的顶级域名。CNAME又称别名记录，即源站域名所对应的内容分发网络别名。3.153源站source存储用户原始数据的主机。使用内容分发网络加速的内容从源站获取。4缩略语下列缩略语适用于本文件。CDN内容分发网络ContentDeliveryNetworkFTP文件传输协议FileTransferProtocolHTTP超文本传输协议HyperTextTransferProtocolICP互联网信息服务InternetContentProviderIDC互联网数据中心InternetDataCenterIP互联网协议InternetProtocolISMI信息安全管理接口InformationSecurityManagementInterfaceISMS信息安全管理系统InformationSecurityManagementSystemISP互联网服务提供商InternetServiceProviderNAT网络地址转换NetworkAddressTranslationPOP3邮政协议-第3版PostOfficeProtocol-version3SMMS安全监管系统SecurityMonitorManagementSystemSMTP简单邮件传输协议SimpleMailTransferProtocolTCP传输控制协议TransmissionControlProtocolUDP用户数据报协议UserDatagramProtocolURL统一资源定位符UniformResourceLocatorXLS可扩展电子表格格式eXtensibleLanguageStylesheetXML可扩展标记语言eXtensibleMarkupLanguage5概述CDN信息安全管理接口（ISMI）是CDN企业侧信息安全管理系统（ISMS）与电信管理部门侧安全监管系统（SMMS）之间的接口，主要功能包括基础数据管理、业务状态监测、信息安全管理、访问日志管理、疑似数据与异常数据处置、代码表发布等。ISMI包括命令通道和数据通道。SMMS通过命令通道下发指令给ISMS，ISMS通过数据通道上传数据给SMMS。ISMI与ISMS、SMMS之间的关系如图1所示：4图1ISMS与SMMS关系示意图每个CDN业务经营者应建设一个统一的ISMS，并通过一个ISMI与SMMS对接，以实现对其所管辖范围内所有CDN业务节点的管理。本标准仅规定了ISMI的功能要求、接口流程、接口方法及数据交换格式定义，ISMS系统技术要求见YD/T3165-2016。本标准中未明确的技术细节由ISMS根据SMMS的要求实现。SMMS的技术要求不在本标准中规定。6接口功能要求6.1基础数据管理基础数据上报查询——企业侧系统在本地新增基础数据或更新基础数据后同步将新增数据记录或含修改内容的数据记录通过接口上报给SMMS，SMMS能根据企业上报的基础数据信息进行核验并通过接口向企业侧系统反馈数据接收信息；SMMS通过接口向企业侧系统以下发基础数据查询指令的方式实施查询特定基础数据信息，如图2所示。图2基础数据管理6.2访问日志管理SMMS通过接口向企业侧系统下发访问日志查询指令并接收企业侧系统上报的访问日志数据，如图3。图3访问日志管理6.3信息安全管理违法违规网站管理——SMMS通过接口接收企业侧系统违法违规网站监测处置记录，如图4。CDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）CDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）基础数据上报与查询ISMS主动上报基础资源数据新增或者变更的数据部系统核验存有异常的基础资源数据ISMS对部系统核验存有异常的基础资源数据重新上报ISMS根据部系统查询需求上报基础资源数据部系统实时查询基础资源数据CDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）SMMS下发访问日志指令访问日志管理ISMS根据SMMS查询需求上报访问日志CDN业务经营者电信管理部门CDN业务信息安全管理接口(ISMI)5图4信息安全管理违法信息监测——SMMS通过接口接收企业侧系统上报的违法信息监测记录，如图5。图5信息安全管理违法信息过滤——SMMS通过接口接收企业侧系统上报的违法信息过滤记录，如图6。图6信息安全管理6.4业务状态监测SMMS通过接口接收企业侧系统上报的业务状态监测记录；SMMS针对业务状态查询并接收反馈数据，如图7。图7业务状态监测功能6.5代码表发布功能CDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）违法违规网站管理ISMS定时主动上报违法违规网站记录CDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）违法信息监测SMMS下发监测指令ISMS根据SMMS指令要求将监测记录实时自动上报给SMMSCDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）违法过滤处置SMMS下发过滤指令ISMS根据SMMS指令要求将违法信息进行过滤并将记录自动实时上报给SMMSCDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）业务状态监测管理ISMS定时主动上报业务状态监测记录6SMMS通过接口将系统所用代码全量下发给企业侧系统，企业系统根据下发的代码更新本地代码，如图8。图8代码表发布功能6.6疑似数据与异常数据疑似数据与异常数据推送指令——SMMS将收集后的疑似数据与异常数据推送给企业侧系统，企业根据下发内容进行相应本地操作，如图9。图9疑似数据与异常数据推送疑似数据与异常数据指令反馈——企业侧系统在针对SMMS推送的疑似与异常数据进行处理后，对SMMS进行数据反馈，如图10。图10疑似数据与异常数据反馈疑似数据与异常数据反馈处理——SMMS针对企业侧反馈后的数据进行核验，核验通过的数据进行归档操作，核验未通过的数据退回给企业侧系统，如图11。图11疑似数据与异常数据反馈处理7接口流程CDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）SMMS下代码表指令代码表发布CDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）SMMS下代码表指令疑似数据与异常数据推送CDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）疑似数据与异常数据反馈ISMS反馈指令处理内容CDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）SMMS下代码表指令疑似数据与异常数据反馈处理77.1通信方式ISMI包括命令通道和数据通道：——命令通道采用WebService方式，SMMS通过调用ISMI接口方法将管理指令等下发给ISMS，管理指令处理流程见7.2，查询指令流程见7.3，推送指令流程见7.4，接口方法见8.1、8.2；——数据通道采用FTP方式，ISMS使用FTP协议或SFTP协议将数据文件上报给SMMS，数据上报流程见7.5，接口方法见8.3。7.2管理指令处理流程SMMS通过管理指令完成对ISMS基础数据核验处理、违法网站列表管理、违法信息监测和处置指令管理等功能。SMMS将管理指令发送到ISMS后，等待接收ISMS反馈的指令生效反馈信息。管理指令处理流程如下（见图12）：1)SMMS系统调用cdn_command()方法，将指令下发至ISMS。指令以XML文件的格式封装。2)ISMS接收SMMS下发指令，进行认证和信息校验，完成信息校验后保存指令，并在同一连接内及时反馈指令接收是否成功的信息（见11.16）；如果ISMS没有成功收到下发命令，SMMS则需要重新下发指令。3)ISMS在约定时间内执行指令，将指令生效的结果信息通过调用cdn_commandack()方法返回给SMMS，返回的内容是以XML文件的格式封装的结果（见11.15）。4)SMMS接收ISMS的指令生效结果信息，完成信息校验后进行保存，并在同一连接内及时反馈接收情况（见11.16）；如SMMS没有成功收到指令生效信息，ISMS需要重新上报指令生效结果信息。5)如果下发的指令需要上报数据，则ISMS调用数据上报流程上报数据。图12管理指令处理流程示意7.3查询指令处理流程SMMS通过查询指令查询ISMS的基础数据记录、访问日志记录等。符合查询条件的数据记录通过数据上报流程异步上报到SMMS。SMMS将查询指令下发ISMS后，等待接收ISMS按条件查询后的反馈信息。查询指令处理流程如下（见图13）：1)SMMS系统调用cdn_command()方法，将查询指令下发至ISMS。指令以XML文件的格式封装。2)ISMS接收SMMS下发的查询指令，对指令进行信息校验。完成校验后保存查询指令，并在同一连接内及时反馈指令接收情况（见11.16）；如ISMS没有成功接收到下发命令，SMMS则需要重新下发。3)查询的结果信息通过调用数据上报流程返回查询结果。CDN业务安全监管系统（SMMS）CDN业务信息安全管理系统（ISMS）1.cdn_command2.cdn_command返回5.file_load4.cdn_commandack返回——1、2、3、4使用指令通道，用WebService实现；——5使用数据