淺談IDC網(wǎng)絡(luò)安全建設(shè)

楊 柏

中國移動通信集團(tuán)廣西有限公司，廣西 南寧 530028

1 概述

隨著中國互聯(lián)網(wǎng)以超常的速度向前發(fā)展，企業(yè)用戶對IDC的需求也日益增長，作為其主要承載平臺IDC也受到越來越多的關(guān)注，而網(wǎng)絡(luò)安全則一直是研究的焦點之一。

2 IDC定義及網(wǎng)絡(luò)安全現(xiàn)狀

IDC即Internet Data Center，是基于Internet網(wǎng)絡(luò)，為集中式收集、存儲、處理和發(fā)送數(shù)據(jù)的設(shè)備提供運行維護(hù)的設(shè)施基地并提供相關(guān)的服務(wù)。IDC提供的主要業(yè)務(wù)包括域名注冊查詢主機托管（機位、機架、機房出租）、資源出租（如虛擬主機業(yè)務(wù)、數(shù)據(jù)存儲服務(wù)）、系統(tǒng)維護(hù)（系統(tǒng)配置、數(shù)據(jù)備份、故障排除服務(wù)）、管理服務(wù)（如帶寬管理、流量分析、負(fù)載均衡、入侵檢測、系統(tǒng)漏洞診斷），以及其他支撐、運行服務(wù)等[1]。

IDC網(wǎng)絡(luò)安全問題主要可以劃分為以下幾個方面。

（1）流量攻擊問題

主要表現(xiàn)為：來自外部互聯(lián)網(wǎng)，針對IDC的DDoS攻擊（重要用戶服務(wù)器遭受攻擊，IDC鏈路帶寬被占用，視頻、游戲、網(wǎng)游等應(yīng)用層攻擊越來越多）；IDC內(nèi)部主機對外網(wǎng)的DDoS攻擊（IDC主機被僵尸程序控制、利用IDC良好的系統(tǒng)資源和鏈路資源）；來自專線接入鏈路的DDoS攻擊（內(nèi)部IDC互聯(lián)鏈路、小型IDC上連鏈路、SP系統(tǒng)接入鏈路、CDN及網(wǎng)站鏡像鏈路）等。

（2）自有/托管網(wǎng)站安全問題

主要表現(xiàn)為：拒絕服務(wù)攻擊（系統(tǒng)癱瘓、停止服務(wù)）、非法入侵（篡改網(wǎng)頁、掛馬）、惡意代碼（破壞、盜取）、跨站腳本（盜取、掛馬）等。

（3）不良內(nèi)容傳播問題

主要表現(xiàn)為：無法掌握IDC中所有的網(wǎng)站域名、無法了解IDC中網(wǎng)站域名是否已經(jīng)備案、無法獲取托管服務(wù)器網(wǎng)站中是否存在文字/圖片等形式的不良信息、無法了解托管服務(wù)器網(wǎng)站是否被上傳不良的頁面內(nèi)容。

（4）運維管理的安全問題

主要表現(xiàn)為：粗放式權(quán)限管理，安全性難以保證、賬號管理混亂、第三方代維帶來安全隱患、設(shè)備自身日志難以有效定位安全事件、傳統(tǒng)網(wǎng)絡(luò)安全審計難以滿足運維管理要求、面臨法規(guī)遵從壓力。

3 IDC網(wǎng)絡(luò)安全建設(shè)方案

解決IDC面臨的安全問題，單一設(shè)備或單一系統(tǒng)無法解決IDC的安全問題，需要采用多層面全方位的解決方案來應(yīng)對IDC的安全問題。

（1）互聯(lián)網(wǎng)接入層

應(yīng)用監(jiān)控系統(tǒng)：通過分光/鏡像方式將互聯(lián)網(wǎng)流量復(fù)制到應(yīng)用監(jiān)控系統(tǒng)中，通過分析提供不良信息監(jiān)測、異常郵件行為監(jiān)測、垃圾郵件過濾、網(wǎng)站內(nèi)容有效性測試、業(yè)務(wù)流量統(tǒng)計分析、備案管理等功能。

流量清洗系統(tǒng)：提供對大流量DDOS的攻擊檢測和清洗功能，保證IDC內(nèi)部系統(tǒng)正常工作。與應(yīng)用監(jiān)控系統(tǒng)聯(lián)動，應(yīng)用監(jiān)控系統(tǒng)檢測到異常流量攻擊后，上報流量清洗系統(tǒng)并把受攻擊的主機流量引入清洗系統(tǒng)進(jìn)行異常流量清洗，將清洗后的正常業(yè)務(wù)流量重新注回網(wǎng)絡(luò)。

防火墻：部署在互聯(lián)網(wǎng)接入層或匯聚層，主要功能是將IDC與不可信任域進(jìn)行有效地隔離與訪問控制，IDC出口流量較大，使用千兆或萬兆防火墻。

（2）業(yè)務(wù)匯聚層

入侵檢測系統(tǒng)：部署在IDC匯聚層，通過入侵檢測系統(tǒng)和防火墻聯(lián)動，為IDC網(wǎng)絡(luò)提供實時的入侵檢測和可靠的防護(hù)手段，降低網(wǎng)絡(luò)安全風(fēng)險。入侵檢測設(shè)備也可部署在有防護(hù)需求的服務(wù)器之前。

安全審計系統(tǒng)：部署在IDC匯聚層，通過進(jìn)出IDC的數(shù)據(jù)進(jìn)行實時的審計，對關(guān)鍵字、web訪問、數(shù)據(jù)庫操作、服務(wù)器操作等網(wǎng)絡(luò)行為進(jìn)行記錄，及時發(fā)現(xiàn)網(wǎng)絡(luò)異常，便于事后審計溯源。

漏洞掃描系統(tǒng)：基于主機和網(wǎng)絡(luò)的安全漏洞掃描評估工具，主要用于評估多種操作系統(tǒng)平臺和應(yīng)用系統(tǒng)的安全性，同時檢查這些系統(tǒng)是否符合業(yè)界最佳的安全實踐和規(guī)范，及時發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)中存在的諸如系統(tǒng)漏洞、配置錯誤、文件變更、違背安全策略的情況并加以矯正。

負(fù)載均衡：部署在匯聚層或者業(yè)務(wù)接入層，支持共享負(fù)載均衡和獨享負(fù)載均衡，共享負(fù)載均衡指購買此項增值服務(wù)的所有托管客戶的服務(wù)器都可以共享IDC購置的負(fù)載均衡設(shè)施；獨享負(fù)載均衡主要是為了避免共享用戶爭用負(fù)載均衡設(shè)備資源的可能，為大的IDC客戶單獨建立負(fù)載均衡設(shè)施，以保證達(dá)到良好的效果。

SSL加速：SSL加速設(shè)備可部署在匯聚層或業(yè)務(wù)接入層，提供高速硬件加解密能力，為IDC內(nèi)的電子商務(wù)類網(wǎng)站提供加速服務(wù)。

（3）業(yè)務(wù)接入層&運維管理層

網(wǎng)頁防篡改系統(tǒng)：部署在業(yè)務(wù)接入層，防范WEB服務(wù)器上的網(wǎng)站頁面被非法篡改，且在頁面遭受非法篡改后能夠自動屏蔽非法網(wǎng)頁以及進(jìn)行頁面的自動恢復(fù)。

防火墻：部署在運維管理層，負(fù)責(zé)將運維管理層各用戶區(qū)域和IDC管理區(qū)域間網(wǎng)絡(luò)隔離和訪問控制，宜采用百兆或千兆防火墻。

VPN安全接入設(shè)備：VPN安全接入設(shè)備部署在運維管理層，為運營商運維人員、客戶維護(hù)人員提供安全可靠的IPSec/SSL VPN遠(yuǎn)程接入手段，實現(xiàn)遠(yuǎn)程訪問、維護(hù)IDC核心資源的目的。通過部署VPN可以保證數(shù)據(jù)在互聯(lián)網(wǎng)上傳輸?shù)乃接行浴⑼暾院驼鎸嵭裕苊鈱⒒ヂ?lián)網(wǎng)風(fēng)險引入到IDC運維管理區(qū)域。

用戶接入審計系統(tǒng)：部署在運維管理層，提供對終端用戶的身份認(rèn)證、安全策略檢查、終端審計、用戶行為審計、安全準(zhǔn)入等功能，保障運維管理區(qū)域終端的安全性和合規(guī)性。

防病毒系統(tǒng)：防病毒系統(tǒng)部署在運維管理區(qū)，要求所有終端和IDC自有設(shè)備部署防病毒及惡意代碼的軟件，達(dá)到“層層設(shè)防、集中控制、以防為主、防殺結(jié)合”的策略要求。

4 結(jié)束語

本文分析了現(xiàn)階段IDC網(wǎng)絡(luò)安全鎖面臨的一系列風(fēng)險，得出的結(jié)論是IDC需要構(gòu)建一套有效的安全防護(hù)體系。本文從IDC的基本網(wǎng)絡(luò)架構(gòu)層次提出了相應(yīng)的安全解決方案，最終構(gòu)成了一套全方位的IDC網(wǎng)絡(luò)安全防護(hù)體系，對于IDC的建設(shè)有一定的借鑒意義。

[1]百度百科 http://baike. baidu. com.

[2]中國移動通信集團(tuán). 中國移動IDC總體技術(shù)要求.

[3]諸葛建偉，頁志遠(yuǎn)等. 攻擊技術(shù)分類研究[J]. 計算機工程，2005.