IDC安全管理解決方案

◆歐陽春

(中國移動通信集團重慶有限公司計劃部 重慶 401120 )

IDC安全管理解決方案

◆歐陽春

(中國移動通信集團重慶有限公司計劃部 重慶 401120 )

互聯網的普及，企業用戶對數據中心的依賴都使得互聯網數據中心（IDC， Internet Data Center）必須具備更大的容量、更高的能力，且同時具備多種業務模式和運營模式。在 IDC發展的同時，安全性和可靠性成為其不可輕視的兩大要素。本文通過分析 IDC存在的安全隱患，并針對相關問題總結提取出對應的防護方案。

互聯網數據中心；檢測方法；防范措施

0 引言

互聯網數據中心（IDC，Internet Data Center）在為互聯網的業務，政府、企事業單位提供信息服務的同時，還可以進行主機租賃與托管、租用網絡寬帶、企業建站等可增值的服務。客戶在租用IDC的服務器或帶寬后，可利用IDC的技術來進行互聯網平臺的建設，并享用IDC提供的一系列服務。IDC不僅存儲著大量的數據，而且還可進行數據備份和數據交換。IDC的安全關系著萬千相關用戶與企業的安全。

1 IDC設計原則

IDC的設計原則多是將IDC按照區域或層次進行劃分，在獲得良好的分區和層次后，令它們負責各自的安全和防御問題。

IDC的業務可劃分為多個子系統，多個子系統之間可以進行數據共享和業務互訪，但為保證其自身的安全，子系統也必須同時具備數據的訪問控制和隔離能力。因此，對于IDC層次的劃分，必須在考慮整個IDC系統安全的同時，也考慮到單個系統的安全問題，對單個系統的訪問進行控制，并對不同的系統采取不同方式的安全防護手段，具體劃分情況如圖1所示。IDC劃分層次與區域大多使用以下方式：基于內外部分進行分流。基于業務模塊進行隔離。基于應用訪問功能不同進行分層。

圖1 IDC層次劃分結構圖

1.1 分層

IDC遵循內外部分流的原則，可分為4層：互聯網接入層、匯聚層、業務接入層和運維管理層。

互聯網接入層是IDC的網絡核心層，其主要功能是對核心路由器進行配置，并對內網與外網的路由信息進行維護和轉換，再將匯聚層的各個交換機連接起來。

匯聚層向上可與核心路由器進行互聯，向下可匯聚業務與業務層進行業務接入，IDC一般會設置一些基于流量和安全的管理設備來對匯聚層進行保護和防御。

業務接入層主要功能是利用交換機對不同業務區內的服務器和網絡設備進行接入。

運維層大多是獨立存在的，與業務網絡層成隔離狀態。本層通過接入運維管理層，并對交換機進行匯聚來完成對各個子系統中的各種設備的管理和保護。

運營管理層支撐著整個IDC運行的穩定性和業務的運營，其主要功能是對網絡運營，業務資源等進行管理。

1.2 分區

IDC在安全防御、管理業務等方面的需求是不同的，因此，按照不同的需求可對IDC劃分為如下幾個區域：互聯網域、接入域、服務域、管理域、計算域等。各個域間通過設置防火墻來確保域之間處于隔離的狀態，并對域間訪問進行控制。

互聯網域主要對用戶的訪問進行管理，有的高級用戶可進行自助管理。接入域又稱非軍事化隔離區（DMZ），在用戶接入IDC時為其提供統一的界面與接口。服務域具備多種網絡服務能力，包括域名解析、身份認證與授權等。計算域，顧名思義，擁有計算能力，可根據不同的安全需求來重新劃分安全的子域。管理域是對IDC安全、運營、業務等多方面進行管理。多個域的安全級別從高到低排序為：計算域、管理域、服務域、接入域、用戶域。

1.3 分級

IDC的核心資源為服務器，因此按照服務器的功能進行層次的劃分是行之有效的方案。這種劃分方式，不僅解決了將所有功能保存于單一服務器時所引發的安全問題，還增加了服務器更多的擴展性和可用性。

按照服務器功能，可將IDC分為三級，分別是Web服務器、應用層、數據庫。Web服務器主要為客戶提供應用，例如Apache、Tomcat服務器等。應用層主要功能是將應用程序、數據庫、服務器等部位結合起來，例如J2EE這個中間技術。數據庫儲存所有的原始數據，這些數據有的可以在程序間進行共享。

此類分區保證了域之間的良好隔離與安全性，若對每個域都實施安全防御策略，可最大限度的保證IDC的安全。

2 IDC安全分析

IDC業務正在迅猛增長，越來越多的用戶與企業開始使用IDC來建立托管業務等，但IDC是一個復雜的數據中心，不僅數據敏感復雜，且具備連帶效應。當IDC某個區域遭遇攻擊時，整個IDC都有可能崩潰。因此，建設安全的 IDC 已經成為當務之急。

2.1 IDC存在的特性

IDC，又可看做是一個復雜的局域網。IDC不僅要確保與Internet進行隔離，而且還要滿足不同層級的需求，因此，IDC本身就存在著如下的特點：（1）數據敏感：存在被攻擊者截取或惡意篡改的風險。（2）用戶身份問題：存在攻擊者冒充正常用戶對IDC進行惡意操作的風險。（3）IDC安全的“動態性”：隨著系統和設備的不斷更新，新的安全漏洞隨之而來，以前的防護部署已經不能確保IDC的安全，需要不斷的對IDC進行檢查并更新防護系統。（4）系統的多樣性：IDC系統中存在著大量的主機系統，這些系統大多來自IDC自身與客戶，但主機系統存在著多樣性，既有Windows，也有Linux，更有Unix。不同操作系統面臨的安全問題不同。因此，IDC系統的多樣性將導致IDC面臨更多的威脅與攻擊。（5）連帶效應：在IDC中，若攻擊者對一個層級或者主機發起攻擊，便會影響到整個IDC的安全。

由上可見，對于IDC的安全防護僅靠在某個方面進行防御是遠遠不夠的，按照層級的劃分，對不同層級進行嚴格的安全檢測與防御，才能最大限度的保證IDC的安全。

2.2 IDC常見的安全威脅

IDC最常見的安全威脅有三種，分別是：拒絕服務攻擊(DoS)和分布式拒絕服務攻擊(DDoS)、蠕蟲病毒攻擊、侵入攻擊。

（1）拒絕服務攻擊(DDoS/DoS)

在 IDC中，最常見的攻擊方式便是分布式拒絕服務攻擊(DDOS)。此類攻擊使用大量傀儡機來惡意耗損網絡資源，從而導致IDC拒絕服務。

在DDoS攻擊中，所發起的攻擊請求均是合法的，攻擊者偽裝成正常用戶對目標主機發起攻擊，有著良好的隱蔽性。當IDC的某個服務器收到DDoS攻擊時，會導致自身無法提供服務，若出現更大規模的DDoS攻擊，可能會導致IDC的訪問連接數與流量超過IDC的當前閾值，造成IDC崩潰的現象。

（2）網絡傳播病毒攻擊

網絡病毒傳播具有高速率、易隱蔽的特點。目前，病毒的制造技術已經越來越先進，在結合破解程序的基礎上，又具備交叉感染能力，形成危害更大的病毒群體。在IDC的服務器群中，以Windows操作系統最為常見，而Window操作系統安全性較低。若IDC中某個服務器被傳染了病毒，那么病毒便會以越來越高的速率向其他服務器進行傳播，威脅著整個IDC服務器的安全。

（3）入侵破壞攻擊

入侵攻擊，大多是攻擊者利用已知漏洞來對IDC進行非法訪問和操作，導致敏感信息泄露或丟失等。若攻擊者在獲得控制權后，在IDC主機中植入木馬程序，并利用該程序來攻擊其他主機和服務器，那么整個IDC便會不堪一擊。

3 IDC安全防御檢測技術

IDC的安全防御可從系統和應用兩方面來考慮。IDC系統平臺安全的需求為：操作系統安全、數據庫安全、若發現漏洞能夠及時修補，同時能夠有效的對病毒進行防范等。IDC應用平臺的安全需求為：提供身份認證、數據完整且保密，不同用戶間進行有效隔離等。

因此，針對以上存在的各種安全隱患和安全需求，專家們提出了不同的防御檢測措施，主要有專用 VLAN（private VLAN，簡稱pVLAN）、虛擬專用網、防火墻、入侵檢測（Intrusion Detection System，簡稱IDS）、漏洞掃描等多種方案。本章針對以上多個技術進行總結，分析出其優劣性，并提出建議。

3.1 專用 VLAN

IDC在為每個托管用戶提供服務的同時，也要保證不同用戶的服務器之間的安全性，而IDC保證服務器安全性的方法就是為每個客戶分配一個單獨的VLAN和IP子網。在分配了VLAN之后，用戶的服務器將會在第2層被隔離開來，以此來防止攻擊者的惡意操作或對敏感信息的截取等。

但，上述的這種方式耗資巨大，有著一定的局限性，具體如下所示：

VLAN的限制性：在LAN交換機中，VLAN的數目是固定的。當存在托管用戶較多時，VLAN便無法發揮作用。

樹協議的復雜性：在每個被分配的VLAN中，需要對任何相關的生成樹進行管理，過程復雜。

IP地址的浪費：為每個托管用戶分配一個子IP會造成不必要的浪費。

路由限制：若在分配過程中使用了熱備份路由器協議（HSRP，Hot Standby Router Protocol），那么每個子網都需要IDC為其配置相應的網關。

在IDC中，流量多是在服務器和客戶之間進行流通，服務器與服務器之間的流量幾乎為零。因此，為改進上述的缺點，IDC采用了專用VLAN的方式。專用的VLAN在不需要為每個服務器分配單獨的VLAN和IP子網的情況下就可以實現安全連接。將所有的服務器都接入專用的VLAN，那么服務器便會和其缺省網關之間實現互連，而同一個VLAN間的服務器間沒有任何關聯。專用VLAN，在有效的改進了上述局限問題后，很好的將用戶服務器隔離開來，保證了每個用戶服務器的安全。

3.2 虛擬專用網

目前存在的VPN主要有兩種：防火墻到防火墻的VPN和移動用戶到VPN防火墻/網關設備的VPN。VPN借助公用互聯網建立起一個專用網絡，進行加密通訊。通過VPN，不僅可實現企業分支機構的信息互通，還可使 IP地址不固定的企業員工實現對企業內部資源的訪問。但隨著IDC業務的增長，如何在有限的帶寬實現VPN，并保證服務質量（QoS）是需要考慮的問題。目前主流的技術是將網絡控制和應用控制結合起來，即將 VPN與身份認證、訪問管理等技術結合起來，最大限度的保證用戶的訪問控制以及服務器間的安全隔離。

3.3 防火墻

防火墻（Firewall）通過對內部網絡與外部網絡間的通信活動進行有效的監視，來防止惡意用戶對內部網絡進行訪問，以此來確保內部網絡的安全運行。防火墻通常是網絡安全的第一道防線，不僅可以實現對訪問主機的控制，還可過濾掉未授權的協議或用戶，在監視內外網絡通信活動的同時，記錄相關的網絡日志，有效的保證IDC的安全運行。

目前，基于狀態的包檢測技術和虛擬防火墻是防火墻發展的目標。基于狀態的包檢測技術重點在于 ACL技術，通過對包進行動態檢測來決定其能否通過防火墻。虛擬防火墻是將物理防火墻劃分成多個，且相互獨立，并根據不同的需求設置不同的訪問控制措施。

防火墻雖然可以有效的監控內外網絡的通信活動，但仍然存在著漏洞。若攻擊本身來自于網絡內部，或某些攻擊可以繞過防火墻的檢測，對于上述攻擊，防火墻不能進行有效的檢測。因此，對于IDC的整體安全問題，應考慮從各個層次分別進行保護。

3.4 入侵檢測系統

入侵檢測系統（Intrusion Detection System，簡稱為IDS）通過監視和分析用戶與主機的行為，來檢測網絡中是否存在攻擊數據和行為。IDS可對系統的配置進行檢測，并查找漏洞，并針對漏洞自行收集相關補丁。使用IDS可以實時有效的監視、檢測系統與用戶，實現對IDC的有效保護。

按照原始數據的來源，可以將IDS分為三類：

網絡型IDS（NIDS）：NIDS利用適配器來實時監視并分析網絡中的所有通信業務，通過監聽網絡上的所有分組來進行數據采集，并分析可疑的現象。NIDS具有良好的隱蔽性，監聽視野較為寬廣，監聽速度較快，且占用資源較少。

主機型IDS（HIDS）：HIDS主要是通過分析主機的日志文件來分析異常。主機記錄的日志同時記錄了正常用戶和攻擊者的訪問記錄，通過對日志文件進行分析，發現異常行為，并針對異常行為立即啟動相應的處理方案。HIDS與網絡流量沒有直接關系，監視視野相對集中，且可由用戶來自定義，構造出更加嚴密的檢測方案。

混合分布型IDS：混合分布型IDS既可以通過監聽網絡，也可以通過主機日志等來收集數據，利用這些數據，分析出用戶的異常行為。

IDS在IDC中可進行入侵行為檢測、入侵追蹤定位、網絡訪問控制、網絡病毒監控（特別是蠕蟲病毒）、拒絕服務攻擊發現和追蹤、網絡行為審計、主機行為審計、網絡狀態分析等操作。IDS是IDC的第二道安全防線，將IDS部署在不同的分層上，以此來及時的發現攻擊行為，并與防火墻、安全網關設備等結合起來，形成從鏈路層到應用層的全面防護，動態有效的對IDC進行安全防護。

3.5 漏洞掃描

漏洞掃描（Vulnerability Scanning）技術通過與目標主機建立安全連接，并在安全連接之后對主機進行掃描，以此來發現目標主機中可能存在的安全隱患。IDC的運維工程師利用VS技術對IDC中的各個部分，例如主機的操作系統、防火墻等進行掃描，發現其中存在的安全漏洞，并對漏洞進行及時的修補。

漏洞掃描重要的地方便是要在攻擊者發現漏洞之前發現漏洞，并及時的采取修補措施，這一點，也正是漏洞掃描技術的缺點所在，且該技術不能對不同網段的主機進行掃描，僅能發現已經被公開的漏洞，對隱形的漏洞缺乏預知能力。因此，僅使用漏洞掃描技術并不能有效的保護IDC的安全。

3.6 流量清洗

流量清洗措施目的是為了防止攻擊者對 IDC發起 DDoS攻擊。在IDC出口和入口處分別設置流量清洗方案，對進出的流量進行監測，當發現異常流量時，立即開啟防御措施，并將異常流量送到清洗設備進行清洗，正常的流量將正常的進行業務處理。

3.7 安全加密技術

數據加密技術是通過某種算法對 IDC中的敏感文件或數據進行處理，使文件變成不可讀狀態，只有通過解密才能顯示出來。通過這種方式來保護IDC中的數據安全相對來說是可靠的，加密后的數據就算被攻擊者竊取，也能一定程度的保護數據的安全。

目前，常用的數據加密技術有數據加密傳送、數字簽證、密鑰檢測等，將這些技術結合起來，能夠實現對IDC數據的有效保護。

3.8 安裝必要的安全軟件

如今，互聯網普及率已經越來越高，因此，病毒在互聯網中的傳播速度已經越來越快。為防止病毒的傳播，IDC應為主機安裝相應的防病毒軟件、僵尸木馬檢測軟件等，定期對主機系統進行掃描和檢查，發現漏洞，并及時處理。安裝安全軟件，雖然不能從根本上解決IDC的安全問題，但是卻能有效的預防病毒漏洞的傳播，是一個行之有效的解決方案。

3.9 安全管理

最后，在為IDC部署檢測方案的基礎上，應考慮對系統進行建立多層次的管理，確保安全策略、部件能夠集中部署和管理，從安全管理方面有效的提高IDC的整體防御能力。

在硬件方面，應對網絡設備進行定期檢查，定期掃描等，一旦發現安全威脅，就及時采取處理措施。在安全事件與信息管理方面，應對主機安全日志以及網絡設備等的安全事件與信息進行管理。主機日志又分為操作日志、運行日志、故障日志等，對不同日志進行管理，以此來獲取設備、主機、系統等運行報告。在訪問權限方面，應對不同等級用戶設置不同的權限，比如普通用戶只能查看，而管理員可以登錄，高級管理員可以登錄后臺等。在故障管理方面，應對多類高危操作進行預防，針對不同的高危類別設置不同的響應。如，輕度高危操作發起警告，還有故障處理，應急處理，部件更換等，努力將IDC的安全風險降到最低。

4 總結

在真實的IDC安全防御中，上述任何一種方案單獨實施起來都不可能會有效的對IDC進行安全防護。因此，在IDC的動態環境中，只有將上述所有的安全技術都結合起來，才能最大限度的發揮各種安全技術的優勢，另，因DDoS攻擊目前還沒有精確的檢測和防御方案，因此，可在IDC的入口處設立抗DDoS產品，形成一個立體的安全防護與檢測體系，有效的保護IDC的安全。

[1]張高山，曹一生，袁捷等.IDC運維管理中的安全解決方案[J].電信工程技術與標準化，2010.

[2]汪芳，陳清金，房秉毅.互聯網數據中心安全管理[J].中興通訊技術，2012.

[3]高鑫.互聯網數據中心安全解決方案[J].通訊世界，2014.

[4]黃東.信息安全風險評估常見的問題及對策 ——廣州電信IDC信息安全管理體系持續改進咨詢輔導經驗談[J].數字通信世界，2016.

[5]黃永軍.IDC/ISP信息安全管理系統及其信息管理方法.CN105490831A[P]，2016.