談IDC網絡安全的構建

羅耀宗

?

談IDC網絡安全的構建

羅耀宗

中通服建設有限公司，廣東 東莞 523000

當前，我國的IDC建設已步入快速發展期，IDC業務需求也在日益擴大。面對這種形勢，如何進一步提升服務質量，強化一站式服務，保障網絡安全，已成為IDC能否盈利的關鍵。分析了維護IDC網絡安全的關鍵點，基于網絡安全設計原則的基礎上，提出了構建IDC網絡安全的幾點措施，希望為IDC的未來發展有所貢獻。

IDC；網絡安全；構建

IDC是互聯網業務的重要組成部分，是電信部門提供服務的核心平臺。近些年來，隨著國家“寬帶戰略”的逐步實施，IDC業務得到了快速發展，而網絡安全問題也日益凸顯出來，困擾著IDC機房管理人員，也阻礙著IDC業務的健康發展[1]。對此，需要對影響IDC網絡安全的關鍵因素進行系統研究，并明確相關設計原則，在此基礎上，研究IDC網絡安全體系的構建。只有這樣，才能使IDC業務的服務水平獲得整體提升。

1 IDC網絡信息安全的關鍵點

1.1 域名/IP備案

在我國現行的法律法規中，嚴令禁止未備案網站接入網絡。在這種背景下，如何對IDC進行高效全面地管控、審核確認備案信息則成為一個關鍵問題，尤其在那些內容鏡像的加速網絡環境中，主服務器可能在異地，由本地多個IP進行自動選擇，外加有些客戶自行安裝負載均衡系統，這對于維護人員如何快速、準確地分析出哪一個應用訪問的IP地址以及所在服務器無疑是一項巨大的考驗。

1.2 非法信息管控

這里所說的非法信息指違反國家法律法規并在網絡上傳播、存儲的信息，如反動、色情、詐騙、謠言等信息。當前，由于網絡信息過濾分析系統過于復雜和昂貴，因此絕大多數IDC使用者并不具有實時監測非法信息的能力，只能被動地根據相關監管部門的通知進行某些應急處理。此外，隨著人們的日常工作、生活與網絡聯系得越來越緊密，以及發展社會經濟的整體需求，更加凸顯出管控網絡非法信息的重要性，必須引起IDC使用者的高度重視，并做好切實有效的防范措施，絕非被動的事后補救。

1.3 主機入侵

來自IDC外部的入侵者會通過木馬病毒、漏洞攻擊、暴力破解等途徑控制機房中的某臺主機，并利用這臺主機作為堡壘，對其他主機進行攻擊與破壞，或從IDC內部向外部網絡發起攻擊，不但導致受控主機的業務不可用，此IDC的其他服務器也會因帶寬資源被大量耗用而無法正常開展各項業務，進而對IDC服務造成極大的危害。

1.4 不可抵賴證據

真正意義上的不可抵賴性保障需要經由數字簽名技術進行處理，也就是說，需要第三方CA機構。IDC所有方一般只提供資源出租相關服務，而實際應用一般都是在客戶的自有服務器上實現，對第三方監管的需求不大。目前討論的網絡非法行為可跟蹤、可記錄、可查看、可分析，為網絡信息安全威脅行為及時提供證據，令非法入侵者、傳播者無可抵賴[2]。

2 網絡安全策略

結合當前網絡系統的實際情況，解決網絡安全保密問題成為當務之急，考慮到技術及經費等因素，建議采用以下安全策略：首先，使用漏洞掃描技術對重要網絡及設備進行風險評估，確保信息系統在最佳的網絡環境下運行；其次，由防火墻技術、NAT技術、VPN技術、網絡加密技術、身份認證技術、防病毒系統以及入侵檢測技術構建起網絡安全的防御體系；再次，制定并不斷完善安全管理制度，對網絡攻擊行為實現快速響應與快速恢復；最后，建立起分層管理模式，完善各級網絡安全管理中心。

3 IDC網絡信息安全的構建策略

3.1 建立IDC信息安全管理平臺

伴隨著互聯網技術與信息安全技術的快速發展，已建成專業的網絡信息安全管理平臺，即IDC信息安全審計管理系統。該系統具有以下功能。

（1）IP/域名管理。可根據各種條件對域名信息進行查詢，如根據IP查詢域名、根據域名查詢1P，還可以查詢看到主機所在位置、機房編號以及主機使用單位等相關信息。（2）監控管理。對IDC機房中的HTTP/WAP Post（網頁發帖）、HTTP/WAP Get（網頁瀏覽）、FTP、SMTP、POP3、Telnet等協議中的有害信息進行審計，一旦發現，立即報警。（3）封堵管理。可對IP、網站、特定網頁（URL）進行封堵功能的添加和取消。（4）圖片分析。可通過程序自動審查和人工審查對JPG、PNG、GIF、TIF、BMP等格式的圖片進行捕獲分析，由程序自動審查所造成的遺漏，可通過人工審查進行彌補。（5）日志管理記錄。該功能可于IDC機房中的網頁訪問日志、FTP訪問日志、Telnet訪問日志、郵件（SMTP，POP3）日志等網絡服務訪問日志進行分類管理。（6）報表管理。可對IDC機房的各種網絡數據進行匯總與統計，并通過柱狀圖、餅狀圖、曲線圖等樣式提供統計圖與統計報表，統計項目包括服務類型統計、熱點訪問量及排行統計、訪問趨勢預測、流量趨勢分析等。（7）系統管理。可對系統用戶權限、各項參數配置、探針服務器、命令和策略下發等環節進行管理。（8）信息管理。將系統收集到的報警信息、日志信息、IDC運行狀態、客戶端用戶注冊信息以及域名備案信息上傳到第三方管理平臺，為各類信息的統一的管理與分析提供對外接口。

3.2 密碼管理

首先，對所有的設備、主機、數據庫系統的默認密碼進行修改。其次，在設置新密碼時，一要保證足夠的位數，不要設置為人、物或組織名稱；二要保證足夠的復雜程度，不能是鍵盤上有序的序列。再次，密碼要以加密的形式進行保存，輸入時不要顯示明文；此外，定期更改密碼，為避免管理人員遺忘，可在系統中設置強制要求修改密碼功能。最后，務必加強密碼管理，提高網絡安全維護人員的防范意識，以防密碼丟失和外泄。

3.3 建立IDC運營管理系統

我國的IDC行業具有“誰接入、誰負責”的規定，并在IP/ICP備案、不良信息監控等方面具有明確的指導性政策；同時，為了保持IDC的持續健康運營，也必須建立起一套標準化的運營管理體系[3]。實際管理的過程中，面對機房資源、網絡數據、客戶資料以及網站備案信息等大量的數據，當具備條件時，要第一時間建立起一套運營管理系統，將IDC的各個工作環節有機地結合起來，全面構建起IDC網絡安全體系，從而為用戶提供更專業、更方便、更高效的服務。

4 結束語

正所謂“信息融合世界，安全保障發展”。IDC要想實現真正意義上的網絡信息安全，就必須對各個環節的安全防護進行綜合考量與分析，并提出行之有效的保障措施。隨著網絡技術不斷向前發展，還會出現很多新情況與新問題，安全問題的關鍵點及其解決措施必然也會發生相應的變化。為保障IDC安全而建立起來的各項制度、流程、技術措施等內容也要及時進行調整，并確保落實到位。只有這樣，才能為IDC網絡信息安全提供必要的支撐，推動IDC的可持續發展。

[1]王婷，黃文培. IDC網絡安全技術研究[J]. 網絡安全技術與應用，2007（3）：28-30.

[2]孟照讓. IDC安全防護體系建設策略[J]. 電信技術，2006（11）：58-62.

[3]賈鐵軍. 網絡安全技術及應用[M]. 北京：機械工業出版社，2009.

Talking about the Construction of IDC Network Security

Luo Yaozong

China Comservice Construction Co., Ltd., Guangdong Dongguan 523000

At present, China’s IDC construction has entered a period of rapid development, and the demand for IDC business is also expanding. Faced with this situation, how to further improve service quality, strengthen one-stop service, and ensure network security have become the key to the profitability of IDC. The key points of maintaining IDC network security are analyzed. Based on the principles of network security design, several measures are proposed to construct IDC network security, hoping to contribute to the future development of IDC.

IDC; network security; construction

TP393.08

A