聯通IDC網絡安全問題及對策

王昊

摘要：互聯網數據中心簡稱IDC，主要是利用互聯網技術對企業的網站或其他應用提供管理服務，例如主機托管、應用托管等都是IDC的常見業務。通過上述定義我們就知道，一旦IDC的網絡安全出現問題，遭到攻擊，就會給企業帶來巨大的損失。為了避免企業的直接或間接經濟損失，獲得客戶的信任，需要對IDC目前尚存的一些安全問題加以解決，本文結合目前的IDC發展情況，簡要的給出了一些網絡安全問題的解決對策，希望通過本文的閱讀，能夠給聯通IDC網絡安全相關問題的研究人員提供一定的幫助和啟發。

關鍵：聯通IDC；網絡安全；對策

前言：

IDC歸根結底是專門為企業或政府進行服務的專業機房環境，能夠為企業或者整蠱提供虛擬主機租賃服務，資料數據的備份、存儲、管理、分析等服務。也就是說，一旦IDC遭到攻擊，就會導致企業或者政府在其中存儲的數據的丟失，造成商業機密或者居民信息等重要數據的丟失，給企業經濟或者社會治安造成不利影響，還會造成IDC的客戶方面對其產生不信任，大幅度降低收益。所以，IDC的安全問題是至關重要的。

1 聯通IDC網絡面臨的安全問題

1.1 IDC網絡的探測和竊聽

一些網絡攻擊者（黑客）會利用互聯網的開放性，對IDC網絡端口進行掃描，以此來尋找攻擊目標，當目標確定之后，利用一些監聽手段，能夠詳細了解目標IDC網絡的各種具體信息，直至尋找到可以利用的安全漏洞，之后以這些漏洞為切入點，從IDC網絡中竊取所需的數據包，達到竊取信息的目的。

1.2 獲得口令和IP欺騙

黑客能夠通過缺省口令對目標IDC網絡口令進行破譯，一些猜測口令的軟件也能夠幫助網絡攻擊者迅速的破解IDC虛擬主機的口令，從而實現對IDC網絡的攻擊。另外，一些網絡攻擊者還會將自己的計算機地址偽裝成IDC網絡主機信任的IP地址對IDC主機進行欺騙，通過獲得其信任的方式降低安全等級，達到攻擊目的。

1.3 DoS和DDoS攻擊

DoS攻擊又名拒絕服務攻擊，其原理是網絡攻擊者通過某種手段或者軟件，大量的向IDC網絡發送認證，因為這些網絡認證的返回地址均為虛假地址，這大大的增加了IDC網絡在認證拒絕過程中的工作量，當認證數量足夠龐大而超出了IDC網絡主機的承受能力時，IDC網絡就會陷入癱瘓狀態。DDoS是DoS攻擊模式的升級版，同時控制多臺主機一起向IDC主機發出攻擊，導致IDC網絡完全停止工作，直接使客戶處于網絡中斷狀態，由于同時控制的主機數量很多，導致IDC網絡的防御能力大幅下降。

1.4 IDC主機的緩沖區溢出攻擊

在瞬間向IDC主機的緩沖區植入大量程序，當程序量極大時，會造成溢出，此時就會將原本制定好的IDC執行程序沖出，使得IDC主機開始執行網絡攻擊者希望執行的程序。

1.5 蠕蟲病毒和木馬攻擊

蠕蟲病毒和木馬攻擊是IDC網絡最常見的安全問題。原因在于蠕蟲和木馬病毒的種類繁多，更新速度快，對于整個IDC網絡來講，可以說的防不勝防。另外IDC網絡針對一些小公司的托管服務過程中，這些小公司的安全意識比較淡薄，常常成為病毒的切入點。網絡工程師對付木馬病毒或者蠕蟲病毒的主要辦法就是抓包定位，該過程雖不麻煩，但是定位之后需要定點查殺病毒，需要將IDC網絡暫時切斷，時間在半小時左右，不僅會造成損失，還可能導致客戶的不信任。

2 聯通IDC網絡安全問題的應對措施

2.1 給聯通IDC網絡設定認證、授權和計費功能

認證、授權和計費功能，能夠解決上述的部分安全問題，通過對用戶身份的確認，防止大量虛假的認證對IDC網絡系統進行DoS或者DDoS攻擊，訪問計費的方式，增加攻擊者的成本，攻擊者在利用大量主機訪問時，產生了巨大的費用，這樣就能讓攻擊者得不償失了。而為了防止網絡攻擊者通過掃描路由端口來定位IDC網絡并進行監聽，還需在路由器加設防火墻。為了防止攻擊者通過IDC網絡內部IP分配來尋址攻擊，可以利用公共IP對內部IP進行替換，之后進入路由器內部后，在替換回內部IP，這樣就能極大程度的減少內部IP地址的泄露。最后，還可以在路由器的控制端口添加流量監控功能，短時間內訪問量異常的情況，通過報警來進行重點排查。

2.2 防止DoS和DDoS攻擊

對于IDC網絡安全問題來講，DoS和DDoS攻擊是其面臨的主要威脅之一。為了解決DoS和DDoS攻擊帶來的安全問題，可以采用以下三種方法：

首先是對訪問流量進行過濾，將可疑流量阻擋在IDC網絡之外，這種方法雖然并不能完全抵擋所有的攻擊流量，但是能夠有效降低攻擊強度，使我們在受到攻擊時有足夠的時間進行應急處理和反擊，主要針對的是明顯有偽造痕跡的訪問IP。

其次是在內部啟用IDS系統，IDS名為網絡入侵檢測系統，主要功能就是對進入IDC網絡的流量進行甄別判斷，當發現可疑IP時，發出警報通知網絡安全工程師，這樣網絡安全工程師就可以啟動防御預案和反擊預案，通過斷網規避攻擊，通過網絡渠道對攻擊者實行反向追蹤并予以反擊。

最后，還需要在IDC網路ode路由器或者交換機上設置防火墻，將可疑的IP地址過濾掉，消除安全隱患。可疑的IP地址包括地址長度過短、地址的數據幀被人為分段、數據源址與目標地址相同而導致尋址過程中會出現循環的回環地址、外界數據的原地址是IDC網絡地址以及廣播地址，將上述這些可疑情況進行過濾，能夠顯著減少DoS或者DDoS攻擊的概率和破壞性。

2.3 防御蠕蟲和木馬的措施

蠕蟲和木馬的主要攻擊切入點，一般在中低端客戶上面，他們對于網絡安全的認識不夠，警惕程度較低，大部分公司因為規模不夠，沒有專門的網絡安全維護人員，這就使得其網絡系統具有大量的漏洞，給了網絡黑客可乘之機。攻擊者利用這些用戶輕松地實現了將病毒散播到IDC網絡中的目的，從而給IDC網絡造成巨大的麻煩。

在實際工作當中，中低端客戶群體數量非常龐大，是聯通公司IDC服務業務中一個相當主要的贏利點，所以雖然我們的目標是防止病毒感染，但是也不能舍棄這部分客戶。

這時候就需要我們加強網絡安全的宣傳和指導工作，對中小型企業或者鄉鎮政府機構的相關工作人員，提高他們的網絡安全意識，加強警惕性和網絡安全防范能力。對于那些沒有專人對網路進行監管維護的小、微型企業，聯通公司還可以增加代維護管理的相關業務，這樣不僅能保證IDC網路ode安全性，還能通過新的增值業務給公司帶來收入，是一舉兩得的舉措。

除此之外，也要提高IDC網絡中心的維護人員相關水平，當IDC網絡受到蠕蟲感染或木馬攻擊時，一定要有一套相對完善迅速的應對措施，能夠在最短的時間里對攻擊做出合理的響應，及時解決問題，針對不同的情況，需要做到擁有響應的預案。

最后，我們也發現，蠕蟲、木馬雖然是目前IDC網絡常見的攻擊手段，但是其多發于中小型企業也就是中低端用戶身上，而通過他們進入到IDC網絡的蠕蟲或者木馬，很難對下一層級的網絡進行侵害，也就是說，當我們縮小該網絡段，就能將受攻擊的損失降到最低了。不過縮減二層網絡段會造成一定的IP浪費和靈活性下降等問題，所以適當縮減二層網絡段的同時，還要結合其他方面的因素進行綜合的衡量。

這些對付蠕蟲或者木馬的對策，雖然行之有效，但是無疑會增加聯通公司的工作量和工作的復雜程度，所以需要平衡兩者之間的關系，合理增派相關人員或者增設專門的業務部門加以配合，這樣才能將IDC網絡的安全性提升上去，贏得客戶的信任，創造更多的價值。

參考文獻

[1]宋杉 . 計算機網絡安全中的防火墻技術應用 [J]. 電子世界，2017（14）：52-53.

[2]柳正茂，李洪波 .IDC 網絡安全問題與對策 [J]. 河北省科學院學報，2018（3）：63-64.

[3]郭麗娟，趙燕君 . 當前計算機網絡安全問題與對策研究 [J]. 科技展望，2017（12）：75-76.

（作者單位：中國聯合網絡通信有限公司吉林市分公司）