新形勢下IDC機房網(wǎng)絡(luò)安全防護策略研究

摘要：隨著IDC業(yè)務(wù)的穩(wěn)步增長。對于IDC服務(wù)提供商來說，需要更加注重的是服務(wù)，特別是網(wǎng)絡(luò)安全。網(wǎng)絡(luò)沒有絕對的安全，相信隨著IDC業(yè)務(wù)的飛速發(fā)展，IDC網(wǎng)絡(luò)的安全防護體系也要不斷提升和完善。

關(guān)鍵詞：新形勢；IDC；網(wǎng)絡(luò)安全；防護策略

中圖分類號：G632 文獻標識碼：B 文章編號：1002-7661（2013）14-139-01

IDC的出現(xiàn)和互聯(lián)網(wǎng)的發(fā)展與應用聯(lián)系極為密切。互聯(lián)網(wǎng)的遍及，網(wǎng)上快捷的信息傳輸和網(wǎng)上交易的普及，使互聯(lián)網(wǎng)的應用變得越來越重要，特別是互聯(lián)網(wǎng)內(nèi)容提供企業(yè)、互聯(lián)網(wǎng)服務(wù)提供企業(yè)以及應用服務(wù)提供企業(yè)等等越來越重視網(wǎng)站系統(tǒng)的運行能力，可靠性，成本評估以及可擴展性等性能。安全體系需要貫徹到IDC網(wǎng)絡(luò)安全的各個環(huán)節(jié)如IDC安全需求、安全策略制定、防御系統(tǒng)、監(jiān)控與檢測、響應與恢復等。并且需要充分考慮到各個部分之間的動態(tài)關(guān)系與依賴性，分步驟建立和實施安全體系。因此，有效的IDC安全整體解決方案依賴于很多層面的發(fā)展。

一、防止電磁的干擾

由于IDC機房擁有的大量高靈敏度電子設(shè)備，要想正常運行，就需要有一個良好的電磁環(huán)境。那么這就面對如何解決良好電磁環(huán)境需求與越來越惡劣的城市電磁環(huán)境之間矛盾的問題。IDC機房良好的電磁環(huán)境既是保證機房內(nèi)設(shè)備正常運行、延長設(shè)備使用壽命的需要，也是為IDC用戶提供優(yōu)質(zhì)服務(wù)、提高客戶對電信服務(wù)質(zhì)量認同度的需要。2006年，北京朝陽某110kV變電站投入運行后，嚴重影響周圍居民電視節(jié)目的正常收看，主要表現(xiàn)為屏幕出現(xiàn)雪花點、圖像不清晰。現(xiàn)場測試結(jié)果表明，在天氣條件較為惡劣的情況下，變電站產(chǎn)生的電磁輻射使被測接收機的信噪比明顯下降，圖像質(zhì)量變差。針對以上情況，我們認為可以采取以下兩個措施。首先在擬建IDC機房周圍的電磁環(huán)境情況進行摸底調(diào)查，調(diào)查附近有無高壓輸電線路、電氣化鐵路、大功率加工廠。要進行測試與理論分析或組織對周圍電磁環(huán)境的評估，確定其電磁環(huán)境等級，測試數(shù)據(jù)可作為背景數(shù)據(jù)存檔。IDC機房在機房內(nèi)增加新設(shè)備時，應考慮其電磁兼容指標是否符合相關(guān)要求，評估其是否會對鄰近沒備產(chǎn)生電磁影響，時應考慮與其他機柜保持適當隔距以避免相互問的電磁干擾。

二、選配合適的UPS冗余供電系統(tǒng)

在信息自動化時代，為了滿足信息網(wǎng)絡(luò)對IDC機房實現(xiàn)無人值守管理和遠程集中監(jiān)控的需求，從而提高對UPS供電系統(tǒng)的管理性，對IDC來說，除本身應配置對它的所有IT設(shè)備進行實時監(jiān)控的網(wǎng)絡(luò)管理系統(tǒng)之外，還應建立一套集中監(jiān)控體系，以便對諸如空調(diào)機、配電柜、電池組、發(fā)電機組、漏水警報、安全系統(tǒng)和消防系統(tǒng)等設(shè)備的運行情況進行實時的監(jiān)控和分析。但是在停電情況下，IT設(shè)備所允許的瞬間供電中斷時間約為15-20ms左右，為防止出現(xiàn)網(wǎng)絡(luò)癱瘓故障隱患，UPS的逆變器應具有極強的抗輸出過載能力。為此，要求所選用的UPS冗余供電系統(tǒng)應有如下配置。（1）在UPS上配置RS232/RS485接口，MOdem或SNMP適配器；（2）用于顯示UPS的工作狀態(tài)/報警信息的“繼電器干接點”型的輸出通信接口；（3）對各種“非IT設(shè)備”配置必要的數(shù)據(jù)采集器；（4）萬一發(fā)生故障時，執(zhí)行網(wǎng)絡(luò)廣播報警，電話或手機的自動撥號、自動傳呼或發(fā)E-Mail等操作，以便通知值班人員及時到現(xiàn)場排除故障或維修。

三、拒絕服務(wù)（DOS）攻擊

在DOS攻擊中，惡意用戶向服務(wù)器發(fā)送多個認證請求，使其滿負載，并且所有請求的返回地址都是偽造的。當服務(wù)器企圖將認證結(jié)果返回給用戶時，它將無法找到這些用戶。在這種情況下，服務(wù)器只好等待。當服務(wù)器關(guān)閉連接之后，攻擊者又發(fā)送新的一批虛假請求，以上過程又重復發(fā)生，直到服務(wù)器因過載而拒絕提供服務(wù)。其次，DOS也可以利用協(xié)議的缺陷。例如，它可以通過SYN打開半開的TCP連接，為了使攻擊力更強，DOS通常會利用任何一種通過發(fā)送單獨的數(shù)據(jù)包就能探測到的協(xié)議缺陷，并利用缺陷攻擊。IDC機房對此攻擊防范措施為：網(wǎng)絡(luò)服務(wù)提供商應該實施進網(wǎng)流量過濾措施，目的是阻止任何偽造IP地址數(shù)據(jù)包進入網(wǎng)絡(luò)，從而從源頭阻止諸DOS這樣的分布式網(wǎng)絡(luò)攻擊的發(fā)生或削弱其攻擊效果。此外，對于HTTP數(shù)據(jù)流，WEB交換機必須在HTTP流啟動后的16秒內(nèi)接受一個有效的幀，否則它將丟棄這個幀并中斷這個流；對于TCP數(shù)據(jù)流，WEB交換機必須在16秒內(nèi)接受一個返回的ack，否則它將終止這個TCP流。對于任意嘗試過8次以上SYN的數(shù)據(jù)流，WEB交換機將終止這個流，并且停止處理同樣SYN、源地址、目的地址及端口號對的數(shù)據(jù)流。

四、實行漏洞掃描

漏洞掃描是一種檢測遠程或本地系統(tǒng)脆弱性的安全技術(shù)。通過漏洞掃描，IDC管理員能夠檢查、分析IDC網(wǎng)絡(luò)環(huán)境內(nèi)的設(shè)備、網(wǎng)絡(luò)服務(wù)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等的安全性，為提高網(wǎng)絡(luò)安全等級提供決策支持。同時還能及時發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并在網(wǎng)絡(luò)攻擊者掃描和攻擊之前予以修補。IDS一般包括探測器和檢測器兩個部件。探測器分布在網(wǎng)絡(luò)或主機系統(tǒng)中關(guān)鍵點，發(fā)現(xiàn)潛在的違反安全策略的行為和被攻擊的先兆，并給檢測器管理控制臺發(fā)送告警。檢測器采取相應的防護手段，如實時記錄網(wǎng)絡(luò)流量用于跟蹤和恢復、使用誘騙服務(wù)器記錄黑客行為等。

五、負載均衡

負載均衡系統(tǒng)是IDC不可缺少的一部分。負載均衡系統(tǒng)的設(shè)備一般為負載均衡交換機。負載均衡交換機可串行部署在路由器和交換設(shè)備之間，其下連交換設(shè)備均采用雙鏈路連接負載均衡設(shè)備，為用戶提供專業(yè)的負載均衡服務(wù)。另外，負載均衡設(shè)備分別與防火墻互連，可通過靜態(tài)路由方式，將有防火墻服務(wù)需求的用戶路由指向防火墻鏈路側(cè)。

參考文獻：

[1] 章潔如.數(shù)據(jù)中心的安全分析[J].中國數(shù)據(jù)通信.2001（10）.

[2] 李興火.IDC網(wǎng)絡(luò)總體方案設(shè)計[J].電信快報.2009（08）.

[3] 李 洪，宛傳東，朱英軍.IDC網(wǎng)絡(luò)建設(shè)和維護中幾個常見問題的探討（1）[J].電信技術(shù).2003（07）.

[4]李 洪，許文秀.IDC網(wǎng)絡(luò)安全增值業(yè)務(wù)的實現(xiàn)與部署[J].電信技術(shù).2006（05）.