淺談IDC網絡安全建設

楊 柏

中國移動通信集團廣西有限公司，廣西 南寧 530028

1 概述

隨著中國互聯網以超常的速度向前發展，企業用戶對IDC的需求也日益增長，作為其主要承載平臺IDC也受到越來越多的關注，而網絡安全則一直是研究的焦點之一。

2 IDC定義及網絡安全現狀

IDC即Internet Data Center，是基于Internet網絡，為集中式收集、存儲、處理和發送數據的設備提供運行維護的設施基地并提供相關的服務。IDC提供的主要業務包括域名注冊查詢主機托管（機位、機架、機房出租）、資源出租（如虛擬主機業務、數據存儲服務）、系統維護（系統配置、數據備份、故障排除服務）、管理服務（如帶寬管理、流量分析、負載均衡、入侵檢測、系統漏洞診斷），以及其他支撐、運行服務等[1]。

IDC網絡安全問題主要可以劃分為以下幾個方面。

（1）流量攻擊問題

主要表現為：來自外部互聯網，針對IDC的DDoS攻擊（重要用戶服務器遭受攻擊，IDC鏈路帶寬被占用，視頻、游戲、網游等應用層攻擊越來越多）；IDC內部主機對外網的DDoS攻擊（IDC主機被僵尸程序控制、利用IDC良好的系統資源和鏈路資源）；來自專線接入鏈路的DDoS攻擊（內部IDC互聯鏈路、小型IDC上連鏈路、SP系統接入鏈路、CDN及網站鏡像鏈路）等。

（2）自有/托管網站安全問題

主要表現為：拒絕服務攻擊（系統癱瘓、停止服務）、非法入侵（篡改網頁、掛馬）、惡意代碼（破壞、盜?。?、跨站腳本（盜取、掛馬）等。

（3）不良內容傳播問題

主要表現為：無法掌握IDC中所有的網站域名、無法了解IDC中網站域名是否已經備案、無法獲取托管服務器網站中是否存在文字/圖片等形式的不良信息、無法了解托管服務器網站是否被上傳不良的頁面內容。

（4）運維管理的安全問題

主要表現為：粗放式權限管理，安全性難以保證、賬號管理混亂、第三方代維帶來安全隱患、設備自身日志難以有效定位安全事件、傳統網絡安全審計難以滿足運維管理要求、面臨法規遵從壓力。

3 IDC網絡安全建設方案

解決IDC面臨的安全問題，單一設備或單一系統無法解決IDC的安全問題，需要采用多層面全方位的解決方案來應對IDC的安全問題。

（1）互聯網接入層

應用監控系統：通過分光/鏡像方式將互聯網流量復制到應用監控系統中，通過分析提供不良信息監測、異常郵件行為監測、垃圾郵件過濾、網站內容有效性測試、業務流量統計分析、備案管理等功能。

流量清洗系統：提供對大流量DDOS的攻擊檢測和清洗功能，保證IDC內部系統正常工作。與應用監控系統聯動，應用監控系統檢測到異常流量攻擊后，上報流量清洗系統并把受攻擊的主機流量引入清洗系統進行異常流量清洗，將清洗后的正常業務流量重新注回網絡。

防火墻：部署在互聯網接入層或匯聚層，主要功能是將IDC與不可信任域進行有效地隔離與訪問控制，IDC出口流量較大，使用千兆或萬兆防火墻。

（2）業務匯聚層

入侵檢測系統：部署在IDC匯聚層，通過入侵檢測系統和防火墻聯動，為IDC網絡提供實時的入侵檢測和可靠的防護手段，降低網絡安全風險。入侵檢測設備也可部署在有防護需求的服務器之前。

安全審計系統：部署在IDC匯聚層，通過進出IDC的數據進行實時的審計，對關鍵字、web訪問、數據庫操作、服務器操作等網絡行為進行記錄，及時發現網絡異常，便于事后審計溯源。

漏洞掃描系統：基于主機和網絡的安全漏洞掃描評估工具，主要用于評估多種操作系統平臺和應用系統的安全性，同時檢查這些系統是否符合業界最佳的安全實踐和規范，及時發現業務系統中存在的諸如系統漏洞、配置錯誤、文件變更、違背安全策略的情況并加以矯正。

負載均衡：部署在匯聚層或者業務接入層，支持共享負載均衡和獨享負載均衡，共享負載均衡指購買此項增值服務的所有托管客戶的服務器都可以共享IDC購置的負載均衡設施；獨享負載均衡主要是為了避免共享用戶爭用負載均衡設備資源的可能，為大的IDC客戶單獨建立負載均衡設施，以保證達到良好的效果。

SSL加速：SSL加速設備可部署在匯聚層或業務接入層，提供高速硬件加解密能力，為IDC內的電子商務類網站提供加速服務。

（3）業務接入層&運維管理層

網頁防篡改系統：部署在業務接入層，防范WEB服務器上的網站頁面被非法篡改，且在頁面遭受非法篡改后能夠自動屏蔽非法網頁以及進行頁面的自動恢復。

防火墻：部署在運維管理層，負責將運維管理層各用戶區域和IDC管理區域間網絡隔離和訪問控制，宜采用百兆或千兆防火墻。

VPN安全接入設備：VPN安全接入設備部署在運維管理層，為運營商運維人員、客戶維護人員提供安全可靠的IPSec/SSL VPN遠程接入手段，實現遠程訪問、維護IDC核心資源的目的。通過部署VPN可以保證數據在互聯網上傳輸的私有性、完整性和真實性，避免將互聯網風險引入到IDC運維管理區域。

用戶接入審計系統：部署在運維管理層，提供對終端用戶的身份認證、安全策略檢查、終端審計、用戶行為審計、安全準入等功能，保障運維管理區域終端的安全性和合規性。

防病毒系統：防病毒系統部署在運維管理區，要求所有終端和IDC自有設備部署防病毒及惡意代碼的軟件，達到“層層設防、集中控制、以防為主、防殺結合”的策略要求。

4 結束語

本文分析了現階段IDC網絡安全鎖面臨的一系列風險，得出的結論是IDC需要構建一套有效的安全防護體系。本文從IDC的基本網絡架構層次提出了相應的安全解決方案，最終構成了一套全方位的IDC網絡安全防護體系，對于IDC的建設有一定的借鑒意義。

[1]百度百科 http://baike. baidu. com.

[2]中國移動通信集團. 中國移動IDC總體技術要求.

[3]諸葛建偉，頁志遠等. 攻擊技術分類研究[J]. 計算機工程，2005.