朱廷謀 李學(xué)良 中移鐵通有限公司茂名分公司

互聯(lián)網(wǎng)數(shù)據(jù)中心（Internet Data Center，IDC）在互聯(lián)網(wǎng)網(wǎng)的發(fā)展中占據(jù)了重要的位置，作為互聯(lián)網(wǎng)內(nèi)容和應(yīng)用的主要承載平臺，IDC不僅要為企業(yè)和用戶提供網(wǎng)絡(luò)接入和網(wǎng)絡(luò)托管的服務(wù)，而且還要為服務(wù)器的監(jiān)管提供服務(wù)，因此IDC網(wǎng)絡(luò)安全的問題事關(guān)整個網(wǎng)絡(luò)的安全性、保密性。由于IDC網(wǎng)絡(luò)的服務(wù)對象一般是企業(yè)，所以一旦發(fā)生了數(shù)據(jù)的泄露，將會對一個企業(yè)造成極大的損失。目前網(wǎng)絡(luò)信息安全還存在很多的隱患，我們必須充分的關(guān)注IDC網(wǎng)絡(luò)安全問題。本文主要對現(xiàn)階段IDC網(wǎng)絡(luò)容易出現(xiàn)的問題做出了一定的思考，構(gòu)建網(wǎng)絡(luò)安全體系，盡最大努力減少網(wǎng)絡(luò)安全漏洞，保障互聯(lián)網(wǎng)信息安全。

1 IDC網(wǎng)絡(luò)安全特性

IDC網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)非常復(fù)雜，能夠同時承載許多的業(yè)務(wù)，因此對于網(wǎng)絡(luò)的性能要求很高。按照結(jié)構(gòu)體系來分的話，IDC網(wǎng)絡(luò)可以分為四個主要部分，包括網(wǎng)絡(luò)接入層、網(wǎng)絡(luò)核心層、網(wǎng)絡(luò)分布層、服務(wù)器接入層和后臺管理，其中網(wǎng)絡(luò)接入層主要用于將IDC接入到特定的網(wǎng)絡(luò)中去，方便用戶的使用；核心層的作用主要適用于網(wǎng)絡(luò)信息、數(shù)據(jù)的傳輸，因此在網(wǎng)絡(luò)安全中要特別注意核心層的運(yùn)行狀況。在基于對IDC網(wǎng)絡(luò)結(jié)構(gòu)的分析上，本文總結(jié)除了以下三點(diǎn)IDC網(wǎng)絡(luò)的安全特性：首先是具有動態(tài)性，IDC網(wǎng)絡(luò)在使用過程中是實(shí)時的、動態(tài)的，隨著時間的變化在不斷的改變，當(dāng)IDC網(wǎng)絡(luò)出現(xiàn)變更時，我們的IDC網(wǎng)絡(luò)安全系統(tǒng)也需要做出相應(yīng)的變化，避免網(wǎng)絡(luò)安全出現(xiàn)新的問題。其次是IDC網(wǎng)絡(luò)安全問題要注意防范與管理并重，由于IDC網(wǎng)絡(luò)提供的是一種綜合性的服務(wù)，所以在安全防護(hù)方面要注意全面的防護(hù)，充分的考慮到可能出現(xiàn)的問題，在應(yīng)對多中多樣的問題中制定全方位的安全防護(hù)手段以及相應(yīng)的管理措施。最后就是IDC網(wǎng)絡(luò)發(fā)生安全問題后容易產(chǎn)生連環(huán)反應(yīng)，IDC網(wǎng)絡(luò)的搭建是由多臺服務(wù)器相互組建而成的，如果在使用過程當(dāng)中，其中的某一臺服務(wù)器出現(xiàn)了安全問題，那么其他的服務(wù)器也容易出現(xiàn)同類問題，導(dǎo)致其他設(shè)備的安全防御系統(tǒng)被破壞，從而導(dǎo)致整個IDC網(wǎng)絡(luò)出現(xiàn)安全問題。

2 IDC網(wǎng)絡(luò)常見的安全問題

針對IDC網(wǎng)絡(luò)安全的攻擊方式多種多樣，在現(xiàn)階段，一般可以分為這幾種：一是IDC網(wǎng)絡(luò)的口令獲取，網(wǎng)絡(luò)的管理一般都是通過個人賬戶對網(wǎng)絡(luò)進(jìn)行加密，如果攻擊者能夠獲竊取密碼，那么將會對網(wǎng)絡(luò)安全形成極大的破壞。二是針對網(wǎng)絡(luò)的IP詐騙，不法分子會講自己的IP地址偽裝成IDC網(wǎng)絡(luò)信任的用戶的IP地址，獲得主機(jī)的信任，進(jìn)行不法的活動。三是針對IDC網(wǎng)絡(luò)的竊聽行為，攻擊者在公共網(wǎng)絡(luò)中采取技術(shù)手段利用IDC網(wǎng)絡(luò)的切入點(diǎn)對網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行監(jiān)聽，容易造成機(jī)密信息、數(shù)據(jù)的損失。四是采用DDoS方式進(jìn)行網(wǎng)絡(luò)攻擊，通過不斷地對IDC服務(wù)器發(fā)送認(rèn)證請求，這時候IDC網(wǎng)絡(luò)服務(wù)的系統(tǒng)資源被大量占用，無法為用戶提供正常的服務(wù)。五是其他的網(wǎng)絡(luò)病毒的入侵，例如木馬、蠕蟲等網(wǎng)絡(luò)病毒的入侵，一旦遭到網(wǎng)絡(luò)病毒的入侵，將會有可能使整個IDC網(wǎng)絡(luò)系統(tǒng)崩潰。

3 IDC網(wǎng)絡(luò)安全體系的結(jié)構(gòu)及策略

IDC網(wǎng)絡(luò)安全體系的建設(shè)是一個龐大的系統(tǒng)工程，網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)實(shí)體安全、網(wǎng)絡(luò)通信體系安全和主機(jī)系統(tǒng)的安全，本文認(rèn)為在整個體系的建設(shè)方面主要分為兩個方面，一個方面就是人，另一個方面就是技術(shù)層面。首先從人的方面進(jìn)行介紹，在現(xiàn)在網(wǎng)絡(luò)安全體系中都少不了人的存在，在安全防護(hù)方面人起到了最重要的作用，所以在安全防護(hù)體系中，要加強(qiáng)人的干預(yù)，網(wǎng)絡(luò)管理員定期檢查安全防護(hù)系統(tǒng)，不定期進(jìn)行模擬攻擊嗅探，一旦發(fā)生有被攻擊的跡象的時候，要及時的發(fā)現(xiàn)問題，并做出相應(yīng)的反應(yīng)，不到等到系統(tǒng)真正被攻擊的時候才派人去維護(hù)，要防患于未然。

在密碼的設(shè)定、管理方面要建立合理的密碼管理規(guī)則，其一：根據(jù)數(shù)據(jù)的重要程度可以將密碼劃分為三個等級，數(shù)據(jù)庫用戶密碼、數(shù)據(jù)庫管理員密碼為一級密碼、應(yīng)用軟件登錄密碼、普通數(shù)據(jù)庫密碼為二級操作密碼，非數(shù)據(jù)庫服務(wù)器密碼為三級密碼。其二：密碼的設(shè)定必須為專人負(fù)責(zé)，不同級別的密碼分別由不同級別的人進(jìn)行設(shè)定。其三：根據(jù)系統(tǒng)的要求，密碼設(shè)定的時候長度不得低于8位，要求盡量使用系統(tǒng)設(shè)定的最長密碼，同時密碼必須由數(shù)字、大小字母、特殊符號共同組成，防止黑客暴力破解密碼，設(shè)定密碼時禁止使用生日、姓名、身份證號等其它有關(guān)個人信息，防止被他人猜破。其四：系統(tǒng)要及時提醒管理人員定期更換密碼，最長不超過90天。其五：當(dāng)有人試圖破解密碼時，系統(tǒng)對于輸錯三次密碼的情況將會鎖定系統(tǒng)，并且及時以短信、郵件的方式通知給賬號管理員。管理人員對于各類密碼的使用和保存必須做到隱秘，另外密碼不得作文電子文本保存，防止密碼的泄露。

在技術(shù)層面上來講，IDC網(wǎng)絡(luò)保障措施有很多，本文在研究了大量實(shí)例之后，主要提出了以下幾種防范措施。

3.1 防范DDos的攻擊

DDoS是一種通過占用服務(wù)器資源進(jìn)行攻擊的攻擊方式，因此在防范DDos攻擊的時候要做到這幾個方面，采用網(wǎng)絡(luò)入侵檢測系統(tǒng)，DDoS在攻擊IDC網(wǎng)絡(luò)的時候會大量的使用網(wǎng)絡(luò)流量，所以在技術(shù)層面上，一旦系統(tǒng)檢測到有不明的IP地址使用網(wǎng)絡(luò)時，系統(tǒng)及時的發(fā)出警報，提示管理員切斷非法連接；采用高性能的網(wǎng)絡(luò)設(shè)備，當(dāng)發(fā)生攻擊的時候，網(wǎng)絡(luò)管理員能夠?qū)δ骋痪W(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行網(wǎng)絡(luò)流量限制；在路由器和交換機(jī)上，當(dāng)發(fā)現(xiàn)數(shù)據(jù)幀長度太短、原地址的目的地址是回環(huán)地址、幀被分段的時應(yīng)當(dāng)及時的丟棄這些數(shù)據(jù)幀；在網(wǎng)絡(luò)設(shè)備上盡量使用充足的網(wǎng)絡(luò)帶寬，增加網(wǎng)絡(luò)的帶寬的同時也增加了網(wǎng)絡(luò)抵御攻擊的能力，當(dāng)發(fā)生網(wǎng)絡(luò)資源被大量占用時，如果帶寬足夠大，能夠?qū)舻钟欢ǖ臅r間，同時可通知管理員做出有效的反應(yīng)。另外，還可以把網(wǎng)站作為靜態(tài)頁面，能夠給黑客的攻擊帶來很大的阻力。

3.2 采用虛擬局域網(wǎng)VLAN技術(shù)

IDC網(wǎng)絡(luò)系統(tǒng)是一種綜合性服務(wù)系統(tǒng)，為了保證托管客戶相互通信的安全，可以采用虛擬局域網(wǎng)VLAN技術(shù)，通過給每一個客戶分配一個相關(guān)的子網(wǎng)，同時使用VLAN技術(shù)使每一個客戶在第二層信息傳輸隔離開，這樣不僅能夠方便網(wǎng)絡(luò)的管理，同時也可以有效的增加了網(wǎng)絡(luò)系統(tǒng)抵御攻擊的能力。并且在IDC網(wǎng)絡(luò)中，網(wǎng)絡(luò)之間的通信一般都發(fā)生在用戶和服務(wù)器之間，IDC網(wǎng)絡(luò)的就夠在同一個二層域中有三類的不同安全級別的端口。通過這項(xiàng)技術(shù)能夠很好地對第二層用戶進(jìn)行隔離，有效保障了系統(tǒng)的安全

3.3 防火墻

防火墻技術(shù)可用于對網(wǎng)絡(luò)通信進(jìn)行有效的監(jiān)控和過濾，其目的主要是防止未被授權(quán)或者不明IP地址的用戶對IDC網(wǎng)絡(luò)系統(tǒng)進(jìn)行訪問，能夠通過防火墻技術(shù)有效的阻擋一部分用戶對主機(jī)的訪問，并且在用戶訪問IDC系統(tǒng)的時候，能夠根據(jù)一定的規(guī)則對網(wǎng)絡(luò)傳輸中的數(shù)據(jù)內(nèi)容進(jìn)行審查、過濾，防止有害的信息進(jìn)入IDC網(wǎng)絡(luò)系統(tǒng)，并且能都對數(shù)據(jù)的行為進(jìn)行審查，一旦發(fā)現(xiàn)可疑情況，能夠及時的阻斷對IDC系統(tǒng)的訪問，另外，在防火墻技術(shù)中還有一種代理技術(shù)，該技術(shù)的作用就是在用戶和公共網(wǎng)絡(luò)之間增加一層代理機(jī)制，通過代理機(jī)制的作用，保障數(shù)據(jù)通信的安全。

3.4 漏洞掃描技術(shù)

在IDC網(wǎng)絡(luò)設(shè)備中，主機(jī)的安全極為重要，因此可以通過漏洞掃描技術(shù)對主機(jī)進(jìn)行安全保障，該技術(shù)通過與主機(jī)建立安全連接，能夠在連接成功之后對主機(jī)進(jìn)行安全掃描。IDC維護(hù)工程師能夠通過此技術(shù)定期的對主機(jī)設(shè)備或者其他設(shè)備進(jìn)行掃描，及時的發(fā)現(xiàn)系統(tǒng)存在的漏洞，并且在發(fā)現(xiàn)安全漏洞之后，能夠及時的對漏洞進(jìn)行修補(bǔ)。通過定期對系統(tǒng)、網(wǎng)絡(luò)的進(jìn)行漏洞掃描，發(fā)現(xiàn)并記錄所有的系統(tǒng)和網(wǎng)絡(luò)，發(fā)現(xiàn)漏洞時除了做好修補(bǔ)之外，還要及時對漏洞數(shù)據(jù)庫進(jìn)行更新，防止此類漏洞的再次發(fā)生。通過全面掃描系統(tǒng)，發(fā)現(xiàn)并確認(rèn)系統(tǒng)、網(wǎng)絡(luò)的脆弱點(diǎn)，因?yàn)檫@些脆弱點(diǎn)常常是黑客發(fā)動攻擊的入口，所以要及時對系統(tǒng)進(jìn)行更新維護(hù)，特別是針對脆弱點(diǎn)的更新，提高系統(tǒng)的安全性。

3.5 加密技術(shù)

在IDC網(wǎng)絡(luò)數(shù)據(jù)的傳輸過程中，為了防止信息被竊取、泄露，可以采用數(shù)據(jù)的加密技術(shù)進(jìn)行處理。在IDC網(wǎng)絡(luò)系統(tǒng)中可以采用透明加密的方式對文件、數(shù)據(jù)進(jìn)行加密，當(dāng)管理員或者用戶使用電腦保存文檔時，文檔將自動被加密，在授權(quán)的計算機(jī)上是可以被解密的，在其它計算機(jī)上卻是以加密的文件存在的，未授權(quán)的計算機(jī)無法破解文件。管理員可以對其他計算機(jī)進(jìn)行授權(quán)，當(dāng)發(fā)現(xiàn)其他計算機(jī)存在文件被泄露的危險時，能夠及時的解除授權(quán)模式。同時，系統(tǒng)可以通過身份權(quán)限驗(yàn)證的方式對電子文件進(jìn)行保護(hù)，在企業(yè)應(yīng)用中，每一個單位用戶可以設(shè)置一個唯一的秘鑰，同時單位之間也可以再設(shè)置一個秘鑰，不同的單位即使獲得其他單位的文件仍然無法解密對方文件。通過透明加密，可以實(shí)現(xiàn)授權(quán)計算機(jī)的自動加密，使用者非常方便，對于企業(yè)內(nèi)部的交流無需做任何的處理，即使文件被泄露出去，由于其它的計算機(jī)未被授權(quán)，也無法打開文件，保證了數(shù)據(jù)的安全。

4 結(jié)語

隨著IDC網(wǎng)絡(luò)技術(shù)的發(fā)展，IDC的業(yè)務(wù)量也越來越高，作為一種綜合性服務(wù)網(wǎng)絡(luò)，其安全問題應(yīng)該得到人們廣泛的關(guān)注，IDC網(wǎng)絡(luò)安全體系的建設(shè)不僅需要技術(shù)層面的措施，還需要人為管理層面做出努力，建立合理的密碼設(shè)定、管理制度，管理人員嚴(yán)格遵守管理制度和操作流程。通過防火墻技術(shù)、漏洞掃描技術(shù)、不斷的加強(qiáng)系統(tǒng)安全性，數(shù)據(jù)傳輸過程中及時加密。在人和技術(shù)兩個層面共同采取措施，共同促進(jìn)IDC網(wǎng)絡(luò)安全體系的建設(shè)。目前我國在信息安全方面的發(fā)展還不夠完善，因此這將是未來的一個重要的研究方向。全面推進(jìn)IDC網(wǎng)絡(luò)安全體系建設(shè)，保障信息安全，這需要我們共同的努力。

[1]柳正茂,李洪波.IDC網(wǎng)絡(luò)安全問題與對策[J].河北省科學(xué)院學(xué)報,2010,27(01):35-37.

[2]劉麗麗,孟甜,劉國鋒.IDC網(wǎng)絡(luò)安全常見問題與應(yīng)對策略研究[J].硅谷,2013,6(13):130+128.

[3]王婷,黃文培.IDC網(wǎng)絡(luò)安全技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007(03):28-30.