謝德華 時勝堯

國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心貴州分中心 貴州 貴陽 550001

引言

隨著網(wǎng)絡(luò)應(yīng)用的全球化，IDC在用戶和服務(wù)提供商、網(wǎng)絡(luò)與應(yīng)用、訪問與存儲的集成方面發(fā)揮著越來越重要的作用。互聯(lián)網(wǎng)環(huán)境的必然開放性意味著IDC會面臨病毒感染、黑客攻擊、系統(tǒng)安全等一些安全問題，會對整個網(wǎng)絡(luò)的運(yùn)行和網(wǎng)絡(luò)訪問的安全性產(chǎn)生重大的影響與威脅。對企業(yè)來說，最重要的是企業(yè)的安全，而安全服務(wù)的承諾是為用戶制定的。一些重要客戶選擇IDC服務(wù)，這取決于企業(yè)優(yōu)質(zhì)的基礎(chǔ)網(wǎng)絡(luò)能力和高安全性能。因此，企業(yè)應(yīng)努力完善IDC的安全建設(shè)戰(zhàn)略，成為IDC安全的強(qiáng)大動力。

1 lDC網(wǎng)絡(luò)

IDC 網(wǎng)絡(luò)是由數(shù)據(jù)中心所提供的一項(xiàng)服務(wù)?？蛻艨梢韵硎軘?shù)據(jù)中心服務(wù)，除了可以租用數(shù)據(jù)中心服務(wù)器和帶寬，還可以利用數(shù)據(jù)中心的技術(shù)能力、軟硬件需求等搭建互聯(lián)網(wǎng)平臺。然而每個企業(yè)都有自己的商業(yè)秘密，這些秘密以某種需要網(wǎng)絡(luò)安全和隱私的信息形式表達(dá)出來。這說明了IDC網(wǎng)絡(luò)對所有用戶的重要性，所以IDC網(wǎng)絡(luò)安全防護(hù)功能一定要做好。

2 lDC安全網(wǎng)絡(luò)分析

2.1 IDC存在的特性

IDC不只與互聯(lián)網(wǎng)相隔離，還要滿足各個層次的要求。因此，IDC本身具有以下特點(diǎn)[1]：①攻擊者容易惡意對敏感信息截取與干擾。②攻擊者冒充普通用戶身份對IDC進(jìn)行惡意操作。③IDC 安全動態(tài)性隨著系統(tǒng)和設(shè)備更新使新的安全漏洞不斷出現(xiàn)。由于之前的安全防護(hù)措施沒有為IDC提供安全保障，致使IDC安全防護(hù)體系需要不斷監(jiān)控和完善。④系統(tǒng)的多樣化。IDC系統(tǒng)大部分來自IDC本身及其客戶端。它的主機(jī)系統(tǒng)包括Winflows、Linux和Unix。IDC系統(tǒng)的多功能性使大部分IDC都容易遭受到惡意攻擊。⑤在IDC中，如果攻擊者攻擊到主機(jī)的每一層級，則整個IDC的安全都會受到威脅。可見，IDC安全防護(hù)不能基于任何方面，而應(yīng)按其層級進(jìn)行分類，對各個層級嚴(yán)密地進(jìn)行安全檢測與防護(hù)，從根本上確保IDC的安全性。

2.2 IDC常見的安全威脅

①拒絕服務(wù)攻擊（DDoS/DoS）：當(dāng)攻擊者在攻擊目標(biāo)主機(jī)時冒充正常用戶對網(wǎng)絡(luò)資源進(jìn)行惡意破壞。IDC服務(wù)器受到DDoS攻擊后便無法為用戶提供服務(wù)。如果發(fā)生重大DDoS攻擊，IDC訪問鏈接數(shù)量和流量會比當(dāng)前IDC閾值高出很多，IDC瞬間達(dá)到崩潰的狀態(tài)。②網(wǎng)絡(luò)傳播病毒攻擊。網(wǎng)絡(luò)病毒具有較快的傳播速度，隱藏性較好。如今，制造病毒技術(shù)也在不斷地提升，在破解程序組合的基礎(chǔ)上增加了交叉感染的能力，組成更具危險性的病毒群體。Winflows也是IDC服務(wù)器群中最不安全的操作系統(tǒng)之一。如果IDC其中一臺服務(wù)器感染了病毒，它可以將病毒很快地傳播到其他服務(wù)器，那么整個IDC服務(wù)器都可能感染到病毒。③入侵破壞攻擊。入侵攻擊主要是利用漏洞對 IDC未經(jīng)授權(quán)的訪問、危害并導(dǎo)致機(jī)密信息丟失的攻擊。當(dāng)入侵者取得控制權(quán)時在IDC主機(jī)上安裝木馬，再對其他主機(jī)和服務(wù)器進(jìn)行攻擊，使整個IDC全部受到威脅，最終IDC訪問鏈接的數(shù)量和流量將高于IDC閾值。

3 lDC安全防御檢測技術(shù)

3.1 專用VLAN

IDC除了可以為不同托管用戶提供服務(wù)外，還可以為不同用戶提供服務(wù)器間的安全性保障。通過為每個用戶分配單獨(dú)的VLAN和子網(wǎng)IP，可以為 IDC服務(wù)器建立安全保障，一旦分配了VLAN，在第二層時用戶的服務(wù)器就會被隔離，防止黑客進(jìn)行惡意活動并截獲機(jī)密信息，但這些方法成本高，存在一定的限制性[2]。這種情況具體說明如下：局域網(wǎng)交換機(jī)上的VLAN數(shù)量是固定的，當(dāng)管理多個用戶時，VLA不起作用。協(xié)議樹復(fù)雜，每個VLAN都要管理相關(guān)的生成樹，這是一個復(fù)雜的過程，為每個托管用戶分配子 IP 會造成不必要的浪費(fèi)。如果在配置過程中使用了快速備份路由協(xié)議，每個子網(wǎng)都必須配置對應(yīng)的IDC網(wǎng)關(guān)。在 IDC 中，大部分流量在服務(wù)器和客戶端之間流動。

3.2 虛擬專用網(wǎng)

VPN 使用公共網(wǎng)絡(luò)創(chuàng)建具有加密通信的專用網(wǎng)絡(luò)。一個企業(yè)的分支機(jī)構(gòu)之間的數(shù)據(jù)交換只能通過VPN提供，不固定 IP 地址的公司員工也可以訪問企業(yè)內(nèi)的資源。但隨著IDC業(yè)務(wù)的發(fā)展，如何實(shí)現(xiàn)帶寬內(nèi)VPN以及如何保證服務(wù)質(zhì)量（QoS）成為一個重要的話題。當(dāng)前的核心技術(shù)是網(wǎng)絡(luò)管理和應(yīng)用控制相結(jié)合[3]。集成VPN、身份認(rèn)證以及訪問管理等技術(shù)，可確保用戶安全訪問的有效管理并提高服務(wù)器之間隔離的安全性。

3.3 防火墻

防火墻是對內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間的通信活動進(jìn)行有效的監(jiān)視，防火墻可以有效地監(jiān)控內(nèi)網(wǎng)與內(nèi)網(wǎng)之間的通信活動，防止惡意用戶訪問內(nèi)網(wǎng)，并確保內(nèi)網(wǎng)安全運(yùn)行。除了控制對主機(jī)的訪問還可以過濾協(xié)議和未經(jīng)授權(quán)的用戶。檢查內(nèi)部和外部網(wǎng)絡(luò)連接，存儲關(guān)聯(lián)的網(wǎng)絡(luò)日志，并確保IDC運(yùn)營的安全和高效。某些攻擊可以逃避防火墻檢測，對于這些攻擊，防火墻無法有效地檢測到。因此，應(yīng)考慮 IDC每一層級的安全性。

3.4 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（IDS）通過監(jiān)控和分析用戶和主機(jī)的行為，可以檢測現(xiàn)有的網(wǎng)絡(luò)的入侵行為和數(shù)據(jù)。IDS可以檢測系統(tǒng)配置和解決問題，使用IDS可以監(jiān)控和檢測系統(tǒng)和用戶，實(shí)時有效保護(hù)IDC。通過適配器實(shí)時監(jiān)控和分析網(wǎng)絡(luò)中的所有通信服務(wù)，監(jiān)控網(wǎng)絡(luò)上的所有數(shù)據(jù)分組用于數(shù)據(jù)采集和可疑行為分析。NIDS隱蔽性好、監(jiān)視范圍廣、監(jiān)聽速度快并使用更少的資源。

主機(jī)型 IDS (HIDS)：HIDS 通過分析主機(jī)的日志文件來分析異常行為。主機(jī)還在主機(jī)日志中記錄常規(guī)用戶和攻擊者的訪問。并在分析日志文件中發(fā)現(xiàn)異常行為，進(jìn)而立即啟動響應(yīng)計(jì)劃。HIDS與網(wǎng)絡(luò)流量沒有直接關(guān)系，并且監(jiān)視區(qū)域相當(dāng)集中，用戶可以對其進(jìn)行修改以創(chuàng)建更嚴(yán)格的檢測方案[4]。

3.5 漏洞掃描

漏洞掃描程序的一個重要部分是在檢測到漏洞之前將其消除。該技術(shù)不能掃描不同網(wǎng)段的主機(jī)，可以檢測公開的漏洞。但無法預(yù)測隱形的漏洞，而僅靠漏洞掃描技術(shù)并不能有效保護(hù)IDC的安全。

3.6 流量清洗

流量清洗措施的目的是防止入侵者通過DDoS入侵IDC，創(chuàng)建IDC出入口制定流量解決方案，并控制出入口流量。如果出現(xiàn)異常流量，立即采取預(yù)防措施，將異常流量送至清洗裝置，然后正常處理正常流量。

3.7 安全加密技術(shù)

數(shù)據(jù)加密技術(shù)通過某種算法對IDC中的機(jī)密信息進(jìn)行處理使文件處于不可讀的狀態(tài)。只有解密才能讀取和顯示文件，可以在黑客盜取數(shù)據(jù)時提供數(shù)據(jù)安全保護(hù)。

3.8 安裝必要的安全軟件

目前，隨著互聯(lián)網(wǎng)普及程度的不斷提高，互聯(lián)網(wǎng)上的病毒傳播也在加速。為了防止病毒的傳播，IDC必須在其主機(jī)上安裝反病毒和木馬檢測軟件。定期對主機(jī)系統(tǒng)進(jìn)行掃描和檢查，發(fā)現(xiàn)漏洞并及時糾正。安裝安全軟件可能不是解決IDC安全問題的根本辦法，但它是防止病毒漏洞傳播的有效手段。

3.9 安全管理

應(yīng)定期檢查和掃描網(wǎng)絡(luò)硬件，必須立即修復(fù)所有安全威脅。有必要管理安全事件、主機(jī)安全日志和網(wǎng)絡(luò)設(shè)備等信息。通過管理各種記錄可以獲得設(shè)備、主機(jī)、系統(tǒng)等運(yùn)行報告。在訪問權(quán)限方面，用戶的等級不同，被授予的權(quán)限也是不同的。難以對不同類型的高風(fēng)險行為進(jìn)行預(yù)防，應(yīng)根據(jù)高風(fēng)險操作類型制定不同的應(yīng)對方案，例如低風(fēng)險操作警報、故障排除、應(yīng)急管理及更新備件，盡可能地減少IDC的安全風(fēng)險。

4 企業(yè)lDC存在的安全問題

4.1 網(wǎng)絡(luò)層安全問題

當(dāng)前，威脅網(wǎng)絡(luò)安全的方式層出不窮，并且難以為網(wǎng)絡(luò)層提供全面的安全保護(hù)。IDC在當(dāng)前面臨著復(fù)雜的網(wǎng)絡(luò)運(yùn)行環(huán)境，病毒攻擊致使IDC存在嚴(yán)重的安全威脅與隱患。而且對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊會造成網(wǎng)絡(luò)層也存在安全隱患，這些惡意攻擊會威脅IDC的業(yè)務(wù)，大量占用網(wǎng)絡(luò)資源。因此，為了保證IDC企業(yè)的安全，在網(wǎng)絡(luò)層建立安全保護(hù)非常重要，這直接關(guān)系到數(shù)據(jù)中心服務(wù)的保障。

4.2 業(yè)務(wù)層安全問題

通常情況下，對于后端服務(wù)器的安全攻擊導(dǎo)致業(yè)務(wù)層的安全性較低，這可能會影響一個企業(yè)的業(yè)務(wù)系統(tǒng)的運(yùn)作，并發(fā)生對資源的非法占用的現(xiàn)象。威脅業(yè)務(wù)層安全的因素眾多，使用非漏洞的“合法”應(yīng)用程序請求并不一定會造成安全威脅，但可能會導(dǎo)致一些問題，例如服務(wù)器內(nèi)存存儲和CPU帶來的嚴(yán)重消耗，從而導(dǎo)致系統(tǒng)崩潰。特別是隨著虛擬化技術(shù)的發(fā)展和使用，對業(yè)務(wù)層的攻擊不僅能消耗空間資源，而且還會對企業(yè)業(yè)務(wù)系統(tǒng)的安全構(gòu)成嚴(yán)重威脅。

4.3 基礎(chǔ)管理安全問題

網(wǎng)絡(luò)安全的主要漏洞來自內(nèi)部，如果IDC沒有基本的管理架構(gòu)，運(yùn)營管理體系不健全，缺乏基礎(chǔ)管理，就會導(dǎo)致IDC出現(xiàn)安全問題。它往往會導(dǎo)致系統(tǒng)安全問題，對于企業(yè)而言，漏洞會直接導(dǎo)致內(nèi)部安全問題的出現(xiàn)，影響網(wǎng)絡(luò)安全的穩(wěn)定性。在企業(yè)安全運(yùn)營管理過程中，如果企業(yè)沒有建立完整、嚴(yán)謹(jǐn)?shù)墓芾眢w系，就會降低運(yùn)營管理的效率，直接導(dǎo)致安全問題的反復(fù)出現(xiàn)。

5 企業(yè)lDC安全的構(gòu)建策略

5.1 構(gòu)建設(shè)備安全策略

在構(gòu)建IDC安全時，如果想實(shí)現(xiàn)安全防護(hù)，就應(yīng)必須制定設(shè)備安全策略?？蓪LAN進(jìn)行動態(tài)安全分區(qū)，分離交換機(jī)的物理端口。其常見的技術(shù)措施為科學(xué)、高效地對于端口進(jìn)行處理。在安全措施的實(shí)施中，為了提高IDC的安全性，必須對交換設(shè)備采取全方位的安全措施。在設(shè)備管理方面，應(yīng)使用內(nèi)網(wǎng)管理系統(tǒng)對設(shè)備的安全性進(jìn)行動態(tài)監(jiān)控。同時部署一個專用網(wǎng)管服務(wù)器對設(shè)備維護(hù)設(shè)置進(jìn)行動態(tài)監(jiān)控以及檢測漏洞。此外，所有數(shù)據(jù)中心內(nèi)部必須安裝專門的殺毒系統(tǒng)，以有效隔離受感染設(shè)備。

5.2 網(wǎng)絡(luò)安全防御實(shí)施

建立防火墻能有效保護(hù)IDC邊界安全，并且可以有效進(jìn)行網(wǎng)絡(luò)隔離。將防火墻安裝在服務(wù)器和外部網(wǎng)關(guān)之間，能夠?qū)?nèi)外網(wǎng)的訪問進(jìn)行有效管理，阻擋未經(jīng)授權(quán)的訪問，從而有效保障IDC的安全性的提高。同時，實(shí)施對外網(wǎng)過濾可以成功落實(shí)安全防御措施，防范安全風(fēng)險。

對于企業(yè)的IDC，部署高質(zhì)量的防火墻至關(guān)重要。網(wǎng)絡(luò)邊緣防火墻配置必須針對安全檢測和過濾進(jìn)行優(yōu)化。增強(qiáng)安全性時要考慮對網(wǎng)絡(luò)性能的影響，企業(yè)IDC用戶大多數(shù)是高級用戶，對網(wǎng)絡(luò)性能和互聯(lián)網(wǎng)可訪問性有很高的要求，在安裝和配置高質(zhì)量防火墻時需要考慮其安全性和性能。對于常見的DDoS攻擊，IDC需要部署適當(dāng)?shù)腄DoS攻擊防御系統(tǒng)以及控制和清除異常流量，可以有效防止對網(wǎng)絡(luò)層級的攻擊。

5.3 安全管理實(shí)施

企業(yè)IDC的安全構(gòu)建是企業(yè)需要扎實(shí)建設(shè)的一項(xiàng)關(guān)鍵措施，它取決于企業(yè)業(yè)務(wù)運(yùn)營的內(nèi)在需求，能有效確保網(wǎng)絡(luò)的安全運(yùn)行。在實(shí)施安全建設(shè)過程中，如果將安全技術(shù)由設(shè)備移至網(wǎng)絡(luò)上，建立高效、安全的防護(hù)體系，有助于數(shù)據(jù)中心安全運(yùn)行能力的提升。并且加強(qiáng)運(yùn)營管理體系的建立，能夠保障IDC的運(yùn)行環(huán)境良好，通過加強(qiáng)IDC安全發(fā)展戰(zhàn)略的實(shí)施，有助于企業(yè)在互聯(lián)網(wǎng)服務(wù)競爭中展示自身的服務(wù)質(zhì)量，創(chuàng)造優(yōu)質(zhì)品牌價值。

6 結(jié)束語

企業(yè)IDC的安全構(gòu)建，是企業(yè)所需要扎實(shí)建設(shè)的重要基礎(chǔ)措施。這一方面是基于電信級通信服務(wù)的內(nèi)在要求，另一方面也是網(wǎng)絡(luò)運(yùn)行安全保障的關(guān)鍵。安全構(gòu)建的實(shí)施，一是要落實(shí)包括設(shè)備到網(wǎng)絡(luò)的安全技術(shù)部署，有效構(gòu)建安全防護(hù)體系，進(jìn)而更好地實(shí)現(xiàn)對數(shù)據(jù)中心安全運(yùn)行的保障；二是強(qiáng)化管理，建立完善的運(yùn)營管理體系，以確保IDC的日常運(yùn)營具有良好的內(nèi)部環(huán)境。強(qiáng)化落實(shí)安全構(gòu)建策略，企業(yè)IDC就能更好地體現(xiàn)出差異化服務(wù)質(zhì)量，以電信級高可靠高性能的業(yè)務(wù)，在激烈的互聯(lián)網(wǎng)服務(wù)競爭中樹立高端品牌價值。