一、概述
IDC即是Internet Data Center 是基于Internet 網(wǎng)絡(luò)，為集中式收集、存儲、處理和發(fā)送數(shù)據(jù)的設(shè)備提供運(yùn)行維護(hù)的設(shè)施以及相關(guān)的服務(wù)體系。IDC提供的主要業(yè)務(wù)包括主機(jī)托管（機(jī)位、機(jī)架、VIP機(jī)房出租）、資源出租（如虛擬主機(jī)業(yè)務(wù)、數(shù)據(jù)存儲服務(wù)）、系統(tǒng)維護(hù)（系統(tǒng)配置、數(shù)據(jù)備份、故障排除服務(wù)）、管理服務(wù)（如帶寬管理、流量分析、負(fù)載均衡、入侵檢測、系統(tǒng)漏洞診斷），以及其他支撐、運(yùn)行服務(wù)等。
隨著中國互聯(lián)網(wǎng)以超常的速度向前發(fā)展，企業(yè)用戶對IDC的需求也日益增長，而隨著電信運(yùn)營商業(yè)務(wù)轉(zhuǎn)型，各種數(shù)據(jù)業(yè)務(wù)也層出不窮，比如中國電信開展的互聯(lián)星空計(jì)劃的實(shí)施、中國移動的ADC業(yè)務(wù)系統(tǒng)等也受到越來越多的用戶認(rèn)可，作為其主要業(yè)務(wù)平臺IDC也受到越來越多的關(guān)注，而安全性則是焦點(diǎn)之一。
本文主要是通過對IDC網(wǎng)絡(luò)系統(tǒng)和業(yè)務(wù)系統(tǒng)現(xiàn)狀的介紹，分析其安全狀況，然后對當(dāng)前IDC存在的安全風(fēng)險(xiǎn)進(jìn)行整理和分析、再提出針對IDC的網(wǎng)絡(luò)安全解決方案
二、IDC安全現(xiàn)狀
2.1網(wǎng)絡(luò)和業(yè)務(wù)現(xiàn)狀
典型的IDC通常由網(wǎng)絡(luò)骨干層、匯聚層和接入層三個(gè)層面構(gòu)成，骨干層通過高性能路由器連接兩個(gè)或以上的運(yùn)營商互聯(lián)網(wǎng)骨干網(wǎng)，提供Internet接入，并實(shí)現(xiàn)鏈路備份，核心路由器以下則為兩臺核心交換機(jī)作為網(wǎng)絡(luò)的匯聚層，在匯聚層以下由L2/L3交換機(jī)構(gòu)成接入層，接入各種托管服務(wù)。

IDC中主要的業(yè)務(wù)是主機(jī)托管業(yè)務(wù)，現(xiàn)階段，IDC中托管的主機(jī)系統(tǒng)主要分為兩類：
自有數(shù)據(jù)增值業(yè)務(wù)，如互聯(lián)星空、ADC等運(yùn)營商自己運(yùn)營的增值業(yè)務(wù)，這一類業(yè)務(wù)服務(wù)器是屬于運(yùn)營商有的業(yè)務(wù)系統(tǒng)，由運(yùn)營商自行進(jìn)行日常維護(hù)。
托管服務(wù)器，如網(wǎng)游的服務(wù)器系統(tǒng)、網(wǎng)站系統(tǒng)等，這個(gè)部分是IDC機(jī)房收入的主要來源。在這類托管服務(wù)器中，一般有中小型客戶和大客戶之分，中小客戶主要是一般的企業(yè)單位租用共享帶寬資源，其維護(hù)力量較弱，大客戶主要是大型的門戶網(wǎng)站、專業(yè)的網(wǎng)游服務(wù)器等，這類用戶往往是租用多個(gè)機(jī)柜部署自己的一整套系統(tǒng)，通常情況下都有自己的一組維護(hù)人員進(jìn)行系統(tǒng)的日常管理和運(yùn)維。
2.2IDC面臨的主要安全風(fēng)險(xiǎn)
分布式拒絕服務(wù)攻擊（DDOS）、蠕蟲病毒等大規(guī)模的流量型攻擊，不僅對IDC中直接受攻擊的客戶服務(wù)器帶來影響，同時(shí)占用大量IDC的帶寬資源，另外突發(fā)大數(shù)據(jù)流會造成路由交換等網(wǎng)絡(luò)設(shè)備負(fù)荷過載，從而導(dǎo)致網(wǎng)絡(luò)服務(wù)質(zhì)量下降，甚至?xí)霈F(xiàn)路由器板卡轉(zhuǎn)發(fā)異常以及網(wǎng)絡(luò)終極擁塞等現(xiàn)象。
針對IDC的攻擊可以導(dǎo)致企業(yè)網(wǎng)絡(luò)的癱瘓，業(yè)務(wù)中斷，這些攻擊通常利用設(shè)備系統(tǒng)本身的安全漏洞，而且托管設(shè)備安全配置的不完善也可以給攻擊者可乘之機(jī)。針對這些問題的攻擊一旦成功，后果不堪設(shè)想，將會直接導(dǎo)致客戶滿意度降低，甚至客戶流失。
IDC機(jī)房中托管了很多客戶的業(yè)務(wù)主機(jī)，當(dāng)部分業(yè)務(wù)主機(jī)成為被攻擊目標(biāo)時(shí)，往往會影響其他主機(jī)的正常業(yè)務(wù)提供，這主要是由于缺乏有效的安全隔離、安全控制的技術(shù)和策略。
托管主機(jī)的安全代維服務(wù)需求，電子商務(wù)網(wǎng)站、政府、企業(yè)等大量的中小客戶經(jīng)常遭受網(wǎng)絡(luò)攻擊，服務(wù)質(zhì)量下降，而由于其自身缺乏安全運(yùn)維人員，迫切需要運(yùn)營商提供安全服務(wù)，為客戶的業(yè)務(wù)系統(tǒng)提供安全保障。
三、IDC安全解決方案
3.1方案總體思路
IDC同行業(yè)之間的競爭越來越激烈。IDC通常采用擴(kuò)充出口帶寬、提升網(wǎng)絡(luò)核心設(shè)備處理能力等來開拓新的客戶和留住已有客戶，而建設(shè)、完善有效的安全管控體系，為IDC客戶提供一個(gè)安全穩(wěn)定的運(yùn)行環(huán)境也成為IDC客戶，特別是大客戶選擇IDC時(shí)非?？粗氐囊粋€(gè)硬性指標(biāo)；同時(shí)，通過安全體系的建立能有效的降低由安全引起的運(yùn)維成本。
建立一個(gè)有效的信息安全體系最有效的方式是采用系統(tǒng)化的方法，首先確定信息安全管理策略和范圍，然后在風(fēng)險(xiǎn)評估的基礎(chǔ)上選擇適宜的控制目標(biāo)和控制方式對風(fēng)險(xiǎn)進(jìn)行處理，最后制定業(yè)務(wù)持續(xù)性計(jì)劃，建立并實(shí)施信息安全體系。
根據(jù)上述章節(jié)對IDC安全風(fēng)險(xiǎn)的分析，現(xiàn)階段IDC的安全體系中需要解決的是構(gòu)建一套有效的安全防護(hù)體系。因此，本方案主要是基于技術(shù)措施來構(gòu)建IDC的技術(shù)體系，而對于組織管理體系和運(yùn)維體系的建設(shè)不在本文中展開描述。
3.2基于安全域的防護(hù)策略
安全域是由一組具有相同安全保護(hù)需求、并相互信任的系統(tǒng)組成的邏輯區(qū)域，在同一安全域中的系統(tǒng)共享相同的安全策略，通過安全域的劃分把一個(gè)大規(guī)模復(fù)雜系統(tǒng)的安全問題，化解為更小區(qū)域的安全保護(hù)問題，是實(shí)現(xiàn)大規(guī)模負(fù)責(zé)信息系統(tǒng)安全保護(hù)的有效方法。
3.2.1IDC安全域劃分
通過前面章節(jié)對IDC業(yè)務(wù)的分析，首先可以根據(jù)業(yè)務(wù)系統(tǒng)的不同來進(jìn)行安全域的劃分，主要分為自有業(yè)務(wù)域，中小客戶域和大客戶域，然后再根據(jù)托管廠商的不同在上述幾個(gè)安全域中進(jìn)行細(xì)分。
安全域的劃分是為了更好的對不同重要等級的安全域進(jìn)行適當(dāng)防護(hù)，而防護(hù)策略主要分為安全域邊界和安全域內(nèi)部的防護(hù)。安全域劃分網(wǎng)絡(luò)系統(tǒng)劃分為不同安全區(qū)域，分別進(jìn)行安全保護(hù)的過程，通過安全域的劃分和保護(hù)，將實(shí)現(xiàn)如下意義：
1.基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢查和評估的基礎(chǔ)
2.有效建立安全管理控制點(diǎn)，指導(dǎo)系統(tǒng)安全規(guī)劃、設(shè)計(jì)、入網(wǎng)等工作；
3.實(shí)現(xiàn)對系統(tǒng)進(jìn)行重點(diǎn)保護(hù)，統(tǒng)一管理的策略，統(tǒng)一信息安全技術(shù)支撐；
4.安全域的分割能有效的防護(hù)攻擊滲透；
5.基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全建設(shè)的部署依據(jù)；
6.安全域邊界是災(zāi)難發(fā)生時(shí)的抑制點(diǎn)，防止影響的擴(kuò)散；
7.有效的避免安全方面的重復(fù)投資
3.2.2IDC安全域防護(hù)
安全域防護(hù)的根本目的是為了保證業(yè)務(wù)信息系統(tǒng)的穩(wěn)定、安全運(yùn)行，使其能夠穩(wěn)健、持續(xù)的提供業(yè)務(wù)服務(wù)，保障電信運(yùn)營商IDC各種業(yè)務(wù)的正常運(yùn)營和戰(zhàn)略目標(biāo)的達(dá)成。安全保護(hù)的對象是業(yè)務(wù)信息系統(tǒng)內(nèi)的所有信息資產(chǎn)，包括硬件、軟件、服務(wù)、信息等，其中重點(diǎn)是服務(wù)和信息。
基于IDC 的業(yè)務(wù)需求，以及IDC面臨的安全問題，單一設(shè)備或單一系統(tǒng)無法解決IDC的安全問題，需要采用多層面全方位的解決方案來應(yīng)對IDC的安全問題，解決思路如下：
1、流量分析系統(tǒng)實(shí)時(shí)監(jiān)控分析IDC的數(shù)據(jù)流，獲取抗拒絕服務(wù)攻擊（DDOS）等非法數(shù)據(jù)流信息。
2、流量凈化系統(tǒng)過濾非法數(shù)據(jù)流信息，保障網(wǎng)絡(luò)基礎(chǔ)架構(gòu)健康平穩(wěn)運(yùn)行，為大客戶業(yè)務(wù)保駕護(hù)航。
3、網(wǎng)絡(luò)入侵檢測系統(tǒng)深度檢測蠕蟲、病毒等應(yīng)用層攻擊。
4、漏洞掃描系統(tǒng)及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞和風(fēng)險(xiǎn)，為IDC安全未雨綢繆
5、……
3.3專業(yè)安全服務(wù)引入
3.3.1安全問題
安全問題目前正以每周新增幾十甚至幾百例的速度在全世界得到反饋，同時(shí)涉及信息技術(shù)的眾多領(lǐng)域，IDC維護(hù)人員在安全知識的更新速度方面面臨更大的壓力。
安全預(yù)警以安全通告的形式為IDC提供最新的安全動態(tài)、技術(shù)和定制的安全信息，包括實(shí)時(shí)安全漏洞通知、定期安全通告匯總、臨時(shí)安全解決方案和安全知識庫更新等。同時(shí)，這些通告信息可以定制化發(fā)送給不同的IDC托管客戶，通過提供安全信息政治服務(wù)的方式來增加IDC客戶的粘度。
3.3.2緊急事件響應(yīng)
目前許多IDC或者IDC的客戶自身尚沒有足夠的資源和能力對安全事故做出反應(yīng)，網(wǎng)絡(luò)安全的發(fā)展日新月異，無法實(shí)現(xiàn)一勞永逸的安全，所以當(dāng)緊急安全問題發(fā)生，一般技術(shù)人員又無法迅速解決的時(shí)候，及時(shí)發(fā)現(xiàn)問題，解決問題就必須依靠緊急響應(yīng)來實(shí)現(xiàn)。
緊急響應(yīng)服務(wù)提供高效的信息安全事故反應(yīng)體系，可以幫助IDC盡快對信息安全破壞事故作出反應(yīng)，包括事故處理及恢復(fù)、事后的事故描述報(bào)告以及后續(xù)的安全狀況跟蹤。同時(shí)，當(dāng)IDC中托管的用戶主機(jī)或IDC的網(wǎng)絡(luò)系統(tǒng)正遭到攻擊或發(fā)現(xiàn)入侵的痕跡，而又無法當(dāng)時(shí)解決或追查來源時(shí)。晉級事件響應(yīng)將以最快的速度趕到現(xiàn)場，協(xié)助IDC運(yùn)維人員解決問題，查找受攻擊系統(tǒng)，保存證據(jù)和追查來源。
3.3.3高級維護(hù)服務(wù)
1.安全設(shè)備維護(hù)
隨著網(wǎng)絡(luò)安全的不斷發(fā)展，IDC在信息安全方面的投資也越來越多，各種安全產(chǎn)品在各個(gè)層面部署。而IDC中的安全設(shè)備往往買回來后，由于維護(hù)力量的不足，往往也擱置不用，在各IDC都有或多或少存在這樣的問題。因此可以通過引入專業(yè)的安全服務(wù)對各種安全設(shè)備進(jìn)行專業(yè)的維護(hù)和照料，使之發(fā)揮相應(yīng)的作用，從而有效保護(hù)已有安全投資，實(shí)現(xiàn)已有安全投資效益最大化的目標(biāo)。
2.系統(tǒng)安全加固
網(wǎng)絡(luò)安全是動態(tài)發(fā)展變化的，需要時(shí)刻關(guān)注最新漏洞和安全動態(tài)，制定更新的安全策略以應(yīng)付外來入侵和蠕蟲病毒等威脅。通過引入安全服務(wù)針對網(wǎng)絡(luò)節(jié)點(diǎn)的漏洞和脆弱性，定期的進(jìn)行安全加固，可以使系統(tǒng)有效的抵御外來的入侵和蠕蟲病毒的襲擊，使系統(tǒng)可以長期保持在高度可信的狀態(tài)。
四、結(jié)束語
IDC的網(wǎng)絡(luò)建設(shè)和發(fā)展是一個(gè)長期的任務(wù)，隨著技術(shù)的發(fā)展和業(yè)務(wù)的更新，需要及時(shí)的調(diào)整已有的安全策略，設(shè)計(jì)心得網(wǎng)絡(luò)安全方案。同時(shí)，計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性，使得網(wǎng)絡(luò)安全越來越成為一種專門的技術(shù)和服務(wù)，需要與專業(yè)的安全服務(wù)組織合作來進(jìn)行更全面和完善的網(wǎng)絡(luò)安全規(guī)劃和建設(shè)。

總結(jié)

以上是生活随笔為你收集整理的IDC安全防护方案的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。