浅谈IDC网络安全建设

杨 柏

中国移动通信集团广西有限公司，广西 南宁 530028

1 概述

随着中国互联网以超常的速度向前发展，企业用户对IDC的需求也日益增长，作为其主要承载平台IDC也受到越来越多的关注，而网络安全则一直是研究的焦点之一。

2 IDC定义及网络安全现状

IDC即Internet Data Center，是基于Internet网络，为集中式收集、存储、处理和发送数据的设备提供运行维护的设施基地并提供相关的服务。IDC提供的主要业务包括域名注册查询主机托管（机位、机架、机房出租）、资源出租（如虚拟主机业务、数据存储服务）、系统维护（系统配置、数据备份、故障排除服务）、管理服务（如带宽管理、流量分析、负载均衡、入侵检测、系统漏洞诊断），以及其他支撑、运行服务等[1]。

IDC网络安全问题主要可以划分为以下几个方面。

（1）流量攻击问题

主要表现为：来自外部互联网，针对IDC的DDoS攻击（重要用户服务器遭受攻击，IDC链路带宽被占用，视频、游戏、网游等应用层攻击越来越多）；IDC内部主机对外网的DDoS攻击（IDC主机被僵尸程序控制、利用IDC良好的系统资源和链路资源）；来自专线接入链路的DDoS攻击（内部IDC互联链路、小型IDC上连链路、SP系统接入链路、CDN及网站镜像链路）等。

（2）自有/托管网站安全问题

主要表现为：拒绝服务攻击（系统瘫痪、停止服务）、非法入侵（篡改网页、挂马）、恶意代码（破坏、盗取）、跨站脚本（盗取、挂马）等。

（3）不良内容传播问题

主要表现为：无法掌握IDC中所有的网站域名、无法了解IDC中网站域名是否已经备案、无法获取托管服务器网站中是否存在文字/图片等形式的不良信息、无法了解托管服务器网站是否被上传不良的页面内容。

（4）运维管理的安全问题

主要表现为：粗放式权限管理，安全性难以保证、账号管理混乱、第三方代维带来安全隐患、设备自身日志难以有效定位安全事件、传统网络安全审计难以满足运维管理要求、面临法规遵从压力。

3 IDC网络安全建设方案

解决IDC面临的安全问题，单一设备或单一系统无法解决IDC的安全问题，需要采用多层面全方位的解决方案来应对IDC的安全问题。

（1）互联网接入层

应用监控系统：通过分光/镜像方式将互联网流量复制到应用监控系统中，通过分析提供不良信息监测、异常邮件行为监测、垃圾邮件过滤、网站内容有效性测试、业务流量统计分析、备案管理等功能。

流量清洗系统：提供对大流量DDOS的攻击检测和清洗功能，保证IDC内部系统正常工作。与应用监控系统联动，应用监控系统检测到异常流量攻击后，上报流量清洗系统并把受攻击的主机流量引入清洗系统进行异常流量清洗，将清洗后的正常业务流量重新注回网络。

防火墙：部署在互联网接入层或汇聚层，主要功能是将IDC与不可信任域进行有效地隔离与访问控制，IDC出口流量较大，使用千兆或万兆防火墙。

（2）业务汇聚层

入侵检测系统：部署在IDC汇聚层，通过入侵检测系统和防火墙联动，为IDC网络提供实时的入侵检测和可靠的防护手段，降低网络安全风险。入侵检测设备也可部署在有防护需求的服务器之前。

安全审计系统：部署在IDC汇聚层，通过进出IDC的数据进行实时的审计，对关键字、web访问、数据库操作、服务器操作等网络行为进行记录，及时发现网络异常，便于事后审计溯源。

漏洞扫描系统：基于主机和网络的安全漏洞扫描评估工具，主要用于评估多种操作系统平台和应用系统的安全性，同时检查这些系统是否符合业界最佳的安全实践和规范，及时发现业务系统中存在的诸如系统漏洞、配置错误、文件变更、违背安全策略的情况并加以矫正。

负载均衡：部署在汇聚层或者业务接入层，支持共享负载均衡和独享负载均衡，共享负载均衡指购买此项增值服务的所有托管客户的服务器都可以共享IDC购置的负载均衡设施；独享负载均衡主要是为了避免共享用户争用负载均衡设备资源的可能，为大的IDC客户单独建立负载均衡设施，以保证达到良好的效果。

SSL加速：SSL加速设备可部署在汇聚层或业务接入层，提供高速硬件加解密能力，为IDC内的电子商务类网站提供加速服务。

（3）业务接入层&运维管理层

网页防篡改系统：部署在业务接入层，防范WEB服务器上的网站页面被非法篡改，且在页面遭受非法篡改后能够自动屏蔽非法网页以及进行页面的自动恢复。

防火墙：部署在运维管理层，负责将运维管理层各用户区域和IDC管理区域间网络隔离和访问控制，宜采用百兆或千兆防火墙。

VPN安全接入设备：VPN安全接入设备部署在运维管理层，为运营商运维人员、客户维护人员提供安全可靠的IPSec/SSL VPN远程接入手段，实现远程访问、维护IDC核心资源的目的。通过部署VPN可以保证数据在互联网上传输的私有性、完整性和真实性，避免将互联网风险引入到IDC运维管理区域。

用户接入审计系统：部署在运维管理层，提供对终端用户的身份认证、安全策略检查、终端审计、用户行为审计、安全准入等功能，保障运维管理区域终端的安全性和合规性。

防病毒系统：防病毒系统部署在运维管理区，要求所有终端和IDC自有设备部署防病毒及恶意代码的软件，达到“层层设防、集中控制、以防为主、防杀结合”的策略要求。

4 结束语

本文分析了现阶段IDC网络安全锁面临的一系列风险，得出的结论是IDC需要构建一套有效的安全防护体系。本文从IDC的基本网络架构层次提出了相应的安全解决方案，最终构成了一套全方位的IDC网络安全防护体系，对于IDC的建设有一定的借鉴意义。

[1]百度百科 http://baike. baidu. com.

[2]中国移动通信集团. 中国移动IDC总体技术要求.

[3]诸葛建伟，页志远等. 攻击技术分类研究[J]. 计算机工程，2005.