关于IDC网络安全体系建设的思考

朱廷谋 李学良 中移铁通有限公司茂名分公司

互联网数据中心（Internet Data Center，IDC）在互联网网的发展中占据了重要的位置，作为互联网内容和应用的主要承载平台，IDC不仅要为企业和用户提供网络接入和网络托管的服务，而且还要为服务器的监管提供服务，因此IDC网络安全的问题事关整个网络的安全性、保密性。由于IDC网络的服务对象一般是企业，所以一旦发生了数据的泄露，将会对一个企业造成极大的损失。目前网络信息安全还存在很多的隐患，我们必须充分的关注IDC网络安全问题。本文主要对现阶段IDC网络容易出现的问题做出了一定的思考，构建网络安全体系，尽最大努力减少网络安全漏洞，保障互联网信息安全。

1 IDC网络安全特性

IDC网络的网络结构非常复杂，能够同时承载许多的业务，因此对于网络的性能要求很高。按照结构体系来分的话，IDC网络可以分为四个主要部分，包括网络接入层、网络核心层、网络分布层、服务器接入层和后台管理，其中网络接入层主要用于将IDC接入到特定的网络中去，方便用户的使用；核心层的作用主要适用于网络信息、数据的传输，因此在网络安全中要特别注意核心层的运行状况。在基于对IDC网络结构的分析上，本文总结除了以下三点IDC网络的安全特性：首先是具有动态性，IDC网络在使用过程中是实时的、动态的，随着时间的变化在不断的改变，当IDC网络出现变更时，我们的IDC网络安全系统也需要做出相应的变化，避免网络安全出现新的问题。其次是IDC网络安全问题要注意防范与管理并重，由于IDC网络提供的是一种综合性的服务，所以在安全防护方面要注意全面的防护，充分的考虑到可能出现的问题，在应对多中多样的问题中制定全方位的安全防护手段以及相应的管理措施。最后就是IDC网络发生安全问题后容易产生连环反应，IDC网络的搭建是由多台服务器相互组建而成的，如果在使用过程当中，其中的某一台服务器出现了安全问题，那么其他的服务器也容易出现同类问题，导致其他设备的安全防御系统被破坏，从而导致整个IDC网络出现安全问题。

2 IDC网络常见的安全问题

针对IDC网络安全的攻击方式多种多样，在现阶段，一般可以分为这几种：一是IDC网络的口令获取，网络的管理一般都是通过个人账户对网络进行加密，如果攻击者能够获窃取密码，那么将会对网络安全形成极大的破坏。二是针对网络的IP诈骗，不法分子会讲自己的IP地址伪装成IDC网络信任的用户的IP地址，获得主机的信任，进行不法的活动。三是针对IDC网络的窃听行为，攻击者在公共网络中采取技术手段利用IDC网络的切入点对网络中传输的信息进行监听，容易造成机密信息、数据的损失。四是采用DDoS方式进行网络攻击，通过不断地对IDC服务器发送认证请求，这时候IDC网络服务的系统资源被大量占用，无法为用户提供正常的服务。五是其他的网络病毒的入侵，例如木马、蠕虫等网络病毒的入侵，一旦遭到网络病毒的入侵，将会有可能使整个IDC网络系统崩溃。

3 IDC网络安全体系的结构及策略

IDC网络安全体系的建设是一个庞大的系统工程，网络安全包括网络实体安全、网络通信体系安全和主机系统的安全，本文认为在整个体系的建设方面主要分为两个方面，一个方面就是人，另一个方面就是技术层面。首先从人的方面进行介绍，在现在网络安全体系中都少不了人的存在，在安全防护方面人起到了最重要的作用，所以在安全防护体系中，要加强人的干预，网络管理员定期检查安全防护系统，不定期进行模拟攻击嗅探，一旦发生有被攻击的迹象的时候，要及时的发现问题，并做出相应的反应，不到等到系统真正被攻击的时候才派人去维护，要防患于未然。

在密码的设定、管理方面要建立合理的密码管理规则，其一：根据数据的重要程度可以将密码划分为三个等级，数据库用户密码、数据库管理员密码为一级密码、应用软件登录密码、普通数据库密码为二级操作密码，非数据库服务器密码为三级密码。其二：密码的设定必须为专人负责，不同级别的密码分别由不同级别的人进行设定。其三：根据系统的要求，密码设定的时候长度不得低于8位，要求尽量使用系统设定的最长密码，同时密码必须由数字、大小字母、特殊符号共同组成，防止黑客暴力破解密码，设定密码时禁止使用生日、姓名、身份证号等其它有关个人信息，防止被他人猜破。其四：系统要及时提醒管理人员定期更换密码，最长不超过90天。其五：当有人试图破解密码时，系统对于输错三次密码的情况将会锁定系统，并且及时以短信、邮件的方式通知给账号管理员。管理人员对于各类密码的使用和保存必须做到隐秘，另外密码不得作文电子文本保存，防止密码的泄露。

在技术层面上来讲，IDC网络保障措施有很多，本文在研究了大量实例之后，主要提出了以下几种防范措施。

3.1 防范DDos的攻击

DDoS是一种通过占用服务器资源进行攻击的攻击方式，因此在防范DDos攻击的时候要做到这几个方面，采用网络入侵检测系统，DDoS在攻击IDC网络的时候会大量的使用网络流量，所以在技术层面上，一旦系统检测到有不明的IP地址使用网络时，系统及时的发出警报，提示管理员切断非法连接；采用高性能的网络设备，当发生攻击的时候，网络管理员能够对某一网络节点进行网络流量限制；在路由器和交换机上，当发现数据帧长度太短、原地址的目的地址是回环地址、帧被分段的时应当及时的丢弃这些数据帧；在网络设备上尽量使用充足的网络带宽，增加网络的带宽的同时也增加了网络抵御攻击的能力，当发生网络资源被大量占用时，如果带宽足够大，能够对攻击抵御一定的时间，同时可通知管理员做出有效的反应。另外，还可以把网站作为静态页面，能够给黑客的攻击带来很大的阻力。

3.2 采用虚拟局域网VLAN技术

IDC网络系统是一种综合性服务系统，为了保证托管客户相互通信的安全，可以采用虚拟局域网VLAN技术，通过给每一个客户分配一个相关的子网，同时使用VLAN技术使每一个客户在第二层信息传输隔离开，这样不仅能够方便网络的管理，同时也可以有效的增加了网络系统抵御攻击的能力。并且在IDC网络中，网络之间的通信一般都发生在用户和服务器之间，IDC网络的就够在同一个二层域中有三类的不同安全级别的端口。通过这项技术能够很好地对第二层用户进行隔离，有效保障了系统的安全

3.3 防火墙

防火墙技术可用于对网络通信进行有效的监控和过滤，其目的主要是防止未被授权或者不明IP地址的用户对IDC网络系统进行访问，能够通过防火墙技术有效的阻挡一部分用户对主机的访问，并且在用户访问IDC系统的时候，能够根据一定的规则对网络传输中的数据内容进行审查、过滤，防止有害的信息进入IDC网络系统，并且能都对数据的行为进行审查，一旦发现可疑情况，能够及时的阻断对IDC系统的访问，另外，在防火墙技术中还有一种代理技术，该技术的作用就是在用户和公共网络之间增加一层代理机制，通过代理机制的作用，保障数据通信的安全。

3.4 漏洞扫描技术

在IDC网络设备中，主机的安全极为重要，因此可以通过漏洞扫描技术对主机进行安全保障，该技术通过与主机建立安全连接，能够在连接成功之后对主机进行安全扫描。IDC维护工程师能够通过此技术定期的对主机设备或者其他设备进行扫描，及时的发现系统存在的漏洞，并且在发现安全漏洞之后，能够及时的对漏洞进行修补。通过定期对系统、网络的进行漏洞扫描，发现并记录所有的系统和网络，发现漏洞时除了做好修补之外，还要及时对漏洞数据库进行更新，防止此类漏洞的再次发生。通过全面扫描系统，发现并确认系统、网络的脆弱点，因为这些脆弱点常常是黑客发动攻击的入口，所以要及时对系统进行更新维护，特别是针对脆弱点的更新，提高系统的安全性。

3.5 加密技术

在IDC网络数据的传输过程中，为了防止信息被窃取、泄露，可以采用数据的加密技术进行处理。在IDC网络系统中可以采用透明加密的方式对文件、数据进行加密，当管理员或者用户使用电脑保存文档时，文档将自动被加密，在授权的计算机上是可以被解密的，在其它计算机上却是以加密的文件存在的，未授权的计算机无法破解文件。管理员可以对其他计算机进行授权，当发现其他计算机存在文件被泄露的危险时，能够及时的解除授权模式。同时，系统可以通过身份权限验证的方式对电子文件进行保护，在企业应用中，每一个单位用户可以设置一个唯一的秘钥，同时单位之间也可以再设置一个秘钥，不同的单位即使获得其他单位的文件仍然无法解密对方文件。通过透明加密，可以实现授权计算机的自动加密，使用者非常方便，对于企业内部的交流无需做任何的处理，即使文件被泄露出去，由于其它的计算机未被授权，也无法打开文件，保证了数据的安全。

4 结语

随着IDC网络技术的发展，IDC的业务量也越来越高，作为一种综合性服务网络，其安全问题应该得到人们广泛的关注，IDC网络安全体系的建设不仅需要技术层面的措施，还需要人为管理层面做出努力，建立合理的密码设定、管理制度，管理人员严格遵守管理制度和操作流程。通过防火墙技术、漏洞扫描技术、不断的加强系统安全性，数据传输过程中及时加密。在人和技术两个层面共同采取措施，共同促进IDC网络安全体系的建设。目前我国在信息安全方面的发展还不够完善，因此这将是未来的一个重要的研究方向。全面推进IDC网络安全体系建设，保障信息安全，这需要我们共同的努力。

[1]柳正茂,李洪波.IDC网络安全问题与对策[J].河北省科学院学报,2010,27(01):35-37.

[2]刘丽丽,孟甜,刘国锋.IDC网络安全常见问题与应对策略研究[J].硅谷,2013,6(13):130+128.

[3]王婷,黄文培.IDC网络安全技术研究[J].网络安全技术与应用,2007(03):28-30.