谈IDC网络安全的构建

罗耀宗



谈IDC网络安全的构建

罗耀宗

中通服建设有限公司，广东 东莞 523000

当前，我国的IDC建设已步入快速发展期，IDC业务需求也在日益扩大。面对这种形势，如何进一步提升服务质量，强化一站式服务，保障网络安全，已成为IDC能否盈利的关键。分析了维护IDC网络安全的关键点，基于网络安全设计原则的基础上，提出了构建IDC网络安全的几点措施，希望为IDC的未来发展有所贡献。

IDC；网络安全；构建

IDC是互联网业务的重要组成部分，是电信部门提供服务的核心平台。近些年来，随着国家“宽带战略”的逐步实施，IDC业务得到了快速发展，而网络安全问题也日益凸显出来，困扰着IDC机房管理人员，也阻碍着IDC业务的健康发展[1]。对此，需要对影响IDC网络安全的关键因素进行系统研究，并明确相关设计原则，在此基础上，研究IDC网络安全体系的构建。只有这样，才能使IDC业务的服务水平获得整体提升。

1 IDC网络信息安全的关键点

1.1 域名/IP备案

在我国现行的法律法规中，严令禁止未备案网站接入网络。在这种背景下，如何对IDC进行高效全面地管控、审核确认备案信息则成为一个关键问题，尤其在那些内容镜像的加速网络环境中，主服务器可能在异地，由本地多个IP进行自动选择，外加有些客户自行安装负载均衡系统，这对于维护人员如何快速、准确地分析出哪一个应用访问的IP地址以及所在服务器无疑是一项巨大的考验。

1.2 非法信息管控

这里所说的非法信息指违反国家法律法规并在网络上传播、存储的信息，如反动、色情、诈骗、谣言等信息。当前，由于网络信息过滤分析系统过于复杂和昂贵，因此绝大多数IDC使用者并不具有实时监测非法信息的能力，只能被动地根据相关监管部门的通知进行某些应急处理。此外，随着人们的日常工作、生活与网络联系得越来越紧密，以及发展社会经济的整体需求，更加凸显出管控网络非法信息的重要性，必须引起IDC使用者的高度重视，并做好切实有效的防范措施，绝非被动的事后补救。

1.3 主机入侵

来自IDC外部的入侵者会通过木马病毒、漏洞攻击、暴力破解等途径控制机房中的某台主机，并利用这台主机作为堡垒，对其他主机进行攻击与破坏，或从IDC内部向外部网络发起攻击，不但导致受控主机的业务不可用，此IDC的其他服务器也会因带宽资源被大量耗用而无法正常开展各项业务，进而对IDC服务造成极大的危害。

1.4 不可抵赖证据

真正意义上的不可抵赖性保障需要经由数字签名技术进行处理，也就是说，需要第三方CA机构。IDC所有方一般只提供资源出租相关服务，而实际应用一般都是在客户的自有服务器上实现，对第三方监管的需求不大。目前讨论的网络非法行为可跟踪、可记录、可查看、可分析，为网络信息安全威胁行为及时提供证据，令非法入侵者、传播者无可抵赖[2]。

2 网络安全策略

结合当前网络系统的实际情况，解决网络安全保密问题成为当务之急，考虑到技术及经费等因素，建议采用以下安全策略：首先，使用漏洞扫描技术对重要网络及设备进行风险评估，确保信息系统在最佳的网络环境下运行；其次，由防火墙技术、NAT技术、VPN技术、网络加密技术、身份认证技术、防病毒系统以及入侵检测技术构建起网络安全的防御体系；再次，制定并不断完善安全管理制度，对网络攻击行为实现快速响应与快速恢复；最后，建立起分层管理模式，完善各级网络安全管理中心。

3 IDC网络信息安全的构建策略

3.1 建立IDC信息安全管理平台

伴随着互联网技术与信息安全技术的快速发展，已建成专业的网络信息安全管理平台，即IDC信息安全审计管理系统。该系统具有以下功能。

（1）IP/域名管理。可根据各种条件对域名信息进行查询，如根据IP查询域名、根据域名查询1P，还可以查询看到主机所在位置、机房编号以及主机使用单位等相关信息。（2）监控管理。对IDC机房中的HTTP/WAP Post（网页发帖）、HTTP/WAP Get（网页浏览）、FTP、SMTP、POP3、Telnet等协议中的有害信息进行审计，一旦发现，立即报警。（3）封堵管理。可对IP、网站、特定网页（URL）进行封堵功能的添加和取消。（4）图片分析。可通过程序自动审查和人工审查对JPG、PNG、GIF、TIF、BMP等格式的图片进行捕获分析，由程序自动审查所造成的遗漏，可通过人工审查进行弥补。（5）日志管理记录。该功能可于IDC机房中的网页访问日志、FTP访问日志、Telnet访问日志、邮件（SMTP，POP3）日志等网络服务访问日志进行分类管理。（6）报表管理。可对IDC机房的各种网络数据进行汇总与统计，并通过柱状图、饼状图、曲线图等样式提供统计图与统计报表，统计项目包括服务类型统计、热点访问量及排行统计、访问趋势预测、流量趋势分析等。（7）系统管理。可对系统用户权限、各项参数配置、探针服务器、命令和策略下发等环节进行管理。（8）信息管理。将系统收集到的报警信息、日志信息、IDC运行状态、客户端用户注册信息以及域名备案信息上传到第三方管理平台，为各类信息的统一的管理与分析提供对外接口。

3.2 密码管理

首先，对所有的设备、主机、数据库系统的默认密码进行修改。其次，在设置新密码时，一要保证足够的位数，不要设置为人、物或组织名称；二要保证足够的复杂程度，不能是键盘上有序的序列。再次，密码要以加密的形式进行保存，输入时不要显示明文；此外，定期更改密码，为避免管理人员遗忘，可在系统中设置强制要求修改密码功能。最后，务必加强密码管理，提高网络安全维护人员的防范意识，以防密码丢失和外泄。

3.3 建立IDC运营管理系统

我国的IDC行业具有“谁接入、谁负责”的规定，并在IP/ICP备案、不良信息监控等方面具有明确的指导性政策；同时，为了保持IDC的持续健康运营，也必须建立起一套标准化的运营管理体系[3]。实际管理的过程中，面对机房资源、网络数据、客户资料以及网站备案信息等大量的数据，当具备条件时，要第一时间建立起一套运营管理系统，将IDC的各个工作环节有机地结合起来，全面构建起IDC网络安全体系，从而为用户提供更专业、更方便、更高效的服务。

4 结束语

正所谓“信息融合世界，安全保障发展”。IDC要想实现真正意义上的网络信息安全，就必须对各个环节的安全防护进行综合考量与分析，并提出行之有效的保障措施。随着网络技术不断向前发展，还会出现很多新情况与新问题，安全问题的关键点及其解决措施必然也会发生相应的变化。为保障IDC安全而建立起来的各项制度、流程、技术措施等内容也要及时进行调整，并确保落实到位。只有这样，才能为IDC网络信息安全提供必要的支撑，推动IDC的可持续发展。

[1]王婷，黄文培. IDC网络安全技术研究[J]. 网络安全技术与应用，2007（3）：28-30.

[2]孟照让. IDC安全防护体系建设策略[J]. 电信技术，2006（11）：58-62.

[3]贾铁军. 网络安全技术及应用[M]. 北京：机械工业出版社，2009.

Talking about the Construction of IDC Network Security

Luo Yaozong

China Comservice Construction Co., Ltd., Guangdong Dongguan 523000

At present, China’s IDC construction has entered a period of rapid development, and the demand for IDC business is also expanding. Faced with this situation, how to further improve service quality, strengthen one-stop service, and ensure network security have become the key to the profitability of IDC. The key points of maintaining IDC network security are analyzed. Based on the principles of network security design, several measures are proposed to construct IDC network security, hoping to contribute to the future development of IDC.

IDC; network security; construction

TP393.08

A