有关IDC网络安全问题及其处理探讨

谢德华 时胜尧

国家计算机网络应急技术处理协调中心贵州分中心 贵州 贵阳 550001

引言

随着网络应用的全球化，IDC在用户和服务提供商、网络与应用、访问与存储的集成方面发挥着越来越重要的作用。互联网环境的必然开放性意味着IDC会面临病毒感染、黑客攻击、系统安全等一些安全问题，会对整个网络的运行和网络访问的安全性产生重大的影响与威胁。对企业来说，最重要的是企业的安全，而安全服务的承诺是为用户制定的。一些重要客户选择IDC服务，这取决于企业优质的基础网络能力和高安全性能。因此，企业应努力完善IDC的安全建设战略，成为IDC安全的强大动力。

1 lDC网络

IDC 网络是由数据中心所提供的一项服务。客户可以享受数据中心服务，除了可以租用数据中心服务器和带宽，还可以利用数据中心的技术能力、软硬件需求等搭建互联网平台。然而每个企业都有自己的商业秘密，这些秘密以某种需要网络安全和隐私的信息形式表达出来。这说明了IDC网络对所有用户的重要性，所以IDC网络安全防护功能一定要做好。

2 lDC安全网络分析

2.1 IDC存在的特性

IDC不只与互联网相隔离，还要满足各个层次的要求。因此，IDC本身具有以下特点[1]：①攻击者容易恶意对敏感信息截取与干扰。②攻击者冒充普通用户身份对IDC进行恶意操作。③IDC 安全动态性随着系统和设备更新使新的安全漏洞不断出现。由于之前的安全防护措施没有为IDC提供安全保障，致使IDC安全防护体系需要不断监控和完善。④系统的多样化。IDC系统大部分来自IDC本身及其客户端。它的主机系统包括Winflows、Linux和Unix。IDC系统的多功能性使大部分IDC都容易遭受到恶意攻击。⑤在IDC中，如果攻击者攻击到主机的每一层级，则整个IDC的安全都会受到威胁。可见，IDC安全防护不能基于任何方面，而应按其层级进行分类，对各个层级严密地进行安全检测与防护，从根本上确保IDC的安全性。

2.2 IDC常见的安全威胁

①拒绝服务攻击（DDoS/DoS）：当攻击者在攻击目标主机时冒充正常用户对网络资源进行恶意破坏。IDC服务器受到DDoS攻击后便无法为用户提供服务。如果发生重大DDoS攻击，IDC访问链接数量和流量会比当前IDC阈值高出很多，IDC瞬间达到崩溃的状态。②网络传播病毒攻击。网络病毒具有较快的传播速度，隐藏性较好。如今，制造病毒技术也在不断地提升，在破解程序组合的基础上增加了交叉感染的能力，组成更具危险性的病毒群体。Winflows也是IDC服务器群中最不安全的操作系统之一。如果IDC其中一台服务器感染了病毒，它可以将病毒很快地传播到其他服务器，那么整个IDC服务器都可能感染到病毒。③入侵破坏攻击。入侵攻击主要是利用漏洞对 IDC未经授权的访问、危害并导致机密信息丢失的攻击。当入侵者取得控制权时在IDC主机上安装木马，再对其他主机和服务器进行攻击，使整个IDC全部受到威胁，最终IDC访问链接的数量和流量将高于IDC阈值。

3 lDC安全防御检测技术

3.1 专用VLAN

IDC除了可以为不同托管用户提供服务外，还可以为不同用户提供服务器间的安全性保障。通过为每个用户分配单独的VLAN和子网IP，可以为 IDC服务器建立安全保障，一旦分配了VLAN，在第二层时用户的服务器就会被隔离，防止黑客进行恶意活动并截获机密信息，但这些方法成本高，存在一定的限制性[2]。这种情况具体说明如下：局域网交换机上的VLAN数量是固定的，当管理多个用户时，VLA不起作用。协议树复杂，每个VLAN都要管理相关的生成树，这是一个复杂的过程，为每个托管用户分配子 IP 会造成不必要的浪费。如果在配置过程中使用了快速备份路由协议，每个子网都必须配置对应的IDC网关。在 IDC 中，大部分流量在服务器和客户端之间流动。

3.2 虚拟专用网

VPN 使用公共网络创建具有加密通信的专用网络。一个企业的分支机构之间的数据交换只能通过VPN提供，不固定 IP 地址的公司员工也可以访问企业内的资源。但随着IDC业务的发展，如何实现带宽内VPN以及如何保证服务质量（QoS）成为一个重要的话题。当前的核心技术是网络管理和应用控制相结合[3]。集成VPN、身份认证以及访问管理等技术，可确保用户安全访问的有效管理并提高服务器之间隔离的安全性。

3.3 防火墙

防火墙是对内部网络与外部网络间的通信活动进行有效的监视，防火墙可以有效地监控内网与内网之间的通信活动，防止恶意用户访问内网，并确保内网安全运行。除了控制对主机的访问还可以过滤协议和未经授权的用户。检查内部和外部网络连接，存储关联的网络日志，并确保IDC运营的安全和高效。某些攻击可以逃避防火墙检测，对于这些攻击，防火墙无法有效地检测到。因此，应考虑 IDC每一层级的安全性。

3.4 入侵检测系统

入侵检测系统（IDS）通过监控和分析用户和主机的行为，可以检测现有的网络的入侵行为和数据。IDS可以检测系统配置和解决问题，使用IDS可以监控和检测系统和用户，实时有效保护IDC。通过适配器实时监控和分析网络中的所有通信服务，监控网络上的所有数据分组用于数据采集和可疑行为分析。NIDS隐蔽性好、监视范围广、监听速度快并使用更少的资源。

主机型 IDS (HIDS)：HIDS 通过分析主机的日志文件来分析异常行为。主机还在主机日志中记录常规用户和攻击者的访问。并在分析日志文件中发现异常行为，进而立即启动响应计划。HIDS与网络流量没有直接关系，并且监视区域相当集中，用户可以对其进行修改以创建更严格的检测方案[4]。

3.5 漏洞扫描

漏洞扫描程序的一个重要部分是在检测到漏洞之前将其消除。该技术不能扫描不同网段的主机，可以检测公开的漏洞。但无法预测隐形的漏洞，而仅靠漏洞扫描技术并不能有效保护IDC的安全。

3.6 流量清洗

流量清洗措施的目的是防止入侵者通过DDoS入侵IDC，创建IDC出入口制定流量解决方案，并控制出入口流量。如果出现异常流量，立即采取预防措施，将异常流量送至清洗装置，然后正常处理正常流量。

3.7 安全加密技术

数据加密技术通过某种算法对IDC中的机密信息进行处理使文件处于不可读的状态。只有解密才能读取和显示文件，可以在黑客盗取数据时提供数据安全保护。

3.8 安装必要的安全软件

目前，随着互联网普及程度的不断提高，互联网上的病毒传播也在加速。为了防止病毒的传播，IDC必须在其主机上安装反病毒和木马检测软件。定期对主机系统进行扫描和检查，发现漏洞并及时纠正。安装安全软件可能不是解决IDC安全问题的根本办法，但它是防止病毒漏洞传播的有效手段。

3.9 安全管理

应定期检查和扫描网络硬件，必须立即修复所有安全威胁。有必要管理安全事件、主机安全日志和网络设备等信息。通过管理各种记录可以获得设备、主机、系统等运行报告。在访问权限方面，用户的等级不同，被授予的权限也是不同的。难以对不同类型的高风险行为进行预防，应根据高风险操作类型制定不同的应对方案，例如低风险操作警报、故障排除、应急管理及更新备件，尽可能地减少IDC的安全风险。

4 企业lDC存在的安全问题

4.1 网络层安全问题

当前，威胁网络安全的方式层出不穷，并且难以为网络层提供全面的安全保护。IDC在当前面临着复杂的网络运行环境，病毒攻击致使IDC存在严重的安全威胁与隐患。而且对网络基础设施的攻击会造成网络层也存在安全隐患，这些恶意攻击会威胁IDC的业务，大量占用网络资源。因此，为了保证IDC企业的安全，在网络层建立安全保护非常重要，这直接关系到数据中心服务的保障。

4.2 业务层安全问题

通常情况下，对于后端服务器的安全攻击导致业务层的安全性较低，这可能会影响一个企业的业务系统的运作，并发生对资源的非法占用的现象。威胁业务层安全的因素众多，使用非漏洞的“合法”应用程序请求并不一定会造成安全威胁，但可能会导致一些问题，例如服务器内存存储和CPU带来的严重消耗，从而导致系统崩溃。特别是随着虚拟化技术的发展和使用，对业务层的攻击不仅能消耗空间资源，而且还会对企业业务系统的安全构成严重威胁。

4.3 基础管理安全问题

网络安全的主要漏洞来自内部，如果IDC没有基本的管理架构，运营管理体系不健全，缺乏基础管理，就会导致IDC出现安全问题。它往往会导致系统安全问题，对于企业而言，漏洞会直接导致内部安全问题的出现，影响网络安全的稳定性。在企业安全运营管理过程中，如果企业没有建立完整、严谨的管理体系，就会降低运营管理的效率，直接导致安全问题的反复出现。

5 企业lDC安全的构建策略

5.1 构建设备安全策略

在构建IDC安全时，如果想实现安全防护，就应必须制定设备安全策略。可对ULAN进行动态安全分区，分离交换机的物理端口。其常见的技术措施为科学、高效地对于端口进行处理。在安全措施的实施中，为了提高IDC的安全性，必须对交换设备采取全方位的安全措施。在设备管理方面，应使用内网管理系统对设备的安全性进行动态监控。同时部署一个专用网管服务器对设备维护设置进行动态监控以及检测漏洞。此外，所有数据中心内部必须安装专门的杀毒系统，以有效隔离受感染设备。

5.2 网络安全防御实施

建立防火墙能有效保护IDC边界安全，并且可以有效进行网络隔离。将防火墙安装在服务器和外部网关之间，能够对内外网的访问进行有效管理，阻挡未经授权的访问，从而有效保障IDC的安全性的提高。同时，实施对外网过滤可以成功落实安全防御措施，防范安全风险。

对于企业的IDC，部署高质量的防火墙至关重要。网络边缘防火墙配置必须针对安全检测和过滤进行优化。增强安全性时要考虑对网络性能的影响，企业IDC用户大多数是高级用户，对网络性能和互联网可访问性有很高的要求，在安装和配置高质量防火墙时需要考虑其安全性和性能。对于常见的DDoS攻击，IDC需要部署适当的DDoS攻击防御系统以及控制和清除异常流量，可以有效防止对网络层级的攻击。

5.3 安全管理实施

企业IDC的安全构建是企业需要扎实建设的一项关键措施，它取决于企业业务运营的内在需求，能有效确保网络的安全运行。在实施安全建设过程中，如果将安全技术由设备移至网络上，建立高效、安全的防护体系，有助于数据中心安全运行能力的提升。并且加强运营管理体系的建立，能够保障IDC的运行环境良好，通过加强IDC安全发展战略的实施，有助于企业在互联网服务竞争中展示自身的服务质量，创造优质品牌价值。

6 结束语

企业IDC的安全构建，是企业所需要扎实建设的重要基础措施。这一方面是基于电信级通信服务的内在要求，另一方面也是网络运行安全保障的关键。安全构建的实施，一是要落实包括设备到网络的安全技术部署，有效构建安全防护体系，进而更好地实现对数据中心安全运行的保障；二是强化管理，建立完善的运营管理体系，以确保IDC的日常运营具有良好的内部环境。强化落实安全构建策略，企业IDC就能更好地体现出差异化服务质量，以电信级高可靠高性能的业务，在激烈的互联网服务竞争中树立高端品牌价值。