1、電信運營商IDC安全建設方案一、概述IDC即是Internet Data Center,是基于INTERNET網絡，為集中式收集、存儲、處理和發送數據的設備提供運行維護的設施以及相關的服務體系。IDC提供的主要業務包括主機托管（機位、機架、VIP機房出租卜資源出租（如虛擬主機業務、數據存儲服務 卜系統維護（系 統配置、數據備份、故障排除服務 ）、管理服務（如帶寬管理、流量分析、負載均衡、入侵檢 測、系統漏洞診斷），以及其他支撐、運行服務等。隨著中國互聯網以超常的速度向前發展，企業用戶對 Dc的需求也日益增長，而隨著 電信運營商業務轉型，各種數據業務也層出不窮，比如中國電信開展的互聯星空計劃的實

2、施、 中國移動的ADC業務系統等也受到越來越多的用戶認可，作為其主要業務平臺IDC也受到越來越多的關注，而安全性則是焦點之一。本文主要是通過對IDC網絡系統和業務系統現狀的介紹，分析其安全狀況，然后對當前IDc存在的安全風險講行整理和分析，再提出針對IDC的網絡安全解決方案。二、IDC安全現狀2.1 網絡和業務現狀3個層面構成，骨干層通過高性能路INTERNET接入，并實現鏈路備份，在匯聚層以下由L2/L3交換機構IDC中托管的主機系統主要分為兩類：典型的IDC通常由網絡骨干層、匯聚層和接入層 由器連接兩個或者以上的運營商互聯網骨干網，提供 核心路由器以下則為兩臺核心交換機作為網絡的匯聚層,

3、成接入層，接入各種托管服務。IDC中主要的業務是主機托管業務，現階段，自有數據增值業務，如互聯星空、ADC等運營商自己運營的增值業務，這一類業務服務器是屬于運營商有的業務系統，由運營商自行進行日常維護。托管服務器，如網游的服務器系統、網站系統等，這個部分是IDC機房收入的主要來源。在這類托管服務器中， 一般有中小型客戶和大客戶之分，中小客戶主要是一般的企業單位租用共享帶寬資源，其維護力量較弱，大客戶主要是大型的門戶網站、專業的網游服務器等，這類用戶往往是租用多個機柜部署自己的一整套系統，通常情況下都有自己的一組維護人員進行系統的日常管理和運維。2.2 IDC面臨的主要安全風險分布式拒絕服務攻擊

4、（DDOS）、蠕蟲病毒等大規模的流量型攻擊，不僅對 IDC中直接受 攻擊的客戶服務器帶來影響，同時占用大量IDC的帶寬資源，另外突發大數據流會造成路由交換等網絡設備負荷過載，從而導致網絡服務質量下降，甚至會出現路由器板卡轉發異常 以及網絡中繼擁塞等現象。針對IDC的攻擊可以導致企業客戶網絡的癱瘓，業務中斷，這些攻擊通常利用設備系統本 身的安全漏洞，而且托管設備安全配置的不完善也可以給攻擊者可乘之機。針對這些問題的攻擊一旦成功，后果不堪設想.將會直接導致客戶滿意度降低，甚至客戶流失。lDc機房中托管了很多客戶的業務主機，當部分業務主機成為被攻擊目標時，往往會影 響其他主機的正常業務提供，這主要是

5、由于缺乏有效的安全隔離、安全控制的技術和策略。托管主機的安全代維服務需求，電子商務網站、政府、企業等大量的中小客戶經常遭受網絡攻擊，服務質量下降.而由于其自身缺乏安全運維人員，迫切需要運營商提供安全服務，為客戶的業務系統提供安全保障。三、IDC安全解決方案3.1 方案總體思路IDC同行業之間的競爭越來越激烈.IDC通常采用擴充出口帶寬、提升網絡核心設備處理能力等來開拓新的客戶和留住已有客戶，而建設、完善有效的安全管控體系，為IDC客戶提供一個安全穩定的運行環境也成為IDC客戶，特別是大客戶在選擇IDC時非?？粗氐囊粋€硬性指標；同時，通過安全體系的建立能有效的降低由安全引起的運維成本。建立一個有

6、效的信息安全體系最有效的方式是采用系統化的方法，首先確定信息安全管理策略和范圍，然后在風險評估的基礎上選擇適宜的控制目標和控制方式對風險進行處理， 最后制定業務持續性計劃，建立并實施信息安全體系。根據上述章節對IDC安全風險的分析，現階段 IDC的安全體系中需要解決的是構建一 套有效的安全防護體系.因此，本方案主要是基于技術措施來構建 IDc的技術體系，而對于 組織管理體系和運維體系的建設不在本文中展開描述。3.2 基于安全域的防護策略安全域是由一組具有相同安全保護需求、并相互信任的系統組成的邏輯區域，在同一安全域中的系統共享相同的安全策略，通過安全域的劃分把一個大規模復雜系統的安全問題， 化

7、解為更小區域的安全保護問題，是實現大規模復雜信息系統安全保護的有效方法。3.2.1 IDC安全域劃分通過前面章節對IDC業務的分析，首先可以根據業務系統的不同來進行安全域的劃分， 主要分為自有業務域， 中小客戶域和大客戶域， 然后再根據托管廠商的不同在上述幾個安全 域中進行細分。安全域的劃分是為了更好的對不同重要等級的安全域進行適當防護，而防護策略主要分為安全域邊界和安全域內部的防護。安全域劃分將網絡系統劃分為不同安全區域，分別進行安全保護的過程，通過安全域的劃分和保護，將實現如下意義：1 .基于網絡和系統進行安全檢查和評估的基礎；2 .有效建立安全管理控制點，指導系統安全規劃、設計、入網等工

8、作；3 .實現對系統進行重點保護，統一管理的策略，統一信息安全技術支撐;4 .安全域的分割能有效的防護攻擊滲透；5 .基于網絡和系統進行安全建設的部署依據；6 .安全域邊界是災難發生時的抑制點，防止影響的擴散；7 .有效的避免安全方面的重復投資。8 .2.2 IDC安全域防護安全域防護的根本目的是為了保證業務信息系統的穩定、安全運行，使其能夠穩健、持續的提供業務服務，保障電信運營商IDC各種業務的正常經營和戰略目標的達成。安全保護 的對象是業務信息系統內的所有信息資產，包括硬件、軟件、服務、信息等，其中重點是服 務和信息。基于IDC的業務需求，以及lDc面臨的安全問題，單一設備或單一系統無法解

9、決IDC的安全問題，需要采用多層面全方位的解決方案來應對IDC的安全問題，解決思路如下 ：1 .流量分析系統實時監控分析1Dc的數據流，獲取抗拒絕服務攻擊（DD0s）等非法數據流信息。2 .流量凈化系統過濾非法數據流信息，保障網絡基礎架構健康平穩運行，為大客戶業 務保駕護航。3 .網絡入侵檢測系統深度檢測蠕蟲、病毒等應用層攻擊。4 .漏洞掃描系統及時發現系統漏洞和風險，為 lDc安全未雨綢繆。5 .6 .3專業安全服務引入6.1.1 安全問題目前正以每周新增幾十甚至幾百例的速度在全世界得到反饋，同時涉及 信息技術的眾多領域，IDC維護人員在安全知識的更新速度方面面臨更大的壓力。安全預警以安全通

10、告的形式為lDc提供最新的安全動態、技術和定制的安全信息，包括實時安全漏洞通知、定期安全通告匯總、臨時安全解決方案和安全知識庫更新等。同時，這些通告信息可以定制化發送給不同的IDC托管客戶，通過提供安全信息增值服務的方式來增加IDC客戶的粘度。6.1.2 緊急事件響應目前許多IDC或者IDC的客戶自身尚沒有足夠的資源和能力對安全事故作出反應。網 絡安全的發展日新月異，無法實現一勞永逸的安全，所以當緊急安全問題發生，一般技術人員又無法迅速解決的時候，及時發現問題、解決問題就必須依靠緊急響應來實現。緊急響應服務提供高效的信息安全事故反應體系，可以幫助lDc盡快對信息安全破壞事故作出反應，包括事故處

11、理及恢復、事后的事故描述報告以及后續的安全狀況跟蹤。同時，當 IDc中托管的用戶主機或lDc的網絡系統正遭到攻擊或發現入侵的痕跡，而又無法當時解決和追查來源時。緊急事件響應將以最快的速度趕到現場，協助lDc運維人員解決問題， 查找受攻擊系統，保存證據和追查來源。6.1.3 高級維護服務1 .安全設備維護隨著網絡安全的不斷發展，IDC在信息安全方面的投資也越來越多，各種安全產品在的各個層面部署。而IDC中的安全設備往往買回來后.由于維護力量的不足，往往也擱置不 用，在各IDC都多或多或少的存在這樣的問題。因此可以通過引入專業的安全服務對各種 安全設備進行專業的維護和照料，使之發揮相應的作用， 從

12、而有效保護已有安全投資，實現已有安全投資效益最大化的目標。2 .系統安全加固網絡安全是動態發展變化的，需要時刻關注最新漏洞和安全動態，制定更新的安全策略以應付外來入侵和蠕蟲病毒等威脅。通過引入安全服務針對網絡節點的漏洞和脆弱性，定期的進行安全加固，可以使系統有效的抵御外來的入侵和蠕蟲病毒的襲擊，使系統可以長期保持在高度可信的狀態。四、結束語IDC的網絡建設和發展是一個長期的任務，隨著技術的發展和業務的更新，需要及時的調整已有的安全策略， 設計新的網絡安全方案。 同時，計算機技術和網絡技術具有的復雜性 和多樣性，使得網絡安全越來越成為一種專門的技術和服務，需要與專業的安全服務組織合作來進行更全面和完善的網絡安全規劃和建設。綠盟科技一直以 巨人背后的專家”為己任，致力于網絡安全事業，經過幾年的快速發展.已成長為面向國際市場的網絡安全解決方案供應商。在本方案設計中，針對