IDC安全管理解決方案

◆歐陽春

(中國移動通信集團重慶有限公司計劃部 重慶 401120 )

IDC安全管理解決方案

◆歐陽春

(中國移動通信集團重慶有限公司計劃部 重慶 401120 )

互聯(lián)網(wǎng)的普及，企業(yè)用戶對數(shù)據(jù)中心的依賴都使得互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC， Internet Data Center）必須具備更大的容量、更高的能力，且同時具備多種業(yè)務模式和運營模式。在 IDC發(fā)展的同時，安全性和可靠性成為其不可輕視的兩大要素。本文通過分析 IDC存在的安全隱患，并針對相關問題總結提取出對應的防護方案。

互聯(lián)網(wǎng)數(shù)據(jù)中心；檢測方法；防范措施

0 引言

互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC，Internet Data Center）在為互聯(lián)網(wǎng)的業(yè)務，政府、企事業(yè)單位提供信息服務的同時，還可以進行主機租賃與托管、租用網(wǎng)絡寬帶、企業(yè)建站等可增值的服務?？蛻粼谧庥肐DC的服務器或帶寬后，可利用IDC的技術來進行互聯(lián)網(wǎng)平臺的建設，并享用IDC提供的一系列服務。IDC不僅存儲著大量的數(shù)據(jù)，而且還可進行數(shù)據(jù)備份和數(shù)據(jù)交換。IDC的安全關系著萬千相關用戶與企業(yè)的安全。

1 IDC設計原則

IDC的設計原則多是將IDC按照區(qū)域或層次進行劃分，在獲得良好的分區(qū)和層次后，令它們負責各自的安全和防御問題。

IDC的業(yè)務可劃分為多個子系統(tǒng)，多個子系統(tǒng)之間可以進行數(shù)據(jù)共享和業(yè)務互訪，但為保證其自身的安全，子系統(tǒng)也必須同時具備數(shù)據(jù)的訪問控制和隔離能力。因此，對于IDC層次的劃分，必須在考慮整個IDC系統(tǒng)安全的同時，也考慮到單個系統(tǒng)的安全問題，對單個系統(tǒng)的訪問進行控制，并對不同的系統(tǒng)采取不同方式的安全防護手段，具體劃分情況如圖1所示。IDC劃分層次與區(qū)域大多使用以下方式：基于內(nèi)外部分進行分流?；跇I(yè)務模塊進行隔離。基于應用訪問功能不同進行分層。

圖1 IDC層次劃分結構圖

1.1 分層

IDC遵循內(nèi)外部分流的原則，可分為4層：互聯(lián)網(wǎng)接入層、匯聚層、業(yè)務接入層和運維管理層。

互聯(lián)網(wǎng)接入層是IDC的網(wǎng)絡核心層，其主要功能是對核心路由器進行配置，并對內(nèi)網(wǎng)與外網(wǎng)的路由信息進行維護和轉換，再將匯聚層的各個交換機連接起來。

匯聚層向上可與核心路由器進行互聯(lián)，向下可匯聚業(yè)務與業(yè)務層進行業(yè)務接入，IDC一般會設置一些基于流量和安全的管理設備來對匯聚層進行保護和防御。

業(yè)務接入層主要功能是利用交換機對不同業(yè)務區(qū)內(nèi)的服務器和網(wǎng)絡設備進行接入。

運維層大多是獨立存在的，與業(yè)務網(wǎng)絡層成隔離狀態(tài)。本層通過接入運維管理層，并對交換機進行匯聚來完成對各個子系統(tǒng)中的各種設備的管理和保護。

運營管理層支撐著整個IDC運行的穩(wěn)定性和業(yè)務的運營，其主要功能是對網(wǎng)絡運營，業(yè)務資源等進行管理。

1.2 分區(qū)

IDC在安全防御、管理業(yè)務等方面的需求是不同的，因此，按照不同的需求可對IDC劃分為如下幾個區(qū)域：互聯(lián)網(wǎng)域、接入域、服務域、管理域、計算域等。各個域間通過設置防火墻來確保域之間處于隔離的狀態(tài)，并對域間訪問進行控制。

互聯(lián)網(wǎng)域主要對用戶的訪問進行管理，有的高級用戶可進行自助管理。接入域又稱非軍事化隔離區(qū)（DMZ），在用戶接入IDC時為其提供統(tǒng)一的界面與接口。服務域具備多種網(wǎng)絡服務能力，包括域名解析、身份認證與授權等。計算域，顧名思義，擁有計算能力，可根據(jù)不同的安全需求來重新劃分安全的子域。管理域是對IDC安全、運營、業(yè)務等多方面進行管理。多個域的安全級別從高到低排序為：計算域、管理域、服務域、接入域、用戶域。

1.3 分級

IDC的核心資源為服務器，因此按照服務器的功能進行層次的劃分是行之有效的方案。這種劃分方式，不僅解決了將所有功能保存于單一服務器時所引發(fā)的安全問題，還增加了服務器更多的擴展性和可用性。

按照服務器功能，可將IDC分為三級，分別是Web服務器、應用層、數(shù)據(jù)庫。Web服務器主要為客戶提供應用，例如Apache、Tomcat服務器等。應用層主要功能是將應用程序、數(shù)據(jù)庫、服務器等部位結合起來，例如J2EE這個中間技術。數(shù)據(jù)庫儲存所有的原始數(shù)據(jù)，這些數(shù)據(jù)有的可以在程序間進行共享。

此類分區(qū)保證了域之間的良好隔離與安全性，若對每個域都實施安全防御策略，可最大限度的保證IDC的安全。

2 IDC安全分析

IDC業(yè)務正在迅猛增長，越來越多的用戶與企業(yè)開始使用IDC來建立托管業(yè)務等，但IDC是一個復雜的數(shù)據(jù)中心，不僅數(shù)據(jù)敏感復雜，且具備連帶效應。當IDC某個區(qū)域遭遇攻擊時，整個IDC都有可能崩潰。因此，建設安全的 IDC 已經(jīng)成為當務之急。

2.1 IDC存在的特性

IDC，又可看做是一個復雜的局域網(wǎng)。IDC不僅要確保與Internet進行隔離，而且還要滿足不同層級的需求，因此，IDC本身就存在著如下的特點：（1）數(shù)據(jù)敏感：存在被攻擊者截取或惡意篡改的風險。（2）用戶身份問題：存在攻擊者冒充正常用戶對IDC進行惡意操作的風險。（3）IDC安全的“動態(tài)性”：隨著系統(tǒng)和設備的不斷更新，新的安全漏洞隨之而來，以前的防護部署已經(jīng)不能確保IDC的安全，需要不斷的對IDC進行檢查并更新防護系統(tǒng)。（4）系統(tǒng)的多樣性：IDC系統(tǒng)中存在著大量的主機系統(tǒng)，這些系統(tǒng)大多來自IDC自身與客戶，但主機系統(tǒng)存在著多樣性，既有Windows，也有Linux，更有Unix。不同操作系統(tǒng)面臨的安全問題不同。因此，IDC系統(tǒng)的多樣性將導致IDC面臨更多的威脅與攻擊。（5）連帶效應：在IDC中，若攻擊者對一個層級或者主機發(fā)起攻擊，便會影響到整個IDC的安全。

由上可見，對于IDC的安全防護僅靠在某個方面進行防御是遠遠不夠的，按照層級的劃分，對不同層級進行嚴格的安全檢測與防御，才能最大限度的保證IDC的安全。

2.2 IDC常見的安全威脅

IDC最常見的安全威脅有三種，分別是：拒絕服務攻擊(DoS)和分布式拒絕服務攻擊(DDoS)、蠕蟲病毒攻擊、侵入攻擊。

（1）拒絕服務攻擊(DDoS/DoS)

在 IDC中，最常見的攻擊方式便是分布式拒絕服務攻擊(DDOS)。此類攻擊使用大量傀儡機來惡意耗損網(wǎng)絡資源，從而導致IDC拒絕服務。

在DDoS攻擊中，所發(fā)起的攻擊請求均是合法的，攻擊者偽裝成正常用戶對目標主機發(fā)起攻擊，有著良好的隱蔽性。當IDC的某個服務器收到DDoS攻擊時，會導致自身無法提供服務，若出現(xiàn)更大規(guī)模的DDoS攻擊，可能會導致IDC的訪問連接數(shù)與流量超過IDC的當前閾值，造成IDC崩潰的現(xiàn)象。

（2）網(wǎng)絡傳播病毒攻擊

網(wǎng)絡病毒傳播具有高速率、易隱蔽的特點。目前，病毒的制造技術已經(jīng)越來越先進，在結合破解程序的基礎上，又具備交叉感染能力，形成危害更大的病毒群體。在IDC的服務器群中，以Windows操作系統(tǒng)最為常見，而Window操作系統(tǒng)安全性較低。若IDC中某個服務器被傳染了病毒，那么病毒便會以越來越高的速率向其他服務器進行傳播，威脅著整個IDC服務器的安全。

（3）入侵破壞攻擊

入侵攻擊，大多是攻擊者利用已知漏洞來對IDC進行非法訪問和操作，導致敏感信息泄露或丟失等。若攻擊者在獲得控制權后，在IDC主機中植入木馬程序，并利用該程序來攻擊其他主機和服務器，那么整個IDC便會不堪一擊。

3 IDC安全防御檢測技術

IDC的安全防御可從系統(tǒng)和應用兩方面來考慮。IDC系統(tǒng)平臺安全的需求為：操作系統(tǒng)安全、數(shù)據(jù)庫安全、若發(fā)現(xiàn)漏洞能夠及時修補，同時能夠有效的對病毒進行防范等。IDC應用平臺的安全需求為：提供身份認證、數(shù)據(jù)完整且保密，不同用戶間進行有效隔離等。

因此，針對以上存在的各種安全隱患和安全需求，專家們提出了不同的防御檢測措施，主要有專用 VLAN（private VLAN，簡稱pVLAN）、虛擬專用網(wǎng)、防火墻、入侵檢測（Intrusion Detection System，簡稱IDS）、漏洞掃描等多種方案。本章針對以上多個技術進行總結，分析出其優(yōu)劣性，并提出建議。

3.1 專用 VLAN

IDC在為每個托管用戶提供服務的同時，也要保證不同用戶的服務器之間的安全性，而IDC保證服務器安全性的方法就是為每個客戶分配一個單獨的VLAN和IP子網(wǎng)。在分配了VLAN之后，用戶的服務器將會在第2層被隔離開來，以此來防止攻擊者的惡意操作或對敏感信息的截取等。

但，上述的這種方式耗資巨大，有著一定的局限性，具體如下所示：

VLAN的限制性：在LAN交換機中，VLAN的數(shù)目是固定的。當存在托管用戶較多時，VLAN便無法發(fā)揮作用。

樹協(xié)議的復雜性：在每個被分配的VLAN中，需要對任何相關的生成樹進行管理，過程復雜。

IP地址的浪費：為每個托管用戶分配一個子IP會造成不必要的浪費。

路由限制：若在分配過程中使用了熱備份路由器協(xié)議（HSRP，Hot Standby Router Protocol），那么每個子網(wǎng)都需要IDC為其配置相應的網(wǎng)關。

在IDC中，流量多是在服務器和客戶之間進行流通，服務器與服務器之間的流量幾乎為零。因此，為改進上述的缺點，IDC采用了專用VLAN的方式。專用的VLAN在不需要為每個服務器分配單獨的VLAN和IP子網(wǎng)的情況下就可以實現(xiàn)安全連接。將所有的服務器都接入專用的VLAN，那么服務器便會和其缺省網(wǎng)關之間實現(xiàn)互連，而同一個VLAN間的服務器間沒有任何關聯(lián)。專用VLAN，在有效的改進了上述局限問題后，很好的將用戶服務器隔離開來，保證了每個用戶服務器的安全。

3.2 虛擬專用網(wǎng)

目前存在的VPN主要有兩種：防火墻到防火墻的VPN和移動用戶到VPN防火墻/網(wǎng)關設備的VPN。VPN借助公用互聯(lián)網(wǎng)建立起一個專用網(wǎng)絡，進行加密通訊。通過VPN，不僅可實現(xiàn)企業(yè)分支機構的信息互通，還可使 IP地址不固定的企業(yè)員工實現(xiàn)對企業(yè)內(nèi)部資源的訪問。但隨著IDC業(yè)務的增長，如何在有限的帶寬實現(xiàn)VPN，并保證服務質(zhì)量（QoS）是需要考慮的問題。目前主流的技術是將網(wǎng)絡控制和應用控制結合起來，即將 VPN與身份認證、訪問管理等技術結合起來，最大限度的保證用戶的訪問控制以及服務器間的安全隔離。

3.3 防火墻

防火墻（Firewall）通過對內(nèi)部網(wǎng)絡與外部網(wǎng)絡間的通信活動進行有效的監(jiān)視，來防止惡意用戶對內(nèi)部網(wǎng)絡進行訪問，以此來確保內(nèi)部網(wǎng)絡的安全運行。防火墻通常是網(wǎng)絡安全的第一道防線，不僅可以實現(xiàn)對訪問主機的控制，還可過濾掉未授權的協(xié)議或用戶，在監(jiān)視內(nèi)外網(wǎng)絡通信活動的同時，記錄相關的網(wǎng)絡日志，有效的保證IDC的安全運行。

目前，基于狀態(tài)的包檢測技術和虛擬防火墻是防火墻發(fā)展的目標。基于狀態(tài)的包檢測技術重點在于 ACL技術，通過對包進行動態(tài)檢測來決定其能否通過防火墻。虛擬防火墻是將物理防火墻劃分成多個，且相互獨立，并根據(jù)不同的需求設置不同的訪問控制措施。

防火墻雖然可以有效的監(jiān)控內(nèi)外網(wǎng)絡的通信活動，但仍然存在著漏洞。若攻擊本身來自于網(wǎng)絡內(nèi)部，或某些攻擊可以繞過防火墻的檢測，對于上述攻擊，防火墻不能進行有效的檢測。因此，對于IDC的整體安全問題，應考慮從各個層次分別進行保護。

3.4 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（Intrusion Detection System，簡稱為IDS）通過監(jiān)視和分析用戶與主機的行為，來檢測網(wǎng)絡中是否存在攻擊數(shù)據(jù)和行為。IDS可對系統(tǒng)的配置進行檢測，并查找漏洞，并針對漏洞自行收集相關補丁。使用IDS可以實時有效的監(jiān)視、檢測系統(tǒng)與用戶，實現(xiàn)對IDC的有效保護。

按照原始數(shù)據(jù)的來源，可以將IDS分為三類：

網(wǎng)絡型IDS（NIDS）：NIDS利用適配器來實時監(jiān)視并分析網(wǎng)絡中的所有通信業(yè)務，通過監(jiān)聽網(wǎng)絡上的所有分組來進行數(shù)據(jù)采集，并分析可疑的現(xiàn)象。NIDS具有良好的隱蔽性，監(jiān)聽視野較為寬廣，監(jiān)聽速度較快，且占用資源較少。

主機型IDS（HIDS）：HIDS主要是通過分析主機的日志文件來分析異常。主機記錄的日志同時記錄了正常用戶和攻擊者的訪問記錄，通過對日志文件進行分析，發(fā)現(xiàn)異常行為，并針對異常行為立即啟動相應的處理方案。HIDS與網(wǎng)絡流量沒有直接關系，監(jiān)視視野相對集中，且可由用戶來自定義，構造出更加嚴密的檢測方案。

混合分布型IDS：混合分布型IDS既可以通過監(jiān)聽網(wǎng)絡，也可以通過主機日志等來收集數(shù)據(jù)，利用這些數(shù)據(jù)，分析出用戶的異常行為。

IDS在IDC中可進行入侵行為檢測、入侵追蹤定位、網(wǎng)絡訪問控制、網(wǎng)絡病毒監(jiān)控（特別是蠕蟲病毒）、拒絕服務攻擊發(fā)現(xiàn)和追蹤、網(wǎng)絡行為審計、主機行為審計、網(wǎng)絡狀態(tài)分析等操作。IDS是IDC的第二道安全防線，將IDS部署在不同的分層上，以此來及時的發(fā)現(xiàn)攻擊行為，并與防火墻、安全網(wǎng)關設備等結合起來，形成從鏈路層到應用層的全面防護，動態(tài)有效的對IDC進行安全防護。

3.5 漏洞掃描

漏洞掃描（Vulnerability Scanning）技術通過與目標主機建立安全連接，并在安全連接之后對主機進行掃描，以此來發(fā)現(xiàn)目標主機中可能存在的安全隱患。IDC的運維工程師利用VS技術對IDC中的各個部分，例如主機的操作系統(tǒng)、防火墻等進行掃描，發(fā)現(xiàn)其中存在的安全漏洞，并對漏洞進行及時的修補。

漏洞掃描重要的地方便是要在攻擊者發(fā)現(xiàn)漏洞之前發(fā)現(xiàn)漏洞，并及時的采取修補措施，這一點，也正是漏洞掃描技術的缺點所在，且該技術不能對不同網(wǎng)段的主機進行掃描，僅能發(fā)現(xiàn)已經(jīng)被公開的漏洞，對隱形的漏洞缺乏預知能力。因此，僅使用漏洞掃描技術并不能有效的保護IDC的安全。

3.6 流量清洗

流量清洗措施目的是為了防止攻擊者對 IDC發(fā)起 DDoS攻擊。在IDC出口和入口處分別設置流量清洗方案，對進出的流量進行監(jiān)測，當發(fā)現(xiàn)異常流量時，立即開啟防御措施，并將異常流量送到清洗設備進行清洗，正常的流量將正常的進行業(yè)務處理。

3.7 安全加密技術

數(shù)據(jù)加密技術是通過某種算法對 IDC中的敏感文件或數(shù)據(jù)進行處理，使文件變成不可讀狀態(tài)，只有通過解密才能顯示出來。通過這種方式來保護IDC中的數(shù)據(jù)安全相對來說是可靠的，加密后的數(shù)據(jù)就算被攻擊者竊取，也能一定程度的保護數(shù)據(jù)的安全。

目前，常用的數(shù)據(jù)加密技術有數(shù)據(jù)加密傳送、數(shù)字簽證、密鑰檢測等，將這些技術結合起來，能夠實現(xiàn)對IDC數(shù)據(jù)的有效保護。

3.8 安裝必要的安全軟件

如今，互聯(lián)網(wǎng)普及率已經(jīng)越來越高，因此，病毒在互聯(lián)網(wǎng)中的傳播速度已經(jīng)越來越快。為防止病毒的傳播，IDC應為主機安裝相應的防病毒軟件、僵尸木馬檢測軟件等，定期對主機系統(tǒng)進行掃描和檢查，發(fā)現(xiàn)漏洞，并及時處理。安裝安全軟件，雖然不能從根本上解決IDC的安全問題，但是卻能有效的預防病毒漏洞的傳播，是一個行之有效的解決方案。

3.9 安全管理

最后，在為IDC部署檢測方案的基礎上，應考慮對系統(tǒng)進行建立多層次的管理，確保安全策略、部件能夠集中部署和管理，從安全管理方面有效的提高IDC的整體防御能力。

在硬件方面，應對網(wǎng)絡設備進行定期檢查，定期掃描等，一旦發(fā)現(xiàn)安全威脅，就及時采取處理措施。在安全事件與信息管理方面，應對主機安全日志以及網(wǎng)絡設備等的安全事件與信息進行管理。主機日志又分為操作日志、運行日志、故障日志等，對不同日志進行管理，以此來獲取設備、主機、系統(tǒng)等運行報告。在訪問權限方面，應對不同等級用戶設置不同的權限，比如普通用戶只能查看，而管理員可以登錄，高級管理員可以登錄后臺等。在故障管理方面，應對多類高危操作進行預防，針對不同的高危類別設置不同的響應。如，輕度高危操作發(fā)起警告，還有故障處理，應急處理，部件更換等，努力將IDC的安全風險降到最低。

4 總結

在真實的IDC安全防御中，上述任何一種方案單獨實施起來都不可能會有效的對IDC進行安全防護。因此，在IDC的動態(tài)環(huán)境中，只有將上述所有的安全技術都結合起來，才能最大限度的發(fā)揮各種安全技術的優(yōu)勢，另，因DDoS攻擊目前還沒有精確的檢測和防御方案，因此，可在IDC的入口處設立抗DDoS產(chǎn)品，形成一個立體的安全防護與檢測體系，有效的保護IDC的安全。

[1]張高山，曹一生，袁捷等.IDC運維管理中的安全解決方案[J].電信工程技術與標準化，2010.

[2]汪芳，陳清金，房秉毅.互聯(lián)網(wǎng)數(shù)據(jù)中心安全管理[J].中興通訊技術，2012.

[3]高鑫.互聯(lián)網(wǎng)數(shù)據(jù)中心安全解決方案[J].通訊世界，2014.

[4]黃東.信息安全風險評估常見的問題及對策 ——廣州電信IDC信息安全管理體系持續(xù)改進咨詢輔導經(jīng)驗談[J].數(shù)字通信世界，2016.

[5]黃永軍.IDC/ISP信息安全管理系統(tǒng)及其信息管理方法.CN105490831A[P]，2016.