電信運(yùn)營商IDC安全建設(shè)方案

1、電信運(yùn)營商IDC安全建設(shè)方案電信運(yùn)營商IDC安全建設(shè)方案電信運(yùn)營商IDC安全建設(shè)方案一、概述IDC 即是 Internet Data Center ，是基于 INTERNETS絡(luò)，為集中式收集、存儲(chǔ)、處理和 發(fā)送數(shù)據(jù)的設(shè)備提供運(yùn)行維護(hù)的設(shè)施以及相關(guān)的服務(wù)體系。IDC提供的主要業(yè)務(wù)包括主機(jī)托管（機(jī)位、機(jī)架、 VIP 機(jī)房出租 ） 、資源出租（如虛擬主機(jī)業(yè)務(wù)、 數(shù)據(jù)存儲(chǔ)服務(wù)） 、 系統(tǒng)維護(hù) （ 系統(tǒng)配置、數(shù)據(jù)備份、故障排除服務(wù)） 、管理服務(wù) （ 如帶寬管理、流量分析、負(fù)載均衡、入侵檢測、系統(tǒng)漏洞診斷 ） ，以及其他支撐、運(yùn)行服務(wù)等。隨著中國互聯(lián)網(wǎng)以超常的速度向前發(fā)展， 企 業(yè)用戶對 Dc 的需求也

2、日益增長，而隨著電信運(yùn)營商業(yè)務(wù)轉(zhuǎn)型, 各種數(shù)據(jù)業(yè)務(wù)也層出不窮 , 比如中國電信開展的互聯(lián)星空計(jì)劃的實(shí)施、 中國移 動(dòng)的ADClk務(wù)系統(tǒng)等也受到越來越多的用戶認(rèn)可，作為其主要業(yè)務(wù)平臺(tái)IDC也受到越來越多的 關(guān)注，而安全性則是焦點(diǎn)之一。本文主要是通過對IDC 網(wǎng)絡(luò)系統(tǒng)和業(yè)務(wù)系統(tǒng)現(xiàn)狀的介紹，分析其安全狀況，然后對當(dāng)前IDc 存在的安全風(fēng)險(xiǎn)講行整理和分析，再提出針對 IDC 的網(wǎng)絡(luò)安全解決方案。二、IDC安全現(xiàn)狀2.1 網(wǎng)絡(luò)和業(yè)務(wù)現(xiàn)狀典型的IDC通常由網(wǎng)絡(luò)骨干層、匯聚層和接入層 3 個(gè)層面構(gòu)成， 骨干層通過高性能路由器連接兩個(gè)或者以上的運(yùn)營商互聯(lián)網(wǎng)骨干網(wǎng)，提供INTERNE聯(lián)入，并實(shí)現(xiàn)鏈路備份，核心路

3、由器以下則為兩臺(tái)核心交換機(jī)作為網(wǎng)絡(luò)的匯聚層， 在 匯聚層以下由L2/L3交換機(jī)構(gòu)成接入層，接入 各種托管服務(wù)。IDC 中主要的業(yè)務(wù)是主機(jī)托管業(yè)務(wù)，現(xiàn)階段，IDC 中托管的主機(jī)系統(tǒng)主要分為兩類:自有數(shù)據(jù)增值業(yè)務(wù)，如互聯(lián)星空、ADC運(yùn)營商自己運(yùn)營的增值業(yè)務(wù)，這一類業(yè)務(wù)服務(wù)器是屬于運(yùn)營商有的業(yè)務(wù)系統(tǒng)，由運(yùn)營商自行進(jìn)行日常維護(hù)。托管服務(wù)器， 如網(wǎng)游的服務(wù)器系統(tǒng)、 網(wǎng)站系統(tǒng)等，這個(gè)部分是IDC機(jī)房收入的主要來源。在這類托管服務(wù)器中， 一般有中小型客戶和大客戶之分， 中小客戶主要是一般的企業(yè)單位租用共享帶寬資源， 其維護(hù)力量較弱， 大客戶主要是大型的門戶網(wǎng)站、 專業(yè)的網(wǎng)游服務(wù)器等， 這類用戶往往是租用多個(gè)

4、機(jī)柜部署自己的一整套系統(tǒng)， 通常情況下都有自己的一組維護(hù)人員進(jìn)行系統(tǒng)的日常管理和運(yùn)維。2.2 IDC 面臨的主要安全風(fēng)險(xiǎn)分布式拒絕服務(wù)攻擊(DDOS)、 蠕蟲病毒等大規(guī)模的流量型攻擊， 不僅對 IDC 中直接受攻擊的客戶服務(wù)器帶來影響， 同時(shí)占用大量IDC 的帶寬資源， 另外突發(fā)大數(shù)據(jù)流會(huì)造成路由交換等網(wǎng)絡(luò)設(shè)備負(fù)荷過載 , 從而導(dǎo)致網(wǎng)絡(luò)服務(wù)質(zhì)量下降，甚至?xí)霈F(xiàn)路由器板卡轉(zhuǎn)發(fā)異常以及網(wǎng)絡(luò)中繼擁塞等現(xiàn)象。針對 IDC 的攻擊可以導(dǎo)致企業(yè)客戶網(wǎng)絡(luò)的癱瘓，業(yè)務(wù)中斷， 這些攻擊通常利用設(shè)備系統(tǒng)本身的安全漏洞， 而且托管設(shè)備安全配置的不完善也可以給攻擊者可乘之機(jī)。 針對這些問題的攻擊一旦成功， 后果不堪設(shè)

5、想 將會(huì)直接導(dǎo)致客戶滿意度降低，甚至客戶流失。lDc 機(jī)房中托管了很多客戶的業(yè)務(wù)主機(jī)，當(dāng)部分業(yè)務(wù)主機(jī)成為被攻擊目標(biāo)時(shí)， 往往會(huì)影響其他主機(jī)的正常業(yè)務(wù)提供， 這主要是由于缺乏有效的安全隔離、安全控制的技術(shù)和策略。托管主機(jī)的安全代維服務(wù)需求， 電子商務(wù)網(wǎng)站、 政府、 企業(yè)等大量的中小客戶經(jīng)常遭受網(wǎng)絡(luò)攻擊， 服務(wù)質(zhì)量下降 而由于其自身缺乏安全運(yùn)維人員， 迫切需要運(yùn)營商提供安全服務(wù)， 為客戶的業(yè)務(wù)系統(tǒng)提供安全保障。三、IDC安全解決方案3.1 方案總體思路IDC同行業(yè)之間的競爭越來越激烈.IDC通常采用擴(kuò)充出口帶寬、 提升網(wǎng)絡(luò)核心設(shè)備處理能力等來開拓新的客戶和留住已有客戶，而建設(shè)、完善有效的安全管控體

6、系，為IDC客戶提供一個(gè) 安全穩(wěn)定的運(yùn)行環(huán)境也成為IDC客戶，特別是大 客戶在選擇 IDC 時(shí)非?？粗氐囊粋€(gè)硬性指標(biāo)； 同 時(shí)， 通過安全體系的建立能有效的降低由安全引起的運(yùn)維成本。建立一個(gè)有效的信息安全體系最有效的方式是采用系統(tǒng)化的方法， 首先確定信息安全管理策略和范圍， 然后在風(fēng)險(xiǎn)評估的基礎(chǔ)上選擇適宜的控制目標(biāo)和控制方式對風(fēng)險(xiǎn)進(jìn)行處理， 最后制定業(yè)務(wù)持續(xù)性計(jì)劃，建立并實(shí)施信息安全體系。根據(jù)上述章節(jié)對IDC安全風(fēng)險(xiǎn)的分析，現(xiàn)階段 IDC 的安全體系中需要解決的是構(gòu)建一套有效的安全防護(hù)體系 . 因此，本方案主要是基于技術(shù)措施來構(gòu)建IDc 的技術(shù)體系， 而對于組織管理體系和運(yùn)維體系的建設(shè)不在本文

7、中展開描述。3.2 基于安全域的防護(hù)策略安全域是由一組具有相同安全保護(hù)需求、 并相互信任的系統(tǒng)組成的邏輯區(qū)域, 在同一安全域中的系統(tǒng)共享相同的安全策略，通過安全域的劃分把一個(gè)大規(guī)模復(fù)雜系統(tǒng)的安全問題， 化解為更小區(qū)域的安全保護(hù)問題， 是實(shí)現(xiàn)大規(guī)模復(fù)雜信息系統(tǒng)安全保護(hù)的有效方法。3.2.1 IDC 安全域劃分通過前面章節(jié)對IDC業(yè)務(wù)的分析，首先可以根據(jù)業(yè)務(wù)系統(tǒng)的不同來進(jìn)行安全域的劃分， 主要分為自有業(yè)務(wù)域，中小客戶域和大客戶域，然后 再根據(jù)托管廠商的不同在上述幾個(gè)安全域中進(jìn) 行細(xì)分。0 0靖界路的0口絡(luò)移人丫程由文俊松用悟女它安全域的劃分是為了更好的對不同重要等級(jí)的 安全域進(jìn)行適當(dāng)防護(hù)，而防護(hù)策

8、略主要分為安全 域邊界和安全域內(nèi)部的防護(hù)。安全域劃分將網(wǎng)絡(luò) 系統(tǒng)劃分為不同安全區(qū)域，分別進(jìn)行安全保護(hù)的 過程，通過安全域的劃分和保護(hù)，將實(shí)現(xiàn)如下意 義:1 .基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢查和評估的 基礎(chǔ)；2 .有效建立安全管理控制點(diǎn)，指導(dǎo)系統(tǒng)安 全規(guī)劃、設(shè)計(jì)、入網(wǎng)等工作；3 .實(shí)現(xiàn)對系統(tǒng)進(jìn)行重點(diǎn)保護(hù)，統(tǒng)一管理的統(tǒng)一信息安全技術(shù)支撐;4 .安全域的分割能有效的防護(hù)攻擊滲透；5 .基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全建設(shè)的部署依 據(jù)；6 .安全域邊界是災(zāi)難發(fā)生時(shí)的抑制點(diǎn)，防 止影響的擴(kuò)散；7 .有效的避免安全方面的重復(fù)投資。3. 2.2 IDC安全域防護(hù)安全域防護(hù)的根本目的是為了保證業(yè)務(wù)信 息系統(tǒng)的穩(wěn)定、安全運(yùn)行，

9、使其能夠穩(wěn)健、持續(xù) 的提供業(yè)務(wù)服務(wù),保障電信運(yùn)營商IDC各種業(yè)務(wù) 的正常經(jīng)營和戰(zhàn)略目標(biāo)的達(dá)成。安全保護(hù)的對象是業(yè)務(wù)信息系統(tǒng)內(nèi)的所有信息資產(chǎn)，包括硬件、軟件、服務(wù)、信息等，其中重點(diǎn)是服務(wù)和信息。基于 IDC 的業(yè)務(wù)需求， 以及 lDc 面臨的安全問題，單一設(shè)備或單一系統(tǒng)無法解決IDC的安全問題，需要采用多層面全方位的解決方案來應(yīng)對IDC 的安全問題，解決思路如下 :1 流量分析系統(tǒng)實(shí)時(shí)監(jiān)控分析1Dc 的數(shù)據(jù)流，獲取抗拒絕服務(wù)攻擊（DD0s）等非法數(shù)據(jù)流信廣息。2流量凈化系統(tǒng)過濾非法數(shù)據(jù)流信息，保障網(wǎng)絡(luò)基礎(chǔ)架構(gòu)健康平穩(wěn)運(yùn)行， 為大客戶業(yè)務(wù)保駕護(hù)航。3網(wǎng)絡(luò)入侵檢測系統(tǒng)深度檢測蠕蟲、病毒等應(yīng)用層攻擊。

10、4 漏洞掃描系統(tǒng)及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞和風(fēng)險(xiǎn)，為 lDc 安全未雨綢繆。5 .6 .3 專業(yè)安全服務(wù)引入3.3.1 安全問題目前正以每周新增幾十甚至幾百例的速度在全世界得到反饋， 同時(shí)涉及信息技術(shù)的眾多領(lǐng)域，IDC維護(hù)人員在安全知識(shí)的更新速度方面面臨更大的壓力。安全預(yù)警以安全通告的形式為 lDc 提供最新的安全動(dòng)態(tài)、 技術(shù)和定制的安全信息， 包括實(shí)時(shí)安全漏洞通知、 定期安全通告匯總、 臨時(shí)安全解決方案和安全知識(shí)庫更新等。 同時(shí)， 這些通告信息可以定制化發(fā)送給不同的 IDC 托管客戶， 通過提供安全信息增值服務(wù)的方式來增加IDC客 戶的粘度。3.3.2 緊急事件響應(yīng)目前許多IDC或者IDC的客戶自身尚

11、沒有足夠的資源和能力對安全事故作出反應(yīng)。 網(wǎng)絡(luò)安全的發(fā)展日新月異， 無法實(shí)現(xiàn)一勞永逸的安全， 所以當(dāng)緊急安全問題發(fā)生， 一般技術(shù)人員又無法迅速解決的時(shí)候， 及時(shí)發(fā)現(xiàn)問題、 解決問題就必須依靠緊急響應(yīng)來實(shí)現(xiàn)。緊急響應(yīng)服務(wù)提供高效的信息安全事故反應(yīng)體系， 可以幫助 lDc 盡快對信息安全破壞事故作出反應(yīng)， 包括事故處理及恢復(fù)、 事后的事故描述報(bào)告以及后續(xù)的安全狀況跟蹤。 同時(shí)， 當(dāng) IDc 中托管的用戶主機(jī)或lDc 的網(wǎng)絡(luò)系統(tǒng)正遭到攻擊或發(fā)現(xiàn)入侵的痕跡，而又無法當(dāng)時(shí)解決和追查來源時(shí)。 緊急事件響應(yīng)將以最快的速度趕到現(xiàn)場， 協(xié)助 lDc 運(yùn)維人員解決問題， 查找受攻擊系統(tǒng)， 保 存證據(jù)和追查來源。3

12、.3.3 高級(jí)維護(hù)服務(wù)1 安全設(shè)備維護(hù)隨著網(wǎng)絡(luò)安全的不斷發(fā)展，IDC在信息安全方面的投資也越來越多， 各種安全產(chǎn)品在的各個(gè)層面部署。而IDC 中的安全設(shè)備往往買回來后由于維護(hù)力量的不足，往往也擱置不用，在各IDC都多或多或少的存在這樣的問題。因此可以通過引入專業(yè)的安全服務(wù)對各種安全設(shè)備進(jìn)行專業(yè)的維護(hù)和照料， 使之發(fā)揮相應(yīng)的作用， 從而有效保護(hù)已有安全投資， 實(shí)現(xiàn)已有安全投資效益最大化的目標(biāo)。2系統(tǒng)安全加固網(wǎng)絡(luò)安全是動(dòng)態(tài)發(fā)展變化的， 需要時(shí)刻關(guān)注最新漏洞和安全動(dòng)態(tài)， 制定更新的安全策略以應(yīng)付外來入侵和蠕蟲病毒等威脅。 通過引入安全服務(wù)針對網(wǎng)絡(luò)節(jié)點(diǎn)的漏洞和脆弱性， 定期的進(jìn)行安全加固， 可以使系統(tǒng)有效的抵御外來的入侵和蠕蟲病毒的襲擊， 使系統(tǒng)可以長期保持在高度可信的狀態(tài)。四、結(jié)束語IDC 的網(wǎng)絡(luò)建設(shè)和發(fā)展是一個(gè)長期的任務(wù)，隨著技術(shù)的發(fā)展和業(yè)務(wù)的更新， 需要及時(shí)的調(diào)整已有的安全策略， 設(shè)計(jì)新的網(wǎng)絡(luò)安全方案。 同時(shí)，計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性，使得網(wǎng)絡(luò)安全越來越成為一種專門的技術(shù)和服務(wù)， 需要與專業(yè)的安全服務(wù)組織合作來進(jìn)行更全面和完善的網(wǎng)絡(luò)安全規(guī)劃和建設(shè)。綠盟科技一直以“巨人背后的專家”為己任，致力于網(wǎng)絡(luò)安全事業(yè)，經(jīng)過幾年的快速發(fā)展 已成長為面向國際市場的網(wǎng)絡(luò)安全解決方案供應(yīng)商。 在本方案設(shè)計(jì)中， 針對現(xiàn)有 IDC