朱廷謀 李學(xué)良 中移鐵通有限公司茂名分公司

互聯(lián)網(wǎng)數(shù)據(jù)中心（Internet Data Center，IDC）在互聯(lián)網(wǎng)網(wǎng)的發(fā)展中占據(jù)了重要的位置，作為互聯(lián)網(wǎng)內(nèi)容和應(yīng)用的主要承載平臺(tái)，IDC不僅要為企業(yè)和用戶提供網(wǎng)絡(luò)接入和網(wǎng)絡(luò)托管的服務(wù)，而且還要為服務(wù)器的監(jiān)管提供服務(wù)，因此IDC網(wǎng)絡(luò)安全的問題事關(guān)整個(gè)網(wǎng)絡(luò)的安全性、保密性。由于IDC網(wǎng)絡(luò)的服務(wù)對(duì)象一般是企業(yè)，所以一旦發(fā)生了數(shù)據(jù)的泄露，將會(huì)對(duì)一個(gè)企業(yè)造成極大的損失。目前網(wǎng)絡(luò)信息安全還存在很多的隱患，我們必須充分的關(guān)注IDC網(wǎng)絡(luò)安全問題。本文主要對(duì)現(xiàn)階段IDC網(wǎng)絡(luò)容易出現(xiàn)的問題做出了一定的思考，構(gòu)建網(wǎng)絡(luò)安全體系，盡最大努力減少網(wǎng)絡(luò)安全漏洞，保障互聯(lián)網(wǎng)信息安全。

1 IDC網(wǎng)絡(luò)安全特性

IDC網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)非常復(fù)雜，能夠同時(shí)承載許多的業(yè)務(wù)，因此對(duì)于網(wǎng)絡(luò)的性能要求很高。按照結(jié)構(gòu)體系來(lái)分的話，IDC網(wǎng)絡(luò)可以分為四個(gè)主要部分，包括網(wǎng)絡(luò)接入層、網(wǎng)絡(luò)核心層、網(wǎng)絡(luò)分布層、服務(wù)器接入層和后臺(tái)管理，其中網(wǎng)絡(luò)接入層主要用于將IDC接入到特定的網(wǎng)絡(luò)中去，方便用戶的使用；核心層的作用主要適用于網(wǎng)絡(luò)信息、數(shù)據(jù)的傳輸，因此在網(wǎng)絡(luò)安全中要特別注意核心層的運(yùn)行狀況。在基于對(duì)IDC網(wǎng)絡(luò)結(jié)構(gòu)的分析上，本文總結(jié)除了以下三點(diǎn)IDC網(wǎng)絡(luò)的安全特性：首先是具有動(dòng)態(tài)性，IDC網(wǎng)絡(luò)在使用過(guò)程中是實(shí)時(shí)的、動(dòng)態(tài)的，隨著時(shí)間的變化在不斷的改變，當(dāng)IDC網(wǎng)絡(luò)出現(xiàn)變更時(shí)，我們的IDC網(wǎng)絡(luò)安全系統(tǒng)也需要做出相應(yīng)的變化，避免網(wǎng)絡(luò)安全出現(xiàn)新的問題。其次是IDC網(wǎng)絡(luò)安全問題要注意防范與管理并重，由于IDC網(wǎng)絡(luò)提供的是一種綜合性的服務(wù)，所以在安全防護(hù)方面要注意全面的防護(hù)，充分的考慮到可能出現(xiàn)的問題，在應(yīng)對(duì)多中多樣的問題中制定全方位的安全防護(hù)手段以及相應(yīng)的管理措施。最后就是IDC網(wǎng)絡(luò)發(fā)生安全問題后容易產(chǎn)生連環(huán)反應(yīng)，IDC網(wǎng)絡(luò)的搭建是由多臺(tái)服務(wù)器相互組建而成的，如果在使用過(guò)程當(dāng)中，其中的某一臺(tái)服務(wù)器出現(xiàn)了安全問題，那么其他的服務(wù)器也容易出現(xiàn)同類問題，導(dǎo)致其他設(shè)備的安全防御系統(tǒng)被破壞，從而導(dǎo)致整個(gè)IDC網(wǎng)絡(luò)出現(xiàn)安全問題。

2 IDC網(wǎng)絡(luò)常見的安全問題

針對(duì)IDC網(wǎng)絡(luò)安全的攻擊方式多種多樣，在現(xiàn)階段，一般可以分為這幾種：一是IDC網(wǎng)絡(luò)的口令獲取，網(wǎng)絡(luò)的管理一般都是通過(guò)個(gè)人賬戶對(duì)網(wǎng)絡(luò)進(jìn)行加密，如果攻擊者能夠獲竊取密碼，那么將會(huì)對(duì)網(wǎng)絡(luò)安全形成極大的破壞。二是針對(duì)網(wǎng)絡(luò)的IP詐騙，不法分子會(huì)講自己的IP地址偽裝成IDC網(wǎng)絡(luò)信任的用戶的IP地址，獲得主機(jī)的信任，進(jìn)行不法的活動(dòng)。三是針對(duì)IDC網(wǎng)絡(luò)的竊聽行為，攻擊者在公共網(wǎng)絡(luò)中采取技術(shù)手段利用IDC網(wǎng)絡(luò)的切入點(diǎn)對(duì)網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行監(jiān)聽，容易造成機(jī)密信息、數(shù)據(jù)的損失。四是采用DDoS方式進(jìn)行網(wǎng)絡(luò)攻擊，通過(guò)不斷地對(duì)IDC服務(wù)器發(fā)送認(rèn)證請(qǐng)求，這時(shí)候IDC網(wǎng)絡(luò)服務(wù)的系統(tǒng)資源被大量占用，無(wú)法為用戶提供正常的服務(wù)。五是其他的網(wǎng)絡(luò)病毒的入侵，例如木馬、蠕蟲等網(wǎng)絡(luò)病毒的入侵，一旦遭到網(wǎng)絡(luò)病毒的入侵，將會(huì)有可能使整個(gè)IDC網(wǎng)絡(luò)系統(tǒng)崩潰。

3 IDC網(wǎng)絡(luò)安全體系的結(jié)構(gòu)及策略

IDC網(wǎng)絡(luò)安全體系的建設(shè)是一個(gè)龐大的系統(tǒng)工程，網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)實(shí)體安全、網(wǎng)絡(luò)通信體系安全和主機(jī)系統(tǒng)的安全，本文認(rèn)為在整個(gè)體系的建設(shè)方面主要分為兩個(gè)方面，一個(gè)方面就是人，另一個(gè)方面就是技術(shù)層面。首先從人的方面進(jìn)行介紹，在現(xiàn)在網(wǎng)絡(luò)安全體系中都少不了人的存在，在安全防護(hù)方面人起到了最重要的作用，所以在安全防護(hù)體系中，要加強(qiáng)人的干預(yù)，網(wǎng)絡(luò)管理員定期檢查安全防護(hù)系統(tǒng)，不定期進(jìn)行模擬攻擊嗅探，一旦發(fā)生有被攻擊的跡象的時(shí)候，要及時(shí)的發(fā)現(xiàn)問題，并做出相應(yīng)的反應(yīng)，不到等到系統(tǒng)真正被攻擊的時(shí)候才派人去維護(hù)，要防患于未然。

在密碼的設(shè)定、管理方面要建立合理的密碼管理規(guī)則，其一：根據(jù)數(shù)據(jù)的重要程度可以將密碼劃分為三個(gè)等級(jí)，數(shù)據(jù)庫(kù)用戶密碼、數(shù)據(jù)庫(kù)管理員密碼為一級(jí)密碼、應(yīng)用軟件登錄密碼、普通數(shù)據(jù)庫(kù)密碼為二級(jí)操作密碼，非數(shù)據(jù)庫(kù)服務(wù)器密碼為三級(jí)密碼。其二：密碼的設(shè)定必須為專人負(fù)責(zé)，不同級(jí)別的密碼分別由不同級(jí)別的人進(jìn)行設(shè)定。其三：根據(jù)系統(tǒng)的要求，密碼設(shè)定的時(shí)候長(zhǎng)度不得低于8位，要求盡量使用系統(tǒng)設(shè)定的最長(zhǎng)密碼，同時(shí)密碼必須由數(shù)字、大小字母、特殊符號(hào)共同組成，防止黑客暴力破解密碼，設(shè)定密碼時(shí)禁止使用生日、姓名、身份證號(hào)等其它有關(guān)個(gè)人信息，防止被他人猜破。其四：系統(tǒng)要及時(shí)提醒管理人員定期更換密碼，最長(zhǎng)不超過(guò)90天。其五：當(dāng)有人試圖破解密碼時(shí)，系統(tǒng)對(duì)于輸錯(cuò)三次密碼的情況將會(huì)鎖定系統(tǒng)，并且及時(shí)以短信、郵件的方式通知給賬號(hào)管理員。管理人員對(duì)于各類密碼的使用和保存必須做到隱秘，另外密碼不得作文電子文本保存，防止密碼的泄露。

在技術(shù)層面上來(lái)講，IDC網(wǎng)絡(luò)保障措施有很多，本文在研究了大量實(shí)例之后，主要提出了以下幾種防范措施。

3.1 防范DDos的攻擊

DDoS是一種通過(guò)占用服務(wù)器資源進(jìn)行攻擊的攻擊方式，因此在防范DDos攻擊的時(shí)候要做到這幾個(gè)方面，采用網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，DDoS在攻擊IDC網(wǎng)絡(luò)的時(shí)候會(huì)大量的使用網(wǎng)絡(luò)流量，所以在技術(shù)層面上，一旦系統(tǒng)檢測(cè)到有不明的IP地址使用網(wǎng)絡(luò)時(shí)，系統(tǒng)及時(shí)的發(fā)出警報(bào)，提示管理員切斷非法連接；采用高性能的網(wǎng)絡(luò)設(shè)備，當(dāng)發(fā)生攻擊的時(shí)候，網(wǎng)絡(luò)管理員能夠?qū)δ骋痪W(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行網(wǎng)絡(luò)流量限制；在路由器和交換機(jī)上，當(dāng)發(fā)現(xiàn)數(shù)據(jù)幀長(zhǎng)度太短、原地址的目的地址是回環(huán)地址、幀被分段的時(shí)應(yīng)當(dāng)及時(shí)的丟棄這些數(shù)據(jù)幀；在網(wǎng)絡(luò)設(shè)備上盡量使用充足的網(wǎng)絡(luò)帶寬，增加網(wǎng)絡(luò)的帶寬的同時(shí)也增加了網(wǎng)絡(luò)抵御攻擊的能力，當(dāng)發(fā)生網(wǎng)絡(luò)資源被大量占用時(shí)，如果帶寬足夠大，能夠?qū)舻钟欢ǖ臅r(shí)間，同時(shí)可通知管理員做出有效的反應(yīng)。另外，還可以把網(wǎng)站作為靜態(tài)頁(yè)面，能夠給黑客的攻擊帶來(lái)很大的阻力。

3.2 采用虛擬局域網(wǎng)VLAN技術(shù)

IDC網(wǎng)絡(luò)系統(tǒng)是一種綜合性服務(wù)系統(tǒng)，為了保證托管客戶相互通信的安全，可以采用虛擬局域網(wǎng)VLAN技術(shù)，通過(guò)給每一個(gè)客戶分配一個(gè)相關(guān)的子網(wǎng)，同時(shí)使用VLAN技術(shù)使每一個(gè)客戶在第二層信息傳輸隔離開，這樣不僅能夠方便網(wǎng)絡(luò)的管理，同時(shí)也可以有效的增加了網(wǎng)絡(luò)系統(tǒng)抵御攻擊的能力。并且在IDC網(wǎng)絡(luò)中，網(wǎng)絡(luò)之間的通信一般都發(fā)生在用戶和服務(wù)器之間，IDC網(wǎng)絡(luò)的就夠在同一個(gè)二層域中有三類的不同安全級(jí)別的端口。通過(guò)這項(xiàng)技術(shù)能夠很好地對(duì)第二層用戶進(jìn)行隔離，有效保障了系統(tǒng)的安全

3.3 防火墻

防火墻技術(shù)可用于對(duì)網(wǎng)絡(luò)通信進(jìn)行有效的監(jiān)控和過(guò)濾，其目的主要是防止未被授權(quán)或者不明IP地址的用戶對(duì)IDC網(wǎng)絡(luò)系統(tǒng)進(jìn)行訪問，能夠通過(guò)防火墻技術(shù)有效的阻擋一部分用戶對(duì)主機(jī)的訪問，并且在用戶訪問IDC系統(tǒng)的時(shí)候，能夠根據(jù)一定的規(guī)則對(duì)網(wǎng)絡(luò)傳輸中的數(shù)據(jù)內(nèi)容進(jìn)行審查、過(guò)濾，防止有害的信息進(jìn)入IDC網(wǎng)絡(luò)系統(tǒng)，并且能都對(duì)數(shù)據(jù)的行為進(jìn)行審查，一旦發(fā)現(xiàn)可疑情況，能夠及時(shí)的阻斷對(duì)IDC系統(tǒng)的訪問，另外，在防火墻技術(shù)中還有一種代理技術(shù)，該技術(shù)的作用就是在用戶和公共網(wǎng)絡(luò)之間增加一層代理機(jī)制，通過(guò)代理機(jī)制的作用，保障數(shù)據(jù)通信的安全。

3.4 漏洞掃描技術(shù)

在IDC網(wǎng)絡(luò)設(shè)備中，主機(jī)的安全極為重要，因此可以通過(guò)漏洞掃描技術(shù)對(duì)主機(jī)進(jìn)行安全保障，該技術(shù)通過(guò)與主機(jī)建立安全連接，能夠在連接成功之后對(duì)主機(jī)進(jìn)行安全掃描。IDC維護(hù)工程師能夠通過(guò)此技術(shù)定期的對(duì)主機(jī)設(shè)備或者其他設(shè)備進(jìn)行掃描，及時(shí)的發(fā)現(xiàn)系統(tǒng)存在的漏洞，并且在發(fā)現(xiàn)安全漏洞之后，能夠及時(shí)的對(duì)漏洞進(jìn)行修補(bǔ)。通過(guò)定期對(duì)系統(tǒng)、網(wǎng)絡(luò)的進(jìn)行漏洞掃描，發(fā)現(xiàn)并記錄所有的系統(tǒng)和網(wǎng)絡(luò)，發(fā)現(xiàn)漏洞時(shí)除了做好修補(bǔ)之外，還要及時(shí)對(duì)漏洞數(shù)據(jù)庫(kù)進(jìn)行更新，防止此類漏洞的再次發(fā)生。通過(guò)全面掃描系統(tǒng)，發(fā)現(xiàn)并確認(rèn)系統(tǒng)、網(wǎng)絡(luò)的脆弱點(diǎn)，因?yàn)檫@些脆弱點(diǎn)常常是黑客發(fā)動(dòng)攻擊的入口，所以要及時(shí)對(duì)系統(tǒng)進(jìn)行更新維護(hù)，特別是針對(duì)脆弱點(diǎn)的更新，提高系統(tǒng)的安全性。

3.5 加密技術(shù)

在IDC網(wǎng)絡(luò)數(shù)據(jù)的傳輸過(guò)程中，為了防止信息被竊取、泄露，可以采用數(shù)據(jù)的加密技術(shù)進(jìn)行處理。在IDC網(wǎng)絡(luò)系統(tǒng)中可以采用透明加密的方式對(duì)文件、數(shù)據(jù)進(jìn)行加密，當(dāng)管理員或者用戶使用電腦保存文檔時(shí)，文檔將自動(dòng)被加密，在授權(quán)的計(jì)算機(jī)上是可以被解密的，在其它計(jì)算機(jī)上卻是以加密的文件存在的，未授權(quán)的計(jì)算機(jī)無(wú)法破解文件。管理員可以對(duì)其他計(jì)算機(jī)進(jìn)行授權(quán)，當(dāng)發(fā)現(xiàn)其他計(jì)算機(jī)存在文件被泄露的危險(xiǎn)時(shí)，能夠及時(shí)的解除授權(quán)模式。同時(shí)，系統(tǒng)可以通過(guò)身份權(quán)限驗(yàn)證的方式對(duì)電子文件進(jìn)行保護(hù)，在企業(yè)應(yīng)用中，每一個(gè)單位用戶可以設(shè)置一個(gè)唯一的秘鑰，同時(shí)單位之間也可以再設(shè)置一個(gè)秘鑰，不同的單位即使獲得其他單位的文件仍然無(wú)法解密對(duì)方文件。通過(guò)透明加密，可以實(shí)現(xiàn)授權(quán)計(jì)算機(jī)的自動(dòng)加密，使用者非常方便，對(duì)于企業(yè)內(nèi)部的交流無(wú)需做任何的處理，即使文件被泄露出去，由于其它的計(jì)算機(jī)未被授權(quán)，也無(wú)法打開文件，保證了數(shù)據(jù)的安全。

4 結(jié)語(yǔ)

隨著IDC網(wǎng)絡(luò)技術(shù)的發(fā)展，IDC的業(yè)務(wù)量也越來(lái)越高，作為一種綜合性服務(wù)網(wǎng)絡(luò)，其安全問題應(yīng)該得到人們廣泛的關(guān)注，IDC網(wǎng)絡(luò)安全體系的建設(shè)不僅需要技術(shù)層面的措施，還需要人為管理層面做出努力，建立合理的密碼設(shè)定、管理制度，管理人員嚴(yán)格遵守管理制度和操作流程。通過(guò)防火墻技術(shù)、漏洞掃描技術(shù)、不斷的加強(qiáng)系統(tǒng)安全性，數(shù)據(jù)傳輸過(guò)程中及時(shí)加密。在人和技術(shù)兩個(gè)層面共同采取措施，共同促進(jìn)IDC網(wǎng)絡(luò)安全體系的建設(shè)。目前我國(guó)在信息安全方面的發(fā)展還不夠完善，因此這將是未來(lái)的一個(gè)重要的研究方向。全面推進(jìn)IDC網(wǎng)絡(luò)安全體系建設(shè)，保障信息安全，這需要我們共同的努力。

[1]柳正茂,李洪波.IDC網(wǎng)絡(luò)安全問題與對(duì)策[J].河北省科學(xué)院學(xué)報(bào),2010,27(01):35-37.

[2]劉麗麗,孟甜,劉國(guó)鋒.IDC網(wǎng)絡(luò)安全常見問題與應(yīng)對(duì)策略研究[J].硅谷,2013,6(13):130+128.

[3]王婷,黃文培.IDC網(wǎng)絡(luò)安全技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2007(03):28-30.