羅耀宗

?

談IDC網(wǎng)絡(luò)安全的構(gòu)建

羅耀宗

中通服建設(shè)有限公司，廣東 東莞 523000

當(dāng)前，我國(guó)的IDC建設(shè)已步入快速發(fā)展期，IDC業(yè)務(wù)需求也在日益擴(kuò)大。面對(duì)這種形勢(shì)，如何進(jìn)一步提升服務(wù)質(zhì)量，強(qiáng)化一站式服務(wù)，保障網(wǎng)絡(luò)安全，已成為IDC能否盈利的關(guān)鍵。分析了維護(hù)IDC網(wǎng)絡(luò)安全的關(guān)鍵點(diǎn)，基于網(wǎng)絡(luò)安全設(shè)計(jì)原則的基礎(chǔ)上，提出了構(gòu)建IDC網(wǎng)絡(luò)安全的幾點(diǎn)措施，希望為IDC的未來(lái)發(fā)展有所貢獻(xiàn)。

IDC；網(wǎng)絡(luò)安全；構(gòu)建

IDC是互聯(lián)網(wǎng)業(yè)務(wù)的重要組成部分，是電信部門(mén)提供服務(wù)的核心平臺(tái)。近些年來(lái)，隨著國(guó)家“寬帶戰(zhàn)略”的逐步實(shí)施，IDC業(yè)務(wù)得到了快速發(fā)展，而網(wǎng)絡(luò)安全問(wèn)題也日益凸顯出來(lái)，困擾著IDC機(jī)房管理人員，也阻礙著IDC業(yè)務(wù)的健康發(fā)展[1]。對(duì)此，需要對(duì)影響IDC網(wǎng)絡(luò)安全的關(guān)鍵因素進(jìn)行系統(tǒng)研究，并明確相關(guān)設(shè)計(jì)原則，在此基礎(chǔ)上，研究IDC網(wǎng)絡(luò)安全體系的構(gòu)建。只有這樣，才能使IDC業(yè)務(wù)的服務(wù)水平獲得整體提升。

1 IDC網(wǎng)絡(luò)信息安全的關(guān)鍵點(diǎn)

1.1 域名/IP備案

在我國(guó)現(xiàn)行的法律法規(guī)中，嚴(yán)令禁止未備案網(wǎng)站接入網(wǎng)絡(luò)。在這種背景下，如何對(duì)IDC進(jìn)行高效全面地管控、審核確認(rèn)備案信息則成為一個(gè)關(guān)鍵問(wèn)題，尤其在那些內(nèi)容鏡像的加速網(wǎng)絡(luò)環(huán)境中，主服務(wù)器可能在異地，由本地多個(gè)IP進(jìn)行自動(dòng)選擇，外加有些客戶自行安裝負(fù)載均衡系統(tǒng)，這對(duì)于維護(hù)人員如何快速、準(zhǔn)確地分析出哪一個(gè)應(yīng)用訪問(wèn)的IP地址以及所在服務(wù)器無(wú)疑是一項(xiàng)巨大的考驗(yàn)。

1.2 非法信息管控

這里所說(shuō)的非法信息指違反國(guó)家法律法規(guī)并在網(wǎng)絡(luò)上傳播、存儲(chǔ)的信息，如反動(dòng)、色情、詐騙、謠言等信息。當(dāng)前，由于網(wǎng)絡(luò)信息過(guò)濾分析系統(tǒng)過(guò)于復(fù)雜和昂貴，因此絕大多數(shù)IDC使用者并不具有實(shí)時(shí)監(jiān)測(cè)非法信息的能力，只能被動(dòng)地根據(jù)相關(guān)監(jiān)管部門(mén)的通知進(jìn)行某些應(yīng)急處理。此外，隨著人們的日常工作、生活與網(wǎng)絡(luò)聯(lián)系得越來(lái)越緊密，以及發(fā)展社會(huì)經(jīng)濟(jì)的整體需求，更加凸顯出管控網(wǎng)絡(luò)非法信息的重要性，必須引起IDC使用者的高度重視，并做好切實(shí)有效的防范措施，絕非被動(dòng)的事后補(bǔ)救。

1.3 主機(jī)入侵

來(lái)自IDC外部的入侵者會(huì)通過(guò)木馬病毒、漏洞攻擊、暴力破解等途徑控制機(jī)房中的某臺(tái)主機(jī)，并利用這臺(tái)主機(jī)作為堡壘，對(duì)其他主機(jī)進(jìn)行攻擊與破壞，或從IDC內(nèi)部向外部網(wǎng)絡(luò)發(fā)起攻擊，不但導(dǎo)致受控主機(jī)的業(yè)務(wù)不可用，此IDC的其他服務(wù)器也會(huì)因帶寬資源被大量耗用而無(wú)法正常開(kāi)展各項(xiàng)業(yè)務(wù)，進(jìn)而對(duì)IDC服務(wù)造成極大的危害。

1.4 不可抵賴(lài)證據(jù)

真正意義上的不可抵賴(lài)性保障需要經(jīng)由數(shù)字簽名技術(shù)進(jìn)行處理，也就是說(shuō)，需要第三方CA機(jī)構(gòu)。IDC所有方一般只提供資源出租相關(guān)服務(wù)，而實(shí)際應(yīng)用一般都是在客戶的自有服務(wù)器上實(shí)現(xiàn)，對(duì)第三方監(jiān)管的需求不大。目前討論的網(wǎng)絡(luò)非法行為可跟蹤、可記錄、可查看、可分析，為網(wǎng)絡(luò)信息安全威脅行為及時(shí)提供證據(jù)，令非法入侵者、傳播者無(wú)可抵賴(lài)[2]。

2 網(wǎng)絡(luò)安全策略

結(jié)合當(dāng)前網(wǎng)絡(luò)系統(tǒng)的實(shí)際情況，解決網(wǎng)絡(luò)安全保密問(wèn)題成為當(dāng)務(wù)之急，考慮到技術(shù)及經(jīng)費(fèi)等因素，建議采用以下安全策略：首先，使用漏洞掃描技術(shù)對(duì)重要網(wǎng)絡(luò)及設(shè)備進(jìn)行風(fēng)險(xiǎn)評(píng)估，確保信息系統(tǒng)在最佳的網(wǎng)絡(luò)環(huán)境下運(yùn)行；其次，由防火墻技術(shù)、NAT技術(shù)、VPN技術(shù)、網(wǎng)絡(luò)加密技術(shù)、身份認(rèn)證技術(shù)、防病毒系統(tǒng)以及入侵檢測(cè)技術(shù)構(gòu)建起網(wǎng)絡(luò)安全的防御體系；再次，制定并不斷完善安全管理制度，對(duì)網(wǎng)絡(luò)攻擊行為實(shí)現(xiàn)快速響應(yīng)與快速恢復(fù)；最后，建立起分層管理模式，完善各級(jí)網(wǎng)絡(luò)安全管理中心。

3 IDC網(wǎng)絡(luò)信息安全的構(gòu)建策略

3.1 建立IDC信息安全管理平臺(tái)

伴隨著互聯(lián)網(wǎng)技術(shù)與信息安全技術(shù)的快速發(fā)展，已建成專(zhuān)業(yè)的網(wǎng)絡(luò)信息安全管理平臺(tái)，即IDC信息安全審計(jì)管理系統(tǒng)。該系統(tǒng)具有以下功能。

（1）IP/域名管理?？筛鶕?jù)各種條件對(duì)域名信息進(jìn)行查詢(xún)，如根據(jù)IP查詢(xún)域名、根據(jù)域名查詢(xún)1P，還可以查詢(xún)看到主機(jī)所在位置、機(jī)房編號(hào)以及主機(jī)使用單位等相關(guān)信息。（2）監(jiān)控管理。對(duì)IDC機(jī)房中的HTTP/WAP Post（網(wǎng)頁(yè)發(fā)帖）、HTTP/WAP Get（網(wǎng)頁(yè)瀏覽）、FTP、SMTP、POP3、Telnet等協(xié)議中的有害信息進(jìn)行審計(jì)，一旦發(fā)現(xiàn)，立即報(bào)警。（3）封堵管理?？蓪?duì)IP、網(wǎng)站、特定網(wǎng)頁(yè)（URL）進(jìn)行封堵功能的添加和取消。（4）圖片分析?？赏ㄟ^(guò)程序自動(dòng)審查和人工審查對(duì)JPG、PNG、GIF、TIF、BMP等格式的圖片進(jìn)行捕獲分析，由程序自動(dòng)審查所造成的遺漏，可通過(guò)人工審查進(jìn)行彌補(bǔ)。（5）日志管理記錄。該功能可于IDC機(jī)房中的網(wǎng)頁(yè)訪問(wèn)日志、FTP訪問(wèn)日志、Telnet訪問(wèn)日志、郵件（SMTP，POP3）日志等網(wǎng)絡(luò)服務(wù)訪問(wèn)日志進(jìn)行分類(lèi)管理。（6）報(bào)表管理。可對(duì)IDC機(jī)房的各種網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行匯總與統(tǒng)計(jì)，并通過(guò)柱狀圖、餅狀圖、曲線圖等樣式提供統(tǒng)計(jì)圖與統(tǒng)計(jì)報(bào)表，統(tǒng)計(jì)項(xiàng)目包括服務(wù)類(lèi)型統(tǒng)計(jì)、熱點(diǎn)訪問(wèn)量及排行統(tǒng)計(jì)、訪問(wèn)趨勢(shì)預(yù)測(cè)、流量趨勢(shì)分析等。（7）系統(tǒng)管理?？蓪?duì)系統(tǒng)用戶權(quán)限、各項(xiàng)參數(shù)配置、探針?lè)?wù)器、命令和策略下發(fā)等環(huán)節(jié)進(jìn)行管理。（8）信息管理。將系統(tǒng)收集到的報(bào)警信息、日志信息、IDC運(yùn)行狀態(tài)、客戶端用戶注冊(cè)信息以及域名備案信息上傳到第三方管理平臺(tái)，為各類(lèi)信息的統(tǒng)一的管理與分析提供對(duì)外接口。

3.2 密碼管理

首先，對(duì)所有的設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)系統(tǒng)的默認(rèn)密碼進(jìn)行修改。其次，在設(shè)置新密碼時(shí)，一要保證足夠的位數(shù)，不要設(shè)置為人、物或組織名稱(chēng)；二要保證足夠的復(fù)雜程度，不能是鍵盤(pán)上有序的序列。再次，密碼要以加密的形式進(jìn)行保存，輸入時(shí)不要顯示明文；此外，定期更改密碼，為避免管理人員遺忘，可在系統(tǒng)中設(shè)置強(qiáng)制要求修改密碼功能。最后，務(wù)必加強(qiáng)密碼管理，提高網(wǎng)絡(luò)安全維護(hù)人員的防范意識(shí)，以防密碼丟失和外泄。

3.3 建立IDC運(yùn)營(yíng)管理系統(tǒng)

我國(guó)的IDC行業(yè)具有“誰(shuí)接入、誰(shuí)負(fù)責(zé)”的規(guī)定，并在IP/ICP備案、不良信息監(jiān)控等方面具有明確的指導(dǎo)性政策；同時(shí)，為了保持IDC的持續(xù)健康運(yùn)營(yíng)，也必須建立起一套標(biāo)準(zhǔn)化的運(yùn)營(yíng)管理體系[3]。實(shí)際管理的過(guò)程中，面對(duì)機(jī)房資源、網(wǎng)絡(luò)數(shù)據(jù)、客戶資料以及網(wǎng)站備案信息等大量的數(shù)據(jù)，當(dāng)具備條件時(shí)，要第一時(shí)間建立起一套運(yùn)營(yíng)管理系統(tǒng)，將IDC的各個(gè)工作環(huán)節(jié)有機(jī)地結(jié)合起來(lái)，全面構(gòu)建起IDC網(wǎng)絡(luò)安全體系，從而為用戶提供更專(zhuān)業(yè)、更方便、更高效的服務(wù)。

4 結(jié)束語(yǔ)

正所謂“信息融合世界，安全保障發(fā)展”。IDC要想實(shí)現(xiàn)真正意義上的網(wǎng)絡(luò)信息安全，就必須對(duì)各個(gè)環(huán)節(jié)的安全防護(hù)進(jìn)行綜合考量與分析，并提出行之有效的保障措施。隨著網(wǎng)絡(luò)技術(shù)不斷向前發(fā)展，還會(huì)出現(xiàn)很多新情況與新問(wèn)題，安全問(wèn)題的關(guān)鍵點(diǎn)及其解決措施必然也會(huì)發(fā)生相應(yīng)的變化。為保障IDC安全而建立起來(lái)的各項(xiàng)制度、流程、技術(shù)措施等內(nèi)容也要及時(shí)進(jìn)行調(diào)整，并確保落實(shí)到位。只有這樣，才能為IDC網(wǎng)絡(luò)信息安全提供必要的支撐，推動(dòng)IDC的可持續(xù)發(fā)展。

[1]王婷，黃文培. IDC網(wǎng)絡(luò)安全技術(shù)研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007（3）：28-30.

[2]孟照讓. IDC安全防護(hù)體系建設(shè)策略[J]. 電信技術(shù)，2006（11）：58-62.

[3]賈鐵軍. 網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[M]. 北京：機(jī)械工業(yè)出版社，2009.

Talking about the Construction of IDC Network Security

Luo Yaozong

China Comservice Construction Co., Ltd., Guangdong Dongguan 523000

At present, China’s IDC construction has entered a period of rapid development, and the demand for IDC business is also expanding. Faced with this situation, how to further improve service quality, strengthen one-stop service, and ensure network security have become the key to the profitability of IDC. The key points of maintaining IDC network security are analyzed. Based on the principles of network security design, several measures are proposed to construct IDC network security, hoping to contribute to the future development of IDC.

IDC; network security; construction

TP393.08

A