◆欧阳春

(中国移动通信集团重庆有限公司计划部 重庆 401120 )

IDC安全管理解决方案

◆欧阳春

(中国移动通信集团重庆有限公司计划部 重庆 401120 )

互联网的普及，企业用户对数据中心的依赖都使得互联网数据中心（IDC， Internet Data Center）必须具备更大的容量、更高的能力，且同时具备多种业务模式和运营模式。在 IDC发展的同时，安全性和可靠性成为其不可轻视的两大要素。本文通过分析 IDC存在的安全隐患，并针对相关问题总结提取出对应的防护方案。

互联网数据中心；检测方法；防范措施

0 引言

互联网数据中心（IDC，Internet Data Center）在为互联网的业务，政府、企事业单位提供信息服务的同时，还可以进行主机租赁与托管、租用网络宽带、企业建站等可增值的服务。客户在租用IDC的服务器或带宽后，可利用IDC的技术来进行互联网平台的建设，并享用IDC提供的一系列服务。IDC不仅存储着大量的数据，而且还可进行数据备份和数据交换。IDC的安全关系着万千相关用户与企业的安全。

1 IDC设计原则

IDC的设计原则多是将IDC按照区域或层次进行划分，在获得良好的分区和层次后，令它们负责各自的安全和防御问题。

IDC的业务可划分为多个子系统，多个子系统之间可以进行数据共享和业务互访，但为保证其自身的安全，子系统也必须同时具备数据的访问控制和隔离能力。因此，对于IDC层次的划分，必须在考虑整个IDC系统安全的同时，也考虑到单个系统的安全问题，对单个系统的访问进行控制，并对不同的系统采取不同方式的安全防护手段，具体划分情况如图1所示。IDC划分层次与区域大多使用以下方式：基于内外部分进行分流。基于业务模块进行隔离。基于应用访问功能不同进行分层。

图1 IDC层次划分结构图

1.1 分层

IDC遵循内外部分流的原则，可分为4层：互联网接入层、汇聚层、业务接入层和运维管理层。

互联网接入层是IDC的网络核心层，其主要功能是对核心路由器进行配置，并对内网与外网的路由信息进行维护和转换，再将汇聚层的各个交换机连接起来。

汇聚层向上可与核心路由器进行互联，向下可汇聚业务与业务层进行业务接入，IDC一般会设置一些基于流量和安全的管理设备来对汇聚层进行保护和防御。

业务接入层主要功能是利用交换机对不同业务区内的服务器和网络设备进行接入。

运维层大多是独立存在的，与业务网络层成隔离状态。本层通过接入运维管理层，并对交换机进行汇聚来完成对各个子系统中的各种设备的管理和保护。

运营管理层支撑着整个IDC运行的稳定性和业务的运营，其主要功能是对网络运营，业务资源等进行管理。

1.2 分区

IDC在安全防御、管理业务等方面的需求是不同的，因此，按照不同的需求可对IDC划分为如下几个区域：互联网域、接入域、服务域、管理域、计算域等。各个域间通过设置防火墙来确保域之间处于隔离的状态，并对域间访问进行控制。

互联网域主要对用户的访问进行管理，有的高级用户可进行自助管理。接入域又称非军事化隔离区（DMZ），在用户接入IDC时为其提供统一的界面与接口。服务域具备多种网络服务能力，包括域名解析、身份认证与授权等。计算域，顾名思义，拥有计算能力，可根据不同的安全需求来重新划分安全的子域。管理域是对IDC安全、运营、业务等多方面进行管理。多个域的安全级别从高到低排序为：计算域、管理域、服务域、接入域、用户域。

1.3 分级

IDC的核心资源为服务器，因此按照服务器的功能进行层次的划分是行之有效的方案。这种划分方式，不仅解决了将所有功能保存于单一服务器时所引发的安全问题，还增加了服务器更多的扩展性和可用性。

按照服务器功能，可将IDC分为三级，分别是Web服务器、应用层、数据库。Web服务器主要为客户提供应用，例如Apache、Tomcat服务器等。应用层主要功能是将应用程序、数据库、服务器等部位结合起来，例如J2EE这个中间技术。数据库储存所有的原始数据，这些数据有的可以在程序间进行共享。

此类分区保证了域之间的良好隔离与安全性，若对每个域都实施安全防御策略，可最大限度的保证IDC的安全。

2 IDC安全分析

IDC业务正在迅猛增长，越来越多的用户与企业开始使用IDC来建立托管业务等，但IDC是一个复杂的数据中心，不仅数据敏感复杂，且具备连带效应。当IDC某个区域遭遇攻击时，整个IDC都有可能崩溃。因此，建设安全的 IDC 已经成为当务之急。

2.1 IDC存在的特性

IDC，又可看做是一个复杂的局域网。IDC不仅要确保与Internet进行隔离，而且还要满足不同层级的需求，因此，IDC本身就存在着如下的特点：（1）数据敏感：存在被攻击者截取或恶意篡改的风险。（2）用户身份问题：存在攻击者冒充正常用户对IDC进行恶意操作的风险。（3）IDC安全的“动态性”：随着系统和设备的不断更新，新的安全漏洞随之而来，以前的防护部署已经不能确保IDC的安全，需要不断的对IDC进行检查并更新防护系统。（4）系统的多样性：IDC系统中存在着大量的主机系统，这些系统大多来自IDC自身与客户，但主机系统存在着多样性，既有Windows，也有Linux，更有Unix。不同操作系统面临的安全问题不同。因此，IDC系统的多样性将导致IDC面临更多的威胁与攻击。（5）连带效应：在IDC中，若攻击者对一个层级或者主机发起攻击，便会影响到整个IDC的安全。

由上可见，对于IDC的安全防护仅靠在某个方面进行防御是远远不够的，按照层级的划分，对不同层级进行严格的安全检测与防御，才能最大限度的保证IDC的安全。

2.2 IDC常见的安全威胁

IDC最常见的安全威胁有三种，分别是：拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)、蠕虫病毒攻击、侵入攻击。

（1）拒绝服务攻击(DDoS/DoS)

在 IDC中，最常见的攻击方式便是分布式拒绝服务攻击(DDOS)。此类攻击使用大量傀儡机来恶意耗损网络资源，从而导致IDC拒绝服务。

在DDoS攻击中，所发起的攻击请求均是合法的，攻击者伪装成正常用户对目标主机发起攻击，有着良好的隐蔽性。当IDC的某个服务器收到DDoS攻击时，会导致自身无法提供服务，若出现更大规模的DDoS攻击，可能会导致IDC的访问连接数与流量超过IDC的当前阈值，造成IDC崩溃的现象。

（2）网络传播病毒攻击

网络病毒传播具有高速率、易隐蔽的特点。目前，病毒的制造技术已经越来越先进，在结合破解程序的基础上，又具备交叉感染能力，形成危害更大的病毒群体。在IDC的服务器群中，以Windows操作系统最为常见，而Window操作系统安全性较低。若IDC中某个服务器被传染了病毒，那么病毒便会以越来越高的速率向其他服务器进行传播，威胁着整个IDC服务器的安全。

（3）入侵破坏攻击

入侵攻击，大多是攻击者利用已知漏洞来对IDC进行非法访问和操作，导致敏感信息泄露或丢失等。若攻击者在获得控制权后，在IDC主机中植入木马程序，并利用该程序来攻击其他主机和服务器，那么整个IDC便会不堪一击。

3 IDC安全防御检测技术

IDC的安全防御可从系统和应用两方面来考虑。IDC系统平台安全的需求为：操作系统安全、数据库安全、若发现漏洞能够及时修补，同时能够有效的对病毒进行防范等。IDC应用平台的安全需求为：提供身份认证、数据完整且保密，不同用户间进行有效隔离等。

因此，针对以上存在的各种安全隐患和安全需求，专家们提出了不同的防御检测措施，主要有专用 VLAN（private VLAN，简称pVLAN）、虚拟专用网、防火墙、入侵检测（Intrusion Detection System，简称IDS）、漏洞扫描等多种方案。本章针对以上多个技术进行总结，分析出其优劣性，并提出建议。

3.1 专用 VLAN

IDC在为每个托管用户提供服务的同时，也要保证不同用户的服务器之间的安全性，而IDC保证服务器安全性的方法就是为每个客户分配一个单独的VLAN和IP子网。在分配了VLAN之后，用户的服务器将会在第2层被隔离开来，以此来防止攻击者的恶意操作或对敏感信息的截取等。

但，上述的这种方式耗资巨大，有着一定的局限性，具体如下所示：

VLAN的限制性：在LAN交换机中，VLAN的数目是固定的。当存在托管用户较多时，VLAN便无法发挥作用。

树协议的复杂性：在每个被分配的VLAN中，需要对任何相关的生成树进行管理，过程复杂。

IP地址的浪费：为每个托管用户分配一个子IP会造成不必要的浪费。

路由限制：若在分配过程中使用了热备份路由器协议（HSRP，Hot Standby Router Protocol），那么每个子网都需要IDC为其配置相应的网关。

在IDC中，流量多是在服务器和客户之间进行流通，服务器与服务器之间的流量几乎为零。因此，为改进上述的缺点，IDC采用了专用VLAN的方式。专用的VLAN在不需要为每个服务器分配单独的VLAN和IP子网的情况下就可以实现安全连接。将所有的服务器都接入专用的VLAN，那么服务器便会和其缺省网关之间实现互连，而同一个VLAN间的服务器间没有任何关联。专用VLAN，在有效的改进了上述局限问题后，很好的将用户服务器隔离开来，保证了每个用户服务器的安全。

3.2 虚拟专用网

目前存在的VPN主要有两种：防火墙到防火墙的VPN和移动用户到VPN防火墙/网关设备的VPN。VPN借助公用互联网建立起一个专用网络，进行加密通讯。通过VPN，不仅可实现企业分支机构的信息互通，还可使 IP地址不固定的企业员工实现对企业内部资源的访问。但随着IDC业务的增长，如何在有限的带宽实现VPN，并保证服务质量（QoS）是需要考虑的问题。目前主流的技术是将网络控制和应用控制结合起来，即将 VPN与身份认证、访问管理等技术结合起来，最大限度的保证用户的访问控制以及服务器间的安全隔离。

3.3 防火墙

防火墙（Firewall）通过对内部网络与外部网络间的通信活动进行有效的监视，来防止恶意用户对内部网络进行访问，以此来确保内部网络的安全运行。防火墙通常是网络安全的第一道防线，不仅可以实现对访问主机的控制，还可过滤掉未授权的协议或用户，在监视内外网络通信活动的同时，记录相关的网络日志，有效的保证IDC的安全运行。

目前，基于状态的包检测技术和虚拟防火墙是防火墙发展的目标。基于状态的包检测技术重点在于 ACL技术，通过对包进行动态检测来决定其能否通过防火墙。虚拟防火墙是将物理防火墙划分成多个，且相互独立，并根据不同的需求设置不同的访问控制措施。

防火墙虽然可以有效的监控内外网络的通信活动，但仍然存在着漏洞。若攻击本身来自于网络内部，或某些攻击可以绕过防火墙的检测，对于上述攻击，防火墙不能进行有效的检测。因此，对于IDC的整体安全问题，应考虑从各个层次分别进行保护。

3.4 入侵检测系统

入侵检测系统（Intrusion Detection System，简称为IDS）通过监视和分析用户与主机的行为，来检测网络中是否存在攻击数据和行为。IDS可对系统的配置进行检测，并查找漏洞，并针对漏洞自行收集相关补丁。使用IDS可以实时有效的监视、检测系统与用户，实现对IDC的有效保护。

按照原始数据的来源，可以将IDS分为三类：

网络型IDS（NIDS）：NIDS利用适配器来实时监视并分析网络中的所有通信业务，通过监听网络上的所有分组来进行数据采集，并分析可疑的现象。NIDS具有良好的隐蔽性，监听视野较为宽广，监听速度较快，且占用资源较少。

主机型IDS（HIDS）：HIDS主要是通过分析主机的日志文件来分析异常。主机记录的日志同时记录了正常用户和攻击者的访问记录，通过对日志文件进行分析，发现异常行为，并针对异常行为立即启动相应的处理方案。HIDS与网络流量没有直接关系，监视视野相对集中，且可由用户来自定义，构造出更加严密的检测方案。

混合分布型IDS：混合分布型IDS既可以通过监听网络，也可以通过主机日志等来收集数据，利用这些数据，分析出用户的异常行为。

IDS在IDC中可进行入侵行为检测、入侵追踪定位、网络访问控制、网络病毒监控（特别是蠕虫病毒）、拒绝服务攻击发现和追踪、网络行为审计、主机行为审计、网络状态分析等操作。IDS是IDC的第二道安全防线，将IDS部署在不同的分层上，以此来及时的发现攻击行为，并与防火墙、安全网关设备等结合起来，形成从链路层到应用层的全面防护，动态有效的对IDC进行安全防护。

3.5 漏洞扫描

漏洞扫描（Vulnerability Scanning）技术通过与目标主机建立安全连接，并在安全连接之后对主机进行扫描，以此来发现目标主机中可能存在的安全隐患。IDC的运维工程师利用VS技术对IDC中的各个部分，例如主机的操作系统、防火墙等进行扫描，发现其中存在的安全漏洞，并对漏洞进行及时的修补。

漏洞扫描重要的地方便是要在攻击者发现漏洞之前发现漏洞，并及时的采取修补措施，这一点，也正是漏洞扫描技术的缺点所在，且该技术不能对不同网段的主机进行扫描，仅能发现已经被公开的漏洞，对隐形的漏洞缺乏预知能力。因此，仅使用漏洞扫描技术并不能有效的保护IDC的安全。

3.6 流量清洗

流量清洗措施目的是为了防止攻击者对 IDC发起 DDoS攻击。在IDC出口和入口处分别设置流量清洗方案，对进出的流量进行监测，当发现异常流量时，立即开启防御措施，并将异常流量送到清洗设备进行清洗，正常的流量将正常的进行业务处理。

3.7 安全加密技术

数据加密技术是通过某种算法对 IDC中的敏感文件或数据进行处理，使文件变成不可读状态，只有通过解密才能显示出来。通过这种方式来保护IDC中的数据安全相对来说是可靠的，加密后的数据就算被攻击者窃取，也能一定程度的保护数据的安全。

目前，常用的数据加密技术有数据加密传送、数字签证、密钥检测等，将这些技术结合起来，能够实现对IDC数据的有效保护。

3.8 安装必要的安全软件

如今，互联网普及率已经越来越高，因此，病毒在互联网中的传播速度已经越来越快。为防止病毒的传播，IDC应为主机安装相应的防病毒软件、僵尸木马检测软件等，定期对主机系统进行扫描和检查，发现漏洞，并及时处理。安装安全软件，虽然不能从根本上解决IDC的安全问题，但是却能有效的预防病毒漏洞的传播，是一个行之有效的解决方案。

3.9 安全管理

最后，在为IDC部署检测方案的基础上，应考虑对系统进行建立多层次的管理，确保安全策略、部件能够集中部署和管理，从安全管理方面有效的提高IDC的整体防御能力。

在硬件方面，应对网络设备进行定期检查，定期扫描等，一旦发现安全威胁，就及时采取处理措施。在安全事件与信息管理方面，应对主机安全日志以及网络设备等的安全事件与信息进行管理。主机日志又分为操作日志、运行日志、故障日志等，对不同日志进行管理，以此来获取设备、主机、系统等运行报告。在访问权限方面，应对不同等级用户设置不同的权限，比如普通用户只能查看，而管理员可以登录，高级管理员可以登录后台等。在故障管理方面，应对多类高危操作进行预防，针对不同的高危类别设置不同的响应。如，轻度高危操作发起警告，还有故障处理，应急处理，部件更换等，努力将IDC的安全风险降到最低。

4 总结

在真实的IDC安全防御中，上述任何一种方案单独实施起来都不可能会有效的对IDC进行安全防护。因此，在IDC的动态环境中，只有将上述所有的安全技术都结合起来，才能最大限度的发挥各种安全技术的优势，另，因DDoS攻击目前还没有精确的检测和防御方案，因此，可在IDC的入口处设立抗DDoS产品，形成一个立体的安全防护与检测体系，有效的保护IDC的安全。

[1]张高山，曹一生，袁捷等.IDC运维管理中的安全解决方案[J].电信工程技术与标准化，2010.

[2]汪芳，陈清金，房秉毅.互联网数据中心安全管理[J].中兴通讯技术，2012.

[3]高鑫.互联网数据中心安全解决方案[J].通讯世界，2014.

[4]黄东.信息安全风险评估常见的问题及对策 ——广州电信IDC信息安全管理体系持续改进咨询辅导经验谈[J].数字通信世界，2016.

[5]黄永军.IDC/ISP信息安全管理系统及其信息管理方法.CN105490831A[P]，2016.