电信互联网数据中心（IDC）安全防护探析.pdfVIP

I1工程技术一电力科技 电信互联网数据中心 (IDC)安全防护探析 吴苏苏 湖北电信武汉分公司 武汉 430071 要：随着互联 网业务的迅速发展，作为运 营商直接面向企业客户 IDC业务的重要性 日趋显著，保证 ernetDataCenter)的信息安全、为客户提供更好的差异化服务 ，成为 IDC业务发展的关键。本文从安全防 护角度出发，总结了IDC面临的主要安全威胁，并提出对应的防护措施。 关键词：IDC 安全防护 入侵防御 ■————●I IDC(IntemetDataCenter)又称互联网数据 中心，即电信 务。该类攻击往往与特定的应用无关，针对的是网络中的漏 运营商基于互联网为客户提供的各类增值服务。一般来说， 洞，并且该类攻击损害的是 IDC客户的服务需要，因此是 主要分为3类：(1)主机托管类服务，包括机位、机架、VIP IDC安全防护的重点和关键。 机房出租；(2)资源租赁类，如虚拟主机服务、网络带宽批发等； 2．业务层的安全威胁 (3)系统维护类服务，比如数据备份、故障诊断、流量分析、 业务层是 IDC的关键核心要素，业务层的安全威胁主 入侵检测等。 要是针对后台业务运行的服务器以及服务器上承载的特定应 用。其中针对服务器上承载的应用的攻击又可 以分为两类： 一 、 IDC面临的安全挑战 一 类是针对服务器本身的安全漏洞，攻击者会搜集各类应用 随着 IDC业务的逐步发展，高密度计算、大容量存储 软件如邮件、web的版本信息和漏洞情况，在用户未及时升 以及高速率通信已经成为数据中心的典型特征，虚拟化技术、 级漏洞补丁或采取针对性保护之前抢先利用该漏洞。其常用 绿色环保及时也开始在数据中心得到应用。IDC作为运营商 的攻击漏洞主要为：缓冲区溢出、后 门程序、蠕虫病毒等。 数据业务的聚合平台，在整个数据业务中的地位逐步提升。 第二类攻击不是针对服务器本身的安全漏洞，而是主要利用 IDC业务的快速发展变化带来了信息安全防护策略的快速调 服务器应用中的弱点。和拒绝服务式攻击类似，多数复杂的 整，作为 IDC的信息安全方案，必须实现简单快速的部署， 非漏洞应用攻击会不断重复的发送合法的应用请求，严重消 以适应信息安全防护的要求。而从 IDC的典型结构来看，其 耗服务器的CPU和内存资源，导致应用处于完全的或部分 面临的安全威胁主要有以下3个方面：网络层、业务层和网 的瘫痪状态。业务层的安全风险主要针对的是 IDC托管运行 络基础管理。 的特定应用，和IDC服务的用户密切相关，需要进行有针对 1．网络层安全威胁 性的重点防护。随着虚拟化技术在 IDC中的普遍应用，针对 IDC的网络层主要包括交换设备、路由设备等基本的数 业务层的攻击不仅仅会 占用客户租用的带宽和空间资源，也 据通信设施，它是整个 IDC业务运行的基础。网络层的安全 会威胁到运营商 自身的增值业务系统。 风险主要是来 自针对网络基础结构的攻击行为。其中拒绝服 3．网络基础管理不善造成的安全威胁 务攻击 (DoS)和分布式拒绝服务攻击 (DDoS)是最典型最 该类威胁主要来 自IDC内部，因安全管理措施不到位 常见的攻击方式。攻击者一般通过木马、蠕虫等恶意程序控 造成IDC内部出现安全漏洞。针对此类安全威胁，不仅需要 制众多 “僵尸”主机，然后利用 “僵尸”主机在短时间内发 制定严格的安全运营管理体系，也需要更加细致的运用网络 送大量的服务请求，侵占网络资源，使 IDC无法正常提供服 与安全相融合的技术。 128 SCIENCE TECHNOLOGYFORDEVELOPMENT