电信运营商idc安全建设方案.pdf

电信运营商 IDC 安全建设方案 　一、概述 　　IDC 即是 Internet Data Center，是基于 INTERNET 网络，为集中式收集、存储、处理和 发送数据的设备提供运行维护的设施以及相关的服务体系。IDC 提供的主要业务包括主机托 管(机位、机架、VIP 机房出租)、资源出租(如虚拟主机业务、数据存储服务)、系统维护(系 统配置、数据备份、故障排除服务)、管理服务(如带宽管理、流量分析、负载均衡、入侵检 测、系统漏洞诊断)，以及其他支撑、运行服务等。 　　随着中国互联网以超常的速度向前发展，企业用户对『Dc 的需求也日益增长，而随着 电信运营商业务转型,各种数据业务也层出不穷,比如中国电信开展的互联星空计划的实施、 中国移动的ADC 业务系统等也受到越来越多的用户认可，作为其主要业务平台 IDC 也受到越 来越多的关注，而安全性则是焦点之一。 　　本文主要是通过对 IDC 网络系统和业务系统现状的介绍，分析其安全状况，然后对当前 IDc 存在的安全风险讲行整理和分析，再提出针对 IDC 的网络安全解决方案。 　　二、IDC 安全现状 　　2.1 网络和业务现状 　　典型的 IDC 通常由网络骨干层、汇聚层和接入层 3 个层面构成，骨干层通过高性能路由 器连接两个或者以上的运营商互联网骨干网，提供 INTERNET 接入，并实现链路备份，核心 路由器以下则为两台核心交换机作为网络的汇聚层，在汇聚层以下由 L2 ／L3 交换机构成接 入层，接入各种托管服务。 　　IDC 中主要的业务是主机托管业务，现阶段，IDC 中托管的主机系统主要分为两类: 　　自有数据增值业务，如互联星空、ADC 等运营商自己运营的增值业务，这一类业务服务 器是属于运营商有的业务系统，由运营商自行进行日常维护。 　　托管服务器，如网游的服务器系统、网站系统等，这个部分是 IDC 机房收入的主要来源。 在这类托管服务器中，一般有中小型客户和大客户之分，中小客户主要是一般的企业单位租 用共享带宽资源，其维护力量较弱，大客户主要是大型的门户网站、专业的网游服务器等， 这类用户往往是租用多个机柜部署自己的一整套系统，通常情况下都有自己的一组维护人员 进行系统的日常管理和运维。 　　2.2 IDC 面临的主要安全风险 　　分布式拒绝服务攻击 (DDOS)、蠕虫病毒等大规模的流量型攻击，不仅对 IDC 中直接受攻 击的客户服务器带来影响，同时占用大量 IDC 的带宽资源，另外突发大数据流会造成路由交 换等网络设备负荷过载,从而导致网络服务质量下降，甚至会出现路由器板卡转发异常以及 网络中继拥塞等现象。 针对 IDC 的攻击可以导致企业客户网络的瘫痪，业务中断，这些攻击通常利用设备系统本身 的安全漏洞，而且托管设备安全配置的不完善也可以给攻击者可乘之机。针对这些问题的攻 击一旦成功，后果不堪设想．将会直接导致客户满意度降低，甚至客户流失。 　　lDc 机房中托管了很多客户的业务主机，当部分业务主机成为被攻击目标时，往往会影 响其他主机的正常业务提供，这主要是由于缺乏有效的安全隔离、安全控制的技术和策略。 　　托管主机的安全代维服务需求，电子商务网站、政府、企业等大量的中小客户经常遭受 网络攻击，服务质量下降．而由于其自身缺乏安全运维人员，迫切需要运营商提供安全服务， 为客户的业务系统提供安全保障。 　　三、IDC 安全解决方案 　　3.1 方案总体思路 　　IDC 同行业之间的竞争越来越激烈．IDC 通常采用扩充出口带宽、提升网络核心设备处 理能力等来开拓新的客户和留住已有客户，而建设、完善有效的安全管控体系,为 IDC 客户 提供一个安全稳定的运行环境也成为 IDC 客户，特别是大客户在选择 IDC 时非常看重的一个 硬性指标；同时，通过安全体系的建立能有效的降低由安全引起的运维成本。 　　建立一个有效的信息安全体系最有效的方式是采用系统化的方法，首先确定信息安全管 理策略和范围，然后在风险评估的基础上选择适宜的控制目标和控制方式对风险进行处理， 最后制定业务持续性计划，建立并实施信息安全体系。 　　根据上述章节对 IDC 安全风险的分析，现阶段 IDC 的安全体系中需要解决的是构建一套 有效的安全防护体系.因此，本方案主要是基于技术措施来构建 IDc 的技术体系，而对于组 织管理体系和运维体系的建设不在本文中展开描述。 　　3.2 基于安全域的防护策略 　　安全域是由一组具有相同安全保护需求、并相互信任的系统组成的逻辑区域,在同一安 全域中的系统共享相同的安全策略，通过安全域的划分把一个大规模复杂系统的安全问题， 化解为更小区域的安全保