互聯(lián)網(wǎng)突出的特點(diǎn)是開放性和透明度,打破了時空界限��,不受時區(qū)界限和地理位置的影響,但從國家安全和商業(yè)運(yùn)營的角度看��,安全成為十分重要的問題�����。隨著互聯(lián)網(wǎng)的飛速發(fā)展�����,不斷發(fā)生網(wǎng)絡(luò)被非法入侵��,重要數(shù)據(jù)被竊取���,甚至造成網(wǎng)絡(luò)癱瘓等,給國家和企業(yè)造成了巨大損失���,安全問題更加突現(xiàn)出來��,成為刻不容緩急待解決的問題���。
對于IDC來講,安全是首要的基本要求��,提供安全服務(wù)已成為IDC的重中之重。
一���、互聯(lián)通IDC機(jī)房安全建設(shè)
1.1 互聯(lián)通機(jī)房建設(shè)
機(jī)房承重符合電信機(jī)房承重設(shè)計要求��,整體抗地震級別達(dá)8級����,可供用戶放置一些特型設(shè)備����;
機(jī)房具有標(biāo)準(zhǔn)電信級機(jī)房和機(jī)架;
機(jī)房提供用戶公共操作間及工作區(qū)�����,供用戶調(diào)試及維護(hù)設(shè)備���,以盡量減少用戶進(jìn)入托管區(qū)���;
機(jī)房內(nèi)每天有專人負(fù)責(zé)機(jī)房的衛(wèi)生,防止灰塵對用戶服務(wù)器帶來的影響�����。
1.2互聯(lián)通電力安全
數(shù)據(jù)中心設(shè)有專用的變電站,電源分兩路從發(fā)電廠輸送到變電站���;
為保障分配給用戶的電力不間斷的供應(yīng)��,數(shù)據(jù)中心電力機(jī)房安裝了智能UPS系統(tǒng)及容量充足的電池�����,可以保證持續(xù)供電��;
數(shù)據(jù)中心配備柴油發(fā)電機(jī)組���,可為用戶提供99.99%的電力供應(yīng)保障�。
1.3 互聯(lián)通消防安全
數(shù)據(jù)中心機(jī)房采用防火構(gòu)架及材料,消防能力符合電信級標(biāo)準(zhǔn)��,備有多個緊急通道����;
機(jī)房及樓道內(nèi)安裝溫度煙霧感應(yīng)消防系統(tǒng),防火報警探測頭��,遇火情時系統(tǒng)自動報警�,并啟動惰性氣體滅火系統(tǒng)滅火���;
機(jī)房內(nèi)還可另外配備手提式、推車式滅火器����。
1.4 互聯(lián)通安全監(jiān)控
數(shù)據(jù)中心大樓有7×24小時的專業(yè)保安人員,用戶進(jìn)入大樓時���,需登記或持有通行卡方可入內(nèi)�;
為保證用戶的托管設(shè)備安全����,數(shù)據(jù)中心具有電視監(jiān)控及出入機(jī)房控制系統(tǒng),達(dá)到整個樓層沒有監(jiān)視盲區(qū)��;
電視墻監(jiān)控系統(tǒng)有專人7×24小時值守���,所有錄像保存3個月以上�����;
出入機(jī)房門禁系統(tǒng)采用先進(jìn)的數(shù)據(jù)庫管理��,用戶身份卡內(nèi)保存有持卡人編號����,進(jìn)出區(qū)域限制,時間限制等����,只有經(jīng)過特殊授權(quán)的人員才能進(jìn)入重要區(qū)域。
二��、 互聯(lián)通IDC網(wǎng)絡(luò)安全建設(shè)
2.1 IDC面臨的安全威脅
互聯(lián)通提供的安全服務(wù)是把整個IDC作為一個整體來考慮���。我們可以把整個IDC 的網(wǎng)絡(luò)結(jié)構(gòu)看作是一個企業(yè)的內(nèi)部網(wǎng)�,則所有IDC網(wǎng)絡(luò)中的資源是我們需要保護(hù)的部分��,其中既包括IDC 自身的資源:DNS Server���、Mail Server����、防火墻和路由器等等���,又包括客戶托管的主機(jī)等資源。無論是哪一部分都需要我們保障其正常的運(yùn)作��。IDC 的特點(diǎn)就是能為客戶提供安全、可靠和高質(zhì)量的服務(wù)��。作為一個IDC��,僅有光纖線路���、高速的出口帶寬是不夠的���,它必須能為客戶提供7*24*365 的不間斷服務(wù)和最有效的安全,這就對一個IDC的安全提出了新的要求���。
IDC作為為用戶提供增值服務(wù)的機(jī)構(gòu)���,必然面臨著來自整個Internet的安全威脅。雖然我們可以在Internet的出口處配置防火墻�,但防火墻本身在安全防護(hù)方面存在一定的缺陷,即它只能提供靜態(tài)的��、被動的保護(hù)���,而對動態(tài)的威脅無能為力��。 適當(dāng)配置的防火墻雖然可以將非預(yù)期的信息屏蔽在外 �����,但我們要接受來自Internet的訪問�����、要收發(fā)E-mail����、要對外提供WWW 服務(wù),就必須在防火墻上打開一些固定的端口���,這樣入侵者還是可以利用這些打開的端口滲透到我們的內(nèi)部網(wǎng)絡(luò)�����,對我們的網(wǎng)絡(luò)資源進(jìn)行破壞����,所以我們還是面臨著來自外部世界的安全威脅��。
IDC 為客戶提供主機(jī)托管��、整機(jī)租用���、虛擬主機(jī)等多種類型的服務(wù)���,而在提供這些服務(wù)的同時也必須為客戶留出維護(hù)通道。這里就存在著來自客戶端的安全隱患�。業(yè)務(wù)的多樣性使得安全變得更加復(fù)雜,一旦有配置不當(dāng)?shù)默F(xiàn)象出現(xiàn)���,惡意客戶往往可以利用這些漏洞和安全弱點(diǎn)對其他客戶發(fā)起攻擊��,篡改他人的主頁或者使之不能正常提供服務(wù)���,從而給被攻擊的客戶造成重大損失,同時也嚴(yán)重影響IDC 的形象及聲譽(yù)��。因此�����,我們應(yīng)當(dāng)充分考慮IDC 的整體安全�。
2.2 互聯(lián)通提供的安全方案
(1)低級別安全方案
基本網(wǎng)絡(luò)訪問保護(hù)基本的商用操作系統(tǒng)和數(shù)據(jù)庫��,處于同等安全級別的多個客戶的服務(wù)器系統(tǒng)共用一個防火墻;
服務(wù)商通過調(diào)整服務(wù)器配置和防火墻訪問策略給服務(wù)器提供基本保護(hù)�����。
���。2)中級別安全方案
客戶獨(dú)占的防攻擊保護(hù)�����;
客戶系統(tǒng)專用的防火墻��;
提供必要的防病毒措施���;
定期的安全掃描;
服務(wù)器和所在子網(wǎng)的入侵檢測或入侵防御��;
通過Internet的VPN�;
通過運(yùn)營商骨干節(jié)點(diǎn)的MPLS VPN.
(3)高級別安全方案
昂貴的權(quán)限分離的防攻擊方案�;
客戶系統(tǒng)專用的防火墻;
提供必要的防病毒措施����;
基于令牌的管理員身份鑒別系統(tǒng)��;
增強(qiáng)的強(qiáng)制訪問控制;
定期的安全掃描�����;
服務(wù)器和所在子網(wǎng)的入侵檢測����;
數(shù)據(jù)異地備份和災(zāi)難恢復(fù)策略;
通過Internet的VPN����;
通過運(yùn)營商骨干節(jié)點(diǎn)的MPLS VPN. |
