IDC业务安全相关技术与方法

chenweiguo-1250

摘要　在全球化经济时代，IDC与企业的发展密切相关，IDC的安全也是当前网络安全研究的热点之一。本文重点就IDC业务安全的技术和方法进行了说明，同时对我国IDC业务安全的现状及问题进行了分析，并提出了一些建议。
0、IDC概述
目前对IDC（互联网数据中心Internet Data Center）还没有一个权威的定义，但它比传统的数据中心有着更深层次的内涵，它是伴随着互联网不断发展的需求而发展起来的对为ICP、企业、媒体和各类网站提供大规模、高质量、安全可靠的专业化服务器托管、空间租用、网络批发带宽以及ASP、EC等业务。数据中心在大型主机时代就已出现，那时是为了通过托管、外包或集中方式向企业提供大型主机的管理维护，以达到专业化管理和降低运行成本的目的。
IDC是对入驻（Hosting）企业、商户或网站服务器群托管的场所；是各种模式电子商务赖以安全运作的基础设施，也是支持企业及其商业联盟其分销商、供应商、客户等实施价值链管理的平台。
IDC有两个非常重要的显著特征：即在网络中的位置和网络带宽总容量，它构成了网络基础资源的一部分，像骨干网、接入网一样，提供了一种高端的数据传输（Data Delivery）的服务，提供高速接入的服务。
IDC服务商所应具备的必要条件，可以从硬件和软件两个方面加以考察：IDC的硬件方面主要是指IDC的核心——机房建设，包括：机房面积、机柜、服务器、局域网、电力供应与保障、机房环境、骨干网接口、附属建筑等；软件方面主要是指围绕IDC的运营而提供的各种服务与保障制度。包括：机房管理制度、安全保障制度、用户服务协议（SLA协议）、技术支持与维护、客户服务通道等。
中国目前经营IDC业务的企业类型：第一类是电信运营商，如中国电信以及网通，它们在运营数据中心的同时，也是很多二级ISP商的带宽提供者；第二类是一些具备较强实力和超前市场意识的传统ISP公司，如世纪互联、首都在线，这些企业拥有多年积累的品牌资源，并且重视市场宣传；第三类是一些传统IT企业投资兴建数据中心，如清华万博等。
国外IDC更突出的特色在于应用层次的服务，不仅仅是资源外包，而且包含了应用、开发的外包式服务，以满足企业个性化的电子商务业务要求。从国内目前的情况看，IDC与应用层次仍存在着一定距离。基础电信运营商凭借庞大的骨干网和用户资源，以及在通信运营全程全网的综合优势，迅速占据了IDC市场的绝大部分份额。电信运营商和专业IDC分别以规模和服务为导向。随着带宽的增加，电信资源与硬件条件等环境制约因素将日趋淡化，IDC运营商之间的兼并与融合将在所难免。IDC的存在和发展对于电信运营商的互联网增值业务有着一定的相关性，有一定的附加价值。以规模为导向还是以服务为导向取决于IDC的定位和其掌握的资源。
1、IDC业务安全相关技术
目前IDC业务安全技术主要包括：
安全扫描和评估：包括系统漏洞和病毒的检测，将网络和系统中存在的安全隐患尽早发现，并且及时弥补。
网络入侵检测、响应和处理：系统运行过程中，对黑客入侵加以实时防范和响应。
网络防火墙：对通过的数据流依据安全策略和规则的定义，进行过滤和筛选。
病毒防火墙：检查和清除通过数据包中的病毒，在网关层次就将病毒排斥在外。
蜜罐和陷阱：在网络中用很少的资源模拟一个虚拟的网络环境。如果发现黑客或者其他入侵者，可以将他的数据流导入到蜜罐中，并且可以进一步做出其他响应。
2、IDC业务安全相关方法
IDC网络作为企业和社会信息化的基础，承载着众多重要的应用系统和数据资源，因此除了必须要及时采用最新的安全技术之外，还必须要实施全面、有效、合理的整体安全技术策略与管理方法，要在“面向业务，全面安全”思想指导下，坚持安全第一、持续发展、可管理、可追踪的原则，为企业和社会提供优质的服务。
2.1　制定整体安全技术策略
从整体安全技术策略角度来看，可采用以下方法。
——构建全网统一的管理员身份鉴别/授权/审计系统
管理员的授权控制是整个网络安全的重要环节。在这个环节中，不仅采用简单的口令保护措施，还尽量不用明文传输，要在同一CA认证系统管理下，通过全网统一的认证系统进行集中密钥管理，有效消除口令泄密的危险，同时可以通过收回或撤消密钥的办法明确收回离职管理员的权限。
——构建全网统一配置和管理的防病毒系统
为了能够高效率防御病毒威胁，针对企业网辖区范围广，所用计算机软件及操作系统种类多、网络结构复杂的特点，在部署防病毒系统时，应坚持“统一管理，分级维护；集中监控，多重防护”的总体要求，遵循全方位多层次的整体防护、制度管理与技术防护相结合、先进性和可扩展性相结合、易于管理操作和维护、安全与性能负载均衡综合考虑的基本原则，采用具有我国公安部颁发的销售许可证的成熟产品。构建一个强壮、有效的防病毒体系。
——实施全网统一的灾难恢复策略
随着企业的发展，计算机系统中保存的关键数据的量愈来愈大，许多数据要保存数十年以上，甚至是永久性保存。关键业务数据成了企业生存的命脉和宝贵的资源，数据安全性问题愈来愈突出。如何减小由于不可抗拒的自然灾害和计算机软硬件故障以及人为因素灾难所造成的损失，成为企业所关注的重点。为解决客户关键数据的安全性和应用不间断性的问题，IDC必须对企业系统和数据采取全面、可靠、安全和多层次的备份和容灾策略，为客户提供安全可靠的服务。
2.2　完善整体安全管理方法
从整体管理方法上来看，可以从以下几个方面入手。
——从管理体制上保证网络安全策略切实可行
健全的管理体制是维护网络正常安全运行的关键。很多系统因为没有健全的安全管理体制常常出现由于管理的疏忽而导致严重的问题。所以后面的问题应该成为安全管理首要解决的问题：在组织机构上对安全管理有一个保证；明确制定安全管理小组的成员在管理上的权利和义务；明确指定什么人可以管理什么网络设备（防火墙、路由器、交换机等等），作到专门的产品维护由专人负责；组成一个快捷有效的应急响应小组，响应小组可以有选择的邀请国内、外一些网络安全专家担任特聘顾问，以便在发生攻击事件时在最短时间内提供最有利的支持。
——从管理手段上保证网络安全策略切实可行

chenweiguo-1250

（3）目前的内容管理方式
目前的内容管理方式主要有以下四种：
网站注册管理：目前ICP注册主要是申请经营许可证；非经营网站则是通过在通信管理局注册备案信息。通过调查发现2000年以前由于互联网发展迅速及相关管理办法出台的滞后，很多现在经营的ICP网站实际上并没有ICP许可证或备案信息。
网站经营者管理：目前对网站经营者的管理基本是对其申请许可证及备案过程的管理，对企业本身的资质缺乏必要的信息。由于很多非法网站的经营不正规，网站规模也不大，这就使对其的监管产生了困难。
网站内容管理：目前缺少这类监管机制，基本上是各运营商出于各自经营的出发点对其进行规定，实施的力度有强有弱，效果有好有坏。
网站内容审查：目前主要的审查机制有三种：（1）机器过滤。这种方式实现成本过高，且并不可靠，目前机器只能过滤文本信息，而对图像、视频等信息无能为力；（2）人工检查。通过专人作为普通用户访问获得直接信息；（3）社会反馈。通过举报等方式实现内容检查。
4、建议
对于IDC安全问题，笔者有如下建议：
（1）加强网络安全技术与管理方法的跟踪研究
完整的IDC安全应覆盖物理安全、网络安全和业务安全三个方面。这几个方面的先进技术与方法不断涌现。例如，物理安全方面的物理监控与检测、生物识别、认证令牌和卡、报警装置、物理锁等；网络安全方面的防火墙/VPN、入侵检测与漏洞评估、安全内容管理、安全3A（授权/认证/管理）、加密机及加密软件等；业务安全方面的高可获得性与容错计算、性能监视、RAID/SAN/NAS、负载均衡、备份与灾难恢复等。
（2）坚持“以监管促发展”的总体原则
由于信息及互联网服务目前仍处于快速发展期，在国内，网络信息服务的蓬勃发展对整个国民经济的发展起到了带动作用，这一点是网络信息服务的积极作用。但是任何事物都有其两面性，互联网的开放性为其快速普及奠定了基础，但也使非法内容的传播更容易而对其的监管也更困难，这一点是和广播电影电视等内容服务体系相区别的，互联网内容有双向互动、实时更新等特点，不能简单套用传统媒体的监管方式。
因此，一个总的原则是“以监管促发展”，监管并不是最终目的而是要通过监管促进网络信息服务的健康发展。
（3）规范IDC经营者的责任
对IDC服务，包括网络接入、主机托管及虚拟主机服务（其中虚拟主机应包括共享租用和独享租用两种）实施有效管理，经营性ICP在申请上述IDC服务前须提供有效的ICP经营许可证；非经营性网站在申请上述IDC服务前须向IDC运营商出示在通信管理局注册备案信息的相关证明材料：IDC运营商有职责及时更新上述备案及许可证信息。
除了IDC的运营商之外，政府监管部门也有义务对IDC信息安全进行必要的管理，对违反IDC信息安全管理的ICP、SP的处罚应由通信管理局及IDC运营商配合完成，处罚内容也应不抵触公安部的相关规定。
另外，由于互联网的开放性，网络信息服务内容相比传统媒体更新迅速且具备双向、互动的特点，因此，从绝对来看监管很难起到类似传统媒体监管那样的效果，因此从处罚力度上就应该加强。

wave1

Thank you very much,that's good.