运营商IDC安全设计.docx

运营商 IDC 的安全设计 ( 2011/6/10 16:51 ) 在建设新一代高性能、高安全 IDC 的过程中, 运营商除了面对路由、交换设备向更大容量, 更高可靠性的 IDC 专用设备升级的需求, 还要面对在 IDC 规模超大化以后, 多种业务类型,多种运营模式( IDC\ ADC \EDC\GDC 代维)同时存在所带来的安全挑战。一、运营商 IDC 面临的安全威胁在过去的十年间, 伴随着互联网业务和用户数的高速成长, 传统固网运营商在互联网数据中心( IDC ) 的业务发展、建设规划、运营维护上已经形成了一个比较稳定, 成熟的体系。但随着全业务运营和移动互联网的出现,运营商将 IDC 在其运营体系中的价值摆在了更高的位置。 IDC 作为运营商数据业务的聚合承载平台,越来越具有牵一发而动全身的效果。纵观近年来几次社会影响较大的电信服务中断事件, 大都与运营商 IDC 无法正常运营相关, 而其中最直接的原因即是 IDC 受到来自网络的各类安全攻击所致。构建一个网络与安全相融合的基础平台,是运营商 IDC 建设的必由之路。从技术体系来看, 传统固网运营商将用于业务承载网的路由、交换技术架构很好的沿用到以带宽、机架出租为主业的传统 IDC 网络结构中,并使之稳定,成熟的运营。在建设新一代高性能,高安全 IDC 的过程中,运营商除了面对路由、交换设备向更大容量,更高可靠性的 IDC 专用设备升级的需求, 还要面对在 IDC 规模超大化以后, 多种业务类型、多种运营模式( IDC\ADC\EDC\GDC 代维)同时存在带来的安全挑战。运营商 IDC 面临的三大类安全攻击类型: ?面向应用层的攻击。常见的应用攻击包括恶意蠕虫、病毒、缓冲溢出代码、***木马等,应用攻击利用软件系统在设计上的缺陷,基于现有的业务端口进行传播。在传统运营商 IDC 以资源出租的业务模式中,此类攻击没有直接影响 IDC 的运营, 其表现在 IDC 内部客户受攻击后, 可能会导致其租用的带宽资源被攻击占用。在新一代 IDC 中,运营商自身增值业务系统会受到该类攻击威胁。?面向网络层的攻击。最典型就是拒绝服务攻击( DoS )和分布式拒绝服务攻击( DDoS ),常见的 DDOS 攻击方法有 SYN Flood 、 Established Connection Flood 和 Connection Per Second Flood 。攻击者通过恶意抢占网络资源,使 ID C 无法正常运营。该类攻击是目前和今后运营商 IDC 最常遇见的攻击,也是运营商 IDC 安全防护的重点之一。?对网络基础设施的攻击。该类攻击具有更大的破坏性和隐蔽性, 通过非法侵入 ID C 网络、安全设备, 或是从 IDC 内部发起面向网络、计算、存储资源的攻击。该类威胁对 IDC 的运营始终存在, 针对此类攻击的防范不仅需要制定严格的安全运营管理体系,也需要更加细致的运用网络与安全相融合的技术。二、运营商 IDC 安全规划原则 IDC 安全规划需要安全策略和安全技术的有效结合。安全策略定义了安全相关人员必须遵守的准则。策略不一定就能使网络更安全, 但我们可以根据对于策略的一致性的衡量来判断网络的安全程度。所以, 安全策略不仅是网络安全设计和管理运行的指导方针, 同时也是衡量网络是否安全的基准点或者出发点。安全技术利