IDC互联网数据中心信息安全策略

【摘 要】本文作者结合自己多年的实际工作经验，对IDC互联网数据中心信息安全相关问题进行分析探讨，同时对相应的应对措施提出了自己的看法和意见，仅供参考。

【关键词】互联网；信息；安全；IDC

1.前言

2008年5月，新一轮电信重组公布，2009年发放三张3G牌照，支持形成三家拥有全国性网络资源、实力与规模相对接近、具有全业务经营能力和较强竞争力的市场竞争主体，电信资源配置进一步优化，竞争架构得到完善，将更利于中国电信市场形成公平和有效的市场竞争环境，中国通信产业政策的调整对IDC市场的发展和竞争格局带来深远影响。一方面，在电信运营商中引进竞争机制，这会促进行业资源整合优化、规模化发展；另一方面，重组比将提高IDC行业门槛，价格制胜的IDC业务模式无法继续。

当前，业务集中、数据集中、海量数据、管理复杂、连续性要求高等已成为数据中心建设的共有特点，随着各行业数据集中管理需求增加以及业务模式的不断变革。传统数据中心在能耗、效率、资源整合、绿色成长、快速响应、信息安全等方面临诸多挑战，通过科技创新进行业务整合，来构建下一代的数据中心已成为当务之急。在下一代数据中心中，将由包括新的芯片设计、虚拟化、网络和SOA等几项关键技术构成。

网络的使用已成为广大用户获取咨询的最佳最便捷的途径之一，而IDC （Internet Data Center）在互联网网络中的地位就如同交通骨干道的枢纽中心、信息中心、交换中心。随着网络应用的发展，IDC互联网数据中心信息安全问题也日益突出。

2.影响IDC互联网数据中心信息安全的的因素

2.1病毒感染

从“蠕虫”病毒产生开始，病毒一直是计算机系统安全最直接的威胁。常见的病毒有“熊猫烧香”、“冲击波”、“Happy99”、“灰鸽子”等。解决此类问题的方式，自有断网操作。立刻拔掉感染“宿主”服务器的网线，能管理服务器的管理员可以安装离线版本的杀毒软件杀毒，不能管理服务器的管理员要通过光盘引导操作系统到系统盘中去删除感染文件 （注意不要误删除正常启动文件）。还有一种方式，就是用一个正常的操作系统硬盘取代已经感染的系统硬盘启动。

2.2TCP/IP协议存在安全漏洞

目前Internet上广泛使用的网络协议是TCP/IP协议，而TCP/IP协议恰恰存在安全漏洞。如IP层协议就有许多安全缺陷。IP地址可以软件设置，这就造成了地址假冒和地址欺骗两类安全隐患。在发生类似攻击时，最常用的方式是：断网、更换被攻击服务器的IP地址，在被攻击服务器前架设防DDos防火墙（效果有限），在上层路由设备上进行ACL控制屏蔽掉虚假地址的链接、安装入侵检测设备。高性能的网络路由设备和高带宽至关重要，可以进行有效的流量控制，同时追查到攻击来源。优化系统性能，进行有效的安全设置，特别是N-SYN/ICMP的数据包过滤设置。最后就是要安装一个良好性能的DDos防火墙。DDos攻击不可避免，但可以通过以上措施尽量降低DDos攻击带来的损失。

2.3内部用户的攻击行为

管理服务器的管理员通常是比较熟悉网络的，但同时对网络新技术充满好奇勇于尝试。如果没有意识到后果的严重性，有些管理员会轻易去尝试使用最新的软件、应用或者设置，以至于自己去研究各种攻击技术，这些都对数据中心的网络造成一定的影响和破坏。

2.4管理员安全意识不强产生的后果

计算机管理人员平时工作马虎，不细心，没有形成规范的操作，也没有制定相应的规章制度，很多管理人员安全意识不强，将自己的生日或工号作为系统口令，或将单位的账号随意转借他人使用，或者将个人资料放到服务器上备份，从而造成信息的丢失或篡改。

2.5信息审核管理存在不安全隐患

互联网是一个公开的网络，所有信息一旦上网就不可避免会被人看到。因此对于信息的人、管理信息的人来说信息审核是必不可少的。往往有些网民因为各种原因将虚假的信息、不能公开的信息到网上（论坛、贴吧、交友社区），管理员又疏于管理，甚至不采用关键字过滤或者信息审核，就直接出去，导致非常严重的后果。

3.lDC互联网数据中心网络信息安全的主要防范措施

3.1安装防病毒软件和防火墙

在主机上安装防毒软件，能对病毒进行定时或实时的病毒扫描及漏洞检测，既能查杀未知病毒，又可以对文件、邮件、内存、网页进行实时监控，发现异常情况及时处理。使用硬件防火墙可在IDC互联网数据中心与外界网络之间建立一道安全屏障，但有了防火墙也不是万能的。操作系统的漏洞、应用软件的缺陷、网页代码的不健全、以及人为信息的输入都是防火墙所不能完全防御的。

3.2定期扫描系统和软件漏洞

及时对系统进行漏洞扫描、安装补丁程序。为提高补丁程序的下载速度，可在IDC互联网数据中心中部署一些自动更新服务器来提供客户端补丁自动。在安装补丁程序前一定要仔细阅读安装说明书，做好数据备份等预防工作，以免导致系统无法启动或破坏等情况。

3.3网络入侵检测与安全审计系统设计

在网络层使用了防火墙技术，经过严格的策略配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用了防火墙还远远不够。而网络入侵监测与安全审计系统是一种实时的网络监测包括系统，能够弥补防火墙等其他系统的不足，进一步完善整个网络安全防御能力。网络中部署网络入侵检测与安全审计系统，可以在网络中建立完善的安全预警和安全应急反应体系，为信息系统的安全运行提供保障。

3.4加强管理人员的安全制度，强化网络安全意识

在计算机网络中，绝对的安全是不存在的。俗话说：“三分技术，七分管理” ，要不断地加强计算机信息网络的安全规范化管理力度，强化人员管理。制定健全的安全管理体制是计算机网络安全的重要保证，只有通过网络管理人员与使用人员的共同努力，运用一切可以使用的工具的技术，尽可能地把不安全的因素降到最低。

3.5做好重要数据的备份

在做好网络安全管理工作的同时，也应该考虑系统在不可避免的因素下出现的故障。必须定期做好重要设备和重要数据的备份工作，以便在出现故障时能即使进行硬件更换和软件恢复等措施。存储重要数据和运行重要软件的设备应有硬件备份。有必要要做好信息的实时备份或者安装防篡改应用，一旦发现备份数据被人修改，自动启动保护程序。

4.结束语

我国IDC行业发展态势良好，中国网民数、宽带网民数及国家顶级域名数（.CN）均跃居全球第一位，网络基础设施和基础资源得到快速发展，各种网络应用以及各类专业网络信息服务保持快速发展的态势，而且云计算等新技术开始运用，其安全问题也随之越来越严峻，做好IDC互联网数据中心信息安全工作是摆在广大信息安全工作者的重大课题。

参考文献；

[1]王婷，黄文培.IDC网络安全技术研究王婷[J].网络安全技术与应用.2011（05）.

[2]孟照让.IDC安全防护体系建设策略[J].电信技术.2011（11）.

[3]柳正茂，李洪波.IDC网络安全问题与对策[J].河北省科学院学报.2011（03）.