陳文堯
(中國(guó)電信股份有限公司上海分公司,上海200120)
電信運(yùn)營(yíng)商IDC安全構(gòu)建策略
陳文堯
(中國(guó)電信股份有限公司上海分公司,上海200120)
隨著互聯(lián)網(wǎng)應(yīng)用的不斷發(fā)展,電信運(yùn)營(yíng)商在IDC的投入越來越多。電信運(yùn)營(yíng)商在IDC建設(shè)中,結(jié)合電信級(jí)服務(wù)保障的需求,對(duì)安全性、穩(wěn)定性十分關(guān)注。本文分析了電信運(yùn)營(yíng)商IDC設(shè)計(jì)原則,并從網(wǎng)絡(luò)層、業(yè)務(wù)層、基礎(chǔ)管理三個(gè)方面,分別闡述了IDC存在的一些安全問題,且提出通過設(shè)備安全策略構(gòu)建、網(wǎng)絡(luò)隔離等措施,實(shí)施IDC的安全構(gòu)建策略。
互聯(lián)網(wǎng)數(shù)據(jù)中心;電信運(yùn)營(yíng)商;安全防御;構(gòu)建策略
隨著網(wǎng)絡(luò)應(yīng)用全球化的爆發(fā)式發(fā)展,IDC(Internet Data Center,互聯(lián)網(wǎng)數(shù)據(jù)中心)作為互聯(lián)網(wǎng)服務(wù)的重要組成部分,其作用發(fā)揮越來越顯著,起到了融合網(wǎng)絡(luò)與應(yīng)用、訪問與存儲(chǔ)、用戶與服務(wù)提供商的諸多重要樞紐價(jià)值[1]。電信運(yùn)營(yíng)商將IDC定位為電信增值服務(wù)的匯聚[2],充分體現(xiàn)了互聯(lián)網(wǎng)數(shù)據(jù)中的重要作用。但是,由于互聯(lián)網(wǎng)環(huán)境不可避免的高度開放特性,導(dǎo)致IDC必須面對(duì)諸多安全問題,其中包括病毒感染、黑客攻擊、系統(tǒng)不可靠以及基礎(chǔ)管理薄弱等方面。這些安全問題很大程度上影響了整個(gè)網(wǎng)絡(luò)系統(tǒng)及其外圍訪問的整體運(yùn)營(yíng)安全性。對(duì)于電信運(yùn)營(yíng)商而言,所追求并提供的是電信級(jí)安全可靠性,且對(duì)大量公眾客戶作出了安全服務(wù)承諾。一些重要客戶選用電信運(yùn)營(yíng)商的IDC服務(wù),也正是基于電信運(yùn)營(yíng)商高質(zhì)量的基礎(chǔ)網(wǎng)絡(luò)能力和高可靠的安全性能保障[3]。因此,電信運(yùn)營(yíng)商具有確保IDC安全的強(qiáng)大驅(qū)動(dòng)力,為此必須努力強(qiáng)化IDC的安全構(gòu)建策略。
隨著互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展,互聯(lián)網(wǎng)技術(shù)中心在電信網(wǎng)絡(luò)通信中逐漸發(fā)揮出對(duì)業(yè)務(wù)發(fā)展的重要支撐作用。根據(jù)電信運(yùn)營(yíng)商的建設(shè)要求,數(shù)據(jù)中心的總體架構(gòu)設(shè)計(jì)往往以層次或區(qū)域?yàn)樵瓌t來進(jìn)行劃分,以此更好地實(shí)現(xiàn)數(shù)據(jù)中心分區(qū)后的安全防御。典型的IDC層次劃分結(jié)構(gòu)如圖1所示。IDC通常分為互聯(lián)網(wǎng)、互聯(lián)網(wǎng)接入層、匯聚層、業(yè)務(wù)接入層、運(yùn)維及管理層等多個(gè)層次。各個(gè)分層之間形成了業(yè)務(wù)互訪,實(shí)現(xiàn)優(yōu)化的數(shù)據(jù)共享模式。在系統(tǒng)安全構(gòu)建時(shí),為了確保IDC的整體安全性,各分層必須具備數(shù)據(jù)訪問控制以及有效的隔離能力。各分層的安全直接關(guān)聯(lián)到整個(gè)系統(tǒng)的安全構(gòu)建。對(duì)于不同的系統(tǒng)層次,應(yīng)分別采取不同的安全防御措施,以實(shí)現(xiàn)有針對(duì)性的安全防范。
圖1 IDC的層次劃分結(jié)構(gòu)圖
在電信運(yùn)營(yíng)商IDC傳統(tǒng)設(shè)計(jì)中,其結(jié)構(gòu)體系可體現(xiàn)出“內(nèi)外分流”的特征。各個(gè)分層之間的功能劃分,很好地體現(xiàn)出資源共享及管理等重要基礎(chǔ),以實(shí)現(xiàn)安全構(gòu)建。為實(shí)現(xiàn)IDC在業(yè)務(wù)管理、安全防御等方面的要求,需進(jìn)行分區(qū)設(shè)計(jì)。IDC由于不同的業(yè)務(wù)在安全需求方面往往存在著較大的差異,為了構(gòu)建具有針對(duì)性的安全防御措施,實(shí)行分區(qū)也能提高數(shù)據(jù)訪問控制及隔離能力。依照安全所需,各區(qū)域的安全級(jí)別也會(huì)有所不同。
IDC的核心資源是服務(wù)器,因此基于服務(wù)器的功能構(gòu)建有效的多層次體系,可確保服務(wù)器功能并保障各服務(wù)器安全運(yùn)行。其中服務(wù)器的功能一般分為三級(jí):包括Web服務(wù)器、應(yīng)用層和數(shù)據(jù)庫(kù)。
安全問題是電信運(yùn)營(yíng)商互聯(lián)網(wǎng)中心建設(shè)所面臨的重要問題。為提供電信運(yùn)營(yíng)商級(jí)別的可靠服務(wù),必須解決網(wǎng)絡(luò)層、業(yè)務(wù)層等方面的安全威脅,進(jìn)一步構(gòu)建安全防護(hù)體系[4]。在當(dāng)前的安全形勢(shì)下,電信運(yùn)營(yíng)商IDC主要存在以下幾個(gè)方面的安全問題:
在開放的互聯(lián)網(wǎng)環(huán)境之下,網(wǎng)絡(luò)層的安全威脅已經(jīng)成為了電信運(yùn)營(yíng)商IDC所面臨的最主要安全問題。由于IDC的網(wǎng)絡(luò)層是整個(gè)數(shù)據(jù)中心業(yè)務(wù)運(yùn)營(yíng)的基礎(chǔ),網(wǎng)絡(luò)層安全問題的出現(xiàn),直接對(duì)業(yè)務(wù)服務(wù)的提供造成重大影響。
日益多變的網(wǎng)絡(luò)安全攻擊方式,無疑也增加了網(wǎng)絡(luò)層的整體安全防護(hù)難度。在開放的網(wǎng)絡(luò)環(huán)境中,IDC面臨復(fù)雜的運(yùn)行環(huán)境,蠕蟲、病毒、木馬等方面的攻擊,會(huì)嚴(yán)重威脅IDC的安全。此外,對(duì)于網(wǎng)絡(luò)層的安全威脅,還來自于對(duì)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的攻擊,包括分布式拒絕服務(wù)攻擊[5]等形式。那些惡意攻擊,會(huì)侵占網(wǎng)絡(luò)資源,進(jìn)一步造成IDC的服務(wù)障礙。因此,在電信運(yùn)營(yíng)商IDC的安全構(gòu)建中,建設(shè)網(wǎng)絡(luò)層的安全防護(hù)顯得尤為重要,這會(huì)直接關(guān)聯(lián)到數(shù)據(jù)中心的服務(wù)保障。
業(yè)務(wù)層所面對(duì)的安全問題,主要體現(xiàn)在后臺(tái)服務(wù)器的安全攻擊,這將影響到電信增值服務(wù)系統(tǒng)的運(yùn)行,產(chǎn)生資源非法侵占危害。
導(dǎo)致業(yè)務(wù)層安全問題的原因來自多個(gè)方面,其中包括服務(wù)器本身存在的安全漏洞。攻擊者一旦發(fā)現(xiàn)服務(wù)器存在安全漏洞,在用戶未及時(shí)實(shí)施漏洞補(bǔ)丁升級(jí)之前,搶先實(shí)施針對(duì)漏洞的入侵,這就導(dǎo)致了漏洞安全威脅。服務(wù)器后門程序、病毒等,都有可能成為漏洞攻擊的切入點(diǎn)。
在一些業(yè)務(wù)層的攻擊實(shí)施中,攻擊者有可能并不基于服務(wù)器的漏洞入手,而是在服務(wù)器的應(yīng)用程序的弱點(diǎn)中尋找攻擊點(diǎn),有針對(duì)性地實(shí)現(xiàn)對(duì)業(yè)務(wù)層的安全威脅。通過非漏洞的“合法”應(yīng)用請(qǐng)求,雖然未必會(huì)形成漏洞安全威脅,但是還會(huì)對(duì)服務(wù)器內(nèi)存資源及CPU帶來嚴(yán)重消耗,進(jìn)一步導(dǎo)致系統(tǒng)癱瘓等問題出現(xiàn)。尤其是隨著虛擬化技術(shù)的不斷發(fā)展和應(yīng)用,業(yè)務(wù)層的攻擊不僅僅會(huì)造成空間資源的占用,也會(huì)嚴(yán)重威脅電信運(yùn)營(yíng)商的增值業(yè)務(wù)系統(tǒng)安全性。
網(wǎng)絡(luò)安全的一個(gè)重要薄弱點(diǎn)源于內(nèi)部,基礎(chǔ)管理不到位會(huì)造成IDC產(chǎn)生安全問題[6]。倘若IDC缺乏基礎(chǔ)管理建設(shè),或者運(yùn)營(yíng)管理的體系不夠完善,這將會(huì)引發(fā)系統(tǒng)安全問題。對(duì)于電信運(yùn)營(yíng)商而言,這些薄弱環(huán)節(jié)可能直接導(dǎo)致內(nèi)部安全問題頻發(fā),影響網(wǎng)絡(luò)運(yùn)行的安全穩(wěn)定。電信運(yùn)營(yíng)商在安全運(yùn)營(yíng)管理建設(shè)中,若是尚未形成完善及嚴(yán)格的管理體系,將會(huì)弱化運(yùn)營(yíng)管理的有效性,直接導(dǎo)致安全問題由內(nèi)向外爆發(fā)。
電信運(yùn)營(yíng)商在IDC的安全構(gòu)建實(shí)施中,關(guān)鍵在于運(yùn)用安全防御技術(shù)、加強(qiáng)漏洞掃描、有效落實(shí)運(yùn)營(yíng)安全管理,從而構(gòu)建完善的安全防御體系,切實(shí)保障IDC的運(yùn)行安全。
在IDC的安全構(gòu)建中,最關(guān)鍵的是設(shè)備安全策略,這是實(shí)現(xiàn)安全防范的重點(diǎn)。實(shí)施基于VLAN的動(dòng)態(tài)安全分區(qū),在交換設(shè)備上施以物理端口隔離,落實(shí)科學(xué)有效的端口處理,這些都是常用的技術(shù)措施。在安全構(gòu)建的實(shí)施中,要綜合全面部署交換設(shè)備的安全策略,以提高交換設(shè)備的運(yùn)行安全,從而確保IDC的安全。
在設(shè)備管理中,應(yīng)部署針對(duì)內(nèi)部的網(wǎng)管系統(tǒng),對(duì)設(shè)備的安全實(shí)施動(dòng)態(tài)監(jiān)測(cè)。同時(shí)還應(yīng)部署專門的網(wǎng)管服務(wù)器,對(duì)設(shè)備的補(bǔ)丁、配置進(jìn)行統(tǒng)一及時(shí)的動(dòng)態(tài)監(jiān)控,及時(shí)發(fā)現(xiàn)漏洞。對(duì)于整個(gè)數(shù)據(jù)中心內(nèi)部,必須配備專門的病毒防護(hù)系統(tǒng),并具備對(duì)受感染設(shè)備實(shí)施有效隔離的功能。
構(gòu)建防火墻是IDC的外圍安全防御重要手段,也是有效實(shí)現(xiàn)網(wǎng)絡(luò)隔離的關(guān)鍵。作為網(wǎng)絡(luò)安全的重要屏障,防火墻是IDC網(wǎng)絡(luò)安全構(gòu)建的重要措施。圖2為Internet/Intranet防火墻配置的示例。防火墻設(shè)于服務(wù)器與外通道之間,就能夠有效實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)訪問的有效控制,從而避免外部非法訪問影響IDC的安全。與此同時(shí),實(shí)施外部網(wǎng)絡(luò)的過濾,也實(shí)現(xiàn)了更為有效的安全防御,并起到安全風(fēng)險(xiǎn)防范作用。
圖2 Internet/Intranet防火墻配置
對(duì)于電信運(yùn)營(yíng)商IDC而言,應(yīng)重點(diǎn)部署高性能防火墻,加強(qiáng)網(wǎng)絡(luò)邊界防火墻的設(shè)置,以此實(shí)現(xiàn)安全檢測(cè)過濾作用。在提升安全防御的過程中,也必須考慮對(duì)網(wǎng)絡(luò)性能的影響。由于電信運(yùn)營(yíng)商IDC所服務(wù)的客戶有較多是高端客戶,對(duì)網(wǎng)絡(luò)性能和互聯(lián)網(wǎng)訪問能力也具備較高的要求[7],因此高性能防火墻的部署和配置必須兼顧安全防御和性能提供兩方面的要求。
針對(duì)常見的DDoS攻擊,IDC應(yīng)部署相應(yīng)的DDoS攻擊防護(hù)系統(tǒng),并進(jìn)行異常流量的監(jiān)控和流量清洗,以保障網(wǎng)絡(luò)層面對(duì)攻擊能實(shí)施有效防御。
在IDC實(shí)施安全管理過程中,基礎(chǔ)管理工作的有效落實(shí)是提高系統(tǒng)整體防御能力的要點(diǎn)。對(duì)于電信運(yùn)營(yíng)商而言,基礎(chǔ)管理工作是強(qiáng)項(xiàng),建立針對(duì)數(shù)據(jù)中心的完善管理制度,實(shí)現(xiàn)安全管理措施的落實(shí)到位。在運(yùn)營(yíng)安全管理體系完善之后,明確各級(jí)管理職責(zé),可從軟實(shí)力方面提升安全管理能力。此外,還需建立快速機(jī)動(dòng)的安全事故處理機(jī)制,這樣更能夠提高針對(duì)安全事故的快速預(yù)警響應(yīng)能力。圖3是安全預(yù)警處理的流程圖。處理過程包括安全防護(hù)措施的部署,到對(duì)于安全預(yù)警信號(hào)的積極響應(yīng),再到安全事故的處理和分析等。實(shí)施完善的處理流程,有助于提高系統(tǒng)安全防御能力,也能夠促進(jìn)形成技術(shù)方案對(duì)系統(tǒng)漏洞實(shí)施修補(bǔ),進(jìn)而有效避免安全威脅的發(fā)生。
圖3 安全預(yù)警處理流程圖
電信運(yùn)營(yíng)商IDC的安全構(gòu)建,是電信運(yùn)營(yíng)商所需要扎實(shí)建設(shè)的重要基礎(chǔ)措施。這一方面是基于電信級(jí)通信服務(wù)的內(nèi)在要求,另一方面也是網(wǎng)絡(luò)運(yùn)行安全保障的關(guān)鍵。安全構(gòu)建的實(shí)施,一是要落實(shí)包括設(shè)備到網(wǎng)絡(luò)的安全技術(shù)部署,有效構(gòu)建安全防護(hù)體系,進(jìn)而更好地實(shí)現(xiàn)對(duì)數(shù)據(jù)中心安全運(yùn)行的保障;二是強(qiáng)化管理,建立完善的運(yùn)營(yíng)管理體系,以確保IDC的日常運(yùn)營(yíng)具有良好的內(nèi)部環(huán)境。
強(qiáng)化落實(shí)安全構(gòu)建策略,電信運(yùn)營(yíng)商IDC就能更好地體現(xiàn)出差異化服務(wù)質(zhì)量,以電信級(jí)高可靠高性能的業(yè)務(wù),在激烈的互聯(lián)網(wǎng)服務(wù)競(jìng)爭(zhēng)中樹立高端品牌價(jià)值。
[1] 向輝.互聯(lián)網(wǎng)數(shù)據(jù)中心(IDC)發(fā)展現(xiàn)狀及存在問題分析[J].信息通信,2017(5):146-147.
[2] 甘志輝,陳博.電信運(yùn)營(yíng)商的IDC業(yè)務(wù)轉(zhuǎn)型淺談[J].移動(dòng)通信,2015(6):84-87.
[3] 張錦順,吳松,李雁.基于價(jià)值可研的互聯(lián)網(wǎng)數(shù)據(jù)中心設(shè)計(jì)指導(dǎo)方法研究[J].郵電設(shè)計(jì)技術(shù),2015(6):70-72.
[4] 吳樹強(qiáng).?dāng)?shù)據(jù)中心安全防護(hù)技術(shù)措施分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015(8):26-30.
[5] 金偉,崔鴻,王志等.針對(duì)DDoS攻擊的檢測(cè)與控制系統(tǒng)[J].網(wǎng)絡(luò)空間安全,2017,8(7):19-22.
[6] 高鑫.互聯(lián)網(wǎng)數(shù)據(jù)中心安全解決方案[J].通訊世界,2014(1):1-2.
[7] 許淵.電信運(yùn)營(yíng)商IDC業(yè)務(wù)分析與發(fā)展策略研究[J].電信快報(bào),2017(7):42-44.
IDC Security Construction Strategy for Telecom Carriers
Chen Wenyao
(China Telecom Shanghai Branch,Shanghai 200120)
With the continuous development of Internet applications,telecom carriers invest more and more in IDC.In the construction of IDC,telecom carriers concern more about the security and stability according to the needs of the telecom service guarantee.In this paper,the design principle of IDC is analyzed,and some security problems are explained respectively from the network layer,business layer and basic management.Some measures about device security strategy construction and network isolation are proposed to implement the security construction strategy for IDC.
IDC;telecom carriers;security defense;construction strategy
TP393
A
1008-6609(2017)09-0027-03
陳文堯(1959-),男,浙江上虞人,學(xué)士,高級(jí)工程師,研究方向?yàn)殡娦偶夹g(shù)及電信網(wǎng)絡(luò)發(fā)展管理。