聯(lián)通IDC網(wǎng)絡(luò)安全問題及對策

王昊

摘要：互聯(lián)網(wǎng)數(shù)據(jù)中心簡稱IDC，主要是利用互聯(lián)網(wǎng)技術(shù)對企業(yè)的網(wǎng)站或其他應(yīng)用提供管理服務(wù)，例如主機(jī)托管、應(yīng)用托管等都是IDC的常見業(yè)務(wù)。通過上述定義我們就知道，一旦IDC的網(wǎng)絡(luò)安全出現(xiàn)問題，遭到攻擊，就會(huì)給企業(yè)帶來巨大的損失。為了避免企業(yè)的直接或間接經(jīng)濟(jì)損失，獲得客戶的信任，需要對IDC目前尚存的一些安全問題加以解決，本文結(jié)合目前的IDC發(fā)展情況，簡要的給出了一些網(wǎng)絡(luò)安全問題的解決對策，希望通過本文的閱讀，能夠給聯(lián)通IDC網(wǎng)絡(luò)安全相關(guān)問題的研究人員提供一定的幫助和啟發(fā)。

關(guān)鍵：聯(lián)通IDC；網(wǎng)絡(luò)安全；對策

前言：

IDC歸根結(jié)底是專門為企業(yè)或政府進(jìn)行服務(wù)的專業(yè)機(jī)房環(huán)境，能夠?yàn)槠髽I(yè)或者整蠱提供虛擬主機(jī)租賃服務(wù)，資料數(shù)據(jù)的備份、存儲(chǔ)、管理、分析等服務(wù)。也就是說，一旦IDC遭到攻擊，就會(huì)導(dǎo)致企業(yè)或者政府在其中存儲(chǔ)的數(shù)據(jù)的丟失，造成商業(yè)機(jī)密或者居民信息等重要數(shù)據(jù)的丟失，給企業(yè)經(jīng)濟(jì)或者社會(huì)治安造成不利影響，還會(huì)造成IDC的客戶方面對其產(chǎn)生不信任，大幅度降低收益。所以，IDC的安全問題是至關(guān)重要的。

1 聯(lián)通IDC網(wǎng)絡(luò)面臨的安全問題

1.1 IDC網(wǎng)絡(luò)的探測和竊聽

一些網(wǎng)絡(luò)攻擊者（黑客）會(huì)利用互聯(lián)網(wǎng)的開放性，對IDC網(wǎng)絡(luò)端口進(jìn)行掃描，以此來尋找攻擊目標(biāo)，當(dāng)目標(biāo)確定之后，利用一些監(jiān)聽手段，能夠詳細(xì)了解目標(biāo)IDC網(wǎng)絡(luò)的各種具體信息，直至尋找到可以利用的安全漏洞，之后以這些漏洞為切入點(diǎn)，從IDC網(wǎng)絡(luò)中竊取所需的數(shù)據(jù)包，達(dá)到竊取信息的目的。

1.2 獲得口令和IP欺騙

黑客能夠通過缺省口令對目標(biāo)IDC網(wǎng)絡(luò)口令進(jìn)行破譯，一些猜測口令的軟件也能夠幫助網(wǎng)絡(luò)攻擊者迅速的破解IDC虛擬主機(jī)的口令，從而實(shí)現(xiàn)對IDC網(wǎng)絡(luò)的攻擊。另外，一些網(wǎng)絡(luò)攻擊者還會(huì)將自己的計(jì)算機(jī)地址偽裝成IDC網(wǎng)絡(luò)主機(jī)信任的IP地址對IDC主機(jī)進(jìn)行欺騙，通過獲得其信任的方式降低安全等級(jí)，達(dá)到攻擊目的。

1.3 DoS和DDoS攻擊

DoS攻擊又名拒絕服務(wù)攻擊，其原理是網(wǎng)絡(luò)攻擊者通過某種手段或者軟件，大量的向IDC網(wǎng)絡(luò)發(fā)送認(rèn)證，因?yàn)檫@些網(wǎng)絡(luò)認(rèn)證的返回地址均為虛假地址，這大大的增加了IDC網(wǎng)絡(luò)在認(rèn)證拒絕過程中的工作量，當(dāng)認(rèn)證數(shù)量足夠龐大而超出了IDC網(wǎng)絡(luò)主機(jī)的承受能力時(shí)，IDC網(wǎng)絡(luò)就會(huì)陷入癱瘓狀態(tài)。DDoS是DoS攻擊模式的升級(jí)版，同時(shí)控制多臺(tái)主機(jī)一起向IDC主機(jī)發(fā)出攻擊，導(dǎo)致IDC網(wǎng)絡(luò)完全停止工作，直接使客戶處于網(wǎng)絡(luò)中斷狀態(tài)，由于同時(shí)控制的主機(jī)數(shù)量很多，導(dǎo)致IDC網(wǎng)絡(luò)的防御能力大幅下降。

1.4 IDC主機(jī)的緩沖區(qū)溢出攻擊

在瞬間向IDC主機(jī)的緩沖區(qū)植入大量程序，當(dāng)程序量極大時(shí)，會(huì)造成溢出，此時(shí)就會(huì)將原本制定好的IDC執(zhí)行程序沖出，使得IDC主機(jī)開始執(zhí)行網(wǎng)絡(luò)攻擊者希望執(zhí)行的程序。

1.5 蠕蟲病毒和木馬攻擊

蠕蟲病毒和木馬攻擊是IDC網(wǎng)絡(luò)最常見的安全問題。原因在于蠕蟲和木馬病毒的種類繁多，更新速度快，對于整個(gè)IDC網(wǎng)絡(luò)來講，可以說的防不勝防。另外IDC網(wǎng)絡(luò)針對一些小公司的托管服務(wù)過程中，這些小公司的安全意識(shí)比較淡薄，常常成為病毒的切入點(diǎn)。網(wǎng)絡(luò)工程師對付木馬病毒或者蠕蟲病毒的主要辦法就是抓包定位，該過程雖不麻煩，但是定位之后需要定點(diǎn)查殺病毒，需要將IDC網(wǎng)絡(luò)暫時(shí)切斷，時(shí)間在半小時(shí)左右，不僅會(huì)造成損失，還可能導(dǎo)致客戶的不信任。

2 聯(lián)通IDC網(wǎng)絡(luò)安全問題的應(yīng)對措施

2.1 給聯(lián)通IDC網(wǎng)絡(luò)設(shè)定認(rèn)證、授權(quán)和計(jì)費(fèi)功能

認(rèn)證、授權(quán)和計(jì)費(fèi)功能，能夠解決上述的部分安全問題，通過對用戶身份的確認(rèn)，防止大量虛假的認(rèn)證對IDC網(wǎng)絡(luò)系統(tǒng)進(jìn)行DoS或者DDoS攻擊，訪問計(jì)費(fèi)的方式，增加攻擊者的成本，攻擊者在利用大量主機(jī)訪問時(shí)，產(chǎn)生了巨大的費(fèi)用，這樣就能讓攻擊者得不償失了。而為了防止網(wǎng)絡(luò)攻擊者通過掃描路由端口來定位IDC網(wǎng)絡(luò)并進(jìn)行監(jiān)聽，還需在路由器加設(shè)防火墻。為了防止攻擊者通過IDC網(wǎng)絡(luò)內(nèi)部IP分配來尋址攻擊，可以利用公共IP對內(nèi)部IP進(jìn)行替換，之后進(jìn)入路由器內(nèi)部后，在替換回內(nèi)部IP，這樣就能極大程度的減少內(nèi)部IP地址的泄露。最后，還可以在路由器的控制端口添加流量監(jiān)控功能，短時(shí)間內(nèi)訪問量異常的情況，通過報(bào)警來進(jìn)行重點(diǎn)排查。

2.2 防止DoS和DDoS攻擊

對于IDC網(wǎng)絡(luò)安全問題來講，DoS和DDoS攻擊是其面臨的主要威脅之一。為了解決DoS和DDoS攻擊帶來的安全問題，可以采用以下三種方法：

首先是對訪問流量進(jìn)行過濾，將可疑流量阻擋在IDC網(wǎng)絡(luò)之外，這種方法雖然并不能完全抵擋所有的攻擊流量，但是能夠有效降低攻擊強(qiáng)度，使我們在受到攻擊時(shí)有足夠的時(shí)間進(jìn)行應(yīng)急處理和反擊，主要針對的是明顯有偽造痕跡的訪問IP。

其次是在內(nèi)部啟用IDS系統(tǒng)，IDS名為網(wǎng)絡(luò)入侵檢測系統(tǒng)，主要功能就是對進(jìn)入IDC網(wǎng)絡(luò)的流量進(jìn)行甄別判斷，當(dāng)發(fā)現(xiàn)可疑IP時(shí)，發(fā)出警報(bào)通知網(wǎng)絡(luò)安全工程師，這樣網(wǎng)絡(luò)安全工程師就可以啟動(dòng)防御預(yù)案和反擊預(yù)案，通過斷網(wǎng)規(guī)避攻擊，通過網(wǎng)絡(luò)渠道對攻擊者實(shí)行反向追蹤并予以反擊。

最后，還需要在IDC網(wǎng)路ode路由器或者交換機(jī)上設(shè)置防火墻，將可疑的IP地址過濾掉，消除安全隱患?？梢傻腎P地址包括地址長度過短、地址的數(shù)據(jù)幀被人為分段、數(shù)據(jù)源址與目標(biāo)地址相同而導(dǎo)致尋址過程中會(huì)出現(xiàn)循環(huán)的回環(huán)地址、外界數(shù)據(jù)的原地址是IDC網(wǎng)絡(luò)地址以及廣播地址，將上述這些可疑情況進(jìn)行過濾，能夠顯著減少DoS或者DDoS攻擊的概率和破壞性。

2.3 防御蠕蟲和木馬的措施

蠕蟲和木馬的主要攻擊切入點(diǎn)，一般在中低端客戶上面，他們對于網(wǎng)絡(luò)安全的認(rèn)識(shí)不夠，警惕程度較低，大部分公司因?yàn)橐?guī)模不夠，沒有專門的網(wǎng)絡(luò)安全維護(hù)人員，這就使得其網(wǎng)絡(luò)系統(tǒng)具有大量的漏洞，給了網(wǎng)絡(luò)黑客可乘之機(jī)。攻擊者利用這些用戶輕松地實(shí)現(xiàn)了將病毒散播到IDC網(wǎng)絡(luò)中的目的，從而給IDC網(wǎng)絡(luò)造成巨大的麻煩。

在實(shí)際工作當(dāng)中，中低端客戶群體數(shù)量非常龐大，是聯(lián)通公司IDC服務(wù)業(yè)務(wù)中一個(gè)相當(dāng)主要的贏利點(diǎn)，所以雖然我們的目標(biāo)是防止病毒感染，但是也不能舍棄這部分客戶。

這時(shí)候就需要我們加強(qiáng)網(wǎng)絡(luò)安全的宣傳和指導(dǎo)工作，對中小型企業(yè)或者鄉(xiāng)鎮(zhèn)政府機(jī)構(gòu)的相關(guān)工作人員，提高他們的網(wǎng)絡(luò)安全意識(shí)，加強(qiáng)警惕性和網(wǎng)絡(luò)安全防范能力。對于那些沒有專人對網(wǎng)路進(jìn)行監(jiān)管維護(hù)的小、微型企業(yè)，聯(lián)通公司還可以增加代維護(hù)管理的相關(guān)業(yè)務(wù)，這樣不僅能保證IDC網(wǎng)路ode安全性，還能通過新的增值業(yè)務(wù)給公司帶來收入，是一舉兩得的舉措。

除此之外，也要提高IDC網(wǎng)絡(luò)中心的維護(hù)人員相關(guān)水平，當(dāng)IDC網(wǎng)絡(luò)受到蠕蟲感染或木馬攻擊時(shí)，一定要有一套相對完善迅速的應(yīng)對措施，能夠在最短的時(shí)間里對攻擊做出合理的響應(yīng)，及時(shí)解決問題，針對不同的情況，需要做到擁有響應(yīng)的預(yù)案。

最后，我們也發(fā)現(xiàn)，蠕蟲、木馬雖然是目前IDC網(wǎng)絡(luò)常見的攻擊手段，但是其多發(fā)于中小型企業(yè)也就是中低端用戶身上，而通過他們進(jìn)入到IDC網(wǎng)絡(luò)的蠕蟲或者木馬，很難對下一層級(jí)的網(wǎng)絡(luò)進(jìn)行侵害，也就是說，當(dāng)我們縮小該網(wǎng)絡(luò)段，就能將受攻擊的損失降到最低了。不過縮減二層網(wǎng)絡(luò)段會(huì)造成一定的IP浪費(fèi)和靈活性下降等問題，所以適當(dāng)縮減二層網(wǎng)絡(luò)段的同時(shí)，還要結(jié)合其他方面的因素進(jìn)行綜合的衡量。

這些對付蠕蟲或者木馬的對策，雖然行之有效，但是無疑會(huì)增加聯(lián)通公司的工作量和工作的復(fù)雜程度，所以需要平衡兩者之間的關(guān)系，合理增派相關(guān)人員或者增設(shè)專門的業(yè)務(wù)部門加以配合，這樣才能將IDC網(wǎng)絡(luò)的安全性提升上去，贏得客戶的信任，創(chuàng)造更多的價(jià)值。

參考文獻(xiàn)

[1]宋杉 . 計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用 [J]. 電子世界，2017（14）：52-53.

[2]柳正茂，李洪波 .IDC 網(wǎng)絡(luò)安全問題與對策 [J]. 河北省科學(xué)院學(xué)報(bào)，2018（3）：63-64.

[3]郭麗娟，趙燕君 . 當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)安全問題與對策研究 [J]. 科技展望，2017（12）：75-76.

（作者單位：中國聯(lián)合網(wǎng)絡(luò)通信有限公司吉林市分公司）