IDC信息安全的关键点及其解决措施

　　本文就当前IDC网络及其信息安全进行了分析、分类，对安全问题的关键点进行了阐述，在实际维护工作的基础上，提出了解决措施。

　　一、前言

　　当前，我国的IDC业务需求进入高速发展期，IDC的建设也步入快车道，如何更好地为客户提供一站式高质量服务，是决定IDC是否盈利的关键因素，从而，提高网络服务质量，保障IDC信息安全就成为急需面对的重大问题。

　　二、IDC网络信息安全的关键点

　　1.域名/IP备案

　　根据我国的法律法规，严禁未备案网站接入网络。在存在大量服务器的IDC中，如何有效、高效、全面地管控、审核确认备案信息是非常关键的一个问题，尤其是在内容镜像加速网络环境中，主服务器可能在外地，本地多个IP自动选择，加上客户自行安装的负载均衡系统，维护人员如何快速地分析到某一个应用所访问的IP地址所在服务器更是一个考验。

　　2.非法信息管控

　　此处非法信息指违反国家法律法规的、所有在网络上传播、存储的信息，如反动、色情、诈骗、谣言等信息。当前，因为网络信息过滤分析系统的复杂、昂贵，大多数IDC所有方并不具有实时侦测非法信息能力，只能被动地根据上级及相关监管部门的通知来应急处理。另一方面，随着人们的生活与网络联系得越来越紧密，以及创建和谐社会的要求，网络非法信息的管控重要性尤其突出，不能不引起高度重视并做好切实防范、应急处理措施。

　　3.主机入侵

　　如木马、漏洞攻击、暴力破解等，一旦来自IDC外部的入侵者控制了某台主机，通过植入木马并传播，利用这台主机作为堡垒主机，攻击、破坏其他主机，或从IDC内部向外部网络发动攻击，不但受控主机、业务不可用，而且此IDC的其他客户服务器因网络带宽被大量耗用而无法正常开展业务，危害极大。

　　4.行为的不可抵赖证据问题

　　完全意义上的不可抵赖性保障是经由数字签名技术处理的，需要第三方CA机构，而IDC所有方一般是进行资源出租、支撑服务等，具体应用一般在其客户的自有服务器上，对此需求不大。此处主要讨论网络非法行为的可跟踪、可记录、可查看、可分析，从而及时提供网络信息安全威胁行为的证据，使非法入侵、传播者无可抵赖。

　　三 IDC网络信息安全的关键解决措施

　　由于影响IDC网络信息安全的各方面威胁实际是有着紧密、错综复杂的互相联系的，如主机入侵者控制了某台WEB服务器后，往往同时伴有发布非法信息的行为;又如，未备案的网站往往进行诈骗、谣言信息的传播等等。再加上往往一个安全措施即可防范多个安全威胁，例如防火墙，既可阻止对某台主机的攻击，又可进行行为的记录。所以，IDC信息安全部分的关键解决措施不再针对某一个威胁提出，而是总体性地归纳如下关键几点：

　　1.建立IDC信息安全管理平台

　　随着互联网与信息安全行业的发展，已出现专业的信息安全管理平台，也叫做IDC信息安全审计管理系统，可以实现：

　　(1)IP/域名管理 按各种条件对域名信息进行查询，如根据IP查询域名、根据域名查询IP等，并可直接看到相关主机所在位置、所用的机房编号以及该主机的使用单位等信息。

　　(2)监控管理 针对IDC对机房中的Http/WAPPost(网页发帖)、Http/WAP Get(网页浏览)、Ftp、Smtp、Pop3、Telnet等协议数据内容的有害信息进行审计和报警。

　　(3)封堵管理 可针对IP、网站、特定网页(URL)进行添加封堵和取消封堵的功能。

　　(4)图片分析 支持对JPG、PNG、GIF、TIFF、BMP等图片格式的分析。针对图片进行捕获分析，识别捕获到的图片是否违法，分为程序自动审查和人工审查，当程序自动审查有误时可人工审查进行更正。

　　(5)日志管理 记录IDC机房中各种网络服务的访问日志，包括网页访问日志、Ftp访问日志、Telnet访问日志、邮件(Smtp、Pop3)日志等，并分类管理。

　　(6)报表管理 对IDC机房的各种网络数据进行汇总和统计，提供直观的数据统计图(柱状图、饼状图、曲线图)和统计报表，包括服务类型(各种类型主机)统计、热点(访问量和排行)统计、访问趋势统计、机房流量趋势统计等。

　　(7)系统管理 包括对系统用户权限、各种参数配置、探针服务器、命令和策略下发情况等进行管理。

　　(8)报处中心 将系统收集到的报警信息、日志信息、IDC运行状态、客户端用户注册信息、及域名备案信息上传到第三方管理中心，为统一的分析管理提供对外接口。

　　2.密码管理

　　不论是网络核心设备、汇聚层/接入层设备，还是服务器、数据库主机等，都存在各种类型的密码，如系统登录、配置视图、数据库登录等等，密码的有效安全管理直接关系到能不能做好安全工作，不容忽视。首先，所有设备、主机、数据库系统等，必须修改其默认密码;其次，要求密码具有足够的位数和复杂度，但不能是人、物或组织的名字及其它词汇，也不能是键盘上有序的序列;再者，密码要以加密形式保存，输入时不显示明文;定期更改密码，可设置强制多长时间后系统要求修改密码功能，以免遗忘;最后，加强密码管理，提高相关维护人员的安全意识，防止丢失和无意中泄密。

　　3.有条件时尽量建立IDC运营管理系统

　　我国对IDC行业有“谁接入谁负责”的要求，在IP/ICP备案、不良信息监控方面有明确的政策，为了IDC能够持续健康运营，有必要建立一套标准化的运营体系。而实际当中，面对大量的机房资源、网络配置数据、客户资料以及网站备案信息等各种数据，在条件许可时，应尽可能建立一套运营管理系统，将IDC 的各项工作有机地结合起来，使其更好地、更方便地、更节省时间地管得到、管得全、管得住。

　　四、结束语

　　“信息融合世界，安全保障发展”，IDC的信息安全需要对各个环节的安全防护进行考量、分析并提出保障措施。同时，网络和技术不断在发展，新的情况和新的问题会不断出现，安全问题的关键点及其解决措施自然也会发生变化。为保障IDC安全而建立的各种规章、制度、流程、安全技术措施等的顺利执行和落实到位也是有效保障IDC的信息安全的重要支撑。

　　作者：冯振 来源：魅力中国 2016年6期