怎么對電信行業(yè)IDC進(jìn)行安全保護(hù)

IDC（Internet Data Center）是伴隨著互聯(lián)網(wǎng)不斷發(fā)展的需求而發(fā)展起來的，可為ICP、企業(yè)、媒體和各類網(wǎng)站提供大規(guī)模、高質(zhì)量、安全可靠的專業(yè)化服務(wù)器托管、服務(wù)器租用、空間租用、網(wǎng)絡(luò)帶寬批發(fā)以及ASP等業(yè)務(wù)。對于電信行業(yè)來說，IDC是直接面向企業(yè)用戶最簡潔的通道，所以也成為電信行業(yè)企業(yè)客戶市場突破的重要突破口。

　 伴隨著電信行業(yè)大力發(fā)展IDC業(yè)務(wù)，IDC逐步發(fā)展了眾多的業(yè)務(wù)模式，例如主機(jī)托管、空間租賃、主機(jī)域名、企業(yè)郵箱以及承載WEB、游戲、公司應(yīng)用的業(yè)務(wù)等，也包括一些增值業(yè)務(wù)比如 在線存儲業(yè)務(wù)等等。這些業(yè)務(wù)的集中使得IDC具備了重要性、集中性、大帶寬、應(yīng)用多樣化、運(yùn)維復(fù)雜性等多種特性。典型的IDC邏輯架構(gòu)如下圖所示：

1.2 IDC安全風(fēng)險分析

　 IDC的特性決定了其安全威脅風(fēng)險的特殊性和復(fù)雜性。根據(jù)IDC的邏輯架構(gòu)，其安全風(fēng)險主要集中在網(wǎng)絡(luò)層與業(yè)務(wù)層。

1.2.1 網(wǎng)絡(luò)層安全風(fēng)險分析

　 IDC的網(wǎng)絡(luò)層由路由器、交換機(jī)等數(shù)據(jù)通信設(shè)備和安全設(shè)備組成。網(wǎng)絡(luò)層在整個IDC中屬于IT基礎(chǔ)架構(gòu)，是開展IDC業(yè)務(wù)運(yùn)營的基礎(chǔ)。數(shù)據(jù)通信設(shè)備在整個IDC運(yùn)營中起到承上啟下作用：一方面，它對外擔(dān)負(fù)著IDC與外界其他網(wǎng)絡(luò)系統(tǒng)，如互聯(lián)網(wǎng)等網(wǎng)絡(luò)的互連互通；另一方面，它對內(nèi)承載著各種IDC業(yè)務(wù)系統(tǒng)。

　 網(wǎng)絡(luò)層的安全風(fēng)險主要是針對網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的攻擊行為，包括：Dos/DDos攻擊、來自外部的網(wǎng)絡(luò)攻擊行為、各種僵尸/蠕蟲/木馬等惡意代碼的侵害等等。網(wǎng)絡(luò)層面的攻擊行為往往與特定的應(yīng)用無關(guān)，針對的是網(wǎng)絡(luò)中的漏洞，具體體現(xiàn)在對IDC網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的威脅上。

1.2.2 業(yè)務(wù)層安全風(fēng)險分析

　 業(yè)務(wù)層是IDC的核心要素，也是IDC價值的具體表現(xiàn)形式。它通過市場的需求情況，將IDC內(nèi)的各種資源進(jìn)行合理的整合和配置，對外包裝出符合市場需求的可運(yùn)營產(chǎn)品或服務(wù)，并將這些產(chǎn)品和服務(wù)銷售給IDC客戶。業(yè)務(wù)層按照IDC提供的服務(wù)屬性可以分為基礎(chǔ)類業(yè)務(wù)和增值類業(yè)務(wù)兩大類。

　 業(yè)務(wù)層的安全風(fēng)險主要是針對后臺業(yè)務(wù)運(yùn)行的主機(jī)以及主機(jī)上承載的特定應(yīng)用。其風(fēng)險的表現(xiàn)行為包括：垃圾郵件、針對Web/DNS/FTP等服務(wù)器的應(yīng)用層攻擊、針對服務(wù)器本身系統(tǒng)級的入侵行為等等。業(yè)務(wù)層的安全風(fēng)險主要針對的是IDC托管運(yùn)行的特定應(yīng)用，和IDC服務(wù)的用戶密切相關(guān)，需要進(jìn)行重點(diǎn)的防護(hù)。
1.3 IDC安全防護(hù)淺析

　　對于IDC而言，傳統(tǒng)的安全防護(hù)解決方案是以IDC自身為主，所有的防護(hù)手段圍繞著IDC本身的邏輯架構(gòu)進(jìn)行建設(shè)。例如在互聯(lián)網(wǎng)邊界部署防火墻、IDS/IPS提高網(wǎng)絡(luò)層的安全防護(hù)能力；在后臺主機(jī)上部署主機(jī)加固、主機(jī)IPS等解決方案提高主機(jī)的安全防護(hù)能力。但是，傳統(tǒng)的IDC防護(hù)手段屬于IDC單向的投入，并不能為IDC業(yè)務(wù)帶來任何的回報，這顯然與IDC的建設(shè)初衷相違背。此外，孤立的以IDC自身為主進(jìn)行安全建設(shè)和防護(hù)，使得IDC的安全防護(hù)很難跟上國際發(fā)展的水平，使得IDC要么安全防護(hù)水平落后，要么需要花費(fèi)大的代價不斷升級自身的安全防護(hù)系統(tǒng)。這與IDC先進(jìn)的網(wǎng)絡(luò)基礎(chǔ)構(gòu)架形成了鮮明的反差。

　　現(xiàn)代IDC建設(shè)主要目標(biāo)在于在能夠為用戶提供高效、穩(wěn)定的服務(wù)的前提下，如何合理、最大化的利用現(xiàn)有資源形成最大的投資回報。基于這個原則，我們提出IDC建設(shè)以用戶為導(dǎo)向的差異化安全增值服務(wù)的理念。這個理念的核心是IDC在建設(shè)安全防護(hù)時，可以把相關(guān)的安全防護(hù)解決方案作為模塊化的服務(wù)提供給用戶。IDC的用戶按照自身安全防護(hù)的要求選擇對應(yīng)的安全防護(hù)模塊，從而形成面相用戶的差異化安全防護(hù)。而作為IDC運(yùn)維的電信企業(yè)來說，通過為用戶提供增值的安全防護(hù)解決方案，能夠獲得額外的回報，從而把以前單向的安全防護(hù)投入轉(zhuǎn)變?yōu)槟軌驇砝麧櫟脑鲋捣?wù)之一。

　　對于IDC來說，在提供面相用戶的增值安全服務(wù)的同時，如何減少自身的投入（包括軟硬件投入、運(yùn)維投入、能耗投入等等），實現(xiàn)綠色I(xiàn)DC，已經(jīng)成為IDC安全建設(shè)發(fā)展的主流方向，也是其開源節(jié)流的重要方式。我們在之前的章節(jié)分析過，IDC主要面臨的安全風(fēng)險包括網(wǎng)絡(luò)層面的風(fēng)險和業(yè)務(wù)層面的風(fēng)險。對于網(wǎng)絡(luò)層面的風(fēng)險，主要是針對IDC基礎(chǔ)網(wǎng)絡(luò)構(gòu)架的，所以需要在IDC不同的層面部署網(wǎng)絡(luò)安全防護(hù)解決方案，例如防火墻、IDS/IPS等等，并且通過虛擬化等技術(shù)實現(xiàn)差異化的安全增值服務(wù)。而對于業(yè)務(wù)層的風(fēng)險，主要是針對特定用戶的特定應(yīng)用，不會對IDC的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)造成損害。IDC可以通過與專業(yè)的安全廠商進(jìn)行合作，通過云安全技術(shù)以及SaaS的模式進(jìn)行提供差異化的安全防護(hù)服務(wù)。作為專業(yè)的安全廠商，有足夠的資源形成云安全服務(wù)的匯聚點(diǎn)，而IDC能夠通過聚集用戶形成很好的服務(wù)提供平臺。通過雙方的合作，可以將安全廠商的專業(yè)云安全服務(wù)在IDC形成本地化服務(wù)，而SaaS的服務(wù)模式前期不需要IDC投入任何的軟硬件資源，即可為用戶提供豐富多樣的安全防護(hù)增值服務(wù)，極大的降低了自身的能耗和資源投入，同時也開辟了多樣的盈利渠道，符合綠色I(xiàn)DC以及開源節(jié)流的發(fā)展趨勢。對于用戶而言，能夠以較低的成本隨時選擇多種領(lǐng)先的安全防護(hù)服務(wù)，例如防垃圾郵件、Web安全防護(hù)等等。

　　綜上而言，對于IDC來說，IDC的安全防護(hù)解決方案的選擇需要具備如下條件：

　　*選擇國際化專業(yè)的安全廠商。IDC作為電信行業(yè)對外的服務(wù)窗口，對SLA以及安全防護(hù)級別要求非常高。而IDC的防護(hù)發(fā)展趨勢是選擇與有成熟云安全技術(shù)和虛擬化技術(shù)的安全廠商進(jìn)行合作。這使得IDC在選擇安全合作伙伴時，必須選擇國際化領(lǐng)先的專業(yè)安全廠商；

　　*選擇具有虛擬化技術(shù)的網(wǎng)絡(luò)層安全防護(hù)設(shè)備。對于IDC來說，網(wǎng)絡(luò)層的防護(hù)需要在IDC的環(huán)境中部署產(chǎn)品。而提供以用戶為導(dǎo)向的安全增值服務(wù)的關(guān)鍵在于設(shè)備本身具有虛擬化的功能。所以在選擇網(wǎng)絡(luò)層安全防護(hù)產(chǎn)品，例如防火墻、IDS/IPS時需要選擇具有虛擬化技術(shù)的安全設(shè)備；

　　*與安全廠商合作，實現(xiàn)SaaS的云安全防護(hù)平臺。通過提供SaaS的云安全防護(hù)模型，IDC能夠以很小的代價和資源消耗為用戶提供領(lǐng)先、豐富的安全增值服務(wù)，實現(xiàn)綠色I(xiàn)DC和最佳投資回報的建設(shè)目標(biāo)。
1.4 McAfee IDC安全防護(hù)解決方案介紹

　　McAfee是全球最大的專業(yè)致力于信息安全產(chǎn)品和服務(wù)的廠商，也是全球最有影響力的十大軟件公司之一。McAfee擁有世界權(quán)威的反病毒緊急事務(wù)響應(yīng)小組（AVERT）、IntruVert入侵防護(hù)響應(yīng)小組及FoundStone漏洞分析小組，提供7/24的研發(fā)和支持服務(wù)，并且2006年在中國設(shè)立了NSP研發(fā)中心， McAfee密切關(guān)注網(wǎng)上安全問題，為組織機(jī)構(gòu)提供整體的安全顧問服務(wù)，推出網(wǎng)上診室，是安全研究聯(lián)盟SRA的主要成員。

　　作為全球最大的專業(yè)安全廠商，McAfee具有成熟的IDC安全防護(hù)解決方案，能夠為IDC用戶提供基于虛擬化技術(shù)的網(wǎng)絡(luò)層安全防護(hù)設(shè)備和專業(yè)級的基于云安全的SaaS安全解決方案。

　　1.4.1 McAfee IPS解決方案

　　McAfee的NSP是全球首個產(chǎn)品化的IPS設(shè)備，它能夠?qū)σ阎簟⑽粗粢约熬芙^服務(wù)攻擊進(jìn)行檢測和防御，滿足各種企業(yè)網(wǎng)絡(luò)的安全要求。McAfee NSP能夠通過部署業(yè)內(nèi)最全面、最成熟的網(wǎng)絡(luò) IPS 解決方案來降低企業(yè)安全風(fēng)險。 NSP 是基于 ASIC芯片及FPGA的設(shè)備，可前瞻性地防護(hù)終端和關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施不受已知的攻擊、Zero-day攻擊、DOS/DDOS 攻擊和加密攻擊的威脅，也不受間諜軟件、VoIP 漏洞、botnet、網(wǎng)絡(luò)蠕蟲、惡意軟件、網(wǎng)絡(luò)釣魚詐騙攻擊、木馬以及 P2P 等應(yīng)用程序的威脅。

　　虛擬化技術(shù)的實現(xiàn)

　　虛擬IPS能夠?qū)?NSP 探測器劃分為多個虛擬探測器，這些虛擬探測器可以使用不同的探測和防護(hù)策略保護(hù)不同的VLAN、子網(wǎng)和主機(jī)（包括自定義的攻擊選擇及相關(guān)響應(yīng)措施）。虛擬IPS可以根據(jù)一組 IP 地址、一個或多個 VLAN 標(biāo)記來定義，也可以通過探測器上的特定端口來定義。

　　NSP 體系結(jié)構(gòu)的虛擬 IPS 功能可以通過三種方法來實施。第一，將虛擬局域網(wǎng) （VLAN） 標(biāo)志分配給一組網(wǎng)絡(luò)資源；第二，使用無類別域內(nèi)路由 （CIDR） 標(biāo)志來保護(hù)一組 IP 地址；第三，將 NSP 系統(tǒng)接口專門用于保護(hù)特定部門、地區(qū)機(jī)構(gòu)或組織職能部門的網(wǎng)絡(luò)資源。

　　基于 CIDR 的 VIPS 實施能夠使用 /32 掩碼具體到單一主機(jī)的水平。例如，可以使用單一主機(jī)的特有策略來識別 DoS 攻擊，并做出響應(yīng)。

　　NSP的虛擬IPS功能

　　對于IDC環(huán)境而言，NSP是理想的網(wǎng)路層安全防護(hù)解決方案。通過虛擬化技術(shù)，能夠靈活的實現(xiàn)以用戶為導(dǎo)向的安全增值服務(wù)理念，從而減少總體擁有成本，擴(kuò)展盈利模式，同時也提高了安全的總體防護(hù)水平。

　　風(fēng)險感知能力

　　作為網(wǎng)絡(luò)層安全防護(hù)產(chǎn)品，最大的局限在于無法感知到后臺主機(jī)的安全水平，做到有針對性的事件過濾與關(guān)聯(lián)報警。McAfee NSP能夠集中應(yīng)對最有關(guān)聯(lián)的告警和攻擊，提供更高的運(yùn)作效率。NSP允許導(dǎo)入和關(guān)聯(lián)McAfee Foundstone風(fēng)險評估產(chǎn)品（或其他第三方產(chǎn)品）的信息，實現(xiàn)優(yōu)先級的風(fēng)險管理：

　　*通過具有風(fēng)險識別功能的入侵防御系統(tǒng)，降低IT成本，并增加操作效率；

　　*通過識別并阻擋帶來最大威脅的攻擊，實現(xiàn)最大化安全效果，減少業(yè)務(wù)風(fēng)險。

　　1.4.2 基于云安全的SaaS服務(wù)

　　在上述章節(jié)我們分析了IDC使用基于云安全的SaaS服務(wù)作為業(yè)務(wù)安全防護(hù)解決方案的各種優(yōu)勢。IDC在選擇基于云安全的SaaS服務(wù)伙伴時，很重要的衡量標(biāo)準(zhǔn)就是合作伙伴提供SaaS服務(wù)的多樣性以及成熟的云安全架構(gòu)。只有在這兩點(diǎn)的基礎(chǔ)上，IDC才能夠為最終用戶提供豐富、專業(yè)級的SaaS服務(wù)，從而達(dá)到最佳投資回報的目標(biāo)。
　　McA
fee作為全球最大的專業(yè)安全廠商，是最早為用戶提供SaaS服務(wù)的廠商。目前McAfee提供的SaaS服務(wù)包括：

　　*基于端點(diǎn)安全的SaaS解決方案；

　　*基Web安全的SaaS解決方案；

　　*基于郵件安全的SaaS解決方案；

　　*基于郵件歸檔的SaaS解決方案；

　　*基于郵件連續(xù)性保障的SaaS解決方案；

　　*基于Web站點(diǎn)信譽(yù)評級的SaaS解決方案；

　　*基于PCI遵從的SaaS解決方案；

　　*基于漏洞掃描與風(fēng)險評估的SaaS解決方案。

　　可以說，McAfee提供了全球最為豐富的SaaS安全解決方案的種類，為IDC提供了多種選擇，從而也為IDC的客戶提供了多層防護(hù)模塊的選擇。在多種SaaS安全解決方案后臺，是McAfee成熟的云安全網(wǎng)絡(luò)的支持。McAfee的云安全網(wǎng)絡(luò)我們稱之為“全球智能威脅威脅分析系統(tǒng)”（GTI）。GTI兼顧了消息、Web 和網(wǎng)絡(luò)安全領(lǐng)域的安全性，為 Internet 安全創(chuàng)建了一把多平臺保護(hù)傘，這正是 Internet 安全領(lǐng)域長期缺失的。GTI從超過100多 個國家的 7000 多臺傳感器（每月包括超過 1100 億條消息和數(shù)百萬個 URL）積累了大量的數(shù)據(jù)，以便極其準(zhǔn)確地創(chuàng)建 Internet 中所有發(fā)件人、消息、網(wǎng)站和域活動的檔案，然后，GTI 就可以使用這些檔案來監(jiān)視是否存在違反預(yù)期的行為，從而精確的提前定義出可能發(fā)生的安全風(fēng)險與威脅。

　　正是借助了McAfee成熟的云安全網(wǎng)絡(luò)，使得我們能夠與IDC合作，給用戶提供專業(yè)級的國際領(lǐng)先的安全防護(hù)解決方案，從而順應(yīng)IDC安全防護(hù)發(fā)展的潮流和趨勢。

　　1.4.3 總結(jié)

　　IDC的不斷發(fā)展使得其安全防護(hù)的方向和技術(shù)一直都是困擾用戶的一大難題。McAfee作為全球最大的專業(yè)安全廠商，提出以用戶為導(dǎo)向的差異化安全增值服務(wù)理念。通過在網(wǎng)絡(luò)層提供具有虛擬化技術(shù)的網(wǎng)絡(luò)安全防護(hù)設(shè)備，以及在業(yè)務(wù)層提供基于云安全的SaaS安全增值服務(wù)，能夠使得IDC的資源優(yōu)化達(dá)到最佳，實現(xiàn)高效、可靠的安全防護(hù)體系。通過與McAfee合作，IDC能夠在降低自身資源消耗、減少投入的情況下實現(xiàn)為用戶提供國際領(lǐng)先的差異化安全增值服務(wù)的目標(biāo)。從而在能夠為用戶提供高效、穩(wěn)定的服務(wù)的前提下，合理、最大化的利用現(xiàn)有資源形成最大的投資回報，達(dá)到綠色I(xiàn)DC與高效IDC的建設(shè)目標(biāo)。

由mubashirfilms.com提供