【构建信息社会IDC网络安全】网络安全技术培训课程

【构建信息社会IDC网络安全】网络安全技术培训课程 摘 要本文分析了当前IDC网络环境中存在的安全隐患及网络攻击的手段,针对IDC中心的网络实际情况,从理论上提出了网络安全设计的原则、安全防御的策略和措施,列举了解决网络安全问题的相关技术,探讨建立综合性的网络安全防御系统确保网络及信息的安全。 关键词IDC 网络安全 网络攻击 安全防御 TP393A1007-9416(xx)03-0000-00 1 绪论 互联网数据中心(Inter Data Center,下称IDC)是伴随着互联网发展的需求而发展起来的,为企业、应用服务提供商、内容服务提供商、系统集成商、ISP等提供大规模、高质量、安全可靠的服务器托管、租用以及ASP等增值服务的互联网新型业务。IDC不仅是一个服务概念,还是一个网络概念,它构成了网络基础资源的一部分,提供了一种高端的数据传输服务和高速接入服务,是以Inter技术体系作为基础,主要的特点是以TCP/IP为传输协议和以浏览器/WEB为处理模式。 IDC不仅要提供服务器硬件等设备的托管和快速的网络接入,还要提供对服务器的监管服务、有关网络的管理及服务品质保证,而且更重要的是要有高度安全可靠的机房网络环境。目前,网络和信息安全技术与各种安全隐患之间进行的是一场深入、多层次的战争,成为一个没有硝烟的战场,这就要求我们对与Inter互连所带来的网络与信息安全性问题予以足够的关注,在IDC的设计中必须充分重视安全问题,尽可能的减少安全漏洞,此外,我们还应该根据IDC的客户需求提供不同的安全服务。 2 网络及信息安全趋势 IDC中常见的传统网络安全措施包括防火墙、入侵检测、漏洞扫描等,不过,这些传统的网络安全措施有着很大的局限性,另外,蠕虫、病毒、DoS/DDoS攻击、垃圾邮件等混合威胁越来越多,传播速度不断加快,留给人们响应的时间越来越短,用户来不及对入侵做出响应,已造成IDC内的服务器瘫痪。例如,某IDC用户因为长期被ARP蠕虫困扰,导致大量IDC用户的通信线路中断;某IDC用户托管在IDC机房的主机受到大规模的DDoS攻击而使业务长期严重受损;某IDC的电子商务用户因为其机器被黑客入侵导致大量业务数据流失。综合上述案例,并透过对国内多个地区的IDC(包括机房与用户)的安全调研,发现IDC用户存在的安全问题主要概括如下: ARP欺骗攻击、拒绝服务攻击、黑客攻击与后门/木马、蠕虫等。总体来看,网络攻击的动机从技术炫耀型转向利益驱动型,网络攻击的趋利性和组织性在继续加强,从而导致直接获得经济利益的恶意代码和攻击行为日益增加,大范围传播的恶意代码逐渐不再占据主流。 目前,随着各种网络恶意代码及网络攻击威胁的趋利性,应在互联网安全应急预案框架下,加强具体的处理流程规范制定,明确应急组织、网络运营商、用户、网络服务提供商 (ISP/ICP/IDC/域名注册商等)在具体的网络仿冒、恶意网页代码、拒绝服务攻击等安全事件中的责任和义务,为事件处理提供必要的政策依据,并形成快速、有效的安全事件响应机制,是遏止各种网络事件继续增加的重要方面。 3 网络安全设计原则 针对网络系统实际情况,解决网络的安全保密问题是当务之急 ,考虑到技术难度及经费等因素,我们采取以下安全策略 : (1)采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行。 (2)采用防火墙技术、NAT技术、VPN技术、网络加密技术(IPsec)、身份认证技术、多层次多级别的防病毒系统、入侵检测技术,构成网络安全的防御系统。 (3)实时响应与恢复:制定和完善安全管理制度,提高对网络攻击等实时响应与恢复能力 。 (4)建立分层管理和各级安全管理中心。 4 网络安全解决方案 DDoS(分布式拒绝服务)攻击由于易于实施、难于防御、难于追查等特点,已成为当前网络中流行的攻击方式,威胁与造成的损失日益增大。DDoS攻击不仅局限于单一目标,网络本身也逐渐成为DDoS攻击的牺牲品,网络链路、路由交换设备、运营商的DNS服务系统都不同程度的遭受了DDoS攻击的侵害。 对入侵行为的防御,防火墙是企业级安全保障体系的第一道防线,目前已经得到了非常广泛的应用,但是各式各样的攻击行为还是存在,这表明有某些攻击行为是防火墙所不能防御的,比如说应用层的攻击行为。 想要实现完全的入侵防御,首先需要对各种攻击能准确发现,其次是需要实时的阻断防御与响应。防火墙等访问控制设备没有能做到完全的协议分析,仅能实现较为低层的入侵防御,对应用层攻击等行为无法进行判断,而入侵检测等旁路设备由于部署方式的局限,在发现攻击后无法及时切断可疑连接,都达不到完全防御的要求。 入侵防御系统(IPS)实行在线部署,相对于入侵检测系统(IDS)旁路部署,实现了从IDS的被动防御到IPS主动防御的质变。入侵防御系统(IPS)可以保护防火墙等网络基础设施,对Inter出口带宽进行精细控制,防止带宽滥用;可以抵御Inter的针对DMZ(demilitarized zone,隔离区)区服务器的应用层攻击和Inter的DDoS攻击;可以抵御内网攻击,保护核心服务器和核心数据,提供虚拟软件补丁服务,保证服务器最大正常运行时间。入侵防御系统以透明串联方式部署,实时分析链路上的传输数据,对隐藏在其中的攻击行为进行阻断,专注的是深层防御、精确阻断,这意味着入侵防御系统是作为安全防御工具存在,解决实际应用上的难题,进一步优化网络的风险控制环境。 未来,IDC市场的竞争将更加激烈。因此,如何在激烈的市场竞争中占据主动位置,已经成为IDC运营商们考虑的重点。显然,加强IDC中心网络安全,不仅使其IDC的管理和服务上升到了一个新的层次,走在了整个行业的前面,同时,也促进了整体信息社会的和谐发展。 _ 1 高永强,郭世泽.网络安全技术与应用大典M.北京:人民邮电出版