构建信息社会IDC网络安全

这篇网络论文范文属于文化社会学免费优秀学术论文范文,关于网络方面自考毕业论文开题报告,与构建信息社会IDC网络安全相关论文发表。适合网络及用户及系统方面的的大学硕士和本科毕业论文以及网络相关开题报告范文和职称论文写作参考文献资料下载。

[摘 要]本文分析了当前IDC网络环境中存在的安全隐患及网络攻击的手段,针对IDC中心的网络实际情况,从理论上提出了网络安全设计的原则、安全防御的策略和措施,列举了解决网络安全问题的相关技术,探讨建立综合性的网络安全防御系统确保网络及信息的安全.

[关 键 词 ]IDC 网络安全 网络攻击 安全防御

[中图分类号]TP393[文献标识码]A[文章编号]1007-9416(2010)03-0000-00

1.绪论

互联网数据中心(Inter Data Center,下称IDC)是伴随着互联网发展的需求而发展起来的,为企业、应用服务提供商、内容服务提供商、系统集成商、ISP等提供大规模、高质量、安全可靠的服务器托管、租用以及ASP等增值服务的互联网新型业务.IDC不仅是一个服务概念,还是一个网络概念,它构成了网络基础资源的一部分,提供了一种高端的数据传输服务和高速接入服务,是以Inter技术体系作为基础,主要的特点是以TCP/IP为传输协议和以浏览器/WEB为处理模式.

IDC不仅要提供服务器硬件等设备的托管和快速的网络接入,还要提供对服务器的监管服务、有关网络的管理及服务品质保证,而且更重要的是要有高度安全可靠的机房网络环境.目前,网络和信息安全技术与各种安全隐患之间进行的是一场深入、多层次的战争,成为一个没有硝烟的战场,这就要求我们对与Inter互连所带来的网络与信息安全性问题予以足够的关注,在IDC的设计中必须充分重视安全问题,尽可能的减少安全漏洞,此外,我们还应该根据IDC的客户需求提供不同的安全服务.

2.网络及信息安全趋势

IDC中常见的传统网络安全措施包括防火墙、入侵检测、漏洞扫描等,不过,这些传统的网络安全措施有着很大的局限性,另外,蠕虫、病毒、DoS/DDoS攻击、垃圾邮件等混合威胁越来越多,传播速度不断加快,留给人们响应的时间越来越短,用户来不及对入侵做出响应,已造成IDC内的服务器瘫痪.例如,某IDC用户因为长期被ARP蠕虫困扰,导致大量IDC用户的通信线路中断,某IDC用户托管在IDC机房的主机受到大规模的DDoS攻击而使业务长期严重受损,某IDC的电子商务用户因为其机器被入侵导致大量业务数据流失.综合上述案例,并透过对国内多个地区的IDC(包括机房与用户)的安全调研,发现IDC用户存在的安全问题主要概括如下: ARP欺骗攻击、拒绝服务攻击、攻击与后门/木马、蠕虫等.总体来看,网络攻击的动机从技术炫耀型转向利益驱动型,网络攻击的趋利性和组织性在继续加强,从而导致直接获得经济利益的恶意代码和攻击行为日益增加,大范围传播的恶意代码逐渐不再占据主流.

目前,随着各种网络恶意代码及网络攻击威胁的趋利性,应在互联网安全应急预案框架下,加强具体的处理流程规范制定,明确应急组织、网络运营商、用户、网络服务提供商 (ISP/ICP/IDC/域名注册商等)在具体的网络仿冒、恶意网页代码、拒绝服务攻击等安全事件中的责任和义务,为事件处理提供必要的政策依据,并形成快速、有效的安全事件响应机制,是遏止各种网络事件继续增加的重要方面.

3.网络安全设计原则

针对网络系统实际情况,解决网络的安全保密问题是当务之急 ,考虑到技术难度及经费等因素,我们采取以下安全策略 :

(1)采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行.

(2)采用防火墙技术、NAT技术、VPN技术、网络加密技术(IPsec)、身份认证技术、多层次多级别的防病毒系统、入侵检测技术,构成网络安全的防御系统.

(3)实时响应与恢复:制定和完善安全管理制度,提高对网络攻击等实时响应与恢复能力 .

(4)建立分层管理和各级安全管理中心.

4.网络安全解决方案

DDoS(分布式拒绝服务)攻击由于易于实施、难于防御、难于追查等特点,已成为当前网络中流行的攻击方式,威胁与造成的损失日益增大.DDoS攻击不仅局限于单一目标,网络本身也逐渐成为DDoS攻击的牺牲品,网络链路、路由交换设备、运营商的DNS服务系统都不同程度的遭受了DDoS攻击的侵害.

对入侵行为的防御,防火墙是企业级安全保障体系的第一道防线,目前已经得到了非常广泛的应用,但是各式各样的攻击行为还是存在,这表明有某些攻击行为是防火墙所不能防御的,比如说应用层的攻击行为.

想要实现完全的入侵防御,首先需要对各种攻击能准确发现,其次是需要实时的阻断防御与响应.防火墙等访问控制设备没有能做到完全的协议分析,仅能实现较为低层的入侵防御,对应用层攻击等行为无法进行判断,而入侵检测等旁路设备由于部署方式的局限,在发现攻击后无法及时切断可疑连接,都达不到完全防御的要求.

入侵防御系统(IPS)实行在线部署,相对于入侵检测系统(IDS)旁路部署,实现了从IDS的被动防御到IPS主动防御的质变.入侵防御系统(IPS)可以保护防火墙等网络基础设施,对Inter出口带宽进行精细控制,防止带宽滥用,可以抵御来自Inter的针对DMZ(demilitarized zone,隔离区)区服务器的应用层攻击和来自Inter的DDoS攻击,可以抵御来自内网攻击,保护核心服务器和核心数据,提供虚拟软件补丁服务,保证服务器最大正常运行时间.入侵防御系统以透明串联方式部署,实时分析链路上的传输数据,对隐藏在其中的攻击行为进行阻断,专注的是深层防御、精确阻断,这意味着入侵防御系统是作为安全防御工具存在,解决实际应用上的难题,进一步优化网络的风险控制环境.

未来,IDC市场的竞争将更加激烈.因此,如何在激烈的市场竞争中占据主动位置,已经成为IDC运营商们考虑的重点.显然,加强IDC中心网络安全,不仅使其IDC的管理和服务上升到了一个新的层次,走在了整个行业的前面,同时,也促进了整体信息社会的和谐发展.

[参考文献]

[1] 高永强,郭世泽.网络安全技术与应用大典[M].北京:人民邮电出版社.

[2] 张千里,陈光英.网络安全新技术[M].北京:人民邮电出版社.

[作者简介]

陈群(1977.9),男,汉族,籍贯广东,大学本科毕业,中国电信股份有限公司汕头分公司,助理工程师.

本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文