1.  安全问题、压力和挑战

互联网数据中心(IDC)是基于Internet网络，为集中式收集、存储、处理和发送数据的设备提供运行维护的设施以及相关的服务体系。IDC提供的主要业务包括主机托管(机位、机架、VIP机房出租)、资源出租(如虚拟主机业务、数据存储服务)、系统维护(系统配置、数据备份、故障排除服务)、管理服务(如带宽管理、流量分析、负载均衡、入侵检测、系统漏洞诊断)，以及其他支撑、运行服务等。

近年来，随着DDoS攻击、IDC主机感染僵尸程序、内部蠕虫传播以及IDC网站篡改等此起彼伏的IDC安全事件的出现，IDC业务客户对于安全能力的愈加重视，监管部门对于IDC的安全防护体系建设提出了明确的技术和管理要求。如何保证IDC安全运营，有效抵御各种攻击、及时发现并拦截恶意行为、降低风险损失，同时满足合规性要求，是运营商需要考虑解决的问题。

2.  安全解决方案

2.1   解决方案组成 

本方案针对IDC面临的包括IDC流量攻击与僵木蠕事件、IDC不良内容传播、IDC网站安全风险以及运维管理安全风险等各类安全风险，提出建立纵深、分层的安全防护体系，以有效保障IDC的运营安全。

本方案由以下系统组成：

• DDoS攻击防护系统——通过在IDC互联网出口部署DDoS防护设备，全面防护从互联网发起的针对IDC的各类网络层、应用层DDoS攻击；

• 僵木蠕检测防护系统——僵木蠕的感染与传播过程往往依赖于对业务主机的漏洞利用，通过部署漏洞管理工具实现“未雨绸缪”的漏洞管理，降低业务主机感染僵木蠕的可能性，同时，通过IDS/IPS产品针对IDC网络内部的僵尸、木马、蠕虫等攻击行为进行有效检测和阻断。

• 不良内容审计系统——通过部署绿盟科技低俗不良内容安全审计系统，通过系统主动扫描引擎与被动内容监测引擎的协同工作，对含有不良信息的网站进行快速定位追查。

• 网站安全防护系统——针对Web威胁的特点，从Web应用生命周期的角度出发，重点覆盖了系统开发、测试和运行等环节，从事前、事中、事后等风险管理角度出发，建立事前扫描、探测与评估体系、建立事中以IPS、Web应用防火墙、网页防篡改等产品为基础的攻防对抗防护体系以及建立事后的审计、追溯、应急响应体系，通过主动、纵深、多层面的安全保障体系，可以有效保护网站安全。

• 运维安全管理平台——针对IDC存在的传统IT运维安全问题，建立集中操作运维管理平台，通过集中账号管理与访问控制、集中安全审计，保障IDC运维安全。

2.2   设备部署示意图

对于典型IDC的安全防护能力建设，安全设备部署方案如下图所示：

3.  方案价值

• 保障IDC业务的安全运行，降低安全风险；

• 通过整体安全建设，满足监管部门的合规要求；

• 纵深、分层防护体系，高效抵御各种攻击；

• 提高IDC运维安全水平；

• 减少安全人员工作负荷，提高安全运维效率；

• 维护和提升公司的品牌形象和商业信誉。

4.  方案优势

• “事前、事中、事后”全生命周期IDC安全解决方案；

• 主动、纵深、立体的安全防护体系，高效应对各类安全风险；

• 从安全漏洞发现、管理入手，更早发现安全风险点，降低安全运行成本；

• 可灵活、平滑扩展至云安全服务模式，7*24小时实时运行安全监控。