| 摘要:天融信从IDC实际安全挑战需求出发,按照“横向分区,纵向分层”的方式进行设计和建设,横向上采取分域的办法,并基于各安全域的重要程度,采取不同级别的安全防护系统,满足信息系统的安全集成需求。 |
IDC是伴随着互联网快速发展的需求而不断成长起来的,可以为ICP、企业,以及各类网站提供服务器托管、空间租用、网络带宽批发、虚拟空间租赁、主机域名、企业邮箱等服务。因此其本身的特性决定了其在安全方面的重要性。特别是近几年来在IDC规模超大化以后,由于多攻击类型、多业务类型、多运营模式(IDC\ADC\EDC\GDC代维)带来的安全挑战及威胁,已经成为了IDC服务提供商关注的焦点。当前IDC主要存在以下几大挑战:
■由于云计算兴起,虚拟化几乎成为了数据中心不可缺少的技术,因此由于主机虚拟化、网络虚拟化、存储虚拟化带来的安全挑战,保护虚拟化环境的安全将成为今后IDC安全防护重点。
■网络层安全风险挑战:网络层由路由器交换机等数据通信设备和安全设备组成,是IDC开展业务运营的基础。其安全风险主要是针对网络基础架构的攻击行为,包括:Dos/DDos攻击、来自外部的网络攻击行为、各种僵尸/蠕虫/木马等恶意代码的侵害等等。
■业务层安全风险挑战:业务层是IDC价值的具体表现形式,其安全风险主要是针对前后台业务运行的主机以及主机上承载的特定应用。其风险的表现行为包括:垃圾邮件、恶意蠕虫、病毒、针对Web/DNS/FTP等服务器的应用层攻击、针对服务器本身系统级的入侵行为等等。
■安全管理及增值服务挑战:如何提升对IDC日常安全事件的监控、发现、预警、处理能力,并把单向的安全防护投入转变为差异化安全增值服务,从而形成面向用户的差异化安全服务,同时带来相应利润是当前面对的主要管理挑战。
◆解决方案
天融信从IDC实际安全挑战需求出发,按照“横向分区,纵向分层”的方式进行设计和建设,横向上采取分域的办法,并基于各安全域的重要程度,采取不同级别的安全防护系统,满足信息系统的安全集成需求;纵向上按照不同类型的技术手段,针对信息系统的特点和需求,分别进行部署和策略的设计,提升系统的抗攻击能力,使系统能够更好地支撑上层各类应用,形成纵深防御系统。同时通过建立一个统一安全管理平台将体系中各层次的安全产品、网络设备等纳入统一管理,并结合自身业务需要,适时开展安全增值服务。
■网络层安全防护
网络层安全部署主要由边界安全防火墙和异常流量清洗两部分组成。边界安全防火墙指在IDC内部针对不同业务或用户区域实现基础网络隔离,实现安全信任网络和非安全网络进行隔离,实现前台业务区和后台业务区的隔离,这种网络隔离技术是基于安全区域的隔离模型,每个安全区域可以按照网络的实际组网加入任意的接口,使得IDC内部的安全管理模型是不会受到网络拓扑的影响。
防火墙虚拟化技术和基于状态的包检查功能是IDC对边界防火墙的重点需求。天融信防火墙可以虚拟多套防火墙,每套虚拟系统在逻辑上都相互独立,具有独立的用户与访问控制系统。不同的域之间可以共用1台防火墙,但使用不同的虚拟系统。同时士防火墙采用最新的CCI技术,提供对OSI网络模型所有层次上的网络威胁的实时保护。网络卫士系列防火墙可对还原出来的应用层对象(如文件、网页、邮件等)进行病毒查杀,并可检查是否存在不良WEB内容、垃圾邮件、间谍软件和网络钓鱼欺骗等其他威胁,实现彻底防范。
评论表单加载中...
