就我们今天的议题,我们要研究的是网络与信息按照。在这四个层次之中,与网络信息安全相关的包括了两个层次,一个就是网络层,我们要提供IDC的网络层安全防护;还有业务层,我们怎样给我们所有的IDC用户提供非常好的基于他们特定业务的安全支持。所以说我们所需要考虑的安全问题主要包括两个层次。在后面的话题讨论中,也会围绕着两个层次来进行,主要是网络层以及业务层。
分别分析一下,在网络层和业务层都包括哪些安全的威胁和风险?这些安全威胁和风险包括一直以来包括传统的风险,也包括一些比较新型的威胁和风险。在网络层而言,看到主要的安全威胁和风险包括三大部分:第一个部分DOS/DDOS的攻击,这是比较传统的危险,怎样去防范DOS/DDOS的攻击。
第二部分是以僵尸、蠕虫和木马为代表的恶意代码。它是和Dos/DDos是相辅相成的。随着网络的发展,每个用户、每个企业都和互联网连接,随之而来的伴随着每一个企业、每一个互联网上的节点安全的水平参差不齐,黑客或者别有用心的攻击者他们非常容易的就能构建一个庞大的僵尸和木马的网络,借助这样一个僵尸和木马的网络,他们可以疯狂的传播僵尸、蠕虫和木马。这些僵尸、木马的传播第一可以极大的消耗网络的带宽,包括IDC的贷款,包括电信网络骨干的带宽资源;第二可以借助这个传播,利用控制服务器,窃取用户的机密信息,比如托管在IDC机房的服务器,包括Web服务器。
第三部分就是恶意网络层攻击,借助服务器进行木马的种植,利用木马的网站达到恶意代码的传播。
业务层安全风险就会显得更多以及更加多样化。从我们公众的应用服务,比如SMTP的邮件,包括HTTP的Web,包括数据库,以及每一个用户所不同特有的服务,比如说我们自己相关的应用程序等等,只要托管在互联网上,都有可能有它的漏洞,借助这样一些漏洞,我们会有很多业务的风险。包括基于邮件的垃圾邮件、病毒邮件,以及传播僵尸、木马以及网络钓鱼的部分。
基于web服务器,有网页篡改、仿冒等攻击。针对FTP/SMTP/HTTP/DNS/Voip等应用协议的特定攻击。基于主机或应用特定漏洞的入侵,实现权限的提升,进而窃取机密信息。这些都是业务层所面临的风险。
基于这些一些风险,我们应该怎么去防护?这是IDC历来一直在思考的问题,也是我们在安全防范技术思考的问题。基于这个问题,看一看基于传统的IDC保护手段有那些局限性。有一个概念,所谓IDC的防护,我们就需要考虑从我们的网关到后台,进行全方位的保护的机制。比附说我们在网络的边界,我们需要部署防火墙,我们需要部署IDS、入侵检测以及IPS入侵防护。在网络的中间,需要部署有Web服务器,就需要部署Web应用的防火墙,或者基于Web应用的设备,我们需要部署垃圾邮件网关,还需要部署基于主机的防护产品。
但是有没有考虑,对于IDC而言,现在考虑的解决方案相对是比较孤立的,为什么这么说?IDC和企业最大的不同就是它所提供的应用和服务是存在多样性以及变化性的特点,它是伴随着企业的用户、租用服务的用户不断的需求而不断改变的,而这个改变的特性决定的IDC在解决方案的时候,始终处于一个动态变化的模式下,没有一个静态的解决方案供我们做永久的选择。
所以现在考虑安全防护解决方案的时候及相对比较孤立,有一种“头疼医疼,脚疼医脚”的概念。使我们终于陷入一种被动的保护手段,这样一个保护手段我们真正实现的是单向投入,而没有回报的模式。IDC的初衷是以出租我们的资源,达到盈收的模式,但我们被动的保护,使得安全这一部分成为IDC自己的负担,需要IDC自己单向投入,没有任何营收的来源。
这样一个单向的投入,导致安全防护的设备更新换代的代价非常大,更新换代的成本非常高。随着安全技术的发展,我们的安全技术往往日新月异,每隔几个月就有新的技术、新的产生投入使用。作为IDC来说,是一个互联网的服务窗口,它所面临的安全风险和安全威胁往往都是互联网上最先进,也是最为多变的安全威胁的攻击方式,所以我们需要不断的升级安全解决方案,去给我们提供防护。
但是因为面临众多的应用,需要部署很多的安全防护架构,使我们更新换代的成本非常高。这种成本包括人员运维的成本,包括需要投入大量硬件升级、软件的版权升级,网络、电源设备等等。比如伴随着一次安全设备的升级,包括服务器、网络设备、软件版本、人员培训以及日后的运维,这些都是额外资源的投入,这显然跟我们目前倡导的低碳和绿色IDC是相违背的。
与IDC总体理念相违背,IDC的目标是以创造资源为创收。基于这一点,我们所提出的安全先进IDC的防护解决方案的方向:第一,要提供以用户为导向的差异化安全增值服务,这样一个理念的核心思想,我们自己单向投入的安全防护转向为给用户提供增值的服务,在防护自身的同时,把IDC安全防护作为一种增值服务提供给用户。所以对于每一个用户而言,他们都可以根据自己的要求,根据自己的实际情况,去选择有模块化的安全服务。比如说我需要在网络中部署防火墙,我需要在网络中之避暑IPS,IDC提供商来说,我们可以把安全服务提供给这个用户,他就可以去具备这样的安全富户。
通过这样一个特点,我们在给IDC本身提供安全服务安全防范的同时,把这个服务业出租给了用户,作为增值的服务,使IDC真正把安全的防护变成一种可利用、可创收的服务模式。
第二,从IDC自身安全防护到IDC用户安全的转变,对不同的用户都提供不同级别的安全防护手段。基于这样一个防护而言,我们所需要实现的原则是,真正实现绿色IDC的目标,这个目标就是减少资源的重复投入,减少资源的浪费。因为对IDC来说,我们的资源总量是一定的,所谓要减少IDC资源浪费的原则就是说,在我们保持IDC总体所能租用的服务和资源总量不变的情况下,尽可能的实现跟多的创收,更多的营收,这我们要去倡导绿色IDC、绿色IT的原则。
基于这个原则,我们所需要的提供技术支撑有哪些?第一个技术支撑很重要的一点,我们要选择国际化专业安全厂商作为长期深度合作伙伴。因为对于IDC而言,我需要跟随世界领先的安全防护技术所需要的第一原则,就是我们要有一个深度的合作厂商,这样一个深度合作厂商和普通的厂商和产品使用的用户而言,他们的关系是完全不同的。
转截请注明:文章来自 pc捍卫者 http://www.pchwz.com
本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点