摘要:是伴随着互联网不断发展的需求而发展起来的,可为ICP、媒体和各类网站提供大规模、安全可靠的专业化服务器托管、网络带宽批发以及ASP等业务。对于电信行业来说,IDC是直接面向企业用户最简洁的通道,所以也
|
是伴随着互联网不断发展的需求而发展起来的,可为ICP、媒体和各类网站提供大规模、安全可靠的专业化服务器托管、网络带宽批发以及ASP等业务。对于电信行业来说,IDC是直接面向企业用户最简洁的通道,所以也成为电信行业企业客户市场突破的重要突破口。 伴随着电信行业大力发展IDC业务,IDC逐步发展了众多的业务模式,例如主机托管、主机域名、企业邮箱以及承载WEB、公司应用的业务等,也包括一些增值业务比如 在线存储业务等等。这些业务的集中使得IDC具备了重要性、大带宽、运维复杂性等多种特性。典型的IDC逻辑架构如下图所示: IDC的特性决定了其安全威胁风险的特殊性和复杂性。根据IDC的逻辑架构,其安全风险主要集中在网络层与业务层。 IDC的网络层由路由器、交换机等数据通信设备和安全设备组成。网络层在整个IDC中属于IT基础架构,是开展IDC业务运营的基础。数据通信设备在整个IDC运营中起到承上启下作用:一方面,它对外担负着IDC与外界其他网络系统,如互联网等网络的互连互通;另一方面,它对内承载着各种IDC业务系统。 网络层的安全风险主要是针对网络基础架构的攻击行为,包括:Dos/DDos攻击、来自外部的网络攻击行为、各种僵尸/蠕虫/木马等恶意代码的侵害等等。网络层面的攻击行为往往与特定的应用无关,针对的是网络中的漏洞,具体体现在对IDC网络基础架构的威胁上。 业务层是IDC的核心要素,也是IDC价值的具体表现形式。它通过市场的需求情况,将IDC内的各种资源进行合理的整合和配置,对外包装出符合市场需求的可运营产品或服务,并将这些产品和服务销售给IDC客户。业务层按照IDC提供的服务属性可以分为基础类业务和增值类业务两大类。 业务层的安全风险主要是针对后台业务运行的主机以及主机上承载的特定应用。其风险的表现行为包括:垃圾邮件、针对Web/DNS/FTP等服务器的应用层攻击、针对服务器本身系统级的入侵行为等等。业务层的安全风险主要针对的是IDC托管运行的特定应用,和IDC服务的用户密切相关,需要进行重点的防护。 对于IDC而言,传统的安全防护解决方案是以IDC自身为主,所有的防护手段围绕着IDC本身的逻辑架构进行建设。例如在互联网边界部署防火墙、IDS/IPS提高网络层的安全防护能力;在后台主机上部署主机加固、主机IPS等解决方案提高主机的安全防护能力。但是,传统的IDC防护手段属于IDC单向的投入,并不能为IDC业务带来任何的回报,这显然与IDC的建设初衷相违背。此外,孤立的以IDC自身为主进行安全建设和防护,使得IDC的安全防护很难跟上国际发展的水平,使得IDC要么安全防护水平落后,要么需要花费大的代价不断升级自身的安全防护系统。这与IDC先进的网络基础构架形成了鲜明的反差。 现代IDC建设主要目标在于在能够为用户提供高效、稳定的服务的前提下,如何合理、最大化的利用现有资源形成最大的投资回报。基于这个原则,我们提出IDC建设以用户为导向的差异化安全增值服务的理念。这个理念的核心是IDC在建设安全防护时,可以把相关的安全防护解决方案作为模块化的服务提供给用户。IDC的用户按照自身安全防护的要求选择对应的安全防护模块,从而形成面相用户的差异化安全防护。而作为IDC运维的电信企业来说,通过为用户提供增值的安全防护解决方案,能够获得额外的回报,从而把以前单向的安全防护投入转变为能够带来利润的增值服务之一。 对于IDC来说,在提供面相用户的增值安全服务的同时,如何减少自身的投入(包括软硬件投入、能耗投入等等),实现绿色IDC,已经成为IDC安全建设发展的主流方向,也是其开源节流的重要方式。我们在之前的章节分析过,IDC主要面临的安全风险包括网络层面的风险和业务层面的风险。对于网络层面的风险,主要是针对IDC基础网络构架的,所以需要在IDC不同的层面部署网络安全防护解决方案,例如防火墙、IDS/IPS等等,并且通过虚拟化等技术实现差异化的安全增值服务。而对于业务层的风险,主要是针对特定用户的特定应用,不会对IDC的基础网络架构造成损害。IDC可以通过与专业的安全厂商进行合作,通过云安全技术以及SaaS的模式进行提供差异化的安全防护服务。作为专业的安全厂商,有足够的资源形成云安全服务的汇聚点,而IDC能够通过聚集用户形成很好的服务提供平台。通过双方的合作,可以将安全厂商的专业云安全服务在IDC形成本地化服务,而SaaS的服务模式前期不需要IDC投入任何的软硬件资源,即可为用户提供丰富多样的安全防护增值服务,极大的降低了自身的能耗和资源投入,同时也开辟了多样的盈利渠道,符合绿色ID C以及开源节流的发展趋势。对于用户而言,能够以较低的成本随时选择多种领先的安全防护服务,例如防垃圾邮件、Web安全防护等等。 *选择国际化专业的安全厂商。IDC作为电信行业对外的服务窗口,对SLA以及安全防护级别要求非常高。而IDC的防护发展趋势是选择与有成熟云安全技术和虚拟化技术的安全厂商进行合作。这使得IDC在选择安全合作伙伴时,必须选择国际化领先的专业安全厂商; *选择具有虚拟化技术的网络层安全防护设备。对于IDC来说,网络层的防护需要在IDC的环境中部署产品。而提供以用户为导向的安全增值服务的关键在于设备本身具有虚拟化的功能。所以在选择网络层安全防护产品,例如防火墙、IDS/IPS时需要选择具有虚拟化技术的安全设备; *与安全厂商合作,实现SaaS的云安全防护平台。通过提供SaaS的云安全防护模型,IDC能够以很小的代价和资源消耗为用户提供领先、丰富的安全增值服务,实现绿色IDC和最佳投资回报的建设目标。 McAfee是全球最大的专业致力于信息安全产品和服务的厂商,也是全球最有影响力的十大软件公司之一。McAfee拥有世界权威的反病毒紧急事务响应小组(AVERT)、IntruVert入侵防护响应小组及FoundStone漏洞分析小组,提供7/24的研发和支持服务,并且2006年在中国设立了NSP研发中心, McAfee密切关注网上安全问题,为组织机构提供整体的安全顾问服务,推出网上诊室,是安全研究联盟SRA的主要成员。 作为全球最大的专业安全厂商,McAfee具有成熟的IDC安全防护解决方案,能够为IDC用户提供基于虚拟化技术的网络层安全防护设备和专业级的基于云安全的SaaS安全解决方案。 McAfee的NSP是全球首个产品化的IPS设备,它能够对已知攻击、未知攻击以及拒绝服务攻击进行检测和防御,满足各种企业网络的安全要求。McAfee NSP能够通过部署业内最全面、最 虚拟IPS能够将探测器划分为多个虚拟探测器,这些虚拟探测器可以使用不同的探测和防护策略保护不同的VLAN、子网和主机(包括自定义的攻击选择及相关响应措施)。虚拟IPS可以根据一组地址、一个或多个标记来定义,也可以通过探测器上的特定端口来定义。 NSP 体系结构的虚拟功能可以通过三种方法来实施。第一,将虚拟局域网标志分配给一组网络资源;第二,使用无类别域内路由标志来保护一组地址;第三,将系统接口专门用于保护特定部门、地区机构或组织职能部门的网络资源。 基于VIPS/32 掩码具体到单一主机的水平。例如,可以使用单一主机的特有策略来识别攻击,并做出响应。 对于IDC环境而言,NSP是理想的网路层安全防护解决方案。通过虚拟化技术,能够灵活的实现以用户为导向的安全增值服务理念,从而减少总体拥有成本,扩展盈利模式,同时也提高了安全的总体防护水平。 作为网络层安全防护产品,最大的局限在于无法感知到后台主机的安全水平,做到有针对性的事件过滤与关联报警。McAfee NSP能够集中应对最有关联的告警和攻击,提供更高的运作效率。NSP允许导入和关联McAfee Foundstone风险评估产品(或其他第三方产品)的信息,实现优先级的风险管理: 在上述章节我们分析了IDC使用基于云安全的SaaS服务作为业务安全防护解决方案的各种优势。IDC在选择基于云安全的SaaS服务伙伴时,很重要的衡量标准就是合作伙伴提供SaaS服务的多样性以及成熟的云安全架构。只有在这两点的基础上,IDC才能够为最终用户提供丰富、专业级的SaaS服务,从而达到最佳投资回报的目标。 McAfee作为全球最大的专业安全厂商,是最早为用户提供SaaS服务的厂商。目前McAfee提供的SaaS服务包括: 可以说,McAfee提供了全球最为丰富的SaaS安全解决方案的种类,为IDC提供了多种选择,从而也为IDC的客户提供了多层防护模块的选择。在多种SaaS安全解决方案后台,是McAfee成熟的云安全网络的支持。McAfee的云安全网络我们称之为“全球智能威胁威胁分析系统”(GTI)。GTI兼顾了消息、Web 和网络安全领域的安全性,为 Internet 安全创建了一把多平台保护伞,这正是 Internet 安全领域长期缺失的。GTI从超过100多7000 多台传感器(每月包括超过亿条消息和数百万个 URL)积累了大量的数据,以便极其准确地创建 Internet 中所有发件人、网站和域活动的档案,GTI 就可以使用这些档案来监视是否存在违反预期的行为,从而精确的提前定义出可能发生的安全风险与威胁。 正是借助了McAfee成熟的云安全网络,使得我们能够与IDC合作,给用户提供专业级的国际领先的安全防护解决方案,从而顺应IDC安全防护发展的潮流和趋势。 IDC的不断发展使得其安全防护的方向和技术一直都是困扰用户的一大难题。McAfee作为全球最大的专业安全厂商,提出以用户为导向的差异化安全增值服务理念。通过在网络层提供具有虚拟化技术的网络安全防护设备,以及在业务层提供基于云安全的SaaS安全增值服务,能够使得IDC的资源优化达到最佳,实现高效、可靠的安全防护体系。通过与McAfee合作,IDC能够在降低自身资源消耗、减少投入的情况下实现为用户提供国际领先的差异化安全增值服务的目标。从而在能够为用户提供高效、稳定的服务的前提下,合理、最大化的利用现有资源形成最大的投资回报,达到绿色IDC与高效IDC的建设目标。 比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。 比特商务周刊是一个及行业资讯、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊! 比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、组网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。 比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。 比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、数据保护与容灾构建以及数据管理部署等方面服务。 比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。 新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,覆盖面广的媒体传播途径。 比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。 比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。 IT专家新闻邮件长期以来,以定向、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、线下会议、读者沙龙等多种服务。 X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。 (责任编辑:admin)
|
成熟的网络解决方案来降低企业安全风险。是基于 ASIC芯片及FPGA的设备,可前瞻性地防护终端和关键网络基础设施不受已知的攻击、Zero-day攻击、DOS/DDOS 攻击和加密攻击的威胁,也不受间谍软件、VoIP 漏洞、botnet、恶意软件、网络钓鱼诈骗攻击、木马以及等应用程序的威胁。
谈谈您对该文章的看