互联通IDC数据中心安全建设标准

　　互联网突出的特点是开放性和透明度，打破了时空界限，不受时区界限和地理位置的影响，但从国家安全和商业运营的角度看，安全成为十分重要的问题。随着互联网的飞速发展，不断发生网络被非法入侵，重要数据被窃取，甚至造成网络瘫痪等，给国家和企业造成了巨大损失，安全问题更加突现出来，成为刻不容缓急待解决的问题。

　　对于IDC来讲，安全是首要的基本要求，提供安全服务已成为IDC的重中之重。

　　一、互联通IDC机房安全建设

　　1.1 互联通机房建设

　　机房承重符合电信机房承重设计要求，整体抗地震级别达8级，可供用户放置一些特型设备；

　　机房具有标准电信级机房和机架；

　　机房提供用户公共操作间及工作区，供用户调试及维护设备，以尽量减少用户进入托管区；

　　机房内每天有专人负责机房的卫生，防止灰尘对用户服务器带来的影响。

　　1.2互联通电力安全

　　数据中心设有专用的变电站，电源分两路从发电厂输送到变电站；

　　为保障分配给用户的电力不间断的供应，数据中心电力机房安装了智能UPS系统及容量充足的电池，可以保证持续供电；

　　数据中心配备柴油发电机组，可为用户提供99.99%的电力供应保障。

　　1.3 互联通消防安全

　　数据中心机房采用防火构架及材料，消防能力符合电信级标准，备有多个紧急通道；

　　机房及楼道内安装温度烟雾感应消防系统，防火报警探测头，遇火情时系统自动报警，并启动惰性气体灭火系统灭火；

　　机房内还可另外配备手提式、推车式灭火器。

　　1.4 互联通安全监控

　　数据中心大楼有7×24小时的专业保安人员，用户进入大楼时，需登记或持有通行卡方可入内；

　　为保证用户的托管设备安全，数据中心具有电视监控及出入机房控制系统，达到整个楼层没有监视盲区；

　　电视墙监控系统有专人7×24小时值守，所有录像保存3个月以上；

　　出入机房门禁系统采用先进的数据库管理，用户身份卡内保存有持卡人编号，进出区域限制，时间限制等，只有经过特殊授权的人员才能进入重要区域。

　　二、 互联通IDC网络安全建设

　　2.1 IDC面临的安全威胁

　　互联通提供的安全服务是把整个IDC作为一个整体来考虑。我们可以把整个IDC 的网络结构看作是一个企业的内部网，则所有IDC网络中的资源是我们需要保护的部分，其中既包括IDC 自身的资源：DNS Server、Mail Server、防火墙和路由器等等，又包括客户托管的主机等资源。无论是哪一部分都需要我们保障其正常的运作。IDC 的特点就是能为客户提供安全、可靠和高质量的服务。作为一个IDC，仅有光纤线路、高速的出口带宽是不够的，它必须能为客户提供7*24*365 的不间断服务和最有效的安全，这就对一个IDC的安全提出了新的要求。

　　IDC作为为用户提供增值服务的机构，必然面临着来自整个Internet的安全威胁。虽然我们可以在Internet的出口处配置防火墙，但防火墙本身在安全防护方面存在一定的缺陷，即它只能提供静态的、被动的保护，而对动态的威胁无能为力。 适当配置的防火墙虽然可以将非预期的信息屏蔽在外 ，但我们要接受来自Internet的访问、要收发E-mail、要对外提供WWW 服务，就必须在防火墙上打开一些固定的端口，这样入侵者还是可以利用这些打开的端口渗透到我们的内部网络，对我们的网络资源进行破坏，所以我们还是面临着来自外部世界的安全威胁。

　　IDC 为客户提供主机托管、整机租用、虚拟主机等多种类型的服务，而在提供这些服务的同时也必须为客户留出维护通道。这里就存在着来自客户端的安全隐患。业务的多样性使得安全变得更加复杂，一旦有配置不当的现象出现，恶意客户往往可以利用这些漏洞和安全弱点对其他客户发起攻击，篡改他人的主页或者使之不能正常提供服务，从而给被攻击的客户造成重大损失，同时也严重影响IDC 的形象及声誉。因此，我们应当充分考虑IDC 的整体安全。

　　2.2 互联通提供的安全方案

　　（1）低级别安全方案

　　基本网络访问保护基本的商用操作系统和数据库，处于同等安全级别的多个客户的服务器系统共用一个防火墙；

　　服务商通过调整服务器配置和防火墙访问策略给服务器提供基本保护。

　　（2）中级别安全方案

　　客户独占的防攻击保护；

　　客户系统专用的防火墙；

　　提供必要的防病毒措施；

　　定期的安全扫描；

　　服务器和所在子网的入侵检测或入侵防御；

　　通过Internet的VPN；

　　通过运营商骨干节点的MPLS VPN.

　　（3）高级别安全方案

　　昂贵的权限分离的防攻击方案；

　　客户系统专用的防火墙；

　　提供必要的防病毒措施；

　　基于令牌的管理员身份鉴别系统；

　　增强的强制访问控制；

　　定期的安全扫描；

　　服务器和所在子网的入侵检测；

　　数据异地备份和灾难恢复策略；

　　通过Internet的VPN；

　　通过运营商骨干节点的MPLS VPN.