一、IDC現狀及發展趨勢
根據中國IDC圈2013年3月發布的《2012-2013年度中國IDC產業發展研究報告》數據顯示，2012年全球IDC市場整體市場規模達到255.2億美元，增速為14.6%。從報告中可以看出，在全球數據中心市場中，歐美地區市場需求已趨于飽和，亞太地區正成為帶動全球IDC市場的主要動力。其中，美國已開始逐步關閉部分小型數據中心，政府帶頭部署云計算；歐洲略落后于美國，云計算尚在部署階段；而亞太尚處于IDC基礎建設階段，未來潛力巨大。
國內IDC市場中，金融和電信行業的數據中心建設占據了50%的市場份額，其次是政府、制造和能源行業，廣電也開始加入其中。網絡游戲和視頻等應用業務成為拉動IDC市場增長主力，云計算已成為IDC產業未來發展趨勢，而網絡安全成為IDC產業日益關注的問題。

二、IDC網絡架構及面臨的安全威脅
IDC網絡架構一般包括四層：互聯網接入層、匯聚層、業務接入層和運維管理層。互聯網接入層由2臺核心路由器組成，作為IDC和互聯網互聯互通的紐帶，對外完成與互聯網的高速互聯，對內負責與IDC的匯聚層交換互聯，負責IDC內部路由信息與外部路由信息轉發和維護等，互聯網接入層的出口帶寬至少20Gbps，多采用多條10 Gbps出口鏈路。匯聚層由多臺成對的匯聚交換機組成，是業務接入層交換機的匯聚點，并上聯到互聯網接入層核心路由器，匯聚層交換機與互聯網接入層核心路由器之間多采用多條10Gbps鏈路連接。業務接入層由接入交換機和各業務系統的服務器、存儲等設備組成，是對外提供IDC相關業務的核心，接入交換機與匯聚交換機之間多采用多條千兆鏈路連接。運維管理層提供網絡管理、資源管理、業務管理、安全管理、運營管理等IDC管理功能，向IDC的運營維護人員和客戶提供設備管理、系統維護、遠程接入等服務。
IDC所面臨的安全威脅主要體現為：網絡層的非法訪問，網絡漏洞的存在，DDOS攻擊等入侵和攻擊行為，大量惡意流量，有效帶寬問題，用戶的訪問行為取證，等等；業務層的系統自身脆弱性的存在，病毒、垃圾郵件泛濫，網站被篡改、掛馬、受到SQL注入/跨站等攻擊，系統可用性保障，等等；管理層的系統如何運維管理，運維人員的操作是否違規，安全事件如何統一管理分析，運維終端自身的安全性，IDC如何監管，等等。

三、清信安IDC整體安全解決方案
針對上述IDC面臨的安全威脅，清信安推出了IDC整體安全解決方案，從互聯網接入層、匯聚層、業務接入層和運維管理層四個層面，提出了相應的安全解決方案，
如下圖示。

                      清信安IDC整體安全解決方案圖

互聯網接入層
互聯網接入層是整個IDC業務的出口，承擔著抵御DDOS攻擊和保證帶寬正常可用及IDC業務可正常訪問的重任，重點需防治DDOS攻擊造成的帶寬或主機資源被大量消耗。
抗DDOS/流量清洗

建議部署清信安公司的萬兆級抗DDOS/流量清洗設備QsecDDOS，清洗攻擊流量，保證整個IDC網絡帶寬的可用和IDC業務的可訪問。QsecDDOS應用了清信安自主研發的抗拒絕服務攻擊算法，創造性地將算法實現在協議棧的最底層，避免了QCP/UDP/IP等高層系統網絡堆棧的處理，使整個運算代價大大降低, 并結合特有硬件加速運算，因此系統效率極高。QsecDDOS另借助清信安攻防實驗室多年的DDOS攻擊研究成果，具有業界最完善的DDOS攻擊檢測能力。

QsecDDOS通過異常流量檢測系統實時檢測DDOS攻擊，一旦檢測到攻擊流量，就將異常流量牽引到異常流量清洗系統進行攻擊流量清洗，將清洗后的正常流量再回注入網絡，這樣即可實時抵御來自互聯網的DDOS攻擊，有效過濾DDOS攻擊流量，保障IDC業務持續正常訪問。
如下圖示，是IDC抗DDOS/異常流量清洗部署和工作示意圖。

清信安IDC抗DDOS/流量清洗解決方案圖

匯聚層
匯聚層是IDC業務匯聚之處，首先需要把好網絡安全關，如訪問控制、入侵檢測、網絡脆弱性掃描、網絡設備安全加固等，其次肩負著為IDC業務做負載均衡和進行流量分析管理等職責。

高性能防火墻
建議在匯聚層部署清信安公司的萬兆級NGFW高性能防火墻QsecNSG，為需要邊界防護的IDC用戶提供訪問控制等增值服務。清信安目前有擎天系列并行多級硬件架構機架式萬兆高性能防火墻和獵豹系列基于QsecASIC芯片萬兆級高性能防火墻，基于高效安全自主QOS操作系統和多核架構，采用了自主原創實現數據層多核快速轉發的高性能業務處理技術QsecQURBO，處理能力高達320Gbps，支持防火墻、VPN、入侵防御、病毒防御、URL分類過濾、虛擬防火墻、IPV6等功能，支持VPN虛擬化接入，非常適合部署在IDC匯聚層為不同IDC用戶提供不同要求的邊界安全防護。

       清信安NGFW防火墻多核架構

高性能網絡入侵檢測
建議在匯聚層部署清信安公司的萬兆級高性能網絡入侵檢測系統QsecSenQry，為需要網絡入侵行為檢測的IDC用戶提供入侵、攻擊檢測等增值服務。清信安自主研發的網絡入侵檢測系統QsecSenQry，采用了與防火墻產品相同的多核處理硬件平臺和自主知識產權QOS系統，基于先進的SmarQAMP并行處理架構，內置處理器動態負載均衡專利技術，結合獨創的SecDFA核心加速算法，全面支持IPV6，可實時快速檢測包括溢出攻擊、RPC攻擊、WEBCGI攻擊、拒絕服務攻擊、木馬、蠕蟲、系統漏洞等超過3500中網絡攻擊行為，在滿流量+全規則+攻擊流狀況下，無論是大包還是小包，均能達到萬兆級滿速檢測率。非常適合部署在IDC匯聚層萬兆級環境。

清信安QsecIPS五合一安全防護功能圖

網絡安全審計
建議在匯聚層部署清信安公司的上網行為管理系統AM，為IDC用戶提供用戶網絡行為審計和取證增值服務。清信安公司自主研發的AM采用基于量子存儲技術，可有效保證海量審計數據不丟失；利用云審計平臺的自治查詢技術充分發揮Qsec多核平臺的計算能力，可實現海量數據查詢操作的瞬時返回，真正實現即查即顯；提供PPPoE實名審計、AD域實名審計 、802.1x實名審計；采用海量原始數據包存儲，供專業人士進行深度分析，國內唯一；采用專用硬件架構與雙專用安全操作系統冷備，當常用系統出現故障可使用備用系統迅速恢復。
脆弱性掃描與管理

建議在匯聚層部署清信安公司的脆弱性掃描與管理系統QsecVAS，為IDC用戶提供定期脆弱性掃描增值服務。QsecVAS采用B/S架構，基于CVSS、等級保護的科學掃描理念，集合了智能服務識別、多重服務檢測、腳本依賴、腳本智能調度、信息動態拋出、安全掃描、優化掃描、拒絕服務腳本順序掃描、斷點恢復等先進技術，確保了掃描的高準確度、高速度。QsecVAS掃描引擎采用基于主機、目標的漏洞、網絡、應用的檢測技術，最大限度的增強漏洞識別的精度。QsecVAS漏洞知識庫大于20000條、每周保持更新、兼容Nessus插件庫、兼容國際CVE標準。QsecVAS提供多種掃描策略模板和參數模板，可實現多種任務掃描、多主機掃描、授權掃描等，可實現級聯部署、對外接口、Syslog日志、統計對比報告等，還可對掃描的各種目標設備進行有效的監管。

應用流量管理
建議在匯聚層部署清信安公司的應用流量管理系統QsecLK，為IDC用戶提供業務應用流量分析和管理增值服務。QsecLK具有業界最強大的協議識別引擎，其獨有的“加密協議深度識別”技術可以識別經過加密的P2P協議，可準確識別除傳統QCP/IP協議外高達600多種七層應用協議。提供帶寬限制、帶寬預留、帶寬保證，支持策略嵌套，支持硬件Bypass功能，可對單IP進行限速，可對流量進行精細化的管理，支持HQQP控制和DNS重定向、DNS劫持、丟棄請求的DNS控制，具有應用流量深度放大、應用分流及流量代理、用戶身份追查等功能，支持跨路由代理流量檢查，支持基于QCP、UDP連接數控制，支持DSCP標記以和路由器聯動，提供豐富的報表功能，可為用戶提供了應用監視、流量分析、流量管理、流量統計、流量管理控制等功能。

               清信安QsecLK應用流量檢測圖

服務器負載均衡
建議在匯聚層部署清信安公司的服務器負載均衡系統SLB，對需要服務器負載均衡服務的IDC用戶提供增值服務。SLB采用了智能服務器負載均衡技術，支持多種負載均衡算法，動態監測服務器的性能和健康狀態，支持QCP、HQQP、HQQPS、自定義等多種服務健康檢查方式，自動選擇最佳服務器并智能地均衡服務器流量，可隱藏服務器真實IP，支持10種以上快速高效的智能負載均衡算法，支持快速高效的非持續性負載均衡算法和多種持續性負載均衡算法，支持專為Cache服務器設定的負載均衡算法，支持服務器流量的自動均衡，支持服務器最大連接數限制，具有會話保持功能，可實現服務故障自動通知，支持服務器負載均衡高可用性部署等。

業務接入層
業務接入層是IDC各種業務核心所在，需要重點考慮IDC業務安全，如防御針對網站的攻擊、對網站進行網頁防篡改防護、對IDC業務系統上線前的安全評估與加固等。

WEB應用防火墻
建議在業務接入層部署清信安公司的WEB應用防火墻QsecWAF，為IDC用戶提供網站安全防護增值服務。QsecWAF是清信安公司自主研制出品的新一代網站“替身”防護產品，可從事前預警、事中防護、事后分析三方面提供對網站進行全周期安全防護。事前，QsecWAF對網站服務進行動態監視，實時監測系統的服務能力及服務質量，建立安全隱患預警機制；事中，QsecWAF基于“無故障運行時間”原則，依托穩定、高效、安全的系統內核及先進的多維防護體系，通過WEB應用威脅防御、網頁防篡改、抗拒絕服務攻擊和WEB應用優化等多項功能，保障網站應用服務系統的運行質量；事后，QsecWAF提供多角度的決策支撐數據，為用戶提供清晰詳盡的階段性報表，幫助網站管理者準確地了解網站的運行狀況并進行有針對性的調整。

           清信安QsecWAF事前、事中、事后全周期防護圖

網頁防篡改
建議在業務接入層部署清信安公司的網頁防篡改系統，為IDC用戶提供網頁防篡改增值服務。清信安網頁防篡改系統，采用增強型事件觸發+系統（內核）文件底層驅動過濾技術（即第三代防篡改技術），安全、穩定、可靠；采取先進的多重防護技術，杜絕篡改；完全基于內核級事件觸發機制，對服務器資源占用極少，效率遠高于同類產品；對服務器安全性能實時監控，確保服務器安全穩定運行；對WEB服務運行狀態進行安全監控，保證WEB服務部受限于異常事件干擾；支持保護WEB服務器配置文件，杜絕網站指向遭到破壞。可有效防止黑客、病毒等對目錄中的網頁、電子文檔、圖片、數據庫等任何類型的文件進行非法篡改和破壞。

                  第三代防篡改技術演進圖

系統上線前評估加固
建議在業務接入層，通過清信安公司的專業信息安全服務，為IDC用戶提供IDC業務系統上線前評估加固增值服務。清信安具有分布于全國各地的超過70人的專業信息安全服務團隊，儲備了各種專業信息安全服務人才，可為IDC用戶提供涵蓋網絡設備、主機設備、操作系統、數據庫、安全設備等各種設備和系統的系統上線前的評估與加固等專業信息安全服務。

運維管理層
運維管理層的核心任務是保證整個IDC的網絡、設備、系統等的正常、安全運轉和業務的正常、安全運行，需要重點考慮IDC的邊界安全防護、4A（賬號/認證/授權/審計）、數據庫審計、終端安全、運維審計、安全管理、運維管理、遠程VPN安全接入、以及由第三方信息安全公司提供的包括遠程網站安全監測與恢復、安全事件審計與預警、安全策略風險評估等在內的安全云服務等。

防火墻
建議在運維管理層部署清信安公司NGFW防火墻QsecNSG，將IDC運維管理區與IDC業務區邏輯隔離開。可針對用戶不同的網絡環境和不同的應用場所，提供從萬兆機架式、萬兆非機架式到千兆高端、千兆中端、千兆低端、百兆等多種級別防火墻，以及病毒過濾、入侵防御、URL過濾等多種功能選擇。

VPN網關
建議在運維管理層部署清信安公司的IPSEC/SSL VPN多合一VPN網關QsecVPN ，為IDC運維人員提供帶外遠程VPN安全接入IDC運維管理區，進行運維操作和管理。QsecVPN 基于自主知識產權的QOS安全操作系統，采用領先的AMP技術，采用先進的多核并行技術和智能集群技術，內置高速壓縮算法。支持iOS、Android等智能終端接入。支持應用QoS，支持WebCache加速，集成了強大的防火墻功能。支持用戶名/口令、證書、USB Key、短信、動態令牌、硬件特征碼、指紋等多種認證方式，支持第三方CA和CA在線認證。支持統一用戶管理，支持多種單點登錄方式，用戶只需一次認證即可訪問所有授權業務資源。支持虛擬門戶，不同IDC用戶可擁有獨立的接入門戶，定制不同登錄界面、功能模塊、認證方式等。

            清信安VPN遠程安全接入圖

4A（賬號/認證/授權/審計）
建議在運維管理層部署清信安公司的4A（賬號/認證/授權/審計）系統QsecQB，為IDC運維人員提供統一的4A管理。QsecQB擯棄了傳統的單點登錄技術的實現方式，采用國內領先的支持C-S 和B-S 架構的單點登錄（SSO）實現機制，無需任何系統改造，其實現方式與應用系統的操作平臺、開發平臺、開發語言、數據庫、Web 服務器無關，在不改變現有軟硬件及網絡環境的前提下，無縫地將用戶各種現有的應用系統整合到單點登錄平臺上，實現一次登錄后就可訪問所有的應用系統。真正實現了“即插即用”、 “一點登錄，全網漫游”，真正體現了與“應用無關”的完美集成概念。

      清信安4A（賬號/認證/授權/審計）架構圖

運維審計（堡壘主機）
建議在運維管理層部署清信安公司的運維審計（堡壘主機）系統QsecQB，為IDC運維人員提供統一的運維操作審計。QsecQB支持主賬號、被管資源、角色的樹形無限級分組，支持靜態口令、證書、智能卡、指紋等認證方式，支持豐富的被管資源并可自動收集被管資源的賬號，支持所有被管設備的密碼自動變更，可將訪問控制配置抽象成主機命令策略、訪問時間策略、客戶端地址策略、訪問鎖定策略四種策略以簡化用戶的配置和使用，可有效實現單點登錄、集中賬號管理、身份認證、資源授權、訪問控制和操作審計，非常適合于對IDC運維人員的管理和操作行為的審計。

清信安運維審計（堡壘主機）功能示意圖

數據庫審計
建議在運維管理層部署清信安公司的數據庫審計系統QsecQB，為IDC運維人員提供數據庫操作審計，及時發現數據庫違規操作，保護IDC業務數據庫的安全。QsecQB作為高性能專業數據庫審計硬件產品，廣泛支持Sybase、DN2、SQL Server、Oracle、MYSQL、Informix、PosQgreSQL、達夢、南大通用Gbase、人大金倉等多種數據庫審計分析；基于量子存儲技術，可有效保證海量審計數據不丟失；利用云審計平臺的自治查詢技術充分發揮Qsecsec多核平臺的計算能力，實現海量數據查詢操作的瞬時返回，真正實現即查即顯；采用面向數據應用的壓力分析技術，實時、準確的審計分析所有SQL語句，明確判斷SQL語句的操作類型、操作對象；支持自定義的SQL語句分析功能，國內唯一；具有實時分析統計報表功能，有效解決了統計報表查詢長時間等待問題，實現統計報表即查即顯；國內唯一真正實現三層關聯審計分析，關聯分析準確度高達90%以上；實時告警分析，支持用戶自定義告警規則，支持郵件、短信、命令行、防火墻聯動等多種告警方式。

IDC網絡是最具代表性的大型機房業務提供網絡，清信安IDC整體安全解決方案，一方面體現了清信安對IDC面臨的安全問題的深刻理解，另一方面也體現了清信安強大的安全產品、安全服務和安全解決方案能力。
作為國內最具實力和最值得信賴的安全產品/安全服務/安全解決方案提供商，清信安愿為用戶提供更多、更好的整體安全解決方案