互联网idc行业遇到什么风险和挑战

互联网idc行业遇到什么风险和挑战,第1张

挑战 #1:数据泄露那为人所知的影响

看起来无穷无尽不断登上新闻头条的数据泄露事件,让公司企业,包括高管和董事管理层,都意识到了安全的重要性,也感受到了可能成为下一个受害者的恐惧。

去年,《Tripwire》调查中82%的受访者认为自家公司会遭遇数据泄露。ISACA和RSA的联合调查也表明,78%的董事会如今对计算机安全十分在意。

这种高度关注,部分是由于计算机犯罪造成的损失。据美国战略与国际问题研究中心估计,计算机犯罪每年造成的损失高达4450亿美元。很不幸,随着公司企业处理和存储更多的信息,随着网络犯罪愈加流行且影响越来越大,这个数字也会水涨船高。

网络犯罪在频度、影响和复杂性上持续升级,公司企业无论规模和产业,均受其威胁。一起数据泄露或网络入侵事件,就可以致使公司企业损失客户、利润和信誉,遭遇运营持续性的伤害和数据完整性质疑。对某些公司而言,这些损失的程度可以从惨痛到完全不可恢复。

挑战 #2:技术缺口

引发数据泄露损失上升的驱动因素之一,就是持续升温的信息安全技术缺口问题。

上文提及的ISACA/RSA调查中,52.44%的受访者觉得自家公司员工中只有不到1/4是称职的。这些受访者同时指出,安全实践者理解业务的能力是最大的技术缺口。

该问题给公司企业带来了很严重的风险。如果安全实践者不能完全理解他们业务的本质,安全和业务负责人就无法看清每个资产在支持公司使命方面所起的作用。这意味着他们领会不到保护每个资产的相关业务重要性,而这将会影响到他们减少威胁缓解风险的能力。

而且,尽管业务纯熟的专业人士如今或许炙手可热,也掩盖不了信息安全从业者人数不足这个简单而残酷的事实。2014年的一项调查估测,全球安全专业人士岗位需求425万个,但只有225万名从业者活跃在这一领域。

挑战 #3:终端爆炸式增长

挑战 #4:数字-物理融合终端数量

在所有经济领域增殖,包括金融服务、零售、饮食、工业、电力、油/气、汽车、运输和公用事业公司。这些公司有责任维护关键国家基础设施,比如运输系统、电站和电力输送系统、耐用消费品,以及食品生产、加工和配送设施。也就是说,对他们终端的任何威胁,都有可能摧毁经济或造成破坏,包括对市民的物理伤害。

机房管理人员应对DDoS攻击措施

如果用户正在遭受攻击,他所能做的抵御工作将是非常有限的。

(1)检查攻击来源,通常黑客会通过很多假IP地址发起攻击,此时,用户若能够分辨出哪些是真IP哪些是假IP地址,然后了解这些IP来自哪些网段,再找网管理员将这些机器关闭,从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话,可以采取临时过滤的方法,将这些IP地址在服务器或路由器上过滤掉。

(2)找出攻击者所经过的路由,把攻击屏蔽掉。若黑客从某些端口发动攻击,用户可把这些端口屏蔽掉,以阻止入侵。不过此方法对于公司网络出口只有一个,而又遭受到来自外部的DDoS攻击时不太奏效,毕竟将出口端口封闭后所有计算机都无法访问internet了。

(3)最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵,但是过滤掉ICMP后可以有效的防止攻击规模的升级,也可以在一定程度上降低攻击的级别。

一般的数据中心机房都配备硬件防火墙。但是针对互联网数据中心机房而言,这个硬件防火墙普通情况下是没有为企业用户的服务器进行防护的,只是对互联网数据中心机房本身的网络核心设备进行防护。根据DDoS攻击的原理和类型,根据DDoS攻击的流量,也同时根据机房所配备的硬件防火墙的功能和过滤带宽,1G-3G的流量机房本身及上游的运营商还是能把这个流量转移掉的。只是如果是机房里的某个企业用户的服务器受到DDoS攻击,机房管理人员所能做的,也就是把这个受到攻击的服务器IP关掉,或者是把受攻击的服务器的网线拔掉。但这不是解决问题的根本的办法。

数据中心机房如何加强防范DDoS攻击

互联网数据中心机房本身是提供服务器托管业务的,如何为企业用户提供更好的服务是很有必要的。试想,你的服务器花了钱托管到某个数据中心机房,但是这个数据中心机房在你的服务器受到DDoS攻击的时候也无能为力只能牺牲你的服务器的时候,你剩下的只有失望。

在机房管理的角度,不仅仅是在机房里的企业用户服务器受到DDoS攻击了之后才去考虑我是否应该升级硬件防火墙。为了更好的预防和防范DDoS攻击,也为了能给企业用户一个安全的保障,机房在综合了受攻击的次数和流量统计后,也是必须去考虑升级硬件防火墙的,甚至可以临时把受攻击的服务器通过硬件防火墙进行防护。

如果你需要用户单独去花费几十万去增加一个千兆以上的硬件防火墙,用户会想,我为什么不能多花几万去选择一个更好服务的数据中心机房。

其实,DDoS攻击是无法避免的,对于数据中心机房来说,升级硬件防火墙是一大成本问题。为了保障自己的服务器的安全,在数据中心机房无法对硬件防火墙进行升级的时候,用户本身也只能采用其他的方式去防范。

用户如何加强防范DDoS攻击

(1)定期扫描

要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。

(2)在骨干节点配置防火墙

防火墙本身能抵御DDoS攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的,或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。

(3)用足够的机器承受黑客攻击

这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿了。不过此方法需要投入的资金比较多,平时大多数设备处于空闲状态,和目前中小企业网络实际运行情况不相符。

(4)充分利用网络设备保护网络资源

所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备,这样当一台路由器被攻击死机时,另一台将马上工作。从而最大程度的削减了DDoS的攻击。

(5)过滤不必要的服务和端口

过滤不必要的服务和端口,即在路由器上过滤假IP……只开放服务端口成为目前很多服务器的流行做法,例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。

(6)检查访问者的来源

使用UnicastReversePathForwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。因此,利用UnicastReversePathForwarding可减少假IP地址的出现,有助于提高网络安全性。

(7)过滤所有RFC1918IP地址

RFC1918IP地址是内部网的IP地址,像10.0.0.0、192.168.0.0和172.16.0.0,它们不是某个网段的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。此方法并不是过滤内部员工的访问,而是将攻击时伪造的大量虚假内部IP过滤,这样也可以减轻DdoS的攻击。

(8)限制SYN/ICMP流量

用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法,虽然目前该方法对于DdoS效果不太明显了,不过仍然能够起到一定的作用。

目前网络安全界对于DdoS的防范还是没有什么好办法的,主要靠平时维护和扫描来对抗。简单的通过软件防范的效果非常不明显,即便是使用了硬件安防设施也仅仅能起到降低攻击级别的效果,DDoS攻击只能被减弱,无法被彻底消除。不过如果我们按照本文的方法和思路去防范DDoS的话,收到的效果还是非常显著的,可以将攻击带来的损失降低到最小。


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/233048.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-04-10
下一篇2023-04-10

发表评论

登录后才能评论

评论列表(0条)

    保存