3.9。安。全3。9。2。IDC安全域划分举例.各种业务域.运维管理域。互联网接口域等。各安全域内部可根据业务类型与不同客户情况、再规划下一级安全子域 3,9。3 本条规定了IDC应采用的安全技术措施,1,安全加固措施包括禁用不必要的服务。修改不安全的配置、利用最小特权原则严格控制对设备的访问 配置适当的软件版本和必要的补丁等,2,DDoS攻击一般包括带宽消耗型攻击和主机资源消耗型攻击、带宽消耗型攻击会对IDC出口造成流量压力,阻塞IDC业务网络 影响IDC业务运行。主机资源消耗型攻击使服务器处理大量并发攻击请求.严重影响服务器内存.数据库.CPU的处理性能。所以IDC需要加以防范。异常流量检测和清洗的实现由检测子系统和清洗子系统两部分组成.在IDC出入口相关链路上部署流量检测子系统。进行流量检测 检测到异常流量攻击后、上报清洗子系统并把受攻击的主机流量引入清洗子系统进行异常流量清洗。将清洗后的正常业务流量重新注入IDC网络中 6、IDC的VPN接入方式可包括IPSec,VPN SSL、VPN等,IPSec,VPN在IP层通过加密与数据源验证。保证数据包在互联网上传输时的私有性,完整性和真实性。SSL.VPN基于标准TCP.UDP,不受NAT限制,能够穿越防火墙 用户在任何地方都能用标准浏览器通过SSL VPN网关代理访问内网资源 7.虚拟化的安全管控措施包括 虚拟机管理器自身提供足够的安全机制,同一物理机上不同虚拟机之间进行资源隔离,虚拟机的安全组管理等,10,实现数据安全隔离的技术措施包括物理隔离 虚拟化等、实现数据访问控制可采用基于身份认证的权限控制方式,在虚拟应用环境下,可设置虚拟环境下的逻辑边界安全访问控制策略,实现数据加密存储与传输可选择恰当的加密算法以及网络传输加密技术,对于云计算应用系统做好剩余信息保护。防止被非法恶意恢复、