IDC在前期建设中，首要任务之一是建设其基础服务系统，IDC的基础系统主要有DNS系统、目录服务系统、数据备份系统、安全系统等。
 

DNS建设

       在Internet上计算机和网络设备使用IP地址来表示的，但IP地址很难记忆，所以采用和IP地址相对应的域名(Domain)来表示主机和网络，DNS(Domain Name Service)即域名服务就是把主机名字和IP地址作相互匹配，供Internet上用户以主机域名的方式相互查询。DNS是向用户提供域名查询或域名登录服务，其与Internet中的其它域名服务器形成全球域名服务体系。通常DNS服务器采用两台或多台的方式来运行，其中一台主服务器（Primary），其它为次服务器（Second）,当主服务器不能工作时，有任何一台次服务器来接管其工作，这样保证了DNS系统运行的可靠性，主次服务器之间采用自动信息更新方式。
 

       IDC的DNS系统除了要为IDC自身服务之外，还要为其客户提供相应的域名定义、为用户开设虚拟域名服务等。所以在IDC的DNS服务器上可能要定义和管理上百个或更多域名，由于有如此多的域名，其每天接受的查询量也是相当庞大的。
 

       为了保证IDC的DNS域名的可靠性和安全性，我们采用Split DNS技术来设计IDC的DNS系统，即把IDC的DNS系统划分为内部和外部两部分，其中外部DNS系统位于公共服务区，负责IDC正常对外解析工作，如IDC的Web服务器、IDC用户的Web服务器等解析工作全由外部DNS服务器来完成；内部DNS系统主要有两项工作，一是负责解析IDC内部网络的主机，如目录服务器、邮件服务器等，另一工作是负责当内部要查询Internet上域名时，其把查询任务转发到外部DNS服务器上，然后由外部DNS服务器完成查询任务，返回结果。由于把DNS系统分内外两部分，Internet上用户只能看到外部DNS系统中的服务器，而看不见内部的服务器，而且只有内外DNS服务器之间交换DNS查询信息，从而保证了系统的安全性。

       我们采用两台Sun E420R服务器作为外部DNS服务器，两台Sun E420R服务器作为内部DNS服务器，所有两台服务器之间以主次方式运行，DNS软件可采用Solaris系统中的，也可使用Internet上公开的Bind。具体的服务器配置如下表所示。

安全性建设
 

       系统安全架构的设计将包括两个方面：防止IDC网络外部用户对IDC网络系统可能的攻击，以及防止IDC网络内部各子系统之间可能的攻击。这两个方面所采用的技术和思路是一致的。
 

       系统安全架构将从三个层次来考虑：网络层、主机/服务器系统及应用层。

       网络层的安全主要是防范对于整个网络的非法访问，一般通过防火墙来实现。通过配置了多级防火墙，以隔离IDC网络各个组成部分相互之间的非法访问（合法访问可以通过）；对于Internet用户来讲，如果想非法侵入IDC内部网络，必须突破防火墙的防范。另外，各级防火墙可采用不同的产品，以提高网络整体的安全性。
 

       主机/服务器系统的安全是针对个别机器的。除了主机/服务器的操作系统自身的安全性之外，目前有多种产品可供选择，包括SUN公司的Security Manager和CA公司的Unicenter TNG等产品。
 

       应用层的安全将从三个方面来考虑：增强应用服务器系统的安全；采用身份认证机制，以保证应用的可靠性；采用数据加密技术和防病毒软件，以保证应用的安全性。

 

1.操作系统的安全规划

       操作系统的安全性建设应是整个系统安全性建设的基础。操作系统的安全性建设主要包括用户的管理、超级用户的管理、文件系统安全管理、远程对系统的访问等。

用户管理：对用户的管理主要有用户的账号口令管理，设置用户账号的有效期，用户账号口令的存活期限等。如果需要可以规定用户只能在指定的时间内才能登录系统，并对登录系统的用户进行审核（audit）。
 

       超级用户的管理：严格限制有普通用户变成超级用户（如使用su、rlogin等命令），如果需要可以使用如CA Unicenter TNG这样的软件来控制系统超级用户的权限。

       文件系统的安全管理：控制用户对系统内特殊文件的访问权限，特别是删除、移动等权限，对使用NFS系统可以采用kerberos方式认证。
 

       远程对系统的访问：封闭系统的telnet、ftp、r-访问（rsh、rlogin、rcp）等功能；但可以对系统管理员开放相应的telnet、ftp功能，以便利于对系统的管理和维护。
 

2．防病毒(Anti-Virus)

       目前病毒在网络和Internet上传播主要以电子邮件和Web浏览的方式传播，以及内部网络上员工的共享文件的传播。防病毒可以分为集中防病毒和分散防病毒两种方法。集中防病毒的方法是在主要的服务器上安装防病毒软件，此软件先对进出此服务器的数据进行检查，然后再把通过检查的数据发送给客户；分散防病毒是只在客户端安装防病毒软件，它只检查进出客户端的数据是否有病毒感染。
 

       由于IDC主要为客户服务，数据主要集中在服务器上，所以在IDC系统的防病毒体系中主要采用集中防病毒方法，但同时对一些与服务器相交户的内部客户段（如管理客户段）也采用分散的防病毒方法。集中防病毒主要是对进出的邮件和HTTP流数据进行防病毒；分散是保护内部网的单个终端用户。
 

3．防火墙(Firewall)

       防火墙(Firewall)是保证网络安全的重要手段之一，在建设IDC基础网络系统安全性时，首先是要考虑防火墙的建设。在Internet/Intranet上，通过防火墙来在两个或多个网络间加强访问控制，其目的是保护一个网络不受来自另一个网络的攻击，隔离风险区域与安全区域的连接，但不妨碍人们对风险区域的访问。
 

防火墙要完成如下主要功能：

       通过对IP包的检查，过滤对网络安全有潜在威胁的IP数据包。

       屏蔽对于网络不必要且有安全漏洞的服务，如Telnet、FTP等。

       控制从Internet上过来的IP数据的流向，如数据包其目的地址只能是某个区域的DNS、WWW等服务器。

       屏蔽对于某些Internet站点的访问。

       完成系统内部IP地址到Internet合法IP地址的转换，保证能够从系统内部访问Internet，隐藏内部网络和主机的结构。

       访问日记，即Access Log。

       IDC不仅要建设自己的防火墙系统，同时也要考虑特定的用户需要建立起自己的防火墙系统，即用需要在其自己的应用前增设相应的防火墙系统来保护其应用的安全（这可根据用户的实际需求再进行建设）。

4. 网络和系统入侵监控

       网络和系统的入侵检测是在网络上增加一台扫描仪器和在主要服务器上增加相应的防入侵软件来实现。此类防入侵软件有两个主要功能，一个扫描网络和系统上的安全漏洞，以便在网络和系统建立初期，就解决好安全问题，此功能也属于安全保护范围；另一个功能是在网络和系统运行时，监控数据流，及时发现黑客入侵，从而做到防止黑客的入侵。
 

       在IDC系统中，在每个重要的服务取得网络的入口处安放一个探测器，对每个进出此段网络的数据流进行检查探测，当其发现某一个数据流不是正常的数据流时，探测器把此数据流截获住，并向位于管理区的管理服务器发送入侵信息和警告，然后由管理服务器在做相应的防御对策。
 

       同时在每个服务器上安装有类似的探测器，所以当黑客入侵服务器系统时，也是采取上述动作。