引言

    隨著IT應(yīng)用程度的日益提高，數(shù)據(jù)中心對于客戶的價值與日俱增，相應(yīng)的，數(shù)據(jù)中心的安全建設(shè)也迫在眉睫。另外，信息安全等級保護、ISO27001等標(biāo)準也對數(shù)據(jù)中心的安全建設(shè)提出了技術(shù)和管理方面的要求。

    業(yè)務(wù)不同，數(shù)據(jù)中心的網(wǎng)絡(luò)建設(shè)需求也不同。如何區(qū)分不同需求的數(shù)據(jù)中心，從而進行安全等級劃分，在上期的《由糧倉防鼠談數(shù)據(jù)中心安全按需規(guī)劃》一文中已進行了闡述。本文將從技術(shù)角度出發(fā)，深入分析設(shè)計數(shù)據(jù)中心方案時需要考慮的若干安全問題，最后提出數(shù)據(jù)中心方案設(shè)計的參考模型。

    數(shù)據(jù)中心的安全需求有些是通用性的，如分區(qū)和地址規(guī)劃問題、惡意代碼防范問題、惡意入侵問題等；有些是獨有的保密性需求，比如雙層安全防護、數(shù)據(jù)庫審計等；有些是獨有的服務(wù)保證性需求，比如服務(wù)器、鏈路和站點的負載均衡、應(yīng)用系統(tǒng)優(yōu)化等�？傮w來看，數(shù)據(jù)中心解決方案對于安全的需求可以從四個緯度來衡量：1、通用安全性需求；2、業(yè)務(wù)信息保密性需求；3、業(yè)務(wù)服務(wù)保證性需求；4、業(yè)務(wù)安全績效性需求。

1 數(shù)據(jù)中心面臨的主要威脅

    數(shù)據(jù)中心面臨的主要威脅從4個角度分類后，下表列舉了部分具有代表性的威脅：

2 威脅舉例和應(yīng)對方案

    2.1 通用安全類

    2.1.1攻擊者通過惡意代碼或木馬程序，對網(wǎng)絡(luò)、操作系統(tǒng)或應(yīng)用系統(tǒng)進行攻擊：

    威脅舉例

    在早期Apache Web服務(wù)器版本上的phf CGI程序，就是過去常被黑客用來讀取服務(wù)器系統(tǒng)上的密碼文件(/etc/password)、或讓服務(wù)器為其執(zhí)行任意指令的工具之一。因此防御系統(tǒng)就會直接對比所有URL request中是否出現(xiàn)“/cgi-bin/phf”的字符串，以此判斷是否出現(xiàn)phf 攻擊行為。

    攻擊者在進行攻擊時，為避免被入侵檢測系統(tǒng)發(fā)現(xiàn)其行為，可能會采取一些規(guī)避手法，以隱藏其意圖。

    例如：攻擊者會將URL中的字符編碼成16進制的“%XX”，此時“cgi-bin”就會變成“%63%67%69%2d%62%69%6e”。這就好比把“今天天氣不錯”翻譯成“It’s a fine day today”，給一個中英文都懂的人聽，雖然表達形式不同，但效果是一樣的。這樣，單純的字符串對比就會忽略掉這串編碼值內(nèi)部代表的意義。

    攻擊者也可將整個request在同一個TCP Session中切割成多個僅內(nèi)含幾個字符的小Packet，防御系統(tǒng)若沒將整個TCP session重建，則僅能看到類似“GET”、“/cg”、“i”、“-bin”、“/phf”的個別Packet。這就好比把一只95式自動步槍拆成刺刀、槍管、導(dǎo)氣裝置、瞄準裝置、護蓋、槍機、復(fù)進簧、擊發(fā)機、槍托、機匣和彈匣，然后分成11個包裹郵遞出去一樣。類似的規(guī)避方式還有IP Fragmentation Overlap、TCP Overlap 等各種較復(fù)雜的欺瞞手法。

    安全建設(shè)目標(biāo)

    ·應(yīng)具有能夠檢測、集中分析、響應(yīng)、阻止對網(wǎng)絡(luò)和所有主機的各種攻擊的能力

    ·應(yīng)具有對網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問進行嚴格控制的能力

    ·應(yīng)具有對數(shù)據(jù)、文件或其他資源的訪問進行嚴格控制的能力

    ·應(yīng)具有惡意代碼檢測、集中分析、阻止和清除能力

    ·應(yīng)具有防止惡意代碼在網(wǎng)絡(luò)中擴散的能力

    ·應(yīng)具有對惡意代碼庫和搜索引擎及時更新的能力

    技術(shù)解決方案

    在網(wǎng)絡(luò)核心部署防火墻進行訪問控制，基于最小授權(quán)原則保證對網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問進行嚴格控制。

    通過在數(shù)據(jù)中心前部署應(yīng)用層防御，保證了對URL request請求的檢測、實時阻止的能力。此時，方案需采用語法分析的狀態(tài)機技術(shù)保證對于類似“GET”、“/cg”、“i”、“-bin”、“/phf”的分片報文攻擊和“/cgi-bin/././phf”、“//cgi-bin//phf”、“/cgi-bin/blah/../phf?”等的變種攻擊的檢測和阻止；方案還需要采用一種攻擊、多種特征匹配的方式解決16進制攻擊碼流的問題。

    同時，需要整合攻擊事件日志進行安全分析，找出攻擊源并對整網(wǎng)的安全設(shè)施進行調(diào)整。

    2.1.2、內(nèi)部人員未經(jīng)授權(quán)接入外部網(wǎng)絡(luò)、或下載/拷貝軟件或文件、打開可疑郵件時引入病毒。
 

    威脅舉例

    前段時間，網(wǎng)絡(luò)中有多個利用《功夫之王》傳播的病毒，其中以“AV終結(jié)者變種”和艾妮蠕蟲變種危害最大。它們運行后，劫持安全軟件，并通過網(wǎng)絡(luò)自行下載更多其它病毒到電腦中運行。經(jīng)分析，下載列表的病毒中大部分是盜號木馬，它們瞄準用戶的網(wǎng)游、網(wǎng)銀密碼等敏感信息，給用戶的網(wǎng)絡(luò)財產(chǎn)安全帶來極大隱患。

    安全建設(shè)目標(biāo)

    為了避免此類安全威脅，除以下惡意代碼防護的建設(shè)目標(biāo)外：

    ·應(yīng)具有對惡意代碼的檢測、集中分析、阻止和清除能力

    ·應(yīng)具有防止惡意代碼在網(wǎng)絡(luò)中擴散的能力

    ·應(yīng)具有對惡意代碼庫和搜索引擎及時更新的能力

    還需增加如下建設(shè)目標(biāo)：

    ·應(yīng)具有網(wǎng)絡(luò)邊界完整性檢測能力

    ·應(yīng)具有切斷非法連接的能力

    ·應(yīng)具有防止未經(jīng)授權(quán)下載、拷貝軟件或者文件的能力

    ·應(yīng)確保對人員行為進行控制和規(guī)范

    技術(shù)解決方案

    最保險的辦法當(dāng)然是OA互聯(lián)網(wǎng)出口和數(shù)據(jù)中心互聯(lián)網(wǎng)出口相分離。物理上隔離成OA網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)。生產(chǎn)網(wǎng)絡(luò)不允許終端對于互聯(lián)網(wǎng)的訪問。

    另外，還應(yīng)采取四項措施：

    1、無論OA、生產(chǎn)網(wǎng)的終端，都需要保證正版殺毒軟件進行全面監(jiān)控，開啟殺毒軟件自動更新功能，保持對最新病毒的防御能力。

    2、網(wǎng)頁掛馬利用的漏洞多有軟件補丁，需要保證終端及時打補丁。

    3、通過對終端的檢查，杜絕非法內(nèi)聯(lián)和外聯(lián)，保證邊界完整性。

    4、通過全網(wǎng)聯(lián)動，實現(xiàn)切斷非法行為的功能。使得木馬等程序不能和外界進行通訊，保證機密信息不會外泄。

    2.2 業(yè)務(wù)信息安全類

    2.2.1、利用技術(shù)或管理漏洞，未經(jīng)授權(quán)修改重要系統(tǒng)數(shù)據(jù)或系統(tǒng)程序并否認自己的操作行為

    威脅舉例

    公司內(nèi)部經(jīng)常有外來人員協(xié)同工作，對于網(wǎng)絡(luò)的訪問缺乏認證系統(tǒng)，能夠無阻攔的訪問核心數(shù)據(jù)庫（以O(shè)racle為例），對數(shù)據(jù)庫的增/刪/改沒有技術(shù)手段進行事后追蹤。

    安全建設(shè)目標(biāo)

    ·應(yīng)該有保證數(shù)據(jù)庫被合法人員訪問的能力

    ·應(yīng)該有識別和記錄對數(shù)據(jù)庫操作的能力，包括插入、刪除、存儲等操作，并精確到SQL語句

    技術(shù)解決方案

    通過旁路部署的方式，把對數(shù)據(jù)庫的訪問流量進行鏡像，能夠在數(shù)據(jù)庫感知不到的前提下完成關(guān)鍵數(shù)據(jù)庫的審計。方案能夠詳細記錄訪問數(shù)據(jù)庫的用戶信息，包括：用戶訪問時間、下線時間、用戶名、訪問服務(wù)器的IP地址以及用戶的IP地址信息；同時記錄下用戶的所有操作（包括但不限于select、insert、create、update、delete、grant和commit等）。

    2.3 業(yè)務(wù)服務(wù)保證類

    2.3.1、攻擊者利用分布式拒絕服務(wù)攻擊等拒絕服務(wù)攻擊工具，惡意消耗網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源，導(dǎo)致拒絕服務(wù)

    威脅舉例

    分布式拒絕服務(wù)（DDoS）攻擊工具“Tribe Flood Network 2000 (TFN2K)”是由德國著名黑客Mixter編寫的同類攻擊工具TFN的后續(xù)版本。

    TFN2K通過主控端利用大量代理端主機資源對一個或多個目標(biāo)進行協(xié)同攻擊。當(dāng)前互聯(lián)網(wǎng)中的UNIX、Solaris和Windows NT等平臺的主機都能被用于此類攻擊，而且這個工具非常容易被移植到其它系統(tǒng)平臺上。

    TFN2K由兩部分組成：主控端主機上的客戶端和代理端主機上的守護進程。主控端向其代理端發(fā)送攻擊指定的目標(biāo)主機列表，代理端據(jù)此對目標(biāo)進行拒絕服務(wù)攻擊。整個TFN2K網(wǎng)絡(luò)可能使用不同的TCP、UDP或ICMP包進行通訊。對目標(biāo)的攻擊方法包括TCP/SYN、UDP、ICMP/PING或BROADCAST PING（SMURF）數(shù)據(jù)包flood等。

    安全建設(shè)目標(biāo)

    ·應(yīng)具有限制網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源使用的能力

    ·應(yīng)具有能夠檢測、集中分析、響應(yīng)、阻止對網(wǎng)絡(luò)和所有主機的各種攻擊的能力

    ·應(yīng)具有合理分配、控制網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源的能力

    技術(shù)解決方案

    由于DDoS攻擊并非頻繁發(fā)生，所以在網(wǎng)絡(luò)中串接設(shè)備進行防御一般被認為是不必要并且增加故障點的。目前的防御方案向兩個方向發(fā)展：一是在防火墻、IPS等設(shè)備上面完成防御，優(yōu)點是不需要額外部署設(shè)備且不引入新的故障點；缺點是功能易重疊且只能完成一般攻擊防范，對于大流量的環(huán)境和復(fù)雜的攻擊類型捉襟見肘。二是部署專業(yè)的抗DDoS工具，平時旁路部署，鏡像流量進行分析，一旦發(fā)生攻擊，通過路由進行引流清洗。優(yōu)點是對現(xiàn)網(wǎng)業(yè)務(wù)影響最小，且防護全面；缺點是部署成本高。

    2.3.2、緩慢的網(wǎng)絡(luò)響應(yīng)時間和糟糕的應(yīng)用性能制約生產(chǎn)力提升，造成無意義的TCO提高

    威脅舉例

    服務(wù)器負載不均衡的情況很常見，所以一般情況下都會采用服務(wù)器負載均衡的技術(shù)手段發(fā)揮服務(wù)器集群的最大作用。然而，隨著WEB應(yīng)用的增多，越來越多的網(wǎng)上保密業(yè)務(wù)采用了SSL加密，給服務(wù)器帶來較大負擔(dān)；帶寬資源的緊張，也經(jīng)常成為系統(tǒng)的瓶頸，導(dǎo)致最終用戶處響應(yīng)時間慢。南北運營商互通問題、鏈路如何冗余問題都是提高業(yè)務(wù)響應(yīng)所面臨的嚴峻挑戰(zhàn)。

    安全建設(shè)目標(biāo)

    ·應(yīng)具有能夠在服務(wù)器之間平衡流量的能力

    ·應(yīng)具有能夠在不同的出口鏈路之間平衡出入流量的能力

    ·應(yīng)具有能夠在不同的站點之間平衡流量的能力

    ·應(yīng)具有能夠在不同鏈路中基于一定算法進行最優(yōu)選擇的能力

    ·應(yīng)具有能夠在帶寬資源成為瓶頸的情況下，提高響應(yīng)速度的能力

    ·應(yīng)具有能夠降低服務(wù)器協(xié)議處理、減輕擴容壓力的能力

    技術(shù)解決方案

    通過GSLB實現(xiàn)不同數(shù)據(jù)中心之間的負載均衡，保證用戶對于站點的訪問最優(yōu)；通過在數(shù)據(jù)中心服務(wù)器集群前部署服務(wù)器負載均衡，保證集群的整體處理能力最優(yōu)；通過出口鏈路處部署鏈路負載均衡技術(shù)，對出入方向的流量，基于最小響應(yīng)時間等實現(xiàn)方式進行處理；通過硬件實現(xiàn)TCP協(xié)議處理、SSL卸載和TCP快啟動等協(xié)議優(yōu)化需求，降低服務(wù)器的CPU占用率；通過基于GZIP等的數(shù)據(jù)壓縮和解壓縮，保證用戶最短的等待時間。

    2.4 安全建設(shè)績效類

    2.4.1、業(yè)務(wù)流量變化、業(yè)務(wù)種類變化導(dǎo)致數(shù)據(jù)中心需要調(diào)整

    威脅舉例

    目前所有的數(shù)據(jù)中心，其運營、維護的成本都居高不下，并且其基礎(chǔ)設(shè)施建構(gòu)維護的費用也很高。其中一部分原因來自于數(shù)據(jù)中心的應(yīng)用種類太多太復(fù)雜，從而造成很多非標(biāo)準化的應(yīng)用和需求，導(dǎo)致運營成本增加。

    業(yè)務(wù)的運作是不停變化的，新業(yè)務(wù)對計算資源的需求也就隨之不斷變化。有時候會有更新的業(yè)務(wù)或者是老業(yè)務(wù)的淘汰，數(shù)據(jù)中心的基礎(chǔ)設(shè)施很難適應(yīng)業(yè)務(wù)變化。

    安全建設(shè)目標(biāo)

    ·應(yīng)具有能夠預(yù)測業(yè)務(wù)流量變化的能力

    ·應(yīng)具有能夠在業(yè)務(wù)變化時安全策略部署不影響其他業(yè)務(wù)的能力

    技術(shù)解決方案

    通過類似NetStream/NetFlow等技術(shù)的部署，可以從多角度對網(wǎng)絡(luò)流量進行統(tǒng)計分析，包括基于接口的總體流量趨勢分析、應(yīng)用流量分析、節(jié)點（包括源、目的IP）流量統(tǒng)計、會話流量等多種信息，真正實現(xiàn)網(wǎng)絡(luò)流量透明化，從而能夠提前對急需進行的業(yè)務(wù)調(diào)整做出準備。

    采用虛擬化技術(shù)也是解決業(yè)務(wù)變化帶來的管理問題的一個辦法�？v向上，虛擬化技術(shù)能夠把網(wǎng)絡(luò)資源化，業(yè)務(wù)增刪的時候，通過虛擬防火墻等虛擬化技術(shù)不僅可以保證每種業(yè)務(wù)都能資源獨享，并且不會對其他業(yè)務(wù)造成影響。橫向上，虛擬化技術(shù)可以把網(wǎng)絡(luò)資源簡單化，例如，通過IRF等技術(shù)，能夠?qū)崿F(xiàn)業(yè)務(wù)的快速部署。

    2.4.2、全網(wǎng)設(shè)備管理存在門戶不同、管理分散，導(dǎo)致定位問題緩慢且沒有有效的技術(shù)手段制成IT規(guī)劃、決策

    威脅舉例

    數(shù)據(jù)中心資源的部署都非常離散，路由設(shè)備、交換設(shè)備、存儲資源、認證系統(tǒng)、計費系統(tǒng)等IT設(shè)備及系統(tǒng)的管理是分而治之，呈現(xiàn)割裂態(tài)勢，無法形成統(tǒng)一管理，在日益強調(diào)IT管理的新時期，愈發(fā)不合時宜。

    安全建設(shè)目標(biāo)

    ·應(yīng)具有能夠提供安全管理手段，有效處理網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的安全事件，一站式定位網(wǎng)絡(luò)安全問題的能力

    ·應(yīng)具有能夠?qū)�網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的統(tǒng)一管理的能力

    技術(shù)解決方案

    通過收集網(wǎng)絡(luò)、安全、主機、應(yīng)用、存儲的各種日志，把網(wǎng)絡(luò)內(nèi)的所有資源作為嗅探器，保證全網(wǎng)的安全事件能夠在同一個平臺進行整合，不同格式的日志信息能夠歸一化存儲。采用數(shù)據(jù)挖掘技術(shù)提取有效信息，并通過安全拓撲等圖形化形式進行直觀表達。

    通過對SNMP、TR069等協(xié)議的支持，保證對網(wǎng)絡(luò)資源的統(tǒng)一管理；通過認證、審計等技術(shù)手段，以用戶為本，靈活分配IT資源；基于業(yè)務(wù)需求，進行IT資源分配保證。充分考慮IT環(huán)境組成的三個要素——人、業(yè)務(wù)、資源，將各類資源進行整合、統(tǒng)一管理，使得IT系統(tǒng)實現(xiàn)端到端的過程管理。

3 數(shù)據(jù)中心解決方案邏輯模型

    綜合數(shù)據(jù)中心安全需求的四個角度，可以對數(shù)據(jù)中心的網(wǎng)絡(luò)、安全、主機等資源的安全性、可用性、可管理性等方面得出系統(tǒng)的分析。每個數(shù)據(jù)中心解決方案在不同維度都會有不同的要求，整體形成一個不規(guī)則四邊形完成對數(shù)據(jù)中心需求的覆蓋。

4 總結(jié)

    從安全的角度看數(shù)據(jù)中心建設(shè)，不僅僅是看數(shù)據(jù)中心如何部署安全基礎(chǔ)設(shè)施，還包括數(shù)據(jù)中心分區(qū)、地址規(guī)劃、路由設(shè)計等多方面。

    本文只是從四個角度簡單分析了實際問題、解決方法和具體方案。由于數(shù)據(jù)中心業(yè)務(wù)的差異，其建設(shè)需求必然存在較大不同�；�于以上方法進行數(shù)據(jù)中心的定制化設(shè)計是大多數(shù)情況下的選擇。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：從安全的角度分析數(shù)據(jù)

本文網(wǎng)址：http://www.oesoe.com/html/support/1112185301.html