引言

    隨著IT應(yīng)用程度的日益提高，數(shù)據(jù)中心對(duì)于客戶的價(jià)值與日俱增，相應(yīng)的，數(shù)據(jù)中心的安全建設(shè)也迫在眉睫。另外，信息安全等級(jí)保護(hù)、ISO27001等標(biāo)準(zhǔn)也對(duì)數(shù)據(jù)中心的安全建設(shè)提出了技術(shù)和管理方面的要求。

    業(yè)務(wù)不同，數(shù)據(jù)中心的網(wǎng)絡(luò)建設(shè)需求也不同。如何區(qū)分不同需求的數(shù)據(jù)中心，從而進(jìn)行安全等級(jí)劃分，在上期的《由糧倉(cāng)防鼠談數(shù)據(jù)中心安全按需規(guī)劃》一文中已進(jìn)行了闡述。本文將從技術(shù)角度出發(fā)，深入分析設(shè)計(jì)數(shù)據(jù)中心方案時(shí)需要考慮的若干安全問題，最后提出數(shù)據(jù)中心方案設(shè)計(jì)的參考模型。

    數(shù)據(jù)中心的安全需求有些是通用性的，如分區(qū)和地址規(guī)劃問題、惡意代碼防范問題、惡意入侵問題等；有些是獨(dú)有的保密性需求，比如雙層安全防護(hù)、數(shù)據(jù)庫審計(jì)等；有些是獨(dú)有的服務(wù)保證性需求，比如服務(wù)器、鏈路和站點(diǎn)的負(fù)載均衡、應(yīng)用系統(tǒng)優(yōu)化等�？傮w來看，數(shù)據(jù)中心解決方案對(duì)于安全的需求可以從四個(gè)緯度來衡量：1、通用安全性需求；2、業(yè)務(wù)信息保密性需求；3、業(yè)務(wù)服務(wù)保證性需求；4、業(yè)務(wù)安全績(jī)效性需求。

1 數(shù)據(jù)中心面臨的主要威脅

    數(shù)據(jù)中心面臨的主要威脅從4個(gè)角度分類后，下表列舉了部分具有代表性的威脅：

2 威脅舉例和應(yīng)對(duì)方案

    2.1 通用安全類

    2.1.1攻擊者通過惡意代碼或木馬程序，對(duì)網(wǎng)絡(luò)、操作系統(tǒng)或應(yīng)用系統(tǒng)進(jìn)行攻擊：

    威脅舉例

    在早期Apache Web服務(wù)器版本上的phf CGI程序，就是過去常被黑客用來讀取服務(wù)器系統(tǒng)上的密碼文件(/etc/password)、或讓服務(wù)器為其執(zhí)行任意指令的工具之一。因此防御系統(tǒng)就會(huì)直接對(duì)比所有URL request中是否出現(xiàn)“/cgi-bin/phf”的字符串，以此判斷是否出現(xiàn)phf 攻擊行為。

    攻擊者在進(jìn)行攻擊時(shí)，為避免被入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)其行為，可能會(huì)采取一些規(guī)避手法，以隱藏其意圖。

    例如：攻擊者會(huì)將URL中的字符編碼成16進(jìn)制的“%XX”，此時(shí)“cgi-bin”就會(huì)變成“%63%67%69%2d%62%69%6e”。這就好比把“今天天氣不錯(cuò)”翻譯成“It’s a fine day today”，給一個(gè)中英文都懂的人聽，雖然表達(dá)形式不同，但效果是一樣的。這樣，單純的字符串對(duì)比就會(huì)忽略掉這串編碼值內(nèi)部代表的意義。

    攻擊者也可將整個(gè)request在同一個(gè)TCP Session中切割成多個(gè)僅內(nèi)含幾個(gè)字符的小Packet，防御系統(tǒng)若沒將整個(gè)TCP session重建，則僅能看到類似“GET”、“/cg”、“i”、“-bin”、“/phf”的個(gè)別Packet。這就好比把一只95式自動(dòng)步槍拆成刺刀、槍管、導(dǎo)氣裝置、瞄準(zhǔn)裝置、護(hù)蓋、槍機(jī)、復(fù)進(jìn)簧、擊發(fā)機(jī)、槍托、機(jī)匣和彈匣，然后分成11個(gè)包裹郵遞出去一樣。類似的規(guī)避方式還有IP Fragmentation Overlap、TCP Overlap 等各種較復(fù)雜的欺瞞手法。

    安全建設(shè)目標(biāo)

    ·應(yīng)具有能夠檢測(cè)、集中分析、響應(yīng)、阻止對(duì)網(wǎng)絡(luò)和所有主機(jī)的各種攻擊的能力

    ·應(yīng)具有對(duì)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問進(jìn)行嚴(yán)格控制的能力

    ·應(yīng)具有對(duì)數(shù)據(jù)、文件或其他資源的訪問進(jìn)行嚴(yán)格控制的能力

    ·應(yīng)具有惡意代碼檢測(cè)、集中分析、阻止和清除能力

    ·應(yīng)具有防止惡意代碼在網(wǎng)絡(luò)中擴(kuò)散的能力

    ·應(yīng)具有對(duì)惡意代碼庫和搜索引擎及時(shí)更新的能力

    技術(shù)解決方案

    在網(wǎng)絡(luò)核心部署防火墻進(jìn)行訪問控制，基于最小授權(quán)原則保證對(duì)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的訪問進(jìn)行嚴(yán)格控制。

    通過在數(shù)據(jù)中心前部署應(yīng)用層防御，保證了對(duì)URL request請(qǐng)求的檢測(cè)、實(shí)時(shí)阻止的能力。此時(shí)，方案需采用語法分析的狀態(tài)機(jī)技術(shù)保證對(duì)于類似“GET”、“/cg”、“i”、“-bin”、“/phf”的分片報(bào)文攻擊和“/cgi-bin/././phf”、“//cgi-bin//phf”、“/cgi-bin/blah/../phf?”等的變種攻擊的檢測(cè)和阻止；方案還需要采用一種攻擊、多種特征匹配的方式解決16進(jìn)制攻擊碼流的問題。

    同時(shí)，需要整合攻擊事件日志進(jìn)行安全分析，找出攻擊源并對(duì)整網(wǎng)的安全設(shè)施進(jìn)行調(diào)整。

    2.1.2、內(nèi)部人員未經(jīng)授權(quán)接入外部網(wǎng)絡(luò)、或下載/拷貝軟件或文件、打開可疑郵件時(shí)引入病毒。
 

    威脅舉例

    前段時(shí)間，網(wǎng)絡(luò)中有多個(gè)利用《功夫之王》傳播的病毒，其中以“AV終結(jié)者變種”和艾妮蠕蟲變種危害最大。它們運(yùn)行后，劫持安全軟件，并通過網(wǎng)絡(luò)自行下載更多其它病毒到電腦中運(yùn)行。經(jīng)分析，下載列表的病毒中大部分是盜號(hào)木馬，它們瞄準(zhǔn)用戶的網(wǎng)游、網(wǎng)銀密碼等敏感信息，給用戶的網(wǎng)絡(luò)財(cái)產(chǎn)安全帶來極大隱患。

    安全建設(shè)目標(biāo)

    為了避免此類安全威脅，除以下惡意代碼防護(hù)的建設(shè)目標(biāo)外：

    ·應(yīng)具有對(duì)惡意代碼的檢測(cè)、集中分析、阻止和清除能力

    ·應(yīng)具有防止惡意代碼在網(wǎng)絡(luò)中擴(kuò)散的能力

    ·應(yīng)具有對(duì)惡意代碼庫和搜索引擎及時(shí)更新的能力

    還需增加如下建設(shè)目標(biāo)：

    ·應(yīng)具有網(wǎng)絡(luò)邊界完整性檢測(cè)能力

    ·應(yīng)具有切斷非法連接的能力

    ·應(yīng)具有防止未經(jīng)授權(quán)下載、拷貝軟件或者文件的能力

    ·應(yīng)確保對(duì)人員行為進(jìn)行控制和規(guī)范

    技術(shù)解決方案

    最保險(xiǎn)的辦法當(dāng)然是OA互聯(lián)網(wǎng)出口和數(shù)據(jù)中心互聯(lián)網(wǎng)出口相分離。物理上隔離成OA網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)。生產(chǎn)網(wǎng)絡(luò)不允許終端對(duì)于互聯(lián)網(wǎng)的訪問。

    另外，還應(yīng)采取四項(xiàng)措施：

    1、無論OA、生產(chǎn)網(wǎng)的終端，都需要保證正版殺毒軟件進(jìn)行全面監(jiān)控，開啟殺毒軟件自動(dòng)更新功能，保持對(duì)最新病毒的防御能力。

    2、網(wǎng)頁掛馬利用的漏洞多有軟件補(bǔ)丁，需要保證終端及時(shí)打補(bǔ)丁。

    3、通過對(duì)終端的檢查，杜絕非法內(nèi)聯(lián)和外聯(lián)，保證邊界完整性。

    4、通過全網(wǎng)聯(lián)動(dòng)，實(shí)現(xiàn)切斷非法行為的功能。使得木馬等程序不能和外界進(jìn)行通訊，保證機(jī)密信息不會(huì)外泄。

    2.2 業(yè)務(wù)信息安全類

    2.2.1、利用技術(shù)或管理漏洞，未經(jīng)授權(quán)修改重要系統(tǒng)數(shù)據(jù)或系統(tǒng)程序并否認(rèn)自己的操作行為

    威脅舉例

    公司內(nèi)部經(jīng)常有外來人員協(xié)同工作，對(duì)于網(wǎng)絡(luò)的訪問缺乏認(rèn)證系統(tǒng)，能夠無阻攔的訪問核心數(shù)據(jù)庫（以O(shè)racle為例），對(duì)數(shù)據(jù)庫的增/刪/改沒有技術(shù)手段進(jìn)行事后追蹤。

    安全建設(shè)目標(biāo)

    ·應(yīng)該有保證數(shù)據(jù)庫被合法人員訪問的能力

    ·應(yīng)該有識(shí)別和記錄對(duì)數(shù)據(jù)庫操作的能力，包括插入、刪除、存儲(chǔ)等操作，并精確到SQL語句

    技術(shù)解決方案

    通過旁路部署的方式，把對(duì)數(shù)據(jù)庫的訪問流量進(jìn)行鏡像，能夠在數(shù)據(jù)庫感知不到的前提下完成關(guān)鍵數(shù)據(jù)庫的審計(jì)。方案能夠詳細(xì)記錄訪問數(shù)據(jù)庫的用戶信息，包括：用戶訪問時(shí)間、下線時(shí)間、用戶名、訪問服務(wù)器的IP地址以及用戶的IP地址信息；同時(shí)記錄下用戶的所有操作（包括但不限于select、insert、create、update、delete、grant和commit等）。

    2.3 業(yè)務(wù)服務(wù)保證類

    2.3.1、攻擊者利用分布式拒絕服務(wù)攻擊等拒絕服務(wù)攻擊工具，惡意消耗網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源，導(dǎo)致拒絕服務(wù)

    威脅舉例

    分布式拒絕服務(wù)（DDoS）攻擊工具“Tribe Flood Network 2000 (TFN2K)”是由德國(guó)著名黑客Mixter編寫的同類攻擊工具TFN的后續(xù)版本。

    TFN2K通過主控端利用大量代理端主機(jī)資源對(duì)一個(gè)或多個(gè)目標(biāo)進(jìn)行協(xié)同攻擊。當(dāng)前互聯(lián)網(wǎng)中的UNIX、Solaris和Windows NT等平臺(tái)的主機(jī)都能被用于此類攻擊，而且這個(gè)工具非常容易被移植到其它系統(tǒng)平臺(tái)上。

    TFN2K由兩部分組成：主控端主機(jī)上的客戶端和代理端主機(jī)上的守護(hù)進(jìn)程。主控端向其代理端發(fā)送攻擊指定的目標(biāo)主機(jī)列表，代理端據(jù)此對(duì)目標(biāo)進(jìn)行拒絕服務(wù)攻擊。整個(gè)TFN2K網(wǎng)絡(luò)可能使用不同的TCP、UDP或ICMP包進(jìn)行通訊。對(duì)目標(biāo)的攻擊方法包括TCP/SYN、UDP、ICMP/PING或BROADCAST PING（SMURF）數(shù)據(jù)包flood等。

    安全建設(shè)目標(biāo)

    ·應(yīng)具有限制網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源使用的能力

    ·應(yīng)具有能夠檢測(cè)、集中分析、響應(yīng)、阻止對(duì)網(wǎng)絡(luò)和所有主機(jī)的各種攻擊的能力

    ·應(yīng)具有合理分配、控制網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源的能力

    技術(shù)解決方案

    由于DDoS攻擊并非頻繁發(fā)生，所以在網(wǎng)絡(luò)中串接設(shè)備進(jìn)行防御一般被認(rèn)為是不必要并且增加故障點(diǎn)的。目前的防御方案向兩個(gè)方向發(fā)展：一是在防火墻、IPS等設(shè)備上面完成防御，優(yōu)點(diǎn)是不需要額外部署設(shè)備且不引入新的故障點(diǎn)；缺點(diǎn)是功能易重疊且只能完成一般攻擊防范，對(duì)于大流量的環(huán)境和復(fù)雜的攻擊類型捉襟見肘。二是部署專業(yè)的抗DDoS工具，平時(shí)旁路部署，鏡像流量進(jìn)行分析，一旦發(fā)生攻擊，通過路由進(jìn)行引流清洗。優(yōu)點(diǎn)是對(duì)現(xiàn)網(wǎng)業(yè)務(wù)影響最小，且防護(hù)全面；缺點(diǎn)是部署成本高。

    2.3.2、緩慢的網(wǎng)絡(luò)響應(yīng)時(shí)間和糟糕的應(yīng)用性能制約生產(chǎn)力提升，造成無意義的TCO提高

    威脅舉例

    服務(wù)器負(fù)載不均衡的情況很常見，所以一般情況下都會(huì)采用服務(wù)器負(fù)載均衡的技術(shù)手段發(fā)揮服務(wù)器集群的最大作用。然而，隨著WEB應(yīng)用的增多，越來越多的網(wǎng)上保密業(yè)務(wù)采用了SSL加密，給服務(wù)器帶來較大負(fù)擔(dān)；帶寬資源的緊張，也經(jīng)常成為系統(tǒng)的瓶頸，導(dǎo)致最終用戶處響應(yīng)時(shí)間慢。南北運(yùn)營(yíng)商互通問題、鏈路如何冗余問題都是提高業(yè)務(wù)響應(yīng)所面臨的嚴(yán)峻挑戰(zhàn)。

    安全建設(shè)目標(biāo)

    ·應(yīng)具有能夠在服務(wù)器之間平衡流量的能力

    ·應(yīng)具有能夠在不同的出口鏈路之間平衡出入流量的能力

    ·應(yīng)具有能夠在不同的站點(diǎn)之間平衡流量的能力

    ·應(yīng)具有能夠在不同鏈路中基于一定算法進(jìn)行最優(yōu)選擇的能力

    ·應(yīng)具有能夠在帶寬資源成為瓶頸的情況下，提高響應(yīng)速度的能力

    ·應(yīng)具有能夠降低服務(wù)器協(xié)議處理、減輕擴(kuò)容壓力的能力

    技術(shù)解決方案

    通過GSLB實(shí)現(xiàn)不同數(shù)據(jù)中心之間的負(fù)載均衡，保證用戶對(duì)于站點(diǎn)的訪問最優(yōu)；通過在數(shù)據(jù)中心服務(wù)器集群前部署服務(wù)器負(fù)載均衡，保證集群的整體處理能力最優(yōu)；通過出口鏈路處部署鏈路負(fù)載均衡技術(shù)，對(duì)出入方向的流量，基于最小響應(yīng)時(shí)間等實(shí)現(xiàn)方式進(jìn)行處理；通過硬件實(shí)現(xiàn)TCP協(xié)議處理、SSL卸載和TCP快啟動(dòng)等協(xié)議優(yōu)化需求，降低服務(wù)器的CPU占用率；通過基于GZIP等的數(shù)據(jù)壓縮和解壓縮，保證用戶最短的等待時(shí)間。

    2.4 安全建設(shè)績(jī)效類

    2.4.1、業(yè)務(wù)流量變化、業(yè)務(wù)種類變化導(dǎo)致數(shù)據(jù)中心需要調(diào)整

    威脅舉例

    目前所有的數(shù)據(jù)中心，其運(yùn)營(yíng)、維護(hù)的成本都居高不下，并且其基礎(chǔ)設(shè)施建構(gòu)維護(hù)的費(fèi)用也很高。其中一部分原因來自于數(shù)據(jù)中心的應(yīng)用種類太多太復(fù)雜，從而造成很多非標(biāo)準(zhǔn)化的應(yīng)用和需求，導(dǎo)致運(yùn)營(yíng)成本增加。

    業(yè)務(wù)的運(yùn)作是不停變化的，新業(yè)務(wù)對(duì)計(jì)算資源的需求也就隨之不斷變化。有時(shí)候會(huì)有更新的業(yè)務(wù)或者是老業(yè)務(wù)的淘汰，數(shù)據(jù)中心的基礎(chǔ)設(shè)施很難適應(yīng)業(yè)務(wù)變化。

    安全建設(shè)目標(biāo)

    ·應(yīng)具有能夠預(yù)測(cè)業(yè)務(wù)流量變化的能力

    ·應(yīng)具有能夠在業(yè)務(wù)變化時(shí)安全策略部署不影響其他業(yè)務(wù)的能力

    技術(shù)解決方案

    通過類似NetStream/NetFlow等技術(shù)的部署，可以從多角度對(duì)網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì)分析，包括基于接口的總體流量趨勢(shì)分析、應(yīng)用流量分析、節(jié)點(diǎn)（包括源、目的IP）流量統(tǒng)計(jì)、會(huì)話流量等多種信息，真正實(shí)現(xiàn)網(wǎng)絡(luò)流量透明化，從而能夠提前對(duì)急需進(jìn)行的業(yè)務(wù)調(diào)整做出準(zhǔn)備。

    采用虛擬化技術(shù)也是解決業(yè)務(wù)變化帶來的管理問題的一個(gè)辦法。縱向上，虛擬化技術(shù)能夠把網(wǎng)絡(luò)資源化，業(yè)務(wù)增刪的時(shí)候，通過虛擬防火墻等虛擬化技術(shù)不僅可以保證每種業(yè)務(wù)都能資源獨(dú)享，并且不會(huì)對(duì)其他業(yè)務(wù)造成影響。橫向上，虛擬化技術(shù)可以把網(wǎng)絡(luò)資源簡(jiǎn)單化，例如，通過IRF等技術(shù)，能夠?qū)崿F(xiàn)業(yè)務(wù)的快速部署。

    2.4.2、全網(wǎng)設(shè)備管理存在門戶不同、管理分散，導(dǎo)致定位問題緩慢且沒有有效的技術(shù)手段制成IT規(guī)劃、決策

    威脅舉例

    數(shù)據(jù)中心資源的部署都非常離散，路由設(shè)備、交換設(shè)備、存儲(chǔ)資源、認(rèn)證系統(tǒng)、計(jì)費(fèi)系統(tǒng)等IT設(shè)備及系統(tǒng)的管理是分而治之，呈現(xiàn)割裂態(tài)勢(shì)，無法形成統(tǒng)一管理，在日益強(qiáng)調(diào)IT管理的新時(shí)期，愈發(fā)不合時(shí)宜。

    安全建設(shè)目標(biāo)

    ·應(yīng)具有能夠提供安全管理手段，有效處理網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的安全事件，一站式定位網(wǎng)絡(luò)安全問題的能力

    ·應(yīng)具有能夠?qū)�網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用的統(tǒng)一管理的能力

    技術(shù)解決方案

    通過收集網(wǎng)絡(luò)、安全、主機(jī)、應(yīng)用、存儲(chǔ)的各種日志，把網(wǎng)絡(luò)內(nèi)的所有資源作為嗅探器，保證全網(wǎng)的安全事件能夠在同一個(gè)平臺(tái)進(jìn)行整合，不同格式的日志信息能夠歸一化存儲(chǔ)。采用數(shù)據(jù)挖掘技術(shù)提取有效信息，并通過安全拓?fù)涞葓D形化形式進(jìn)行直觀表達(dá)。

    通過對(duì)SNMP、TR069等協(xié)議的支持，保證對(duì)網(wǎng)絡(luò)資源的統(tǒng)一管理；通過認(rèn)證、審計(jì)等技術(shù)手段，以用戶為本，靈活分配IT資源；基于業(yè)務(wù)需求，進(jìn)行IT資源分配保證。充分考慮IT環(huán)境組成的三個(gè)要素——人、業(yè)務(wù)、資源，將各類資源進(jìn)行整合、統(tǒng)一管理，使得IT系統(tǒng)實(shí)現(xiàn)端到端的過程管理。

3 數(shù)據(jù)中心解決方案邏輯模型

    綜合數(shù)據(jù)中心安全需求的四個(gè)角度，可以對(duì)數(shù)據(jù)中心的網(wǎng)絡(luò)、安全、主機(jī)等資源的安全性、可用性、可管理性等方面得出系統(tǒng)的分析。每個(gè)數(shù)據(jù)中心解決方案在不同維度都會(huì)有不同的要求，整體形成一個(gè)不規(guī)則四邊形完成對(duì)數(shù)據(jù)中心需求的覆蓋。

4 總結(jié)

    從安全的角度看數(shù)據(jù)中心建設(shè)，不僅僅是看數(shù)據(jù)中心如何部署安全基礎(chǔ)設(shè)施，還包括數(shù)據(jù)中心分區(qū)、地址規(guī)劃、路由設(shè)計(jì)等多方面。

    本文只是從四個(gè)角度簡(jiǎn)單分析了實(shí)際問題、解決方法和具體方案。由于數(shù)據(jù)中心業(yè)務(wù)的差異，其建設(shè)需求必然存在較大不同�；�于以上方法進(jìn)行數(shù)據(jù)中心的定制化設(shè)計(jì)是大多數(shù)情況下的選擇。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：從安全的角度分析數(shù)據(jù)

本文網(wǎng)址：http://www.ezxoed.cn/html/support/1112185301.html