周曉艷

數(shù)據(jù)中心是數(shù)據(jù)大集中而形成的集成IT應(yīng)用環(huán)境,它是各種IT應(yīng)用服務(wù)的提供中心,是數(shù)據(jù)計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)的中心。數(shù)據(jù)中心中提供了業(yè)務(wù)連續(xù)性保障,實(shí)現(xiàn)了安全策略的統(tǒng)一部署,為IT基礎(chǔ)設(shè)施、業(yè)務(wù)應(yīng)用和數(shù)據(jù)構(gòu)建統(tǒng)一運(yùn)維管理平臺(tái)。

1 數(shù)據(jù)中心的安全威脅

數(shù)據(jù)中心作為整個(gè)信息架構(gòu)的核心部分,有著非常重要的地位。在信息傳遞更加自由、網(wǎng)絡(luò)應(yīng)用更加豐富的情況下,管理者必須了解他們的網(wǎng)絡(luò)所面臨的潛在威脅。這些威脅將導(dǎo)致一定程度上的泄密以及對(duì)信息或資源的破壞,從而造成巨大的經(jīng)濟(jì)損失。了解常見的攻擊和威脅類型,以及在策略上為了確保一定程度的網(wǎng)絡(luò)安全所能采取的行動(dòng)對(duì)數(shù)據(jù)中心的管理者和決策者來說是十分重要的。

通常我們面臨的安全威脅可能是不同類型的。當(dāng)一個(gè)未經(jīng)授權(quán)的實(shí)體通過Inter net接入、線路竊聽、遠(yuǎn)程撥號(hào)等方式獲得了對(duì)資源的訪問權(quán)限,那么安全威脅來自未經(jīng)授權(quán)的訪問。未經(jīng)授權(quán)的訪問可能是非惡意的行為,但如果攻擊者通過偷竊密鑰、記錄授權(quán)序列并重放等方式偽造憑證來冒充合法用戶,從而獲得對(duì)系統(tǒng)或服務(wù)的訪問權(quán),并破壞系統(tǒng)架構(gòu)或篡改信息資源,那么這樣的未授權(quán)訪問就是惡意仿冒。惡意的仿冒可能是破壞性的,因?yàn)樗@過了為層次化授權(quán)訪問而創(chuàng)建的信任關(guān)系。

威脅還可能來自DoS(拒絕服務(wù))和DDOS(分布式拒絕服務(wù))等網(wǎng)絡(luò)攻擊。但是,攻擊不僅僅面向應(yīng)用層進(jìn)行,還可能針對(duì)傳統(tǒng)的網(wǎng)絡(luò)層和物理層。在數(shù)據(jù)中心網(wǎng)絡(luò)環(huán)境中,服務(wù)的中斷和信息資產(chǎn)的丟失可能對(duì)網(wǎng)絡(luò)正常運(yùn)行造成巨大影響。

2 數(shù)據(jù)中心的安全策略

安全策略是賦予了組織機(jī)構(gòu)技術(shù)和信息資產(chǎn)使用權(quán)的人員必須遵守的準(zhǔn)則和正規(guī)陳述。安全策略不一定就能使網(wǎng)絡(luò)更安全,但我們可以根據(jù)對(duì)于策略的一致性的衡量來判斷網(wǎng)絡(luò)的安全程度。安全策略的開發(fā)主要由業(yè)務(wù)需求分析和風(fēng)險(xiǎn)分析來驅(qū)動(dòng)。通過了解組織機(jī)構(gòu)的業(yè)務(wù)目標(biāo),安全策略的設(shè)計(jì)者才能了解信息資產(chǎn)及其可能受到的威脅對(duì)組織的重要性。進(jìn)一步的風(fēng)險(xiǎn)分析,可以讓設(shè)計(jì)者從全局的高度了解并衡量安全事件產(chǎn)生的成本和減輕這些安全威脅的成本。

在開發(fā)安全策略的過程中,總體策略、標(biāo)準(zhǔn)和最佳實(shí)踐是常見的策略文檔?？傮w策略一般具有廣泛的實(shí)現(xiàn)性,是實(shí)現(xiàn)安全策略的最低要求。標(biāo)準(zhǔn)通常情況下是策略和操作指導(dǎo)的參考,它是一套最基本的操作準(zhǔn)則。最佳實(shí)踐是經(jīng)過長期經(jīng)驗(yàn)積累總結(jié)出的一套更適合企業(yè)自身業(yè)務(wù)特點(diǎn)的指導(dǎo)方針。安全策略的開發(fā)應(yīng)該由一個(gè)團(tuán)隊(duì)來完成,包括數(shù)據(jù)中心系統(tǒng)管理員,高層決策人員,用戶代表和其他該組織機(jī)構(gòu)的代表。

3 網(wǎng)絡(luò)安全技術(shù)與設(shè)備

在數(shù)據(jù)中心內(nèi)部,無論是網(wǎng)絡(luò)基礎(chǔ)設(shè)施,業(yè)務(wù)系統(tǒng)還是其他輔助設(shè)備,規(guī)模都非常龐大且復(fù)雜。安全的管理是非常困難的,但只要你的安全策略匹配了最佳實(shí)踐,同時(shí)構(gòu)建了合理的安全技術(shù),通過安全策略與安全技術(shù)的有效結(jié)合,你將在數(shù)據(jù)中心內(nèi)部建立一套相對(duì)安全的系統(tǒng)。

3.1 身份識(shí)別

在網(wǎng)絡(luò)上用戶的身份可以映射為一些不同的元素,如用戶名、密碼、智能卡、PKI、地址、生物特征識(shí)別等。在數(shù)據(jù)中心內(nèi)部,身份識(shí)別技術(shù)在管理架構(gòu)中運(yùn)用廣泛,主要作用是確保管理員登錄的可靠性,防止非法用戶訪問數(shù)據(jù)中心內(nèi)部系統(tǒng)。如果非法用戶盜用了管理員帳號(hào)或通過其他手段獲取了數(shù)據(jù)中心的訪問權(quán)限也可能產(chǎn)生安全性問題。所以,通常情況下身份識(shí)別還需要與加密技術(shù)和安全策略配合來提供更高的安全性。

3.2 防火墻

防火墻的本質(zhì)功能就是實(shí)現(xiàn)網(wǎng)絡(luò)隔離,通過防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進(jìn)行隔離。實(shí)現(xiàn)網(wǎng)絡(luò)防火墻的基本技術(shù)是IP包過濾。ACL是一種簡(jiǎn)單可靠的技術(shù),應(yīng)用在路由器或交換機(jī)上可實(shí)現(xiàn)最基本的IP包過濾,但單純的ACL包過濾缺乏一定的靈活性。

狀態(tài)防火墻設(shè)備將狀態(tài)檢測(cè)技術(shù)應(yīng)用在ACL技術(shù)上,通過對(duì)連接狀態(tài)的檢測(cè),動(dòng)態(tài)的發(fā)現(xiàn)應(yīng)該打開的端口,保證在通信的過程中動(dòng)態(tài)的決定哪些數(shù)據(jù)包可以通過防火墻。狀態(tài)防火墻還采用基于流的狀態(tài)檢測(cè)技術(shù),即增強(qiáng)了安全性又提供了更高的轉(zhuǎn)發(fā)性能,因?yàn)榛贏CL的包過濾技術(shù)是逐包檢測(cè)的,這樣當(dāng)規(guī)則非常多的時(shí)候包過濾防火墻的性能會(huì)變得比較低下,而基于流的狀態(tài)防火墻可以根據(jù)流的信息決定數(shù)據(jù)包是否可以通過防火墻,這樣就可以利用流的狀態(tài)信息決定對(duì)數(shù)據(jù)包的處理結(jié)果加快了轉(zhuǎn)發(fā)性能。

3.3 入侵檢測(cè)

傳統(tǒng)的網(wǎng)絡(luò)安全解決方案如防火墻、IDS等,已經(jīng)不能滿足網(wǎng)絡(luò)安全技術(shù)和形勢(shì)的發(fā)展需求了。各種蠕蟲、病毒、應(yīng)用層攻擊技術(shù)和EMAIL、移動(dòng)代碼結(jié)合,形成復(fù)合攻擊手段,使威脅更加危險(xiǎn)和難以抵御。這些復(fù)合威脅直接攻擊企業(yè)核心服務(wù)器和應(yīng)用,給企業(yè)帶來了重大損失。

IPS(入侵防御系統(tǒng))可以針對(duì)應(yīng)用流量做深度分析與檢測(cè)能力,同時(shí)配合以精心研究的攻擊特征知識(shí)庫和用戶規(guī)則,即可以有效檢測(cè)并實(shí)時(shí)阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為,也可以對(duì)分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管理,通過主動(dòng)阻止攻擊達(dá)到對(duì)網(wǎng)絡(luò)應(yīng)用的保護(hù)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的保護(hù)和網(wǎng)絡(luò)性能的保護(hù)。

3.4 加密技術(shù)

加密可以在網(wǎng)絡(luò)的不同層次進(jìn)行,在鏈路層加密可以通過WEP(有限對(duì)等保密)或?qū)Ｓ玫募用芷鱽韺?shí)現(xiàn)。不過數(shù)據(jù)中心內(nèi)部常用到的是網(wǎng)絡(luò)層加密和應(yīng)用層加密, IPSec是常見的網(wǎng)絡(luò)層加密技術(shù),可以在多種模式下運(yùn)行提供全面的加密、認(rèn)證和完整性保護(hù)。IPSec實(shí)現(xiàn)了站點(diǎn)到站點(diǎn)或客戶PC到站點(diǎn)等靈活的部署方式,管理者關(guān)注的重點(diǎn)可能是IPSec網(wǎng)關(guān)的性能和數(shù)量等,因?yàn)樵跀?shù)據(jù)中心環(huán)境中,可靠性和擴(kuò)展性是必須考慮的關(guān)鍵要素。基于應(yīng)用的需要,L4到L7的加密也是數(shù)據(jù)中心網(wǎng)絡(luò)安全部署中需要考慮的技術(shù),尤其是在基于Web通信為主的網(wǎng)站數(shù)據(jù)中心應(yīng)用場(chǎng)景中。SSL與IPSec一樣為用戶提供了一套完善的認(rèn)證加密機(jī)制,而且不僅僅限于HTTP層的保護(hù),現(xiàn)有的SSL技術(shù)還可以提供基于TCP層和IP層的加密保護(hù),為用戶提供更多的選擇性。

4 結(jié)語

數(shù)據(jù)集中是管理集約化、精細(xì)化的必然要求,是企業(yè)優(yōu)化業(yè)務(wù)流程、管理流程的必要手段。目前,數(shù)據(jù)集中已經(jīng)成為國內(nèi)電子政務(wù)、企業(yè)信息化建設(shè)的發(fā)展趨勢(shì)。數(shù)據(jù)中心的建設(shè)成為數(shù)據(jù)集中趨勢(shì)下的必然要求。

參考文獻(xiàn)

[1] 章潔如.數(shù)據(jù)中心的安全分析.中國數(shù)據(jù)通信,2001(10).

[2] 劉佳,杜雪濤,等.互聯(lián)網(wǎng)數(shù)據(jù)中心安全解決方案.電信工程技術(shù)與標(biāo)準(zhǔn)化,2010(2).