張軼

天津市城市道路設(shè)施巡查中心 天津 300190

引言

當代社會各類信息化應用和系統(tǒng)已逐步滲透到我們生活的方方面面，為生產(chǎn)生活的發(fā)展提供著強勁的動力。隨之而來的就是數(shù)據(jù)資源的總量變得越來越龐大，特別是移動互聯(lián)網(wǎng)時代的到來，對各種數(shù)據(jù)資源的需求更是呈現(xiàn)爆發(fā)式的增長，數(shù)字化經(jīng)濟、數(shù)字化生活在日常生活中顯得必不可少，作為承載用戶核心業(yè)務和重要數(shù)據(jù)主體的數(shù)據(jù)中心在其中發(fā)揮著樞紐的作用，儼然成為支撐互聯(lián)網(wǎng)這個復雜整體的一個個中心節(jié)點，其重要性顯而易見，對數(shù)據(jù)中心的安全性和穩(wěn)定性也就提出了更高的要求，如何保證它的安全運行也就顯得至關(guān)重要。由于數(shù)據(jù)中心本身的特性，在其上運行的系統(tǒng)離不開網(wǎng)絡(luò)的支持，同時也只有在網(wǎng)絡(luò)環(huán)境中才能發(fā)揮它處理和存儲的優(yōu)勢，因此做好網(wǎng)絡(luò)安全是進行數(shù)據(jù)中心安全建設(shè)的關(guān)鍵。

1 數(shù)據(jù)中心面臨的網(wǎng)絡(luò)安全問題

一是由于數(shù)據(jù)中心上系統(tǒng)進行數(shù)據(jù)存儲、處理需要與互聯(lián)網(wǎng)時刻保持高強度的信息交互，所以網(wǎng)絡(luò)中常見的病毒、蠕蟲、DDoS攻擊等惡意攻擊手段也同樣對數(shù)據(jù)中心造成威脅，不法分子可以通過這些手段竊取用戶的隱私數(shù)據(jù)，繼而使用這些數(shù)據(jù)從事詐騙、賬戶盜刷、內(nèi)部信息買賣等違法活動，從而達到非法牟利的目的。

二是隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，移動互聯(lián)網(wǎng)帶來了爆發(fā)增長的用戶數(shù)量和多種多樣的應用表現(xiàn)形式，同時也增加了安全防護工作的復雜性，同時惡意攻擊的頻度和技術(shù)含量也相應提升，攻擊的強度不斷提高，手段不斷翻新，不法分子時刻在尋找著數(shù)據(jù)中心可能存在的漏洞，給安全防護帶來困難。

三是由于數(shù)據(jù)中心中信息資源的價值往往較高，在利益或其他目的的驅(qū)使下，也就成為重點攻擊的目標，特別是黑客或網(wǎng)絡(luò)恐怖組織可能通過攻擊數(shù)據(jù)中心，破壞涉及政府、軍事、金融、公共管理等領(lǐng)域的重點網(wǎng)站或信息系統(tǒng)，這甚至成為現(xiàn)代社會國家間競爭的一種表現(xiàn)形式，這種攻擊一旦成功對國民生活、國家安全造成的影響和破壞也十分巨大[1]。 四是由于數(shù)據(jù)中心在網(wǎng)絡(luò)中所處的重要位置，對信息處理的時效性要求相對較高，對數(shù)據(jù)中心的攻擊很可能對它的處理、存儲性能造成影響，更有甚者會拖慢其上運行系統(tǒng)的整體速度，造成響應延遲、運行錯誤等問題，嚴重影響系統(tǒng)的平衡和穩(wěn)定。

2 數(shù)據(jù)中心網(wǎng)絡(luò)安全架構(gòu)

目前，國際上使用較為廣泛的安全體系結(jié)構(gòu)是由美國國家安全局（NSA）開發(fā)的《信息保障技術(shù)框架》（IATF：Information Assurance Technical Framework）安全體系結(jié)構(gòu)，我國自2002年引進國內(nèi)以來，廣泛地適用于各個領(lǐng)域，對信息安全保障體系建設(shè)發(fā)揮了指導和參考作用。

IATF的前身是《網(wǎng)絡(luò)安全框架》（NSF：Network Security Framework），于1998年發(fā)布第一版；1999年，NSA將NSF更名為IATF，并發(fā)布IATF2.0。隨著信息安全技術(shù)的不斷發(fā)展，IAFT也在不斷修補和完善，內(nèi)容的深度和廣度也在不斷深化。

IATF的核心思想就是縱深防御戰(zhàn)略，也稱深層防護戰(zhàn)略（Defense-in-Depth），即通過多層次、層疊的防御措施為信息提供深層的安全保障。整個防御過程，需要人、技術(shù)和操作做到三位一體，共同組織實現(xiàn)信息系統(tǒng)的管理，這三點也是IAFT規(guī)劃的信息保障體系的核心因素。其中，人作為主體，包含培訓和意識、組織管理、人員安全、設(shè)施對策等方面；操作也叫運行，是主動防御的體現(xiàn)，包含備用評估、安全監(jiān)控、安全策略、響應恢復等方面，這兩個要素都可以通過加強安全管理來予以強化，而作為安全的基礎(chǔ)保障的技術(shù)因素則是實現(xiàn)信息保障的重要手段，各項安全服務都是通過技術(shù)手段來實現(xiàn)的，也是我們在安全建設(shè)過程需要重點考慮的問題。

在技術(shù)層面，IATF提出了4層的通用技術(shù)框架，分為：本地計算環(huán)境、區(qū)域邊界、網(wǎng)絡(luò)及基礎(chǔ)設(shè)施、支撐性基礎(chǔ)設(shè)施區(qū)域，區(qū)域間形成逐層遞進的縱深防御體系，確保了信息資源的安全可靠。如果考慮網(wǎng)絡(luò)安全的話，主要還是聚焦在區(qū)域邊界和網(wǎng)絡(luò)及基礎(chǔ)設(shè)施兩個方面。

區(qū)域邊界保護是指在當業(yè)務、系統(tǒng)依據(jù)功能和重要性等因素劃分為不同區(qū)域時，對進出這些區(qū)域的信息、數(shù)據(jù)進行有效的控制和監(jiān)視，在保障可用性的前提下，保護區(qū)域邊界設(shè)施的安全，典型的技術(shù)和應用主要包括防火墻、VPN、邊界共享交換、遠程訪問、多域方案、移動代碼、安全隔離等。

網(wǎng)絡(luò)及基礎(chǔ)設(shè)施保護是信息系統(tǒng)安全的基礎(chǔ)，網(wǎng)絡(luò)及其基礎(chǔ)設(shè)施作為保障用戶數(shù)據(jù)傳輸和信息系統(tǒng)運行的中樞，必須保障在無故障、不受外界影響的條件下穩(wěn)定可靠地運行，保證信息不會泄露給未授權(quán)的訪問者，防御拒絕服務攻擊，避免信息傳輸時發(fā)生更改、延時或發(fā)送失敗等，典型的技術(shù)和應用主要包括交換機和路由器安全、無線網(wǎng)絡(luò)安全等[2]。

3 數(shù)據(jù)中心網(wǎng)絡(luò)安全的具體實施

為達到縱深防御的效果，可以從網(wǎng)絡(luò)、設(shè)備、主動防御三個方面提供相應的安全防護手段，保障數(shù)據(jù)中心的網(wǎng)絡(luò)安全，下面將就幾種常見的防護方式或類型進行介紹。

3.1 訪問控制與隔離

訪問控制與隔離一般指通過安全策略，管理對受保護資源的訪問行為，繼而隔絕非法的訪問請求，保障數(shù)據(jù)資源的合法使用和安全的技術(shù)。為達到控制目的，需要先識別和確認訪問的用戶、并決定該用戶可以對哪些資源進行何種類型的訪問。訪問控制是保障系統(tǒng)保密性、完整性、可用性及合法性的重要基礎(chǔ)，是網(wǎng)絡(luò)安全和資源保護的關(guān)鍵策略。按照區(qū)域邊界防護的要求，需要針對不同安全級別的網(wǎng)絡(luò)進行訪問控制和隔離，一般通過防火墻技術(shù)進行隔離。

3.1.1 劃分安全域。既然要進行隔離，就要在對業(yè)務資源進行分析的基礎(chǔ)上，合理地設(shè)定安全域。劃分的主要原則是同一業(yè)務或同一系統(tǒng)中具有相同的安全需求，互相信任，并具有相同的安全訪問控制和邊界控制策略的部分應劃分為一個安全域，域內(nèi)共享相同的安全策略，從而保障業(yè)務運行順暢。對敏感的網(wǎng)絡(luò)區(qū)域或者需要進行訪問控制的區(qū)域應用單獨的安全域進行劃分，方便進行安全控制；大型的網(wǎng)絡(luò)還可在一個安全域的基礎(chǔ)上劃分小的子域，但劃分不應過細。一般常見的幾種劃分方式有：OA區(qū)、應用服務區(qū)、數(shù)據(jù)區(qū)；遠程網(wǎng)絡(luò)、公共網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)；互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)網(wǎng)接入?yún)^(qū)、內(nèi)部網(wǎng)絡(luò)區(qū)等等。

劃分安全域時，需要明確各個區(qū)域的安全定義，如果劃分邏輯模糊，劃分形成的各個安全域也就無法形成層次清晰的縱深防御體系。傳統(tǒng)的劃分方法多數(shù)是通過將不同的安全需求和所處的物理區(qū)域綜合進行考慮，劃分出合適的安全域，在中小型的網(wǎng)絡(luò)環(huán)境中，這種方法得到了廣泛的應用；而在大型的企業(yè)或數(shù)據(jù)中心中，這種方法忽視了同一系統(tǒng)中不同網(wǎng)絡(luò)層次服務所需安全等級的差別，由于不同層次服務間安全級別差異較大而且重要性也不盡相同，面臨的風險更是千差萬別，因此須將這些因素也考慮進去，進一步劃分安全域，才能滿足實際需要。

3.1.2 部署防火墻。各個安全域既要進行互訪，又要進行隔離，這一切的控制管理多數(shù)是通過防火墻來進行的。防火墻是設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的唯一出入口，能根據(jù)安全策略控制進入網(wǎng)絡(luò)的數(shù)據(jù)流，并且本身具有抗攻擊能力。由于同一安全域的安全需求相同，所以可以在安全域的邊界區(qū)域?qū)Ψ阑饓υO(shè)置統(tǒng)一的進出策略，就可以達到對不同區(qū)域間通信進行管理的目的。

3.2 DoS攻擊的防御

DoS攻擊，即拒絕服務攻擊，包括它的進化型DDoS、DRDoS攻擊，是現(xiàn)在網(wǎng)絡(luò)上十分常見的攻擊類型，通過利用網(wǎng)絡(luò)協(xié)議的漏洞或野蠻的發(fā)送大量請求等形式，惡意耗盡被攻擊對象的資源，造成設(shè)備或網(wǎng)絡(luò)無法正常提供服務或訪問資源，進而使網(wǎng)絡(luò)或服務器崩潰。由于DoS攻擊是基于TCP/IP協(xié)議的攻擊模式下，無論計算機的處理速度多快、內(nèi)存容量多大、網(wǎng)絡(luò)帶寬的多高，只要使用該協(xié)議的網(wǎng)絡(luò)就難以避免被攻擊所影響。常見的DoS攻擊有以下幾種：SYN Flood攻擊、Smurf攻擊、Ping of Death、淚滴攻擊、DRDOS等。

至于DoS攻擊的防護，我們可以從以下幾個方面著手：①對網(wǎng)絡(luò)設(shè)備定期進行檢查，掃描安全漏洞，更新系統(tǒng)補丁，升級軟件版本，關(guān)閉不必要的服務；②合理配置網(wǎng)絡(luò)設(shè)備，目前防火墻等設(shè)備多數(shù)支持DoS的防御，正確啟用相關(guān)功能，充分利用IDS設(shè)備、系統(tǒng)日志，了解設(shè)備狀態(tài)，對可疑的IP予以限制；③通過uRPF（Unicast Reverse Path Forwarding，單播反向路由查找）技術(shù)，對轉(zhuǎn)發(fā)包的源地址進行檢查，如果發(fā)現(xiàn)為假IP，則予以屏蔽；④通過核心路由器等網(wǎng)絡(luò)設(shè)備實現(xiàn)硬件層面的流量控制功能，限制SYN數(shù)據(jù)包流量速率，設(shè)置管制閾值，防止對資源的占用。

3.3 DHCP攻擊的防御

DHCP攻擊是針對網(wǎng)絡(luò)中存在的DHCP服務器的攻擊行為，原理就是通過耗盡DHCP服務器所掌握的地址池內(nèi)的IP地址資源，使DHCP服務器無法正常提供服務，然后以私自架設(shè)的虛假DHCP服務器頂替原服務器的作用，進行地址分配，達到攻擊目的。由于DHCP服務器的特性，它不具備相關(guān)的認證機制，所以在使用DHCP進行地址分配時會面臨幾種與DHCP服務相關(guān)的攻擊方式，主要包括：冒用DHCP服務器：當惡意用戶在同一網(wǎng)段內(nèi)私自架設(shè)一臺DHCP 服務器時，根據(jù)位置PC可能會先得到由這個DHCP服務器分配的IP地址，導致地址錯誤不能上網(wǎng)。大量DHCP請求的DDos攻擊：惡意客戶端發(fā)起大量DHCP請求，大量的DHCP Discover報文形成的DDos 攻擊會將DHCP服務器的性能耗盡，導致CPU利用率不斷升高，甚至癱瘓DHCP服務器。偽造MAC地址耗盡IP地址池：惡意客戶端偽造大量的MAC地址，并用來請求IP地址，導致DHCP服務器中地址池內(nèi)的IP地址被耗盡。

可采用如下技術(shù)應對以上常見攻擊：

防DHCP服務器冒用：接入交換機使用DHCP Snooping技術(shù)，只允許指定DHCP服務器的報文通過，其它的DHCP報文不能通過交換機。

防御大量DHCP請求的DDos攻擊：接入交換機對DHCP請求進行流量限速，防止惡意客戶端發(fā)起大量DHCP請求的DDos 攻擊，防止DHCP服務器的CPU利用率升高。

防御偽造MAC地址耗盡IP地址池：接入交換機可以截斷客戶端的DHCP請求，插入交換機的標識、接口的標識等發(fā)送給DHCP服務器；另外DHCP服務軟件應支持針對此標識來的請求進行限量的IP地址分配，或者其它附加的安全分配策略和條件。

3.4 智能主動防御

前面說到，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，惡意攻擊的復雜性也在不斷提高，傳統(tǒng)的通過特征碼對病毒進行判斷、通過補丁對系統(tǒng)進行防護的方式，越來越難滿足安全防御的需求，此時就需要系統(tǒng)能在病毒入侵造成影響前，通過對行為的智能分析，主動進行預警或通過安全設(shè)備予以處理，控制或減小可能造成的危害。智能主動防御主要包括以下幾方面的功能：基于用戶行為的自主感知和分析；基于網(wǎng)絡(luò)安全形勢的動態(tài)感知以及態(tài)勢分析；基于攻擊特性的攔截處理；基于系統(tǒng)各類信息的綜合分析；基于防御規(guī)則的主動恢復等。為實現(xiàn)這些功能，大型數(shù)據(jù)中心往往采用安全監(jiān)控、分析和威脅響應系統(tǒng)（MARS），作為控制系統(tǒng)對各類安全設(shè)備的信息進行匯總分析，識別攻擊方式，隔離被攻擊組件，進行智能修復；規(guī)模較小的數(shù)據(jù)中心考慮成本等因素，可以使用智能防火墻和IPS/IDS相互配合的解決方案，但管理成本也就相應提高。