数据中心解决方案安全技术白皮书 .pdfVIP

数据中心解决方案安全技术白皮书

1前言

数据集中是治理集约化、精细化的必定要求，是企业优化业务流程、治理流

程的的必要手段。目前，数据集中差不多成为国内电子政务、企业信息化建设的

进展趋势。数据中心的建设已成为数据大集中趋势下的必定要求。做为网络中数

据交换最频繁、资源最密集的地点，数据中心无疑是个充满着庞大的诱惑的数字

城堡，任何防护上的疏漏必将会导致不可估量的缺失，因此构筑一道安全地防备

体系将是这座数字城堡第一面对的问题。

2数据中心面对的安全挑战

随着Internet应用日益深化，数据中心运行环境正从传统客户机/服务器向网

络连接的中央服务器转型，受其阻碍，基础设施框架下多层应用程序与硬件、网

络、操作系统的关系变得愈加复杂。这种复杂性也为数据中心的安全体系引入许

多不确定因素，一些未实施正确安全策略的数据中心，黑客和蠕虫将顺势而入。

尽管大多数系统治理员差不多认识到来自网络的恶意行为对数据中心造成的严

峻损害，而且许多数据中心差不多部署了依靠访问操纵防备来获得安全性的设备，

但关于日趋成熟和危险的各类攻击手段，这些传统的防备措施仍旧显现的力不从

心。

以下是当前数据中心面对的一些要紧安全挑战。

2.1面向应用层的攻击

常见的应用攻击包括恶意蠕虫、病毒、缓冲溢出代码、后门木马等，最典型

的应用攻击莫过于〝蠕虫〞。蠕虫是指通过运算机网络进行自我复制的恶意程

序，泛滥时能够导致网络堵塞和瘫痪。从本质上讲，蠕虫和病毒的最大的区别

在于蠕虫是通过网络进行主动传播的，而病毒需要人的手工干预〔如各种外部储

备介质的读写〕。蠕虫有多种形式，包括系统漏洞型蠕虫、群发邮件型蠕虫、共

享型蠕虫、寄生型蠕虫和混和型蠕虫。其中最常见，变种最多的蠕虫是群发邮件

型蠕虫，它是通过EMAIL进行传播的，闻名的例子包括求职信、网络天空

NetSky、雏鹰BBeagle等，2005年11月爆发的Sober蠕虫，是一个专门典型

的群发邮件型蠕虫。而传播最快，范畴最广、危害最大是系统漏洞型蠕虫，例如

利用TCP445端口进行传播的windowsPnP服务漏洞到2006年第一季度还在肆

虐它的余威。

图1应用协议攻击穿透防火墙

应用攻击的共同特点是利用了软件系统在设计上的缺陷，同时他们的传播都

基于现有的业务端口，因此应用攻击能够毫不费劲的躲过那些传统的或者具有少

许深度检测功能的防火墙。国际运算机安全协会ICSA实验室调查的结果显示，

2005年病毒攻击范畴提高了39%，重度被感染者提高了18%，造成的经济缺失

提高了31%，尤为引人注意的是，跨防火墙的应用层(ISO7层)攻击提高了278%，

即使在2004年，这一数字也高达249%。

摆在我们面前的大量证据说明针对，系统缺陷的应用攻击已成为数据中心面

临的要紧威逼。

造成应用攻击的全然缘故在于软件开发人员编写程序时没有充分考虑专门

情形的处理过程，当系统处理处理某些特定输入时引起内存溢出或流程专门，因

此形成了系统漏洞。黑客利用系统漏洞能够获得对系统非授权资源的访问。来自

CERT〔运算机紧急事件相应组〕报告指出，从1995年开到2004年已有超过12，

000个漏洞被报告，而且自1999年以来，每年的数量都翻翻，增长如此迅猛，

如以下图所示：

图21995－2005CERT/CC统计发觉的漏洞

如此多的漏洞，对数据中心意味着什么？系统安全小组必须及时采取行动获

得补丁程序、测试、最后将其部署在服务器上，什么缘故不直截了当给服务器打

补丁呢？因为不能保证补丁对应用系统没有阻碍，为了以防万一，必须对补丁程

序进行测试和验证，然后才承诺将其投入生产系统。从补丁程序获得、测试和验

证，再到最终的部署，完成这一系列任务需要多长时刻？答案是，可能需要几个

小时到几天，而在此期间攻击可能差不多发生，缺失已无法挽回。这也确实是所

谓的〝零时差攻击〞。如下表所示，从系统漏洞被发觉到产生针对性应用攻击的

时刻已从以年运算降至以天，以小时运算。

表1系统漏洞与应用攻击爆发速度关系:

应用攻击系统漏洞与应用攻击爆发周期

MS05-039