【正文】 1 前言數(shù)據(jù)集中是管理集約化、精細(xì)化的必然要求，是企業(yè)優(yōu)化業(yè)務(wù)流程、管理流程的的必要手段。目前，數(shù)據(jù)集中已經(jīng)成為國(guó)內(nèi)電子政務(wù)、企業(yè)信息化建設(shè)的發(fā)展趨勢(shì)。數(shù)據(jù)中心的建設(shè)已成為數(shù)據(jù)大集中趨勢(shì)下的必然要求。做為網(wǎng)絡(luò)中數(shù)據(jù)交換最頻繁、資源最密集的地方，數(shù)據(jù)中心無(wú)疑是個(gè)充滿(mǎn)著巨大的誘惑的數(shù)字城堡，任何防護(hù)上的疏漏必將會(huì)導(dǎo)致不可估量的損失，因此構(gòu)筑一道安全地防御體系將是這座數(shù)字城堡首先面對(duì)的問(wèn)題。2 數(shù)據(jù)中心面對(duì)的安全挑戰(zhàn)隨著Internet應(yīng)用日益深化，數(shù)據(jù)中心運(yùn)行環(huán)境正從傳統(tǒng)客戶(hù)機(jī)/服務(wù)器向網(wǎng)絡(luò)連接的中央服務(wù)器轉(zhuǎn)型，受其影響，基礎(chǔ)設(shè)施框架下多層應(yīng)用程序與硬件、網(wǎng)絡(luò)、操作系統(tǒng)的關(guān)系變得愈加復(fù)雜。這種復(fù)雜性也為數(shù)據(jù)中心的安全體系引入許多不確定因素，一些未實(shí)施正確安全策略的數(shù)據(jù)中心，黑客和蠕蟲(chóng)將順勢(shì)而入。盡管大多數(shù)系統(tǒng)管理員已經(jīng)認(rèn)識(shí)到來(lái)自網(wǎng)絡(luò)的惡意行為對(duì)數(shù)據(jù)中心造成的嚴(yán)重?fù)p害，而且許多數(shù)據(jù)中心已經(jīng)部署了依靠訪問(wèn)控制防御來(lái)獲得安全性的設(shè)備，但對(duì)于日趨成熟和危險(xiǎn)的各類(lèi)攻擊手段，這些傳統(tǒng)的防御措施仍然顯現(xiàn)的力不從心。以下是當(dāng)前數(shù)據(jù)中心面對(duì)的一些主要安全挑戰(zhàn)。 面向應(yīng)用層的攻擊常見(jiàn)的應(yīng)用攻擊包括惡意蠕蟲(chóng)、病毒、緩沖溢出代碼、后門(mén)木馬等，最典型的應(yīng)用攻擊莫過(guò)于“蠕蟲(chóng)”。蠕蟲(chóng)是指通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行自我復(fù)制的惡意程序，泛濫時(shí)可以導(dǎo)致網(wǎng)絡(luò)阻塞和癱瘓。從本質(zhì)上講，蠕蟲(chóng)和病毒的最大的區(qū)別在于蠕蟲(chóng)是通過(guò)網(wǎng)絡(luò)進(jìn)行主動(dòng)傳播的，而病毒需要人的手工干預(yù)（如各種外部存儲(chǔ)介質(zhì)的讀寫(xiě)）。蠕蟲(chóng)有多種形式，包括系統(tǒng)漏洞型蠕蟲(chóng)、群發(fā)郵件型蠕蟲(chóng)、共享型蠕蟲(chóng)、寄生型蠕蟲(chóng)和混和型蠕蟲(chóng)。其中最常見(jiàn)，變種最多的蠕蟲(chóng)是群發(fā)郵件型蠕蟲(chóng)，它是通過(guò)EMAIL進(jìn)行傳播的，著名的例子包括求職信、網(wǎng)絡(luò)天空NetSky、雛鷹 BBeagle等，2005年11月爆發(fā)的Sober蠕蟲(chóng)，是一個(gè)非常典型的群發(fā)郵件型蠕蟲(chóng)。而傳播最快，范圍最廣、危害最大是系統(tǒng)漏洞型蠕蟲(chóng)，例如利用TCP 445端口進(jìn)行傳播的windows PnP服務(wù)漏洞到2006年第一季度還在肆虐它的余威。圖1 應(yīng)用協(xié)議攻擊穿透防火墻應(yīng)用攻擊的共同特點(diǎn)是利用了軟件系統(tǒng)在設(shè)計(jì)上的缺陷，并且他們的傳播都基于現(xiàn)有的業(yè)務(wù)端口，因此應(yīng)用攻擊可以毫不費(fèi)力的躲過(guò)那些傳統(tǒng)的或者具有少許深度檢測(cè)功能的防火墻。國(guó)際計(jì)算機(jī)安全協(xié)會(huì) ICSA 實(shí)驗(yàn)室調(diào)查的結(jié)果顯示，2005年病毒攻擊范圍提高了39%，重度被感染者提高了18%，造成的經(jīng)濟(jì)損失提高了31%，尤為引人注意的是，跨防火墻的應(yīng)用層(ISO 7層)攻擊提高了278%，即使在2004年，這一數(shù)字也高達(dá)249%。擺在我們面前的大量證據(jù)表明，針對(duì)系統(tǒng)缺陷的應(yīng)用攻擊已成為數(shù)據(jù)中心面臨的主要威脅。造成應(yīng)用攻擊的根本原因在于軟件開(kāi)發(fā)人員編寫(xiě)程序時(shí)沒(méi)有充分考慮異常情況的處理過(guò)程，當(dāng)系統(tǒng)處理處理某些特定輸入時(shí)引起內(nèi)存溢出或流程異常，因此形成了系統(tǒng)漏洞。黑客利用系統(tǒng)漏洞可以獲得對(duì)系統(tǒng)非授權(quán)資源的訪問(wèn)。來(lái)自CERT（計(jì)算機(jī)緊急事件相應(yīng)組）報(bào)告指出，從1995年開(kāi)到2004年已有超過(guò)12，000個(gè)漏洞被報(bào)告，而且自1999年以來(lái)，每年的數(shù)量都翻翻，增長(zhǎng)如此迅猛，如下圖所示：圖2 1995－2005 CERT/CC統(tǒng)計(jì)發(fā)現(xiàn)的漏洞如此多的漏洞，對(duì)數(shù)據(jù)中心意味著什么？系統(tǒng)安全小組必須及時(shí)采取行動(dòng)獲得補(bǔ)丁程序、測(cè)試、最后將其部署在服務(wù)器上，為什么不直接給服務(wù)器打補(bǔ)丁呢？因?yàn)椴荒鼙ＷC補(bǔ)丁對(duì)應(yīng)用系統(tǒng)沒(méi)有影響，為了以防萬(wàn)一，必須對(duì)補(bǔ)丁程序進(jìn)行測(cè)試和驗(yàn)證，然后才允許將其投入生產(chǎn)系統(tǒng)。從補(bǔ)丁程序獲得、測(cè)試和驗(yàn)證，再到最終的部署，完成這一系列任務(wù)需要多長(zhǎng)時(shí)間？答案是，可能需要幾個(gè)小時(shí)到幾天，而在此期間攻擊可能已經(jīng)發(fā)生，損失已無(wú)法挽回。這也就是所謂的“零時(shí)差攻擊”。如下表所示，從系統(tǒng)漏洞被發(fā)現(xiàn)到產(chǎn)生針對(duì)性應(yīng)用攻擊的時(shí)間已從以年計(jì)算降至以天，以小時(shí)計(jì)算。表1 系統(tǒng)漏洞與應(yīng)用攻擊爆發(fā)速度關(guān)系:應(yīng)用攻擊系統(tǒng)漏洞與應(yīng)用攻擊爆發(fā)周期MS0503924 小時(shí)Witty48小時(shí) （2天）Blast1個(gè)月 （26天）Slammer6個(gè)月 （185天）Nimida11個(gè)月 （336天）試想一下，這是一個(gè)何等恐怖的情況，數(shù)據(jù)中心龐大的服務(wù)器群還未來(lái)得及做出任何反應(yīng)即遭到黑客發(fā)動(dòng)的“閃擊戰(zhàn)”，大量敏感數(shù)據(jù)被盜用、網(wǎng)絡(luò)險(xiǎn)入癱瘓 …|…。因此，數(shù)據(jù)中心面臨的另一個(gè)嚴(yán)峻問(wèn)題是如何應(yīng)對(duì)由應(yīng)用攻擊造成的“零時(shí)差”效應(yīng)。 面向網(wǎng)絡(luò)層的攻擊除了由于系統(tǒng)漏洞造成的應(yīng)用攻擊外，數(shù)據(jù)中心還要面對(duì)拒絕服務(wù)攻擊（DoS）和分布式拒絕服務(wù)攻擊（DDoS）的挑戰(zhàn)。DOS/DDOS是一種傳統(tǒng)的網(wǎng)絡(luò)攻擊方式，然而其破壞力卻十分強(qiáng)勁。據(jù)2004 美國(guó)CSI/FBI的計(jì)算機(jī)犯罪和安全調(diào)研分析，DOS和DDOS攻擊已成為對(duì)企業(yè)損害最大的犯罪行為，超出其他各種犯罪類(lèi)型兩倍。常見(jiàn)的DDOS攻擊方法有SYN Flood、Established Connection Flood和Connection Per Second Flood。已發(fā)現(xiàn)的DOS攻擊程序有ICMP Smurf、UDP 反彈，而典型的DDOS攻擊程序有Zombie、TFN2K、Trinoo 和 Stacheldraht等。DOS/DDoS攻擊大行其道的原因主要是利用了TCP/IP的開(kāi)放性原則，從任意源地址向任意目標(biāo)地址都可以發(fā)送數(shù)據(jù)包。DOS/DDOS利用看似合理的海量服務(wù)請(qǐng)求來(lái)耗盡網(wǎng)絡(luò)和系統(tǒng)的資源，從而使合法用戶(hù)無(wú)法得到服務(wù)的響應(yīng)。早期的DOS攻擊由單機(jī)發(fā)起，在攻擊目標(biāo)的CPU速度不高、內(nèi)存有限、網(wǎng)絡(luò)帶寬窄的情況下效果是明顯的。隨著網(wǎng)絡(luò)和系統(tǒng)性能的大幅提高，CPU的主頻已達(dá)數(shù)G，服務(wù)器的內(nèi)存通常在2G以上，此外網(wǎng)絡(luò)的吞吐能力已達(dá)萬(wàn)兆，單機(jī)發(fā)起的DoS攻擊好比孤狼斗猛虎，沒(méi)有什么威脅。狼的習(xí)性是群居，一只固然勢(shì)單力薄，但如果群起而攻之，恐怕猛虎也難抵擋，這就是分布式拒絕服務(wù)攻擊的原理。用一臺(tái)攻擊機(jī)來(lái)攻擊不再起作用的話(huà)，攻擊者使用10臺(tái)攻擊機(jī)、100臺(tái)呢共同發(fā)起攻擊呢？DDoS就是利用大量的傀儡機(jī)來(lái)發(fā)起攻擊，積少成多超過(guò)