【正文】 1 前言數(shù)據(jù)集中是管理集約化、精細化的必然要求，是企業(yè)優(yōu)化業(yè)務(wù)流程、管理流程的的必要手段。目前，數(shù)據(jù)集中已經(jīng)成為國內(nèi)電子政務(wù)、企業(yè)信息化建設(shè)的發(fā)展趨勢。數(shù)據(jù)中心的建設(shè)已成為數(shù)據(jù)大集中趨勢下的必然要求。做為網(wǎng)絡(luò)中數(shù)據(jù)交換最頻繁、資源最密集的地方，數(shù)據(jù)中心無疑是個充滿著巨大的誘惑的數(shù)字城堡，任何防護上的疏漏必將會導(dǎo)致不可估量的損失，因此構(gòu)筑一道安全地防御體系將是這座數(shù)字城堡首先面對的問題。2 數(shù)據(jù)中心面對的安全挑戰(zhàn)隨著Internet應(yīng)用日益深化，數(shù)據(jù)中心運行環(huán)境正從傳統(tǒng)客戶機/服務(wù)器向網(wǎng)絡(luò)連接的中央服務(wù)器轉(zhuǎn)型，受其影響，基礎(chǔ)設(shè)施框架下多層應(yīng)用程序與硬件、網(wǎng)絡(luò)、操作系統(tǒng)的關(guān)系變得愈加復(fù)雜。這種復(fù)雜性也為數(shù)據(jù)中心的安全體系引入許多不確定因素，一些未實施正確安全策略的數(shù)據(jù)中心，黑客和蠕蟲將順勢而入。盡管大多數(shù)系統(tǒng)管理員已經(jīng)認識到來自網(wǎng)絡(luò)的惡意行為對數(shù)據(jù)中心造成的嚴重損害，而且許多數(shù)據(jù)中心已經(jīng)部署了依靠訪問控制防御來獲得安全性的設(shè)備，但對于日趨成熟和危險的各類攻擊手段，這些傳統(tǒng)的防御措施仍然顯現(xiàn)的力不從心。以下是當(dāng)前數(shù)據(jù)中心面對的一些主要安全挑戰(zhàn)。 面向應(yīng)用層的攻擊常見的應(yīng)用攻擊包括惡意蠕蟲、病毒、緩沖溢出代碼、后門木馬等，最典型的應(yīng)用攻擊莫過于“蠕蟲”。蠕蟲是指通過計算機網(wǎng)絡(luò)進行自我復(fù)制的惡意程序，泛濫時可以導(dǎo)致網(wǎng)絡(luò)阻塞和癱瘓。從本質(zhì)上講，蠕蟲和病毒的最大的區(qū)別在于蠕蟲是通過網(wǎng)絡(luò)進行主動傳播的，而病毒需要人的手工干預(yù)（如各種外部存儲介質(zhì)的讀寫）。蠕蟲有多種形式，包括系統(tǒng)漏洞型蠕蟲、群發(fā)郵件型蠕蟲、共享型蠕蟲、寄生型蠕蟲和混和型蠕蟲。其中最常見，變種最多的蠕蟲是群發(fā)郵件型蠕蟲，它是通過EMAIL進行傳播的，著名的例子包括求職信、網(wǎng)絡(luò)天空NetSky、雛鷹 BBeagle等，2005年11月爆發(fā)的Sober蠕蟲，是一個非常典型的群發(fā)郵件型蠕蟲。而傳播最快，范圍最廣、危害最大是系統(tǒng)漏洞型蠕蟲，例如利用TCP 445端口進行傳播的windows PnP服務(wù)漏洞到2006年第一季度還在肆虐它的余威。圖1 應(yīng)用協(xié)議攻擊穿透防火墻應(yīng)用攻擊的共同特點是利用了軟件系統(tǒng)在設(shè)計上的缺陷，并且他們的傳播都基于現(xiàn)有的業(yè)務(wù)端口，因此應(yīng)用攻擊可以毫不費力的躲過那些傳統(tǒng)的或者具有少許深度檢測功能的防火墻。國際計算機安全協(xié)會 ICSA 實驗室調(diào)查的結(jié)果顯示，2005年病毒攻擊范圍提高了39%，重度被感染者提高了18%，造成的經(jīng)濟損失提高了31%，尤為引人注意的是，跨防火墻的應(yīng)用層(ISO 7層)攻擊提高了278%，即使在2004年，這一數(shù)字也高達249%。擺在我們面前的大量證據(jù)表明，針對系統(tǒng)缺陷的應(yīng)用攻擊已成為數(shù)據(jù)中心面臨的主要威脅。造成應(yīng)用攻擊的根本原因在于軟件開發(fā)人員編寫程序時沒有充分考慮異常情況的處理過程，當(dāng)系統(tǒng)處理處理某些特定輸入時引起內(nèi)存溢出或流程異常，因此形成了系統(tǒng)漏洞。黑客利用系統(tǒng)漏洞可以獲得對系統(tǒng)非授權(quán)資源的訪問。來自CERT（計算機緊急事件相應(yīng)組）報告指出，從1995年開到2004年已有超過12，000個漏洞被報告，而且自1999年以來，每年的數(shù)量都翻翻，增長如此迅猛，如下圖所示：圖2 1995－2005 CERT/CC統(tǒng)計發(fā)現(xiàn)的漏洞如此多的漏洞，對數(shù)據(jù)中心意味著什么？系統(tǒng)安全小組必須及時采取行動獲得補丁程序、測試、最后將其部署在服務(wù)器上，為什么不直接給服務(wù)器打補丁呢？因為不能保證補丁對應(yīng)用系統(tǒng)沒有影響，為了以防萬一，必須對補丁程序進行測試和驗證，然后才允許將其投入生產(chǎn)系統(tǒng)。從補丁程序獲得、測試和驗證，再到最終的部署，完成這一系列任務(wù)需要多長時間？答案是，可能需要幾個小時到幾天，而在此期間攻擊可能已經(jīng)發(fā)生，損失已無法挽回。這也就是所謂的“零時差攻擊”。如下表所示，從系統(tǒng)漏洞被發(fā)現(xiàn)到產(chǎn)生針對性應(yīng)用攻擊的時間已從以年計算降至以天，以小時計算。表1 系統(tǒng)漏洞與應(yīng)用攻擊爆發(fā)速度關(guān)系:應(yīng)用攻擊系統(tǒng)漏洞與應(yīng)用攻擊爆發(fā)周期MS0503924 小時Witty48小時 （2天）Blast1個月 （26天）Slammer6個月 （185天）Nimida11個月 （336天）試想一下，這是一個何等恐怖的情況，數(shù)據(jù)中心龐大的服務(wù)器群還未來得及做出任何反應(yīng)即遭到黑客發(fā)動的“閃擊戰(zhàn)”，大量敏感數(shù)據(jù)被盜用、網(wǎng)絡(luò)險入癱瘓 …|…。因此，數(shù)據(jù)中心面臨的另一個嚴峻問題是如何應(yīng)對由應(yīng)用攻擊造成的“零時差”效應(yīng)。 面向網(wǎng)絡(luò)層的攻擊除了由于系統(tǒng)漏洞造成的應(yīng)用攻擊外，數(shù)據(jù)中心還要面對拒絕服務(wù)攻擊（DoS）和分布式拒絕服務(wù)攻擊（DDoS）的挑戰(zhàn)。DOS/DDOS是一種傳統(tǒng)的網(wǎng)絡(luò)攻擊方式，然而其破壞力卻十分強勁。據(jù)2004 美國CSI/FBI的計算機犯罪和安全調(diào)研分析，DOS和DDOS攻擊已成為對企業(yè)損害最大的犯罪行為，超出其他各種犯罪類型兩倍。常見的DDOS攻擊方法有SYN Flood、Established Connection Flood和Connection Per Second Flood。已發(fā)現(xiàn)的DOS攻擊程序有ICMP Smurf、UDP 反彈，而典型的DDOS攻擊程序有Zombie、TFN2K、Trinoo 和 Stacheldraht等。DOS/DDoS攻擊大行其道的原因主要是利用了TCP/IP的開放性原則，從任意源地址向任意目標地址都可以發(fā)送數(shù)據(jù)包。DOS/DDOS利用看似合理的海量服務(wù)請求來耗盡網(wǎng)絡(luò)和系統(tǒng)的資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。早期的DOS攻擊由單機發(fā)起，在攻擊目標的CPU速度不高、內(nèi)存有限、網(wǎng)絡(luò)帶寬窄的情況下效果是明顯的。隨著網(wǎng)絡(luò)和系統(tǒng)性能的大幅提高，CPU的主頻已達數(shù)G，服務(wù)器的內(nèi)存通常在2G以上，此外網(wǎng)絡(luò)的吞吐能力已達萬兆，單機發(fā)起的DoS攻擊好比孤狼斗猛虎，沒有什么威脅。狼的習(xí)性是群居，一只固然勢單力薄，但如果群起而攻之，恐怕猛虎也難抵擋，這就是分布式拒絕服務(wù)攻擊的原理。用一臺攻擊機來攻擊不再起作用的話，攻擊者使用10臺攻擊機、100臺呢共同發(fā)起攻擊呢？DDoS就是利用大量的傀儡機來發(fā)起攻擊，積少成多超過