张轶

天津市城市道路设施巡查中心 天津 300190

引言

当代社会各类信息化应用和系统已逐步渗透到我们生活的方方面面，为生产生活的发展提供着强劲的动力。随之而来的就是数据资源的总量变得越来越庞大，特别是移动互联网时代的到来，对各种数据资源的需求更是呈现爆发式的增长，数字化经济、数字化生活在日常生活中显得必不可少，作为承载用户核心业务和重要数据主体的数据中心在其中发挥着枢纽的作用，俨然成为支撑互联网这个复杂整体的一个个中心节点，其重要性显而易见，对数据中心的安全性和稳定性也就提出了更高的要求，如何保证它的安全运行也就显得至关重要。由于数据中心本身的特性，在其上运行的系统离不开网络的支持，同时也只有在网络环境中才能发挥它处理和存储的优势，因此做好网络安全是进行数据中心安全建设的关键。

1 数据中心面临的网络安全问题

一是由于数据中心上系统进行数据存储、处理需要与互联网时刻保持高强度的信息交互，所以网络中常见的病毒、蠕虫、DDoS攻击等恶意攻击手段也同样对数据中心造成威胁，不法分子可以通过这些手段窃取用户的隐私数据，继而使用这些数据从事诈骗、账户盗刷、内部信息买卖等违法活动，从而达到非法牟利的目的。

二是随着互联网技术的发展，移动互联网带来了爆发增长的用户数量和多种多样的应用表现形式，同时也增加了安全防护工作的复杂性，同时恶意攻击的频度和技术含量也相应提升，攻击的强度不断提高，手段不断翻新，不法分子时刻在寻找着数据中心可能存在的漏洞，给安全防护带来困难。

三是由于数据中心中信息资源的价值往往较高，在利益或其他目的的驱使下，也就成为重点攻击的目标，特别是黑客或网络恐怖组织可能通过攻击数据中心，破坏涉及政府、军事、金融、公共管理等领域的重点网站或信息系统，这甚至成为现代社会国家间竞争的一种表现形式，这种攻击一旦成功对国民生活、国家安全造成的影响和破坏也十分巨大[1]。 四是由于数据中心在网络中所处的重要位置，对信息处理的时效性要求相对较高，对数据中心的攻击很可能对它的处理、存储性能造成影响，更有甚者会拖慢其上运行系统的整体速度，造成响应延迟、运行错误等问题，严重影响系统的平衡和稳定。

2 数据中心网络安全架构

目前，国际上使用较为广泛的安全体系结构是由美国国家安全局（NSA）开发的《信息保障技术框架》（IATF：Information Assurance Technical Framework）安全体系结构，我国自2002年引进国内以来，广泛地适用于各个领域，对信息安全保障体系建设发挥了指导和参考作用。

IATF的前身是《网络安全框架》（NSF：Network Security Framework），于1998年发布第一版；1999年，NSA将NSF更名为IATF，并发布IATF2.0。随着信息安全技术的不断发展，IAFT也在不断修补和完善，内容的深度和广度也在不断深化。

IATF的核心思想就是纵深防御战略，也称深层防护战略（Defense-in-Depth），即通过多层次、层叠的防御措施为信息提供深层的安全保障。整个防御过程，需要人、技术和操作做到三位一体，共同组织实现信息系统的管理，这三点也是IAFT规划的信息保障体系的核心因素。其中，人作为主体，包含培训和意识、组织管理、人员安全、设施对策等方面；操作也叫运行，是主动防御的体现，包含备用评估、安全监控、安全策略、响应恢复等方面，这两个要素都可以通过加强安全管理来予以强化，而作为安全的基础保障的技术因素则是实现信息保障的重要手段，各项安全服务都是通过技术手段来实现的，也是我们在安全建设过程需要重点考虑的问题。

在技术层面，IATF提出了4层的通用技术框架，分为：本地计算环境、区域边界、网络及基础设施、支撑性基础设施区域，区域间形成逐层递进的纵深防御体系，确保了信息资源的安全可靠。如果考虑网络安全的话，主要还是聚焦在区域边界和网络及基础设施两个方面。

区域边界保护是指在当业务、系统依据功能和重要性等因素划分为不同区域时，对进出这些区域的信息、数据进行有效的控制和监视，在保障可用性的前提下，保护区域边界设施的安全，典型的技术和应用主要包括防火墙、VPN、边界共享交换、远程访问、多域方案、移动代码、安全隔离等。

网络及基础设施保护是信息系统安全的基础，网络及其基础设施作为保障用户数据传输和信息系统运行的中枢，必须保障在无故障、不受外界影响的条件下稳定可靠地运行，保证信息不会泄露给未授权的访问者，防御拒绝服务攻击，避免信息传输时发生更改、延时或发送失败等，典型的技术和应用主要包括交换机和路由器安全、无线网络安全等[2]。

3 数据中心网络安全的具体实施

为达到纵深防御的效果，可以从网络、设备、主动防御三个方面提供相应的安全防护手段，保障数据中心的网络安全，下面将就几种常见的防护方式或类型进行介绍。

3.1 访问控制与隔离

访问控制与隔离一般指通过安全策略，管理对受保护资源的访问行为，继而隔绝非法的访问请求，保障数据资源的合法使用和安全的技术。为达到控制目的，需要先识别和确认访问的用户、并决定该用户可以对哪些资源进行何种类型的访问。访问控制是保障系统保密性、完整性、可用性及合法性的重要基础，是网络安全和资源保护的关键策略。按照区域边界防护的要求，需要针对不同安全级别的网络进行访问控制和隔离，一般通过防火墙技术进行隔离。

3.1.1 划分安全域。既然要进行隔离，就要在对业务资源进行分析的基础上，合理地设定安全域。划分的主要原则是同一业务或同一系统中具有相同的安全需求，互相信任，并具有相同的安全访问控制和边界控制策略的部分应划分为一个安全域，域内共享相同的安全策略，从而保障业务运行顺畅。对敏感的网络区域或者需要进行访问控制的区域应用单独的安全域进行划分，方便进行安全控制；大型的网络还可在一个安全域的基础上划分小的子域，但划分不应过细。一般常见的几种划分方式有：OA区、应用服务区、数据区；远程网络、公共网络、内部网络；互联网接入区、外联网接入区、内部网络区等等。

划分安全域时，需要明确各个区域的安全定义，如果划分逻辑模糊，划分形成的各个安全域也就无法形成层次清晰的纵深防御体系。传统的划分方法多数是通过将不同的安全需求和所处的物理区域综合进行考虑，划分出合适的安全域，在中小型的网络环境中，这种方法得到了广泛的应用；而在大型的企业或数据中心中，这种方法忽视了同一系统中不同网络层次服务所需安全等级的差别，由于不同层次服务间安全级别差异较大而且重要性也不尽相同，面临的风险更是千差万别，因此须将这些因素也考虑进去，进一步划分安全域，才能满足实际需要。

3.1.2 部署防火墙。各个安全域既要进行互访，又要进行隔离，这一切的控制管理多数是通过防火墙来进行的。防火墙是设置在不同网络或网络安全域之间的唯一出入口，能根据安全策略控制进入网络的数据流，并且本身具有抗攻击能力。由于同一安全域的安全需求相同，所以可以在安全域的边界区域对防火墙设置统一的进出策略，就可以达到对不同区域间通信进行管理的目的。

3.2 DoS攻击的防御

DoS攻击，即拒绝服务攻击，包括它的进化型DDoS、DRDoS攻击，是现在网络上十分常见的攻击类型，通过利用网络协议的漏洞或野蛮的发送大量请求等形式，恶意耗尽被攻击对象的资源，造成设备或网络无法正常提供服务或访问资源，进而使网络或服务器崩溃。由于DoS攻击是基于TCP/IP协议的攻击模式下，无论计算机的处理速度多快、内存容量多大、网络带宽的多高，只要使用该协议的网络就难以避免被攻击所影响。常见的DoS攻击有以下几种：SYN Flood攻击、Smurf攻击、Ping of Death、泪滴攻击、DRDOS等。

至于DoS攻击的防护，我们可以从以下几个方面着手：①对网络设备定期进行检查，扫描安全漏洞，更新系统补丁，升级软件版本，关闭不必要的服务；②合理配置网络设备，目前防火墙等设备多数支持DoS的防御，正确启用相关功能，充分利用IDS设备、系统日志，了解设备状态，对可疑的IP予以限制；③通过uRPF（Unicast Reverse Path Forwarding，单播反向路由查找）技术，对转发包的源地址进行检查，如果发现为假IP，则予以屏蔽；④通过核心路由器等网络设备实现硬件层面的流量控制功能，限制SYN数据包流量速率，设置管制阈值，防止对资源的占用。

3.3 DHCP攻击的防御

DHCP攻击是针对网络中存在的DHCP服务器的攻击行为，原理就是通过耗尽DHCP服务器所掌握的地址池内的IP地址资源，使DHCP服务器无法正常提供服务，然后以私自架设的虚假DHCP服务器顶替原服务器的作用，进行地址分配，达到攻击目的。由于DHCP服务器的特性，它不具备相关的认证机制，所以在使用DHCP进行地址分配时会面临几种与DHCP服务相关的攻击方式，主要包括：冒用DHCP服务器：当恶意用户在同一网段内私自架设一台DHCP 服务器时，根据位置PC可能会先得到由这个DHCP服务器分配的IP地址，导致地址错误不能上网。大量DHCP请求的DDos攻击：恶意客户端发起大量DHCP请求，大量的DHCP Discover报文形成的DDos 攻击会将DHCP服务器的性能耗尽，导致CPU利用率不断升高，甚至瘫痪DHCP服务器。伪造MAC地址耗尽IP地址池：恶意客户端伪造大量的MAC地址，并用来请求IP地址，导致DHCP服务器中地址池内的IP地址被耗尽。

可采用如下技术应对以上常见攻击：

防DHCP服务器冒用：接入交换机使用DHCP Snooping技术，只允许指定DHCP服务器的报文通过，其它的DHCP报文不能通过交换机。

防御大量DHCP请求的DDos攻击：接入交换机对DHCP请求进行流量限速，防止恶意客户端发起大量DHCP请求的DDos 攻击，防止DHCP服务器的CPU利用率升高。

防御伪造MAC地址耗尽IP地址池：接入交换机可以截断客户端的DHCP请求，插入交换机的标识、接口的标识等发送给DHCP服务器；另外DHCP服务软件应支持针对此标识来的请求进行限量的IP地址分配，或者其它附加的安全分配策略和条件。

3.4 智能主动防御

前面说到，随着互联网技术的发展，恶意攻击的复杂性也在不断提高，传统的通过特征码对病毒进行判断、通过补丁对系统进行防护的方式，越来越难满足安全防御的需求，此时就需要系统能在病毒入侵造成影响前，通过对行为的智能分析，主动进行预警或通过安全设备予以处理，控制或减小可能造成的危害。智能主动防御主要包括以下几方面的功能：基于用户行为的自主感知和分析；基于网络安全形势的动态感知以及态势分析；基于攻击特性的拦截处理；基于系统各类信息的综合分析；基于防御规则的主动恢复等。为实现这些功能，大型数据中心往往采用安全监控、分析和威胁响应系统（MARS），作为控制系统对各类安全设备的信息进行汇总分析，识别攻击方式，隔离被攻击组件，进行智能修复；规模较小的数据中心考虑成本等因素，可以使用智能防火墙和IPS/IDS相互配合的解决方案，但管理成本也就相应提高。