分级分类管理:构建新一代数据中心安全系统

日期: 2010-12-05 来源:TechTarget中国 英文

  3G业务的迅速推广、三网融合试点的全面启动,使得我国信息通信产业进入了一个全新时代—固定宽带、无线通信及广电网实现融合,传统通信网络逐渐IP化,手机终端也朝着智能化、多媒体化的方向发展。这些变化引发了数据业务的大集中趋势,而数据中心作为电信运营商实现信息服务的核心枢纽,其重要性正在不断提升。

  相关咨询报告显示,预计到2013年,中国下一代数据中心市场规模将超过977亿元人民币,2010~2013年的复合增长率将达到25%。可以看到,不断膨胀的数据业务需求使得数据中心的市场规模迅速扩张,但同时,也让数据中心暴露出一些新的安全隐患。

  今年上半年,包括谷歌在内的一些知名服务提供商和电信运营商都曾因非法网络侵害而造成较长时间的断网事故,包括电信级数据中心在内的很多IDC机房都存在着安全性、隐私性以及内容合法性等一系列问题,由此也成为各大企业、电信运营商及政府机构关注的重点。

 来自国外的监测报告显示,目前地下黑客组织已呈现产业化、经济化趋势,而SQL注入、跨站脚本(XSS)、跨浏览器攻击(ClickJacking)等攻击行为已经成为网络非法侵害的主要方式。

  传统安全思路亟需转换

  在电信数据中心机房中,鉴于种种历史原因,传统的安全保障系统呈现层次化的结构,即针对互联网接入层、汇聚层、业务接入层和运维管理层,不同的层次拥有不同的安全策略。

  比如业务接入层,主要是对主机资源的病毒防护,建立集中的病毒库、病毒引擎,周期性地杀毒和清洗主机;其次是实施周期性安全评估,根据安全评估结果,更新防护手段;最后是主机安全加固。而在运维管理层,一方面是对远程接入形式的安全防护,另一方面则是对本地运维人员的安全防护。

  尽管这种传统的安全策略的覆盖范围相对完整,但其弊端也在于不能完全以用户的业务体验为中心,各层面间往往各自为战,在保障用户体验方面存在欠缺。

  工业和信息化部电信研究院信息安全专家靳亚男表示:“在数据中心的后续规划中,电信运营商将逐渐调整安全策略思路,重新建立一个全新的信息安全模型—从上而下是用户安全、数据安全、应用安全、网络安全、主机安全、物理环境安全,从左到右是加密/防泄密、标识认证、访问控制、监控检测、容灾恢复、审计检查,其中各个层面的安全都将设计相应的防护手段。”

  与此同时,基于电信级数据中心将承载越来越多的关键业务和应用的发展趋势,如服务器、操作系统、数据库、Web服务、中间件、邮件等,为了在不影响业务系统运营的基础上,既保证高可靠性和可视化性,又可进行必要的监控和管理,靳亚男告诉记者,未来数据中心安全体系的搭建,也将围绕管控中心、防护中心、审计中心、采集展示中心等几大重点展开。

  IDC扩建加速凸显安全隐患

  在2010年,可以看到,企业客户成为电信运营商争夺利润的关键,为了能够提供更加全面的信息化业务服务,扩建数据中心机房已经成为各家的共同选择。目前,国内三家电信运营商都在大力兴建数据中心机房,并为不断增长的业务需求实施系统升级和模块扩充。

  据了解,中国移动已在今年初制定了数据中心3年规划,并宣称在未来3年内,将其他两家依靠“固网”起家的电信运营商,在数据中心规模、企业客户市场等方面三分天下;中国电信数据中心的发展规划则以网络为核心,建立一个综合服务信息平台,同时通过能力汇聚和接口开放策略,提供定制化服务;中国联通也开展了新一轮的数据中心业务推广,并通过内部机制改革,实现跨域业务的“一点受理、一点签约、一点缴费”的新服务模式。

  但是,如此快速的扩建计划也使得数据中心的安全问题逐渐暴露。一位中国移动研究院网络技术研究所的内部人士告诉记者:“目前,IDC的安全能力仍主要集中于网络侧。以中国移动为例,在网络接入层尤其在省网和骨干网出口都部署了流量清洗系统,主要用来抵御DDoS攻击;在网络汇聚层,一方面利用防火墙等工具建立严格的控制访问权限,另一方面对入侵防御系统进行有效补充;而在业务接入层,则面向主机资源等建立集中病毒库,并进行周期性的安全评估。”

  现有安全资源分配不均

  针对黑客主要的攻击对象—应用层(包括Web应用、数据库和文件管理),电信运营商却少有关注。“现阶段,一些地方运营商除了针对后台计费系统等关键性业务加装了数据库防火墙外,其余大量的安全防御设施都被部署在了网络层面。”前述研究院人士补充道。

  “我们需要重新审视应用层的安全问题,由于这些针对业务层的安全攻击,如非法篡改网页和盗取数据库信息往往能够直接获得利益,电信运营商数据中心的后台查询、计算资源以及网站信息管理也就成为了易受攻击的对象。”一位中国联通IDC运营中心的内部人士如是说。

  据了解,数据中心应用层的安全防御对象可大致分为三类,分别是Web应用、数据库和文件。一旦这些应用受到直接威胁,传统的数据中心安全解决方案则多少显得有些无力。相关技术专家解释说,传统网络防火墙将威胁挡于自身网络外,IPS可抵御已知的漏洞威胁,但这些手段仅在网络层面,对于一些来自应用层面的攻击入侵行为,效果并不明显。“也就是说,数据中心的安全策略除了需要粗线条地在网络层、传输层部署安全解决方案以外,也要考虑针对一些关键性应用分别配备更为精细的应用防火墙设施。”

  新技术规划引发“安全”思考

  同时,下一代数据中心的发展规划也对安全策略防护提出了新的挑战。中国移动研究院网络研究所项目经理黄璐表示,电信级数据中心计划规划将走向三个方向,一是建设基于“云计算”的数据中心;二是通过引入新技术—CDN、P2P等提高业务能力;三是建设节能绿色的数据中心。

  “在具体思路上,云计算以其自身动态部署的特性、业务创新和标准化架构的特征成为电信运营商降低成本和业务创新的必然选择,在未来云计算数据中心的系统架构中,包括服务器、存储以及网络等,这些都将以虚拟化形式来提供资源的整合以及对外服务;在CDN技术方面,CDN将资源分布到网络距离用户最近的点,一方面改善用户体验,另一方面可以高效利用网络内部带宽;而在绿色节能方面,我们将进一步使用节能设备,引入新节能技术,比如高压控电技术、精确制冷技术等。”黄璐表示。

  “这些新的技术走势将引发运营商对于电信级数据中心安全策略的重新思考。”中国电信北京研究院互联网应用创新中心主任雷葆华表示,比如在云计算和云服务的推广方面,如何实现云计算与云服务的安全性保障,如何实现个人隐私的保护,这其中有些是用户、电信运营商、方案提供商层面能够解决的,但有些则需要整个行业、政府在法律法规遵从和信用体系的建设方面做出努力。

  移动终端成信息安全新重点

  除了基于传统互联网的病毒传播外,移动终端也在移动互联网的迅速发展下,面临越来越多的信息安全方面的威胁。统计数据显示,截至2010年9月底,共发现2012种手机病毒,预计今年底将接近2500种,超过前五年病毒数量的总和。

  陕西联通网管中心工程师黄文告诉记者,针对移动终端的安全防护十分必要,目前手机安全状况并不很理想,包括ipad等热门终端都相继暴露出许多安全问题,未来针对移动终端的安全防护之路还有很长。

  据了解,目前传播的手机病毒中,受经济利益驱动的病毒接近50%,通过恶意扣费、资费消耗、欺诈软件、盗号木马给手机用户带来经济损失。同时手机病毒还会影响到网络业务,比如同时发起大量呼叫造成网络流量高峰行、网络拥堵等。

  对此,有关终端安全专家也强调,现阶段,手机病毒传播的主要方式是通过运营商网络传播,如借助短信、彩信等传播方式,因此建议电信运营商能够采用及时对各下载站进行审核和病毒过滤、加强网络侧对病毒地址的拦截、拦截含病毒链接短信、加强对短信内容的过滤等手段,更好地控制手机病毒的传播。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐