但是,如此快速的扩建计划也使得数据中心的安全问题逐渐暴露。一位中国移动研究院网络技术研究所的内部人士告诉记者:“目前,IDC的安全能力仍主要集中于网络侧。以中国移动为例,在网络接入层尤其在省网和骨干网出口都部署了流量清洗系统,主要用来抵御DDoS攻击;在网络汇聚层,一方面利用防火墙等工具建立严格的控制访问权限,另一方面对入侵防御系统进行有效补充;而在业务接入层,则面向主机资源等建立集中病毒库,并进行周期性的安全评估。”
现有安全资源分配不均
针对黑客主要的攻击对象—应用层(包括Web应用、数据库和文件管理),电信运营商却少有关注。“现阶段,一些地方运营商除了针对后台计费系统等关键性业务加装了数据库防火墙外,其余大量的安全防御设施都被部署在了网络层面。”前述研究院人士补充道。
“我们需要重新审视应用层的安全问题,由于这些针对业务层的安全攻击,如非法篡改网页和盗取数据库信息往往能够直接获得利益,电信运营商数据中心的后台查询、计算资源以及网站信息管理也就成为了易受攻击的对象。”一位中国联通IDC运营中心的内部人士如是说。
据了解,数据中心应用层的安全防御对象可大致分为三类,分别是Web应用、数据库和文件。一旦这些应用受到直接威胁,传统的数据中心安全解决方案则多少显得有些无力。相关技术专家解释说,传统网络防火墙将威胁挡于自身网络外,IPS可抵御已知的漏洞威胁,但这些手段仅在网络层面,对于一些来自应用层面的攻击入侵行为,效果并不明显。“也就是说,数据中心的安全策略除了需要粗线条地在网络层、传输层部署安全解决方案以外,也要考虑针对一些关键性应用分别配备更为精细的应用防火墙设施。”
新技术规划引发“安全”思考
同时,下一代数据中心的发展规划也对安全策略防护提出了新的挑战。中国移动研究院网络研究所项目经理黄璐表示,电信级数据中心计划规划将走向三个方向,一是建设基于“云计算”的数据中心;二是通过引入新技术—CDN、P2P等提高业务能力;三是建设节能绿色的数据中心。
“在具体思路上,云计算以其自身动态部署的特性、业务创新和标准化架构的特征成为电信运营商降低成本和业务创新的必然选择,在未来云计算数据中心的系统架构中,包括服务器、存储以及网络等,这些都将以虚拟化形式来提供资源的整合以及对外服务;在CDN技术方面,CDN将资源分布到网络距离用户最近的点,一方面改善用户体验,另一方面可以高效利用网络内部带宽;而在绿色节能方面,我们将进一步使用节能设备,引入新节能技术,比如高压控电技术、精确制冷技术等。”黄璐表示。
“这些新的技术走势将引发运营商对于电信级数据中心安全策略的重新思考。”中国电信北京研究院互联网应用创新中心主任雷葆华表示,比如在云计算和云服务的推广方面,如何实现云计算与云服务的安全性保障,如何实现个人隐私的保护,这其中有些是用户、电信运营商、方案提供商层面能够解决的,但有些则需要整个行业、政府在法律法规遵从和信用体系的建设方面做出努力。
移动终端成信息安全新重点
除了基于传统互联网的病毒传播外,移动终端也在移动互联网的迅速发展下,面临越来越多的信息安全方面的威胁。统计数据显示,截至2010年9月底,共发现2012种手机病毒,预计今年底将接近2500种,超过前五年病毒数量的总和。
陕西联通网管中心工程师黄文告诉记者,针对移动终端的安全防护十分必要,目前手机安全状况并不很理想,包括ipad等热门终端都相继暴露出许多安全问题,未来针对移动终端的安全防护之路还有很长。
