您的位置: 网界网 > 安全 > 正文

数据中心安全建设秘籍汇总!--从红十字基金会说起

2009年04月09日 17:24:51 | 作者:网界网记者 赵晓涛 | 来源: | 查看本文手机版

摘要:自从“512”汶川大地震以来,中国红十字基金会的在线捐款系统经历了种种大起大落。用户的切身感受是,信息化建设伴随业务需求的不断变化而调整,企业的数据中心需要更加安全、具有更高的可靠性,为业务的发展提供完善的平台支持...

标签
网络安全 赵晓涛 红十字基金会

[CNW.com.cn 专稿] 自从“512”汶川大地震以来,中国红十字基金会的在线捐款系统经历了种种大起大落。用户的切身感受是,信息化建设伴随业务需求的不断变化而调整,企业的数据中心需要更加安全、具有更高的可靠性,为业务的发展提供完善的平台支持。

一年前的约定

从2008年开始,本报就开展了新一代数据中心的评选与报道工作,其中不乏大量企业用户对数据中心建设提出了各种独到见解。其中给记者留下深刻印象的,就有中国红十字基金会。

理由很简单,中国红十字基金会的“数据中心”在一次非常时期经历了一次从无到有的轮回。在一年前的“512”汶川地震期间,数以万计的爱心人士通过中国红十字基金会的网站开展在线爱心捐款。不过遗憾的是,中国红十字基金会由于早期自身系统过于薄弱----仅有一台单路PC服务器,还要扮演捐款系统和Web服务的双重角色----导致基金会网站频繁宕机。

不过此事件也引发了众多爱心IT厂商的重视,北软世纪、F5、光环、Intel、浪潮、曙光、TippingPoint、微软,纷纷向中国红十字基金会捐赠了众多IT软硬件设备,并提供了充足的技术支持服务。一夜之间,中国红十字基金会就经历了“白手起家”的全过程,一个完善、标准的数据中心“拔地而起”(详见本报2008年新一代数据中心评选系列报道)。

从“512”大地震期间的临危受命,到今天接近一年的平稳运行,中国红十字基金会的数据中心经历了太多的人与事。而这,也恰恰是记者关注的所在:太多的企业拥有自己的数据中心,但是运行情况如何,如何应对信息安全的挑战与要求,如何利用数据中心的自动化拉动企业业务发展,都是需要仔细研究的问题。

安全的洗礼

对中国红十字基金会而言,如果说2008年是基金会数据中心的建设年,那么2009年就是数据中心安全年。实际的情况是,即便是在基金会仅有一台服务器的情况下,安全事件仍然评频频发生。

中国红十字基金会网络信息中心主任程纲在接受本报独家专访时表示,对于企业的数据中心来说,信息安全是极为重要的一环。但是从早期的经验看,由于基金会能力有限,以前与黑客打架的时候,经常处于下风。

对此,中国红十字基金会网络信息中心主任助理杨旭东举了一个非常生动的例子,他说此前发现基金会Web服务器下经常被黑客添加恶意文件,有些还会包装成合法的文件名,虽然基金会的工程师可以手工进行删除,但是还会被反复添加。

“早先一点半法都没有,因为技术力量不足,不得以我就在服务器上写了一个文件进行声明,告诉黑客我们是公益组织,请不要黑我们的网站。一些黑客看到这个声明文件,自己就主动离开了。” 杨旭东如是说。

当然,这些都是“512”地震之前的故事。相对而言,中国红十字基金会的数据中心在“512”之后建设完毕,相关的安全风险小了很多。

占领出口

记者发现,中国红十字基金会的数据中心以浪潮和曙光捐赠的六台服务器为核心,其中一台性能最高的服务器作为数据库服务器,基金会的在线捐款系统建立在其上。另外五台服务器一字排开,全部作为基金会的Web服务器,在其上运行基金会的各种在线应用,如新闻、论坛等。

此外,为了保证服务器的负载,一台F5的负载均衡设备架设在服务器群的前端。同时为了保证整个数据中心的安全,一台TippingPoint高端IPS被布置在数据中心网络[注]出口处。整个数据中心的出口带宽,也从一年前的2M,扩充到了100M。在软件方面,微软为数据中心提供了SQL Server数据库以及SharePoint网站开发工具,并且负责数据库的调试与优化工作。

从近一年的情况看,中国红十字基金会的数据中心已经完全可以应对爱心人士在线捐赠与访问的要求与压力。但一年来的经验表明,和大多数企业数据中心一样,基金会当前的问题集中在安全方面,而且其紧迫性令人吃惊。

根据记者掌握的情况,从2008年下半年开始,国际信息安全界发生了很大的变化。越来越多的安全攻击变得更加隐蔽、更加难以发现,而且更加趋于非法牟利的性质。很多安全威胁从传统的破坏、蠕虫向间谍软件、恶意软件过渡。

回到基金会的现实情况,中国红十字基金会从“512”地震开始,在一年的时间内受理了65万笔捐款,金额超过13亿元人民币,这个数字比以往数十年之和还要多。在爱心人士踊跃捐赠的同时,一些不法黑客也盯上了基金会的捐赠业务,利用各种手段对基金会网站发起攻击,千方百计地希望获取捐赠人的信息。

对此,TippingPoint网络技术顾问李臻在接受记者采访时表示,他们提供的IPS已经对基金会数据中心提供了内部和外部的双重防护。从IPS的统计情况看,大量黑客频繁利用Fuzzing这种自动化漏洞扫描工具去扫描基金会的系统,并且希望利用SQL注入或者跨站脚本攻击的方式去对基金会服务器进行挂马。

据TippingPoint中国区总经理贾全海介绍,在最近的3月31日上午,一小撮不法黑客就集中对基金会网站展开了各种形式的攻击,在TippingPoint工程师的远程协助下,基金会网站的安全工程师和黑客激战了一上午,终于抵挡住了对方的攻击。而这在以前是不可想象的。

“其实IPS的部署并非简单的把设备摆放在哪里,实际的情况是,当我们把设备放在基金会网络出口的时候,我们就已经对基金会的系统开始漏洞检测工作了。事后我们发现,基金会的情况比较复杂,各种业务系统、应用系统、甚至是数据库自身都有漏洞,为了确保安全万无一失,我们甚至直接动用总部DVLabs的资源,为基金会开发自身专用的IPS安全数字疫苗。”贾全海如是说。

对抗漏洞

对数据中心而言,保证安全的关键一点,就是做到知己知彼。对此杨旭东表示,目前基金会的主要服务包括:在线捐赠、在线新闻动态、以及捐款论坛等。从系统的分析情况看(+本站微信networkworldweixin),由于基金会对于资金预算审核极严,IT预算并不充足,在此情况下,基金会的一些业务系统采用了开源软件。包括在基金会网站的开发上面,开源的东西也很多。

这导致了一个问题:即基金会的系统本身可能存在安全漏洞。对此,李臻的看法是,很多大企业在核心系统开发与网站建设上会做大量的源代码审计工作。很多安全漏洞问题,特别是用户自己开发的应用,源代码审计都是必需要做的工作。如果用户把这部分工作做的充分,那么其对于安全设备的需求就不会很大。但现实的情况是,很多企业之前可能没有做过源代码审计,由于种种原因,在安全方面没有精力和时间去做。在这个时候,信息安全的问题就会比较突出。

对此杨旭东无奈地表示,在4月初的时候,就有黑客利用网站内部开源发布系统的漏洞对服务器上传病毒文件。文件被包装成Logo.gif的形式,隐藏在服务器的根目录下。目前来看,开源系统的漏洞真的很麻烦,因为相应的修补手段都比较滞后。

为了尽可能的保护数据中心的安全,基金会采取了三种技术措施来应对漏洞风险。第一,和安全厂商一道,为基金会的IT计算环境开发专门的防护手段,比如针对基金会的业务定制开发对应的IPS过滤器;第二,将传统的开源发布系统更换为更加安全的CMS发布系统;第三,每天都对基金会各种应用系统进行备份,以防灾难的发生。

从目前的情况看,黑客对于漏洞的利用更加诡秘。从服务器根目录的入侵,逐渐向特定自模块的入侵,从无辜用户访问网站被挂马,到无辜用户访问网站的某个模块被挂马,可以说隐蔽性更强,危害也更大。而从“512”过后到记者发稿时止,中国红十字基金会的数据中心每天都要承受几百次攻击。毫无疑问,双方的斗争仍将继续下去,而基金会的数据中心也将更加强大和安全。

采访手记  基金会急需防火墙捐赠!

细心的读者也许已经发现,对于基金会的数据中心而言,服务器、负载均衡、IPS这些都有了,但唯独缺少了防火墙!实际情况是,并非基金会的IT负责人不喜欢防火墙,也不是基金会的数据中心不需要,而是基金会对于自身的开支严格审计,绝不允许动用爱心人士的捐款去购买设备。据介绍,目前基金会13亿元人民币捐款的落实正在紧罗密补地进行,捐款基本上都是用来在地震灾区开展重建工作的。在没有防火墙的日子里,基金会的安全出口全都依靠厂商捐赠的IPS在苦苦支撑,因此基金会迫切需要爱心厂商开展防火墙的捐赠支持。在此《网络世界》向广大IT厂商呼吁防火墙捐赠事宜,而这一切都是为了灾区重建的明天而努力。

参考资料

1.数据中心网络:(Data Center Network)是应用于数据中心内的网络,因为数据中心内的流量呈现出典型的交换数据集中、东西流量增多等特征,对数据中心网络提出了进一步的要求:大规模、高扩...详情>>

[责任编辑:赵晓涛 zhao_xiaotao@cnw.com.cn]