【IT168 应用】 随着互联网的高速发展和企业用户对数据中心依赖的增长，数据中心的需求向着更大容量、更高能力、超大规模的方向升级。就近年来多次爆出的信息安全丑闻来看，构建具有更高可靠性，防攻击能力强的数据中心，成为数据中心发展过程中的一个最重要诉求。任何事情都有其两面性，数据中心建的越大，则安全隐患也会越多。为保障数据中心的安全，抵御各种威胁和攻击，必须要联合使用安全体系中各个层次的安全技术，形成一个完善的数据中心防攻击体系。

　　数据中心作为一个拥有大量电子设备、存储有诸多重要信息的地方，很容易成为受攻击的对象。众多攻击者通过利用数据中心的软件、硬件上的漏洞对应用进行攻击。比如我们经常会听到的：恶意蠕虫、病毒、缓冲溢出代码、后门木马、DDOS攻击等等。攻击者通过数据中心的漏洞，入侵到数据中心内部，获取到服务器的控制权后，就可以对病毒进行复制和转播，在已感染的主机中设置后门或者执行恶意代码，导致用户带宽资源被占用，或者盗取重要用户的数据，并改写数据中心增值业务数据等。这些攻击给数据中心带来了严重的风险。

　　为何数据中心易受到攻击呢? 从某些技术的研究深度上，攻击方是具有优势的。数据中心的软件基础是操作系统，对一个操作系统出现BUG几乎是无法避免的。攻击者只需要对某些漏洞进行彻底的深入研究便能够策划一次攻击。攻和防上难易程度完全不对等。破坏一个事物总是比恢复和创造它更容易。维护一个数据中心需要使其完整地工作，而一个数据中心正常工作需要各个关键部件都是正常的，因此防守方只能被动地监视各个子系统是否正常，是否有漏洞，而往往不知道下一次攻击将针对何处。在防攻击的技术工具方面，应对灾难性事件的有效工具不多，而且获取的难易程度也不同。在网上我们很容易获取一个扫描设备的工具，一段恶意的代码，一些木马程序，相反为了保护数据中心的稳定，很少能够得到一些行之有效的监测工具，想要获得一些攻击检测的手段都要付出昂贵的代价。数据中心的安全意识比较薄弱，这也给了攻击者可乘之机。还有关于信息安全的立法严重滞后，也使得惩戒攻击行为缺乏依据等等，各种各样的因素就造成了数据中心频频成了受攻击的对象。

　　魔高一尺、道高一丈，有攻击必然有反攻击。根据数据中心存在的缺陷，可以采用各种防攻击技术，规避大量的攻击行为。在数据中心的网络层、系统层、应用层等方面阻断各种攻击，下面将详细说说数据中心的防攻击技术。

　　(1)在服务器上安装防病毒软件和更新操作系统

　　在数据中心的各类服务器上安装防毒软件，能对病毒进行定时或实时的病毒扫描及漏洞检测，既能查杀未知病毒，又可以对文件、邮件、内存、网页进行实时监控，发现异常情况及时处理。经常更新操作系统版本和补丁，及时解决系统漏洞。

　　(2)部署硬件防火墙和流量清洗设备

　　使用硬件防火墙可在数据中心与外界网络之间建立一道安全屏障。防火墙可以对不同的信任级别的安全区域进行隔离，保护数据中心边界安全，同时提供灵活的部署和扩展能力。具有QOS机制的防火墙能够提供流量控制功能，针对不同的应用做出合理的带宽分配和流量控制。流量清洗设备可以防护对应用服务器发起的DOS/DDOS攻击，可在数据中心出口处部署流量清洗设备，监测异常流量，当发现攻击时，开启防御，将异常流量牵引出来进行清洗，将正常的流量回注到服务器进行业务处理。

　　(3)定期扫描系软件漏洞

　　及时对数据中心使用的各类软件进行漏洞扫描、安装补丁程序。为提高补丁程序的下载速度，可在数据中心中部署一些自动更新服务器来提供客户端补丁自动发布。同时切记勿安装与应用无关的垃圾软件，避免出现系统漏洞，采用正规渠道获得的商用软件。

　　(4)入侵防御检测与安全审计系统部署

　　在数据中心入口使用了防火墙技术，经过严格的策略配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用了防火墙还远远不够。还需要部署入侵防御系统，这些系统可以检测蠕虫、网络钓鱼、后门木马、间谍软件等应用层攻击，可在数据中心出口和内部各安全区的网络汇聚层采用旁挂或者与网络设备融合的部署方式进行部署，主动提供防护，预先对入侵流量进行拦截，配合防火墙和安全网关设备形成从链路层到应用层的全面防护。安全审计系统也是一种实时的网络监测包括系统，也可弥补防火墙等其他系统的不足，进一步完善整个数据中心的安全防御能力。数据中心中部署入侵防御与安全审计系统，可以在网络中建立完善的安全预警和安全应急反应体系，为数据中心的安全运行提供有效保障。

　　(5)做好重要数据的备份

　　一旦数据中心受到攻击，那么为防止数据中心被人篡改或删除，数据备份的功能至关主要。必须定期做好重要设备和重要数据的备份工作，以便在数据受到破坏时，能自动启动保护程序，使用备份数据，保证数据中心的正常运行。

　　(6)加强管理人员的安全制度，强化安全意识。

　　在数据中心中，绝对的安全是不存在的。俗话说：“三分技术，七分管理” ，要不断地加强数据中心的安全规范化管理力度，强化人员管理。制定健全的安全管理体制是数据中心免受攻击的重要保证，只有通过数据中心管理人员与使用人员的共同努力，运用一切可以使用的工具的技术，才能尽可能地把不安全的因素降到最低。从最近爆出的安全门事件、棱镜门事件，问题都出在了人身上。数据中心对人员管理的不善，往往成为数据中心受攻击的主因。而发起对数据中心恶意攻击的背后也是人的行为，为获得不为人知的利益。所以人是数据中心防攻击的主体。

　　提升数据中心的防攻击能力，是关系到企业整体形象和利益的大问题。目前在各个数据中心的服务器中都存储着大量的机密信息，许多方面的工作也越来越依赖数据中心，一旦数据中心安全方面出现问题，造成信息的丢失或不能及时流通，或者被篡改、增删、破坏或窃用，都将带来难以弥补的巨大损失。尤其是国家政府机关的数据中心，安全关系到国家长期的安全、利益和发展。因此，防攻击是数据中心整个运营过程中实时需要关注最重要的内容。