數據中心接入方式可以分為有線和無線兩種,其中的無線方式,隨著WLAN和智能手機的普及越來越被人們所熟知。然而,無線方式看不見、摸不到,存在不小的安全隱患,很多人在使用無線方式訪問數據中心時,尤其是進行貨幣交易時,有很多顧慮,擔心不安全,正是這些人們的普遍擔憂成為了無線技術發(fā)展的攔路虎。2014年2月27日,中央網絡安全和信息化領導小組宣告成立。中共中央總書記、國家主席、中央軍委主席習近平親自擔任組長,李克強、劉云山任副組長。習近平總書記指出,“沒有網絡安全,就沒有國家安全;沒有信息化,就沒有現代化。”首次將網絡安全, 尤其是數據中心安全提升到了國家戰(zhàn)略的高度,大力發(fā)展網絡安全技術,這也使得我國安全市場復合增長率在2014年到2018年,預計可以達到14.5%,數據中心無線安全領域必將掀起一陣大發(fā)展的熱潮。
如今全國各地,甚至全世界都在建設無線城市。無線城市的建設不單是WLAN技術,還涵蓋了WiMax、Mesh等更多適合大規(guī)模部署的技術。不過目前絕大多數文獻及資料中提及的數據中心無線安全都屬于狹義無線安全范疇,主要對象還是WLAN、藍牙等。其實作為廣義無線安全而言,包括的就不僅僅是WIFI、藍牙、還包括3G、RFID、WiMax等多個方面的技術和協議等內容。其實隨著3G網絡建設的成熟,使用3G甚至4G智能終端的用戶越來越多,高速的移動網絡讓各種數據中心業(yè)務通過移動終端訪問成為可能,利用手機和短距離無線傳輸技術付款的“非接觸式”移動支付服務將在今后幾年迅速發(fā)展。這些所謂“非接觸式”移動支付是指通過手機和讀卡器等設備間的無線數據傳輸完成支付交易,這使移動終端具有了銀行卡的功能。數據中心無線接入的多樣化使得安全技術變得復雜化,比如有:通過無線蹭網卡流量的威脅,RFID的威脅,移動終端自身面臨的威脅,WLAN的不穩(wěn)定因素等等。下面就根據數據中心無線接入的具體不同方式來說一說有哪些安全技術。
WLAN安全技術
WLAN是目前中小規(guī)模數據中心的主流無線接入方式。在已經實施無線城市的地方,大多也是采用WLAN技術實現。應對這類無線接入技術,主要有三種認證技術來確保無線訪問的安全。首先是802.1X技術,這是IEEE標準,通過對用戶進行基于端口的安全認證和對密鑰的動態(tài)管理,從而實現保護用戶位置隱私和身份隱私以及有效保證通信過程中信息安全的目的。在802.1X的部署中,需要用戶終端安全客戶端,還要有認證系統(tǒng)和認證服務器,三者缺一不可,具體有EAP-TLS、EAP-MS-CHAP v2、EAP-FAST等十幾種認證方式,這些認證方法大同小異。其次是PPPOE認證技術。PPPOE認證是1998年后期問世的以太網點對點協議。PPPOE需要在終端上安裝客戶端,同時PPPOE認證需要外置BAS設備,業(yè)務數據流必須經過BAS設備,由BAS設備進行認證。再次是Portal認證技術。Portal認證支持Web和客戶端兩種方式,基本過程是客戶端通過DHCP協議獲取到IP地址,認證之前只能訪問PORTAl服務器的IP地址,認證通過后,可以瀏覽網頁內容,還可能通過服務器還設置哪些網頁可以訪問,哪些不能訪問,哪些應用可以實現,哪些應用不能滿足,控制上非常靈活,這三種認證方式是目前WLAN應用中最主流的安全部署技術。
藍牙安全技術
藍牙是愛立信公司在1994年發(fā)明的,是一種全球通用的短距離無線傳輸技術,其實數據中心無線接入很少會采用這種方式。藍牙怎么使用才安全,首先就是可以關閉藍牙功能,很多時候人們并不需要一直使用藍牙,而長期處于藍牙開啟的狀態(tài),增加了自身隱私泄露的隱患,所以每次用完藍牙要記得關閉藍牙功能。其次是可以設置藍牙設備不可見,就是不能夠被其他藍牙設備直接搜索到。再次是設置高復雜度的PIN碼,密碼復雜度越高越不容易被人所破解。最后是修改藍牙共享目錄或禁止藍牙共享,拒絕陌生藍牙連接請求,拒絕可疑藍牙匿名信件,及時升級手機操作系統(tǒng),避免存在系統(tǒng)漏洞。通過以上這些常用方法基本可以確保使用藍牙訪問的安全。
移動安全技術
智能手機和個人數字助理的廣泛使用和日益增加的功能給數據中心無線訪問帶來了安全風險,以數據為中心的移動設備將成為病毒和黑客的主要目標,同時給數據中心保密帶來了風險。可以通過提升加密級別來降低安全風險,部署IPSec、EAP或WPA的安全標準來提升安全,并對移動用戶進行嚴格的訪問權限控制,從而保護數據中心敏感信息。針對移動設備的應用制定安全策略,數據定期備份,安裝殺毒軟件和應用訪問控制,加強安全培訓,指定應急預案等措施。要從移動終端和數據中心兩方面共同入手,創(chuàng)建并實施移動使用規(guī)范安全策略,對移動設備相關潛在的安全威脅和全面風險,制定移動設備安全策略。
本文只是將數據中心的無線安全技術簡單進行羅列,其實這里提到的每一項技術都涉及到復雜的狀態(tài)機運算和協議的定義,這里的每一樣技術都是在實際的應用中逐漸完善,最終流傳了下來。在這種發(fā)展過程中,也有不少技術逐漸消失了。做這些技術的目的無非是為了保證數據中心無線訪問的安全。通過部署這些安全技術,希望可以做到深度防御和精確阻斷。實現能夠達到對數據中心敏感數據“看不見”,核心數據“拿不走”,運維操作“能審計”的效果。未來,無線逐漸會替代有線,成為數據中心接入的主流方式,無線安全也必將成為數據中心最重要的環(huán)節(jié)。
京公網安備 11010502049343號