数据中心解决方案安全技术白皮书(2)

　　　　图1 应用协议攻击穿透防火墙

　　应用攻击的共同特点是利用了软件系统在设计上的缺陷，并且他们的传播都基于现有的业务端口，因此应用攻击可以毫不费力的躲过那些传统的或者具有少许深度检测功能的防火墙。国际计算机安全协会 ICSA 实验室调查的结果显示，2005年病毒攻击范围提高了39%，重度被感染者提高了18%，造成的经济损失提高了31%，尤为引人注意的是，跨防火墙的应用层(ISO 7层)攻击提高了278%，即使在2004年，这一数字也高达249%。

　　摆在我们面前的大量证据表明，针对系统缺陷的应用攻击已成为数据中心面临的主要威胁。

　　造成应用攻击的根本原因在于软件开发人员编写程序时没有充分考虑异常情况的处理过程，当系统处理处理某些特定输入时引起内存溢出或流程异常，因此形成了系统漏洞。黑客利用系统漏洞可以获得对系统非授权资源的访问。来自CERT（计算机紧急事件相应组）报告指出，从1995年开到2004年已有超过12，000个漏洞被报告，而且自1999年以来，每年的数量都翻翻，增长如此迅猛，如下图所示：

　　图2 1995－2005 CERT/CC统计发现的漏洞

　　如此多的漏洞，对数据中心意味着什么？系统安全小组必须及时采取行动获得补丁程序、测试、最后将其部署在服务器上，为什么不直接给服务器打补丁呢？因为不能保证补丁对应用系统没有影响，为了以防万一，必须对补丁程序进行测试和验证，然后才允许将其投入生产系统。从补丁程序获得、测试和验证，再到最终的部署，完成这一系列任务需要多长时间？答案是，可能需要几个小时到几天，而在此期间攻击可能已经发生，损失已无法挽回。这也就是所谓的“零时差攻击”。如下表所示，从系统漏洞被发现到产生针对性应用攻击的时间已从以年计算降至以天，以小时计算。

　　表1 系统漏洞与应用攻击爆发速度关系

　　应用攻击 系统漏洞与应用攻击爆发周期

　　MS05-039 24 小时

　　Witty 48小时 （2天）

　　Blast 1个月 （26天）

　　Slammer 6个月 （185天）

　　Nimida 11个月 （336天）

　　试想一下，这是一个何等恐怖的情况，数据中心庞大的服务器群还未来得及做出任何反应即遭到黑客发动的“闪击战”，大量敏感数据被盗用、网络险入瘫痪 …|…。