从WannaCry血案谈数据中心信息安全

接下来，病毒事件引起了公安部门的重视：

尔后，全球范多地沦陷：

与此同时，以安全著称的苹果手机和电脑，紧急推出系统修复补丁：

这次WannaCry病毒，受感染的系统是Windows。我们知道，在行业用户中，Windows通常承载办公或终端的业务。其重要性，通常低于其后端的数据中心服务器和存储所承载的业务系统。如果数据中的核心业务系统中了木马，其后果将更加不堪设想。那么，从整个数据中心看，我们如何保证信息安全呢？

数据中心信息安全的重要性

银行等行业用户的数据中心，由于有DMZ区，加上众多安全设备，如防火墙、堡垒机等，所以看起来数据中心安全无比、固若金汤。

那么，如果数据中心如果不注重信息安全，会不会发生如下的场景？

“最坚固的城堡,往往是从内部被攻破”

“The easiest way to capture a fortress is within the body“

其实，信息安全的隐患无处不在，类似的悲剧有：

时代华纳疑似被黑 30多万客户数据泄漏

所以说，不注重信息安全，不仅存在隐患，还有可能造成重大的经济损失甚至影响到国家的安全。那么，数据中心信息安全的建设，需要注意哪些方面呢？

数据中心信息安全需要考虑的几个方面

数据中心的信息安全建设，不只是某一两个方面，如网络安全或者操作系统安全，而时需要考虑很多方面，操作系统的安全、网络基础设施安全、虚拟化的安全、固件安全等。而目前针对基础架构层，最核心的还是Linux操作系统和虚拟化的安全。

笔者此前参与过Linux和虚拟化的安全的项目。在虚拟化安全方面，虚拟化厂商会有自己安全加固方案。

如vSphere的安全加固，可以参照VMware厂商的Hardening Guide,读者有兴趣可以联系厂商，获取文档vSphere_6_0_Hardening_Guide_GA，笔者不方便提供。

红帽KVM虚拟化的安全加固，可以参照如下文档：

（https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/pdf/Virtualization_Security_Guide/Red_Hat_Enterprise_Linux-6-Virtualization_Security_Guide-en-US.pdf）

接下来，我们主要看一下Linux操作系统的安全建设。

Linux系统安全方面的建设

对于行业客户，如金融、电信、政府等用户，数据中心信息安全是第一位的。而在数据中心内部，Linux承载大量的核心业务。因此首先我们看一下，Linux系统的安全如何保证。

参考Gartner IT基础架构和运维成熟度模型中的技术维度，红帽根据在Linux领域长期的经验，提出OS运维成熟度模型。OS运维成熟度越高的企业，其IT架构越敏捷、 Time To Market越短、业务竞争力越强；同时，这个Linux操作系统也是越安全的：

那么行业用户数据中心安全的正确姿势，或者说，提升OS运维成熟度等级，方法是什么？

第一步，使用业内最安全的Linux系统，并购买厂商订阅服务

2016年7月，银监会发布了银行业的“十三五规划”中，和开源软件有关的相关内容：

从国家政策层面，目前银监会力主国内银行合规使用开源软件，实现自主可控，从而来提升数据中心的信息安全。

从目前来看，红帽RHEL是业内市场份额最大的企业级Linux操作系统，承载着全球众多关键金融机构的核心业务系统，它的安全和稳定性，是经过时间验证过了的（如下数据来自互联网统计）：

因此，对于行业用户的核心业务系统，针对Linux的系统安全，RHEL是第一正确选择。

谈到红帽企业级Linux系统RHEL，很多人会想起红帽的CentOS。CentOS也是红帽的，还免费，为什么非要用收订阅费的RHEL呢？理由有很多，但对于行业客户而言，安全这一个理由就足够了。（源自：http://community.redhat.com/centos-faq/）

红帽RHEL订阅对于客户安全方面的意义：

1、保证系统安全及实时更新

• 通过Red Hat Network提供的安全更新信息，可以使你的系统得到安全、最新、稳定的保障。
• errata及update----访问errata及update可以保证你的系统的安全、和稳定
• upgrade及new version----通过upgrade及new version功能，可以使你的系统得到平滑升级、新功能的增加
• 自动维护能力----管理多个系统，减少你在系统维护上的工作量，节省系统维护时间
• 更关注你的核心业务----不用担心由于升级造成的系统问题，这个工作由RedHat来替你完成。
• 方便的分发方式----根据自己的需要来定制、选择自己所需要的功能软件包。

2. 红帽RHEL提供军用级别的安全性

红帽企业 Linux 具备军用级别的安全技术 — 从网络防火墙控制到用于应用隔离的安全容器 —可有效防止外部入侵，切实保护您的业务数据安全。凭借产品安全响应团队提供的红帽企业 Linux 支持服务，您可以安心在物理、虚拟和云环境中部署应用。调研报告可参照（https://www.redhat.com/zh/files/resources/en-rhel-how-red-hat-delivers-secure-enterprise-platform-next-generation-datacenters-10900617.pdf）

3、红帽有一支系统安全特种部队

红帽有专门的安全团队来保证客户的RHEL安全，并针对可能的隐患主动联系订阅客户，进行告知并提供技术建议。

在红帽安全网站上（https://access.redhat.com/security/），红帽为订阅客户提供离线的程序（内含有离线的安全数据），搭配自动化工具在每台机器上执行，可以很快知道那台RHEL操作系统存在安全隐患。

此外，红帽RHEL有完善的安全加固文档，供客户参考：

第二步，对现有Linux操作系统进行安全加固

红帽目可以对客户RHEL操作系统进行安全加固，消除RHEL系统存在的安全隐患和漏洞。需要注意的是，红帽厂商不会对客户的CentOS提供安全加固的保障和服务。

基于信息安全形势比较严峻的问题，目前国家已经推行信息安全等级保护制度。下表是等级保护要求中，对主机安全的部分内容。

红帽可以根据客户的业务系统特点，为客户提供Linux操作系统安全加固服务。使客户的系统满足国家对于等保的要求。红帽在长期对行业客户的支持和服务中，积累了大量的经过检验的安全加固脚本和经验。

红帽已经给多内外多个知名公司实施过安全加固服务，如为全球某著名的化妆品公司提供的RHEL系统安全加固服务：

第三步，推进运维标准化

我们通过Linux系统安全加固，使现有Linux系统符合安全要求之后，我们通过运维标准化，设置操作系统的安全部署基线，然后强制要求数据中心部署的系统以此安全模板进行部署；同时，定期进行安全合规检查，发现不合规的操作系统或者虚拟机后，触发告警，手动/自动强制合规。在运维标准化方面，可以使用红帽咨询服务。

目前红帽的标准化运维咨询服务包括但不限于：

下图是红帽为某金融客户进行的，标准化咨询与实施服务内容：

总结

随着金融行业“信息化银行”、“智慧银行”、“互联网金融”的推进，IT的重要性在金融行业大幅提升。而IT程度越来越高，信息安全的重要性也随之增强。关于如何提升数据中心信息安全的，这是一个很大的课题。本文则主要从Linux操作系统方面进行了讨论，如何通过厂商的咨询服务，使数据中心的Linux操作系统更加稳定、安全地运行。