由中國通信企業(yè)協(xié)會增值服務(wù)專業(yè)委員會主辦，C114中國通信網(wǎng)與中國IDC產(chǎn)業(yè)聯(lián)盟網(wǎng)承辦的“2010中國數(shù)據(jù)中心網(wǎng)絡(luò)與信息安全論壇”于7月29日在北京京都信苑飯店隆重召開。結(jié)合行業(yè)所面臨的全新挑戰(zhàn)和機遇，中國通信企業(yè)協(xié)會特此舉辦2101數(shù)據(jù)中心網(wǎng)絡(luò)與信息安全論壇。希望能夠匯集產(chǎn)業(yè)鏈的各方群策群力，進一步提高數(shù)據(jù)中心信息安全水平，使我國的信息安全提升到一個新的高度。C114中國通信網(wǎng)對本次會議作全程直播。

以下為中國移動研究院網(wǎng)絡(luò)研究所項目經(jīng)理黃璐的演講全文，主題為“數(shù)據(jù)中心技術(shù)發(fā)展及安全問題探討”。

黃璐：大家下午好！我是中國移動研究院的黃璐，非常感謝主辦方提供這個平臺能夠跟大家交流，同時我也很高興與大家分享一下中國移動在數(shù)據(jù)中心的技術(shù)引入與安全方面的思路和規(guī)劃。

我這部分講解包括三個部分，一是數(shù)據(jù)中心業(yè)務(wù)發(fā)展背景；二是數(shù)據(jù)中心技術(shù)發(fā)展規(guī)劃；三是數(shù)據(jù)中心安全架構(gòu)。

第一，數(shù)據(jù)中心業(yè)務(wù)發(fā)展背景

IDC業(yè)務(wù)的發(fā)展背景來看，中國的網(wǎng)民數(shù)量在迅速增長，截至2009年6月，最新統(tǒng)計中國網(wǎng)民已經(jīng)達到4.2億，而且中國網(wǎng)民使用互聯(lián)網(wǎng)的行為也在不斷的豐富，從傳統(tǒng)的獲取信息，網(wǎng)絡(luò)通信到現(xiàn)在的電子商務(wù)等等，所使用的業(yè)務(wù)越來越豐富。從企業(yè)網(wǎng)的需求來看，目前中國的企業(yè)數(shù)量最龐大的是中小企業(yè)，但是中小企業(yè)目前信息化程度是比較初步的，具有巨大的發(fā)展?jié)摿Α?/P>

同時對于重要的行業(yè)用戶來說，行業(yè)用戶對于數(shù)據(jù)中心的需求也不斷的進入更深的層次。因此，數(shù)據(jù)中心的發(fā)展，面對企業(yè)用戶也有巨大的需求。

從市場方面來看，目前海外的數(shù)據(jù)中心市場發(fā)展比較健全，以北美為例，北美一年數(shù)據(jù)中心的輸入規(guī)模是100億美元，而且增長的非常迅速。國內(nèi)的數(shù)據(jù)中心規(guī)模目前相對還比較弱，而且在收入方面與海外也還有一定差距。但是從我們本身的逐年增長來看，市場潛力也是非常巨大的。

從IDC推向市場的業(yè)務(wù)來看，目前還是以基礎(chǔ)業(yè)務(wù)為主。對于運營商來說，在基礎(chǔ)業(yè)務(wù)方面是具有一定優(yōu)勢的，包括可以提供網(wǎng)絡(luò)帶寬，包括我們可以提供的一些機房資源、硬件資源，數(shù)據(jù)中心的業(yè)務(wù)，從基礎(chǔ)業(yè)務(wù)方面來看，對運營商來說有非常重要的意義。

技術(shù)發(fā)展與應(yīng)用，一方面，云計算逐漸在數(shù)據(jù)中心應(yīng)用，使得數(shù)據(jù)中心能提供低成本、多業(yè)務(wù)的形式。對運營商來說，通過建設(shè)云計算數(shù)據(jù)中心，對內(nèi)可以建設(shè)低成本、高度集中的IT支撐系統(tǒng)，對外可以對用戶提供低成本、形式多樣的業(yè)務(wù)。其他的，包括企業(yè)和政府信息化的應(yīng)用，包括行業(yè)融合的應(yīng)用，包括移動互聯(lián)網(wǎng)的迅猛發(fā)展，都使得數(shù)據(jù)中心成為對運營商來說具有重大意義的業(yè)務(wù)。

因此，從前面的，包括用戶規(guī)模，包括市場潛力，包括技術(shù)應(yīng)用發(fā)展等各方面，我們都能看到IDC業(yè)務(wù)對運營商來說是一個具有重要戰(zhàn)略意義的建設(shè)。

第二，數(shù)據(jù)中心技術(shù)規(guī)劃

可以分為三個方向：一是建設(shè)基于云計算的數(shù)據(jù)中心，主要帶來成本和技術(shù)優(yōu)勢；二是通過引入新技術(shù)，包括CDN，包括P2P，來提高業(yè)務(wù)能力；最后是通過建設(shè)節(jié)能綠色的數(shù)據(jù)中心，降低運營成本，同時也是響應(yīng)節(jié)能減排的理念。

具體看一下中國移動在幾個技術(shù)的具體引入思路。云計算對于運營商來說是一個降低成本和業(yè)務(wù)創(chuàng)新的必然選擇。其中的驅(qū)動力，包括動態(tài)部署的特性，包括低成本，包括業(yè)務(wù)創(chuàng)新和標(biāo)準(zhǔn)化架構(gòu)的本身特征。右邊這個圖是預(yù)計的云計算數(shù)據(jù)中心的系統(tǒng)架構(gòu)，其中包括虛擬化的資源，虛擬化資源又包括服務(wù)器資源，包括存儲資源，還有網(wǎng)絡(luò)資源，都以虛擬化的形式來提供資源的整合以及對外服務(wù)的形式。通過這種虛擬化的資源，我們可以提供的服務(wù)包括彈性計算，包括存儲，包括資源監(jiān)控等等。另外，數(shù)據(jù)中心的架構(gòu)還包括遠(yuǎn)程維護、運維管理等等這些部分。

具體在數(shù)據(jù)中心的建設(shè)里面，我們會有兩大關(guān)鍵的技術(shù)，一個是服務(wù)器的虛擬化，主要是通過將物理資源的虛擬化，來實現(xiàn)PCU內(nèi)存、接口等等各方面資源的整合和合理的應(yīng)用。另外一個是分布式的文件和對象存儲系統(tǒng)，這個主要是以集成的分布式的方式來提供一個高效的，可以支撐虛擬化業(yè)務(wù)的系統(tǒng)。

CDN技術(shù)方面，主要的引入目的是為了實現(xiàn)數(shù)據(jù)中心“一點接入，全網(wǎng)服務(wù)”的目的，CDN主要將資源分布到網(wǎng)絡(luò)距離用戶最近的點，一方面可以改善用戶的體驗，方面可以為我的網(wǎng)絡(luò)多內(nèi)部帶寬提供高效的利用，對于云運營商來說，在數(shù)據(jù)中心里面引用CDN，可以合理的規(guī)劃資源分布。一方面可以相對于單點服務(wù)和全鏡像的方式來說，可以由一個更高效的對于熱點內(nèi)容的分發(fā)。

下面這個圖是一個IDC中利用CDN系統(tǒng)來提供Web托管應(yīng)用的示意圖，主要是將CDN部署到各個數(shù)據(jù)中心，通過統(tǒng)一的調(diào)度平臺，來實現(xiàn)一個統(tǒng)一的CDN服務(wù)。

下一步，還會在IDC中引入P2P的技術(shù)。P2P的技術(shù)主要以中國移動提出的分布式業(yè)務(wù)網(wǎng)為平臺，來提供包括各種服務(wù)的API，也包括一些軟件的應(yīng)用服務(wù)。通過P2P服務(wù)，它所帶來的優(yōu)勢一方面包括合理的引導(dǎo)網(wǎng)間流量，因為現(xiàn)在對中國移動來說，互聯(lián)互通的流量成為我們互聯(lián)網(wǎng)發(fā)展的一個瓶頸。另一方面，也可以結(jié)合云計算的資源，虛擬化的服務(wù)，有效的整合運營商的資源，甚至是用戶的資源，因為通過P2P，一部分內(nèi)容是可以通過用戶的存儲資源提供統(tǒng)一的服務(wù)。因此，通過P2P的引入，可以豐富IDC的業(yè)務(wù)類型，同時提升IDC的網(wǎng)絡(luò)業(yè)務(wù)能力。

綠色節(jié)能方面，我們的思路，一個是IDC的硬件資源合理布局，包括對通風(fēng)的規(guī)劃，包括對機房設(shè)計的規(guī)劃。進一步使用節(jié)能的設(shè)備，引入新的節(jié)能技術(shù)，比如說高壓控電技術(shù)，還有精確制冷技術(shù)等等。最后還有一些其他的節(jié)能途徑，包括定制硬件，可以去掉一些不需要的功能，可以節(jié)省大量的資源。前面就是對數(shù)據(jù)中心引入一些新技術(shù)的具體內(nèi)容。

最后總結(jié)一下中國移動在數(shù)據(jù)中心引入方面的規(guī)劃，在云計算前期主要是以提供基礎(chǔ)設(shè)施服務(wù)為主，后期會逐漸引入應(yīng)用平臺和應(yīng)用軟件的服務(wù)。在節(jié)能方面，前期主要通過一些實驗試點，來建設(shè)節(jié)能的數(shù)據(jù)中心，后期會制定一個標(biāo)準(zhǔn)規(guī)范的節(jié)能體系，來對數(shù)據(jù)中心的節(jié)能方面進行一個規(guī)范。最后還有一些其他的新技術(shù)，前期會以CDN的引入為主，后期逐漸最后P2P技術(shù)的成熟，逐步在數(shù)據(jù)中心引入P2P的方式。

第三，數(shù)據(jù)中心安全架構(gòu)

首先數(shù)據(jù)中心安全是一個層次化的，這是一個傳統(tǒng)的數(shù)據(jù)中心的層次圖，先基于這個來說明一下我們在安全方面的考慮。包括互聯(lián)網(wǎng)接入層、匯聚層、業(yè)務(wù)接入層和運維管理層。針對不同的安全問題，不同的層次會也不同的安全策略。

對于互聯(lián)網(wǎng)接入層來說，我們認(rèn)為主要的威脅是DDoS攻擊，DDoS攻擊主要的問題是將帶寬耗盡。針對這個問題的主要措施也比較成熟的技術(shù)，就是流量清洗，會在數(shù)據(jù)中心出口部署流量清洗。目前我們已經(jīng)在骨干網(wǎng)的互聯(lián)出口，還有省網(wǎng)和骨干網(wǎng)的出口部署了流量清洗系統(tǒng)，下一步隨著數(shù)據(jù)中心的建設(shè)，在數(shù)據(jù)中心的出口也布局流量清洗系統(tǒng)。

匯聚層方面，一是訪問控制，針對可信不可信的訪問進行有效的隔離了防護，另一方面對入侵系統(tǒng)進行有效的補充，最后對網(wǎng)絡(luò)設(shè)備，也就是承載層面的設(shè)備進行安全加固，包括嚴(yán)格的控制訪問權(quán)限，包括對網(wǎng)絡(luò)設(shè)備本身的開放服務(wù)進行限制。
對于業(yè)務(wù)接入層的安全，主要是針對主機資源。一方面進行病毒防護，建立集中的病毒庫、病毒引擎，周期性的來對主機進行殺毒和清洗；另一方面進行周期的安全評估，根據(jù)安全評估的結(jié)果，需要不斷的更新防護手段。最后對主機本身進行安全加固。

運維管理層的安全，分為兩個層面，一個層面是對遠(yuǎn)程接入的形式的安全防護，另一個層面是針對本地運維人員的安全防護。對于遠(yuǎn)程接入方式的運維管理方面的防護，方面是通過設(shè)置安全控制網(wǎng)關(guān)，嚴(yán)格對用戶的接入權(quán)限、接入能力、接入帶寬進行控制；另一方面，對遠(yuǎn)程的VPN的方式，包括SSL VPN，針對不同的需求有不同的形式。

暗物用戶終端管理，包括對終端安全方面的評估，包括根據(jù)安全評估結(jié)果允許他的接入。另外一方面對用戶的行為以及用戶的終端進行周期性的審計，根據(jù)一個長期的統(tǒng)計分析，需要對用戶的使用習(xí)慣做一個安全方面的分析，從而高安全防護的能力。

最后是對應(yīng)前面引入的新技術(shù)，在安全方面的考慮。針對云計算，主要包括虛擬化的安全防護，針對存儲的安全防護，還有網(wǎng)絡(luò)方面的安全防護。針對CDN，主要是保護服務(wù)器避免受到DDoS攻擊，提高服務(wù)器的高可靠性。

在P2P方面，目前安全方面，因為P2P由于節(jié)點數(shù)量、用戶規(guī)模比較難以控制，在這方面我們也在逐步的進行探索。主要是要劃分可信、不可信節(jié)點，對不同的節(jié)點加入到P2P的服務(wù)域里面進行嚴(yán)格的控制，同時還會對它的行為以及能力進行一些評估。
綠色節(jié)能方面，主要是考慮物理方面的安全，包括高可靠的系統(tǒng)，包括一些安全要求。

前面就是在技術(shù)發(fā)展以及安全方面，跟大家分享一下中國移動的思路。謝謝大家，我的內(nèi)容就到這里。