IDC网络(精选12篇)
IDC网络 篇1
摘要:互联网数据中心业务 (IDC) 是指以外包出租的方式为用户的服务器等互联网或其他网络相关设备提供放置、代理维护、系统配置及管理服务, 以及提供数据库系统或服务器等设备的出租及其存储空间的出租、通信线路和出口带宽的代租用和其他应用服务。
关键词:IDC,数据中心,管理
互联网数据中心业务 (IDC) 是指以外包出租的方式为用户的服务器等互联网或其他网络相关设备提供放置、代理维护、系统配置及管理服务, 以及提供数据库系统或服务器等设备的出租及其存储空间的出租、通信线路和出口带宽的代租用和其他应用服务。
目前IDC运营商主要提供两种类型的服务:主机托管、主机租用服务和虚拟主机服务。在托管主机服务模式中, 由IDC运营商提供接入通道和IP地址, 用户只用将主机托管在IDC机房。主机租用的模式与主机托管模式相似, 只是主机由IDC运营商提供。在虚拟主机服务器模式中, 由IDC运营商提供主机, 采用虚拟主机管理软件把一台运行在因特网上的服务器主机分成一台台“虚拟”的主机, 虚拟主机之间完全独立, 并可由用户自行管理。由于当前我国大力推进信息化的发展使得用户对廉价、高带宽, 高品质的互联网接入的需求高速增长, 从而大大推动了IDC行业的发展。正是由于IDC具有廉价、高带宽、高品质的互联网接入以及网站主机、服务器实施集中、专业化管理的先天优势, 因此成为了网络服务首选的接入方式, 使各种网络服务类型如网站、电子邮件服务、网络游戏、电子商务等聚集于此。
一、目前IDC存在的问题及原因
IDC在提供信息便利的同时也为少数不法分子从事非法网络活动提供了有利的条件, 大量淫秽色情、诈骗、赌博等有害信息藏匿于IDC的托管主机或虚拟主机中, 使IDC成为了有害信息的集中营。主要原因如下:
(一) 空间用户信息登记环节控制不严, 准入门槛过低
目前多数提供虚拟主机租用和托管主机服务的公司虽然能够做到对用户资料进行登记管理, 但部分公司为了获得更多的经济效益, 对一些虚拟主机用户的申请手续过于简单, 用户无需有效身份证件亦可完成申请。此外, 跨省市申请的情况较普遍, 并且还存在外地用户通过网络直接租用本地虚拟空间的情况。因此, 由于IDC运营商在出租空间时的过低门槛, 导致无法保证用户登记信息的详实, 进而使执法部分无法找到虚拟空间的真正使用者。
(二) 服务层层代理, 造成追查困难
申请了托管主机或租用主机的用户可以转而向其他用户提供较为廉价的虚拟主机服务。另外, 申请了虚拟主机的用户也可以将自己的磁盘空间转租。
这样从电信接入到最终用户之间形成了多层代理, 由于目前IDC行业管理不规范, 各级代理间的信息登记不全, 这种服务转包的现象使得一旦发现含有不良信息的站点难以找到对此站点负责的单位和个人, 因此也难以即时采取相关的处置措施。
(三) 缺乏有效的内容监控手段, 无法及时发现有害信息
目前, IDC运营商以自身没有直接查看用户服务器上内容的权限为由, 认为其并不对用户在网上提供的信息负责, 也无法采取有效的措施发现含有有害信息的站点。此外IDC用户中部分提供自由论坛服务网站, 他人可以从网上上传各类信息, 然而大部分用户未对上传信息进行有效监控和管理。
由于目前缺乏有效的手段, 对网上不良站点的发现仍然以人工方式为主, 效率不高, 也不够即时, 使得网上不良信息泛滥。
二、加强IDC管理的几点对策和建议
网络信息安全的主管部门面对IDC的混乱局面, 应积极有效采取相关对策。
(一) 创新管理模式, 坚持虚拟社会现实化管理
互联网是一个新生事物, 必须努力创新管理方式、方法和手段。同时, 虚拟社会既然是个“社会”, 也有其固有的规律和特点, 对其管理也可借鉴许多对现实社会的管理方法。一是IDC出租屋化管理, 确保人户一致。把IDC当网上出租屋管, 全面开展对提供主机托管和虚拟主机业务的IDC的清理整顿工作, 建立“网络出租屋”基础数据库, 实行发案倒查制度, 确保“人”“屋”对应, 责任到人。二是推行网上备案, 层层落实责任。鉴于目前IDC中代理层级关系复杂, 且信息登记不全, 传统纸质备案方式又过于繁琐的情况, 我们应改变思路, 简化备案过程, 推行IDC网上备案模式, 按照“谁主管, 谁负责;谁经营, 谁负责”的原则, 严格要求各级代理落实本级备案工作, 一级抓一级、一级管一级, 切实掌握服务器上所有空间和网站的具体情况。三是层次化管理网站, 盘活备案数据。通过备案数据库, 我们可以清楚地掌握这些不同类型的网络服务在IDC中的分布情况, 并可根据不同的服务器进行分类管理, 然后再对相同类别的服务进行层次化管理, 对访问量高、数据量大的服务器进行重点管理。对重点部分、有害信息频发的虚拟区域加强管控, 严格约束不法网民所做的有害行为, 也为公安机关追查网络违法犯罪源头提高效率。
(二) 在传统监管基础上, 增强对IDC数据监测手段
整治IDC站点中有害信息泛滥, 除了在管理方面加强外, 还需针对IDC运作的方式和特点, 开发必要的技术手段来监测网络中有害信息。目前传统信息监管措施中网络信息搜索引擎技术已经较为成熟, 其重点针对IDC中重要的网站, 自动获取网站的信息内容, 采用关键词搜索等技术, 发现含有有害信息的页面。但这种自动获取网站内容的方式对于同一个IP为多个网站服务, 各个网站域名又掌握不清的IDC机房无法完全适用。因此, 我们应改变信息监测的策略, 对于站点复杂, 网站云集的IDC采用网络通信数据监听的方法发现有害信息。同时, 监测方式还能与IDC备案管理相结合, 对未进行备案的非法网站进行监管。
(三) 各部门建立日常协调机制, 联合整治网络不正之风
信息产业、公安、文化、工商、教育、新闻出版等政府相关职能部门之间应形成有效的沟通协调机制, 按照各自分工权属各司其政, 否则线性管理、多头管理模式下将会导致管理空隙的出现。网络行业的主管部门应在整个行业管理中发挥主要作用, 对一些提供接入服务的无证单位和超范围经营网络公司要坚决取缔, 还应制定行业运营和管理规范, 公安机关要对非法网络信息进行有效整治。
(四) 正确引导IDC行业自律, 建立虚拟社会良好道德风尚
由于网络运营商盲从市场规则拓展业务, 偏面追求经济效益, 忽视自己的管理责任, 缺乏对业务的控制能力, 造成网络资源被无节制、掠夺式消耗的同时, 也增加了网络监管的难度。我们在努力监控和打击IDC有害信息的同时, 也要通过政策调控、行业管理等多元化手段引导IDC行业自律, 实行自我管理, 寻求良性发展。
IDC网络 篇2
IDC托管服务器,IDC托管服务器应用说明
IDC托管服务器服务项目
伴随着各大公司业务的迅速发展,公司需要快速的Internet连接,以及不断的部署系统并出现在Internet上。安装这种设备对于许多小公司是不可行的。许多公司开始建立非常大的设备,被称为Internet数据中心(IDCs),它提供了商业上的系统部署和操作的解决方案。新技术和实践被设计用来处理测量和如此巨大测量操作的操作需求。那对于IDC托管服务器,IDC托管服务器有什么应用说明呢?IDC托管服务器服务项目有哪些?
一、IDC托管服务器应用说明
一个数据中心的主要目的是运行应用来处理商业和运作的组织的数据。这样的系统属于并由组织内部开发,或者从企业软件供应商那里买。像通用应用有ERP和CRM系统。一个数据中心也许只关注于操作体系结构或者也提供其他的服务。常常这些应用由多个主机构成,每个主机运行一个单一的构件。通常这种构件是数据库,文件服务器,应用服务器,中间件以及其他的各种各样的东西。数据中心也常常用于非工作站点的备份。公司也许预
定被数据中心提供的服务。这常常联合备份磁带使用。备份能够将服务器本地的东西放在磁带上,然而,磁带存放场所也易受火灾和洪水的安全威胁。较大的公司也许发送他们的备份到非工作场所。这个通过回投而能够被数据中心完成。加密的备份能够通过Internet发送到另一个数据中心,安全保存起来。为了灾难恢复,各种大的硬件供应商开发了移动设备解决方案,能够安装并在短时间内可操作。
今天在数据中心中的通信常常基于网络,运行IP控制组。数据中心包含一系列路由器和交换机,它们在服务器于外界之间传送通信量。Internet连接的冗余常常通过两个或多个上由服务供应者来提供。一些数据中心服务器被用于运行基本的组织中的内部用户需要的英特网和企业网服务,例如电邮服务器,代理服务器,和DNS服务器。网络安全元素也常常被配置:例如,防火墙,VPN网关,侵入检测系统。也有网络和一些应用软件的监视系统。额外的非工作场所监视系统也很典型,以防数据中心内部通信失败。
二、IDC托管服务器服务项目
IDC可以为用户提供以下一些具体的服务项目。服务器负载均衡服务:随着网站内容的增加,功能的增多,使得支撑网站的服务器数量开始增多,网站的服务器负载均衡服务可以根据实际的服务器响应时间平衡服务器群中所有服务器之间的通信负载,从而提高站点性能和响应能力,同时减少错误的发生。网站加速服务:网站加速服务可以使服务器处理安全套接层协议(SSL)的加密/解密工作时的效率提高数十倍到上百倍,从而提高网站安全交易的响应速度。采用这种服务,网站可以更大限度地利用互联网服务器投资,在不牺牲网站访问速度的前提下,确保电子商务交易的安全性。
随着中国互联网以超常的速度向前发展,企业用户对IDC的需求也日益增长,而随着
电信运营商业务转型,各种数据业务也层出不穷,比如中国电信开展的互联星空计划的实施、中国移动的IDC业务系统等也受到越来越多的用户认可,作为其主要业务平台IDC也受到越来越多的关注,而安全性则是焦点之一。
IDC绿色演进 篇3
1996年,刚刚转型商业银行的中国建设银行兴建了全新的数据银行,中国银行数据中心正在规划建设,而中国工商银行位于翠微路的老机房急需改造……这些当时中国最先进数据中心的代表都是由普通大厦的办公区域隔离出来的,规模在1000~2000平方米范围内。
2008年6月,中金数据系统有限公司位于亦庄的北京数据中心开业,这座占地6.6公顷、建筑规模9万平方米、按照国际数据中心基础设施最高标准的第Ⅳ级进行规划设计的机房,是目前国内规模最大、可用性等级最高的私营商业化数据中心。
12年的时间,国内数据中心行业突破金融、电信等数据密集型行业,实现了跨越式发展,在制造业等传统行业、互联网行业等新兴行业都创造出巨大的业务成效。数据中心建设作为一种战略投入基本上已经形成共识,它们集中存储和服务器,提供便捷、快速的沟通,促进电子交易,提高生产效率。
除传统企业自营数据中心外,IDC(互联网数据中心)模式伴随着互联网不断发展的需求而发展起来,它比传统的数据中心有着更深层次的内涵,为ICP、企业、媒体和各类网站提供大规模、高质量、安全可靠的专业化服务器托管、空间租用、网络批发带宽以及ASP业务。
然而,为保持正常运转,不断增长的数据中心同时带来了巨大的能源需求。
解决电力负担
对于清华大学数据中心,每年服务器以及相关制冷设备的耗电已经是一笔沉重的负担—当初数据中心的建设费用不到600万元,但现在每年相关的电力成本(服务器、制冷、UPS等)支出就超过80万元,这种“买得起马,置不起鞍”的情况在国内数据中心不在少数。
研究结果显示,自2000年以来,全球数据中心的电力消耗呈螺线式上升的态势,2007年花费已超过40亿美元,相当于500万个家庭所使用的能源。如果任由这种态势继续发展,到2011年,企业数据中心的能源消耗将比2007年增加一倍。
经过媒体的不断宣讲,绿色数据中心的概念已经得到了普遍的认同,很多企业也已经认识到了能耗支出在数据中心中的比重。除了VMware、思杰之外,微软、Novell与红帽大力推动服务器虚拟化的产品与方案,甚至刚更名为Parallels的SWsoft在服务器虚拟化领域也迈出一大步。所以,对于企业来说,无论是技术路线还是价格区间,相关的虚拟化选择都会非常丰富。同时,包括IBM、惠普和Dell、曙光等在内的IT企业也都拿出了相应的解决方案和产品。除了利用x86服务器虚拟化技术进行服务器的整合,还可以通过大型主机虚拟化的方式进行数据中心的整合,也可以利用存储虚拟化技术进行存储资源的整合和统一管理。
作为虚拟化技术领域的顶级厂商,近期VMware将战略重点从原来在x86服务器虚拟化全面转向数据中心。利用云计算进一步提高虚拟化利用率,为数据中心提供更大的灵活性,以及提高灾难恢复和高可用性。VMware在2008年推出了Virtual Datacenter Operating System (VDC-OS),虚拟数据中心操作系统,作为一个能够将虚拟服务器、存储和网络资源聚合成为一个大型计算资源池、将资源分配给用户和应用的软件平台,VDC-OS将数据中心各项硬件资源,包括服务器、存储设备和网络汇集到聚合的“按需使用”云中,把工作负荷成批转移到“外部云”,以获得额外的计算容量。
杭州兴议IDC中心对机房布局及机柜设计要求等方面进行了优化和完善,成为浙江地区首个采用节能标准建造的五星级机房;中国联通在江西试点以虚拟化技术为代表的vps虚拟专用主机产品,针对南方的中小企业客户群,提供更为独立、高效的新一代虚拟主机。
大部分被调查的IDC用户将包括运作效率在内的“服务品质”视为选择IDC时的首先考虑的因素,这就要求IDC服务提供商提高数据中心的可用性并降低运作成本。
中国电信杭州分公司IDC运营中心从实际出发,一改以往IDC机房仅仅是提供电力、空调和带宽的“房东形象”,向能提供网络和应用信息安全及应急响应处理等一站式服务的“保姆”形象转变,免除客户在网络安全方面的后顾之忧。
提高单位设备的效率,这代表着数据中心节能降耗的一种思路,毕竟系统的电力消耗受各个组件的效率控制。在通往绿色数据中心的道路上,并不是所有的数据中心都能够立刻部署虚拟化、购买大型机进行服务器的整合、采用密度更高的服务器以取代原来的服务器、使用太阳能发电、改造数据中心建筑等方式来实现数据中心的绿化,因此,对于大多数数据中心而言,绿色之路并不一定意味着从头再来。
能耗封顶
“没有一种解决方案能完全解决当前数据中心大幅增长的能耗成本的问题,只有通过综合治理才能收到丰厚的成效。”中国惠普有限公司企业计算及专业服务集团首席技术顾问朱伟雄表示,很多时候,企业只需要针对现有的数据中心进行变化—变更服务器机柜摆放位置,以便实现更好的通风;稍微调高数据中心的温度,有时候数据中心并不需要那么低的室温;又比如在采购数据中心产品的时候,适当衡量服务器的能耗,选择一款更为绿色的产品;甚至也可以尽量使用远程控制服务器而不进入数据中心的方法来保持数据中心的低温。
中国联通IDC运营中心负责人表示,目前国内IDC业务特性仍以资源消耗为主,联通IDC业务84%的收入来源于空间、带宽等基础资源,随着国内IDC市场价格的恶性竞争,业务发展举步维艰。中国联通通过对新机房的设计标准、布局摆放、电源空调等基础设施研究,适度改造部分星级条件的旧IDC,建立新的运维监控体系,打造一批节能环保型的IDC,实现了从成本中要效益,不断提高单平米利润值的目标。
为了应付未来的需求和业务扩展,数据中心通常会为服务器预留过多的备用CPU负载,它们会占用空间及管理时间。所以,多数用户将现有的服务器整合到虚拟机中(虚拟服务器),然后将“释放的”物理服务器用于解决应用增长所带来的要求。事实上,现有的服务器大多数都没有得到充分的利用,许多服务器的CPU使用率均低于25%。虚拟化可在一定程度上控制这种增长,但虚拟化会增加管理和自动化工具上的要求。
惠普在服务器领域最新推出的动态功率封顶技术(HP Dynamic Power Capping)就是在保证性能的基础上,控制单位设备能耗来降低数据中心的整体耗电量。它通过服务器的动态配置或功率封顶,帮助客户重新分配数据中心的电力和散热资源。也就是说,这种技术有效地对每一台服务器的最高能耗进行了准确控制,避免了能源的过度供应,用户可以将节省下来的那部分能源用于数据中心扩容。
采用此项技术后,相同的能源配置和电力设施可以承载相当于原来三倍数量的服务器。这相当于每个1兆瓦级的数据中心可节省1600万美元的成本支出,同时减少高达25%服务器运行能源消耗,每年节省近三十万美元。
第三条道路
无论是出于IT成本过高、复杂性过大,还是资源利用率过低等各种的原因,目前几乎所有类型的公司都在尝试将IT资源进行整合和集中,这其中当然也包括数据中心的整合。
集中化的数据更便于备份、冗余和控制,也更有助于符合法规要求。将数十个数据中心整合到少数几个中央位置,然后重点在网络、冗余、计算、存储和管理等几个方面加强这少数几个中央数据中心的能力。这一趋势将对很多IT技术和应用产生巨大影响,如数据和应用将越来越多地通过广域网传递给远程灾备中心,由此对广域网架构和管理产生影响。通过网络或瘦客户机来提供集中化的应用将成为一种标准,更加便于管理、更新,或安装补丁来防御安全隐患。
虽然多数公司都在尝试将资源整合到更少的数据中心,但对数据中心资源的要求致使服务器和存储的数量大幅增长。美国数据中心服务器的年平均增长率为11%,存储的平均增长率高达22%,存储的增长远远超过服务器的增长,给数据中心在环境控制、电源与冷却、空间管理等方面造成了巨大的压力。
构建信息社会IDC网络安全 篇4
互联网数据中心 (I n t e r n e tD a t a C e n t e r, 下称I D C) 是伴随着互联网发展的需求而发展起来的, 为企业、应用服务提供商、内容服务提供商、系统集成商、I S P等提供大规模、高质量、安全可靠的服务器托管、租用以及A S P等增值服务的互联网新型业务。I D C不仅是一个服务概念, 还是一个网络概念, 它构成了网络基础资源的一部分, 提供了一种高端的数据传输服务和高速接入服务, 是以Internet技术体系作为基础, 主要的特点是以T C P/I P为传输协议和以浏览器/W E B为处理模式。
I D C不仅要提供服务器硬件等设备的托管和快速的网络接入, 还要提供对服务器的监管服务、有关网络的管理及服务品质保证, 而且更重要的是要有高度安全可靠的机房网络环境。目前, 网络和信息安全技术与各种安全隐患之间进行的是一场深入、多层次的战争, 成为一个没有硝烟的战场, 这就要求我们对与I n t e r n e t互连所带来的网络与信息安全性问题予以足够的关注, 在I D C的设计中必须充分重视安全问题, 尽可能的减少安全漏洞, 此外, 我们还应该根据I D C的客户需求提供不同的安全服务。
2 网络及信息安全趋势
I D C中常见的传统网络安全措施包括防火墙、入侵检测、漏洞扫描等, 不过, 这些传统的网络安全措施有着很大的局限性, 另外, 蠕虫、病毒、D o S/D D o S攻击、垃圾邮件等混合威胁越来越多, 传播速度不断加快, 留给人们响应的时间越来越短, 用户来不及对入侵做出响应, 已造成I D C内的服务器瘫痪。例如, 某I D C用户因为长期被A R P蠕虫困扰, 导致大量I D C用户的通信线路中断;某I D C用户托管在I D C机房的主机受到大规模的D D o S攻击而使业务长期严重受损;某I D C的电子商务用户因为其机器被黑客入侵导致大量业务数据流失。综合上述案例, 并透过对国内多个地区的I D C (包括机房与用户) 的安全调研, 发现I D C用户存在的安全问题主要概括如下:A R P欺骗攻击、拒绝服务攻击、黑客攻击与后门/木马、蠕虫等。总体来看, 网络攻击的动机从技术炫耀型转向利益驱动型, 网络攻击的趋利性和组织性在继续加强, 从而导致直接获得经济利益的恶意代码和攻击行为日益增加, 大范围传播的恶意代码逐渐不再占据主流。
目前, 随着各种网络恶意代码及网络攻击威胁的趋利性, 应在互联网安全应急预案框架下, 加强具体的处理流程规范制定, 明确应急组织、网络运营商、用户、网络服务提供商 (ISP/ICP/I D C/域名注册商等) 在具体的网络仿冒、恶意网页代码、拒绝服务攻击等安全事件中的责任和义务, 为事件处理提供必要的政策依据, 并形成快速、有效的安全事件响应机制, 是遏止各种网络事件继续增加的重要方面。
3 网络安全设计原则
针对网络系统实际情况, 解决网络的安全保密问题是当务之急, 考虑到技术难度及经费等因素, 我们采取以下安全策略:
(1) 采用漏洞扫描技术, 对重要网络设备进行风险评估, 保证信息系统尽量在最优的状况下运行。
(2) 采用防火墙技术、N A T技术、V P N技术、网络加密技术 (IPsec) 、身份认证技术、多层次多级别的防病毒系统、入侵检测技术, 构成网络安全的防御系统。
(3) 实时响应与恢复:制定和完善安全管理制度, 提高对网络攻击等实时响应与恢复能力。
(4) 建立分层管理和各级安全管理中心。
4 网络安全解决方案
D D o S (分布式拒绝服务) 攻击由于易于实施、难于防御、难于追查等特点, 已成为当前网络中流行的攻击方式, 威胁与造成的损失日益增大。D D o S攻击不仅局限于单一目标, 网络本身也逐渐成为D D o S攻击的牺牲品, 网络链路、路由交换设备、运营商的D N S服务系统都不同程度的遭受了D D o S攻击的侵害。
对入侵行为的防御, 防火墙是企业级安全保障体系的第一道防线, 目前已经得到了非常广泛的应用, 但是各式各样的攻击行为还是存在, 这表明有某些攻击行为是防火墙所不能防御的, 比如说应用层的攻击行为。
想要实现完全的入侵防御, 首先需要对各种攻击能准确发现, 其次是需要实时的阻断防御与响应。防火墙等访问控制设备没有能做到完全的协议分析, 仅能实现较为低层的入侵防御, 对应用层攻击等行为无法进行判断, 而入侵检测等旁路设备由于部署方式的局限, 在发现攻击后无法及时切断可疑连接, 都达不到完全防御的要求。
入侵防御系统 (IPS) 实行在线部署, 相对于入侵检测系统 (I D S) 旁路部署, 实现了从I D S的被动防御到I P S主动防御的质变。入侵防御系统 (I P S) 可以保护防火墙等网络基础设施, 对Internet出口带宽进行精细控制, 防止带宽滥用;可以抵御来自Internet的针对DMZ (demilitarized z o n e, 隔离区) 区服务器的应用层攻击和来自Internet的DDoS攻击;可以抵御来自内网攻击, 保护核心服务器和核心数据, 提供虚拟软件补丁服务, 保证服务器最大正常运行时间。入侵防御系统以透明串联方式部署, 实时分析链路上的传输数据, 对隐藏在其中的攻击行为进行阻断, 专注的是深层防御、精确阻断, 这意味着入侵防御系统是作为安全防御工具存在, 解决实际应用上的难题, 进一步优化网络的风险控制环境。
未来, I D C市场的竞争将更加激烈。因此, 如何在激烈的市场竞争中占据主动位置, 已经成为IDC运营商们考虑的重点。显然, 加强I D C中心网络安全, 不仅使其I D C的管理和服务上升到了一个新的层次, 走在了整个行业的前面, 同时, 也促进了整体信息社会的和谐发展。
摘要:本文分析了当前IDC网络环境中存在的安全隐患及网络攻击的手段, 针对IDC中心的网络实际情况, 从理论上提出了网络安全设计的原则、安全防御的策略和措施, 列举了解决网络安全问题的相关技术, 探讨建立综合性的网络安全防御系统确保网络及信息的安全。
关键词:IDC,网络安全,网络攻击,安全防御
参考文献
[1]高永强, 郭世泽.网络安全技术与应用大典[M].北京:人民邮电出版社.
IDC星级评分标准 篇5
中国IDC业的星级标准体系吸取了国际上星级制度的成功经验,结合了中 国IDC业的实际,是一个全方位考核评价IDC业机房的标准。这个标准从标准和附录两个部分对IDC业机房进行综合考评,两个部分构成一个完整的标准体系,其基本框架如图所示。
IDC业机房星级的划分与评定
这是IDC业机房星级标准核心部分。从范围、规范性引用文件、术语和定义、符号、总则、星级划分条件、星级评定规则、服务质量要求和管理制度要求等九个方面规范了IDC业机房星级的基本内涵。IDC业机房星级体系基本规定
《IDC业机房星级的划分与评定》GB2887-89规定了IDC业机房星级的划分条件、评定规则及服务质量和管理制度要求。标准适用于正式营业的各种经济性质的IDC业机房。
以星的数量和颜色表示IDC业机房的等级。星级分为五个等级,即一星级、二星级、三星级、四星级、五星级(含红金五星级)。星级以镀金五角星符号表示,一颗五角星表示一星级,两颗五角星表示二星级,三颗五角星表示三星级,四颗五角星表示四星级,五颗五角星表示五星级,五颗红金五角星表示红金五星级。最低为一星级,最高为红金五星级。星级越高,表示IDC业机房的档次越高。同时还有预备星级,作为星级的补充,其等级与星级相同,开业不足一年的IDC业机房可以申请预备星级,有效期一年。
同时还规定,由若干建筑物组成的IDC业机房其管理使用权应该一致,IDC业机房内包括出租营业区域在内的所有区域应该是一个整体,评定星级时不能因为某一区域财产权或经营权的分离而区别对待。
IDC业机房开业一年后可申请星级,经星级评定机构评定批复后,享有五年有效的星级及其标志使用权。IDC业机房的建筑、附属设施、服务项目和运行管理应符合安全、消防、带宽保障、机房环境等现行的国家有关法规和标准。IDC业机房星级划分条件
又称必备条件,是IDC业机房要达到某一个星级所必须具备的条件,它对一至五星级所必须具备的硬件条件和应设立的服务项目作了详尽的规范。一、二星级:从IDC业机房的布局、公共信息符号图形,供电设备、制冷设备、设施设备养护、服务语言、IDC机房硬件设施、光纤、承诺提供24×7(每周24小时x 7天)的网络联接状况监控,24×7的主机运行状态监测,24×7系统管理和技术支持服务,24×7的客服热线,24×7的恒温恒湿环境,双路高压供电,后备柴油发电机,独立UPS 不间断电源保障和紧急状况下第一时间的响应与支持。高灵敏度的烟雾探测系统和FM200组成的消防系统等10个方面来规定所应具备的条件。
三星级:除上述10个方面外,增加了计算机管理系统、管理制度的健全程度,机房设备、IDC设施等内容要求;并设置了选择项目73项(综合类别类21项,特色类别一20项,特色类别二16项,特色类别三16项),要求三星级IDC业机房至少具备其中10项。
四星级:在三星级的基础上增加了IDC业机房内外装修、高品质的监控系统两个必备的考核内容,并在其他各部分提出了更高的要求。73个选择项目中,至少要具备26项。
五星级:大项上与四星级内容基本相同,但各项内容内涵更丰富、规模程度要求更高,服务项目设置更多,规范也更详尽。73个选择项目中,至少要具备33项。红金五星级:在五星级的基础上,必须具备以下条件:
1)具有两年以上五星级IDC业机房资格。2)地理位置处于城市中心商务区或繁华地带,交通极其便利。3)建筑主题鲜明,外观造型独具一格,有助于所在地建立目的地形象。4)内部功能布局及装修能与所在地历史、文化、自然环境相结合,恰到好处地表现和烘托其主题氛围。5)除有接待中心及入口外,IDC业机房整体氛围极其规模气派。6)各类设施设备配置齐全,品质一流;有IDC业机房内主要区域温湿度自动控制系统。7)有位置合理、功能齐全、品位高雅、装饰华丽的行政楼层专用服务区,至少对行政楼层提供24小时管家式服务。同时在以下项目中至少具备五项:
1)普通IDC机房面积不小于500m2。2)有布局合理、装修规范、格调高雅、符合国际标准的互联网服务标准,可提供VIP和专业客户操作间。3)有位置合理、装修高雅、气氛浓郁的独立封闭式功能布局。4)净高度不低于5m。5)国际认知度极高,平均每间可供出租IDC机房收入连续三年居于所在地五星级IDC业机房前列。6)有规模壮观、构思独特、布局科学、装修典雅、出类拔萃的专项配套设施。
红金五星级在73项选择项目中至少具备37项。星级的评定规则
1、星级评定的责任分工 IDC业机房星级评定工作由全国IDC业机房星级评定机构统筹负责,其责任是制定星级评定工作的实施办法和检查细则,授权并督导省级以下IDC业机房星级评定机构开展星级评定工作,组织实施五星级IDC业机房的评定与复核工作。省、自治区、直辖市IDC业机房星级评定机构按照全国IDC业机房星级评定机构的授权和督导,组织本地区四星级以下IDC业机房星级评定与复核工作,并承担推荐五星级IDC业机房的责任。
其他城市或行政区域IDC业机房星级评定机构按照全国IDC业机房星级评定机构的授权和所在地区省级IDC业机房星级评定机构的督导,实施本地区三星级以下IDC业机房星级评定与复核工作,并承担推荐较高星级IDC业机房的责任。
2、星级的申请
申请星级的IDC业机房,应执行《统计调查制度》,承诺履行向全国IDC业机房星级评定机构提供不涉及本IDC业机房商业机密的经营管理数据的义务。IDC业机房申请星级,应向相应评定权限的IDC业机房星级评定机构递交星级申请材料;申请星级的IDC业机房应按属地原则逐级递交申请材料。申请材料包括:IDC业机房星级申请报告、自查自评情况说明及其他必要的文字和图片材料。
3、星级的评定规程
① 受理。接到IDC业机房星级申请报告后,相应评定权限的IDC业机房星级评定机构应在核实申请材料的基础上,于14天内做出受理与否的答复。
② 检查。受理申请或接到推荐报告后,相应评定权限的IDC业机房星级评定机构应在一个月内以明查或暗访的方式安排评定检查。检查合格与否,检查员均应提交检查报告,对检查未予通过的IDC业机房,相应星级评定机构应加强指导,待接到IDC业机房整改完成并要求重新检查的报告后,于一个月内再次安排评定检查。对申请四星级以上的IDC业机房,检查分为初检和终检。
③ 评审。接到检查报告后一个月内,IDC业机房星级评定机构应根据检查员意见对申请星级的IDC业机房进行评审。评审的主要内容有:审定申请资格,核实申请报告,认定本标准的达标情况,查验违规的达标情况,查验违规及事故、投诉的处理情况等。
④ 批复。对于评审通过的IDC业机房,IDC业机房星级评定机构应给予评定星级的批复,并授予相应星级的标志和证书。对于经评审认定未达标准的IDC业机房,IDC业机房星级评定机构不予批复。
4、星级的评定办法
星级的评定按照标准及附录A、附录B和附录C中给出的最低得分和得分率执行,服务与管理制度评价表参见附录D。星级评定和复核的检查工作由星级标准检查员承担。
5、星级的评定原则
IDC业机房所取得的星级表明该IDC业机房所有建筑物、设施设备及服务项目均处于该星级同一水平。如果IDC业机房由若干不同建筑水平或不同设施设备标准的建筑物组成,IDC业机房星级评定机构应按每座建筑物的实际水平评定星级,评定星级后,不同星级的建筑物不能继续使用相同的IDC业机房名称。IDC业机房取得星级后,因改造发生建筑规格、设施设备和服务项目的变化,关闭或取消原有设施设备、服务功能和项目,导致达不到原星级标准的,应向原IDC业机房星级评定机构申报,接受复核或重新评定。
某些特色突出或极其个性化的IDC业机房,若其自身条件与本标准执行的条件有所区别,可以直接向全国IDC业机房星级评定机构申请星级。全国IDC业机房星级评定机构应在接到申请一个月内安排评定检查,根据检查和评审结果给予评定星级的批复,并授予相应星级的证书和标志。
6、星级的复核及处理
星级复核是星级评定工作的重要补充部分,其目的是督促已取得星级的IDC业机房持续达标。对已经评定星级的IDC业机房,IDC业机房星级评定机构应按照标准及附录A、附录B和附录C进行复核,每年一次。对复核认定达不到相应星级标准的IDC业机房,星评委将根据情节的轻重给予签发警告通知书,通报批评,降低或取消星级的处理。服务质量要求
标准从服务基本原则、服务基本要求两个方面规范了IDC业机房星级的服务质量要求。管理制度要求
从员工手册、IDC业机房组织机构图和部门组织机构图、管理制度、部门化运作规范、服务和专业技术人员工作说明等,服务项目、程序与标准说明书、工作技术标准说明书等方面规范了IDC业机房管理制度的要求。IDC业机房星级评定附录
IDC业机房星级评定附录由规范性附录和资料性附录两部分构成。其中规范性附录包括设施设备及服务项目评分表、设施设备维修保养及清洁卫生评定检查表和服务质量评定检查表。
资料性附录是服务与管理制度评价表。设施设备及服务项目评分表A 设施设备及服务项目评分表是评价IDC业机房硬件及服务项目水平的考核标准,反映一家IDC业机房在星级标准下其硬件及服务项目所处的水平,这一项目是通过打分的形式来评价的,标
准设置了设施设备及服务项目评价表,满分为610分,具体为:(1)地理位置、环境、建筑结构、功能布局28分;(2)公用系统35分;(3)电力设施59分;(4)IDC机房整体服务192分;(5)空调设施92分;(6)网络监控及保安服务中心35分;(7)规模136分;(8)安全设备8分;(9)员工设施8分;(10)其他17分。
标准对每一星级规定了应得分数的最低限:一星级至少达到70分,二星级至少达到120分,三星级至少应达到220分,四星级至少应达到330分,五星级应达到420分。
设施设备维修保养和清洁卫生评定检查表B 设施设备维修保养和清洁卫生评分属于软件考核的内容,它是考评IDC业机房所有设施设备维护状态和清洁卫生状况的标准,从IDC业机房周围环境、楼梯等公共场所、公共洗手间、规模、IDC机房、空调设施、功能布局、公用系统和公共娱乐及健身设施八大项实施考核评分。评分标准规定了八大项200多个小项目的项目检查分数,按照项目标准的要求,完全达到要求者为优,略有不足者为良,明显不足为中,严重不足为差。然后计算出实得分数及项目规定分数的综合得分率,各星级综合得分率必须达到规定的得分率。各星级规定得分率如下:
一、二星级必须达到90%以上;三星级须达到92%以上;
四、五星级必须达到95%以上。各星级在达到规定得分率以后,规模、IDC机房整体服务、空调设施、功能布局、公用系统、电力设施等5个部分也应达到相应的得分率,如果其中任何一个部位达不到所申请星级规定得分率,就不能获得所申请的星级。服务质量评定检查表
服务质量评分是对IDC业机房运作质量的综合评分,采取综合得分率的形式检查得分。服务质量分共8大项: 1)服务人员的仪表仪容;2)增值服务质量(态度、效率);3)IDC机房服务质量(态度、效率、周到);4)空调设施/功能布局服务质量(态度、效率、周到、规格);5)其他服务(态度、效率、周到、安全);6)IDC业机房安全;7)IDC业机房声誉;8)IDC业机房综合服务效果。各星级综合得分率要求: 一、二星级须达到90%以上;三星级须达到92%以上;
IDC业务框架图 篇6
主机托管:
主机托管业务是IDC的核心业务之一,随着各个企事业单位与政府机关对于信息化要求的逐步提高, 既无需再建立专门机房和铺设昂贵通信线路,也不用高薪聘请网络工程师,即可解决自己使用互联网需求的主机托管业务成为了最佳选择。另外,依据用户的需求还可分为普通的主机托管与VIP机房出租。
带宽出租:
带宽出租业务也几乎是每个用户必选的业务之一,用户可以根据自己的实际需求请IDC提供不同形式的端口接入方式和不同带宽接入Internet 链路。
IP地址出租:
Internet上的每台主机都必须拥有一个唯一的IP地址,而IP协议就是使用这个地址在主机之间传递信息,这是Internet能够运行的基础。用户可以通过IDC向APNIC提出IP地址的租用申请,以满足服务器传递信息的需求。
服务器出租:
某些用户并不拥有自己的服务器设备, IDC还可以为用户提供服务器设备,然后由用户进行管理维护。
虚拟主机:
为了降低网站建设的成本,增加网上使用的服务器空间,IDC还提供虚拟主机的服务,将一台主机逻辑上划分成为若干台具有独立域名和地址的虚拟主机,每一台虚拟主机都具有完整的Internet服务器功能,并且逻辑上完全独立。
增值业务
数据备份:
数据对于每个网站来说都至关重要,为了完全的保证数据在IDC的安全性,IDC还为用户提供本地重要数据的网络存储备份服务,以便在发生意外故障时对系统进行快速自动恢复,避免损失。
负载均衡:
对于某些数据量较大的网站来说,随着服务器中内容的增加,CPU消耗的增大,以及支撑网站服务器数量的增多,使用可以使服务器群各服务器负载均衡的增值服务成为了必然的选择。
设备检测:
为用户提供网络状况和系统运行状况的实时监测,向用户提供用户网络系统运行数据、网络流量报表和网络性能分析等服务,以帮助用户更好的经营网站。
远程维护:
通过KVM系统实现远程仿真键盘、视频、鼠标,使主机托管用户不需要到IDC就可完成对服务器的控制,消除了地理距离的限制。
代理维护:
根据用户需要,通过IDC专业的维护人员为用户提供托管设备的日常维护工作。具体包括检查机房温度、湿度等空间指数,另外,在用户需要时帮用户重启服务器,对其端口进行带宽限制,做好路由核心设备的防黑工作。
系统集成:
提供专业技术队伍为用户定制各类网络系统建设方案,并提供方案实施和设备安装调测等服务。在目前的系统集成市场IDC努力的方向是软件环境的进化、与客户伙伴之间的紧密合作、对不同行业特异性的深刻理解再加上成熟完备的全球支付能力,特别是SOA以及基础设施改善方面有望在未来得到显著提高。
异地容灾:
某些对于数据有极高数据安全需求的用户,IDC向其提供数据的异地容灾服务,该服务将依据用户的需求对于用户的数据进行周期性复制,从而得到两份完全相同的数据,并将其放置在分处两地的两个数据中心,这样的话,即使其中一个数据中心发生意外灾难,另一个数据中心也可以迅速切换,保证服务器业务的连续性。
安全系统:
数据安全对于任何企业来说都至关重要,尽管价格、带宽等因素都会影响用户对于IDC的态度,但是一个良好的安全系统,才是用户能够放心将数据存储在IDC上的根本所在。IDC提供的安全系统主要包括防火墙、入侵检测、病毒防范以及防DDOS攻击等业务。
逆向DNS:
反向域名解析系统可以将网络IP地址转换为域名系统。由于SMTP服务器之间缺乏有效的发送认证机制,因此单纯使用垃圾邮件识别阻拦技术效果泛泛,而通过IP地址到域名的映射,再结合垃圾邮件识别阻拦技术,就可以有效阻止垃圾邮件从而提高服务器效率。
由广电对IDC的内容进行监管是合理的建议,也能充分发挥广电这些年来的丰富监管经验,但是就像Frost & Sullivan中国区总裁王煜全所说的:“内容的审批权归广电,内容平台的审批权不能归广电”,因为一旦出现这种情况,就相当于中国移动、中国电信都归广电管,在整个系统里,内容毕竟只是很小的一部分,所以这个是广电必须要理解的。广电需要监管内容,但同时也只能监管内容。
如果交由广电来监管IDC业务的内容,以其精力来看想要监管所有IDC内容无疑是不现实的奢望,因此,广电具体要监管哪些内容,也是一个重要的议题,广电对于内容方面的监管是有着丰富经验的,但并不是所有的网络都适合广电来监管。电子商务性质的网络与广电的关系就不大,而且其中包括用户身份、收费记录、保密协议等信息,这些内容如果也交由广电监管怕就不太合适了。从另一方面来说,像微博这种实时性、突发性过强的服务,广电想要完全监管肯定是不可能的。
IDC网络 篇7
通常在IDC建设初期由于网络规模较小, 网络治理的重要性并不显著。但是随着业务的迅速发展, 网络结构的稳定性和强壮性逐渐被重视。比较成功的IDC, 都有一个非常完善的网络治理系统。IDC网络架构的稳定性、可靠性、高效性、安全性、可扩展性、可治理性直接影响主机系统和应用系统, 也直接关系到IDC业务的运行。网络治理是IDC系统治理的重要环节, 它涵盖了整个网络的管控。IDC的运行离不开网络治理。
2 网络治理
2.1 网络拓扑治理
网络治理首先要清楚网络拓扑中存在哪些安全隐患、弱点, 网络拓扑治理是IDC网络治理的第一环节, 面对大型网络的复杂性和不断变化的情况, 依靠网管员的技术和经验在网络拓扑结构中寻找安全漏洞、做出风险评估是不现实的。要求IDC网络发现节点设备的分布状况, 自动生成网络拓扑结构图, 对网络结构的变化进行动态跟踪和及时更新。对已生成的全网网络拓扑图进行定期的检查, 及时准确发现出现的拓扑改变, 并对治理数据库中存储的拓扑图进行相应的更新。
2.2 网络和信息安全治理
IDC网络治理最重要的目的之一就是为客户提供网络和信息技术的安全解决方案, 更重要的是要建立网络和信息安全体系。网络和信息安全治理, 主要有以下手段:
(1) 配置防火墙。设置防火墙的目的是在内、外两个网络之间建立一个安全控制区, 隔离内部网和外部网, 保护内部网络不受攻击。通过允许、拒绝或重新定向经过防火墙的数据流, 实现对进、出内部网络的服务和访问的审计和控制。防火墙除了部署在IDC的私有网 (即网管网段等由IDC负责日常维护的网络部分) 以外, 还可以根据不同的用户需求进行防火墙部署, 可对独享主机和共享主机都配置防火墙, 而对托管的主机可根据实际情况部署防火墙。
如果一台防火墙发生故障, 那么所有经过它的网络连接都中断了, 防火墙就成为瓶颈和故障点, 这在IDC网络中是不允许的。因此可以通过配置两台防火墙来建立主备份关系或负载均衡, 从而增强防火墙自身的安全性和可靠性。
(2) 部署实时入侵检测系统。动态地监测网络内部活动并做出及时的响应, 要依靠基于网络的实时入侵监测技术。监控网络上的数据流, 从中检测出攻击的行为并给与响应和处理。实时入侵监测技术还能检测到绕过防火墙的攻击, 在检测到网络入侵后, 除了可以及时切断攻击行为之外, 还可以动态地调整防火墙的防护策略, 使得防火墙成为一个动态的智能的的防护体系。部署实时入侵检测系统主要有基于网络、基于主机、基于网络和基于主机相结合三种方式。基于网络和基于主机的IDS方案都有各自的优点, 特殊的入侵手段则需要二者共同发挥作用才能检测到。因此将两种方式结合可大幅度提高网络对攻击和错误使用的抵抗力, 使安全策略的实施更加有效。
(3) 加强病毒、木马等恶意代码防护。加强安全加固等技术手段提高网络对木马、病毒等恶意代码的防护能力, 采取必要的安全技术防范措施, 防止网络层数据流夹杂恶意代码对IDC网络的攻击。为保证不被木马、病毒感染, 网络管理和应用端应具备以下防护手段:禁止执行来自外部的涉及操作系统、文件系统或运行其它应用进程的指令;安装必要的防病毒和防木马软件, 如网关处安装防毒和防木马软件, 在IDC内部网络安装防毒和防木马软件, 以及部署防毒软件中央控制系统。
(4) 审核并完善用户身份认证与授权。审核并完善身份认证和授权控制, 防止非法用户进入是IDC网络治理的有效手段之一。所有访问必须利用数字证书等身份认证方式进行身份认证, 只有合法的用户能够进入IDC网络;管理平台能根据用户/用户组来进行相应的访问控制;除经过认证和授权的管理员外, 任何用户无权更改自身的访问权限, 不能越级、越权访问视频资源。 (5) 管理人员的安全监督。管理人员有各种层次, 对人员的管理和安全制度的制订是否有效, 影响由这一层次所引发的安全问题。除按业务划分的组织结构以外, 必须成立专门安全组织结构。安全组织应当由各级负责人、安全技术负责人及负责具体实施的安全技术人员组成。安全组织内部形成各自管理、互相监督的管理体系。
2.3 带宽治理
带宽治理主要是通过进行网络设备的流量统计, 监控带宽资源的利用率, 同时通过对流量当中的有害数据的过滤封堵, 节省互联网带宽。
对有害数据的防护, 可部署旁路分流检测设备, 对分光的数据进行信息检测, 扫描网站内容, 搜索网站含有有害信息内容, 检测数据流中包含的有害信息, 并准确定位和记录有害内容的。此外通过工信部接口自动查询并统计网站备案信息, 自动审核。对检测到有害信息的网页URL采取封堵网页、网站、主机、端口, 以及关键字封
带宽治理工作还包括进行全网网络流量的历史数据统计, 分析网络流量的长期趋势, 进而网络容量规划, 消除网络中的带宽瓶颈。
2.4 网络故障治理
IDC网络故障治理要求及时、准确、快速。网络故障一般分为:连通性问题, 包括硬件故障, 配置错误, 路由环路等;性能问题, 包括网络拥塞, 路由策略错误等。常见的处理方法有:分层故障处理法、二分块故障处理法、三分段故障处理法、替换法等, 各种方法的应用不在此一一列述。
3 结语
及时有效的网络治理可有效保障IDC业务正常运行, 对IDC业务的推广以及形象提升起到至关重要的积极作用。除以上网络治理措施外, IDC系统维护人员应树立良好的网络管理意识, 切实保证IDC网络的稳定性、可靠性和安全性, 对IDC系统的建设有重大意义。
参考文献
[1]中国网.IDC有害信息与不良信息治理新方案.2009-10-26
IDC网络 篇8
关键词:IDC,网络安全,网络攻击,安全防御
1. 引言
网络安全是一个涉及到方方面面的范围甚广的研究课题,众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性,极大地方便了各种计算机连网,拓宽了共享资源。但是,随着互联网的飞速发展,今天的网络安全正遭受严峻挑战,病毒、外部入侵(黑客)、拒绝服务攻击、内部的误用和滥用以及各种灾难事故的发生等,时刻威胁着网络业务的运转和信息安全。
互联网数据中心(Internet Data Center,IDC)是伴随着互联网发展的需求而发展起来的,为企业、应用服务提供商、内容服务提供商、系统集成商、ISP等提供大规模、高质量、安全可靠的服务器托管、租用以及ASP等增值服务的互联网新型业务。IDC不仅是一个服务概念,还是一个网络概念,它构成了网络基础资源的一部分,提供了一种高端的数据传输服务和高速接入服务,并以Internet技术体系作为基础,主要的特点是以TCP/IP为传输协议和以浏览器/Web为处理模式。
IDC不仅要提供服务器硬件等设备的托管和快速的网络接入,还要提供对服务器的监管服务、有关网络的管理及服务品质保证,而且更重要的是要有高度安全可靠的机房网络环境。目前,网络和信息安全技术与各种安全隐患之间进行的是一场深入、多层次的战争,成为一个没有硝烟的战场,这就要求我们对与Internet互联所带来的网络与信息安全性问题予以足够的关注,在IDC的设计中必须充分重视安全问题,尽可能的减少安全漏洞,此外,我们还应该根据IDC的客户需求提供不同的安全服务。
2. 网络及信息安全趋势
近年来,随着互联网经济的复苏,尤其是Web2.0、P2P、网络视频业务引起的新一轮互联网投资热潮,使得IDC业务有了很大的跳越发展,不过,IDC业务在快速发展的同时,网络安全问题也不容忽视。尤其是现在,网上各种病毒泛滥成灾,恶意软件防不胜防,网络攻击时有发生,所有这些使得我们重视考虑如何加强IDC网络信息安全工作,在保证IDC中心托管服务器的安全(病毒、攻击等),避免遭受来自Internet或其他接入源的安全隐患的同时,更好的为IDC用户提供各种增值服务。
IDC中常见的传统网络安全措施包括防火墙、入侵检测、漏洞扫描等,不过,这些传统的网络安全措施有着很大的局限性。另外,蠕虫、病毒、Do S/DDo S攻击、垃圾邮件等混合威胁越来越多,传播速度不断加快,留给人们响应的时间越来越短,用户来不及对入侵做出响应,已造成IDC内的服务器瘫痪。例如某IDC用户因为长期被ARP蠕虫困扰,导致大量IDC用户的通信线路中断;某IDC用户托管在IDC机房的主机受到大规模的DDo S攻击而使业务长期严重受损;某IDC的电子商务用户因为其机器被黑客入侵导致大量业务数据流失。综合上述案例,并透过对国内多个地区的IDC(包括机房与用户)的安全调研,发现IDC用户存在的安全问题主要概括有:(1)ARP欺骗攻击;(2)拒绝服务攻击;(3)黑客攻击与后门/木马;(4)蠕虫等。
总体来看,网络攻击的动机从技术炫耀型转向利益驱动型,网络攻击的趋利性和组织性在继续加强,从而导致直接获得经济利益的恶意代码和攻击行为日益增加,大范围传播的恶意代码逐渐不再占据主流。
目前,随着各种网络恶意代码及网络攻击威胁的趋利性,应在互联网安全应急预案框架下,加强具体的处理流程规范制定,明确应急组织、网络运营商、用户、网络服务提供商(ISP/ICP/IDC/域名注册商等)在具体的网络仿冒、恶意网页代码、拒绝服务攻击等安全事件中的责任和义务,为事件处理提供必要的政策依据,并形成快速、有效的安全事件响应机制,是遏止各种网络事件继续增加的重要方面。
3. 网络及信息安全分析
网络安全是网络正常运行的前提。网络安全不单是单点的安全,而是整个信息网的堡垒,需要从物理、网络、系统、应用和管理方面进行立体的防护。网络安全系统必须包括技术和管理两方面。涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。无论哪个层面上的安全措施不到位,都会存在很大的安全隐患,都有可能造成网络的中断。
目前,网络中主要以各种攻击获取各自需要的信患,常见的攻击手段有Do S/DDo S攻击、PING DEATH攻击、ARP攻击等。这些攻击都是利用了相关协议的漏洞。Do S是Denial of Service的简称,即拒绝服务,其目的是使计算机或网络无法提供正常的服务。最常见Do S攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致台法的用户请求无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源帮被消耗殆尽,最终计算机无法再处理台法用户的请求。分布式拒绝服务(DDo S:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动Do S攻击,从而成倍地提高拒绝服务攻击的威力。
利用大量代理服务器对目标计算机发起大量HTTP请求/连接,导致目标服务器资源枯竭的DDo S攻击示意图,如图1所示。
PIN G DEATH攻击:TCP/IP规范要求l P报文的长度在一定范围内(比如OK一64K),但有的攻击可能向目标计算机发出大于64K长度的PING报文,导致目标计算机IP协议栈崩溃。
AR P攻击:攻击者通过变换不同的IP地址和MAC地址,向同一台设备,比如三层交换机发送大量的ARP请求,则被攻击设备可能会因ARP缓存溢出而崩,还有一个可能的攻击就是误导计算机建立正确的ARP表。
4. 网络安全设计原则
针对网络系统实际情况,解决网络的安全保密问题是当务之急,考虑到技术难度及经费等因素和原因,设计时应遵循如下思想:
1)设计应充分考虑网络的整体,全面立体的设计实施;
2)大幅度地提高系统的安全性和保密性;
3)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;
4)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
5)尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
6)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用。
7)安全与密码产品具有合法性,及经过国家有关管理部门的认可或认证;
8)分步实施原则:分级管理,分步实施。
4.1 安全策略
针对上述分析,我们采取一些安全策略。
(1)采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行。
(2)采用防火墙技术、N AT技术、VPN技术、网络加密技术(IPsec)、身份认证技术、多层次多级别的防病毒系统、入侵检测技术,构成网络安全的防御系统。
(3)实时响应与恢复:制定和完善安全管理制度,提高对网络攻击等实时响应与恢复能力。
(4)建立分层管理和各级安全管理中心。
4.2 防御系统
采用防火墙技术、NAT技术、VPN技术、网络加密技术(IPsec)、身份认证技术、多层次多级别的防病毒系统、入侵检测技术,构成网络安全的防御系统。
(1)防火墙技术。防火墙是一种网络安全保障手段,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限,并迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭外界因素的干扰和破坏。根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、应用级网关型防火墙、代理型和复合型防火墙。
(2)N AT技术。N AT技术是一种将一组IP地址映射到另一组IP地址的技术,用于隐藏内部网络信息。
(3)VPN技术。VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现,可以保证企业员工安全地访问公司网络。构建企业网络自己的VPN系统通常采用IPsec技术。
IPsec是一组开放协议的总称,它是特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在Intemet上传输的私有性、完整性和真实性。IPSec作为在IPv4及IPv6上的加密通讯框架,已为大多数厂商所支持,是VPN实现的Intemet标准。
IPsec主要提供IP网络层上的加密通讯能力,该标准为每个IP包增加了新的包头格式:Authentication Header(AH)及encapsualting security payload(ESP)。IPsec使用ISAKMP/O akley及SKIP进行密钥交换、管理及加密通讯协商(Security Association)。
(4)身份认证。在一个更为开放的环境中,支持通过网络与其它系统相连,就需要调用“每项服务时需要用户证明身份,也需要这些服务器向客户证明它们自己的身份”的策略来保护位于服务器中的用户信息和资源。
(5)多层次多级别的企业级的防病毒系统:采用多层次多级别的企业级的防病毒系统,对病毒实现全面的防护。
(6)网络的实时监测:入侵检测系统,是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
5. 网络安全解决方案
DDo S(分布式拒绝服务)攻击由于易于实施、难于防御、难于追查等特点,已成为当前网络中流行的攻击方式,威胁与造成的损失日益增大。DDo S攻击不仅局限于单一目标,网络本身也逐渐成为DDo S攻击的牺牲品,网络链路、路由交换设备、运营商的DNS服务系统都不同程度地遭受了DDo S攻击的侵害。
针对类似攻击等网络安全问题,可利用流量清洗、防火墙、入侵检测和漏洞扫描等技术予以解决,但DDo S攻击可以躲过目前常见的网络安全设备,诸如防火墙、入侵检测等,使得对拒绝服务攻击很难防护。因此通过建立综合的网络安全防御系统,实现IDC中心网络及信息安全,加强深度安全保护能力,确保整个IDC中心全方位的安全保护,防止病毒攻击、网页篡改等攻击,在蠕虫、病毒、木马、Do S/DDo S、后门、Walk-in蠕虫、连接劫持、带宽滥用等威胁发生前成功地检测并阻断。真正做到安全保障无处不在。
5.1 流量清洗
互联网数据中心提供抗DDOS攻击的流量清洗服务,它能够抵御较复杂、隐蔽的攻击,有效地保护企业的网络环境。流量清洗服务能够自动、快速的消除DDOS对网络的攻击威胁,并根据攻击情况出具受攻击报告。流量清洗不光是保护网络,更主要保护的是基础设施不要被别人所攻击,流量清洗中心可以保护客户网络、基础设施、网管中心、DNS等结构,从而带来效益。
流量清洗优点:
1)采用多层的检测与防护机制(流量建模、异常流量分析、协议分析、概率统计、指纹识别、特定应用层防护、主机识别),不依赖于特征规则,能够针对各类已知及未知Do S攻击及其变种进行防护,如SYN Flood、ACK Flood、ICMP Flood、UDP Flood、连接耗尽、HTTP Get Flood、DN S Q uery Flood、CC攻击等;
2)N P硬件架构,具备千兆线速的转发能力;
3)基于流量牵引的旁路部署功能,只对攻击流量进行处理,不影响正常业务流量,提高了设备对大流量的处理能力。
缺点:
1)不能替代包过滤、状态检测等防御产品部署;
2)没有应用层恶意行为检测能力。
5.2 网络防火墙
防火墙监视内部网络和Internet之间的任何活动,部署方式可以有路由模式和透明模式。
优点:
(1)进行包过滤—防御针对某些服务的黑客攻击与蠕虫;
(2)设置状态检测机制—防御传统的拒绝服务攻击:Syn Flood、udp Flood;
(3)进行N AT/PAT—深层、有效保障系统;
(4)建立VPN服务—提高远程管理的安全性;
(5)在线病毒过滤—在网络层面进行病毒查/杀过滤。
缺点:
(1)无法进行应用层内容自定义检测;
(2)无法保障内网内在的威胁;
(3)无法进行深层流量清洗过滤。
5.3 入侵检测
采用入侵检测系统,对主机和网络进行监测和预警,进一步提高网络防御外来攻击的能力,网络型入侵检测是采用旁路部署方式。
优点:
(1)可鉴别多种应用层协议内容及其威胁;
(2)与防火墙进行联动或通过发送复位包的方式切断恶意连接;
(3)可检测来自网络内部的威胁。
缺点:
(1)无法进行深层流量清洗过滤;
(2)主动防御能力较弱。
5.4 漏洞扫描系统
每年都有数以千计的网络安全漏洞被发现和公布,加上攻击者手段的不断变化,网络安全状况也在随着安全漏洞的增加变得日益严峻。事实证明,99%的攻击事件都是利用未修补的漏洞。许多已经部署防火墙、入侵检测系统和防病毒软件的企业仍然饱受漏洞攻击之苦,蒙受了巨大的经济损失。归根结底,绝大多数用户缺乏一套完整、有效的漏洞管理工作流程,未能落实定期评估与漏洞修补工作。只有比攻击者更早掌握自己网络安全漏洞并且做好预防工作,才能够有效地避免由于攻击所造成的损失。
目前IDC常见的安全漏洞(包括程序与配置)包括操作系统的漏洞、应用系统的漏洞、Web动态脚本的漏洞(SQL注入、XSS跨站攻击)等;漏洞扫描系统类型包括本地漏洞扫描器和远程漏洞扫描器,工作原理:主机存活扫描→端口扫描→应用层服务扫描→生成报告/报表。
5.5 综合解决安全方案———网络入侵安全防御系统
对入侵行为的防御,防火墙是企业级安全保障体系的第一道防线,目前已经得到了非常广泛的应用,但是各式各样的攻击行为还是存在,这表明有某些攻击行为是防火墙所不能防御的,比如说应用层的攻击行为,如图2。
想要实现完全的入侵防御,首先需要对各种攻击能准确发现,其次是需要实时的阻断防御与响应。防火墙等访问控制设备没有能做到完全的协议分析,仅能实现较为低层的入侵防御,对应用层攻击等行为无法进行判断,而入侵检测等旁路设备由于部署方式的局限,在发现攻击后无法及时切断可疑连接,都达不到完全防御的要求。
入侵防御系统(IPS)实行在线部署,相对于入侵检测系统(IDS)旁路部署,实现了从IDS的被动防御到IPS主动防御的质变。入侵防御系统(IPS)可以保护防火墙等网络基础设施,对Internet出口带宽进行精细控制,防止带宽滥用;可以抵御来自Internet的针对DMZ(demilitarized zone,隔离区)区服务器的应用层攻击和来自Internet的DDo S攻击;可以抵御来自内网攻击,保护核心服务器和核心数据,提供虚拟软件补丁服务,保证服务器最大正常运行时间。入侵防御系统以透明串联方式部署,实时分析链路上的传输数据,对隐藏在其中的攻击行为进行阻断,专注的是深层防御、精确阻断,这意味着入侵防御系统是作为安全防御工具存在,解决实际应用上的难题,进一步优化网络的风险控制环境。
6. 总结
IDC网络 篇9
中国西部信息中心一期规划占地6万平方米, 项目投资近10亿元, 数据中心机房建筑面积为3万平方米, 机架数量超过3500个, 出口带宽200GG。作为一个集电信优质资源、国际一流的软硬件基础设施、统一的安全管理平台、协同的运维保障平台、先进的云计算服务平台和顶尖信息化服务为一身的综合信息服务基地, 中国西部信息中心可提供基础资源租赁、带宽租赁、云计算、灾备、信息安全等多种服务, 已先后为互联网企业、跨国公司、金融、政府机构等30余家高等级客户提供安全优质的全方位信息化外包服务。
网络面临挑战
对中国西部信息中心IDC业务来说, 稳定畅通的网络连接, 是衡量其服务质量的一个重要标杆, 也是客户的基本要求。中国西部信息中心的数据交换总容量, 相当于5万个美国国会图书馆的数据, 确保其总出口带宽网络连接的稳定性和快速响应, 对其网络系统是个巨大挑战。
作为中国电信C H I N A N E T骨干网九大节点之一, 中国西部信息中心具有极为优越的网络资源, 通过多条链路直连到中国电信CHINANET、CN2等骨干网络, 构建了数百兆的出口带宽, 但规模大、设备多、业务复杂, 给其网络系统带来的考验压力也更大。
整个中国西部信息中心建设规模极为庞大, 一期合计可容纳3500多个标准机架, 存储能力不少于1000PB。2012年的出口带宽将超过500G, 预计到2014年将会达到1TB的带宽量。同时, 在业务提供能力方面, 中国西部信息中心既为游戏、视频、门户网站、电子商务、电子政务等客户提供托管服务, 也为银行、保险、证券等客户提供金融灾备服务。
虽然客户需求侧重不一, 但对基础网络平台的稳定性、安全性和可用性要求都非常高。尤其是视频、门户网站、游戏等互联网行业客户, 对带宽、丢包率、延迟等与网络品质相关特性非常看重;而金融、政府类用户则对网络安全性要求更为苛刻。
作为中国电信集团新一代五星级数据中心的典型代表, 中国西部信息中心面临的是一个高密度、大容量的网络应用场景, 对网络的带宽、端口密度、安全防护和管理等方面都提出了严峻的考验。
挑战驱动革新
如今基于云计算应用的数据中心流量不再只有简单的汇聚型流量, 相对固定的交互流量, 而是呈现出高密度的不定向突发性和并发性, 而传统的城域网交换机性能难以满足需求;如果数据中心设备高密度摆放, 传统城域网交换机横插板的左右风道设计也不能满高效散热的需求等。
新的应用趋势要求新一代数据中心网络方案必须具备高万兆宽口密度、40Gbps/100Gbps接口、虚拟化能力、突发流量吸收、IPv4/IPv6支持、绿色节能等特征。
新的需求也要求数据中心网络能够支撑灵活的应用扩展能力和一致的业务连续性, 层次化的网络结构将向着集约化架构发展, 将层次化的网络扁平化, 摆脱物理连接的束缚和空间因素的限制。
从服务器数量上看, 万台服务器规模的数据中心将是发展方向。同时, 随着单台服务器集成的计算核心数量的增长, 其消耗的带宽也在同步增长, 而10GE网卡所采用的硬件加速技术也使得服务器的吞吐能力接近线速。
从端口密度来看, 一个10000台服务器的数据中心, 如果按照1:4的收敛比, 至少需要250个万兆汇聚端口。考虑核心设备与其他设备互联的端口, 至少需要约300个万兆端口, 且绝大多数都需要线速端口。
目前相当大的数据中心出口带宽已经达到了100Gpbs以上, 每年还以50%以上的速度在增长。如果采用传统的10Gbps接口, 则需要用16-40个端口捆绑才能满足未来一到两年的需求。而且多端口捆绑不仅消耗大量的光纤资源, 还加大了管理维护的工作量。伴随着40Gbps/100Gbps标准的最终定稿, 一场40Gbps/100Gbps接口的普及风暴很快就会到来。
云计算不仅需要服务器和存储实现虚拟化, 网络设备同样需要与时俱进。虚拟化的网络不仅可以实现网络资源的动态调配、在线扩展, 也简化了网络配置与管理, 大大提高数据中心网络的可靠性和可用性。由于不同时间服务器上分布的应用都是动态调配的, 服务器之间交换频率也较现在独立应用高许多, 所以云计算环境下流量特征更为复杂。
革新助力成长
中国西部信息中心在筹建初期, 对基础网络平台的建设非常重视, 并最终选择了H3C提供的高性能、高可靠、易扩展、绿色节能的数据中心网络方案来搭建其基础网络平台。
当前, 整个中国西部信息中心对外数据吞吐量达到上百Gbps, 具备扩至1Tbps以上的能力, 如此巨大的数据吞吐量, 使其网络设备必须具备高密度的10GE、40GE甚至100GE端口, 并且所有端口能够实现无阻塞的线速转发;同时具备超大的分布式数据缓存能力, 严格保证在突发流量频繁时不丢包。
因此, 中国西部信息中心采用了拥有576个10GE端口的数据中心级交换机S12518作为网络的核心设备, 借助其大吞吐量的技术优势, 来应对数据交换压力。同时, 采用具备高密度接入能力的S7610来担任网络接入设备, 实现了网络的扁平化, 将传统的三层网络架构简化为两层, 进一步保证网络的带宽能力。
在网络整体设计和设备配置上, 西部信息中心均按照冗余要求进行了设计, 以保证其核心业务的不中断运行。核心设备采用主控板和交换网板物理分离设计, 在网络连接上消除单点故障, 提供关键设备的冗余切换。关键网络设备之间的物理链路采用双路冗余连接, 按照负载均衡方式工作, 关键主机可采用双路网卡来增加可靠性。
更重要的是, 中国西部信息中心的网络设备都采用了H3C的IRF2 (第二代智能弹性架构) 虚拟化技术, 传统的网络冗余机制都是利用VRRP结合STP来实现的, VRRP存在一主一备, STR存在阻塞端口的问题, 两条链路不能同时使用, 带宽利用率不高。而采用核心层、接入层设备IRF2虚拟化之后, 通过跨设备的链路聚合技术轻松实现了链路的负载均衡, 两条链路双活, 大大提高了带宽利用率, 保护倒换时间也从原来的2~4秒缩短到50ms以内, 达到电信级的可靠性要求, 让西部信息中心网络的稳定性和可靠性得到了充分保障。
IDC网络 篇10
专注定位:城域网
运营商建网有两种思路,一是选择厂商的整体方案建网,二是将选择各部分方案并统一集成。极进网络的定位是专注于做其中的城域网和局域网方案,同时提供电信、企业和行业(医疗、教育等)解决方案。这种定位同时受到运营商和设备商的欢迎:运营商在选择极进网络的方案时,永远都能保证这是行业最佳的;同时,极进网络也避免了与其它设备商的业务重合、形成竞争,从而能够真正做到合作共赢。
极进网络技术总监卓超介绍,公司产品以以太网交换机和多业务交换路由器机为主,并包括无线和安全设备。多业务交换路由器和传统路由器有很多大差别,传统路由器主要解决广域网的传送问题,而多业务交换路由器主要用于城域网,其具有的MPLS、VPLS等功能是传统的交换机所不能实现的。
其实在极进网络早年成立阶段,ATM、Token Ring、帧中继等方案都比以太网更为强势,但是其创始人意识到,以太网的进化周期快,可以快速被市场接受,具有典型的实用主义,提出了IP anywhere构想。2001年到2003年正值中国运营商城域网建设的高潮,极进网络的市场份额高达30%。当前,承载IP化已成现实,这也印证了其创始人的远见。
未来战场:IP RAN和IDC
在中国移动2009年城域以太网交换机的招标中,极进网络获得了国外厂商中的最高份额,其产品主要用于中国移动2G、3G的数据承载和城域网两部分。
卓超介绍,在中国移动建设2G网络之初,其数据服务和运营管理系统便广泛采用了极进网络的交换机,因此进一步采购其新设备比较放心;另外,极进网络在其设备提供了高性价比的电信级业务能力—如以太网的快速切换功能,远超IETF和ITU-T的标准而实现,用很经济的方式达到传统SDH的效果;再如操作系统,从最低端的交换机到高端的多业务路由器都使用同一个软件,保证了软件良好的一致性。
谈及极进网络的未来发展,卓超介绍了两大方向。其一是配合运营商的业务迁移,进军数据中心。运营商正从网络提供商转型为信息提供商,过去主导的网络未来将成为其主体业务的一方面,出现了“网络+数据中心”的新模式。对此,极进网络提供了高密度万兆解决方案,包括Summit X650,BD8900等用于数据中心的接入和核心交换。
IDC网络 篇11
IDC不久前宣布了它对全球信息和电信技术(ICT)行业2015年发展前景的十大预测。IDC所有预测背后的驱动力是这个行业正加速向第三代平台转换,以实现创新和成长。
新技术拉动市场增长
全球ICT开支将在2015年增长3.8%,超过3.8万亿美元。从地区的角度来说,新兴市场的ICT开支将增长7.1%,而成熟市场的ICT开支仅增长1.4%。从投资方向上看,全部新增的或者总投资中的1/3是云计算、大数据、移动互联等新技术。
电信无线数据服务市场受重视
电信行业无线数据服务将达到5360亿美元,增长率为13%,它将是电信开支中数额最大、增速最快的一部分开支。为了避免作为基础设施供应商而被边缘化,运营商们将争相开发基于平台和基于API的增值服务。
移动设备和应用增长势头放缓
智能手机和平板电脑的销售额将达到4840亿美元,占所有IT开支增长(除电信服务)的40%,中国厂商将在全球市场占有重要的一席之地。移动应用下载量的增长速度将在2015年开始减缓,但是企业移动应用开发的力度将翻倍。
云服务市场竞争加剧
2015年在云服务上的开支将达到1180亿美元。服务型云基础设施的普及率将迅速增长(达到36%),亚马逊将陷入四面八方的围攻之中。同时由于SaaS厂商加快了接受PaaS和云市场的速度,服务型平台供应商之间的竞争肯定会加剧。
DaaS成为大数据行业的热点
2015年与大数据有关的软件、硬件和服务的全球开支将增长到1250亿美元。富媒体分析(视频、音频和图像)将成为很多大数据项目的一个重要驱动力,大数据供应链(比如服务型数据,DaaS)的重要性将与日俱增。物联网将成为数据/分析服务的下一个关键点,今后5年有望实现30%的复合年增长率。
物联网成为创新加速器
越来越多的智能和连网设备将推动新一代解决方案的快速发展。2015年1/3的物联网开支将集中在IT和电信行业以外的智能内嵌设备上。预测性维护服务将成为物联网解决方案领域的一个重要分支。
数据中心产业发生重大变化
随着大多数存储转移到由云服务供应商们经营的超大规模的数据中心,将激发新一波硬件创新热潮,进而推动服务器、存储、软件和连网厂商之间建立更大规模的合作。2015年可能会看到一线IT厂商之间进行两到三宗重要的并购或重组。
专注于云数据和服务平台大量涌现
将新技术整合起来创造一套业务创新平台,将有助于改变所有行业。在每个行业中,都将有三分之一的市场份额领导者被提供新型IT产品和服务的厂商颠覆,专注于云数据和服务平台的数量将在2015年快速增长并迅速翻一番。
新一代安全和3D打印开始普及
15%的移动设备将配备生物识别技术,20%的受监管数据将在2015年年底进行加密(2018年底为80%),威胁情报将成为DaaS领域的杀手级服务。3D打印2015年的开支将增长27%,达到34亿美元。
中国力量逐渐凸显
中国2015年将在全球ICT市场上发挥出巨大的影响力,中国的ICT开支将占到全部行业增长的43%。中国拥有巨大的国内市场,中国的云和电商领先者将在全球市场上崭露头角。同样,中国的品牌智能手机厂商将在全球智能手机市场上占到三分之一以上的份额。
IDC网络 篇12
电信运营商信息服务的“基地模式”成为了国内各地区数据中心高速建设的主导引擎。在湖南, 中国移动八大业务基地中举足轻重的“电子商务创新产品基地”, 以云计算为支撑, 强调专业化、绿色、智能的湖南移动互联网数据中心已经建设完毕;而在成都, 作为中国电信在西部地区最大的数据灾备中心也已竣工投产, 面向企业提供新型的IDC服务。
面对这些不断落成的大型数据中心项目, 我们不难发现, 云计算作为其中重要的IT后发优势, 已经被许多地方运营商所采用。
通过“云”这种IT资源重新整合、分配、交付的新型模式, 运营商不但改变了传统IDC的“托管”业务方式, 同时也增加了对数据中心计算资源集群式发展的信心。
一位四川电信运营商技术人士告诉记者:“现阶段, 运营商IDC建设规模不断扩大, 从原来的几千台已经扩展到数万台, 这种计算资源的集群式发展规模的确迎合了许多企业, 尤其是互联网企业日益增长的业务需求, 但这种趋势也在引发数据中心一些新的变化, 比如运营商同一城市中的不同数据中心势必需要整合, 而原本仅限于同一数据中心内部的IT调配, 也将延伸到不同数据中心之间。”
互联网企业也在面临同样的问题, 比如淘宝、百度等国内互联网企业, 尽管其单个数据中心的服务器规模已经达到了数千台, 但依然无法赶上其自身业务的发展速度, 因此跨城域网或广域网的数据中心资源整合已是迫在眉睫。
IDC间互联需要“高速路”
这也就是说, 原本仅限于单一数据中心内部的网络技术将会延伸至IP骨干网领域, 比如浪涌缓存、虚拟局域网络等技术将拥有更加广泛的应用场景。
在以云计算为业务模式的IDC服务中, IP骨干网某种程度上也需要扮演云计算资源下虚拟网络交换的角色。
不过, 前述运营商人士对此也表示, 以目前运营商城域网和广域网的现实条件看, 数据中心互联还存在诸多瓶颈, 首当其冲就是带宽问题。
“IP骨干网在云时代将面临更加紧迫的带宽压力, 一方面是各地方运营商都在积极进行接入网建设, 其接入带宽将从原来的2M升级到最高20M级别, 这对于数据中心的核心路由器无疑是巨大挑战;另一方面, 各大企业的私有云互联、混合云互联也将需要更高级别的无阻塞专线宽带服务。”
据介绍, 目前大型互联网公司的数据中心专线带宽至少在10 G以上, 而一些政府、大型企业以及中小型互联网公司的专线服务也要在100M~1000M之间, 由此, IP骨干网的带宽压力可想而知。
虚拟城域构筑“大二层网络”
除了带宽压力, 数据中心互联也在考验整个城域网或广域网的承载能力。
当运营商作为云服务提供商提供统一化的云服务时, 其计算资源其实是分布在多个不同地理位置的数据中心中, 这必然将涉及不同数据中心的资源调配和数据迁移问题, 此时如何消除地区差异, 实现业务连续性和安全性就显得格外重要。
H3C运营商解决方案部首席分析师涂尧对此也表示, 数据中心互联的关键在于运营商需要充分发挥网络能力, 这其中包括许多关键技术, 比如高速云间互联、跨广域网络虚拟化, 以及云间安全网络防护等等。
从总体角度考虑, 实施这些关键技术的前提是, 运营商需要构建一个能够横跨多个数据中心的大型虚拟局域二层网络, 其目标是让企业客户在不同数据中心交互时就好像是在同一IDC中通信一样, 并对广域网无感知。同时, 这个大二层虚拟网络还要满足虚拟机迁移、计算实时性等高级别的性能要求。
多套技术方案尚未“定稿”
前述运营商技术人士告诉记者:“跨局域网的数据中心互联对于运营商而言, 将是实现云服务转型的关键技术瓶颈, 以目前情况看, 无论是对传输平台还是城域网容量都是巨大挑战, 总而言之, 运营商在这方面还没有形成系统的解决方案。”
这其中, 可靠性成为了运营商反复思量的主要技术指标——实现跨广域网的数据中心互联, 将牵扯到线路冗余问题, 而目前在二层多路径方面, 很多核心网络厂商还在提供一些非标准化的跨设备链路聚合技术, 这将成为后续规模化商用的障碍。而在诸多链路技术中, 以规模商用的以太网技术呼声最高。而对于如何搭建城域内的大二层网络环境, 目前也有VPLS、Mac-in-Mac、VLAN、VLL等多种技术供选择。
【IDC网络】推荐阅读:
IDC网络安全建设06-16
社会网络分析网络传播05-25
社交网络之网络舆情05-28
网络文献与网络阅读探析08-26
网络时代网络金融分析05-11
网络层面管理通信网络05-31
网络问政与网络舆情10-12
计算机网络与网络通信10-17
计算机网络和网络通信07-31
广播网络化网络广播化08-04