中国移动黄璐：数据中心技术发展及安全问题探讨

由中国通信企业协会增值服务专业委员会主办，C114中国通信网与中国IDC产业联盟网承办的“2010中国数据中心网络与信息安全论坛”于7月29日在北京京都信苑饭店隆重召开。结合行业所面临的全新挑战和机遇，中国通信企业协会特此举办2101数据中心网络与信息安全论坛。希望能够汇集产业链的各方群策群力，进一步提高数据中心信息安全水平，使我国的信息安全提升到一个新的高度。C114中国通信网对本次会议作全程直播。

以下为中国移动研究院网络研究所项目经理黄璐的演讲全文，主题为“数据中心技术发展及安全问题探讨”。

黄璐：大家下午好！我是中国移动研究院的黄璐，非常感谢主办方提供这个平台能够跟大家交流，同时我也很高兴与大家分享一下中国移动在数据中心的技术引入与安全方面的思路和规划。

我这部分讲解包括三个部分，一是数据中心业务发展背景；二是数据中心技术发展规划；三是数据中心安全架构。

第一，数据中心业务发展背景

IDC业务的发展背景来看，中国的网民数量在迅速增长，截至2009年6月，最新统计中国网民已经达到4.2亿，而且中国网民使用互联网的行为也在不断的丰富，从传统的获取信息，网络通信到现在的电子商务等等，所使用的业务越来越丰富。从企业网的需求来看，目前中国的企业数量最庞大的是中小企业，但是中小企业目前信息化程度是比较初步的，具有巨大的发展潜力。

同时对于重要的行业用户来说，行业用户对于数据中心的需求也不断的进入更深的层次。因此，数据中心的发展，面对企业用户也有巨大的需求。

从市场方面来看，目前海外的数据中心市场发展比较健全，以北美为例，北美一年数据中心的输入规模是100亿美元，而且增长的非常迅速。国内的数据中心规模目前相对还比较弱，而且在收入方面与海外也还有一定差距。但是从我们本身的逐年增长来看，市场潜力也是非常巨大的。

从IDC推向市场的业务来看，目前还是以基础业务为主。对于运营商来说，在基础业务方面是具有一定优势的，包括可以提供网络带宽，包括我们可以提供的一些机房资源、硬件资源，数据中心的业务，从基础业务方面来看，对运营商来说有非常重要的意义。

技术发展与应用，一方面，云计算逐渐在数据中心应用，使得数据中心能提供低成本、多业务的形式。对运营商来说，通过建设云计算数据中心，对内可以建设低成本、高度集中的IT支撑系统，对外可以对用户提供低成本、形式多样的业务。其他的，包括企业和政府信息化的应用，包括行业融合的应用，包括移动互联网的迅猛发展，都使得数据中心成为对运营商来说具有重大意义的业务。

因此，从前面的，包括用户规模，包括市场潜力，包括技术应用发展等各方面，我们都能看到IDC业务对运营商来说是一个具有重要战略意义的建设。

第二，数据中心技术规划

可以分为三个方向：一是建设基于云计算的数据中心，主要带来成本和技术优势；二是通过引入新技术，包括CDN，包括P2P，来提高业务能力；最后是通过建设节能绿色的数据中心，降低运营成本，同时也是响应节能减排的理念。

具体看一下中国移动在几个技术的具体引入思路。云计算对于运营商来说是一个降低成本和业务创新的必然选择。其中的驱动力，包括动态部署的特性，包括低成本，包括业务创新和标准化架构的本身特征。右边这个图是预计的云计算数据中心的系统架构，其中包括虚拟化的资源，虚拟化资源又包括服务器资源，包括存储资源，还有网络资源，都以虚拟化的形式来提供资源的整合以及对外服务的形式。通过这种虚拟化的资源，我们可以提供的服务包括弹性计算，包括存储，包括资源监控等等。另外，数据中心的架构还包括远程维护、运维管理等等这些部分。

具体在数据中心的建设里面，我们会有两大关键的技术，一个是服务器的虚拟化，主要是通过将物理资源的虚拟化，来实现PCU内存、接口等等各方面资源的整合和合理的应用。另外一个是分布式的文件和对象存储系统，这个主要是以集成的分布式的方式来提供一个高效的，可以支撑虚拟化业务的系统。

CDN技术方面，主要的引入目的是为了实现数据中心“一点接入，全网服务”的目的，CDN主要将资源分布到网络距离用户最近的点，一方面可以改善用户的体验，方面可以为我的网络多内部带宽提供高效的利用，对于云运营商来说，在数据中心里面引用CDN，可以合理的规划资源分布。一方面可以相对于单点服务和全镜像的方式来说，可以由一个更高效的对于热点内容的分发。

下面这个图是一个IDC中利用CDN系统来提供Web托管应用的示意图，主要是将CDN部署到各个数据中心，通过统一的调度平台，来实现一个统一的CDN服务。

下一步，还会在IDC中引入P2P的技术。P2P的技术主要以中国移动提出的分布式业务网为平台，来提供包括各种服务的API，也包括一些软件的应用服务。通过P2P服务，它所带来的优势一方面包括合理的引导网间流量，因为现在对中国移动来说，互联互通的流量成为我们互联网发展的一个瓶颈。另一方面，也可以结合云计算的资源，虚拟化的服务，有效的整合运营商的资源，甚至是用户的资源，因为通过P2P，一部分内容是可以通过用户的存储资源提供统一的服务。因此，通过P2P的引入，可以丰富IDC的业务类型，同时提升IDC的网络业务能力。

绿色节能方面，我们的思路，一个是IDC的硬件资源合理布局，包括对通风的规划，包括对机房设计的规划。进一步使用节能的设备，引入新的节能技术，比如说高压控电技术，还有精确制冷技术等等。最后还有一些其他的节能途径，包括定制硬件，可以去掉一些不需要的功能，可以节省大量的资源。前面就是对数据中心引入一些新技术的具体内容。

最后总结一下中国移动在数据中心引入方面的规划，在云计算前期主要是以提供基础设施服务为主，后期会逐渐引入应用平台和应用软件的服务。在节能方面，前期主要通过一些实验试点，来建设节能的数据中心，后期会制定一个标准规范的节能体系，来对数据中心的节能方面进行一个规范。最后还有一些其他的新技术，前期会以CDN的引入为主，后期逐渐最后P2P技术的成熟，逐步在数据中心引入P2P的方式。

第三，数据中心安全架构

首先数据中心安全是一个层次化的，这是一个传统的数据中心的层次图，先基于这个来说明一下我们在安全方面的考虑。包括互联网接入层、汇聚层、业务接入层和运维管理层。针对不同的安全问题，不同的层次会也不同的安全策略。

对于互联网接入层来说，我们认为主要的威胁是DDoS攻击，DDoS攻击主要的问题是将带宽耗尽。针对这个问题的主要措施也比较成熟的技术，就是流量清洗，会在数据中心出口部署流量清洗。目前我们已经在骨干网的互联出口，还有省网和骨干网的出口部署了流量清洗系统，下一步随着数据中心的建设，在数据中心的出口也布局流量清洗系统。

汇聚层方面，一是访问控制，针对可信不可信的访问进行有效的隔离了防护，另一方面对入侵系统进行有效的补充，最后对网络设备，也就是承载层面的设备进行安全加固，包括严格的控制访问权限，包括对网络设备本身的开放服务进行限制。
对于业务接入层的安全，主要是针对主机资源。一方面进行病毒防护，建立集中的病毒库、病毒引擎，周期性的来对主机进行杀毒和清洗；另一方面进行周期的安全评估，根据安全评估的结果，需要不断的更新防护手段。最后对主机本身进行安全加固。

运维管理层的安全，分为两个层面，一个层面是对远程接入的形式的安全防护，另一个层面是针对本地运维人员的安全防护。对于远程接入方式的运维管理方面的防护，方面是通过设置安全控制网关，严格对用户的接入权限、接入能力、接入带宽进行控制；另一方面，对远程的VPN的方式，包括SSL VPN，针对不同的需求有不同的形式。

暗物用户终端管理，包括对终端安全方面的评估，包括根据安全评估结果允许他的接入。另外一方面对用户的行为以及用户的终端进行周期性的审计，根据一个长期的统计分析，需要对用户的使用习惯做一个安全方面的分析，从而高安全防护的能力。

最后是对应前面引入的新技术，在安全方面的考虑。针对云计算，主要包括虚拟化的安全防护，针对存储的安全防护，还有网络方面的安全防护。针对CDN，主要是保护服务器避免受到DDoS攻击，提高服务器的高可靠性。

在P2P方面，目前安全方面，因为P2P由于节点数量、用户规模比较难以控制，在这方面我们也在逐步的进行探索。主要是要划分可信、不可信节点，对不同的节点加入到P2P的服务域里面进行严格的控制，同时还会对它的行为以及能力进行一些评估。
绿色节能方面，主要是考虑物理方面的安全，包括高可靠的系统，包括一些安全要求。

前面就是在技术发展以及安全方面，跟大家分享一下中国移动的思路。谢谢大家，我的内容就到这里。