IDC安全類系統的建設優化思路

曾楚軒

(中國聯合網絡通信有限公司廣東省分公司網絡建設部，廣東廣州，510600)

IDC安全類系統的建設優化思路

曾楚軒

(中國聯合網絡通信有限公司廣東省分公司網絡建設部，廣東廣州，510600)

本文主要是中國聯通廣東省分公司對基于工信部考核要求的已建IDC安全系統的建設現狀進行分析，從減少基礎網絡建設投入角度入手，對已建基礎系統的建設優化方案進行探討研究。

數據中心;基礎系統建設;考核;減少投入;建設優化

1 背景概述

隨著計算機及通信技術的飛速發展，網絡在給人們帶來方便快捷的同時，網絡安全事件不斷增多。應工信部的監管和考核要求，電信運營商建成各種網絡與信息安全系統。

基于網絡信息安全考核要求的相關系統，必須遵守“同步規劃、同步組織實施、同步運作投產”的三同步原則。隨著近年IDC業務快速增長，IDC網絡也快速擴容，IDC相關安全類建設投資過大。因此研究在滿足考核要求的情況下，如何減少安全生產類投資，是本文深入思考的問題，我們本次課題將重點探討IDC安全類系統建設優化的一些思路。

2 現狀調研

2.1 系統建設現狀

當前廣東聯通IDC網絡建設的安全相關部分系統情況如下。

IDC/ISP信安系統：100%全網覆蓋IDC出口，并對IDC包括基礎數據管理、訪問日志管理、違法網站及違法信息發現與處置。

IDC防病毒防入侵系統：每個IDC機房均有覆蓋，且帶寬覆蓋率不低于10%。

IDC DDos流量清洗系統：省中心一套，可軟覆蓋全省。

2.2 系統類別分析

中國聯通基于網絡信息安全考核要求建設的相關系統在遵守安全三同步原則，需要每年持續投入，擴大建設規模。而通過調研分析現有的工信部考核要求，覆蓋范圍上建設的安全類系統可分為兩類。

一是強制要求進行全網覆蓋全量監測的系統，如IDC/ISP信安系統等。

二是要求未強制要求全量覆蓋的系統，如IDC兩防（防病毒防入侵）系統、防DDos系統。

針對于系統的檢查考核方式主要也分兩類。

一是要求進行全網覆蓋全量監測，通過隨機撥測進行進系統檢查，如IDC/ISP信安系統等。

二是要求功能覆蓋，考核只針對靈活指定的靶站進行系統檢查，如IDC兩防系統和防DDoS系統等。

2.3 研究目標

2.3.1 目標范圍

從節省建設投資角度，對兩類系統進行不同方式優化

針對要求全網建設覆蓋，隨機撥測檢查的系統，從實際建設方案上，無法減少建設范圍規模，但可以根據考核檢查的標準優化現有的系統，提升系統整體的處理效率降低投資。

針對不覆蓋全網只進行功能考核的安全系統可以考慮集中復用模式，通過傳輸路由或IP隧道方式，把未部署系統機房的數據集中牽引至部署系統的機房，可最大化的利舊現網的硬件資源節省投資。

2.3.2 目標實現原則

1)不影響系統考核要求

實現的技術設計方案、實施方案及項目成果符合工信部綜合防范的方針和有關系統考核要求及標準，且不影響現網業務。

2)有限的資源服務更多的客戶

用戶每年都在增長，做到不增加大的投入服務好用戶。一方面要有限的資源服務為更多的客戶提供標準的服務，另一方面優化擴展現有資源為有特殊需求的客戶提供差異化增值服務。

3 實現方案

針對以上已建基礎系統的現狀分析及研究目標，擬從減少基礎網絡建設投入進行技術探討。

3.1 減少基礎網絡建設投入方案

3.1.1 部分帶寬覆蓋的基礎系統

1)方案拓撲說明

IDC兩防系統具備攻擊流量檢測及告警功能、攻擊流量處置功能、對疑似安全漏洞攻擊行為進行研判和預警、提供告警記錄的展示等功能。減少基礎網絡建設的投入方案具體的部署方式如下：

表1 方案對比表

圖1 方案部署示意圖

機房A經過鏈路分光后連接匯聚分流設備，匯聚分流設備與監測處置設備相連接，當發生外網的病毒攻擊（針對靶機A為例）事件時，監測處置設備會發現相關的攻擊信息，通過指令實現處置處理。

機房B內未部署聯通的兩防系統，但機房B中的路由器C與路由器D同機房A的路由A和路由B鏈路可達（根據實際情況可采用物理傳輸、xlan、GRE隧道等多種形式），并設置策略路由或SDN指向的方式，當機房B發生外網的病毒攻擊以及入侵事件時（針對靶機B為例）, 流量會經過機房A出口路由器，送達監測處置設備，發現相關的攻擊信息，機房A的監測處置設備通過指令處置攻擊。

2)傳統方案說明

傳統方案中IDC兩防系統部署方案，部署方式是在每個IDC機房單獨建立兩防的應用系統，每個IDC機房需要經過鏈路分光后連接匯聚分流設備，匯聚分流設備與監測處置設備相連接，當任意IDC機房的靶機發生外網的病毒攻擊以及入侵事件時，機房內的監測處置設備會發現相關的攻擊信息，需通過手工的方式實現處置功能，每個IDC機房的兩防系統功能相對獨立。

3)方案對比

以上文的方案建設聯通IDC兩防系統建設為案例，所需建設資源如下表。

通過表格可以看出，基礎網絡建設中未全網覆蓋的安全系統可以加以復用，通過路由策略或SDN指向方式，可以把未部署系統機房的數據牽引至部署系統的機房來完成事件的發現與處置，這樣就可以最大化的利舊現網的硬件資源，IDC機房數量越多采用新方案投資節約率越高。

3.1.2 全網帶寬覆蓋的基礎系統

方式一：對于多局址且鏈路利用率較低的安全類系統，可以通過傳輸鏈路將各機房需分析采集的流量集中匯總到區域或省中心節點進行分析處理。

方式二：根據當前檢查考核深度要求，利用匯聚分流將非檢查考核要求的流量進行過濾，減少后端分析和處置的服務器。以IDC/ISP信安系統為例，全覆蓋機房分光器、匯聚分流設備是無法減少的，但EU設備可以通過優化減少設備投入量。目前IDC/ISP檢查考核基本只針對文本類進行檢查，而IDC現網中的非文本流量占比很大（一般視頻類業務流量均超過50%），可以通過相關ACL（訪問控制列表）在匯聚分流中先過濾掉了音視頻流量，隨著匯聚分流設備輸出流量的減少，可相應的減少EU設備的投入。

3.1.3 減少基礎網絡建設投入方案的效果

1)建設投入減少效果預估

方法一：按實際運行流量進行IDC/ISP信息安全同步建設，廣東聯通IDC現網全省峰值平均利用率約40%，如果把地市利用率不高的流量通過傳輸或IP隧道等技術牽引收斂到中心機房，至少可節省50%的EU設備。以廣東聯通機房建設中EU和匯聚分流接入的投入各是30%和70%，則僅IDC/ISP信安系統建設預估至少可節約15%的投入。

方法二：啟用IDC出口安全配套的匯聚分流設備過濾規則，過濾視頻等非檢查考核流量，至少能壓縮50%的分析流量，則可以再節約7.5%的IDC/ISP信息安全系統投資。

方法三：以廣東聯通為例有多個分散的IDC機房，采用減少基礎網絡設施建設方案集中部署IDC兩防系統，比傳統每機房建設一套，兩防類系統（或類似IDC安全類、增值類系統）投資節約率可達90%以上。

2)資源情況節省的預估

DPI及服務器設備通過優化，不光減少了建設的投入，也節省了機房用電、空間。以廣東聯通為例，通過以上技術手段可減少75%的EU主機。節約的機柜空間可以進行IDC業務銷售，更加解決部分機房空間不足問題。

4 總結

本文的建設優化思路還存在著一些不足，首先減少安全配套投入的思路還不具備普適性，優化方案更多適用機房分散、已建系統未覆蓋全網的業務系統、檢查考核深度要求不高等；再者本思路是基于理論的判斷，技術上和理論上都是可行的，但方案的實施難度和實際執行效果需要進一步調研和經過試點論證。

[1]《2016年省級基礎電信企業網絡與信息安全工作考核要點與評分標準》.

[2]《2015年基礎企業ISMS系統技術評測規范》.

[3]《全國通信行業信息安全綜合管理平臺_接口規范》.

[4]《運營商能力開放安全控制方案研究》.

IDC security construction optimization of such systems

Ceng Chuxuan
(China united network communications co., LTD. Guangdong branch network construction, Guangzhou Guangdong, 510600).

The thesis is mayor in analysis the present situation and the input and output about IDC， which was based on the requirements of the Ministry of industry and information. In the end we have discussed the construction optimization of the basic system, respectively from the basis of the reduction of investment in the construction of the network, security, etc.

IDC;Basic system construction;Assessment;Reduce investment;construction optimization