曾楚轩

(中国联合网络通信有限公司广东省分公司网络建设部，广东广州，510600)

IDC安全类系统的建设优化思路

曾楚轩

(中国联合网络通信有限公司广东省分公司网络建设部，广东广州，510600)

本文主要是中国联通广东省分公司对基于工信部考核要求的已建IDC安全系统的建设现状进行分析，从减少基础网络建设投入角度入手，对已建基础系统的建设优化方案进行探讨研究。

数据中心;基础系统建设;考核;减少投入;建设优化

1 背景概述

随着计算机及通信技术的飞速发展，网络在给人们带来方便快捷的同时，网络安全事件不断增多。应工信部的监管和考核要求，电信运营商建成各种网络与信息安全系统。

基于网络信息安全考核要求的相关系统，必须遵守“同步规划、同步组织实施、同步运作投产”的三同步原则。随着近年IDC业务快速增长，IDC网络也快速扩容，IDC相关安全类建设投资过大。因此研究在满足考核要求的情况下，如何减少安全生产类投资，是本文深入思考的问题，我们本次课题将重点探讨IDC安全类系统建设优化的一些思路。

2 现状调研

2.1 系统建设现状

当前广东联通IDC网络建设的安全相关部分系统情况如下。

IDC/ISP信安系统：100%全网覆盖IDC出口，并对IDC包括基础数据管理、访问日志管理、违法网站及违法信息发现与处置。

IDC防病毒防入侵系统：每个IDC机房均有覆盖，且带宽覆盖率不低于10%。

IDC DDos流量清洗系统：省中心一套，可软覆盖全省。

2.2 系统类别分析

中国联通基于网络信息安全考核要求建设的相关系统在遵守安全三同步原则，需要每年持续投入，扩大建设规模。而通过调研分析现有的工信部考核要求，覆盖范围上建设的安全类系统可分为两类。

一是强制要求进行全网覆盖全量监测的系统，如IDC/ISP信安系统等。

二是要求未强制要求全量覆盖的系统，如IDC两防（防病毒防入侵）系统、防DDos系统。

针对于系统的检查考核方式主要也分两类。

一是要求进行全网覆盖全量监测，通过随机拨测进行进系统检查，如IDC/ISP信安系统等。

二是要求功能覆盖，考核只针对灵活指定的靶站进行系统检查，如IDC两防系统和防DDoS系统等。

2.3 研究目标

2.3.1 目标范围

从节省建设投资角度，对两类系统进行不同方式优化

针对要求全网建设覆盖，随机拨测检查的系统，从实际建设方案上，无法减少建设范围规模，但可以根据考核检查的标准优化现有的系统，提升系统整体的处理效率降低投资。

针对不覆盖全网只进行功能考核的安全系统可以考虑集中复用模式，通过传输路由或IP隧道方式，把未部署系统机房的数据集中牵引至部署系统的机房，可最大化的利旧现网的硬件资源节省投资。

2.3.2 目标实现原则

1)不影响系统考核要求

实现的技术设计方案、实施方案及项目成果符合工信部综合防范的方针和有关系统考核要求及标准，且不影响现网业务。

2)有限的资源服务更多的客户

用户每年都在增长，做到不增加大的投入服务好用户。一方面要有限的资源服务为更多的客户提供标准的服务，另一方面优化扩展现有资源为有特殊需求的客户提供差异化增值服务。

3 实现方案

针对以上已建基础系统的现状分析及研究目标，拟从减少基础网络建设投入进行技术探讨。

3.1 减少基础网络建设投入方案

3.1.1 部分带宽覆盖的基础系统

1)方案拓扑说明

IDC两防系统具备攻击流量检测及告警功能、攻击流量处置功能、对疑似安全漏洞攻击行为进行研判和预警、提供告警记录的展示等功能。减少基础网络建设的投入方案具体的部署方式如下：

表1 方案对比表

图1 方案部署示意图

机房A经过链路分光后连接汇聚分流设备，汇聚分流设备与监测处置设备相连接，当发生外网的病毒攻击（针对靶机A为例）事件时，监测处置设备会发现相关的攻击信息，通过指令实现处置处理。

机房B内未部署联通的两防系统，但机房B中的路由器C与路由器D同机房A的路由A和路由B链路可达（根据实际情况可采用物理传输、xlan、GRE隧道等多种形式），并设置策略路由或SDN指向的方式，当机房B发生外网的病毒攻击以及入侵事件时（针对靶机B为例）, 流量会经过机房A出口路由器，送达监测处置设备，发现相关的攻击信息，机房A的监测处置设备通过指令处置攻击。

2)传统方案说明

传统方案中IDC两防系统部署方案，部署方式是在每个IDC机房单独建立两防的应用系统，每个IDC机房需要经过链路分光后连接汇聚分流设备，汇聚分流设备与监测处置设备相连接，当任意IDC机房的靶机发生外网的病毒攻击以及入侵事件时，机房内的监测处置设备会发现相关的攻击信息，需通过手工的方式实现处置功能，每个IDC机房的两防系统功能相对独立。

3)方案对比

以上文的方案建设联通IDC两防系统建设为案例，所需建设资源如下表。

通过表格可以看出，基础网络建设中未全网覆盖的安全系统可以加以复用，通过路由策略或SDN指向方式，可以把未部署系统机房的数据牵引至部署系统的机房来完成事件的发现与处置，这样就可以最大化的利旧现网的硬件资源，IDC机房数量越多采用新方案投资节约率越高。

3.1.2 全网带宽覆盖的基础系统

方式一：对于多局址且链路利用率较低的安全类系统，可以通过传输链路将各机房需分析采集的流量集中汇总到区域或省中心节点进行分析处理。

方式二：根据当前检查考核深度要求，利用汇聚分流将非检查考核要求的流量进行过滤，减少后端分析和处置的服务器。以IDC/ISP信安系统为例，全覆盖机房分光器、汇聚分流设备是无法减少的，但EU设备可以通过优化减少设备投入量。目前IDC/ISP检查考核基本只针对文本类进行检查，而IDC现网中的非文本流量占比很大（一般视频类业务流量均超过50%），可以通过相关ACL（访问控制列表）在汇聚分流中先过滤掉了音视频流量，随着汇聚分流设备输出流量的减少，可相应的减少EU设备的投入。

3.1.3 减少基础网络建设投入方案的效果

1)建设投入减少效果预估

方法一：按实际运行流量进行IDC/ISP信息安全同步建设，广东联通IDC现网全省峰值平均利用率约40%，如果把地市利用率不高的流量通过传输或IP隧道等技术牵引收敛到中心机房，至少可节省50%的EU设备。以广东联通机房建设中EU和汇聚分流接入的投入各是30%和70%，则仅IDC/ISP信安系统建设预估至少可节约15%的投入。

方法二：启用IDC出口安全配套的汇聚分流设备过滤规则，过滤视频等非检查考核流量，至少能压缩50%的分析流量，则可以再节约7.5%的IDC/ISP信息安全系统投资。

方法三：以广东联通为例有多个分散的IDC机房，采用减少基础网络设施建设方案集中部署IDC两防系统，比传统每机房建设一套，两防类系统（或类似IDC安全类、增值类系统）投资节约率可达90%以上。

2)资源情况节省的预估

DPI及服务器设备通过优化，不光减少了建设的投入，也节省了机房用电、空间。以广东联通为例，通过以上技术手段可减少75%的EU主机。节约的机柜空间可以进行IDC业务销售，更加解决部分机房空间不足问题。

4 总结

本文的建设优化思路还存在着一些不足，首先减少安全配套投入的思路还不具备普适性，优化方案更多适用机房分散、已建系统未覆盖全网的业务系统、检查考核深度要求不高等；再者本思路是基于理论的判断，技术上和理论上都是可行的，但方案的实施难度和实际执行效果需要进一步调研和经过试点论证。

[1]《2016年省级基础电信企业网络与信息安全工作考核要点与评分标准》.

[2]《2015年基础企业ISMS系统技术评测规范》.

[3]《全国通信行业信息安全综合管理平台_接口规范》.

[4]《运营商能力开放安全控制方案研究》.

IDC security construction optimization of such systems

Ceng Chuxuan
(China united network communications co., LTD. Guangdong branch network construction, Guangzhou Guangdong, 510600).

The thesis is mayor in analysis the present situation and the input and output about IDC， which was based on the requirements of the Ministry of industry and information. In the end we have discussed the construction optimization of the basic system, respectively from the basis of the reduction of investment in the construction of the network, security, etc.

IDC;Basic system construction;Assessment;Reduce investment;construction optimization