一是整体应用架构方面。原本电信业数据中心向集中化转型,已经具备了一个非常庞大的架构,但这种架构要应对目前快速、多样化的业务需求实际上还是有一定差距的。当这种变化无法应对而业务部门需求又比较大时,为了业务上线就会不断地快速建一些系统,一定程度上就出现一些信息孤岛、系统孤岛,使得信息共享、系统共享都会有问题。而越来越多的孤岛出现反过来又会影响业务部门,给需求带来压力,形成一个更大的矛盾。所以现在运营商基本上也是在进行业务和应用的整合。
二是数据架构方面。在一个大的应用出现后,数据量肯定会更大,这对于数据的备份、存储、恢复等管理工作都是压力;另一方面刚才所说的孤岛也会给数据共享、数据同步带来很大问题,应用系统之间的复杂性肯定会加大。特别是现在数据大集中后,如客户信息之类的关键敏感数据也在增多。而现在的运营商还比较缺乏整体统一的数据架构,以及数据分类分级的规范和标准,所以实际上分类的安全防护管理也是欠缺的。
第三方面,随着数据中心的不断建设,整个IT基础设施资源如何更好地利用,实现节能减排等方面问题成为新的挑战。
最后是整个数据中心的运维和安全管理方面,IT系统越来越复杂,我们必须考虑怎样提高运维效率,以及提高响应恢复能力。此外,原本运营商已经形成了比较好的安全机制,但是在新的压力之下出现了新的安全与业务之间的妥协问题。比如我知道的一个案例,一家运营商在今年年初上线一个新的互联网业务应用,上线前本应有一项安全检查,但由于开发周期本身已经很紧,就忽略了,结果上线之后没多久就受到了来自互联网的攻击。因此在当前数据中心建设不断加快的背景下,安全机制应该如何坚持,或者说如何更高效地实施安全管理就是一个新的挑战。
数据管理需体系化
《通信世界周刊》:数据安全已经成为电信级数据中心不容忽视的重要一环,您认为,保护电信级数据中心的数据安全应该从哪几个层面入手,各层面的具体保护措施是怎样的?
张云勇:运营商IT系统面临模块不断增多的趋势,每一个模块都对应一个子系统,比如CRM里有BSS系统,有经分系统、计费系统等等,而每一个子系统在建设时都是许多厂家建设了好几套系统,比如经分系统,每一个厂家都有一套系统,从最基础的硬件到中间的数据库操作系统,再到上层的经分软件,形成一个个垂直的烟囱式架构,每一个“烟囱”之间基本上没有复用。同时由于每一个模块要对应上很多台机器,安全隐患很多。
我们现在正摸索通过云计算将“烟囱”打平,形成一个水平式的架构,各模块共用基础设施。其好处是一方面可以提高资源利用率,实现复用,另一方面则将多点安全隐患实际上转化为单点安全问题。未来一级架构实现以后,理论上讲“堡垒”就变成一个,地域上的安全问题少了很多,我们就可以重点对一级架构的安全进行巩固。
陈钢:我认为首先应该是数据资源的管理问题,电信级数据资源管理一直是由于业务不同而分离的,现在亟需按整体业务需求进行数据域划分,并形成企业级数据字典的管理流程体系,因为数据资源的管理是所有安全机制实施的基础。
其次是数据资源的访问权限统一管理,形成企业级的4A(Authentication、Authorization、Auditing、Accounting,即“认证、授权、审计、账号管理”)是实现企业级数据资源管理的基本条件。企业级的4A无论对数据资源、应用资源的安全管理都是基础中的基础,因为短板效应所致,无论局部安全域的措施多么完善,最后的那个漏洞会使企业级安全体系非常容易如千里长堤毁于蚁穴。
再次是在前两项基础上建立企业级的安全管控流程。
最后是逐步形成企业级网络安全域的划分,并进一步形成各安全域的管理流程体系。
魏亮:数据安全是电信级数据中心不可忽视的重要环节。保护数据安全有几个环节:首先在管理层面要制定完善的制度,确保只有必须的人才能接触必要的数据,使用数据必须授权,必须有日志,日志定期审计;其次在技术层面必须具备完善的手段确保制度有效执行,例如部署4A系统、定期安全评估、定期渗透测试、定期审计日志等;第三在政策法规层面,政府应当要求运营商保护用户隐私,除非授权机构外,运营商不得非授权使用用户数据;第四对于用户应当通过宣传等手段使其提高数据安全的意识。
