2008年(8065)
分类: 服务器与存储
2008-12-03 16:32:25
电子认证服务(CA)是一项安全体系工程,这个体系有一个很大的特点,就是需要巨额的投入。我们知道,独立的第三方认证机构必须具备完善的基础设施,它包括但不局限于以下几方面:第一,符合安全级别的安全机房;第二,符合国家强制标准的软硬件系统;第三,符合高安全级别的系统外围防护系统,也就是说CA系统的核心就是安全;第四,最重要的是需要一个功能强大、安全可靠的CA证书服务系统。
这样的体系如何建造?尤其是前三点,所指的都属于高标准数据中心的范畴。所以,对于一个国家级的CA中心来说,首先数据中心机房的建造标准就要远远高于一般数据中心。所以,国富安用10级安全防护标准建造了自己的CA认证机房,从进入CA机房第一道门到根密钥区域需要经过10道安保门禁系统。其实,现在很多企业整合自己现有的数据中心或者构建新的下一代数据中心都从降低企业成本的角度进行了考虑。但是对于国富安来说,安全性远比降低成本来得重要。
在国富安成立之初,就是本着最高标准来打造CA机房的。通常,一个投资几百万元的数据中心,每年运营所产生的成本,包括能耗成本可达几十万元,但是对于国富安特殊的数据中心来说,这个数字不算什么。在按照最高指标建造机房的前提下,国富安的CA机房建设投资达到了数千万元,而维护成本每年也要花去几百万元。
数据中心变革迎来转折点
国富安建设数据中心之初,即要求性能规格足够高,同时还要保证数据中心的灵活性。因为新一代数据中心必须能够适应企业未来的业务发展。国富安数据中心建造之时,没有迎合新一代数据中心“刚好够用”的建设趋势,在硬件上除了服务器选够了当时的主流机型,其他硬件设施都超前一步,以应对未来客户需求的变化。
在数据中心刚开始运营的时候,国富安分离出一部分空间投入使用,这样等到客户有了新的需求,国富安也可以很快地跟上。并且最初超前设计的散热、冷却等技术几乎不用改造,就可以满足新业务需求。这无疑就在很大程度上保证了数据中心的灵活性,让国富安可以把精力放在其他业务层面,而不至于过多关注数据中心的软硬件发展。
当然,数据中心可能会使用20年甚至30年以上的时间,即便再超前,也会有需要大规模更新换代的时候。国富安也从1998年建立之初采用Pentium、PentiumII等PC Server主机发展到了现在的IBM Power Systems Server。可以说,2006年是国富安数据中心更新换代的转折点。从2006年开始,国富安的CA机房全部采用了Linux/UNIX稳定性和性能较高的服务器。
很多企业最近几年都处在构建下一代数据中心的关键时刻。尤其是对数据中心项目直接负责的CIO们,都不得不面对同样一个问题——“成本压力”。就像开始不计成本建造数据中心的国富安,当时有其特殊性在里面,但是现在市场更加决定企业的运作模式,国富安也需要通过变革获得更强的竞争力。
据IDC统计,构建新一代数据中心,每平方英尺大概需要1500美元左右。随着数据量的爆炸增长,国富安也不可能无限的在数据中心上投入资金,所以国富安也要考虑采用新技术,来更加有效的管理数据中心。按照国富安运行维护经理商晋的说法,国富安的数据中心变革也同样需要考虑节能问题,这是大势所趋之事,国富安也要迎合这种大环境需求,在技能减排方面做出自己的贡献。所以国富安目前比较关注国外一些先进的节能降耗案例。比如微软在芝加哥新建的50万平方英尺的数据中心就利用了有“风城”之称的芝加哥丰富的自然资源来实现冷却。微软用的风冷技术是通过使用外届空气来冷却数据中心的,并且还提取了小溪、河流和湖泊里的水来冷却数据中心中的热水,并使其不断循环。
当然,我国类似的条件可能十分有限,这需要我们不断探索,因地制宜地建造新一代数据中心比坐在屋子里设计出来的更加有效。目前国富安采用的水冷技术虽然没有利用到自然的湖泊、溪流,但国富安机房采用大型冷水空调机组向机房输送冷气,也拥有不错的节能效果。另外,在目前已经实施的节能方案中,国富安为了提高能源利用率和冷却效率,开始使用温湿度传感器测量并调节CA机房各个不同区域的温度,在服务器设备允许的范围内尽量调高温度,以达到节能的要求。
商晋还介绍说:“新一代数据中心首先需要减少设备的体积。高密度的设备能够充分发挥出计算的优势,并且还可以在很多情况下大幅度地减少应用程序运行所需的占地面积,也就相当于运营和维护成本的降低。而且随后的供电和冷却的不足的问题也就不会那么突出。另外,在现有空间内,如何最大化利用空间,也是节省成本的一条主要途径。像刀片技术,就能很好地提升空间利用率。” 其实在2006年国富安将硬件设备性能大幅度提升后,减少了服务器数量,也迎合了节能减排的政策需要。而新技术的应用对于数据中心的可持续发展来说,也是极为重要的。
安全需求进一步提升
数据中心的建设是一个系统化的工程,不但需要考虑性能、容量、环保的领域,安全同样值得关注。数据中心的安全,不但需要有完善的信息安全的方案,还需要覆盖到安全存储的部分,这是和传统的数据中心完全不同的地方。尤其对于国富安来说,电子商务安全环境更需要第三方的信任。
电子认证服务提供的是一种基础信任的服务。电子认证服务的价值体现在贯穿整个电子商务的每一个环节,它能够使用户深切地感受到服务的存在,独立的第三方认证服务是安全电子商务环境的第三方信任成为一种可能性。我们知道,电子认证服务是建立在PKI技术之上的,使用这个技术需要一个巨大的投入。
建设统称数据热备份中心数据保护模式是独立第三方电子认证服务最低的运行条件,如果自身的数据安全得不到保障,很难把电子商务的安全推进一个更高的层次。所以,建设异地系统备份中心也成为第三方认证服务机构的基础保障。据商晋介绍,国富安的数据中心被划分为5个安全区域,分别是公网区、服务区、管理区、CA核心区,以及密钥管理区。五个不同区域分别用5款不同品牌的国产防火墙守卫。它们之间形成异构的安全防护平台,最大限度的保障不被黑客攻入数据中心的核心部分。“这是国富安不同于其他数据中心的最大特点,安全性远远超出一般数据中心,甚至高于银行和证券机构的水平。”商晋说道。
目前,国富安主数据中心机房面积有500平方米,并且处于地下,是国内唯一建在地下的CA机房,有很强的防灾能力,拥有完善的消防、防雷及接地、空调及漏水检测系统,防电磁泄漏,防辐射。红外24小时监控,在北京亦庄国富安总部,可以通过网络视频,实时监控全国34家CA受理点的运行状态,并且可以在发现异常时及时报警。国富安机房的空调系统与大厦是独立的,电力系统也是独立的,并且采用双路市电和双路80千伏安的UPS保证电力永不间断。国富安还制订了严格的机房出入制度,如两人以上通过刷卡和指纹才能进入机房,两人同时刷卡才能离开。可以说在安全性上,几乎做到了万无一失。
国富安数据中心采用高端存储系统和SAN光纤存储网络,亦庄到东单备份数据中心采用DWDM光纤波分复用技术,带宽为2G;亦庄到广州备份数据中心采用SDH数字专线,带宽为34M;目前,国富安在北京东单、北京亦庄、广州等地建造了多个高度安全可靠的数据中心,互为备份。三地之间的数据备份可以做到“零”丢失。
为了进一步加强国富安数据中心安全性,商晋认为:“加强监控是下一步的主要工作。现在的视频监控还有弊端,未来应该采用高精度红外监控、虹膜、指纹血管等生物识别技术,将国富安数据中心的监控安全提升到新的高度。”