电信互联网数据中心(IDC)总体技术要求

电信互联网数据中心（IDC）总体技术要求■■■前言本标准是数据中心的系列标准文件之一，该系列标准文件的预计结构及名称如下：）YD/T2542-2013电信互联网数据中心（IDC）总体技术要求2） YD/T2441-2013互联网数据中心技术及分级分类标准3） YD/T2442-2013互联网数据中心资源占用、能效及排放技术要求和评测方法）YD/T2543-2013电信互联网数据中心（IDC）的能耗测评方法）电信互联网数据中心（IDC）的运维管理技术要求）电信互联网数据中心（IDC）网络设备测试方法）电信互联网数据中心（IDC）网络设备技术要求）集装箱式电信互联网数据中心（IDC）总体技术要求9） 基于云计算的互联网数据中心网络互联技术要求10） 基于云计算的互联网数据中心安全指南）电信互联网数据中心（IDC）虚拟资源管理技术架构随着技术和设备的发展，还将根据情况制定后续相关标准。本标准按照GB/T1.1-2009给出的规则起草。本标准以GB50174《电子信息系统机房设计规范》等国家标准和行业标准为依据制定而成。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准主要起草单位：工业和信息化部电信研究院、中国电信集团公司、中国联合网络通信集团有限公司、中国移动通信集团公司、中兴通讯股份有限公司、华为技术有限公司、百度在线网络技术（北京）有限公司、阿里巴巴（中国）有限公司、深圳市腾讯计算机系统有限公司、上海宽带技术及应用工程研究中心。本标准主要起草人：高巍、蔡永顺、马少武、唐华斌、李明栋、高新菊、陈尚义、张敬、谭杰夫、方行、郭亮、李典林、李洁、张健。电信互联网数据中心（IDC）总体技术要求范围本标准规定了互联网数据中心的系统组成，以及服务、资源、网络、机房设施、管理和安全等六个子系统的功能要求，并对电信互联网数据中心网络与信息安全、编址、服务质量和绿色节能等方面提出了要求。本标准适用于互联网数据中心的规划、设计、建设、运维和评估。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB7588电梯制造与安装安全规范GB/T14295空气过滤器GB50016建筑设计防火规范GB50019采暖通风与空气调节设计规范GB50045高层民用建筑设计防火规范GB50174电子信息系统机房设计规范GB50311综合布线系统工程设计规范GB/T50314智能建筑设计标准GB50348安全防范工程技术规范YD/T1051通信局（站）电源系统总技术要求YD/T1363通信局（站）电源、空调及环境集中监控系统YD/T1622通信局（站）门禁集中监控系统技术要求YD/T5003电信专用房屋设计规范YD/T5026电信机房铁架安装设计标准YD/T5040通信电源设备安装工程设计规范YD5059电信设备安装抗震设计规范YD5083电信设备抗震性能YDN126增值电信业务网络信息安全保障要求术语、定义和缩略语下列术语、定义和缩略语适用于本文件。3.1术语和定义电信互联网数据中心TelecommunicationInternetdatacenter（IDC）电子信息系统机房是电子信息设备提供运行环境的场所，可以是一幢、几幢建筑物或建筑物的一部分，包括主机房、辅助区、支持区和行政管理区等。拥有宽带互联网出口，且带宽资源充足，并采用双节点双路由等机制保证网络的可靠性；通常面向第三方运营，为用户提供外包出租、代理维护、系统配置及管理服务等服务，并具备业务管理、用户管理、计费管理等能力；遵从相关的网络和信息安全监管规定的电子信息系统机房可以称为IDC.缩略语BGP边界网关协议BorderGatewayProtocolCDN内容分发网络ContentDeliveryNetworkCPU中央处理器CentralProcessingUnitDDoS分布式拒绝服务攻击DistributedDenyofServiceHTML超文本标记语言HyperTextMarkupLanguageIDC电信互联网数据中心InternetDataCenterIP因特网协议InternetProtocolISIS中间系统到中间系统协议IntermediateSystemtoIntermediateSystemProtocolIT信息技术InformationTechnologyLUN逻辑单元号LogicalUnitNumberOSPF开放最短路径优先协议OpenShortestPathFirstSSL安全套接字层SecureSocketsLayerVIP重要人物VeryImportantPersonXML可扩展标记语言eXtensibleMarkupLanguageUPS不间断电源UninterruptiblePowerSupply4电信互联网数据中心的系统组成电信互联网数据中心系统概况IDC应包含服务子系统、资源子系统、网络子系统、机房基础设施子系统、管理子系统和安全子系统等六个逻辑功能部分（如图1）。IDC服务可包括基本资源出租服务和代维代管等增值服务。一些IDC基本资源出租类服务（如机架出租，机房空间出租等）可能直接利用IDC机房基础设施和网络子系统的能力，而一些IT资源出租服务需要利用资源子系统提供的资源池。资源子系统为IDC提供开展业务运营所需的基础资源池，包括计算资源、存储资源、网络资源、软件应用能力资源等。网络子系统包括IDC内部的支撑网络和外部因特网出口，为资源子系统和部分基础服务提供网络环境。机房基础设施子系统为IDC提供机房、供电、消防、制冷、安防、布线、抗震等基础环境，为其他所有子系统提供服务。管理子系统为IDC的运营维护提供必要的管理支撑，包括网络管理、资源管理、运营管理等。安全子系统为数据中心的其他子系统提供必要的网络安全和信息安全等方面的保障和监测，提高整个数据中心的安全系数。4.2IDC服务子系统IDC服务子系统应该具有提供包括基础资源出租服务、代维代管等服务的能力。4.2.1基础资源出租服务VIP机房出租：根据用户需要，IDC应向用户提供封闭或半封闭的空间放置用户自备的网络和服务器等设备，管理和配置多由用户独立完成。VIP机房配备独立的门禁系统，在网络出口方面可共用IDC的因特网出口，也可使用IDC提供的专线出口。主机托管：IDC应为用户提供一定的"空间"和"带宽"，其中"空间"是参照机架服务器的规格选取一定的机架或机位空间，用户将自己的网络设备、服务器托管在租用的空间内。用户拥有对托管设备的所有权和完全控制权限，用户自行安装软件系统和自行维护。机架出租：IDC应向用户提供一定数量的机架，用户在机架可自行安装、维护自备设备。根据用户需求，机架可与其它机架之间采用通透式钢笼隔离。服务器出租：IDC应规模采购服务器设备，出租给IDC用户，并向承租人提供主机的硬件维修、保养等服务。用户拥有对租用设备的使用权和完全控制权限，自行安装和维护软件系统。虚拟机（VirtualMachine）出租：IDC应把一台服务器（系统资源、网络带宽、存储空间等）按照一定的要求划分成若干台'虚拟服务器"，向用户提供租用服务，同一台服务器上的虚拟机是彼此独立的，并可由用户自行管理。带宽出租：IDC应根据用户的需要提供不同形式的端口接入方式和接入带宽，根据接入方式的不同分为共享型、独享型。共享型指一定数量的用户租用某种网络端口并共享同等级出口带宽，多台用户设备共同接入IDC接入层交换机，通过该交换机同一条上行链路接入IDC网络汇聚层设备，用户带宽受该链路所带用户数影响。独享型指用户租用某种网络端口并独享出口带宽，用户设备直接接入IDC汇聚层或核心层交换机，独占汇聚层或核心层设备的一个端口，并完全占用该出口带宽，IDC应为用户提供受保障的带宽。IP地址出租：IDC应向用户提供一定数量的IP地址，在用户需要额外数量的IP地址时需另行租用。IT系统外包（VDC）服务：IDC应向用户提供包括机房基础设施、IT设备、运维管理系统、基础软件等在内的整体外包服务。4.2.2代维代管等附加服务除了基础资源类服务以外，IDC还可以提供代维代管等附加服务，例如：安全防护类，包括防火墙出租、VPN接入、病毒防范、入侵检测、防DDoS攻击、流量清洗、网页防篡改、安全扫描、安全评估等。数据存储类，包括在线存储、在线备份、数据备份及异地备份等。——流量管理类，包括负载均衡、SSL加速、流量统计分析等。——维护管理类，包括远程维护、设备代理监测、设备代理维护等。——内容管理类，包括网站镜像、网页加速、应用加速、CDN等。——系统集成类，包括设备安装和升级、网站设计与建设等。4.2.3其他服务IDC也可根据技术、业务管理等的变化提供更多种类服务，如云计算概念中的各类服务等。4.3资源子系统资源子系统是IDC对外运营业务的资源池，为IDC产品提供资源要素。从存在形式上分，资源子系统中的资源可分为物理资源和逻辑资源。从资源的用途上分，资源子系统可分为网络资源、计算资源、存储资源等资源。4.3.1网络资源网络资源包括IP地址、网络带宽、防火墙、负载均衡、流量过滤等与网络相关的资源，其中防火墙和负载均衡资源可以是物理设备资源，也可以是虚拟的逻辑资源。基于不同的资源，对IDC有不同的要求。IP地址资源需要为用户提供公网固定IP地址或私有IP地址的规划。在技术实现形式上，IDC应负责申请、分配IP地址，并为IP地址提供网络路由。网络带宽资源为用户在IDC的IT设备提供因特网接入服务。带宽出租业务分为共享型和独享型：共享型带宽是指多个用户共享一个IDC局域网的上联端口带宽，在业务高峰的时期，每个用户可使用的带宽可能低于标称带宽；独享型带宽是指用户可独占标称带宽资源，IDC应保证用户在任何时候都可使用标称速率的带宽。在技术实现上，IDC应负责提供至因特网公网的网络通道，并在相关交换机上进行配置以限制用户的带宽或计量用户的网络流量。防火墙资源为用户的网络设备和应用提供防火墙服务并允许用户通过对防火墙进行防火墙安全规则的配置。在技术实现上,IDC应负责防火墙设备的采购、安装、配置以及管理维护，并配置防火墙向用户提供相应服务。负载均衡资源为用户提供负载均衡服务，用于将访问请求分担到用户多台物理机或虚拟机上，提高用户系统的业务处理能力。在技术实现上，IDC应负责负载均衡设备的采购、安装、配置以及管理维护，并配置负载均衡设备向用户提供相应服务。流量过滤资源为用户的网络设备和应用提供异常流量清洗过滤服务，对DDoS攻击等损害网络可用性的攻击流量进行过滤，提高客户系统的安全性。在技术实现上，IDC应负责流量过滤设备的采购、安装、配置以及管理维护，并配置流量过滤设备向用户提供相应服务。4.3.2计算资源包括物理主机（DedicatedServer）、虚拟主机（VirtualServer）、虚拟机（VirtualMachine）等资源。其中物理主机为物理资源，其他资源为逻辑资源。物理主机资源由IDC采购安装服务器设备，并配备IP地址以及带宽资源，出租给IDC用户使用。在技术实现上IDC应负责服务器、KVM设备（KVM是键盘、显示器和鼠标三个单词的第一个字母组成的缩略语，正式名称是多计算机切换器。它能够实现用一套键盘、显示器、鼠标来控制多台设备）、机架、机架电力布线、机架网络布线、机架电力设备以及机架网络设备等设施的安装和配置。虚拟主机资源是逻辑资源，由IDC在物理主机安装并运行各类Web服务，通过Web服务软件的虚拟服务功能，在一台物理服务器上为多个用户提供Web托管服务。在技术实现上IDC应负责服务器操作系统及Web服务软件的安装、配置、管理，设置并开启虚拟服务功能，以及物理主机所需的技术实现要求。虚拟机资源是逻辑资源，用于向用户提供不同配置规格的虚拟机租赁服务。IDC应负责服务器的采购、安装，并将物理服务器虚拟化出多个逻辑服务器。与传统物理主机租赁相比，虚拟机租赁具有资源与位置无关性、快速部署、灵活扩展、在线自助管理等特征。虚拟机租赁可根据CPU、内存、本地存储等不同资源配置情况、不同操作系统类型等划分为多种规格。在技术实现上，IDC应负责服务器采购、安装、配置、管理，负责虚拟化软件的安装与配置，负责管理和维护虚拟化系统，并通过虚拟化系统向用户提虚拟机服务。存储资源包括各类以存储数据为目的提供的资源，提供的形式包括存储设备（如整套磁盘阵列）块设备（LUN、设备）、文件系统、对象存储或结构化存储（如数据库）等。其中存储设备为物理资源，其他资源为逻辑资源。IDC应负责存储设备的采购、安装，并按用户要求将存储设备配置为可用状态。块设备资源是逻辑资源，为用户服务器（如虚拟机）提供块级别存取服务，用户服务器的操作系统以卷设备的方式访问块存储空间。IDC应向用户开放块设备服务。文件系统资源是逻辑资源，为用户提供文件系统级别的数据存取服务，用户操作系统通过文件系统挂载的方式访问文件存储空间。IDC应向用户开放文件系统服务。对象存储资源为客户提供可按需扩展的文档存取空间，用户可对任何类型的文档进行上传、下载、删除等操作。可存储任何类型的文档，并提供基于HTTP的接口对文档进行存取，存储空间可按需扩展。IDC应向用户开放对象存储服务。IDC支持结构化或者非结构化的数据存取能力。4.4网络子系统4.4.1网络结构IDC网络架构应采用层次化、模块化设计方式。整个网络可分为四层：因特网接入层、汇聚层、业务接入层和运维及管理层，未来随着技术的发展，数据中心的网络会更加扁平化。目前的数据中心四层结构如图2所示：因特网接入层应配置核心路由器实现与因特网的互联，对IDC内网和外网的路由信息进行转换和维护，并连接汇聚层的各汇聚交换机，形成IDC的网络核心。汇聚层应配置汇聚交换机实现向下汇聚业务接入层各业务区的接入交换机，向上与核心路由器互联。部分流量管理设备、安全设备可部署在该层。大客户或重点业务可直接接入汇聚层交换机。业务接入层应通过接入交换机接入各业务区内部的各种服务器设备、网络设备等。运维及管理层宜独立成网，与IDC业务网络进行隔离，通过运维管理层的接入及汇聚交换机连接管理子系统各种设备。对于规模较小的IDC，因特网接入层和汇聚层可合设。IDC网络结构中因特网接入层与外部因特网、因特网接入层与汇聚层、汇聚层与业务接入层之间的拓扑结构应无单点故障。因特网接入层至少配置两台核心路由器，IDC出口带宽在保证当前业务需求的情况下，应能够根据业务需求进行扩容。4.4.2路由IDC可作为一个单独的自治域，采用BGP与因特网连接；也可不作为单独自治域，采用OSPF或ISIS协议与因特网连接。因特网接入层核心路由器应对内部路由信息进行聚合后向因特网发布，因特网接入层的核心路由器应向IDC内部网络发布默认路由信息，不推荐引入因特网详细路由信息。IDC网络建议具备支持IPv6的能力。4.5机房基础设施子系统建筑要求IDC机房应符合GB50174和YD/T5003的各项规定，机房环境要求符合YD/T1821的相关规定。IDC机房应设置在电力供应充足、交通通讯方便、配套设施齐全、安全可靠、自然环境清洁的地点。在IDC，尤其是大型IDC的建设选址中，应将地质水文条件和周边环境作为重要参考，在自然灾害易发地区、军事设施附近等区域不宜进行建设。IDC机房功能分区应包括：主机房区、支持（配套）机房区和辅助用房区。——主机房区是IDC生产运行的核心机房区域，可包括网络子系统机房（区）、资源子系统机房（区）、管理子系统机房（区）、出租/托管业务机房（区）等。出租/托管业务机房（区）可根据电信业务经营者的业务需求进一步分割，分为一般用户区、VIP用户区等。主机房区中的不同功能区域可以是一个独立的机房也可以是隔离下的独立分区。——支持（配套）机房区包括变配电室、柴油发电机房、电力电池室、空调机房、消防设施用房、消防和安防控制室等。——辅助用房区可包括客户维护操作室（区）、客户接待室（区）、客户休息室（区）、业务参观及展示区域、门厅、值班室、更衣间等。IDC机房面积应根据电信业务经营者的业务发展规划合理确定。IDC机房建筑的耐火等级（耐火等级的规定见GB50016、GB50045）最低不应低于二级。IDC机房主要部分的楼面均布活荷载要求为主机房在6kN/m?-12kN/m?之间,电力电池室在10kN/m?~16kN/m?之间。IDC主机房区的楼板吊挂荷载可为1.2kN/m？。改造的IDC机房应根据荷载要求采取加固措施，并应符合GB50367的规定。IDC主机房区梁下净高由消防管道高度、工艺生产要求的净高、活动地板高度或送风风管高度组成，尺寸要求见表1：0IDC从入口至机房的设备运输通道净宽尺寸应不小于1500mm.IDC主机房区设置在二楼或二楼以上时，应有货运电梯到达主机房区所在楼层。除了满足GB7588的相关要求之外,IDC主机房内的货运电梯核定载重量应不小于2000kg，电梯轿厢尺寸不小于2500mm（高）x1500mm（宽）x2600mm（深）（开门尺寸应不小于2300mmx1500mm）。此夕卜IDC应视现场需求按照GB7588设置载客电梯。IDC主机房区内部各类通信设备的布局，在预留发展空间的前提下，应相对集中。主机房一般应采用矩形以提高面积有效利用率。主机房区内一般不做隔断，有分隔需求时应使用通透式金属隔断，便于空调气流循环，通透式金属隔断设置不应影响机房的消防疏散。IDC主机房区应设置灭火系统和火灾自动报警系统，主机房和其他区域的消防设计应符合GB50016、GB50045的相关规定。4.5.2电气要求IDC机房供电设计应符合YD/T1051和YD/T5040的规定，机房其它电气设计应符合GB50174和YD/T5003的规定。市电供电条件最低不低于二类。IDC机房市电供电类别引入为一类时，油机可不考虑备份；IDC机房市电供电类别引入为二类时，油机应按冗余配置。IDC机房内采用的UPS供电系统从输入配电设备开始到输出配电都应无单点故障。4.5.3制冷要求IDC主机房空调设计应符合GB50019的规定。IDC主机房区的空调系统应采用大风量、小焓差的机房专用空调，空调机应设不低于GB/T14295规定的粗效2类空气过滤器。IDC主机房空调室内机的配置数量应计算确定，应按总制冷量考虑冗余备用。IDC主机房空调送风方式可选择下送风方式或上送风方式。单机架平均运行功率大于制冷系统初始规划设计的，可增设辅助制冷设备。选用上送风方式的机房专用空调，布置上送风风管，空调送风口对应机柜冷通道，回风口设置在热通道上。选用下送风方式的机房专用空调，在机房内设置架空地板，地板高度应随机房内单机柜功耗的进行计算确定。空调冷风在架空地板下通过冷通道上设置的开孔地板（送风口）和机柜前门进入机柜内，空调回风口设置在热通道上。空调冷风也可通过半封闭式机架内的进风口送风。在温度合适的时间段推荐采用水、空气等自然资源进行自然冷却。4.5.4布线要求IDC机房综合布线应符合GB50311中的规定。IDC各机房（区）应根据功能要求划分成若干布线区域，包括网络接入间（区）、主配线区域、水平配线区域、区域配线区域和设备配线区域。IDC主机房区配线子系统的信息点规模应根据IDC自有系统及出租/托管业务机房（区）的业务规模确定。根据配线需求合理配置列配线柜和总配线柜。机房线缆布放应采用上走线方式，线缆布放时应采用走线架，走线架应选择开放式线架，强电、弱电应分别布线，光纤、铜缆宜分别布线。走线架应整体规划，整体走线架设施应不影响机房空调气流组织。走线架及走线槽道的安装设计应符合YD/T5026和YD5059的各项规定。4.5.5安防要求IDC机房安全防范等级为GB50348中规定的一级。IDC机房应设置安全防范监控系统。安全防范系统应由视频安防监控系统、出入口控制系统等子系统组成。各系统的设计应符合GB50348和GB/T50314中的规定。IDC机房宜配置集成的环境和设备监控及能源管理系统，对机房环境、水浸、供电和空调系统工作参数与状态、机架供电情况等进行实时监控、统计。IDC机房应提供动力监控、设备监控、环境监控等能力，符合YD/T1363的规定，同时监控系统应考虑为客户提供相关区域的开放接口。IDC机房应安装门禁系统，并符合YD/T1622中的规定。4.5.6机架要求IDC主机房（包括IDC自有系统用机架、出租用机架）应采用19英寸标准工业机架，建议尺寸为2200mmx600mmx1200mm（高度X宽度X深度）。在需要时，其尺寸变动范围宜为：高度在2000mm~2500mm之间;宽度在600mm~900mm之间；深度在1000mm~1300mm之间。IDC主机房内支持的设备机架平均运行功率宜符合表2要求。根据需要，在机房内供电和制冷条件允许的情况下单机架可采用更高运行功率。针对部分高用电设备，可采用不间断电源或电池就近供电的方式。高级别IDC主机房内每个机架的架内宜配置两路负载分担或主备工作方式的电源分配模块。机架内宜设置机架式电源分配单元，设备不宜跨机架取电。机架式电源分配单元可采用实时监测的方式监测整个机架的电量。机架应有接地装置与机房总接地排相连，机架应提供设备接地用的接地端子。IDC主机房区内通道与机架列间距宜符合以下要求：——设备机架列间距应考虑工艺设备维护空间、用户安全隔离需求，还应根据机架装机功率密度的大小，合理选择列间距。——当IDC机房采用通透式机架时，冷通道间距宜在1000mm~1500mm之间，热通道间距在900mm~1200mm之间。——当IDC主机房区采用半封闭式机架时，机架列间距宜在900mm~1200mm之间。——成行排列的机架，其长度超过6m时，两端应设有出口通道；当两个出口通道之间的距离超过15m时，在两个出口通道之间还应增加出口通道。主通道的宽度不宜小于1.5m，次通道的宽度不宜小于1m.——若考虑机架整体搬迁，则机架列间距应不小于本机架安装的服务器深度加20mm.机房内机架宜采用统一颜色，各列机架高度、同一列机架宽度和深度宜统一。对于非文件机架，宜设置单独的非文件机架区域。机架后部应设置走线空间和线缆管理装置，以便于管理、布设和大量缆线的存储。数据线和电源线分开部署，同时应避免电源线和数据线走线路径妨碍热气流排出。机架的安装设计应符合YD5059的规定，按所要求的抗震加固措施进行加固。4.6管理子系统4.6.1网络管理网管管理的对象应包括IDC内自有设备以及提供代维代管类增值业务的用户设备。在有条件的IDC节点，IDC的网络管理系统可对IDC代维代管的用户托管设备进行管理，保证用户设备高效稳定的运行。网管管理应包括设备管理、拓扑管理、性能管理、故障管理和统计报表功能，具体如下：——设备管理:设备管理应与IDC机房自有设备以及IDC客户托管设备的管理接口相连，这些IT设备包括:交换机、路由器等网络设备，防火墙、入侵检测、流量过滤等安全设备，服务器、存储等主机设备。设备管理应提供对IT设备基本配置信息的管理。——拓扑管理:提供多种视图模板，按照权限和精细程度的不同对各网元视图进行展示。——性能管理:对网络、主机等设备的性能及实时使用状况进行监控，并分析、报告。——故障管理:对不正常的网络和设备运行状况或环境条件进行检测、隔离和校正、告警等一系列功能。——统计报表:提供全面科学的各网元数据统计报表，全方位的各网元管理信息。其中，设备管理应与被管设备的管理接口相连，提供对各设备基本配置信息的管理。设备管理应支持设备的带内管理和带外管理两种方式。4.6.2资源管理资源管理应支持对IDC中各种资源的日常管理、统计、核对。IDC资源管理涉及的资源包含用户提供的资源，包括机房资源、计算资源、存储资源以及网络资源等。除上述为用户提供的资源之外，资源管理的范围还应涵盖设备资源信息、设备用户信息、设备存放信息、设备端口信息等，具体如下：——机房资源管理：实现对机房、机架、机位等资源的管理，提供机房、机架、机位信息的增加、修改、释放、查询功能。——计算资源管理：实现对物理机、虚拟主机、虚拟机以及计算机群等资源的管理，提供资源信息的增加、修改、释放、查询功能。―储资源管理：实现对存储设备（如整套磁盘阵列）、块设备（LUN设备）、文件系统、对象存储或结构化存储（如数据库）等资源的管理，提供资源信息的增加、修改、释放、查询功能。——网络资源管理：实现对IP地址、网络带宽、防火墙、负载均衡、流量过滤等等资源的管理，提供资源信息的增加、修改、释放、查询功能。——其他资源管理：实现IDC设备资源信息，如设备ID、类型、型号、技术指标、用户信息、设备端口等信息的管理，提供资源信息的增加、修改、释放、查询功能。4.6.3运营管理IDC的运营管理应提供服务管理、用户管理、运营统计等功能。运营管理还应实现对用户提供环境监控、故障监控的能力。具体如下：服务管理服务管理应实现IDC的服务产品管理，包括新增服务类别、添加服务、发布服务、更改服务、终止服务、服务审批、查询审批等功能。用户管理用户管理应实现对IDC管理系统用户的操作，包括注册用户、注销用户、修改用户信息、修改密码、密码重置、设置用户状态、查询用户信息、补充用户资料等功能。运营统计运营统计功能应包括客户管理和计费统计两大部分功能：客户管理功能包括客户咨询、客户联系等售前功能，以及客户支持（技术、帐户、计费等）、客户投诉等售后功能。客户管理可通过客户自服务门户方式来实现，客户自服务门户可实现IDC客户查询服务、服务订购、服务退订、订购查询、各类业务资源的在线操作、在线客服等功能。计费统计功能应实现将资源计量数据（可包括机房空间、机架、带宽、虚拟机规格、计算能力、存储能力等计费元素）转换为计费单据，据此形成用户账单，并实现向用户收费的功能。同时实现各类资源的统计数据搜集、存储以及展示，如物理机资源的统计分析，包括已分配物理机的状况，物理机设备的运行状况（供电、主板温度、CPU温度、硬盘温度等），虚拟机资源的统计分析，包括已分配虚拟机的CPU、内存、存储使用状况，各虚拟机的运行统计信息（CPU利用率、内存利用率、存储利用率等）等oIDC的计费统计应提供如下统计报表功能：a）支持对统计数据进行收集、存储（文件系统存储或数据库存储）、合并；b）支持定制过滤器，支持接收/拒绝特定类型的网络统计数据；c）报表应可以按照HTML、XML、EXCEL等格式进行导出；d） 至少保存三个月的原始数据和一年的统计数据；e） 能够对五分钟以前的流量数据进行统计分析；f） 监控类报表必须能够灵活的定制，针对需要监控指标设立监控条件，统计时延必须控制在合理范围之内，应该支持定制周期报表，定期自动采集生成所需报表。IDC的运营管理系统应按照政府相关要求，实现用户信息的录入、存储、报备等功能。IDC1应按政府相关备案要求（网站备案、IP地址备案等），与政府备案管理相关系统实现对接.4.7安全子系统网络安全IDC因特网接入层应能防范分布式拒绝服务攻击。IDC运维管理层和被管系统的接口处宜配置安全控制网关，实现基于用户名、用户域名的网络权限精确管理、实现用户访问日志的记录、支持多种口令的认证，实现用户终端审计和用户行为审计。IDC应提供安全可靠的VPN接入手段或KVM，实现IDC运维人员、客户维护人员远程访问IDC自有及托管设备。IDC汇聚层在其下联的业务接入层业务区有需求时，应在汇聚层处配置防火墙、入侵检测系统等安全设备。IDC业务接入层应配置病毒防范系统,实现对IDC自有设备进行统一管理,并具备对有需求的用户设备进行病毒防范管理的能力。IDC业务接入层宜配置网页防篡改系统，实现防范WEB服务器上的网站页面被非法篡改，且在页面遭受非法篡改后能够自动屏蔽非法网页以及进行页面的自动恢复。IDC业务接入层宜配置DNS防劫持系统。IDC业务运营者应能够为被服务对象提供有效的网络安全防护手段，例如防火墙、入侵检测、漏洞扫描、病毒查杀等，以抵御来自网络的各种类型的攻击。IDC业务运营者应具备对自己管辖网络内信息的溯源能力，即：——IDC业务运营者应记录并保存被服务对象系统设备的IP地址配置信息（包括：静态分配的IP地址和设备/用户名；动态分配的IP地址、使用的终端/用户、分配时间等）。——对于向用户提供IP地址转换服务的IDC业务运营者应能