信息化技术架构规划

1、信息化技术架构规划数字化转型的挑战与信息化建设关键思路1信息化技术架构规划总体思路23CONTENT基础设施架构、云管理、信息安全体系建设互联网云计算大数据区块链人工智能企业边界逐步消失组地业用织域务户边边边边界界界界潜在的安全风险。新形式下的安全风险虚拟化建设主要关注资源池化、统一管 理等问题，安全更多关注边界安全，缺 乏体系化的云安全防护；业务部门的IT资源缺少分组和隔离，有IT组织架构复杂，数据中心多个层次结构集团、子公司多级IT组织，甚至部分单 独的IT建设运维子公司。并需要面临业 务发展需求驱动组织整合拆分，总部、区域两层数据中心架构，总部 “两地三中心”，子公司就近接入。业务架构已

2、经开始变化传统数据库应用与云原生应用并存云原生应用架构种类过多平台难以统一互联网+业务存在多云部署与协同困难IT资源异构程度较大业务系统由不同时期的不同项目组采购 不同品牌软硬件完成建设，导致大量异 构的资源，缺乏统一规划，资源集成与 数据集成难度都很大。不同业务系统的SLA要求不一致。IT转型过程中的四大挑战投资有限需求激增IT人员少规模扩大可靠性差数据资产性能不足数据决策3软件定义、混合云硬件化设备独立硬件孤岛管理割裂厂商异构传统数据中心虚拟化数据中心12以软件定义为核心的分布式云化数据中心虚拟化横向扩展资源池化管理统一三方兼容云交互云迁移云爆发云备份0110011110001010110

3、0010100100110001010101100010100011001111001001010101100010100011001111001001110001010001100010110001010001100001001011000101000111111001101100100011001111001001001010010100网络虚化 存储虚化 易于管理 自动部署软件定义数据中心的价值在架构具备高度的灵活性，可以将安全、存储、网络、计算能够延展到不同的云上。 而硬件定义数据中心则会受制于专业的设备，往往无法满足成本、可扩展的要求。应用云化建立云化资源池 应用迁移与升级资源管理和

4、调度机制治理一体化多云管理匹配组织的云治理 端到端监控机制安全体系化数据备份机制 业务可靠性与容灾网络安全硬件标准化减少设备数量和种类 采用超融合架构进行 标准化模块式设计建立业务数据统一备份平台，提供分等级的备份服务SLA 建立多活数据中心的容灾保护机制，提供分等级的容灾服务完善网络安全分区分域和安全态势感知设计，提升平台安全防护水平等级。构建多数据中心、多云的统一管 理体系。建立高效标准化的云计算运营平 台，并匹配IT的组织架构，自动 化部署和快速业务发放。建立业务状态感知和用户体验的 统一监控机制。加强快速定位问 题和性能监控。针对设备繁多、运维复杂 进行设备清单梳理，基于 超融合架构替

5、换迁移，降 低运维复杂度。引入计算、存储、网络、 安全IT全栈虚拟化能力， 构建可弹性扩展的云资源 池。应用系统的分类梳理，形成对应的应用云化方案。在规划指引下分阶段分步骤迁移上云，提升应用管理性、性能、可用性。数字化转型的挑战与信息化建设关键思路1信息化技术架构规划总体思路23CONTENT基础设施架构、云管理、信息安全体系建设上层技术应用混搭化底层基础设施融合化中间支持系统平台化管 控 集 成 安 全 深 入 化数字化转型也决定着IT技术的发展趋势交付、服务、商务灵活、无忧同架构混合云（私有云、分支云、 托管云、混合云、云间组网、安 全等保）一站式云服务、统一服务目录 咨询、迁移、运维、培

6、训等应用集中化、组装化应用集中化建设部署，通过快速 组装和开发，支撑业务需求公共能力组件化、标准化统一内外部接口标准，实现接 口服务化与灵活组装全局数据统一共享通过数据统一标准、统一管理、 全局共享，充分发挥数据价值基础架构标准、云化、安全体系化技术标准统一，资源灵活扩展， 系统稳定运行，保障信息安全软件定义全栈云化、稳定安全无忧承载、面向未来能力生长统一技术架构管理和规划，沉淀技术能力和标准，支撑技术架构的扩展应用 层平台 能力 层数据 层资源 层OA、HER、MES、ERP、数据分析，财务/租户1PLM/租户2BI/租户3微服务框架治理开发流水线服务集成服务注册服务路由服务监控 代码检查构

7、建测试消息队列RDS 服务发现 服务推送代码打包编译 部署缓存 .数据服务目录数据治理元数据管理源数据ETL汇聚库批处理主题库批处理专题库数据质量数据标准HDFSSparkHIVEKalfkaStormRedis.生命周期计算服务存储服务网络及安全服务灾备服务普通云主机云容器块存储VPCvLB云主机备份 异构云主机镜像对象存储安全组弹性IP云磁盘备份 GPU云主机 裸金属文件存储VPNvFW云主机容灾数据 集成服务 集成应用 集成资源 云化 安全 体系 化构建面向大数据的智能数 据分析体系构建基础架构“五大”能 力中心以微服务架构实现业务快 速响应集成，实现业务端到端集 成技术架构管理规范云化

8、思路之：多元化大型集团企业IT运维团队IT基础设施分支/子公司强运维型业务系统IT运维团队IT基础设施分支/子公司轻运维型业务系统IT运维团队分支/子公司托管运维型业务系统IT基础设施集团总部集团公共应用分支托管应用 IT运维团队IT基础设施现状集团与分支间是弱管控或强管控关系；集团总部基础运维人员少、编制有限；集团负责公共应用的运维，或为部分分支 提供托管服务；分支拥有自己的IT基础设施，或自有机房、 或IDC托管、或公有云；不同分支的运维能力参差不齐；集团与分支业务快速扩张，或有并购；互联网类、创新类应用大量涌现IT业务发展挑战IT如何为集团的业务扩张提供战略支撑；如何实现业务的集中管控与

9、大数据战略；如何建立统一的IT服务标准与管理体系云化思路之：多元化大型集团企业第一阶段：先行试点阶段第二阶段：服务集团业务第三阶段：服务产业生态云化目标低投入、快速的进行云化试点；建立可计费的统一运营门户；优先满足新建与退服业务的需求有计划的进行内部宣传推广；建立上云的原则，统一规划资源分区；建立统一的安全、运维、灾备体系关键业务有计划的迁云；建立多区域、多云的混合战略；建立统一的云管理体系解决方案总部部分业务进行超融合标准化改造；总部试点托管云，按量付费；部分分支采用标准化的超融合方案托管云与超融合的进一步扩容；标准化的安全、运维、灾备解决方案；多云的融合管理平台；大数据战略、行业PaaS与

10、SaaS建设；组织能力组建云运营服务中心，为业务部门上 云提供咨询、迁移、运维服务；通过持续的培训与实践认知云能够对部署在云上的应用提供环境搭建、 资源优化、安全与灾备的运维服务；开始进行中台、微服务的应用架构改造了解不同云的特性，能够实现多云资 源的统一调度与管理；IT能力可以对供应链或产业输出云化收益降低了分散建设的整体投资，快速的 业务上线，减轻了基础运维复杂度；建立了集中化、标准化的IT架构IT成为集团内部自申请、自运维、可计量 的公共服务，可支撑业务的快速扩张；建立了标准化的IT基础架构与管理制度基于云的大数据、物联网、AI等将为 集团带来巨大的收益与效率提升；成为行业的数字化转型榜

11、样或领导者数字化转型的挑战与信息化建设关键思路1信息化技术架构规划总体思路23CONTENT基础设施架构、云管理、信息安全体系建设基础硬件层虚拟化实现层 (技术类别)IAAS交付层（OS）存储虚拟化服计算虚拟化网络虚拟化CPUCPURAMRAM智能交换机 网安产品超融合一体机 融合存储EDS交换机服务器 存储KVM XENESXIHyper-vswift HDFSceph glusterFSvSwitchvRouterNFV：vAD、vAFoverlayneutron openflow深信服基础架构硬件异构基础架构硬件vCentervxrail cisco深信服 nutanix超融合原生ope

12、nstackopenstackeasystack云管理自服务资源调度计量计费API混合云 管理灾备管理统一运维CMP运营中心运维中心安全中心可靠中心IaaS资源池大数据资源池灾备资源池超融合传统架构异构资源池VMware第三方PaaS资源池DockertfadoopMPPDBRDS双活主备备份云服务云租户计量角色编排资源容量规划标签报表用户告警拓扑报表大屏升级问题配置管理资源管理公有云安全策略审计安全服务防病毒堡垒机态势感知安全制度安全事件合规备份容灾CDP演练恢复基础安全防护重塑网络边界安全，缩小攻击面数据中心核心安全基于人工智能、大数据分析技术、攻防 技术，打造安全能力，加强网络、主机、

13、应用于与数据安全，增加业务安全性全局可视及安全治理基于安全可视技术， 提高安全治理能力出口边界安全访问控制、链路负载、入侵防护、恶意代码防护等安全域隔离安全域隔离、业务安全边界参考标准云安全联盟 CSA C-STAR等保2.0等级保护体系(GB 17859)信息安全保障体系(GB/T 20274)技术体系(RFC、NIST-SP800)管理体系(COSO、COBIT、 ITILRISO27001、ISO27002)评估体系(ISO15408)态势感知高效运维管理全局安全可视化、失陷主机检测、失陷终端检测、攻联动威胁处置、7*24小时服务、安全策略管理、资源 击举证、威胁处置建议、影响面分析管理

14、、运营报表应用和数据安全webshell检测、sql注入攻击检测、数据防泄漏、UEBA、数据库审计设备和计算安全身份认证与权限控制、恶意文件查杀、准入控制、端点响应网络和通信安全访问控制、入侵防范、恶意代码防范、安全审计适配的安全架构适配虚拟化的安全域隔离、分级分域的安全能力配置数 据 中 心云数据中心落地：超融合标准架构统一云管DC1DCn高性能集群高安全集群大容量集群VMWARE集群资源分区1计算资源池存储资源池网络资源池安全资源池资源分区2计算资源池存储资源池网络资源池安全资源池资源分区N计算资源池存储资源池网络资源池安全资源池业务业务业务业务业务业务业务业务业务业务业务业务子公司子公司

15、子公司子公司云数据中心管理理念：物理分布、逻辑集中一个数据中心，当多个用虚拟数据中心VDC多个数据中心，当一个管异构、异地、混合云简化集成，模块化交付面向业务优化的集群规划核心优势硬件标准化 软件统一平台 软硬件可解耦标准化统一规划；只需标准X86与交 换机两类硬件；软硬件交付灵活，可不绑定；易扩展完整性完善的SDDC技术计算虚拟化网络虚拟化安全虚拟化容灾体系监控体系云管平台分支云应用级监控高可靠业务保护中心硬件层：实时监控平台层：全分布式设计；数据层：多副本、CBT、CDP业务层：tfA、vAD、 灾备建设、双活建设、容灾管理平台高性能分布式 数据库优化分布式高性能存储SSD+tfDD； 数

16、据分成；条带化；数据热力算法；数据读写策略；数据库优化核 心 优 势易管理统一管理 自动编排云管平台业务编排所画即所得应用监控健康检测连通性探测强安全完善的数据中心 安全体系丰富的安全组件；南北：vAF东西：vFW微隔离 平台：WAF数据中心：安全体系化分 支 云基于OverLay+NFV的云租户网络模型应用应用交付数据库OA业务Subnet1安全接入网关广域网 优化网络通信审计数据库审计主机杀毒堡垒机安全子网Subnet3BGP出口带宽下一代防火墙 vNGFW虚拟路由器 vRouterVPC灾备数据中心员工/合作伙伴/授权客户公众用户分支机构应用应用交付数据库WEB业务Subnet2中间件中

17、间件 DDoS高防安全云分 支 云BBC集中管理平台广域网安全态势感知平台分支接入区广域网优化WOC一体化安全网关路由器 MIGaBOS分支一体机大中型分支微型分支广域网优化WOC多数据中心CN2云平台vWOC云平台vWOC海外分支海外分支总部端跨国云广域网优化WOC专线互联网线路广域网优化WOC核心优势核 心 优 势不依赖于现网的大二 层技术易部署 AUTO VPNNFV功能随需扩展 基于超融合架构分支零IT业务访问更高效管理更敏捷智能选路 链路优化 数据优化 应用优化 视频优化集中管理大屏 VPN链路大屏 策略统一下发 分支智能监控 多维度告警 丰富报表分析立体安全防护边界安全 传输安全

18、终端安全 移动安全 上网安全容 灾 体 系XYclouds 灾备云Internet应 用 A 内网IP A 选择记录 云端拉起 数据迁移应 用 A 内网IP A分支机构 正常访问IPSec VPN 1IPSec VPN 2IPSec VPN 3访问内网IP A 更改路由策略，应用A连接由IPSec VPN 2改至IPSec VPN 3 异常访问 业务恢复时更改路由策略将应用A连 接改回至IPSec VPN 2恢复访问深信服企业云云主机 异常告警云存储 决策恢复 业务回切vSphere生产站点vCenter ServeraSV/aSAN/aNETaCMP1、备份虚拟机到aCloud2、迁移虚拟机

19、到VMware核心优势核 心 优 势容灾集成于平台中， 融合交付，无须安装 第三方软件和插件， 一键获取容灾功能， 是虚拟机级别的容灾 方案高集成、低投入高灵活高可靠可根据RPO需求调整 配置的带宽大小，提 供断点续传、压缩传 输功能，帮助用户节 省带宽资源，节约成 本本地备份-异地容灾 本地提供秒级的持续 数据保护方案；异地提供不同RPO（1秒、10秒、10分 钟、30分钟、1小时、 2小时、4小时、8小 时、12小时、1天、2 天、一周）的虚拟机 级容灾功能可视化统一管理一键恢复：RTO做到 10分钟一键回迁：只回迁差 异数据可视化：提供可视化 的容灾监控中心大屏 页面云 管 体 系云运营

20、管理员职责：云平台整体资源的分配、运 营、流程审批、计量策略等云运维管理员职责：云数据中心基础设施运维 云数据中心硬件设备管理租户管理员职责：租户资源的申请及使用 业务拓扑的构建及变更 业务安全策略的定义 业务备份策略的定义 租户云资源的维护分公司分公司云系统管理员（最大权限）分公司公司生产部财务部销售部生产部财务部人力资源部三 权 分 立多 级 管 理云管理平台角色权限管理云 管 体 系云管理平台云服务设计主机资源CPU：1核 内存：2GB 硬盘：40GB 网卡：GECPU：2核 内存：4GB 硬盘：80GB 网卡：GE内存：8GB 硬盘：80GB 网卡：GE存储资源低配 VM高配 CPU：

21、4核VM标配 VM网络资源（2-4层）防火墙（4-7层）入门级吞吐：400M 新 建 ：1W 并发：50W标准级吞吐：800M 新 建 ：2W 并发：100W进阶级吞吐：1600M 新建：5W并发：200W专家级吞吐：2400M 新 建 ：12W 并发：400W桌面资源负载均衡（4-7层）入门级吞吐：500M 新建：7.5K 并发：10W标准级吞 吐 ：1G 新建：1.3W 并发：30W进阶级吞吐：1.5G 新建：2.4W 并发：60W专家级吞 吐 ：3G 新建：4.8W并发：120W存储资源服务计算资源服务网络资源服务（包含桌面）安全资源服务最终用户资源 申请资源 审批租户管理员平台管理员配

22、额 申请配额 审批vDSwitchvRouter/ vDRoutervDFWWindows 7Windows 10数据库资源备份资源SQL ServerOracleMy SQL云 管 体 系云管理平台智能运维、立体监控安 全 体 系互联网出口安全（AF，AC，AD）数据中心出口安全（AF、AC，AD，DAS，VPN）基础安全 架构优化构建大脑 全网联动安全治理 响应闭环自动化响应人工应急安全咨询规划安全治理用户区运维管理区分支区业务系统区用户终端安全运维人员接入信息安 全，设备日志安全分支运维安全针对不同业务系统的 安全分区分域 深化防御持 续 提 升 安 全 能 力构建基于安全防护为基础，以

23、精准检测为手段、提升响应效率，形成本地自适应的安全体系加强主机安全基线管理，通过AI 进行异常行为监控，形成业务 端点“防御、检测、响应”能力基于安全云脑实现主动防御，加强 云端防御、检测与响应服务，结合 云端专家服务云端 安全边界 安全端点 安全安全 中心终端、网络接入安全，L2-L7层外部完整边界防御、检测、响应体系基于AI、大数据、流量检测技 术，通过内网持续检测与分析， 逐步消除内部安全风险安 全 体 系SP1SP1互联网出口区核心交换区其他业务区邮件系统其他系统三级系统三级系统三级系统三级系统存储区三级系统区（核心系统）外联区财政银联其他安全管理中心区态势感知基线核查堡垒机日志审计E

24、DR平台网管平台门户网站APP平台其他系统云端服务区对外服务区终端接入区访问区无线区云安全服务 云眼/云盾/G017*24h云端专家职守EDREDREDREDREDREDREDREDREDREDREDREDR行政区办公区核 心 优 势安全技术 体系安全管理 体系安全运营 体系完整的安全 体系风险、威胁核心资产对象网络服务器存储应用系统数据关键文档外部威胁内部威胁高级威胁业务异常安全能力 体系核 心优架构升级AC安全模式升级B技 术 升 级BCA势升级安全架构以攻击向量为驱动，以防御，检测，响应 为指导，高效实用以防火墙为核心的防御体系：阻断恶意 流量和通道打造体系的基础以SIP为核心的检测体系

25、：监控和分析网络流量打造体系的“指挥中心”以安全服务为核心的响应体系：完善安 全能力的缺失，形成体系的闭环优化安全模式云端有“云脑”：全局数据分析、全网协同保护 本地有“大脑”：宏观辅助决策、微观有效运维自主进化架构，完善威胁情报，全网态势感知，多引擎分析，全面数据分析，庞大资源算法池。可交付安全敏捷安全服 务进化安全能力基于LSTM的僵尸网络检测基于机器学习的save杀毒引擎 基于多模型融合的邮件安全 基于人工智能的聚类分类技术。深信服安全体系的技术核心价值点D安全产品升级D产品品牌升级行为管理市场占有率“排名第一“ SSLVPN市场占有率“排名第一”下一代防火墙市场占有率排名“排名第二” 整体安全出货占比国内安全占比“排名第一”IT能 力深信服智能交换机深信服超融合 标准X86服务器仅需2类物理设备适用6种业务场景承载办公类系统OA系统 网站集群 人事系统 承载核心业务系统OracleRAC J2EE CAN DavOps 承载大数据智能平台Elasticsearch Hadoop Hbase Hive Flume Kafka Storm AI 建设云