信创云规划设计建设方案

信创云规划设计建设方案延时符目录信创云安全建设方案什么是信创云信创云建设需求分析2信创云建设方案设计1342什么是信创云什么是信创4IT基础设施信息技术应用创新基础软件信息安全应用软件边界安全终端安全数据库操作系统中间件办公软件流式版签业务应用生产系统管理信息系统办公系统信创，即“信息技术应用创新”。我国自主信息产业聚焦信息技术应用创新，旨在通过对IT硬件、软件等各个环节的重构，基于我国自有IT底层架构和标准，形成自有开放生态，从根本上解决本质安全问题，实现信息技术可掌控、可研究、可发展、可生产。信创发展是一项国家战略，也是当今形势下国家经济发展的新功能。信创产业发展已经成为各行各业数字化转型、提升产业链发展的关键。国家战略中央网络安全和信息化领导小组成立:习总书记亲自担任组长，标志着网络安全和信息化已上升为国家战略。习总书记在网络安全和信息化工作座谈会上指出：要尽快在核心技术上取得突破，加快构建关键信息基础设施安全保障体系。《中华人民共和国科学技术进步法》：第二十七条明确规定，国家建立和完善科研攻关协调机制，推动产学研紧密合作，推动关键核心技术自主可控。在第七条提到：加强原始创新和关键核心技术攻关，加快实现高水平科技自立自强。2014年2月2016年4月19日2021年3月11日2021年12月24日网络安全和信息化上升为国家战略

《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》：加强原创性引领性科技攻关。集中优势资源攻关关键元器件零部件和基础材料等领域关键核心技术。5信创背景关后门防断供堵漏洞网信安全高端芯片的流片在境外产业链存在“卡脖子”环节，关键核心的软件工具和元器件受制于人我们的CPU、操作系统被微软、英特尔等美国公司把控CPU和OS等关键核心产品内置“后门”“内网”走向互联网之后，面临的漏洞攻击种类更多、频次更高、强度更大等挑战“微软黑屏事件”（2008）“棱镜门事件”（2013）“震网病毒事件”（2010）“中兴华为事件”（2018、2019）网信安全事件频发，清晰传递出了一个重要信息，那就是关键元器件以及基础软件等核心技术，不能受制于人，否则就会被卡脖子、断供甚至受到后门漏洞的攻击，严重威胁国家网信安全。6党政信创经验成果党政信创的实施成果应用升级统一平台架构，实现业务重构与资源整合，打通信息孤岛，优化业务流程，实现业务应用层面的升级技术升级促进信创体系与云计算、大数据、人工智能等新一代信息技术相融合体验升级将移动互联网的使用模式引入到信息系统建设中，实现部署简单高效、升级方便及时、操作灵活易用，实现用户体验层面的升级在完成党政信创任务的同时，同步实现了应用、技术、体验等多维度升级，提升了电子政务安全可控水平带动并形成了以“信创CPU芯片+信创操作系统”为基础的自主可控信息技术体系和产业生态推动我国信息产业发展实现历史性跨越7什么是信创云8信创云作为信创落地的主要技术方式，在央国企国产化替代及上云需求的爆发下，也将迎来高速发展。相关机构数据显示，近三年，信创云市场规模预计保持同比50%以上的增长率，2025年将达到1438亿元。目前，业界尚未对“信创云”给出明确的标准定义。所谓“信创云”，业界普遍认为是基于国产化存储、计算、网络、操作系统等基础软硬件打造，具备高可靠性、高可扩展性、安全可信等核心特征。尽管每个行业要求不一样，但最重要的是组成信创云的基础软硬件产品要符合信创标准。另外，就是要坚持信创云软件的自主研发，能够通过对底层不同类型的计算、存储以及网络等资源进行统一纳管，有效屏蔽底层资源差异性，保障企业IT架构在全面信创迁移过程中的平稳过渡，并能够通过容器、微服务等先进技术，对上层应用开发及编排、调度提供支持，起到在IT架构全面国产化替换过程中关键的承上启下作用，加速信创目标的达成。传统私有云方式企业传统私有云搭建大多基于VMware虚拟化+虚拟化管理平台搭建，通过将底层计算资源进行池化处理，帮助企业实现底层资源的统一管理和调用。这一架构由于稳定性较高，且应用范围较广，在过去的很长时间内，是企业搭建私有云的首选方案随着近年来信创政策的陆续颁布，这一架构核心技术不可控、不具备一云多芯能力等缺陷逐渐显露出来，严重制约了企业IT架构国产化替换进程9信创云的基础架构通过搭建信创云平台对原私有云平台替换，是目前企业实现IT架构从下至上全面自主可控的必然选择10信创云的类型现阶段主流信创云可分为三类，传统架构信创云、超融合架构信创云以及云原生架构信创云，三种信创云在核心技术及应用范围等方面均有所区别传统架构信创云从实际需求端来看，传统架构信创云由于与企业原有私有云平台在功能和架构相差不大、应用迁移成本较小等原因是目前企业的需求重点。具体来看，企业对于传统架构信创云的要求主要

：需要核心技术自主可控、需要应用迁移成本较小、需要能够屏蔽底层资源差异性、需要具备优秀的安全保障能力等。超融合架构信创云超融合架构信创云主要指的是基于国产超融合软件+超融合一体机搭建的云平台，该平台部署成本较低，并且在功能上与传统架构信创云相差不大，只是计算性能和底层资源池化管理能力方面要稍逊一筹。因此，现阶段主要是应用在中小型企业，以及大型企业的边缘业务场景，整体需求并不旺盛。云原生架构信创云云原生架构信创云：指的是基于K8S打造，具备分布式、容器化以及微服务化等核心特征的云平台。企业通过部署云原生架构信创云，一方面，能够基于其成熟的原生分布式架构，有效提升系统敏捷性，从而更好的应对高并发应用场景；另一方面，能够依托容器、微服务等先进技术，实现底层计算资源的封装和按需调用，帮助企业既可以具备与传统架构云平台相同的底层资源统一纳管能力，又可以较好支撑上层应用的开发及编排、调度。11信创云建设需求分析核高基2006-2013第一批试点2014-2016第二批试点2017-2019全替代2020-2023单品支持：试验性替代CPU/OS/中间件/数据库/整机/办公套件应用为牵引，系统性替代，以政策性最强的电子公文作为突破口系统替代：电子公文系统，简单办公依托体系，存在国产化产品的全部进行替换，真试真用，真用实用体系替代：真试真用，复杂办公建设完整的国产化生态，包括基础软硬件、信息资源、应用系统、安全和IT管控等全替代：面向全国，生态完整HN云：50节点TJ云：20节点从无到有从“不可用”到“基本可用”从“基本可用”到“基本好用”从“基本好用”到“智能高效”GX云：900节点随着信创领域软硬件产品功能和性能的升级，下一阶段的发展必定是利用云计算、大数据等新兴技术，不断拓宽信创的边界，创造更大的价值信创云建设是政企数字化转型的必然趋势13010203042020201720192013提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平《信息安全技术网络安全等级保护基本要求》等保2.0增加云扩展要求，从一个中心三个防护维度进行云安全要求《可信云服务认证》对数据可销毁性、数据可迁移性、数据私密性、数据知情权等进行了规范《云计算服务安全评估办法》建立云计算服务相关安全管理流程和制度，通过系统化的方式确保合规要求内部落地《中华人民共和国网络安全法》正式执行，按照要求开展商用密码应用安全性评估，确保云计算平台密码应用的合规性、正确性和有效性；《中华人民共和国密码法》国家密集出台云计算安全建设的相关政策安全是信创云的基石14政企信创云规划设计方法论B规划和设计C实施和优化A现状和需求分析业务战略分析生态图谱分析商业模式分析价值链分析信创数字化转型潜在需求现状分析新兴技术分析DT成熟度评估最佳实践分析信创数字化转型现状和展望信创数字化战略规划信创数字化顶层设计企业数字化业务规划业务架构设计数据架构设计技术架构设计应用架构设计现状与需求、展望差距分析项目规划和卡片设计实施路线制定项目组合制定效果评估优化调整迭代推广Analysis现状和需求分析Blueprint规划和设计Construction实施和优化项目交付“速赢”场景设计安全架构设计15政企信创云总体需求分析如何承接战略发展?如何支撑组织建设?如何驱动业务发展?如何适应发展趋势?总体需求分析业务发展支撑和驱动央国企战略管控围绕人、财、物和信息等共性资源，构建央国企范围综合服务平台，提高行政管理工作效率支撑三大核心能力构建持续赋能，提升能力的价值，打造能力使用的生态运维需求统筹建设数据中心、网络和云平台按照集约化建设原则，实现资源共享，根据央国企商密和国密信息安全要求，构建相应的网络基础设施采用国产化技术实现安全可控采用信创基础软硬件技术产品，构建基于内生安全的安全自主可控体系构建数字中台实现能力的共享及复用将企业IT能力进行沉淀，实现业务应用的灵活定制，适应公司业务的快速变化和发展数智需求基础需求企业管理保障体系标准体系信创需求建立数字化管控机制及组织保障体系持续赋能，做好数字化人才建设建立支撑央国企信息化建设的标准体系为数字央国企建设的全面推进夯实基础构建一体化智慧云网边端运维体系对网络、云平台、边缘计算以及基于云平台构建的应用提供智慧运维管理与监控能力业务需求技术需求16不同行业信创云建设特点行业共同点能源类制造类建筑类服务类集团型企业，加强集团管控，实现管控数字化；多产业板块，利用产业板块间的关系，实现产业链协同；重点关注财务、资金、投融资、风控、人力、党务等业务管理，利用技术平台实现业务资源共享；财务共享、大数据分析为数字化转型的突破口。行业特点清洁能源持续发展；整个能源产业从产能扩展转向智能发展，如智能炼化、发电；更重视降本提效；重资产类企业。信创云应用重点场景更多的智慧场景建设：智慧油田、智慧矿山、智慧电网、智慧水务等；提升数字化、自动化能力，尤其在一些危险工作环境加快推进无人化、远程化操作；全产业链协同，高效运营。具体分为流程制造和离散制造；重资产类企业；生产制造全过程复杂，企业价值链复杂，产业供应链复杂。智能制造为主要转型方向，持续推进两化融合工作；基于数字孪生，加强设计制造数字化协同；重资产企业加强设备全生命周期管理，利用物联网技术、利用机器大数据。建筑产品个性化、非标准化；项目管理、施工现场管理；多业务模式：PPP、EPC、BOT等；重资产类企业。开展建筑信息模型、数字化协同设计；全面提升BIM技术在行业中的应用；强化建筑行业现场管理、远程管理、智慧工地建设；融入智慧城市体系。服务类企业细分行业差异大；TOB和TOC发展不平衡，TOB业务数字化转型场景丰富；用户习惯多变，需要企业应变能力强。打造柔性、智慧供应链；增加线上服务业务范围，推动虚拟服务网点建设，向智慧服务转变；创新商业模式、服务模式；基于互联网平台拓展，增强客户黏性。17业务需求：为满足政务外网23个业务系统运行，并考虑未来3年规划，评估需要100台服务器作为计算资源可满足需求系统涉及到常规应用系统（OA、门户等），后端系统（高并发数据库、数据处理系统）云服务需求：需支持主流IaaS服务，包括云主机服务、弹性伸缩服务、块存储服务、文件存储服务、虚拟网络服务等安全需求：云平台安全建设需通过等保2.0三级和密码测评运维需求：需支持对虚机的监控和管理灾备需求：需实现本地备份和异地数据容灾某国企客户将在外网建设一朵信创云平台，以下为本次建设需求：存储需求：存储服务需基本块、文件、对象等服务每种类型分别需要可用容量为200TB块存储带宽需达到12GB，IOPS需达到10万IOPS；文件存储带宽需达到6GB，IOPS需达到5万IOPS；块存储带宽需达到8GB，IOPS需达到4万IOPS；某国企信创云建设具体需求案例18信创云建设方案设计安全体系主机安全数据安全网络安全应用安全密码安全搭建3层3体系为核心的信创云，助力政务治理现代化建设国产服务器设备国产网络设备国产存储系统基础设施层计算服务资源资源层运营服务计算服务资源池虚拟机多集群高可用存储服务块存储对象存储文件存储网络服务负载均衡虚拟网卡IaaS容器平台资源调度｜集群管理｜镜像管理｜应用管理｜服务自愈｜秒级部署｜弹性伸缩PaaSc'v电子公文文件交换内网门户机关事务绩效考核档案管理安全邮件……SaaS云管平台运维服务云服务运维体系报警阈值运维管理运维分析监控监控设计设计设计设计原则：根据厂商产品和招标要求进行整体架构图设计及介绍存储服务资源网络服务资源设计灾备体系系统容灾数据容灾数据备份设计信创云系统架构设计20中国电子云3-128节点： 3控制节点128-256节点： 5控制节点256-512节点： 7控制节点512-1000节点： 10控制节点不同云厂商，不同规模的计算节点，控制节点开销不同。本次根据项目需求，计算节点规模为100节点。华为云5-200节点： 5个控制节点200-500节点： 9控制节点500-1000节点： 11控制节点信创云部署架构（系统层）21计算资源池需规划区域、计算类型、VM类型等本次针对政务外网划分为一个单独Region计算资源划分为一个单独AZ区域规划针对普通的应用系统，如WEB，对内存容量、IO、扩展性的要求都不高，采用虚拟主机对于高性能计算，大容量存储，大容量内存和高IO的需求，则采用裸金属服务器计算类型规划虚拟机规格需要根据各种系统对于CPU、内存、网络和存储的I/O需求不同来进行分类VM类型规划资源池规划设计方案-计算资源池（资源层）22存储资源池需规划服务类型、容量、性能等本次针对政务外网业务需求，规划存储服务包括块存储、对象存储、文件存储存储服务规划针对本次业务需求，分别核算块存储、对象存储、文件存储可用容量容量规划针对本次业务需求，分别统计块存储、对象存储、文件存储性能需求（吞吐量、IOPS）性能规划资源池规划设计方案-存储资源池（资源层）23网络资源池需规划地址、虚拟网络服务等针对本次业务需求，分别规划业务平面、管理平面等IP地址地址规划提供网络服务的节点数量需根据业务需求和规模进行规划虚拟网络服务规划资源池规划设计方案-网络资源池（资源层）24IaaS网络服务VPC虚拟路由器负载均衡安全服务安全组密钥对防火墙存储服务云存储快照计算服务云主机主机高可用……………………备份镜像/快照云服务设计的主要原则：产品响应描述注：根据技术要求和厂商产品支持服务种类进行撰写四、云服务设计方案（IaaS）25集中监控与统一运维集中监控告警，资源池统一运维管理，应用自动化部署，运维场景化自动化。多维度运营分析数据可视化方式，全面、多维度分析各资源状态、业务资源消耗、成本分摊等。集中安全控制政务云多云平台系统权限统一收敛，操作管理全流程审计记录。服务编排与发布管理IaaS资源、PaaS服务编排，服务与目录发布管理，可见性集中控制。服务管理（资源池适配/调度）云资源管理云资源生命周期管理监控告警运营分析运维自动化流程审批安全审计组织与权限管理认证系统多租户安全检查自助部署......云运维门户自服务门户云监控门户REST

API工单管理实现统一资源管理、自动化运维，自助服务、多租户管理等功能注：根据技术要求和厂商产品支持服务种类进行撰写云管平台设计方案26虚拟计算节点集群物理计算节点（裸金属）集群政务外网管理服务器集群分布式存储系统政务外网业务区根据项目需求，本次服务器类型包括管理服务器、虚拟计算节点、物理计算节点等，集群架构如下注：常规服务器类型就是计算和管理，但是有些云厂家会单独规划网络节点服务器或其他类型服务器裸金属服务器一般常用于部署数据库服务或对性能需求要求较高的服务服务器集群方案-架构设计（基础设施层）27

根据本次项目需求，政务外网区部署100台服务器，其中80台用于虚拟计算节点、20台作为物理计算节点、5台用于控制节点（其中两台为网络节点）区域节点类型服务器配置服务器数量政务外网区虚拟计算节点处理器:飞腾FT-2000+2.2GHz64核

内存：256GB

系统盘：2*480GBSAS

万兆网卡：4*万兆单端口网卡

千兆网卡：2*千兆双端口网卡

Raid卡：配电池，支持1、5

尺寸：2U

电源：1+1冗余，单电源功率800W

磁盘控制器：1个LSI9361-8i

PCIE插槽：7个

IPMI接口：1个

USB3.0接口：2个

VGA接口：1个

80物理计算节点处理器:飞腾FT-2000+2.2GHz64核

内存：256GB

系统盘：2*480GBSAS

万兆网卡：4*万兆单端口网卡

千兆网卡：2*千兆双端口网卡

Raid卡：配电池，支持1、5

尺寸：2U

电源：1+1冗余，单电源功率800W

磁盘控制器：1个LSI9361-8i

PCIE插槽：7个

IPMI接口：1个

USB3.0接口：2个

VGA接口：1个

20控制节点处理器:飞腾FT-2000+2.2GHz64核

内存：128GB

系统盘：2*480GBSAS

万兆网卡：4*万兆单端口网卡

千兆网卡：2*千兆双端口网卡

Raid卡：配电池，支持1、5尺寸：2U

电源：1+1冗余，单电源功率800W

磁盘控制器：1个LSI9361-8i

PCIE插槽：7个

IPMI接口：1个

USB3.0接口：2个

VGA接口：1个3注：硬件配置建议高配或满配控制节点配置一般低于计算节点计算节点数量需根据需求进行设计控制节点数量需根据云平台厂商建议规划网络节点数量需根据业务需求和厂商建议规划服务器集群方案-服配置和数量（基础设施层）28

根据本次项目需求，本次采用分布式存储来搭建信创云平台的存储系统，本次将建立三套存储系统，分别提供块存储服务、对象存储服务、文件存储服务注：根据项目实际需求和云厂家推荐，来选择存储系统（集中、分布式）如Ceph等存储系统，一套存储可用提供文件、块、对象服务；但是为考虑性能建议分开设计存储系统方案-架构设计（基础设施层）29

根据本次项目需求，需要200TB块存储、200TB对象存储、200TB文件存储可用容量本次规划全部采用三副本技术，则分布式块存储系统需配置总容量为646TB、分布式对象存储系统需配置总容量为646TB、分布式文件存储系统需配置总容量为646TB。区域存储类型服务器配置服务器数量外网区分布式文件存储处理器:飞腾FT-2000+2.2GHz64核

内存：256GB

系统盘：2*480GBSAS、数据盘：2*1.92TBNVMESSD、6*2.4TB10kSAS、5*8TB7.2kNLSAS、

万兆网卡：2*万兆双端口网卡

千兆网卡：2*千兆双端口网卡

Raid卡：配电池，支持1、5

尺寸：2U

电源：1+1冗余，单电源功率800W

磁盘控制器：1个LSI9361-8i

PCIE插槽：7个

IPMI接口：1个

USB3.0接口：2个

VGA接口：1个

12分布式块存储处理器:飞腾FT-2000+2.2GHz64核

内存：256GB

系统盘：2*480GBSAS数据盘：2*1.92TBNVMESSD、8*8TB7.2kNLSAS

万兆网卡：2*万兆双端口网卡

千兆网卡：2*千兆双端口网卡

Raid卡：配电池，支持1、5

尺寸：2U

电源：1+1冗余，单电源功率800W

磁盘控制器：1个LSI9361-8i

PCIE插槽：7个

IPMI接口：1个

USB3.0接口：2个

VGA接口：1个

10分布式对象存储处理器:飞腾FT-2000+2.2GHz64核

内存：128GB

系统盘：2*480GBSAS数据盘：2*1.92TBNVMESSD、8*8TB7.2kNLSAS

万兆网卡：2*万兆双端口网卡

千兆网卡：2*千兆双端口网卡

Raid卡：配电池，支持1、5尺寸：2U

电源：1+1冗余，单电源功率800W

磁盘控制器：1个LSI9361-8i

PCIE插槽：7个

IPMI接口：1个

USB3.0接口：2个

VGA接口：1个10注：存储服务器配置根据厂家建议和招标要求配置采用副本技术还是纠删码技术，根据招标要求配置块存储对性能要求较高，所有配置高于文件存储和对象存储可用容量=总容量*0.93（0.9）存储系统方案-配置和数量（基础设施层）30网络架构的总体规划遵循“分区+分层+分平面”的设计理念，采用SDN+vxlan方案分区：安全管理区、运维区、业务区等分层：核心层+接入层分平面：控制平面、业务平面、安全管理平面、BMC平面等注：云平台设计三层网络架构还是两层网络架构，根据业务要求。当前主流为两层网络架构尽量采用冗余架构实现高可用，交换机冗余堆叠实现高可用，链路和网卡通过聚合实现高可用网络设计方案-架构设计（基础设施层）31

交换机配置和数量需通过计算服务器和存储服务器等进行推导区域节点类型配置数量政务外网区接入区-边界路由器政务外网或广域网出口4接入区-链路负载均衡2核心区-核心交换机汇聚24*40G4计算区-万兆接入交换机下行：48*10G、上行：6*40G12存储区-万兆接入交换机下行：48*10G、上行：6*40G2管理区-核心交换机下行：24*10G、上行：4*40G2管理区-千兆接入交换机下行：48*1G、上行：4*10G12注：路由器和交换机等网络设备接口尽量预留4个网络设计方案-配置和数量（基础设施层）32根据业务需求，本次采用数据备份和数据级容灾方式实现数据保护注：根据业务需求规划容灾方案，包括本地数据备份、同城容灾、异地容灾、双活、两地三中心等数据备份规划备份节点数量备份类型备份周期备份策略（差备、全备、增备）演练方案数据容灾规划容灾手段（存储、数据库...）容灾RTO/RPO容灾策略（同步、异步）演练方案灾备体系设计33通过统一入口实现对硬件、操作系统、数据库、云主机、容器、中间件、web应用等进行统一监控，并实现管理及数据可视化拓扑管理监控信息系统管理统计报表告警管理策略管理关联分析存取/合并记录/调整维护/更新数据源信息配置消费配置建模IPMI安全设备服务器网络设备存储设备中间件数据库Jdbc（数据库）jmx（中间件）Http档案管理……门户网站

OA系统SNMP/SSH麒麟OS统信UOSCentOS……数据整合监控管理数据可视化网络视图业务视图事件视图首页视图监控视图大屏视图统一运维门户容器云主机APIWeb服务基础软件云服务操作系统硬件设备注：考虑产品对云主机的支持，是否对接云厂商平台运维体系-统一运维监控34通过统一入口实现对硬件、操作系统、数据库、云主机、容器、中间件、web应用等进行统一监控，并实现管理及数据可视化产品名称产品属性产品描述数量单位备注OMP运维管理平台系统平台通用的IT基础设施和服务应用的监控管理平台，负责数据采集，保障基础设施的运行1套服务端授权硬件支持1点包含500个例如主机、网络设备、安全设备等硬件设备业务应用1点包含20个业务应用ITSM系统基础管理标准版IT服务管理系统，从运维层面保障故障快速恢复以及运维工作评价1套服务端授权硬件支持1点包含200个UPS、精密空调等硬件授权1点包含50个视频监控点、20个门禁点PEMS系统标准版动力环境监控系统，负责机房动力环境数据采集，保障机房动力、环境、安防情况的正常运行1套服务端授权注：考虑产品对云主机的支持，是否对接云厂商平台运维体系-统一运维监控35信创云安全建设方案基于等保2.0三级基本要求，为信创云打造“一个中心三重防护”安全防护体系注：针对不同区域进行不同的安全防护手段；如区域边界采用防火墙隔离；安全管理区部署数据库审计、日志审计等、漏扫等服务、运维管理区部署堡垒机等满足等保2.0三级的基本要求37基于等保2.0三级基本要求，为信创云打造“一个中心三重防护”安全防护体系控制域

技术产品安全通信网络/安全区域边界智慧防火墙（含AV）安全通信网络/安全区域边界安全接入网关系统（SSLVPN）安全区域边界网络安全准入系统安全区域边界安全隔离与信息交换系统（网闸）安全区域边界上网行为管理与审计系统安全区域边界IPS/IDS安全区域边界天眼新一代威胁感知系统安全计算环境终端安全管理系统-含防病毒、运维管控等安全计算环境身份令牌服务平台安全管理中心运维安全管理与审计系统（堡垒机）安全计算环境漏洞扫描系统安全计算环境数据库审计系统安全管理中心安全分析与管理系统（NGSOC）控制域服务产品安全区域边界/安全计算环境基础环境评估安全计算环境渗透测试安全计算环境系统上线前安全评估安全管理中心应急响应安全管理中心态势感知安全运营服务安全管理制度安全管理体系建设安全建设管理等级保护咨询服务安全管理中心重要时期安全保障服务注：针对不同区域进行不同的安全防护手段；如区域边界采用防火墙隔离；安全管理区部署数据库审计、日志审计等、漏扫等服务、运维管理区部署堡垒机等满足等保2.0三级的基本要求38云安全管理平台和虚拟化安全资源池，对云计算的“东西向”流量提供安全防护虚拟化安全资源池包括主机安全、漏洞管理、web应用层面的安全防护体系和安全审计工具虚拟安全资源池示例：业务层云平台国产操作系统物理服务器CSMPvBHxscanyunxiazivsmsCSMP管理业务组件虚拟机生命周期和策略CSMP同步云平台租户资产信息，云平台承载CSMP虚机云平台承载组件虚拟机安全组件防护云平台资产云安全管理平台（CSMP）：满足云计算安全扩展要求39序号位置产品型号控制域部署数量1安全硬件防火墙（南北向）防火墙系统V/NSG3300-3620-F（万兆）/V安全区域边界82入侵防御（南北向）入侵防御系统V1.1/P3300-3610-F（万兆）/V1.1安全区域边界63DDos防范抗拒绝服务系统V4.0安全区域边界64网络安全审计网络安全审计系统V7.0/NBM主机安全区域边界45流量探针安全分析与管理系统V4.0/NGSOC-NDS7100-TH10安全区域边界26VPN网关安全接入网关系统V5.0/SJJ19106-G系统主机安全通信网络

安全区域边界17反垃圾邮件邮件威胁感知系统V3.0/TSS10000-ZX10V3.0安全管理中心28漏洞扫描漏洞扫描系统V3.0/S3300-VSS20Z主机安全管理中心29运维堡垒机运维安全管理系统V6.0/BH3300-G-2000Z主机安全管理中心210双向网闸安全隔离与信息交换系统V2.0/GZ10000-FT10安全区域边界211安全软件系统安全虚拟设备安全分析与管理平台安全分析与管理系统V4.0/NGSOC-BD-FTYH安全管理中心212终端安全管理平台终端安全管理系统（AK专版）/服务器端安全管理中心213终端一体化管理系统终端安全管理系统（AK专版）/客户端安全计算环境根据终端数量14服务器安全终端安全管理系统（AK专版）/客户端-服务器授权安全计算环境视服务器数量15云安全管理平台云安全管理平台软件V2.0/服务器端安全管理中心216虚拟机安全（东西向）统一服务器安全管理系统V8.0/M6160安全计算环境视虚拟机数量17入侵防御云安全管理平台软件V2.0/虚拟组件安全区域边界418防火墙云安全管理平台软件V2.0/虚拟组件安全区域边界4数据库审计云安全管理平台软件V2.0/虚拟组件安全计算环境41920国密产品服务器密码机服务器密码机SJJ1955-G421数字证书认证系统数字证书认证系统CA-S010422密钥管理系统密钥管理系统KMS-S0102满足了信创云环境下，等保2.0三级基本要求，云计算安全拓展要求，以及国密测评的设备清单安全设备清单40计算环境区域边界网闸、抗DDOS、NIPS、防病毒网关、防火墙+AV防病毒…通信网络防火墙、路由器、交换机、HTTPS、VPN…计算环境漏洞扫描、HIPS、主机防病毒软件、数据加密、密钥管理、数据备份…安全区域边界对定级系统的安全域边界设置访问控制策略，在网络边界处部署入侵防范手段，防御并记录入侵行为，对网络中的用户行为日志和安全事件信息进行记录和审。安全通信网络对定级系统的网络进行安全域划分，不同区域之间访问采取可靠的技术隔离手段，确保网络带宽和处理能力能满足业务高峰期需要，确保通信传输过程数据完整性和保密性。安全计算环境针对服务器、数据库、应用系统等计算环境，使用安全软件或通过应用本身安全手段实现鉴权、账号安全、安全审计、数据安全保护等功能，保证系统层安全防范入侵行为。设立安全管理中心，对分散在网络中的各类设备、组件进行集中的管理控制，对设备产生对事件、告警和日志进行集中的检测和审计。对这些操作设立不同的管理员角色和对应的权限，并对操作进行审计。安全管理中心云管平台（安全组件）、综合日志审计、堡垒机+双因子、态势感知系统、SOC、…主机防护、防病毒、安全浏览器、USBKEY…用户层面虚拟防火墙、虚拟入侵防御、云堡垒机…云平台层面基于等保2.0三级基本要求，为信创云打造“一个中心三重防护”安全防护体系；信创云等保安全框架41云计算平台由设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件等组成。软件即服务（SaaS）在平台即服务模式下，云计算平台包括设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台；平台即服务（PaaS）在平台即服务模式下，云计算平台包括设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台；基础设施即服务（IaaS）在基础设施即服务模式下，云计算平台由设施、硬件、资源抽象控制层组成；信创云平台架构信创云平台可提供IaaS、PaaS、SaaS等服务，提供的服务不同，则云平台的安全防护边界也不同；本次主要介绍基于IaaS的信创云安全建设方案；信创云平台架构42租户负责安全平台负责安全机房位置机房设施物理环境层服务器设备网络设备存储设备安全设备基础设施层虚拟资源层计算资源网络资源存储资源分布式云操作系统云管平台云主机云网络云存储其他服务IaaS服务层云安全服务租户空间1租户空间2租户空间3……租户层租户空间4运维管理运营管理服务管理其他设备其他服务信创云整体架构包括物理环境层、基础设施层、虚拟资源池、IaaS服务层等，其安全防护也需从这些层次设计；安全建设安全建设安全建设安全建设信创云安全建设参考架构43类型分类安全控制点要求产品物理环境层安全基本要求物理位置选择机房选址：防震、防风、防水、防潮/防水

物理访问控制控制人员进出电子门禁系统防盗窃/防破坏设备固定+设备标签;线缆铺设;视频监控系统+专人值守防盗报警系统/视频监控系统防雷击电路设计、防雷击设备防雷装置/过压保护装置防火机房建设-耐火材料，机房区域隔离防火火灾自动消防系统防水和防潮窗户、屋顶、墙壁的防水方法;排水沟防水检测/报警系统防静电防静电地板，并设备接地静电消除器、防静电手环温湿度控制温湿度自动控制机房空调/精密空调电力供应冗余电缆稳压器+UPS电磁防护布线防磁设计、机柜防磁保护屏蔽柜、屏蔽机房云扩展要求基础设施位置在中国境内

信创要求物理位置选择信创系统在中国境内物理环境层安全包括基本要求和云扩展要求，涉及物理位置选择、访问控制、风火水电等内容；物理环境层-安全要求44稳压器+机房涉及应符合GB50174《电子信息系统机房设计规范》，并按照等保2.0三级要求进行进行设计；物理访问控制精密空调屏蔽机柜防雷装置火灾消防系统防水检测系统防盗窃/防破坏

防雷击

防火防水和防潮温湿度控制电力供应电磁防护防静电静电消除器物理环境层-安全产品部署/设计45类型分类安全控制点要求产品安全

通信

网络基本要求网络架构设计干路设备、边界设备、汇聚层以上的设备、安全设备等设备可用性设计网络设备和架构设计在性能处理上有一定比例冗余划分VLAN，业务系统网段合理划分、根据安全级别划分区域及配置策略主要网络设备、安全设备冗余设计通信传输客户端到服务器、服务器到服务器之间要使用SSL等通信下一代防火墙可信验证网络设备具有可信模块，对启动的引导程序、系统程序进行完整性等检测

基础设施层的通信网络包括网络架构设计、通信传输、网络设备的可信验证等；基础设施层-通信网络-安全要求46存储区计算区云管区运维管理区数据备份区云平台区外网接入区下级单位接入区互联网接入区APT防御漏洞扫描堡垒机统一运维管理核心链路双冗余核心链路双冗余核心链路双冗余核心链路双冗余核心链路双冗余核心链路双冗余核心链路双冗余防病毒网关安全管理区日志审计数据库审计集中身份管理PKI/CA统一安全管理网络架构设计双冗余双冗余双冗余双冗余双冗余双冗余通信网络，主要考虑网络可用性、冗余性设计；可信验证可信模块可信模块可信模块可信模块可信模块可信模块可信模块可信模块可信模块可信模块防火墙防火墙防火墙防火墙防火墙网闸外网区IPSIPSIPS防病毒系统基础设施层-通信网络-安全产品部署/设计47类型分类安全控制点要求产品安全

区域

边界基本要求边界防护边界处部署受控安全设备实现防护；控制非法联入内网；控制非法联入外网；网闸、下一代防火墙访问控制边界访问控制策略（网闸、防火墙、路由器和交换机等提供访问控制功能的设备）；对应用识别，并对应用的内容进行过滤网闸、下一代防火墙入侵防范检测内外部网络入侵行为、防止或限制；新型网络攻击的检测和分析IPS/IDS、APT防御恶意代码防御网络中恶意代码防病毒网关安全审计（安全审计系统，实现对路由器、交换机和防火墙等设备）启用日志收集和审计；开启审计用户行为策略；日志审计系统、堡垒机可信验证边界设备具有可信模块，对启动的引导程序、系统程序进行完整性等检测

基础设施层的区域边界安全包括边界防护、访问控制、入侵防范、安全审计等；基础设施层-区域边界-安全要求48存储区计算区云管区运维管理区数据备份区云平台区外网接入区下级单位接入区互联网接入区APT防御漏洞扫描堡垒机统一运维管理边界防护/访问控制边界防护/访问控制边界防护/访问控制边界防护/访问控制边界防护/访问控制边界防护/访问控制入侵防范防病毒网关恶意代码安全管理区日志审计数据库审计PKI/CA集中身份管理统一安全管理区域边界，主要考虑通过防火墙做各分区安全隔离、网络入侵防范及病毒的防护等；边界防护/访问控制入侵防范恶意代码防护安全审计运维审计运维审计可信模块可信验证可信模块可信模块可信模块可信模块可信模块可信模块防火墙防火墙防火墙防火墙防火墙防火墙外网区IPS入侵防范IPSIPS防病毒系统基础设施层-区域边界-安全产品部署/设计49基础设施层的计算环境安全包括身份鉴别、访问控制、安全审计、入侵防范等；类型分类安全控制点要求产品安全

计算

环境基本要求身份鉴别设备设置登录认证功能；用户名不易被猜测，口令复杂度达到强密码要求启用设备自身登录验证策略当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听双因素认证：用户名口令、动态口令、USBkey、生物特征等鉴别方式PKI/CA、集中身份管理访问控制登录账户和权限合理分配删除多余账号，重命名默认密码；基于规则的访问控制集中身份管理安全审计记录服务器、存储及系统等日志信息日志审计、数据库审计入侵防范操作系统遵循最小安装原则，关闭不需要的服务配置终端接入方式、网络地址范围;及时发现并修复漏洞能够检测对重要节点入侵行为并报警漏洞扫描系统

恶意代码防范检测并查杀病毒和木马等防病毒系统可信验证计算设备具有可信模块，对启动的引导程序、系统程序进行完整性等检测

数据完整性采用密码技术，保证重要数据传输和使用的完整性，如传输时采用https，云平台设计时考虑数据hash校验PKI/CA数据保密性云平台采用密码技术，实现数据机密性数据备份恢复数据本地备份；数据异地备份备份软件剩余信息保护业务系统设计需考虑用户信息数据及敏感数据清零后，方可重新分配使用

个人信息保护业务系统设计需考虑个人信息保护机制，如仅采集业务需要个人信息、禁未授权访问等

云扩展要求身份鉴别当远程管理云计算平台中设备时，管理终端和云计算平台之间应建立双向身份验证机制PKI/CA、集中身份管理基础设施层-计算环境-安全要求50类型分类安全控制点要求产品安全

计算

环境信创要求身份鉴别对登录的用户进行身份标识和鉴别：1)系统应为不同用户提供不同的用户身份标识；2)系统的用户名和口令不得相同，用户口令应为数字、字母、特殊字符混合组合；3)用户口令长度应不低于8位；4)系统应具有用户口令定期更新提示和更新确认；5)禁止明文存储口令启用设备自身登录验证策略：1)宜限制操作系统同一账户连续登录失败次数为6-10次，具体次数应在相关安全策略中明确；2)同一账户连续登录失败超过规定次数，账户应被锁定不少于10分钟，或申请由系统管理员进行密码重置。远程管理安全加密：采用SSH、HTTPS、VPN等安全的远程管理方式双因素认证1）其中一种鉴别技术宜采用动态口令、数字证书、生物特征；2）应采用国家密码管理主管部门批准的密码技术。PKI/CA、集中身份管理访问控制删除多余账号，重命名默认密码，具体要求：

操作系统应禁用无法重命名或无法删除的默认账户，或阻止默认账户直接远程登录。集中身份管理可信验证可基于可信根对服务器、终端的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。基础设施层-计算环境-安全要求51类型分类安全控制点要求产品安全

管理

中心基本要求系统管理对系统管理员进行身份鉴别，并对其操作进行审计堡垒机、统一运维管理系统审计管理对审计管理员进行身份鉴别，并对其操作进行审计数据库审计、日志审计、堡垒机、统一安全管理安全管理对安全管理员进行身份鉴别，并对其操作进行审计堡垒机、统一安全管理集中管控单独建立安全管理区域，并对安全设备统一管理收集各个设备上的审计数据进行集中分析对安全策略、恶意代码、补丁等进行集中管理统一安全管理信创要求集中管控对安全策略、恶意代码、补丁等进行集中管理，具体要求包括：宜对操作系统、应用软件、中间件等进行版本管理和监控统一安全管理基础设施层的安全管理中心，主要包括系统管理、审计管理、安全管理和集中管控；基础设施层-安全管理中心-安全要求52安全产品数量70-80分80-90分90分以上电子门禁系统NA√√√防盗报警系统/视频监控系统NA√√√防雷装置/过压保护装