信創(chuàng)云規(guī)劃設計建設方案

信創(chuàng)云規(guī)劃設計建設方案延時符目錄信創(chuàng)云安全建設方案什么是信創(chuàng)云信創(chuàng)云建設需求分析2信創(chuàng)云建設方案設計1342什么是信創(chuàng)云什么是信創(chuàng)4IT基礎設施信息技術應用創(chuàng)新基礎軟件信息安全應用軟件邊界安全終端安全數據庫操作系統(tǒng)中間件辦公軟件流式版簽業(yè)務應用生產系統(tǒng)管理信息系統(tǒng)辦公系統(tǒng)信創(chuàng)，即“信息技術應用創(chuàng)新”。我國自主信息產業(yè)聚焦信息技術應用創(chuàng)新，旨在通過對IT硬件、軟件等各個環(huán)節(jié)的重構，基于我國自有IT底層架構和標準，形成自有開放生態(tài)，從根本上解決本質安全問題，實現(xiàn)信息技術可掌控、可研究、可發(fā)展、可生產。信創(chuàng)發(fā)展是一項國家戰(zhàn)略，也是當今形勢下國家經濟發(fā)展的新功能。信創(chuàng)產業(yè)發(fā)展已經成為各行各業(yè)數字化轉型、提升產業(yè)鏈發(fā)展的關鍵。國家戰(zhàn)略中央網絡安全和信息化領導小組成立:習總書記親自擔任組長，標志著網絡安全和信息化已上升為國家戰(zhàn)略。習總書記在網絡安全和信息化工作座談會上指出：要盡快在核心技術上取得突破，加快構建關鍵信息基礎設施安全保障體系。《中華人民共和國科學技術進步法》：第二十七條明確規(guī)定，國家建立和完善科研攻關協(xié)調機制，推動產學研緊密合作，推動關鍵核心技術自主可控。在第七條提到：加強原始創(chuàng)新和關鍵核心技術攻關，加快實現(xiàn)高水平科技自立自強。2014年2月2016年4月19日2021年3月11日2021年12月24日網絡安全和信息化上升為國家戰(zhàn)略

《國民經濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標綱要》：加強原創(chuàng)性引領性科技攻關。集中優(yōu)勢資源攻關關鍵元器件零部件和基礎材料等領域關鍵核心技術。5信創(chuàng)背景關后門防斷供堵漏洞網信安全高端芯片的流片在境外產業(yè)鏈存在“卡脖子”環(huán)節(jié)，關鍵核心的軟件工具和元器件受制于人我們的CPU、操作系統(tǒng)被微軟、英特爾等美國公司把控CPU和OS等關鍵核心產品內置“后門”“內網”走向互聯(lián)網之后，面臨的漏洞攻擊種類更多、頻次更高、強度更大等挑戰(zhàn)“微軟黑屏事件”（2008）“棱鏡門事件”（2013）“震網病毒事件”（2010）“中興華為事件”（2018、2019）網信安全事件頻發(fā)，清晰傳遞出了一個重要信息，那就是關鍵元器件以及基礎軟件等核心技術，不能受制于人，否則就會被卡脖子、斷供甚至受到后門漏洞的攻擊，嚴重威脅國家網信安全。6黨政信創(chuàng)經驗成果黨政信創(chuàng)的實施成果應用升級統(tǒng)一平臺架構，實現(xiàn)業(yè)務重構與資源整合，打通信息孤島，優(yōu)化業(yè)務流程，實現(xiàn)業(yè)務應用層面的升級技術升級促進信創(chuàng)體系與云計算、大數據、人工智能等新一代信息技術相融合體驗升級將移動互聯(lián)網的使用模式引入到信息系統(tǒng)建設中，實現(xiàn)部署簡單高效、升級方便及時、操作靈活易用，實現(xiàn)用戶體驗層面的升級在完成黨政信創(chuàng)任務的同時，同步實現(xiàn)了應用、技術、體驗等多維度升級，提升了電子政務安全可控水平帶動并形成了以“信創(chuàng)CPU芯片+信創(chuàng)操作系統(tǒng)”為基礎的自主可控信息技術體系和產業(yè)生態(tài)推動我國信息產業(yè)發(fā)展實現(xiàn)歷史性跨越7什么是信創(chuàng)云8信創(chuàng)云作為信創(chuàng)落地的主要技術方式，在央國企國產化替代及上云需求的爆發(fā)下，也將迎來高速發(fā)展。相關機構數據顯示，近三年，信創(chuàng)云市場規(guī)模預計保持同比50%以上的增長率，2025年將達到1438億元。目前，業(yè)界尚未對“信創(chuàng)云”給出明確的標準定義。所謂“信創(chuàng)云”，業(yè)界普遍認為是基于國產化存儲、計算、網絡、操作系統(tǒng)等基礎軟硬件打造，具備高可靠性、高可擴展性、安全可信等核心特征。盡管每個行業(yè)要求不一樣，但最重要的是組成信創(chuàng)云的基礎軟硬件產品要符合信創(chuàng)標準。另外，就是要堅持信創(chuàng)云軟件的自主研發(fā)，能夠通過對底層不同類型的計算、存儲以及網絡等資源進行統(tǒng)一納管，有效屏蔽底層資源差異性，保障企業(yè)IT架構在全面信創(chuàng)遷移過程中的平穩(wěn)過渡，并能夠通過容器、微服務等先進技術，對上層應用開發(fā)及編排、調度提供支持，起到在IT架構全面國產化替換過程中關鍵的承上啟下作用，加速信創(chuàng)目標的達成。傳統(tǒng)私有云方式企業(yè)傳統(tǒng)私有云搭建大多基于VMware虛擬化+虛擬化管理平臺搭建，通過將底層計算資源進行池化處理，幫助企業(yè)實現(xiàn)底層資源的統(tǒng)一管理和調用。這一架構由于穩(wěn)定性較高，且應用范圍較廣，在過去的很長時間內，是企業(yè)搭建私有云的首選方案隨著近年來信創(chuàng)政策的陸續(xù)頒布，這一架構核心技術不可控、不具備一云多芯能力等缺陷逐漸顯露出來，嚴重制約了企業(yè)IT架構國產化替換進程9信創(chuàng)云的基礎架構通過搭建信創(chuàng)云平臺對原私有云平臺替換，是目前企業(yè)實現(xiàn)IT架構從下至上全面自主可控的必然選擇10信創(chuàng)云的類型現(xiàn)階段主流信創(chuàng)云可分為三類，傳統(tǒng)架構信創(chuàng)云、超融合架構信創(chuàng)云以及云原生架構信創(chuàng)云，三種信創(chuàng)云在核心技術及應用范圍等方面均有所區(qū)別傳統(tǒng)架構信創(chuàng)云從實際需求端來看，傳統(tǒng)架構信創(chuàng)云由于與企業(yè)原有私有云平臺在功能和架構相差不大、應用遷移成本較小等原因是目前企業(yè)的需求重點。具體來看，企業(yè)對于傳統(tǒng)架構信創(chuàng)云的要求主要

：需要核心技術自主可控、需要應用遷移成本較小、需要能夠屏蔽底層資源差異性、需要具備優(yōu)秀的安全保障能力等。超融合架構信創(chuàng)云超融合架構信創(chuàng)云主要指的是基于國產超融合軟件+超融合一體機搭建的云平臺，該平臺部署成本較低，并且在功能上與傳統(tǒng)架構信創(chuàng)云相差不大，只是計算性能和底層資源池化管理能力方面要稍遜一籌。因此，現(xiàn)階段主要是應用在中小型企業(yè)，以及大型企業(yè)的邊緣業(yè)務場景，整體需求并不旺盛。云原生架構信創(chuàng)云云原生架構信創(chuàng)云：指的是基于K8S打造，具備分布式、容器化以及微服務化等核心特征的云平臺。企業(yè)通過部署云原生架構信創(chuàng)云，一方面，能夠基于其成熟的原生分布式架構，有效提升系統(tǒng)敏捷性，從而更好的應對高并發(fā)應用場景；另一方面，能夠依托容器、微服務等先進技術，實現(xiàn)底層計算資源的封裝和按需調用，幫助企業(yè)既可以具備與傳統(tǒng)架構云平臺相同的底層資源統(tǒng)一納管能力，又可以較好支撐上層應用的開發(fā)及編排、調度。11信創(chuàng)云建設需求分析核高基2006-2013第一批試點2014-2016第二批試點2017-2019全替代2020-2023單品支持：試驗性替代CPU/OS/中間件/數據庫/整機/辦公套件應用為牽引，系統(tǒng)性替代，以政策性最強的電子公文作為突破口系統(tǒng)替代：電子公文系統(tǒng)，簡單辦公依托體系，存在國產化產品的全部進行替換，真試真用，真用實用體系替代：真試真用，復雜辦公建設完整的國產化生態(tài)，包括基礎軟硬件、信息資源、應用系統(tǒng)、安全和IT管控等全替代：面向全國，生態(tài)完整HN云：50節(jié)點TJ云：20節(jié)點從無到有從“不可用”到“基本可用”從“基本可用”到“基本好用”從“基本好用”到“智能高效”GX云：900節(jié)點隨著信創(chuàng)領域軟硬件產品功能和性能的升級，下一階段的發(fā)展必定是利用云計算、大數據等新興技術，不斷拓寬信創(chuàng)的邊界，創(chuàng)造更大的價值信創(chuàng)云建設是政企數字化轉型的必然趨勢13010203042020201720192013提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平《信息安全技術網絡安全等級保護基本要求》等保2.0增加云擴展要求，從一個中心三個防護維度進行云安全要求《可信云服務認證》對數據可銷毀性、數據可遷移性、數據私密性、數據知情權等進行了規(guī)范《云計算服務安全評估辦法》建立云計算服務相關安全管理流程和制度，通過系統(tǒng)化的方式確保合規(guī)要求內部落地《中華人民共和國網絡安全法》正式執(zhí)行，按照要求開展商用密碼應用安全性評估，確保云計算平臺密碼應用的合規(guī)性、正確性和有效性；《中華人民共和國密碼法》國家密集出臺云計算安全建設的相關政策安全是信創(chuàng)云的基石14政企信創(chuàng)云規(guī)劃設計方法論B規(guī)劃和設計C實施和優(yōu)化A現(xiàn)狀和需求分析業(yè)務戰(zhàn)略分析生態(tài)圖譜分析商業(yè)模式分析價值鏈分析信創(chuàng)數字化轉型潛在需求現(xiàn)狀分析新興技術分析DT成熟度評估最佳實踐分析信創(chuàng)數字化轉型現(xiàn)狀和展望信創(chuàng)數字化戰(zhàn)略規(guī)劃信創(chuàng)數字化頂層設計企業(yè)數字化業(yè)務規(guī)劃業(yè)務架構設計數據架構設計技術架構設計應用架構設計現(xiàn)狀與需求、展望差距分析項目規(guī)劃和卡片設計實施路線制定項目組合制定效果評估優(yōu)化調整迭代推廣Analysis現(xiàn)狀和需求分析Blueprint規(guī)劃和設計Construction實施和優(yōu)化項目交付“速贏”場景設計安全架構設計15政企信創(chuàng)云總體需求分析如何承接戰(zhàn)略發(fā)展?如何支撐組織建設?如何驅動業(yè)務發(fā)展?如何適應發(fā)展趨勢?總體需求分析業(yè)務發(fā)展支撐和驅動央國企戰(zhàn)略管控圍繞人、財、物和信息等共性資源，構建央國企范圍綜合服務平臺，提高行政管理工作效率支撐三大核心能力構建持續(xù)賦能，提升能力的價值，打造能力使用的生態(tài)運維需求統(tǒng)籌建設數據中心、網絡和云平臺按照集約化建設原則，實現(xiàn)資源共享，根據央國企商密和國密信息安全要求，構建相應的網絡基礎設施采用國產化技術實現(xiàn)安全可控采用信創(chuàng)基礎軟硬件技術產品，構建基于內生安全的安全自主可控體系構建數字中臺實現(xiàn)能力的共享及復用將企業(yè)IT能力進行沉淀，實現(xiàn)業(yè)務應用的靈活定制，適應公司業(yè)務的快速變化和發(fā)展數智需求基礎需求企業(yè)管理保障體系標準體系信創(chuàng)需求建立數字化管控機制及組織保障體系持續(xù)賦能，做好數字化人才建設建立支撐央國企信息化建設的標準體系為數字央國企建設的全面推進夯實基礎構建一體化智慧云網邊端運維體系對網絡、云平臺、邊緣計算以及基于云平臺構建的應用提供智慧運維管理與監(jiān)控能力業(yè)務需求技術需求16不同行業(yè)信創(chuàng)云建設特點行業(yè)共同點能源類制造類建筑類服務類集團型企業(yè)，加強集團管控，實現(xiàn)管控數字化；多產業(yè)板塊，利用產業(yè)板塊間的關系，實現(xiàn)產業(yè)鏈協(xié)同；重點關注財務、資金、投融資、風控、人力、黨務等業(yè)務管理，利用技術平臺實現(xiàn)業(yè)務資源共享；財務共享、大數據分析為數字化轉型的突破口。行業(yè)特點清潔能源持續(xù)發(fā)展；整個能源產業(yè)從產能擴展轉向智能發(fā)展，如智能煉化、發(fā)電；更重視降本提效；重資產類企業(yè)。信創(chuàng)云應用重點場景更多的智慧場景建設：智慧油田、智慧礦山、智慧電網、智慧水務等；提升數字化、自動化能力，尤其在一些危險工作環(huán)境加快推進無人化、遠程化操作；全產業(yè)鏈協(xié)同，高效運營。具體分為流程制造和離散制造；重資產類企業(yè)；生產制造全過程復雜，企業(yè)價值鏈復雜，產業(yè)供應鏈復雜。智能制造為主要轉型方向，持續(xù)推進兩化融合工作；基于數字孿生，加強設計制造數字化協(xié)同；重資產企業(yè)加強設備全生命周期管理，利用物聯(lián)網技術、利用機器大數據。建筑產品個性化、非標準化；項目管理、施工現(xiàn)場管理；多業(yè)務模式：PPP、EPC、BOT等；重資產類企業(yè)。開展建筑信息模型、數字化協(xié)同設計；全面提升BIM技術在行業(yè)中的應用；強化建筑行業(yè)現(xiàn)場管理、遠程管理、智慧工地建設；融入智慧城市體系。服務類企業(yè)細分行業(yè)差異大；TOB和TOC發(fā)展不平衡，TOB業(yè)務數字化轉型場景豐富；用戶習慣多變，需要企業(yè)應變能力強。打造柔性、智慧供應鏈；增加線上服務業(yè)務范圍，推動虛擬服務網點建設，向智慧服務轉變；創(chuàng)新商業(yè)模式、服務模式；基于互聯(lián)網平臺拓展，增強客戶黏性。17業(yè)務需求：為滿足政務外網23個業(yè)務系統(tǒng)運行，并考慮未來3年規(guī)劃，評估需要100臺服務器作為計算資源可滿足需求系統(tǒng)涉及到常規(guī)應用系統(tǒng)（OA、門戶等），后端系統(tǒng)（高并發(fā)數據庫、數據處理系統(tǒng)）云服務需求：需支持主流IaaS服務，包括云主機服務、彈性伸縮服務、塊存儲服務、文件存儲服務、虛擬網絡服務等安全需求：云平臺安全建設需通過等保2.0三級和密碼測評運維需求：需支持對虛機的監(jiān)控和管理災備需求：需實現(xiàn)本地備份和異地數據容災某國企客戶將在外網建設一朵信創(chuàng)云平臺，以下為本次建設需求：存儲需求：存儲服務需基本塊、文件、對象等服務每種類型分別需要可用容量為200TB塊存儲帶寬需達到12GB，IOPS需達到10萬IOPS；文件存儲帶寬需達到6GB，IOPS需達到5萬IOPS；塊存儲帶寬需達到8GB，IOPS需達到4萬IOPS；某國企信創(chuàng)云建設具體需求案例18信創(chuàng)云建設方案設計安全體系主機安全數據安全網絡安全應用安全密碼安全搭建3層3體系為核心的信創(chuàng)云，助力政務治理現(xiàn)代化建設國產服務器設備國產網絡設備國產存儲系統(tǒng)基礎設施層計算服務資源資源層運營服務計算服務資源池虛擬機多集群高可用存儲服務塊存儲對象存儲文件存儲網絡服務負載均衡虛擬網卡IaaS容器平臺資源調度｜集群管理｜鏡像管理｜應用管理｜服務自愈｜秒級部署｜彈性伸縮PaaSc'v電子公文文件交換內網門戶機關事務績效考核檔案管理安全郵件……SaaS云管平臺運維服務云服務運維體系報警閾值運維管理運維分析監(jiān)控監(jiān)控設計設計設計設計原則：根據廠商產品和招標要求進行整體架構圖設計及介紹存儲服務資源網絡服務資源設計災備體系系統(tǒng)容災數據容災數據備份設計信創(chuàng)云系統(tǒng)架構設計20中國電子云3-128節(jié)點： 3控制節(jié)點128-256節(jié)點： 5控制節(jié)點256-512節(jié)點： 7控制節(jié)點512-1000節(jié)點： 10控制節(jié)點不同云廠商，不同規(guī)模的計算節(jié)點，控制節(jié)點開銷不同。本次根據項目需求，計算節(jié)點規(guī)模為100節(jié)點。華為云5-200節(jié)點： 5個控制節(jié)點200-500節(jié)點： 9控制節(jié)點500-1000節(jié)點： 11控制節(jié)點信創(chuàng)云部署架構（系統(tǒng)層）21計算資源池需規(guī)劃區(qū)域、計算類型、VM類型等本次針對政務外網劃分為一個單獨Region計算資源劃分為一個單獨AZ區(qū)域規(guī)劃針對普通的應用系統(tǒng)，如WEB，對內存容量、IO、擴展性的要求都不高，采用虛擬主機對于高性能計算，大容量存儲，大容量內存和高IO的需求，則采用裸金屬服務器計算類型規(guī)劃虛擬機規(guī)格需要根據各種系統(tǒng)對于CPU、內存、網絡和存儲的I/O需求不同來進行分類VM類型規(guī)劃資源池規(guī)劃設計方案-計算資源池（資源層）22存儲資源池需規(guī)劃服務類型、容量、性能等本次針對政務外網業(yè)務需求，規(guī)劃存儲服務包括塊存儲、對象存儲、文件存儲存儲服務規(guī)劃針對本次業(yè)務需求，分別核算塊存儲、對象存儲、文件存儲可用容量容量規(guī)劃針對本次業(yè)務需求，分別統(tǒng)計塊存儲、對象存儲、文件存儲性能需求（吞吐量、IOPS）性能規(guī)劃資源池規(guī)劃設計方案-存儲資源池（資源層）23網絡資源池需規(guī)劃地址、虛擬網絡服務等針對本次業(yè)務需求，分別規(guī)劃業(yè)務平面、管理平面等IP地址地址規(guī)劃提供網絡服務的節(jié)點數量需根據業(yè)務需求和規(guī)模進行規(guī)劃虛擬網絡服務規(guī)劃資源池規(guī)劃設計方案-網絡資源池（資源層）24IaaS網絡服務VPC虛擬路由器負載均衡安全服務安全組密鑰對防火墻存儲服務云存儲快照計算服務云主機主機高可用……………………備份鏡像/快照云服務設計的主要原則：產品響應描述注：根據技術要求和廠商產品支持服務種類進行撰寫四、云服務設計方案（IaaS）25集中監(jiān)控與統(tǒng)一運維集中監(jiān)控告警，資源池統(tǒng)一運維管理，應用自動化部署，運維場景化自動化。多維度運營分析數據可視化方式，全面、多維度分析各資源狀態(tài)、業(yè)務資源消耗、成本分攤等。集中安全控制政務云多云平臺系統(tǒng)權限統(tǒng)一收斂，操作管理全流程審計記錄。服務編排與發(fā)布管理IaaS資源、PaaS服務編排，服務與目錄發(fā)布管理，可見性集中控制。服務管理（資源池適配/調度）云資源管理云資源生命周期管理監(jiān)控告警運營分析運維自動化流程審批安全審計組織與權限管理認證系統(tǒng)多租戶安全檢查自助部署......云運維門戶自服務門戶云監(jiān)控門戶REST

API工單管理實現(xiàn)統(tǒng)一資源管理、自動化運維，自助服務、多租戶管理等功能注：根據技術要求和廠商產品支持服務種類進行撰寫云管平臺設計方案26虛擬計算節(jié)點集群物理計算節(jié)點（裸金屬）集群政務外網管理服務器集群分布式存儲系統(tǒng)政務外網業(yè)務區(qū)根據項目需求，本次服務器類型包括管理服務器、虛擬計算節(jié)點、物理計算節(jié)點等，集群架構如下注：常規(guī)服務器類型就是計算和管理，但是有些云廠家會單獨規(guī)劃網絡節(jié)點服務器或其他類型服務器裸金屬服務器一般常用于部署數據庫服務或對性能需求要求較高的服務服務器集群方案-架構設計（基礎設施層）27

根據本次項目需求，政務外網區(qū)部署100臺服務器，其中80臺用于虛擬計算節(jié)點、20臺作為物理計算節(jié)點、5臺用于控制節(jié)點（其中兩臺為網絡節(jié)點）區(qū)域節(jié)點類型服務器配置服務器數量政務外網區(qū)虛擬計算節(jié)點處理器:飛騰FT-2000+2.2GHz64核

內存：256GB

系統(tǒng)盤：2*480GBSAS

萬兆網卡：4*萬兆單端口網卡

千兆網卡：2*千兆雙端口網卡

Raid卡：配電池，支持1、5

尺寸：2U

電源：1+1冗余，單電源功率800W

磁盤控制器：1個LSI9361-8i

PCIE插槽：7個

IPMI接口：1個

USB3.0接口：2個

VGA接口：1個

80物理計算節(jié)點處理器:飛騰FT-2000+2.2GHz64核

內存：256GB

系統(tǒng)盤：2*480GBSAS

萬兆網卡：4*萬兆單端口網卡

千兆網卡：2*千兆雙端口網卡

Raid卡：配電池，支持1、5

尺寸：2U

電源：1+1冗余，單電源功率800W

磁盤控制器：1個LSI9361-8i

PCIE插槽：7個

IPMI接口：1個

USB3.0接口：2個

VGA接口：1個

20控制節(jié)點處理器:飛騰FT-2000+2.2GHz64核

內存：128GB

系統(tǒng)盤：2*480GBSAS

萬兆網卡：4*萬兆單端口網卡

千兆網卡：2*千兆雙端口網卡

Raid卡：配電池，支持1、5尺寸：2U

電源：1+1冗余，單電源功率800W

磁盤控制器：1個LSI9361-8i

PCIE插槽：7個

IPMI接口：1個

USB3.0接口：2個

VGA接口：1個3注：硬件配置建議高配或滿配控制節(jié)點配置一般低于計算節(jié)點計算節(jié)點數量需根據需求進行設計控制節(jié)點數量需根據云平臺廠商建議規(guī)劃網絡節(jié)點數量需根據業(yè)務需求和廠商建議規(guī)劃服務器集群方案-服配置和數量（基礎設施層）28

根據本次項目需求，本次采用分布式存儲來搭建信創(chuàng)云平臺的存儲系統(tǒng)，本次將建立三套存儲系統(tǒng)，分別提供塊存儲服務、對象存儲服務、文件存儲服務注：根據項目實際需求和云廠家推薦，來選擇存儲系統(tǒng)（集中、分布式）如Ceph等存儲系統(tǒng)，一套存儲可用提供文件、塊、對象服務；但是為考慮性能建議分開設計存儲系統(tǒng)方案-架構設計（基礎設施層）29

根據本次項目需求，需要200TB塊存儲、200TB對象存儲、200TB文件存儲可用容量本次規(guī)劃全部采用三副本技術，則分布式塊存儲系統(tǒng)需配置總容量為646TB、分布式對象存儲系統(tǒng)需配置總容量為646TB、分布式文件存儲系統(tǒng)需配置總容量為646TB。區(qū)域存儲類型服務器配置服務器數量外網區(qū)分布式文件存儲處理器:飛騰FT-2000+2.2GHz64核

內存：256GB

系統(tǒng)盤：2*480GBSAS、數據盤：2*1.92TBNVMESSD、6*2.4TB10kSAS、5*8TB7.2kNLSAS、

萬兆網卡：2*萬兆雙端口網卡

千兆網卡：2*千兆雙端口網卡

Raid卡：配電池，支持1、5

尺寸：2U

電源：1+1冗余，單電源功率800W

磁盤控制器：1個LSI9361-8i

PCIE插槽：7個

IPMI接口：1個

USB3.0接口：2個

VGA接口：1個

12分布式塊存儲處理器:飛騰FT-2000+2.2GHz64核

內存：256GB

系統(tǒng)盤：2*480GBSAS數據盤：2*1.92TBNVMESSD、8*8TB7.2kNLSAS

萬兆網卡：2*萬兆雙端口網卡

千兆網卡：2*千兆雙端口網卡

Raid卡：配電池，支持1、5

尺寸：2U

電源：1+1冗余，單電源功率800W

磁盤控制器：1個LSI9361-8i

PCIE插槽：7個

IPMI接口：1個

USB3.0接口：2個

VGA接口：1個

10分布式對象存儲處理器:飛騰FT-2000+2.2GHz64核

內存：128GB

系統(tǒng)盤：2*480GBSAS數據盤：2*1.92TBNVMESSD、8*8TB7.2kNLSAS

萬兆網卡：2*萬兆雙端口網卡

千兆網卡：2*千兆雙端口網卡

Raid卡：配電池，支持1、5尺寸：2U

電源：1+1冗余，單電源功率800W

磁盤控制器：1個LSI9361-8i

PCIE插槽：7個

IPMI接口：1個

USB3.0接口：2個

VGA接口：1個10注：存儲服務器配置根據廠家建議和招標要求配置采用副本技術還是糾刪碼技術，根據招標要求配置塊存儲對性能要求較高，所有配置高于文件存儲和對象存儲可用容量=總容量*0.93（0.9）存儲系統(tǒng)方案-配置和數量（基礎設施層）30網絡架構的總體規(guī)劃遵循“分區(qū)+分層+分平面”的設計理念，采用SDN+vxlan方案分區(qū)：安全管理區(qū)、運維區(qū)、業(yè)務區(qū)等分層：核心層+接入層分平面：控制平面、業(yè)務平面、安全管理平面、BMC平面等注：云平臺設計三層網絡架構還是兩層網絡架構，根據業(yè)務要求。當前主流為兩層網絡架構盡量采用冗余架構實現(xiàn)高可用，交換機冗余堆疊實現(xiàn)高可用，鏈路和網卡通過聚合實現(xiàn)高可用網絡設計方案-架構設計（基礎設施層）31

交換機配置和數量需通過計算服務器和存儲服務器等進行推導區(qū)域節(jié)點類型配置數量政務外網區(qū)接入區(qū)-邊界路由器政務外網或廣域網出口4接入區(qū)-鏈路負載均衡2核心區(qū)-核心交換機匯聚24*40G4計算區(qū)-萬兆接入交換機下行：48*10G、上行：6*40G12存儲區(qū)-萬兆接入交換機下行：48*10G、上行：6*40G2管理區(qū)-核心交換機下行：24*10G、上行：4*40G2管理區(qū)-千兆接入交換機下行：48*1G、上行：4*10G12注：路由器和交換機等網絡設備接口盡量預留4個網絡設計方案-配置和數量（基礎設施層）32根據業(yè)務需求，本次采用數據備份和數據級容災方式實現(xiàn)數據保護注：根據業(yè)務需求規(guī)劃容災方案，包括本地數據備份、同城容災、異地容災、雙活、兩地三中心等數據備份規(guī)劃備份節(jié)點數量備份類型備份周期備份策略（差備、全備、增備）演練方案數據容災規(guī)劃容災手段（存儲、數據庫...）容災RTO/RPO容災策略（同步、異步）演練方案災備體系設計33通過統(tǒng)一入口實現(xiàn)對硬件、操作系統(tǒng)、數據庫、云主機、容器、中間件、web應用等進行統(tǒng)一監(jiān)控，并實現(xiàn)管理及數據可視化拓撲管理監(jiān)控信息系統(tǒng)管理統(tǒng)計報表告警管理策略管理關聯(lián)分析存取/合并記錄/調整維護/更新數據源信息配置消費配置建模IPMI安全設備服務器網絡設備存儲設備中間件數據庫Jdbc（數據庫）jmx（中間件）Http檔案管理……門戶網站

OA系統(tǒng)SNMP/SSH麒麟OS統(tǒng)信UOSCentOS……數據整合監(jiān)控管理數據可視化網絡視圖業(yè)務視圖事件視圖首頁視圖監(jiān)控視圖大屏視圖統(tǒng)一運維門戶容器云主機APIWeb服務基礎軟件云服務操作系統(tǒng)硬件設備注：考慮產品對云主機的支持，是否對接云廠商平臺運維體系-統(tǒng)一運維監(jiān)控34通過統(tǒng)一入口實現(xiàn)對硬件、操作系統(tǒng)、數據庫、云主機、容器、中間件、web應用等進行統(tǒng)一監(jiān)控，并實現(xiàn)管理及數據可視化產品名稱產品屬性產品描述數量單位備注OMP運維管理平臺系統(tǒng)平臺通用的IT基礎設施和服務應用的監(jiān)控管理平臺，負責數據采集，保障基礎設施的運行1套服務端授權硬件支持1點包含500個例如主機、網絡設備、安全設備等硬件設備業(yè)務應用1點包含20個業(yè)務應用ITSM系統(tǒng)基礎管理標準版IT服務管理系統(tǒng)，從運維層面保障故障快速恢復以及運維工作評價1套服務端授權硬件支持1點包含200個UPS、精密空調等硬件授權1點包含50個視頻監(jiān)控點、20個門禁點PEMS系統(tǒng)標準版動力環(huán)境監(jiān)控系統(tǒng)，負責機房動力環(huán)境數據采集，保障機房動力、環(huán)境、安防情況的正常運行1套服務端授權注：考慮產品對云主機的支持，是否對接云廠商平臺運維體系-統(tǒng)一運維監(jiān)控35信創(chuàng)云安全建設方案基于等保2.0三級基本要求，為信創(chuàng)云打造“一個中心三重防護”安全防護體系注：針對不同區(qū)域進行不同的安全防護手段；如區(qū)域邊界采用防火墻隔離；安全管理區(qū)部署數據庫審計、日志審計等、漏掃等服務、運維管理區(qū)部署堡壘機等滿足等保2.0三級的基本要求37基于等保2.0三級基本要求，為信創(chuàng)云打造“一個中心三重防護”安全防護體系控制域

技術產品安全通信網絡/安全區(qū)域邊界智慧防火墻（含AV）安全通信網絡/安全區(qū)域邊界安全接入網關系統(tǒng)（SSLVPN）安全區(qū)域邊界網絡安全準入系統(tǒng)安全區(qū)域邊界安全隔離與信息交換系統(tǒng)（網閘）安全區(qū)域邊界上網行為管理與審計系統(tǒng)安全區(qū)域邊界IPS/IDS安全區(qū)域邊界天眼新一代威脅感知系統(tǒng)安全計算環(huán)境終端安全管理系統(tǒng)-含防病毒、運維管控等安全計算環(huán)境身份令牌服務平臺安全管理中心運維安全管理與審計系統(tǒng)（堡壘機）安全計算環(huán)境漏洞掃描系統(tǒng)安全計算環(huán)境數據庫審計系統(tǒng)安全管理中心安全分析與管理系統(tǒng)（NGSOC）控制域服務產品安全區(qū)域邊界/安全計算環(huán)境基礎環(huán)境評估安全計算環(huán)境滲透測試安全計算環(huán)境系統(tǒng)上線前安全評估安全管理中心應急響應安全管理中心態(tài)勢感知安全運營服務安全管理制度安全管理體系建設安全建設管理等級保護咨詢服務安全管理中心重要時期安全保障服務注：針對不同區(qū)域進行不同的安全防護手段；如區(qū)域邊界采用防火墻隔離；安全管理區(qū)部署數據庫審計、日志審計等、漏掃等服務、運維管理區(qū)部署堡壘機等滿足等保2.0三級的基本要求38云安全管理平臺和虛擬化安全資源池，對云計算的“東西向”流量提供安全防護虛擬化安全資源池包括主機安全、漏洞管理、web應用層面的安全防護體系和安全審計工具虛擬安全資源池示例：業(yè)務層云平臺國產操作系統(tǒng)物理服務器CSMPvBHxscanyunxiazivsmsCSMP管理業(yè)務組件虛擬機生命周期和策略CSMP同步云平臺租戶資產信息，云平臺承載CSMP虛機云平臺承載組件虛擬機安全組件防護云平臺資產云安全管理平臺（CSMP）：滿足云計算安全擴展要求39序號位置產品型號控制域部署數量1安全硬件防火墻（南北向）防火墻系統(tǒng)V/NSG3300-3620-F（萬兆）/V安全區(qū)域邊界82入侵防御（南北向）入侵防御系統(tǒng)V1.1/P3300-3610-F（萬兆）/V1.1安全區(qū)域邊界63DDos防范抗拒絕服務系統(tǒng)V4.0安全區(qū)域邊界64網絡安全審計網絡安全審計系統(tǒng)V7.0/NBM主機安全區(qū)域邊界45流量探針安全分析與管理系統(tǒng)V4.0/NGSOC-NDS7100-TH10安全區(qū)域邊界26VPN網關安全接入網關系統(tǒng)V5.0/SJJ19106-G系統(tǒng)主機安全通信網絡

安全區(qū)域邊界17反垃圾郵件郵件威脅感知系統(tǒng)V3.0/TSS10000-ZX10V3.0安全管理中心28漏洞掃描漏洞掃描系統(tǒng)V3.0/S3300-VSS20Z主機安全管理中心29運維堡壘機運維安全管理系統(tǒng)V6.0/BH3300-G-2000Z主機安全管理中心210雙向網閘安全隔離與信息交換系統(tǒng)V2.0/GZ10000-FT10安全區(qū)域邊界211安全軟件系統(tǒng)安全虛擬設備安全分析與管理平臺安全分析與管理系統(tǒng)V4.0/NGSOC-BD-FTYH安全管理中心212終端安全管理平臺終端安全管理系統(tǒng)（AK專版）/服務器端安全管理中心213終端一體化管理系統(tǒng)終端安全管理系統(tǒng)（AK專版）/客戶端安全計算環(huán)境根據終端數量14服務器安全終端安全管理系統(tǒng)（AK專版）/客戶端-服務器授權安全計算環(huán)境視服務器數量15云安全管理平臺云安全管理平臺軟件V2.0/服務器端安全管理中心216虛擬機安全（東西向）統(tǒng)一服務器安全管理系統(tǒng)V8.0/M6160安全計算環(huán)境視虛擬機數量17入侵防御云安全管理平臺軟件V2.0/虛擬組件安全區(qū)域邊界418防火墻云安全管理平臺軟件V2.0/虛擬組件安全區(qū)域邊界4數據庫審計云安全管理平臺軟件V2.0/虛擬組件安全計算環(huán)境41920國密產品服務器密碼機服務器密碼機SJJ1955-G421數字證書認證系統(tǒng)數字證書認證系統(tǒng)CA-S010422密鑰管理系統(tǒng)密鑰管理系統(tǒng)KMS-S0102滿足了信創(chuàng)云環(huán)境下，等保2.0三級基本要求，云計算安全拓展要求，以及國密測評的設備清單安全設備清單40計算環(huán)境區(qū)域邊界網閘、抗DDOS、NIPS、防病毒網關、防火墻+AV防病毒…通信網絡防火墻、路由器、交換機、HTTPS、VPN…計算環(huán)境漏洞掃描、HIPS、主機防病毒軟件、數據加密、密鑰管理、數據備份…安全區(qū)域邊界對定級系統(tǒng)的安全域邊界設置訪問控制策略，在網絡邊界處部署入侵防范手段，防御并記錄入侵行為，對網絡中的用戶行為日志和安全事件信息進行記錄和審。安全通信網絡對定級系統(tǒng)的網絡進行安全域劃分，不同區(qū)域之間訪問采取可靠的技術隔離手段，確保網絡帶寬和處理能力能滿足業(yè)務高峰期需要，確保通信傳輸過程數據完整性和保密性。安全計算環(huán)境針對服務器、數據庫、應用系統(tǒng)等計算環(huán)境，使用安全軟件或通過應用本身安全手段實現(xiàn)鑒權、賬號安全、安全審計、數據安全保護等功能，保證系統(tǒng)層安全防范入侵行為。設立安全管理中心，對分散在網絡中的各類設備、組件進行集中的管理控制，對設備產生對事件、告警和日志進行集中的檢測和審計。對這些操作設立不同的管理員角色和對應的權限，并對操作進行審計。安全管理中心云管平臺（安全組件）、綜合日志審計、堡壘機+雙因子、態(tài)勢感知系統(tǒng)、SOC、…主機防護、防病毒、安全瀏覽器、USBKEY…用戶層面虛擬防火墻、虛擬入侵防御、云堡壘機…云平臺層面基于等保2.0三級基本要求，為信創(chuàng)云打造“一個中心三重防護”安全防護體系；信創(chuàng)云等保安全框架41云計算平臺由設施、硬件、資源抽象控制層、虛擬化計算資源、軟件平臺和應用軟件等組成。軟件即服務（SaaS）在平臺即服務模式下，云計算平臺包括設施、硬件、資源抽象控制層、虛擬化計算資源和軟件平臺；平臺即服務（PaaS）在平臺即服務模式下，云計算平臺包括設施、硬件、資源抽象控制層、虛擬化計算資源和軟件平臺；基礎設施即服務（IaaS）在基礎設施即服務模式下，云計算平臺由設施、硬件、資源抽象控制層組成；信創(chuàng)云平臺架構信創(chuàng)云平臺可提供IaaS、PaaS、SaaS等服務，提供的服務不同，則云平臺的安全防護邊界也不同；本次主要介紹基于IaaS的信創(chuàng)云安全建設方案；信創(chuàng)云平臺架構42租戶負責安全平臺負責安全機房位置機房設施物理環(huán)境層服務器設備網絡設備存儲設備安全設備基礎設施層虛擬資源層計算資源網絡資源存儲資源分布式云操作系統(tǒng)云管平臺云主機云網絡云存儲其他服務IaaS服務層云安全服務租戶空間1租戶空間2租戶空間3……租戶層租戶空間4運維管理運營管理服務管理其他設備其他服務信創(chuàng)云整體架構包括物理環(huán)境層、基礎設施層、虛擬資源池、IaaS服務層等，其安全防護也需從這些層次設計；安全建設安全建設安全建設安全建設信創(chuàng)云安全建設參考架構43類型分類安全控制點要求產品物理環(huán)境層安全基本要求物理位置選擇機房選址：防震、防風、防水、防潮/防水

物理訪問控制控制人員進出電子門禁系統(tǒng)防盜竊/防破壞設備固定+設備標簽;線纜鋪設;視頻監(jiān)控系統(tǒng)+專人值守防盜報警系統(tǒng)/視頻監(jiān)控系統(tǒng)防雷擊電路設計、防雷擊設備防雷裝置/過壓保護裝置防火機房建設-耐火材料，機房區(qū)域隔離防火火災自動消防系統(tǒng)防水和防潮窗戶、屋頂、墻壁的防水方法;排水溝防水檢測/報警系統(tǒng)防靜電防靜電地板，并設備接地靜電消除器、防靜電手環(huán)溫濕度控制溫濕度自動控制機房空調/精密空調電力供應冗余電纜穩(wěn)壓器+UPS電磁防護布線防磁設計、機柜防磁保護屏蔽柜、屏蔽機房云擴展要求基礎設施位置在中國境內

信創(chuàng)要求物理位置選擇信創(chuàng)系統(tǒng)在中國境內物理環(huán)境層安全包括基本要求和云擴展要求，涉及物理位置選擇、訪問控制、風火水電等內容；物理環(huán)境層-安全要求44穩(wěn)壓器+機房涉及應符合GB50174《電子信息系統(tǒng)機房設計規(guī)范》，并按照等保2.0三級要求進行進行設計；物理訪問控制精密空調屏蔽機柜防雷裝置火災消防系統(tǒng)防水檢測系統(tǒng)防盜竊/防破壞

防雷擊

防火防水和防潮溫濕度控制電力供應電磁防護防靜電靜電消除器物理環(huán)境層-安全產品部署/設計45類型分類安全控制點要求產品安全

通信

網絡基本要求網絡架構設計干路設備、邊界設備、匯聚層以上的設備、安全設備等設備可用性設計網絡設備和架構設計在性能處理上有一定比例冗余劃分VLAN，業(yè)務系統(tǒng)網段合理劃分、根據安全級別劃分區(qū)域及配置策略主要網絡設備、安全設備冗余設計通信傳輸客戶端到服務器、服務器到服務器之間要使用SSL等通信下一代防火墻可信驗證網絡設備具有可信模塊，對啟動的引導程序、系統(tǒng)程序進行完整性等檢測

基礎設施層的通信網絡包括網絡架構設計、通信傳輸、網絡設備的可信驗證等；基礎設施層-通信網絡-安全要求46存儲區(qū)計算區(qū)云管區(qū)運維管理區(qū)數據備份區(qū)云平臺區(qū)外網接入區(qū)下級單位接入區(qū)互聯(lián)網接入區(qū)APT防御漏洞掃描堡壘機統(tǒng)一運維管理核心鏈路雙冗余核心鏈路雙冗余核心鏈路雙冗余核心鏈路雙冗余核心鏈路雙冗余核心鏈路雙冗余核心鏈路雙冗余防病毒網關安全管理區(qū)日志審計數據庫審計集中身份管理PKI/CA統(tǒng)一安全管理網絡架構設計雙冗余雙冗余雙冗余雙冗余雙冗余雙冗余通信網絡，主要考慮網絡可用性、冗余性設計；可信驗證可信模塊可信模塊可信模塊可信模塊可信模塊可信模塊可信模塊可信模塊可信模塊可信模塊防火墻防火墻防火墻防火墻防火墻網閘外網區(qū)IPSIPSIPS防病毒系統(tǒng)基礎設施層-通信網絡-安全產品部署/設計47類型分類安全控制點要求產品安全

區(qū)域

邊界基本要求邊界防護邊界處部署受控安全設備實現(xiàn)防護；控制非法聯(lián)入內網；控制非法聯(lián)入外網；網閘、下一代防火墻訪問控制邊界訪問控制策略（網閘、防火墻、路由器和交換機等提供訪問控制功能的設備）；對應用識別，并對應用的內容進行過濾網閘、下一代防火墻入侵防范檢測內外部網絡入侵行為、防止或限制；新型網絡攻擊的檢測和分析IPS/IDS、APT防御惡意代碼防御網絡中惡意代碼防病毒網關安全審計（安全審計系統(tǒng)，實現(xiàn)對路由器、交換機和防火墻等設備）啟用日志收集和審計；開啟審計用戶行為策略；日志審計系統(tǒng)、堡壘機可信驗證邊界設備具有可信模塊，對啟動的引導程序、系統(tǒng)程序進行完整性等檢測

基礎設施層的區(qū)域邊界安全包括邊界防護、訪問控制、入侵防范、安全審計等；基礎設施層-區(qū)域邊界-安全要求48存儲區(qū)計算區(qū)云管區(qū)運維管理區(qū)數據備份區(qū)云平臺區(qū)外網接入區(qū)下級單位接入區(qū)互聯(lián)網接入區(qū)APT防御漏洞掃描堡壘機統(tǒng)一運維管理邊界防護/訪問控制邊界防護/訪問控制邊界防護/訪問控制邊界防護/訪問控制邊界防護/訪問控制邊界防護/訪問控制入侵防范防病毒網關惡意代碼安全管理區(qū)日志審計數據庫審計PKI/CA集中身份管理統(tǒng)一安全管理區(qū)域邊界，主要考慮通過防火墻做各分區(qū)安全隔離、網絡入侵防范及病毒的防護等；邊界防護/訪問控制入侵防范惡意代碼防護安全審計運維審計運維審計可信模塊可信驗證可信模塊可信模塊可信模塊可信模塊可信模塊可信模塊防火墻防火墻防火墻防火墻防火墻防火墻外網區(qū)IPS入侵防范IPSIPS防病毒系統(tǒng)基礎設施層-區(qū)域邊界-安全產品部署/設計49基礎設施層的計算環(huán)境安全包括身份鑒別、訪問控制、安全審計、入侵防范等；類型分類安全控制點要求產品安全

計算

環(huán)境基本要求身份鑒別設備設置登錄認證功能；用戶名不易被猜測，口令復雜度達到強密碼要求啟用設備自身登錄驗證策略當進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽雙因素認證：用戶名口令、動態(tài)口令、USBkey、生物特征等鑒別方式PKI/CA、集中身份管理訪問控制登錄賬戶和權限合理分配刪除多余賬號，重命名默認密碼；基于規(guī)則的訪問控制集中身份管理安全審計記錄服務器、存儲及系統(tǒng)等日志信息日志審計、數據庫審計入侵防范操作系統(tǒng)遵循最小安裝原則，關閉不需要的服務配置終端接入方式、網絡地址范圍;及時發(fā)現(xiàn)并修復漏洞能夠檢測對重要節(jié)點入侵行為并報警漏洞掃描系統(tǒng)

惡意代碼防范檢測并查殺病毒和木馬等防病毒系統(tǒng)可信驗證計算設備具有可信模塊，對啟動的引導程序、系統(tǒng)程序進行完整性等檢測

數據完整性采用密碼技術，保證重要數據傳輸和使用的完整性，如傳輸時采用https，云平臺設計時考慮數據hash校驗PKI/CA數據保密性云平臺采用密碼技術，實現(xiàn)數據機密性數據備份恢復數據本地備份；數據異地備份備份軟件剩余信息保護業(yè)務系統(tǒng)設計需考慮用戶信息數據及敏感數據清零后，方可重新分配使用

個人信息保護業(yè)務系統(tǒng)設計需考慮個人信息保護機制，如僅采集業(yè)務需要個人信息、禁未授權訪問等

云擴展要求身份鑒別當遠程管理云計算平臺中設備時，管理終端和云計算平臺之間應建立雙向身份驗證機制PKI/CA、集中身份管理基礎設施層-計算環(huán)境-安全要求50類型分類安全控制點要求產品安全

計算

環(huán)境信創(chuàng)要求身份鑒別對登錄的用戶進行身份標識和鑒別：1)系統(tǒng)應為不同用戶提供不同的用戶身份標識；2)系統(tǒng)的用戶名和口令不得相同，用戶口令應為數字、字母、特殊字符混合組合；3)用戶口令長度應不低于8位；4)系統(tǒng)應具有用戶口令定期更新提示和更新確認；5)禁止明文存儲口令啟用設備自身登錄驗證策略：1)宜限制操作系統(tǒng)同一賬戶連續(xù)登錄失敗次數為6-10次，具體次數應在相關安全策略中明確；2)同一賬戶連續(xù)登錄失敗超過規(guī)定次數，賬戶應被鎖定不少于10分鐘，或申請由系統(tǒng)管理員進行密碼重置。遠程管理安全加密：采用SSH、HTTPS、VPN等安全的遠程管理方式雙因素認證1）其中一種鑒別技術宜采用動態(tài)口令、數字證書、生物特征；2）應采用國家密碼管理主管部門批準的密碼技術。PKI/CA、集中身份管理訪問控制刪除多余賬號，重命名默認密碼，具體要求：

操作系統(tǒng)應禁用無法重命名或無法刪除的默認賬戶，或阻止默認賬戶直接遠程登錄。集中身份管理可信驗證可基于可信根對服務器、終端的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數和應用程序等進行可信驗證，并在應用程序的關鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結果形成審計記錄送至安全管理中心。基礎設施層-計算環(huán)境-安全要求51類型分類安全控制點要求產品安全

管理

中心基本要求系統(tǒng)管理對系統(tǒng)管理員進行身份鑒別，并對其操作進行審計堡壘機、統(tǒng)一運維管理系統(tǒng)審計管理對審計管理員進行身份鑒別，并對其操作進行審計數據庫審計、日志審計、堡壘機、統(tǒng)一安全管理安全管理對安全管理員進行身份鑒別，并對其操作進行審計堡壘機、統(tǒng)一安全管理集中管控單獨建立安全管理區(qū)域，并對安全設備統(tǒng)一管理收集各個設備上的審計數據進行集中分析對安全策略、惡意代碼、補丁等進行集中管理統(tǒng)一安全管理信創(chuàng)要求集中管控對安全策略、惡意代碼、補丁等進行集中管理，具體要求包括：宜對操作系統(tǒng)、應用軟件、中間件等進行版本管理和監(jiān)控統(tǒng)一安全管理基礎設施層的安全管理中心，主要包括系統(tǒng)管理、審計管理、安全管理和集中管控；基礎設施層-安全管理中心-安全要求52安全產品數量70-80分80-90分90分以上電子門禁系統(tǒng)NA√√√防盜報警系統(tǒng)/視頻監(jiān)控系統(tǒng)NA√√√防雷裝置/過壓保護裝