信創(chuàng)云規(guī)劃設(shè)計(jì)建設(shè)方案

信創(chuàng)云規(guī)劃設(shè)計(jì)建設(shè)方案延時(shí)符目錄信創(chuàng)云安全建設(shè)方案什么是信創(chuàng)云信創(chuàng)云建設(shè)需求分析2信創(chuàng)云建設(shè)方案設(shè)計(jì)1342什么是信創(chuàng)云什么是信創(chuàng)4IT基礎(chǔ)設(shè)施信息技術(shù)應(yīng)用創(chuàng)新基礎(chǔ)軟件信息安全應(yīng)用軟件邊界安全終端安全數(shù)據(jù)庫(kù)操作系統(tǒng)中間件辦公軟件流式版簽業(yè)務(wù)應(yīng)用生產(chǎn)系統(tǒng)管理信息系統(tǒng)辦公系統(tǒng)信創(chuàng)，即“信息技術(shù)應(yīng)用創(chuàng)新”。我國(guó)自主信息產(chǎn)業(yè)聚焦信息技術(shù)應(yīng)用創(chuàng)新，旨在通過(guò)對(duì)IT硬件、軟件等各個(gè)環(huán)節(jié)的重構(gòu)，基于我國(guó)自有IT底層架構(gòu)和標(biāo)準(zhǔn)，形成自有開(kāi)放生態(tài)，從根本上解決本質(zhì)安全問(wèn)題，實(shí)現(xiàn)信息技術(shù)可掌控、可研究、可發(fā)展、可生產(chǎn)。信創(chuàng)發(fā)展是一項(xiàng)國(guó)家戰(zhàn)略，也是當(dāng)今形勢(shì)下國(guó)家經(jīng)濟(jì)發(fā)展的新功能。信創(chuàng)產(chǎn)業(yè)發(fā)展已經(jīng)成為各行各業(yè)數(shù)字化轉(zhuǎn)型、提升產(chǎn)業(yè)鏈發(fā)展的關(guān)鍵。國(guó)家戰(zhàn)略中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立:習(xí)總書記親自擔(dān)任組長(zhǎng)，標(biāo)志著網(wǎng)絡(luò)安全和信息化已上升為國(guó)家戰(zhàn)略。習(xí)總書記在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上指出：要盡快在核心技術(shù)上取得突破，加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系?！吨腥A人民共和國(guó)科學(xué)技術(shù)進(jìn)步法》：第二十七條明確規(guī)定，國(guó)家建立和完善科研攻關(guān)協(xié)調(diào)機(jī)制，推動(dòng)產(chǎn)學(xué)研緊密合作，推動(dòng)關(guān)鍵核心技術(shù)自主可控。在第七條提到：加強(qiáng)原始創(chuàng)新和關(guān)鍵核心技術(shù)攻關(guān)，加快實(shí)現(xiàn)高水平科技自立自強(qiáng)。2014年2月2016年4月19日2021年3月11日2021年12月24日網(wǎng)絡(luò)安全和信息化上升為國(guó)家戰(zhàn)略

《國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》：加強(qiáng)原創(chuàng)性引領(lǐng)性科技攻關(guān)。集中優(yōu)勢(shì)資源攻關(guān)關(guān)鍵元器件零部件和基礎(chǔ)材料等領(lǐng)域關(guān)鍵核心技術(shù)。5信創(chuàng)背景關(guān)后門防斷供堵漏洞網(wǎng)信安全高端芯片的流片在境外產(chǎn)業(yè)鏈存在“卡脖子”環(huán)節(jié)，關(guān)鍵核心的軟件工具和元器件受制于人我們的CPU、操作系統(tǒng)被微軟、英特爾等美國(guó)公司把控CPU和OS等關(guān)鍵核心產(chǎn)品內(nèi)置“后門”“內(nèi)網(wǎng)”走向互聯(lián)網(wǎng)之后，面臨的漏洞攻擊種類更多、頻次更高、強(qiáng)度更大等挑戰(zhàn)“微軟黑屏事件”（2008）“棱鏡門事件”（2013）“震網(wǎng)病毒事件”（2010）“中興華為事件”（2018、2019）網(wǎng)信安全事件頻發(fā)，清晰傳遞出了一個(gè)重要信息，那就是關(guān)鍵元器件以及基礎(chǔ)軟件等核心技術(shù)，不能受制于人，否則就會(huì)被卡脖子、斷供甚至受到后門漏洞的攻擊，嚴(yán)重威脅國(guó)家網(wǎng)信安全。6黨政信創(chuàng)經(jīng)驗(yàn)成果黨政信創(chuàng)的實(shí)施成果應(yīng)用升級(jí)統(tǒng)一平臺(tái)架構(gòu)，實(shí)現(xiàn)業(yè)務(wù)重構(gòu)與資源整合，打通信息孤島，優(yōu)化業(yè)務(wù)流程，實(shí)現(xiàn)業(yè)務(wù)應(yīng)用層面的升級(jí)技術(shù)升級(jí)促進(jìn)信創(chuàng)體系與云計(jì)算、大數(shù)據(jù)、人工智能等新一代信息技術(shù)相融合體驗(yàn)升級(jí)將移動(dòng)互聯(lián)網(wǎng)的使用模式引入到信息系統(tǒng)建設(shè)中，實(shí)現(xiàn)部署簡(jiǎn)單高效、升級(jí)方便及時(shí)、操作靈活易用，實(shí)現(xiàn)用戶體驗(yàn)層面的升級(jí)在完成黨政信創(chuàng)任務(wù)的同時(shí)，同步實(shí)現(xiàn)了應(yīng)用、技術(shù)、體驗(yàn)等多維度升級(jí)，提升了電子政務(wù)安全可控水平帶動(dòng)并形成了以“信創(chuàng)CPU芯片+信創(chuàng)操作系統(tǒng)”為基礎(chǔ)的自主可控信息技術(shù)體系和產(chǎn)業(yè)生態(tài)推動(dòng)我國(guó)信息產(chǎn)業(yè)發(fā)展實(shí)現(xiàn)歷史性跨越7什么是信創(chuàng)云8信創(chuàng)云作為信創(chuàng)落地的主要技術(shù)方式，在央國(guó)企國(guó)產(chǎn)化替代及上云需求的爆發(fā)下，也將迎來(lái)高速發(fā)展。相關(guān)機(jī)構(gòu)數(shù)據(jù)顯示，近三年，信創(chuàng)云市場(chǎng)規(guī)模預(yù)計(jì)保持同比50%以上的增長(zhǎng)率，2025年將達(dá)到1438億元。目前，業(yè)界尚未對(duì)“信創(chuàng)云”給出明確的標(biāo)準(zhǔn)定義。所謂“信創(chuàng)云”，業(yè)界普遍認(rèn)為是基于國(guó)產(chǎn)化存儲(chǔ)、計(jì)算、網(wǎng)絡(luò)、操作系統(tǒng)等基礎(chǔ)軟硬件打造，具備高可靠性、高可擴(kuò)展性、安全可信等核心特征。盡管每個(gè)行業(yè)要求不一樣，但最重要的是組成信創(chuàng)云的基礎(chǔ)軟硬件產(chǎn)品要符合信創(chuàng)標(biāo)準(zhǔn)。另外，就是要堅(jiān)持信創(chuàng)云軟件的自主研發(fā)，能夠通過(guò)對(duì)底層不同類型的計(jì)算、存儲(chǔ)以及網(wǎng)絡(luò)等資源進(jìn)行統(tǒng)一納管，有效屏蔽底層資源差異性，保障企業(yè)IT架構(gòu)在全面信創(chuàng)遷移過(guò)程中的平穩(wěn)過(guò)渡，并能夠通過(guò)容器、微服務(wù)等先進(jìn)技術(shù)，對(duì)上層應(yīng)用開(kāi)發(fā)及編排、調(diào)度提供支持，起到在IT架構(gòu)全面國(guó)產(chǎn)化替換過(guò)程中關(guān)鍵的承上啟下作用，加速信創(chuàng)目標(biāo)的達(dá)成。傳統(tǒng)私有云方式企業(yè)傳統(tǒng)私有云搭建大多基于VMware虛擬化+虛擬化管理平臺(tái)搭建，通過(guò)將底層計(jì)算資源進(jìn)行池化處理，幫助企業(yè)實(shí)現(xiàn)底層資源的統(tǒng)一管理和調(diào)用。這一架構(gòu)由于穩(wěn)定性較高，且應(yīng)用范圍較廣，在過(guò)去的很長(zhǎng)時(shí)間內(nèi)，是企業(yè)搭建私有云的首選方案隨著近年來(lái)信創(chuàng)政策的陸續(xù)頒布，這一架構(gòu)核心技術(shù)不可控、不具備一云多芯能力等缺陷逐漸顯露出來(lái)，嚴(yán)重制約了企業(yè)IT架構(gòu)國(guó)產(chǎn)化替換進(jìn)程9信創(chuàng)云的基礎(chǔ)架構(gòu)通過(guò)搭建信創(chuàng)云平臺(tái)對(duì)原私有云平臺(tái)替換，是目前企業(yè)實(shí)現(xiàn)IT架構(gòu)從下至上全面自主可控的必然選擇10信創(chuàng)云的類型現(xiàn)階段主流信創(chuàng)云可分為三類，傳統(tǒng)架構(gòu)信創(chuàng)云、超融合架構(gòu)信創(chuàng)云以及云原生架構(gòu)信創(chuàng)云，三種信創(chuàng)云在核心技術(shù)及應(yīng)用范圍等方面均有所區(qū)別傳統(tǒng)架構(gòu)信創(chuàng)云從實(shí)際需求端來(lái)看，傳統(tǒng)架構(gòu)信創(chuàng)云由于與企業(yè)原有私有云平臺(tái)在功能和架構(gòu)相差不大、應(yīng)用遷移成本較小等原因是目前企業(yè)的需求重點(diǎn)。具體來(lái)看，企業(yè)對(duì)于傳統(tǒng)架構(gòu)信創(chuàng)云的要求主要

：需要核心技術(shù)自主可控、需要應(yīng)用遷移成本較小、需要能夠屏蔽底層資源差異性、需要具備優(yōu)秀的安全保障能力等。超融合架構(gòu)信創(chuàng)云超融合架構(gòu)信創(chuàng)云主要指的是基于國(guó)產(chǎn)超融合軟件+超融合一體機(jī)搭建的云平臺(tái)，該平臺(tái)部署成本較低，并且在功能上與傳統(tǒng)架構(gòu)信創(chuàng)云相差不大，只是計(jì)算性能和底層資源池化管理能力方面要稍遜一籌。因此，現(xiàn)階段主要是應(yīng)用在中小型企業(yè)，以及大型企業(yè)的邊緣業(yè)務(wù)場(chǎng)景，整體需求并不旺盛。云原生架構(gòu)信創(chuàng)云云原生架構(gòu)信創(chuàng)云：指的是基于K8S打造，具備分布式、容器化以及微服務(wù)化等核心特征的云平臺(tái)。企業(yè)通過(guò)部署云原生架構(gòu)信創(chuàng)云，一方面，能夠基于其成熟的原生分布式架構(gòu)，有效提升系統(tǒng)敏捷性，從而更好的應(yīng)對(duì)高并發(fā)應(yīng)用場(chǎng)景；另一方面，能夠依托容器、微服務(wù)等先進(jìn)技術(shù)，實(shí)現(xiàn)底層計(jì)算資源的封裝和按需調(diào)用，幫助企業(yè)既可以具備與傳統(tǒng)架構(gòu)云平臺(tái)相同的底層資源統(tǒng)一納管能力，又可以較好支撐上層應(yīng)用的開(kāi)發(fā)及編排、調(diào)度。11信創(chuàng)云建設(shè)需求分析核高基2006-2013第一批試點(diǎn)2014-2016第二批試點(diǎn)2017-2019全替代2020-2023單品支持：試驗(yàn)性替代CPU/OS/中間件/數(shù)據(jù)庫(kù)/整機(jī)/辦公套件應(yīng)用為牽引，系統(tǒng)性替代，以政策性最強(qiáng)的電子公文作為突破口系統(tǒng)替代：電子公文系統(tǒng)，簡(jiǎn)單辦公依托體系，存在國(guó)產(chǎn)化產(chǎn)品的全部進(jìn)行替換，真試真用，真用實(shí)用體系替代：真試真用，復(fù)雜辦公建設(shè)完整的國(guó)產(chǎn)化生態(tài)，包括基礎(chǔ)軟硬件、信息資源、應(yīng)用系統(tǒng)、安全和IT管控等全替代：面向全國(guó)，生態(tài)完整HN云：50節(jié)點(diǎn)TJ云：20節(jié)點(diǎn)從無(wú)到有從“不可用”到“基本可用”從“基本可用”到“基本好用”從“基本好用”到“智能高效”GX云：900節(jié)點(diǎn)隨著信創(chuàng)領(lǐng)域軟硬件產(chǎn)品功能和性能的升級(jí)，下一階段的發(fā)展必定是利用云計(jì)算、大數(shù)據(jù)等新興技術(shù)，不斷拓寬信創(chuàng)的邊界，創(chuàng)造更大的價(jià)值信創(chuàng)云建設(shè)是政企數(shù)字化轉(zhuǎn)型的必然趨勢(shì)13010203042020201720192013提高黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)使用云計(jì)算服務(wù)的安全可控水平《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等保2.0增加云擴(kuò)展要求，從一個(gè)中心三個(gè)防護(hù)維度進(jìn)行云安全要求《可信云服務(wù)認(rèn)證》對(duì)數(shù)據(jù)可銷毀性、數(shù)據(jù)可遷移性、數(shù)據(jù)私密性、數(shù)據(jù)知情權(quán)等進(jìn)行了規(guī)范《云計(jì)算服務(wù)安全評(píng)估辦法》建立云計(jì)算服務(wù)相關(guān)安全管理流程和制度，通過(guò)系統(tǒng)化的方式確保合規(guī)要求內(nèi)部落地《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式執(zhí)行，按照要求開(kāi)展商用密碼應(yīng)用安全性評(píng)估，確保云計(jì)算平臺(tái)密碼應(yīng)用的合規(guī)性、正確性和有效性；《中華人民共和國(guó)密碼法》國(guó)家密集出臺(tái)云計(jì)算安全建設(shè)的相關(guān)政策安全是信創(chuàng)云的基石14政企信創(chuàng)云規(guī)劃設(shè)計(jì)方法論B規(guī)劃和設(shè)計(jì)C實(shí)施和優(yōu)化A現(xiàn)狀和需求分析業(yè)務(wù)戰(zhàn)略分析生態(tài)圖譜分析商業(yè)模式分析價(jià)值鏈分析信創(chuàng)數(shù)字化轉(zhuǎn)型潛在需求現(xiàn)狀分析新興技術(shù)分析DT成熟度評(píng)估最佳實(shí)踐分析信創(chuàng)數(shù)字化轉(zhuǎn)型現(xiàn)狀和展望信創(chuàng)數(shù)字化戰(zhàn)略規(guī)劃信創(chuàng)數(shù)字化頂層設(shè)計(jì)企業(yè)數(shù)字化業(yè)務(wù)規(guī)劃業(yè)務(wù)架構(gòu)設(shè)計(jì)數(shù)據(jù)架構(gòu)設(shè)計(jì)技術(shù)架構(gòu)設(shè)計(jì)應(yīng)用架構(gòu)設(shè)計(jì)現(xiàn)狀與需求、展望差距分析項(xiàng)目規(guī)劃和卡片設(shè)計(jì)實(shí)施路線制定項(xiàng)目組合制定效果評(píng)估優(yōu)化調(diào)整迭代推廣Analysis現(xiàn)狀和需求分析Blueprint規(guī)劃和設(shè)計(jì)Construction實(shí)施和優(yōu)化項(xiàng)目交付“速贏”場(chǎng)景設(shè)計(jì)安全架構(gòu)設(shè)計(jì)15政企信創(chuàng)云總體需求分析如何承接戰(zhàn)略發(fā)展?如何支撐組織建設(shè)?如何驅(qū)動(dòng)業(yè)務(wù)發(fā)展?如何適應(yīng)發(fā)展趨勢(shì)?總體需求分析業(yè)務(wù)發(fā)展支撐和驅(qū)動(dòng)央國(guó)企戰(zhàn)略管控圍繞人、財(cái)、物和信息等共性資源，構(gòu)建央國(guó)企范圍綜合服務(wù)平臺(tái)，提高行政管理工作效率支撐三大核心能力構(gòu)建持續(xù)賦能，提升能力的價(jià)值，打造能力使用的生態(tài)運(yùn)維需求統(tǒng)籌建設(shè)數(shù)據(jù)中心、網(wǎng)絡(luò)和云平臺(tái)按照集約化建設(shè)原則，實(shí)現(xiàn)資源共享，根據(jù)央國(guó)企商密和國(guó)密信息安全要求，構(gòu)建相應(yīng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施采用國(guó)產(chǎn)化技術(shù)實(shí)現(xiàn)安全可控采用信創(chuàng)基礎(chǔ)軟硬件技術(shù)產(chǎn)品，構(gòu)建基于內(nèi)生安全的安全自主可控體系構(gòu)建數(shù)字中臺(tái)實(shí)現(xiàn)能力的共享及復(fù)用將企業(yè)IT能力進(jìn)行沉淀，實(shí)現(xiàn)業(yè)務(wù)應(yīng)用的靈活定制，適應(yīng)公司業(yè)務(wù)的快速變化和發(fā)展數(shù)智需求基礎(chǔ)需求企業(yè)管理保障體系標(biāo)準(zhǔn)體系信創(chuàng)需求建立數(shù)字化管控機(jī)制及組織保障體系持續(xù)賦能，做好數(shù)字化人才建設(shè)建立支撐央國(guó)企信息化建設(shè)的標(biāo)準(zhǔn)體系為數(shù)字央國(guó)企建設(shè)的全面推進(jìn)夯實(shí)基礎(chǔ)構(gòu)建一體化智慧云網(wǎng)邊端運(yùn)維體系對(duì)網(wǎng)絡(luò)、云平臺(tái)、邊緣計(jì)算以及基于云平臺(tái)構(gòu)建的應(yīng)用提供智慧運(yùn)維管理與監(jiān)控能力業(yè)務(wù)需求技術(shù)需求16不同行業(yè)信創(chuàng)云建設(shè)特點(diǎn)行業(yè)共同點(diǎn)能源類制造類建筑類服務(wù)類集團(tuán)型企業(yè)，加強(qiáng)集團(tuán)管控，實(shí)現(xiàn)管控?cái)?shù)字化；多產(chǎn)業(yè)板塊，利用產(chǎn)業(yè)板塊間的關(guān)系，實(shí)現(xiàn)產(chǎn)業(yè)鏈協(xié)同；重點(diǎn)關(guān)注財(cái)務(wù)、資金、投融資、風(fēng)控、人力、黨務(wù)等業(yè)務(wù)管理，利用技術(shù)平臺(tái)實(shí)現(xiàn)業(yè)務(wù)資源共享；財(cái)務(wù)共享、大數(shù)據(jù)分析為數(shù)字化轉(zhuǎn)型的突破口。行業(yè)特點(diǎn)清潔能源持續(xù)發(fā)展；整個(gè)能源產(chǎn)業(yè)從產(chǎn)能擴(kuò)展轉(zhuǎn)向智能發(fā)展，如智能煉化、發(fā)電；更重視降本提效；重資產(chǎn)類企業(yè)。信創(chuàng)云應(yīng)用重點(diǎn)場(chǎng)景更多的智慧場(chǎng)景建設(shè)：智慧油田、智慧礦山、智慧電網(wǎng)、智慧水務(wù)等；提升數(shù)字化、自動(dòng)化能力，尤其在一些危險(xiǎn)工作環(huán)境加快推進(jìn)無(wú)人化、遠(yuǎn)程化操作；全產(chǎn)業(yè)鏈協(xié)同，高效運(yùn)營(yíng)。具體分為流程制造和離散制造；重資產(chǎn)類企業(yè)；生產(chǎn)制造全過(guò)程復(fù)雜，企業(yè)價(jià)值鏈復(fù)雜，產(chǎn)業(yè)供應(yīng)鏈復(fù)雜。智能制造為主要轉(zhuǎn)型方向，持續(xù)推進(jìn)兩化融合工作；基于數(shù)字孿生，加強(qiáng)設(shè)計(jì)制造數(shù)字化協(xié)同；重資產(chǎn)企業(yè)加強(qiáng)設(shè)備全生命周期管理，利用物聯(lián)網(wǎng)技術(shù)、利用機(jī)器大數(shù)據(jù)。建筑產(chǎn)品個(gè)性化、非標(biāo)準(zhǔn)化；項(xiàng)目管理、施工現(xiàn)場(chǎng)管理；多業(yè)務(wù)模式：PPP、EPC、BOT等；重資產(chǎn)類企業(yè)。開(kāi)展建筑信息模型、數(shù)字化協(xié)同設(shè)計(jì)；全面提升BIM技術(shù)在行業(yè)中的應(yīng)用；強(qiáng)化建筑行業(yè)現(xiàn)場(chǎng)管理、遠(yuǎn)程管理、智慧工地建設(shè)；融入智慧城市體系。服務(wù)類企業(yè)細(xì)分行業(yè)差異大；TOB和TOC發(fā)展不平衡，TOB業(yè)務(wù)數(shù)字化轉(zhuǎn)型場(chǎng)景豐富；用戶習(xí)慣多變，需要企業(yè)應(yīng)變能力強(qiáng)。打造柔性、智慧供應(yīng)鏈；增加線上服務(wù)業(yè)務(wù)范圍，推動(dòng)虛擬服務(wù)網(wǎng)點(diǎn)建設(shè)，向智慧服務(wù)轉(zhuǎn)變；創(chuàng)新商業(yè)模式、服務(wù)模式；基于互聯(lián)網(wǎng)平臺(tái)拓展，增強(qiáng)客戶黏性。17業(yè)務(wù)需求：為滿足政務(wù)外網(wǎng)23個(gè)業(yè)務(wù)系統(tǒng)運(yùn)行，并考慮未來(lái)3年規(guī)劃，評(píng)估需要100臺(tái)服務(wù)器作為計(jì)算資源可滿足需求系統(tǒng)涉及到常規(guī)應(yīng)用系統(tǒng)（OA、門戶等），后端系統(tǒng)（高并發(fā)數(shù)據(jù)庫(kù)、數(shù)據(jù)處理系統(tǒng)）云服務(wù)需求：需支持主流IaaS服務(wù)，包括云主機(jī)服務(wù)、彈性伸縮服務(wù)、塊存儲(chǔ)服務(wù)、文件存儲(chǔ)服務(wù)、虛擬網(wǎng)絡(luò)服務(wù)等安全需求：云平臺(tái)安全建設(shè)需通過(guò)等保2.0三級(jí)和密碼測(cè)評(píng)運(yùn)維需求：需支持對(duì)虛機(jī)的監(jiān)控和管理災(zāi)備需求：需實(shí)現(xiàn)本地備份和異地?cái)?shù)據(jù)容災(zāi)某國(guó)企客戶將在外網(wǎng)建設(shè)一朵信創(chuàng)云平臺(tái)，以下為本次建設(shè)需求：存儲(chǔ)需求：存儲(chǔ)服務(wù)需基本塊、文件、對(duì)象等服務(wù)每種類型分別需要可用容量為200TB塊存儲(chǔ)帶寬需達(dá)到12GB，IOPS需達(dá)到10萬(wàn)IOPS；文件存儲(chǔ)帶寬需達(dá)到6GB，IOPS需達(dá)到5萬(wàn)IOPS；塊存儲(chǔ)帶寬需達(dá)到8GB，IOPS需達(dá)到4萬(wàn)IOPS；某國(guó)企信創(chuàng)云建設(shè)具體需求案例18信創(chuàng)云建設(shè)方案設(shè)計(jì)安全體系主機(jī)安全數(shù)據(jù)安全網(wǎng)絡(luò)安全應(yīng)用安全密碼安全搭建3層3體系為核心的信創(chuàng)云，助力政務(wù)治理現(xiàn)代化建設(shè)國(guó)產(chǎn)服務(wù)器設(shè)備國(guó)產(chǎn)網(wǎng)絡(luò)設(shè)備國(guó)產(chǎn)存儲(chǔ)系統(tǒng)基礎(chǔ)設(shè)施層計(jì)算服務(wù)資源資源層運(yùn)營(yíng)服務(wù)計(jì)算服務(wù)資源池虛擬機(jī)多集群高可用存儲(chǔ)服務(wù)塊存儲(chǔ)對(duì)象存儲(chǔ)文件存儲(chǔ)網(wǎng)絡(luò)服務(wù)負(fù)載均衡虛擬網(wǎng)卡IaaS容器平臺(tái)資源調(diào)度｜集群管理｜鏡像管理｜應(yīng)用管理｜服務(wù)自愈｜秒級(jí)部署｜彈性伸縮PaaSc'v電子公文文件交換內(nèi)網(wǎng)門戶機(jī)關(guān)事務(wù)績(jī)效考核檔案管理安全郵件……SaaS云管平臺(tái)運(yùn)維服務(wù)云服務(wù)運(yùn)維體系報(bào)警閾值運(yùn)維管理運(yùn)維分析監(jiān)控監(jiān)控設(shè)計(jì)設(shè)計(jì)設(shè)計(jì)設(shè)計(jì)原則：根據(jù)廠商產(chǎn)品和招標(biāo)要求進(jìn)行整體架構(gòu)圖設(shè)計(jì)及介紹存儲(chǔ)服務(wù)資源網(wǎng)絡(luò)服務(wù)資源設(shè)計(jì)災(zāi)備體系系統(tǒng)容災(zāi)數(shù)據(jù)容災(zāi)數(shù)據(jù)備份設(shè)計(jì)信創(chuàng)云系統(tǒng)架構(gòu)設(shè)計(jì)20中國(guó)電子云3-128節(jié)點(diǎn)： 3控制節(jié)點(diǎn)128-256節(jié)點(diǎn)： 5控制節(jié)點(diǎn)256-512節(jié)點(diǎn)： 7控制節(jié)點(diǎn)512-1000節(jié)點(diǎn)： 10控制節(jié)點(diǎn)不同云廠商，不同規(guī)模的計(jì)算節(jié)點(diǎn)，控制節(jié)點(diǎn)開(kāi)銷不同。本次根據(jù)項(xiàng)目需求，計(jì)算節(jié)點(diǎn)規(guī)模為100節(jié)點(diǎn)。華為云5-200節(jié)點(diǎn)： 5個(gè)控制節(jié)點(diǎn)200-500節(jié)點(diǎn)： 9控制節(jié)點(diǎn)500-1000節(jié)點(diǎn)： 11控制節(jié)點(diǎn)信創(chuàng)云部署架構(gòu)（系統(tǒng)層）21計(jì)算資源池需規(guī)劃區(qū)域、計(jì)算類型、VM類型等本次針對(duì)政務(wù)外網(wǎng)劃分為一個(gè)單獨(dú)Region計(jì)算資源劃分為一個(gè)單獨(dú)AZ區(qū)域規(guī)劃針對(duì)普通的應(yīng)用系統(tǒng)，如WEB，對(duì)內(nèi)存容量、IO、擴(kuò)展性的要求都不高，采用虛擬主機(jī)對(duì)于高性能計(jì)算，大容量存儲(chǔ)，大容量?jī)?nèi)存和高IO的需求，則采用裸金屬服務(wù)器計(jì)算類型規(guī)劃虛擬機(jī)規(guī)格需要根據(jù)各種系統(tǒng)對(duì)于CPU、內(nèi)存、網(wǎng)絡(luò)和存儲(chǔ)的I/O需求不同來(lái)進(jìn)行分類VM類型規(guī)劃資源池規(guī)劃設(shè)計(jì)方案-計(jì)算資源池（資源層）22存儲(chǔ)資源池需規(guī)劃服務(wù)類型、容量、性能等本次針對(duì)政務(wù)外網(wǎng)業(yè)務(wù)需求，規(guī)劃存儲(chǔ)服務(wù)包括塊存儲(chǔ)、對(duì)象存儲(chǔ)、文件存儲(chǔ)存儲(chǔ)服務(wù)規(guī)劃針對(duì)本次業(yè)務(wù)需求，分別核算塊存儲(chǔ)、對(duì)象存儲(chǔ)、文件存儲(chǔ)可用容量容量規(guī)劃針對(duì)本次業(yè)務(wù)需求，分別統(tǒng)計(jì)塊存儲(chǔ)、對(duì)象存儲(chǔ)、文件存儲(chǔ)性能需求（吞吐量、IOPS）性能規(guī)劃資源池規(guī)劃設(shè)計(jì)方案-存儲(chǔ)資源池（資源層）23網(wǎng)絡(luò)資源池需規(guī)劃地址、虛擬網(wǎng)絡(luò)服務(wù)等針對(duì)本次業(yè)務(wù)需求，分別規(guī)劃業(yè)務(wù)平面、管理平面等IP地址地址規(guī)劃提供網(wǎng)絡(luò)服務(wù)的節(jié)點(diǎn)數(shù)量需根據(jù)業(yè)務(wù)需求和規(guī)模進(jìn)行規(guī)劃虛擬網(wǎng)絡(luò)服務(wù)規(guī)劃資源池規(guī)劃設(shè)計(jì)方案-網(wǎng)絡(luò)資源池（資源層）24IaaS網(wǎng)絡(luò)服務(wù)VPC虛擬路由器負(fù)載均衡安全服務(wù)安全組密鑰對(duì)防火墻存儲(chǔ)服務(wù)云存儲(chǔ)快照計(jì)算服務(wù)云主機(jī)主機(jī)高可用……………………備份鏡像/快照云服務(wù)設(shè)計(jì)的主要原則：產(chǎn)品響應(yīng)描述注：根據(jù)技術(shù)要求和廠商產(chǎn)品支持服務(wù)種類進(jìn)行撰寫四、云服務(wù)設(shè)計(jì)方案（IaaS）25集中監(jiān)控與統(tǒng)一運(yùn)維集中監(jiān)控告警，資源池統(tǒng)一運(yùn)維管理，應(yīng)用自動(dòng)化部署，運(yùn)維場(chǎng)景化自動(dòng)化。多維度運(yùn)營(yíng)分析數(shù)據(jù)可視化方式，全面、多維度分析各資源狀態(tài)、業(yè)務(wù)資源消耗、成本分?jǐn)偟?。集中安全控制政?wù)云多云平臺(tái)系統(tǒng)權(quán)限統(tǒng)一收斂，操作管理全流程審計(jì)記錄。服務(wù)編排與發(fā)布管理IaaS資源、PaaS服務(wù)編排，服務(wù)與目錄發(fā)布管理，可見(jiàn)性集中控制。服務(wù)管理（資源池適配/調(diào)度）云資源管理云資源生命周期管理監(jiān)控告警運(yùn)營(yíng)分析運(yùn)維自動(dòng)化流程審批安全審計(jì)組織與權(quán)限管理認(rèn)證系統(tǒng)多租戶安全檢查自助部署......云運(yùn)維門戶自服務(wù)門戶云監(jiān)控門戶REST

API工單管理實(shí)現(xiàn)統(tǒng)一資源管理、自動(dòng)化運(yùn)維，自助服務(wù)、多租戶管理等功能注：根據(jù)技術(shù)要求和廠商產(chǎn)品支持服務(wù)種類進(jìn)行撰寫云管平臺(tái)設(shè)計(jì)方案26虛擬計(jì)算節(jié)點(diǎn)集群物理計(jì)算節(jié)點(diǎn)（裸金屬）集群政務(wù)外網(wǎng)管理服務(wù)器集群分布式存儲(chǔ)系統(tǒng)政務(wù)外網(wǎng)業(yè)務(wù)區(qū)根據(jù)項(xiàng)目需求，本次服務(wù)器類型包括管理服務(wù)器、虛擬計(jì)算節(jié)點(diǎn)、物理計(jì)算節(jié)點(diǎn)等，集群架構(gòu)如下注：常規(guī)服務(wù)器類型就是計(jì)算和管理，但是有些云廠家會(huì)單獨(dú)規(guī)劃網(wǎng)絡(luò)節(jié)點(diǎn)服務(wù)器或其他類型服務(wù)器裸金屬服務(wù)器一般常用于部署數(shù)據(jù)庫(kù)服務(wù)或?qū)π阅苄枨笠筝^高的服務(wù)服務(wù)器集群方案-架構(gòu)設(shè)計(jì)（基礎(chǔ)設(shè)施層）27

根據(jù)本次項(xiàng)目需求，政務(wù)外網(wǎng)區(qū)部署100臺(tái)服務(wù)器，其中80臺(tái)用于虛擬計(jì)算節(jié)點(diǎn)、20臺(tái)作為物理計(jì)算節(jié)點(diǎn)、5臺(tái)用于控制節(jié)點(diǎn)（其中兩臺(tái)為網(wǎng)絡(luò)節(jié)點(diǎn)）區(qū)域節(jié)點(diǎn)類型服務(wù)器配置服務(wù)器數(shù)量政務(wù)外網(wǎng)區(qū)虛擬計(jì)算節(jié)點(diǎn)處理器:飛騰FT-2000+2.2GHz64核

內(nèi)存：256GB

系統(tǒng)盤：2*480GBSAS

萬(wàn)兆網(wǎng)卡：4*萬(wàn)兆單端口網(wǎng)卡

千兆網(wǎng)卡：2*千兆雙端口網(wǎng)卡

Raid卡：配電池，支持1、5

尺寸：2U

電源：1+1冗余，單電源功率800W

磁盤控制器：1個(gè)LSI9361-8i

PCIE插槽：7個(gè)

IPMI接口：1個(gè)

USB3.0接口：2個(gè)

VGA接口：1個(gè)

80物理計(jì)算節(jié)點(diǎn)處理器:飛騰FT-2000+2.2GHz64核

內(nèi)存：256GB

系統(tǒng)盤：2*480GBSAS

萬(wàn)兆網(wǎng)卡：4*萬(wàn)兆單端口網(wǎng)卡

千兆網(wǎng)卡：2*千兆雙端口網(wǎng)卡

Raid卡：配電池，支持1、5

尺寸：2U

電源：1+1冗余，單電源功率800W

磁盤控制器：1個(gè)LSI9361-8i

PCIE插槽：7個(gè)

IPMI接口：1個(gè)

USB3.0接口：2個(gè)

VGA接口：1個(gè)

20控制節(jié)點(diǎn)處理器:飛騰FT-2000+2.2GHz64核

內(nèi)存：128GB

系統(tǒng)盤：2*480GBSAS

萬(wàn)兆網(wǎng)卡：4*萬(wàn)兆單端口網(wǎng)卡

千兆網(wǎng)卡：2*千兆雙端口網(wǎng)卡

Raid卡：配電池，支持1、5尺寸：2U

電源：1+1冗余，單電源功率800W

磁盤控制器：1個(gè)LSI9361-8i

PCIE插槽：7個(gè)

IPMI接口：1個(gè)

USB3.0接口：2個(gè)

VGA接口：1個(gè)3注：硬件配置建議高配或滿配控制節(jié)點(diǎn)配置一般低于計(jì)算節(jié)點(diǎn)計(jì)算節(jié)點(diǎn)數(shù)量需根據(jù)需求進(jìn)行設(shè)計(jì)控制節(jié)點(diǎn)數(shù)量需根據(jù)云平臺(tái)廠商建議規(guī)劃網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量需根據(jù)業(yè)務(wù)需求和廠商建議規(guī)劃服務(wù)器集群方案-服配置和數(shù)量（基礎(chǔ)設(shè)施層）28

根據(jù)本次項(xiàng)目需求，本次采用分布式存儲(chǔ)來(lái)搭建信創(chuàng)云平臺(tái)的存儲(chǔ)系統(tǒng)，本次將建立三套存儲(chǔ)系統(tǒng)，分別提供塊存儲(chǔ)服務(wù)、對(duì)象存儲(chǔ)服務(wù)、文件存儲(chǔ)服務(wù)注：根據(jù)項(xiàng)目實(shí)際需求和云廠家推薦，來(lái)選擇存儲(chǔ)系統(tǒng)（集中、分布式）如Ceph等存儲(chǔ)系統(tǒng)，一套存儲(chǔ)可用提供文件、塊、對(duì)象服務(wù)；但是為考慮性能建議分開(kāi)設(shè)計(jì)存儲(chǔ)系統(tǒng)方案-架構(gòu)設(shè)計(jì)（基礎(chǔ)設(shè)施層）29

根據(jù)本次項(xiàng)目需求，需要200TB塊存儲(chǔ)、200TB對(duì)象存儲(chǔ)、200TB文件存儲(chǔ)可用容量本次規(guī)劃全部采用三副本技術(shù)，則分布式塊存儲(chǔ)系統(tǒng)需配置總?cè)萘繛?46TB、分布式對(duì)象存儲(chǔ)系統(tǒng)需配置總?cè)萘繛?46TB、分布式文件存儲(chǔ)系統(tǒng)需配置總?cè)萘繛?46TB。區(qū)域存儲(chǔ)類型服務(wù)器配置服務(wù)器數(shù)量外網(wǎng)區(qū)分布式文件存儲(chǔ)處理器:飛騰FT-2000+2.2GHz64核

內(nèi)存：256GB

系統(tǒng)盤：2*480GBSAS、數(shù)據(jù)盤：2*1.92TBNVMESSD、6*2.4TB10kSAS、5*8TB7.2kNLSAS、

萬(wàn)兆網(wǎng)卡：2*萬(wàn)兆雙端口網(wǎng)卡

千兆網(wǎng)卡：2*千兆雙端口網(wǎng)卡

Raid卡：配電池，支持1、5

尺寸：2U

電源：1+1冗余，單電源功率800W

磁盤控制器：1個(gè)LSI9361-8i

PCIE插槽：7個(gè)

IPMI接口：1個(gè)

USB3.0接口：2個(gè)

VGA接口：1個(gè)

12分布式塊存儲(chǔ)處理器:飛騰FT-2000+2.2GHz64核

內(nèi)存：256GB

系統(tǒng)盤：2*480GBSAS數(shù)據(jù)盤：2*1.92TBNVMESSD、8*8TB7.2kNLSAS

萬(wàn)兆網(wǎng)卡：2*萬(wàn)兆雙端口網(wǎng)卡

千兆網(wǎng)卡：2*千兆雙端口網(wǎng)卡

Raid卡：配電池，支持1、5

尺寸：2U

電源：1+1冗余，單電源功率800W

磁盤控制器：1個(gè)LSI9361-8i

PCIE插槽：7個(gè)

IPMI接口：1個(gè)

USB3.0接口：2個(gè)

VGA接口：1個(gè)

10分布式對(duì)象存儲(chǔ)處理器:飛騰FT-2000+2.2GHz64核

內(nèi)存：128GB

系統(tǒng)盤：2*480GBSAS數(shù)據(jù)盤：2*1.92TBNVMESSD、8*8TB7.2kNLSAS

萬(wàn)兆網(wǎng)卡：2*萬(wàn)兆雙端口網(wǎng)卡

千兆網(wǎng)卡：2*千兆雙端口網(wǎng)卡

Raid卡：配電池，支持1、5尺寸：2U

電源：1+1冗余，單電源功率800W

磁盤控制器：1個(gè)LSI9361-8i

PCIE插槽：7個(gè)

IPMI接口：1個(gè)

USB3.0接口：2個(gè)

VGA接口：1個(gè)10注：存儲(chǔ)服務(wù)器配置根據(jù)廠家建議和招標(biāo)要求配置采用副本技術(shù)還是糾刪碼技術(shù)，根據(jù)招標(biāo)要求配置塊存儲(chǔ)對(duì)性能要求較高，所有配置高于文件存儲(chǔ)和對(duì)象存儲(chǔ)可用容量=總?cè)萘?0.93（0.9）存儲(chǔ)系統(tǒng)方案-配置和數(shù)量（基礎(chǔ)設(shè)施層）30網(wǎng)絡(luò)架構(gòu)的總體規(guī)劃遵循“分區(qū)+分層+分平面”的設(shè)計(jì)理念，采用SDN+vxlan方案分區(qū)：安全管理區(qū)、運(yùn)維區(qū)、業(yè)務(wù)區(qū)等分層：核心層+接入層分平面：控制平面、業(yè)務(wù)平面、安全管理平面、BMC平面等注：云平臺(tái)設(shè)計(jì)三層網(wǎng)絡(luò)架構(gòu)還是兩層網(wǎng)絡(luò)架構(gòu)，根據(jù)業(yè)務(wù)要求。當(dāng)前主流為兩層網(wǎng)絡(luò)架構(gòu)盡量采用冗余架構(gòu)實(shí)現(xiàn)高可用，交換機(jī)冗余堆疊實(shí)現(xiàn)高可用，鏈路和網(wǎng)卡通過(guò)聚合實(shí)現(xiàn)高可用網(wǎng)絡(luò)設(shè)計(jì)方案-架構(gòu)設(shè)計(jì)（基礎(chǔ)設(shè)施層）31

交換機(jī)配置和數(shù)量需通過(guò)計(jì)算服務(wù)器和存儲(chǔ)服務(wù)器等進(jìn)行推導(dǎo)區(qū)域節(jié)點(diǎn)類型配置數(shù)量政務(wù)外網(wǎng)區(qū)接入?yún)^(qū)-邊界路由器政務(wù)外網(wǎng)或廣域網(wǎng)出口4接入?yún)^(qū)-鏈路負(fù)載均衡2核心區(qū)-核心交換機(jī)匯聚24*40G4計(jì)算區(qū)-萬(wàn)兆接入交換機(jī)下行：48*10G、上行：6*40G12存儲(chǔ)區(qū)-萬(wàn)兆接入交換機(jī)下行：48*10G、上行：6*40G2管理區(qū)-核心交換機(jī)下行：24*10G、上行：4*40G2管理區(qū)-千兆接入交換機(jī)下行：48*1G、上行：4*10G12注：路由器和交換機(jī)等網(wǎng)絡(luò)設(shè)備接口盡量預(yù)留4個(gè)網(wǎng)絡(luò)設(shè)計(jì)方案-配置和數(shù)量（基礎(chǔ)設(shè)施層）32根據(jù)業(yè)務(wù)需求，本次采用數(shù)據(jù)備份和數(shù)據(jù)級(jí)容災(zāi)方式實(shí)現(xiàn)數(shù)據(jù)保護(hù)注：根據(jù)業(yè)務(wù)需求規(guī)劃容災(zāi)方案，包括本地?cái)?shù)據(jù)備份、同城容災(zāi)、異地容災(zāi)、雙活、兩地三中心等數(shù)據(jù)備份規(guī)劃備份節(jié)點(diǎn)數(shù)量備份類型備份周期備份策略（差備、全備、增備）演練方案數(shù)據(jù)容災(zāi)規(guī)劃容災(zāi)手段（存儲(chǔ)、數(shù)據(jù)庫(kù)...）容災(zāi)RTO/RPO容災(zāi)策略（同步、異步）演練方案災(zāi)備體系設(shè)計(jì)33通過(guò)統(tǒng)一入口實(shí)現(xiàn)對(duì)硬件、操作系統(tǒng)、數(shù)據(jù)庫(kù)、云主機(jī)、容器、中間件、web應(yīng)用等進(jìn)行統(tǒng)一監(jiān)控，并實(shí)現(xiàn)管理及數(shù)據(jù)可視化拓?fù)涔芾肀O(jiān)控信息系統(tǒng)管理統(tǒng)計(jì)報(bào)表告警管理策略管理關(guān)聯(lián)分析存取/合并記錄/調(diào)整維護(hù)/更新數(shù)據(jù)源信息配置消費(fèi)配置建模IPMI安全設(shè)備服務(wù)器網(wǎng)絡(luò)設(shè)備存儲(chǔ)設(shè)備中間件數(shù)據(jù)庫(kù)Jdbc（數(shù)據(jù)庫(kù)）jmx（中間件）Http檔案管理……門戶網(wǎng)站

OA系統(tǒng)SNMP/SSH麒麟OS統(tǒng)信UOSCentOS……數(shù)據(jù)整合監(jiān)控管理數(shù)據(jù)可視化網(wǎng)絡(luò)視圖業(yè)務(wù)視圖事件視圖首頁(yè)視圖監(jiān)控視圖大屏視圖統(tǒng)一運(yùn)維門戶容器云主機(jī)APIWeb服務(wù)基礎(chǔ)軟件云服務(wù)操作系統(tǒng)硬件設(shè)備注：考慮產(chǎn)品對(duì)云主機(jī)的支持，是否對(duì)接云廠商平臺(tái)運(yùn)維體系-統(tǒng)一運(yùn)維監(jiān)控34通過(guò)統(tǒng)一入口實(shí)現(xiàn)對(duì)硬件、操作系統(tǒng)、數(shù)據(jù)庫(kù)、云主機(jī)、容器、中間件、web應(yīng)用等進(jìn)行統(tǒng)一監(jiān)控，并實(shí)現(xiàn)管理及數(shù)據(jù)可視化產(chǎn)品名稱產(chǎn)品屬性產(chǎn)品描述數(shù)量單位備注OMP運(yùn)維管理平臺(tái)系統(tǒng)平臺(tái)通用的IT基礎(chǔ)設(shè)施和服務(wù)應(yīng)用的監(jiān)控管理平臺(tái)，負(fù)責(zé)數(shù)據(jù)采集，保障基礎(chǔ)設(shè)施的運(yùn)行1套服務(wù)端授權(quán)硬件支持1點(diǎn)包含500個(gè)例如主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等硬件設(shè)備業(yè)務(wù)應(yīng)用1點(diǎn)包含20個(gè)業(yè)務(wù)應(yīng)用ITSM系統(tǒng)基礎(chǔ)管理標(biāo)準(zhǔn)版IT服務(wù)管理系統(tǒng)，從運(yùn)維層面保障故障快速恢復(fù)以及運(yùn)維工作評(píng)價(jià)1套服務(wù)端授權(quán)硬件支持1點(diǎn)包含200個(gè)UPS、精密空調(diào)等硬件授權(quán)1點(diǎn)包含50個(gè)視頻監(jiān)控點(diǎn)、20個(gè)門禁點(diǎn)PEMS系統(tǒng)標(biāo)準(zhǔn)版動(dòng)力環(huán)境監(jiān)控系統(tǒng)，負(fù)責(zé)機(jī)房動(dòng)力環(huán)境數(shù)據(jù)采集，保障機(jī)房動(dòng)力、環(huán)境、安防情況的正常運(yùn)行1套服務(wù)端授權(quán)注：考慮產(chǎn)品對(duì)云主機(jī)的支持，是否對(duì)接云廠商平臺(tái)運(yùn)維體系-統(tǒng)一運(yùn)維監(jiān)控35信創(chuàng)云安全建設(shè)方案基于等保2.0三級(jí)基本要求，為信創(chuàng)云打造“一個(gè)中心三重防護(hù)”安全防護(hù)體系注：針對(duì)不同區(qū)域進(jìn)行不同的安全防護(hù)手段；如區(qū)域邊界采用防火墻隔離；安全管理區(qū)部署數(shù)據(jù)庫(kù)審計(jì)、日志審計(jì)等、漏掃等服務(wù)、運(yùn)維管理區(qū)部署堡壘機(jī)等滿足等保2.0三級(jí)的基本要求37基于等保2.0三級(jí)基本要求，為信創(chuàng)云打造“一個(gè)中心三重防護(hù)”安全防護(hù)體系控制域

技術(shù)產(chǎn)品安全通信網(wǎng)絡(luò)/安全區(qū)域邊界智慧防火墻（含AV）安全通信網(wǎng)絡(luò)/安全區(qū)域邊界安全接入網(wǎng)關(guān)系統(tǒng)（SSLVPN）安全區(qū)域邊界網(wǎng)絡(luò)安全準(zhǔn)入系統(tǒng)安全區(qū)域邊界安全隔離與信息交換系統(tǒng)（網(wǎng)閘）安全區(qū)域邊界上網(wǎng)行為管理與審計(jì)系統(tǒng)安全區(qū)域邊界IPS/IDS安全區(qū)域邊界天眼新一代威脅感知系統(tǒng)安全計(jì)算環(huán)境終端安全管理系統(tǒng)-含防病毒、運(yùn)維管控等安全計(jì)算環(huán)境身份令牌服務(wù)平臺(tái)安全管理中心運(yùn)維安全管理與審計(jì)系統(tǒng)（堡壘機(jī)）安全計(jì)算環(huán)境漏洞掃描系統(tǒng)安全計(jì)算環(huán)境數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)安全管理中心安全分析與管理系統(tǒng)（NGSOC）控制域服務(wù)產(chǎn)品安全區(qū)域邊界/安全計(jì)算環(huán)境基礎(chǔ)環(huán)境評(píng)估安全計(jì)算環(huán)境滲透測(cè)試安全計(jì)算環(huán)境系統(tǒng)上線前安全評(píng)估安全管理中心應(yīng)急響應(yīng)安全管理中心態(tài)勢(shì)感知安全運(yùn)營(yíng)服務(wù)安全管理制度安全管理體系建設(shè)安全建設(shè)管理等級(jí)保護(hù)咨詢服務(wù)安全管理中心重要時(shí)期安全保障服務(wù)注：針對(duì)不同區(qū)域進(jìn)行不同的安全防護(hù)手段；如區(qū)域邊界采用防火墻隔離；安全管理區(qū)部署數(shù)據(jù)庫(kù)審計(jì)、日志審計(jì)等、漏掃等服務(wù)、運(yùn)維管理區(qū)部署堡壘機(jī)等滿足等保2.0三級(jí)的基本要求38云安全管理平臺(tái)和虛擬化安全資源池，對(duì)云計(jì)算的“東西向”流量提供安全防護(hù)虛擬化安全資源池包括主機(jī)安全、漏洞管理、web應(yīng)用層面的安全防護(hù)體系和安全審計(jì)工具虛擬安全資源池示例：業(yè)務(wù)層云平臺(tái)國(guó)產(chǎn)操作系統(tǒng)物理服務(wù)器CSMPvBHxscanyunxiazivsmsCSMP管理業(yè)務(wù)組件虛擬機(jī)生命周期和策略CSMP同步云平臺(tái)租戶資產(chǎn)信息，云平臺(tái)承載CSMP虛機(jī)云平臺(tái)承載組件虛擬機(jī)安全組件防護(hù)云平臺(tái)資產(chǎn)云安全管理平臺(tái)（CSMP）：滿足云計(jì)算安全擴(kuò)展要求39序號(hào)位置產(chǎn)品型號(hào)控制域部署數(shù)量1安全硬件防火墻（南北向）防火墻系統(tǒng)V/NSG3300-3620-F（萬(wàn)兆）/V安全區(qū)域邊界82入侵防御（南北向）入侵防御系統(tǒng)V1.1/P3300-3610-F（萬(wàn)兆）/V1.1安全區(qū)域邊界63DDos防范抗拒絕服務(wù)系統(tǒng)V4.0安全區(qū)域邊界64網(wǎng)絡(luò)安全審計(jì)網(wǎng)絡(luò)安全審計(jì)系統(tǒng)V7.0/NBM主機(jī)安全區(qū)域邊界45流量探針安全分析與管理系統(tǒng)V4.0/NGSOC-NDS7100-TH10安全區(qū)域邊界26VPN網(wǎng)關(guān)安全接入網(wǎng)關(guān)系統(tǒng)V5.0/SJJ19106-G系統(tǒng)主機(jī)安全通信網(wǎng)絡(luò)

安全區(qū)域邊界17反垃圾郵件郵件威脅感知系統(tǒng)V3.0/TSS10000-ZX10V3.0安全管理中心28漏洞掃描漏洞掃描系統(tǒng)V3.0/S3300-VSS20Z主機(jī)安全管理中心29運(yùn)維堡壘機(jī)運(yùn)維安全管理系統(tǒng)V6.0/BH3300-G-2000Z主機(jī)安全管理中心210雙向網(wǎng)閘安全隔離與信息交換系統(tǒng)V2.0/GZ10000-FT10安全區(qū)域邊界211安全軟件系統(tǒng)安全虛擬設(shè)備安全分析與管理平臺(tái)安全分析與管理系統(tǒng)V4.0/NGSOC-BD-FTYH安全管理中心212終端安全管理平臺(tái)終端安全管理系統(tǒng)（AK專版）/服務(wù)器端安全管理中心213終端一體化管理系統(tǒng)終端安全管理系統(tǒng)（AK專版）/客戶端安全計(jì)算環(huán)境根據(jù)終端數(shù)量14服務(wù)器安全終端安全管理系統(tǒng)（AK專版）/客戶端-服務(wù)器授權(quán)安全計(jì)算環(huán)境視服務(wù)器數(shù)量15云安全管理平臺(tái)云安全管理平臺(tái)軟件V2.0/服務(wù)器端安全管理中心216虛擬機(jī)安全（東西向）統(tǒng)一服務(wù)器安全管理系統(tǒng)V8.0/M6160安全計(jì)算環(huán)境視虛擬機(jī)數(shù)量17入侵防御云安全管理平臺(tái)軟件V2.0/虛擬組件安全區(qū)域邊界418防火墻云安全管理平臺(tái)軟件V2.0/虛擬組件安全區(qū)域邊界4數(shù)據(jù)庫(kù)審計(jì)云安全管理平臺(tái)軟件V2.0/虛擬組件安全計(jì)算環(huán)境41920國(guó)密產(chǎn)品服務(wù)器密碼機(jī)服務(wù)器密碼機(jī)SJJ1955-G421數(shù)字證書認(rèn)證系統(tǒng)數(shù)字證書認(rèn)證系統(tǒng)CA-S010422密鑰管理系統(tǒng)密鑰管理系統(tǒng)KMS-S0102滿足了信創(chuàng)云環(huán)境下，等保2.0三級(jí)基本要求，云計(jì)算安全拓展要求，以及國(guó)密測(cè)評(píng)的設(shè)備清單安全設(shè)備清單40計(jì)算環(huán)境區(qū)域邊界網(wǎng)閘、抗DDOS、NIPS、防病毒網(wǎng)關(guān)、防火墻+AV防病毒…通信網(wǎng)絡(luò)防火墻、路由器、交換機(jī)、HTTPS、VPN…計(jì)算環(huán)境漏洞掃描、HIPS、主機(jī)防病毒軟件、數(shù)據(jù)加密、密鑰管理、數(shù)據(jù)備份…安全區(qū)域邊界對(duì)定級(jí)系統(tǒng)的安全域邊界設(shè)置訪問(wèn)控制策略，在網(wǎng)絡(luò)邊界處部署入侵防范手段，防御并記錄入侵行為，對(duì)網(wǎng)絡(luò)中的用戶行為日志和安全事件信息進(jìn)行記錄和審。安全通信網(wǎng)絡(luò)對(duì)定級(jí)系統(tǒng)的網(wǎng)絡(luò)進(jìn)行安全域劃分，不同區(qū)域之間訪問(wèn)采取可靠的技術(shù)隔離手段，確保網(wǎng)絡(luò)帶寬和處理能力能滿足業(yè)務(wù)高峰期需要，確保通信傳輸過(guò)程數(shù)據(jù)完整性和保密性。安全計(jì)算環(huán)境針對(duì)服務(wù)器、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)等計(jì)算環(huán)境，使用安全軟件或通過(guò)應(yīng)用本身安全手段實(shí)現(xiàn)鑒權(quán)、賬號(hào)安全、安全審計(jì)、數(shù)據(jù)安全保護(hù)等功能，保證系統(tǒng)層安全防范入侵行為。設(shè)立安全管理中心，對(duì)分散在網(wǎng)絡(luò)中的各類設(shè)備、組件進(jìn)行集中的管理控制，對(duì)設(shè)備產(chǎn)生對(duì)事件、告警和日志進(jìn)行集中的檢測(cè)和審計(jì)。對(duì)這些操作設(shè)立不同的管理員角色和對(duì)應(yīng)的權(quán)限，并對(duì)操作進(jìn)行審計(jì)。安全管理中心云管平臺(tái)（安全組件）、綜合日志審計(jì)、堡壘機(jī)+雙因子、態(tài)勢(shì)感知系統(tǒng)、SOC、…主機(jī)防護(hù)、防病毒、安全瀏覽器、USBKEY…用戶層面虛擬防火墻、虛擬入侵防御、云堡壘機(jī)…云平臺(tái)層面基于等保2.0三級(jí)基本要求，為信創(chuàng)云打造“一個(gè)中心三重防護(hù)”安全防護(hù)體系；信創(chuàng)云等保安全框架41云計(jì)算平臺(tái)由設(shè)施、硬件、資源抽象控制層、虛擬化計(jì)算資源、軟件平臺(tái)和應(yīng)用軟件等組成。軟件即服務(wù)（SaaS）在平臺(tái)即服務(wù)模式下，云計(jì)算平臺(tái)包括設(shè)施、硬件、資源抽象控制層、虛擬化計(jì)算資源和軟件平臺(tái)；平臺(tái)即服務(wù)（PaaS）在平臺(tái)即服務(wù)模式下，云計(jì)算平臺(tái)包括設(shè)施、硬件、資源抽象控制層、虛擬化計(jì)算資源和軟件平臺(tái)；基礎(chǔ)設(shè)施即服務(wù)（IaaS）在基礎(chǔ)設(shè)施即服務(wù)模式下，云計(jì)算平臺(tái)由設(shè)施、硬件、資源抽象控制層組成；信創(chuàng)云平臺(tái)架構(gòu)信創(chuàng)云平臺(tái)可提供IaaS、PaaS、SaaS等服務(wù)，提供的服務(wù)不同，則云平臺(tái)的安全防護(hù)邊界也不同；本次主要介紹基于IaaS的信創(chuàng)云安全建設(shè)方案；信創(chuàng)云平臺(tái)架構(gòu)42租戶負(fù)責(zé)安全平臺(tái)負(fù)責(zé)安全機(jī)房位置機(jī)房設(shè)施物理環(huán)境層服務(wù)器設(shè)備網(wǎng)絡(luò)設(shè)備存儲(chǔ)設(shè)備安全設(shè)備基礎(chǔ)設(shè)施層虛擬資源層計(jì)算資源網(wǎng)絡(luò)資源存儲(chǔ)資源分布式云操作系統(tǒng)云管平臺(tái)云主機(jī)云網(wǎng)絡(luò)云存儲(chǔ)其他服務(wù)IaaS服務(wù)層云安全服務(wù)租戶空間1租戶空間2租戶空間3……租戶層租戶空間4運(yùn)維管理運(yùn)營(yíng)管理服務(wù)管理其他設(shè)備其他服務(wù)信創(chuàng)云整體架構(gòu)包括物理環(huán)境層、基礎(chǔ)設(shè)施層、虛擬資源池、IaaS服務(wù)層等，其安全防護(hù)也需從這些層次設(shè)計(jì)；安全建設(shè)安全建設(shè)安全建設(shè)安全建設(shè)信創(chuàng)云安全建設(shè)參考架構(gòu)43類型分類安全控制點(diǎn)要求產(chǎn)品物理環(huán)境層安全基本要求物理位置選擇機(jī)房選址：防震、防風(fēng)、防水、防潮/防水

物理訪問(wèn)控制控制人員進(jìn)出電子門禁系統(tǒng)防盜竊/防破壞設(shè)備固定+設(shè)備標(biāo)簽;線纜鋪設(shè);視頻監(jiān)控系統(tǒng)+專人值守防盜報(bào)警系統(tǒng)/視頻監(jiān)控系統(tǒng)防雷擊電路設(shè)計(jì)、防雷擊設(shè)備防雷裝置/過(guò)壓保護(hù)裝置防火機(jī)房建設(shè)-耐火材料，機(jī)房區(qū)域隔離防火火災(zāi)自動(dòng)消防系統(tǒng)防水和防潮窗戶、屋頂、墻壁的防水方法;排水溝防水檢測(cè)/報(bào)警系統(tǒng)防靜電防靜電地板，并設(shè)備接地靜電消除器、防靜電手環(huán)溫濕度控制溫濕度自動(dòng)控制機(jī)房空調(diào)/精密空調(diào)電力供應(yīng)冗余電纜穩(wěn)壓器+UPS電磁防護(hù)布線防磁設(shè)計(jì)、機(jī)柜防磁保護(hù)屏蔽柜、屏蔽機(jī)房云擴(kuò)展要求基礎(chǔ)設(shè)施位置在中國(guó)境內(nèi)

信創(chuàng)要求物理位置選擇信創(chuàng)系統(tǒng)在中國(guó)境內(nèi)物理環(huán)境層安全包括基本要求和云擴(kuò)展要求，涉及物理位置選擇、訪問(wèn)控制、風(fēng)火水電等內(nèi)容；物理環(huán)境層-安全要求44穩(wěn)壓器+機(jī)房涉及應(yīng)符合GB50174《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》，并按照等保2.0三級(jí)要求進(jìn)行進(jìn)行設(shè)計(jì)；物理訪問(wèn)控制精密空調(diào)屏蔽機(jī)柜防雷裝置火災(zāi)消防系統(tǒng)防水檢測(cè)系統(tǒng)防盜竊/防破壞

防雷擊

防火防水和防潮溫濕度控制電力供應(yīng)電磁防護(hù)防靜電靜電消除器物理環(huán)境層-安全產(chǎn)品部署/設(shè)計(jì)45類型分類安全控制點(diǎn)要求產(chǎn)品安全

通信

網(wǎng)絡(luò)基本要求網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)干路設(shè)備、邊界設(shè)備、匯聚層以上的設(shè)備、安全設(shè)備等設(shè)備可用性設(shè)計(jì)網(wǎng)絡(luò)設(shè)備和架構(gòu)設(shè)計(jì)在性能處理上有一定比例冗余劃分VLAN，業(yè)務(wù)系統(tǒng)網(wǎng)段合理劃分、根據(jù)安全級(jí)別劃分區(qū)域及配置策略主要網(wǎng)絡(luò)設(shè)備、安全設(shè)備冗余設(shè)計(jì)通信傳輸客戶端到服務(wù)器、服務(wù)器到服務(wù)器之間要使用SSL等通信下一代防火墻可信驗(yàn)證網(wǎng)絡(luò)設(shè)備具有可信模塊，對(duì)啟動(dòng)的引導(dǎo)程序、系統(tǒng)程序進(jìn)行完整性等檢測(cè)

基礎(chǔ)設(shè)施層的通信網(wǎng)絡(luò)包括網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)、通信傳輸、網(wǎng)絡(luò)設(shè)備的可信驗(yàn)證等；基礎(chǔ)設(shè)施層-通信網(wǎng)絡(luò)-安全要求46存儲(chǔ)區(qū)計(jì)算區(qū)云管區(qū)運(yùn)維管理區(qū)數(shù)據(jù)備份區(qū)云平臺(tái)區(qū)外網(wǎng)接入?yún)^(qū)下級(jí)單位接入?yún)^(qū)互聯(lián)網(wǎng)接入?yún)^(qū)APT防御漏洞掃描堡壘機(jī)統(tǒng)一運(yùn)維管理核心鏈路雙冗余核心鏈路雙冗余核心鏈路雙冗余核心鏈路雙冗余核心鏈路雙冗余核心鏈路雙冗余核心鏈路雙冗余防病毒網(wǎng)關(guān)安全管理區(qū)日志審計(jì)數(shù)據(jù)庫(kù)審計(jì)集中身份管理PKI/CA統(tǒng)一安全管理網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)雙冗余雙冗余雙冗余雙冗余雙冗余雙冗余通信網(wǎng)絡(luò)，主要考慮網(wǎng)絡(luò)可用性、冗余性設(shè)計(jì)；可信驗(yàn)證可信模塊可信模塊可信模塊可信模塊可信模塊可信模塊可信模塊可信模塊可信模塊可信模塊防火墻防火墻防火墻防火墻防火墻網(wǎng)閘外網(wǎng)區(qū)IPSIPSIPS防病毒系統(tǒng)基礎(chǔ)設(shè)施層-通信網(wǎng)絡(luò)-安全產(chǎn)品部署/設(shè)計(jì)47類型分類安全控制點(diǎn)要求產(chǎn)品安全

區(qū)域

邊界基本要求邊界防護(hù)邊界處部署受控安全設(shè)備實(shí)現(xiàn)防護(hù)；控制非法聯(lián)入內(nèi)網(wǎng)；控制非法聯(lián)入外網(wǎng)；網(wǎng)閘、下一代防火墻訪問(wèn)控制邊界訪問(wèn)控制策略（網(wǎng)閘、防火墻、路由器和交換機(jī)等提供訪問(wèn)控制功能的設(shè)備）；對(duì)應(yīng)用識(shí)別，并對(duì)應(yīng)用的內(nèi)容進(jìn)行過(guò)濾網(wǎng)閘、下一代防火墻入侵防范檢測(cè)內(nèi)外部網(wǎng)絡(luò)入侵行為、防止或限制；新型網(wǎng)絡(luò)攻擊的檢測(cè)和分析IPS/IDS、APT防御惡意代碼防御網(wǎng)絡(luò)中惡意代碼防病毒網(wǎng)關(guān)安全審計(jì)（安全審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)路由器、交換機(jī)和防火墻等設(shè)備）啟用日志收集和審計(jì)；開(kāi)啟審計(jì)用戶行為策略；日志審計(jì)系統(tǒng)、堡壘機(jī)可信驗(yàn)證邊界設(shè)備具有可信模塊，對(duì)啟動(dòng)的引導(dǎo)程序、系統(tǒng)程序進(jìn)行完整性等檢測(cè)

基礎(chǔ)設(shè)施層的區(qū)域邊界安全包括邊界防護(hù)、訪問(wèn)控制、入侵防范、安全審計(jì)等；基礎(chǔ)設(shè)施層-區(qū)域邊界-安全要求48存儲(chǔ)區(qū)計(jì)算區(qū)云管區(qū)運(yùn)維管理區(qū)數(shù)據(jù)備份區(qū)云平臺(tái)區(qū)外網(wǎng)接入?yún)^(qū)下級(jí)單位接入?yún)^(qū)互聯(lián)網(wǎng)接入?yún)^(qū)APT防御漏洞掃描堡壘機(jī)統(tǒng)一運(yùn)維管理邊界防護(hù)/訪問(wèn)控制邊界防護(hù)/訪問(wèn)控制邊界防護(hù)/訪問(wèn)控制邊界防護(hù)/訪問(wèn)控制邊界防護(hù)/訪問(wèn)控制邊界防護(hù)/訪問(wèn)控制入侵防范防病毒網(wǎng)關(guān)惡意代碼安全管理區(qū)日志審計(jì)數(shù)據(jù)庫(kù)審計(jì)PKI/CA集中身份管理統(tǒng)一安全管理區(qū)域邊界，主要考慮通過(guò)防火墻做各分區(qū)安全隔離、網(wǎng)絡(luò)入侵防范及病毒的防護(hù)等；邊界防護(hù)/訪問(wèn)控制入侵防范惡意代碼防護(hù)安全審計(jì)運(yùn)維審計(jì)運(yùn)維審計(jì)可信模塊可信驗(yàn)證可信模塊可信模塊可信模塊可信模塊可信模塊可信模塊防火墻防火墻防火墻防火墻防火墻防火墻外網(wǎng)區(qū)IPS入侵防范IPSIPS防病毒系統(tǒng)基礎(chǔ)設(shè)施層-區(qū)域邊界-安全產(chǎn)品部署/設(shè)計(jì)49基礎(chǔ)設(shè)施層的計(jì)算環(huán)境安全包括身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范等；類型分類安全控制點(diǎn)要求產(chǎn)品安全

計(jì)算

環(huán)境基本要求身份鑒別設(shè)備設(shè)置登錄認(rèn)證功能；用戶名不易被猜測(cè)，口令復(fù)雜度達(dá)到強(qiáng)密碼要求啟用設(shè)備自身登錄驗(yàn)證策略當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)雙因素認(rèn)證：用戶名口令、動(dòng)態(tài)口令、USBkey、生物特征等鑒別方式PKI/CA、集中身份管理訪問(wèn)控制登錄賬戶和權(quán)限合理分配刪除多余賬號(hào)，重命名默認(rèn)密碼；基于規(guī)則的訪問(wèn)控制集中身份管理安全審計(jì)記錄服務(wù)器、存儲(chǔ)及系統(tǒng)等日志信息日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)入侵防范操作系統(tǒng)遵循最小安裝原則，關(guān)閉不需要的服務(wù)配置終端接入方式、網(wǎng)絡(luò)地址范圍;及時(shí)發(fā)現(xiàn)并修復(fù)漏洞能夠檢測(cè)對(duì)重要節(jié)點(diǎn)入侵行為并報(bào)警漏洞掃描系統(tǒng)

惡意代碼防范檢測(cè)并查殺病毒和木馬等防病毒系統(tǒng)可信驗(yàn)證計(jì)算設(shè)備具有可信模塊，對(duì)啟動(dòng)的引導(dǎo)程序、系統(tǒng)程序進(jìn)行完整性等檢測(cè)

數(shù)據(jù)完整性采用密碼技術(shù)，保證重要數(shù)據(jù)傳輸和使用的完整性，如傳輸時(shí)采用https，云平臺(tái)設(shè)計(jì)時(shí)考慮數(shù)據(jù)hash校驗(yàn)PKI/CA數(shù)據(jù)保密性云平臺(tái)采用密碼技術(shù)，實(shí)現(xiàn)數(shù)據(jù)機(jī)密性數(shù)據(jù)備份恢復(fù)數(shù)據(jù)本地備份；數(shù)據(jù)異地備份備份軟件剩余信息保護(hù)業(yè)務(wù)系統(tǒng)設(shè)計(jì)需考慮用戶信息數(shù)據(jù)及敏感數(shù)據(jù)清零后，方可重新分配使用

個(gè)人信息保護(hù)業(yè)務(wù)系統(tǒng)設(shè)計(jì)需考慮個(gè)人信息保護(hù)機(jī)制，如僅采集業(yè)務(wù)需要個(gè)人信息、禁未授權(quán)訪問(wèn)等

云擴(kuò)展要求身份鑒別當(dāng)遠(yuǎn)程管理云計(jì)算平臺(tái)中設(shè)備時(shí)，管理終端和云計(jì)算平臺(tái)之間應(yīng)建立雙向身份驗(yàn)證機(jī)制PKI/CA、集中身份管理基礎(chǔ)設(shè)施層-計(jì)算環(huán)境-安全要求50類型分類安全控制點(diǎn)要求產(chǎn)品安全

計(jì)算

環(huán)境信創(chuàng)要求身份鑒別對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別：1)系統(tǒng)應(yīng)為不同用戶提供不同的用戶身份標(biāo)識(shí)；2)系統(tǒng)的用戶名和口令不得相同，用戶口令應(yīng)為數(shù)字、字母、特殊字符混合組合；3)用戶口令長(zhǎng)度應(yīng)不低于8位；4)系統(tǒng)應(yīng)具有用戶口令定期更新提示和更新確認(rèn)；5)禁止明文存儲(chǔ)口令啟用設(shè)備自身登錄驗(yàn)證策略：1)宜限制操作系統(tǒng)同一賬戶連續(xù)登錄失敗次數(shù)為6-10次，具體次數(shù)應(yīng)在相關(guān)安全策略中明確；2)同一賬戶連續(xù)登錄失敗超過(guò)規(guī)定次數(shù)，賬戶應(yīng)被鎖定不少于10分鐘，或申請(qǐng)由系統(tǒng)管理員進(jìn)行密碼重置。遠(yuǎn)程管理安全加密：采用SSH、HTTPS、VPN等安全的遠(yuǎn)程管理方式雙因素認(rèn)證1）其中一種鑒別技術(shù)宜采用動(dòng)態(tài)口令、數(shù)字證書、生物特征；2）應(yīng)采用國(guó)家密碼管理主管部門批準(zhǔn)的密碼技術(shù)。PKI/CA、集中身份管理訪問(wèn)控制刪除多余賬號(hào)，重命名默認(rèn)密碼，具體要求：

操作系統(tǒng)應(yīng)禁用無(wú)法重命名或無(wú)法刪除的默認(rèn)賬戶，或阻止默認(rèn)賬戶直接遠(yuǎn)程登錄。集中身份管理可信驗(yàn)證可基于可信根對(duì)服務(wù)器、終端的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證，在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心?；A(chǔ)設(shè)施層-計(jì)算環(huán)境-安全要求51類型分類安全控制點(diǎn)要求產(chǎn)品安全

管理

中心基本要求系統(tǒng)管理對(duì)系統(tǒng)管理員進(jìn)行身份鑒別，并對(duì)其操作進(jìn)行審計(jì)堡壘機(jī)、統(tǒng)一運(yùn)維管理系統(tǒng)審計(jì)管理對(duì)審計(jì)管理員進(jìn)行身份鑒別，并對(duì)其操作進(jìn)行審計(jì)數(shù)據(jù)庫(kù)審計(jì)、日志審計(jì)、堡壘機(jī)、統(tǒng)一安全管理安全管理對(duì)安全管理員進(jìn)行身份鑒別，并對(duì)其操作進(jìn)行審計(jì)堡壘機(jī)、統(tǒng)一安全管理集中管控單獨(dú)建立安全管理區(qū)域，并對(duì)安全設(shè)備統(tǒng)一管理收集各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行集中分析對(duì)安全策略、惡意代碼、補(bǔ)丁等進(jìn)行集中管理統(tǒng)一安全管理信創(chuàng)要求集中管控對(duì)安全策略、惡意代碼、補(bǔ)丁等進(jìn)行集中管理，具體要求包括：宜對(duì)操作系統(tǒng)、應(yīng)用軟件、中間件等進(jìn)行版本管理和監(jiān)控統(tǒng)一安全管理基礎(chǔ)設(shè)施層的安全管理中心，主要包括系統(tǒng)管理、審計(jì)管理、安全管理和集中管控；基礎(chǔ)設(shè)施層-安全管理中心-安全要求52安全產(chǎn)品數(shù)量70-80分80-90分90分以上電子門禁系統(tǒng)NA√√√防盜報(bào)警系統(tǒng)/視頻監(jiān)控系統(tǒng)NA√√√防雷裝置/過(guò)壓保護(hù)裝