云计算平台建设总体技术方案

云计算平台工程技术方案 天津一普信成科技有限公司 2018 年 3 月 2 目 录 第 1 章 基本情 况 6 1 1 项目名称 6 1 2 业主单位 6 1 3 项目背景 6 1 3 1 XX 技术发展方向 6 1 3 2 有关 XX 公开的相关要求 7 1 4 建设规模 7 1 5 投资概算 10 1 6 设计依据 10 1 7 设计范围 10 1 8 设计分工 11 第 2 章 现状及需求分析 12 2 1 项目意义及建设必要性 12 2 2 现状分析 13 2 3 需求分析 14 2 3 1 长期需求 14 2 3 2 本期需求 14 第 3 章 总体设计 17 3 1 建设目标 17 3 1 1 预期总目标 17 3 1 2 阶段性目标 18 3 3 2 建设内容 18 3 3 系统的总体结构 19 3 3 1 设计原则 19 3 3 2 建设思路 21 3 3 3 总体拓扑结构 23 3 4 信息的分类编码体系 26 3 5 质量保证体系 27 第 4 章 建设方案 29 4 1 网络资源池 30 4 1 1 组网物理拓扑图 30 4 1 2 网络负载均衡设计 31 4 1 3 网络虚拟化设计 33 4 1 4 IP 地址及 DNS 规划 37 4 1 5 网络端口资源估算 42 4 2 计算资源池 43 4 2 1 计算资源池架构 43 4 2 2 应用系统分析 44 4 2 3 计算资源池建议配置与选型建议 45 4 2 4 计算资源池部署 48 4 2 5 虚拟化软件选型分析 50 4 3 云计算管理平台 52 4 3 1 云资源管理平台建设方案 53 4 4 3 2 云运营管理平台建设方案 63 4 4 云计算安全防护方案 73 4 4 1 云计算平台安全威胁 73 4 4 2 云计算平台安全防护目标 74 4 4 3 云计算平台安全架构 75 4 4 4 IaaS 层安全 75 4 4 5 PaaS 层安全 91 4 4 6 SaaS 层安全 92 4 4 7 公共安全 94 4 4 8 安全管理制度 100 4 4 9 云安全服务 101 4 5 机房方案 102 4 5 1 机房设备集中管理 102 4 5 2 布线系统 103 4 5 3 机房系统 103 4 5 4 UPS 配置方案 105 4 6 标准化工作 111 4 6 1 标准规范建设的原则 111 4 6 2 标准规范的总体框架 112 第 5 章 设备配置要求 115 第 6 章 项目实施与运行维护 120 6 1 建设流程及进度安排 120 5 6 1 1 团队组建 121 6 1 2 业务连续性计划规划 122 6 1 3 实施方案详细设计 122 6 1 4 实施方案详细会审 123 6 1 5 运维制度的设计 123 6 1 6 运维制度的会审 125 6 1 7 采购设备和基础设施改造 125 6 1 8 平台机房端系统改造调测 126 6 1 9 设备安装调测 126 6 1 10 系统联调 127 6 1 11 人员技术和制度培训 128 6 1 12 项目验收投产 128 6 2 项目建设管理及组织机构 129 6 2 1 领导组织机构 129 6 2 2 项目建设机构 129 6 2 3 项目沟通 130 6 2 4 项目文档管理 131 6 2 5 运维及管理的组织机构 132 6 2 6 运维及管理的规范 133 6 2 7 运维模式 135 6 2 8 人员配置和培训 135 6 第 1 章 基本情况 1 1 项目名称 云计算平台工程 1 2 业主单位 XXX 公司 1 3 项目背景 1 3 1 技术发展方向 即运用计算机 网络和通信等现代信息技术手段 实现组织结构和工作流程的 优化重组 超越时间 空间和部门分隔的限制 建成一个精简 高效 廉洁 公平 的政府运作模式 以便全方位地向社会提供优质 规范 透明 符合国际水准的管 理与服务 随着网络技术 web2 0 下一代互联网等技术的发展 我国云建设也发生着变化 2010 年 10 月 国务院发布了 国务院关于加快培育和发展战略性新兴产业的决 定 就把新一代信息技术产业作为十二五时期的重点方向 要推动新一代移动通信 下一代互联网核心设备和智能终端的研发及产业化 加快推进三网融合 促进物联 网 云计算的研发和示范应用 7 1 3 2 有关云公开的相关要求 全国云领导小组发布了 关于开展依托云平台加强县级政府云和政务服务试点 工作的意见 就开展依托云平台加强县级政府云和政务服务试点工作提出了相关意 见 要求在试点县 市 区 用一年左右时间 建立和完善统一的云平台 充分利 用平台全面 准确发布政府信息公开事项 实时 规范办理主要行政职权和便民服 务事项 并实现电子监察全覆盖 为在全国全面推行奠定基础 积累经验 1 4 建设规模 本期建设规模为 后续根据实际服务器及机房环境进行调整 编号 设备 数量 单位 硬件设备 刀片式 PC 服务器 片 1 1 刀片服务器机箱 个 1 2 机架式 PC 服务器 4CPU 台 1 3 机架式 PC 服务器 2CPU 台 1 4 FC SAN 磁盘整列 台 1 5 NAS 存储系统 台 1 6 异构存储 云存储 控制系统 台 1 7 虚拟带库 台 1 8 SAN 光纤交换机 台 1 9 核心交换机 台 8 1 10 汇聚交换机 台 1 11 链路负载均衡设备 台 1 12 服务器负载均衡设备 台 1 13 防火墙 台 1 14 接入交换机 台 1 15 WEB 应用防护抗攻击系统 台 1 16 入侵防御系统 台 1 17 防病毒网关 台 1 18 VPN 网关 台 1 19 数据库安全审计系统 台 1 20 运维安全审计系统 台 1 21 安全代理应用服务器 台 1 22 PKI 应用服务器 台 1 23 身份认证系统 套 1 24 网闸 台 1 25 网络 KVM 台 1 26 KVM 集中器 台 1 27 短信机 MAS 信息机 台 2 1 云计算平台管理软件 套 2 2 Vmware vSphere4 1 企业版 1CPU 72 套 Vmware vCenter 标准版 1 套 套 9 2 3 GalaX8800 Operating Edition V100R001 for 1CPU 一年技术服务 套 2 4 Windows Server 2008 R2 中文企业版 套 2 5 RedHat Enterprise Linux 企业版 套 2 6 物理机高可用群集软件 套 2 7 虚拟机高可用群集软件 套 2 8 应用服务器软件 套 2 9 Oracle 数据库管理系统 套 2 10 MSSQL 数据库管理系统 套 2 11 MySql 数据库管理系统 套 2 12 数据备份软件 套 2 13 目录服务器软件 套 2 14 防病毒软件 套 2 15 漏洞扫描设备 台 2 16 网页防篡改软件 套 2 17 SOC 安全管理系统 套 2 18 云安全服务 套 3 1 UPS 套 3 2 标准机架 台 3 3 机房精密空调 台 10 1 5 投资概算 本项目本期工程概算总投资为 XXXX 万元 人民币 1 6 设计依据 中华人民共和国国民经济和社会发展第十二个五年规划纲要 计算机场地技术条件 GB2887 89 计算站场地安全要求 GB9361 88 电子计算机机房设计规范 GB50174 93 供配电系统设计规范 GB50052 92 低压配电装置及线路设计规范 GBJ 83 建筑物防雷设计规范 GB50057 94 电子设备雷击保护守则 GB7450 87 工业企业通信接地设计规范 GBJ79 95 中华人民共和国保密标准 BMB3 1999 涉密信息设备使用现场的电磁泄漏发射防护要求 BMZ1 2000 涉及国家机密的计算机信息系统保密技术要求 BMZ1 2000 涉及国家机密的计算机信息系统安全保密方案设计指南 BMZ2 2001 涉及国家计算机信息系统安全保密测试指南 BMZ3 2001 1 7 设计范围 本方案涉及范围包括以下几个部分 1 基本情况 11 2 现状与需求分析 3 总体设计 4 建设方案 5 设备配置要求 6 培训及维护 7 项目实施 8 概算编制 1 8 设计分工 待定 12 第 2 章 现状及需求分析 2 1 项目意义及建设必要性 XX 单位作为信息化建设持续居于全国前列的经济信息大省 对云计算的表现模 式及其能够带来的经济效益表现出持续关注 本项目提出建设政务云计算平台 对 于整合云资源 提高省直部门计算资源配置效率 建设重复信息化投资 打造绿色 云 推动高新技术产业发展 都具有长远的现实意义 1 云计算是信息技术和产业发展的必然趋势 云计算是网格计算 分布式计算 虚拟化等传统计算机技术和网络技术发展融 合的产物 它旨在通过网络把多个成本相对较低的计算实体整合成一个具有强大计 算能力的完美系统 并借助 SaaS PaaS IaaS MSP 等先进的商业模式把这强大 的计算能力分布到终端用户手中 作为一种新兴技术和商业模式 云计算将加速信 息产业和信息基础设施的服务化进程 催生大量新型互联网信息服务 带动信息产 业和信息化建设格局的整体变革 加快云计算发展 不仅是我省提升数字 XX 综合 竞争力 培育新增长点的重要途径 也是促进产业机构调整 率先实现跨越式发展 的重要举措 2 县级 XX 是推动 XX 单位云计算应用的第一步 云计算是当今信息技术 信息化的战略制高点 当前 我省正在贯彻落实 国 务院办公厅转发全国 XX 领导小组关于开展依托 XX 平台加强县级政府 XX 和政务服 务试点工作意见的通知 将县级 XX 作为推动 XX 单位云计算应用的第一步 在实 践中摸索云计算为 XX 单位带来的新机遇 通过政府应用起到的示范和带动作用 13 促进全省信息化建设水平的提高 带动信息产业的发展 战略信息技术及产业的战 略高地 3 提高政务部门计算资源配置效率 减少重复建设 节能减排 XX 单位 XX 建设以来 全省部署了大量的业务应用系统 涉及海量的网络设备 服务器及存储设备 这些设备 CPU 和内存利用率残差不齐 大多数较低 部分工作 效率在 20 以下 同时也有部分部门计算硬件资源极端匮乏 这样 不仅闲置了宝 贵的计算资源 浪费了电力 不利于节能减排 又未能很好地解决资源匮乏部门的 实际问题 如果将这些设备整合建设为云计算平台 服务器的利用效率将得到极大 提升 40 60 能够动态 弹性 可回收地为各政务部门提供服务 总之 云计算可望提高应用程序部署速度 促进创新和降低成本 同时还增强 了业务运作的敏捷性 本项目对我省云计算的发展和应用具有带动 示范 服务 探索等多重作用 对带动我省信息化建设进入新阶段 探寻我省新的经济建设模式 具有重大的现实意义 有必要尽快实施 2 2 现状分析 XX 单位已经建成了较为完善的 XX 网络系统 经过 04 年 06 年两次大的扩容 改造后 覆盖全省的 XX 网络全面建成 信息资源目录体系与交换体系 信息资源 公开和共享机制 信息安全基础设施基本建立 重点业务应用系统实现互联互通 管理体制进一步完善 信息技术在政府工作中得到普遍应用 XX 单位信息中心作为负责 XX 单位政府政务数据中心建设和维护的核心信息化 部门 服务于 XX 单位政府部门宏观决策支持 信息资源开发利用 数据交换 XX 信用体系建设等六大重点业务 按照工信部和国家发改委的要求 近年来一直 14 致力于政务云计算的铺垫和准备工作 逐步完成了政务数据整合和云就绪准备的前 期工作 为推动数字 XX 建设科学发展 创新 XX 建设模式 推进云计算应用及相 关产业的发展 根据省领导指示精神 下一步将重点建设 XX 单位政务云 在完成 了各部门分散的 IT 资源和信息数据的整合之后 政府将通过云计算平台 实现面向 更多公众服务 带动本地信息化发展等目标 2 3 需求分析 2 3 1 长期需求 满足未来 10 年 XX 单位信息化建设基于 XX 的信息系统对网络 服务器 存储 软件等基础架构的需要 面向全省政务系统提供信息共享平台及云计算平台 根据 XX 单位政府和省经信委对数字 XX 的长远规划 不仅要搭建 XX 云计算平 台 试点并承载相关业务 还需要进行 XX 云计算平台的开发和建设 运行核心业 务系统 2 3 2 本期需求 满足今后 3 到 5 年 XX 单位信息化建设基于 XX 的信息系统对网络 服务器 存储 软件等基础架构的需要 鉴于每个应用系统对基础架构资源的需求难以确定 本期工程暂时按照最小经 济规模的云计算平台建设 计算资源池的服务器物理数量规划为 XXX 台 存储及网 络设备根据实际需要进行配套 15 2 3 2 1 硬件需求 本次需要配置的硬件包括 主机 刀片服务器 机架式服务器等 存储 SAN 存储 NAS 存储 IP 存储 虚拟带库 易购存储控制系统 SAN 交换机等 网络设备 路由器 交换机 负载均衡 VPN 网关等 安全设备 防火墙 入侵防御 防毒墙 运维安全审计系统 数据库安全审计 系统 漏洞扫描系统 2 3 2 2 软件需求 除了需要配置一定数量的服务器 存储 网络设备和安全防护设备外 还需要 配备相应的系统软件 如 1 每台物理服务器和虚拟服务器的操作系统 Windows Linux 等服务器操作系统 2 虚拟化软件 实现服务器和存储资源的虚拟化 建立弹性 智能 可回收的资 源池 对于新购置的设备 需要进行虚拟化套件的安装调试 3 中间件 JAVA 及 NET 架构的应用服务器等 4 大型数据库系统 Oracle SQL Server MySQL 等 5 云计算管理平台 包括网络管理 资源管理 用户管理 统计报表 账单 监 控 告警等管理功能 16 2 3 2 3 安全需求 虚拟机的应用将导致物理网卡上的流量成几何倍数增加 为了应对云计算环境 下的流量变化 安全防护体系的部署需要朝着高性能的方向调整 安全设备必然要 具备对高密度的 10GE 设置 100G 接口的处理能力 同时 考虑到云计算环境的业 务永续性 设备的部署必须要考虑到高可靠性的支持 不仅要考虑到设备的可靠性 如采用高性能高可靠高成熟的产品 还应该考虑到设计的可靠性 如双机热备 设 备虚拟化 配置同步 板件冗余和预留 跨设备链路捆绑 硬件 ByPass 等技术的 应用 配置防火墙 入侵防御 漏洞扫描 网页防篡改 全接入网关和身份认证系统 并从安全区域划分 接入层安全 服务器区的安全和安全管理等多方面加强云计算 平台的防护 特别是接入层 采用 VPN 网关 注册用户从云计算管理中心获得 VPN Client 通过 VPN Client 就可以连接到自己需要的云 服务器安全方面 所有 物理服务器全部配置相应的安全策略 禁止不用的端口的访问 同时在虚拟机模板 系统中只打开最小可用端口 如 SSH http https 等 以保证初始系统的安全性 建立应用节点准入规范 保证应用节点自身的安全防护 避免云内发生交叉感染 安全管理方面 则以管理制度为主 技术管控为辅 双管齐下 2 3 2 4 机房需求 鉴于信息中心机房 UPS 精密空调承载有限 本项目本期工程应做相应扩容建 设 17 第 3 章 总体设计 3 1 建设目标 3 1 1 预期总目标 整合信息化建设资源 充分利用现有政府网站和政务 行政 服务中心基础设 施 结合集约化社区服务信息网络平台建设 对现有 XX 平台进行调整 升级和改 造 满足 XX 和政务服务应用需要 具体包括 1 采用云计算技术 结合创新建设模式 搭建标准统一 功能完善 系统 稳定 安全可靠 纵横互通 集中统一的 XX 云计算平台 为各部门信息资源共享 数据交换和系统办公提供良好的支撑 2 通过建设 XX 云计算平台 方便未来将新增 XX 应用快速部署到云计算 平台上 大大缩短新 IT 系统的上线时间 预期将节省设备 30 节约能耗 50 3 解决 信息孤岛 实现信息共享 提高信息安全水平 提升政府监控能 力和响应速度 提高工作效率和公共服务水平 提供面向社会的专业性服务和为社 会公众提供政务信息服务 4 通过降低成本 提升效率 节能减排 满足 XX 要贯彻落实科学发展观 转变发展模式的需要 5 满足在云计算平台上搭建 XX 应用系统的需要 包括以三层架构为主的 应用系统 以及大访问量的应用系统 大数据处理量的应用系统以及大计算量的应 用系统 云计算试点业务运行稳定之后 普及和推广云计算模式 将 XX 系统 政府网 18 站应用系统 政务服务业务应用系统 电子监察应用系统等纳入政务云计算平台 通过建立政务服务事项信息库 办理过程信息库 办理结果信息库 监察规则信息 库 监察业务信息库等五个信息库 实现政务服务和电子监察信息资源管理 XX 单位政务云计算建设的总体目标是 实现省级政务系统数据共享 利用云计 算弹性 智能 可回收的技术优势 低投资 低能耗 高效率地部署居民健康档案 系统 统计直报系统 生猪屠宰监管与溯源系统等与政务职能工作相关的应用系统 XX 网络 政府网站 业务管理系统 应用及数据服务中心和信息安全保障体系 等纳入统一的政务云计算平台 3 1 2 阶段性目标 为满足 XX 和政务服务试点工作的业务需求 基于网络技术 云计算等新兴 IT 技术手段 建设统一的 XX 承载平台 根据 XX 和政务服务目录 将更多的行政职 权纳入电子化平台的业务系统办理 建设覆盖行政职权和便民服务事项办理流程的 各个环节的电子监察体系 在初步阶段基础设施先行 建设 XX 单位 XX 统一基础承载平台 基于云计算 的模式 融入虚拟化等技术 具备统一 共享的特性 可以承载 XX 金宏工程等试 点业务应用 同时为下一阶段进一步开展云计算的 PAAS SAAS 等业务平台应用 进行经 验积累和技术探索 3 2 建设内容 本项目在充分整合 XX 数据中心资源的基础上 配置必要软硬件设备 为省直 19 部门的信息系统提供统一的基础设施服务 在 IaaS 层构建较为完整的 XX 云计算平 台 建设内容包括以下几部分 硬件设备 刀片服务器 机架式服务器 SAN 存储 NAS 存储 IP 存储 虚 拟带库 易购存储控制系统 SAN 交换机 路由器 交换机 负载均衡 VPN 网关 软件设备 物理服务器和虚拟服务器的操作系统 虚拟化软件 中间件 大型 数据库系统 云计算管理平台 安全系统 防火墙 入侵防御 防毒墙 网页防篡改 身份认证系统 运维安 全审计系统 数据库安全审计系统 漏洞扫描系统 同时采购专业机构提供的云安 全服务等 机房配套设备 UPS 精密空调 标准机架 3 3 系统的总体结构 3 3 1 设计原则 1 标准化 当前阶段云计算整个产业化还不够成熟 相关标准还不完善 网络是云计算的 核心承载平台 为保证多厂商的良好兼容性 避免厂商技术锁定 网络方案的设计 应需要采用标准技术与协议 能够与第三方厂商保持良好的对接 此外 为保证方案的前瞻性 设备的选型应充分考虑对云计算相关标准 如 EVB 802 1Qbg TRILL 等 的扩展支持能力 保证良好的先进性 以适应未来的技 术发展 2 高可用 20 为保证数据业务网的核心业务的不中断运行 在网络整体设计和设备配置上均 是按照双备份要求设计的 在网络连接上消除单点故障 提供关键设备的故障切换 关键设备之间的物理链路采用双路冗余连接 按照负载均衡方式或 active active 方 式工作 关键主机可采用双路网卡来增加可靠性 全冗余的方式使系统达到 99 999 的 电信级可靠性 要求网络具有设备 链中故障毫秒的保护倒换能力 具有良好扩展性 网络建设完毕并网后应可以进行大规模改造 服务器集群 软件功能模块应可以不断扩展 良好的易用性 简化系统结构 降低维护量 对突发数据的吸附 缓解端口拥塞压力 能保证业务的流畅性等 3 增强二层网络 云计算环境下 虚拟机迁移与集群是两种典型的应用模型 这两种模型均需要 二层网络的支持 随着云计算资源池的不断扩大 二层网络的范围正在逐步扩大 甚至扩展到多个数据中心内 大规模部暑二层网络则带来一个必然的问题就是二层 环路问题 采用传统 STP VRRP 技术部署二层网络时会带来部署复杂 链路利用 率低 网络收敛时间慢等诸多问题 因此网络方案的设计需要重点考虑增强二层网 络技术 如 IRF VSS TRILL VPLS 等 的应用 以解决传统技术带来的问题 4 虚拟化 虚拟资源池化是网络发展的重要趋势 将可以大大提高资源利用率 降低运营 成本 应有效开展服务器 存储器的虚拟资源池化技术建设 网络设备的虚拟化也 应进行设计实现 服务器 存储器 网络及安全设备应具备虚拟化功能 5 高性能 由于云计算网络中的流量模型发生了变化 而随着整个云计算业务的开展 业 21 务都分布在各个服务器上 流量模型从纵向流量转换成复杂的多维度混合的方式 整个系统具有较高的吞吐能力和处理能力 系统各层均不存在阻塞 具备对突发流 量的承受能力 6 开放接口 为保证服务器 存储 网络等资源能够被云计算运营平台良好的调度与管理 要求系统提供开放的 API 接口 云计算运营管理平台能够通过 API 接口 命令行脚 本实现对设备的配置与策略下发 7 绿色节能 节能减排是目前网络建设的重要系统工程之一 从网络机房的整体能耗来看 IT 设备约占到 30 空调等制冷系统约占 45 UPS 照明等辅助系统约占 25 所以作为 IT 设备的节能 不仅要考虑本身能耗比较低 而且要考虑其热量对 空调散热系统的影响 应采用低能耗的绿色网络设备 采用多种方式降低系统功耗 3 3 2 建设思路 云计算是一种新型的计算资源利用模式 它将计算任务分布在大量计算机构成 的资源池上 使各种应用系统能够根据需要获取计算力 存储空间和信息服务 按 照服务实现的程度 目前云计算主要有 IaaS PaaS SaaS 三种业务模式 1 基础架构服务 IaaS Iaas 层是以服务的模式提供虚拟硬件资源 主要是将基础设施资源 计算 存 储 网络带宽等 进行虚拟化和池化管理 便于实现资源的动态分配 再分配和回 收 目前资源池主要分为计算资源池 存储资源池和网络资源池 同时也包括软件 和数据等内容资源池 在服务提供方面主要以计算资源 存储资源提供为主 如为 22 业务信息系统分配虚拟服务器 有储空间 提供应用服务器 数据库管理系统等应 用系统运行环境 2 应用平台服务 PaaS PaaS 层主要提供应用开发 测试和运行的平台 用户可以基于该平台 进行 应用的快速开发 测试和部署运行 它依托于云计算基础架构 把基础架构资源变 成平台环境提供给用户和应用 为业务信息系统提供软件开发和测试环境 同时可 以将各业务信息系统功能纳入一个集中的 SOA 平台上 有效地复用和编排组织内部 的应用服务构件 以便按需组织这些服务构件 典型的如门户网站平台服务 可为 用户提供快速定制开发门户网站提供应用软件平台 用户只需在此平台进行少量的 定制开发即可快速部署应用 3 应用软件服务 SaaS SaaS 软件即服务 典型的运用模式就是用户通过标准的 WEB 浏览器来使用 Internet 上的软件 因此可以不必购买软件 只需要按需租用软件 直接应用 典 型的如电子邮件系统的在线软件服务 用户只需作简单的域名设置 即可部署本单 位的电子邮件服务 鉴于云计算平台应用需求的提出是一个渐进的过程 云平台建设是一项复杂的 系统工程 建议 XX 云计算平台遵循长期规划 分步实施的原则 本期工程首先实 现 IaaS 后续工程根据应用的实际需求逐步支持 PaaS 和 SaaS 的实现 23 3 3 3 总体拓扑结构 图 1 XX 云计算平台总体拓扑结构图 根据本期工程的需求和建设目标 XX 云计算平台总体逻辑拓扑结构如上图所 示 通过链路负载均衡器实现多互联网出口 具体链路供应商待定 链路负载均衡 及高可用 任何 ISP 专线故障 不影响业务系统正常访问 通过智能 DNS 系统实 现接入用户的就近访问 即电信用户访问互联网接入区走电信链路 联通用户访问 互联网接入区走联通链路 24 图 2 XX 云计算平台云服务分层架构图 XX 单位 XX 云计算平台云服务分层架构图如上图所示 整个架构分为三层和 两体系 基础设施服务层 IaaS 平台服务层 PaaS 应用软件服务层 SaaS 信 息安全体系和运营管理体系 其中信息安全体系和运营管理体系有信息安全管理平 台和运营管理平台构成 IAAS 及管理 安全体系建设是本次的建设内容 PAAS SAAS 在后续规划建设 1 基础设施服务层包括硬件基础设施子层 虚拟化 定期进行服务器和 PC 全磁盘查杀病毒 保障系统中不存在病毒 建立病毒防范的日常管理机制和审查机制 一旦发现病毒立即杀灭 并通过病毒防护系统的多级结构上报主 管领导或上 级主管部门 对于染毒次数 杀毒次数 杀毒后果进行详细记录 3 补丁管理 未能及时安装操作系统补丁给主机带来诸多安全隐含 然后补丁 的更新频繁 通过人工为每个主机安装系统补丁 不仅仅耗时耗力 也容易造成人为操作失误导 致更大的灾难 为了能够更加便捷 更加快 速而且完整的对操作系统补丁进行修 补 管理员需要一套专门的补丁修补工具 为了能够更加清晰地了解补丁修补的情 况 管理员需要一套专门的补丁报告报表 XX 配备了独立的补丁管理软件 补丁管理软件提供以下功 能 自动为客户端安装补丁程序 减轻管理员的工作负担提高补丁程 序的安装效 率 系统管理员不用到每台计算机上去安装补丁程序 就能完成远端计算机的补丁 安装 支持基于策略和目标的补丁分发 可以将补丁只发给指定的用户 群 便于用 户按照部门之间不同的安全级别进行补丁修补 补丁可用性测试 减少补丁对应用的影响 一些补丁程序可能会导致系统或者 应用程序的不稳定 所以管理员需要在安装前进行测试 补丁管理可以先建立一个 81 小规模的集合或者组 然后进行测试 通过小范围测试提前发现这些补丁程序可能 对系统或者应用程序造成的影响 如果忘记了补丁可用性测试 万一因为安装补丁程序 使系统瘫痪 系统崩溃 或应用程序不能正常工作 通过和备份方案的整合能实现系统和应用尽快的恢复 支持多种非 Window 操作系统 能够生成详细的补丁更新和分发的详细报表 4 数据库审计系统 数据库系统及其数据是系统中的核心资产 应用系统操作的本质是基于数据 库的操作 数据库系统的安全性受到各单位日益重视 面对目前数据库和应用系统 在逻辑和技术上层出不穷的安全漏 洞 以及管理层制定的监督管理制度缺乏有效 执行保障的现状 XX 云计算平台将建立完善的数据库安全审计平台 从根本上杜 绝任何技术手段或违规操作对数据的非法获取和篡改 数据库安全审计系统通过监 听方式 实时第三方获取 保留网络中所有数据库客户端和服务器间的用户对数据 库系统的访问操作 对各种违规行为或高危行为进行综合审计 并以通知 报表形 式提交给安全管理人员 真正实现对数据库资源的有效管理 数据库系统主要存在以下几种安全风险 缺乏监控手段和追查依 据 1 非授权访问数据库 内部或外部用户绕过表现层 应用层 中间处理层 对数据服务层进行非 授权的直接访问 如直接非法获取数据库数据 82 绝大多数应用系统 包括 C S 应用及内部 C S 系统 都没有考虑 到因为管理 应用层或数据库漏洞导致黑客或者内部非授权用户非法访问数据库的巨大风险 这 是架设防火墙也无法解决的问题 管理员无法主动发现数据库里的机密信息是否已 被泄露 2 非法修改和删除数据库数据 如发生绕过应用系统 直接对数据库应用系统数据进行非法修改 和删除 破 坏关键应用数据 将导致业务的疏漏 混乱 停顿甚至直接造成机密信息泄露 甚 至导致直接经济损失 3 非授权调整数据库配置 数据库系统的合理配置是保证数据库正常运行的基本条件 如发 生管理员或 入侵者非授权调整数据库配置 造成数据库系统异常 审计系统应提供有效的配置 操作记录 4 异常数据库权限管理 正常运行的应用系统极少需要进行数据库用户权限调整 入侵者 可通过赋予 普通用户特殊的权限来建立系统的后门 5 数据库敏感数据访问跟踪 非正常用途情况下对数据库中的特定敏感数据如客户资料 政务 内部文件等 数据访问 XX 云计算平台除了通过身份认证系统提供的用户身份认 证 用户访问权限 控制外 还为数据库配置数据库审计系统 有效应 对上面数据库安全风险 5 运维安全审计系统 83 信息系统中的安全事件 80 发生在单位内部 而单位内部管理人员通过 SSH RDP VNC 等加密协议的远程管理工具进行的网络操作行为缺乏有效的规范 和行为审计 出现安全事故的没有追查依据 第三方运维服务公司的技术人员所有的运维操作 包括使用远程 管理工具 数据库远程维护 缺乏统一的管理和有效的监督以及事后 审计的依据 对高敏感度的数据库 服务器的管理 高危的 异常的操作行为进行实时的 有效的阻断及告警 保护重要的信息系统数据不被破坏 XX 云计算平台通过部署集中运维审计系统 统一规范内部 运维管理行为 预 防 及时阻断异常 定位安全事故 为恢复系统和追查责任提供原始依据 所有登 录云计算平台进行业务系统维护的操作都应该通过运维安全审计系统 运维安全审 计系统可以对所有操作进行实时记录 包括 SSH Telnet 等字符界面 或 VNC RDP 等图形化 操作界面 对违规操作进行实时拦截 并提供审计日志供事后核实 运维 审计系统的部署架构图如下所示 图 28 运维审计系统部署架构图 应用安全审计提供以下功能 84 身份认证审核 结合本工程购买身份认证系统 实现基于真实用户身份的多因 素身份认证 对数据 文件的删除和修改等行为监控 系统管理员 系统安全员 审计员和一般用户所实施的操作监控 其他与系统 安全有关的事件或专门定义的可审计事件 对于每一个事件 其审计记录包括 事件的日期和时间 用户 事件类型 事件是否成功 及其他与审计相关的信息 日志信息可转存或备份到存储设备 对审计数据进行报表分析功能 包括分类排序 筛选 趋势分析 应用系统可基于特定异常事件进行审计分析 应用软件应支持将日志事件以某种通用格式输出 作为集中审计 的输入 4 4 4 3 网络安全 在网络安全方面 主要做到以下几个方面的安全防护 包括网络 架构安全 网络访问控制 网络安全审计 边界完整性检查 网络入 侵防御 网络设备防护 可釆取的主要安全措施和技术包括防火墙 IPS 网络安全审计系统 防病毒 防 病毒网关 强身份认证等 此处 特别值得提出的是 拒绝服务攻击对云计算来说 其风险 是非常凸显 的 拒绝服务攻击 DoS 和 Ddos 不是云服务所特有的 但是 在云服务的技术环 境中 企业中的关键核心数据 服务来开了企业网 企业到云服务中心 更多的应 用和集成业务开始依靠互联网 解决服务带来的后果和破坏 将会明显地超过传统 85 的企业网络环境 因此 必须釆取相应的抗拒绝服务攻击技术措施 以保障云计算 平台的正常工作 1 安全域划分 针对网络内部不同的业务部门及应用系统安全需求 对其进行安 全域划分 并按照这些安全功能需求设计和实现相应的安全隔离与保 护措施 安全区域的划分主要规定了各个安全区域的重要级别和重点防 护对象 同时 将各区域之间的安全边界严格制定 XXXX 安全域划分可以釆用分层次的区域划分 从 XX 网络可以划分为 公用网络区 釆用国家 XX 公用地址 即从 CNNIC 注册的地 址 的网络区域 是国家 XX 的主干道 实现各部门 各地区互联互通 为跨地区 跨部门的业务应 用提供支撑平台 互联网接入区 是各级政务部门通过逻辑隔离手段安全接入互联 网的网络区 域 满足各级政务部门公共服务业务应用的需要 专用网络区 是依托国家 XX 基础设施 为有特定需求的部门或业务设置的 VPN 网络区域 实现不同部门或不同业务之间的相互 隔离 VPN 网络区域主要为 少数部门的特定业务数据传输提供安全通道 公众服务区 互联网接入骨干网区和互联网用户接入区之间需要 通过防火墙 进行逻辑隔离 考虑到某些业务系统需要跨公用网络区和互联网接入区部署 也 有些需要跨 专用网络区和互联网接入区部署 为了保证安全 需要进行逻辑隔离 在公用网络 区和互联网接入区间部署一个网闸 同时在专用网络区和互联网接入区也部署一个 网闸 86 2 防火墙 XX 云计算平台在互联网接入层和数据及中心汇聚层分别部署了高性能防火墙 启动 0003 防御功能 保护网络或者主机系统 可对大流量 DDOS 攻击给予拦截 保证云平台出口网络的带宽 保障云平台向客户提供承诺的网络带宽业务 在汇聚层部署防火墙设备 将不同安全区进行有效的隔离 只允 许应用端口 通过 并对通过的流量进行检测 确保各区域服务器 应用的安全 不同区域的安 全级别通过 0 100 的数字表示 数字越大表示安全级别越高 只有当数据在分属 于两个不同安全级别的区域 或区域包含的接口 之间流动的时候 才会激活防火墙 的安全规则检查功能 数据在属于同一个安全区域的不同接口间流动时不会引起任 何检查 通过汇聚层防火墙实现对可同一网络区中不同业务系统的安全隔离 3 安全隔离网闸 隔离网闸作为新一代网络安全产品 部署在可信网络和不可信网络之间 连接 两个网络并控制网络间的信息交换 隔离网闸通过专用硬件在可信网络与不可信网 络间实现物理隔断 可以防止各种基于网络层和操作系统层的攻击 并通过基于硬 件设计的反射 GAP 系统 实现在线高速实时的数据传输 还具备强大的协议终止 协议检查 内容审查等功能 可确保可信网络不受攻击 并保护网络间资源 信息 和数据交换的安全进行 XX 云计算平台部署安全隔离网闸用于在 MPLS VPN 隔离的不同网络区域之间 进行安全数据交换 也可以用于 XX 和 XX 之间的数据安全交换 安全隔离网闸技 术要点 要点 描述 87 物理隔断 可信网和不可信网物理隔断 可信网络上的计算机不能访 问不可信网络 可选择数据交换 两个网络能够有选择的交换数据 好像它们直接相连一样 数据是静态的 在交换数据过程中 数据是静态的 被动的 不能被执行 独立决策 所有决策在一个安全的环境中处理 与不可信网络隔断 支持文件和命令 交换数据可以包含文件和命令 高性能 上述所有工作实时进行 实现最大吞吐量和最小延时 4 入侵防御系统 防火墙的功能侧重在于边界划分 边界互访策略的制定 安全控制的颗粒度较 大 随着来自互联冈动态的 有害的攻击譬如 DDOS 病毒 特洛伊木马 蠕虫等已 经不能通过防火墙的方式譬如 UDP 端口或者 TCP 端口的限制来防护 因此我们建 议在云计算平台的核心交换机和防火墙之间配置专用的入侵防御系统 IPS 考虑到政府应用的高可用性 IPS 的阻断功能平常不启用 在特殊情况时可以启 用 5 VPN 网关 本工程新增 VPN 网关 2 台 远程安全接入网关 VPN 主要实现远程用户接入认 证 数据加密和传输安全 VPN 通过提供 IPsec SSL 等方式进行用户认证和加密 用户认证管理系统结合第三方双因素身份认证系统 VPN 网关的部署同时满足政务办公用户和政务移动用户 VPN 接入需要 以及 解决零散分布的用户在异地访问 XX 并提供了身份验证 授权的功能 在移动用户 侧通过安装客户端软件 直接发起 VPN 连接请求 VPN 网关上对这些移动用户进 行分组 并结合 VPN 网关 VPE 功能 使移动用户认证通过后 可以按不同的身份 88 分别登录到不同的 MPLS VPN 内部 VPN 网关部署示意图如下所示 图 28 VPN 网关部署示意图 用户 VPN 接入流程如下图所示 89 图 29 用户 VPN 接入流程 对于出差在外的领导和公务员可通过安全认证网关设备 启用虚拟专用网 VPN 技术访问 XX 云计算平台上的部分资源 虚拟专用网 VPN 技术的实现包括 提供灵活的 VPN 网络组建方式 支持 IPSecVPN SSL VPN 方式 保证系统的 兼容性 支持多种认证方式 支持用户名 口令 证书 USB 证书 口令等多因素身份 认证方式 支持隧道传输保障技术 可以穿越网络和防火墙 支持网络层以上的 B S 和 C S 应用 能够为用户分配专用网络上的地址并确保地址的安全性 对通过互联网络传递的数据经过加密 确保网络其他未授权的用户无法读取该 信息 6 VLAN 隔离 包括基于端口 VLAN 以及基于 TAG 的 VLAN 都在所有 IT 架构系统中被广泛使 用 XX 云计算平通过 VLAN 隔离不同服务区内不同业务系统的二层网络 对于用 于虚拟机管理使用的网络 包括专用网络区 公共网络区 互联网接入区内不同业 务系统都需要划分独立的 VLAN 本方案使用虚拟化平台 通过在虚拟交换机上对不同虚拟机划分 VLAN 在动 态迁移过程中 VLAN ID 会随虚拟机一同迁移 从基础网络上保证虚拟机迁移过程 的透明化 90 4 4 4 4 虚拟化安全 虚拟化技术在物理硬件与运行 IT 服务的虚拟系统之间引入了一个抽象层 并通 过整合服务器以及提高操作效率和灵活性 实现了一种节约成本的有效方式 然而 对于所运行的虚拟服务而言 新增功能引入的虚拟化层本身却是一个潜在的攻击入 侵通道 由于一个主机系统能够容纳多个虚拟机 因此 主机的安全性就变得尤为 重要 系统上的任何安全漏洞对环境所造成的影响都会比以往更大 由于 VMware 基于一个已针对虚拟化进行优化处理的轻量级内核 因此 较一 般的操作系统而言 它不易受病毒和其他问题的影响 尽管如此 虚拟化层并非是 坚不可摧的 当采取适当措施加强虚拟化层的安全性 以防恶意操作或无意破坏 下面提供了四种增加虚拟化平台安全的措施 1 像保护物理机那样保护虚拟机 运行在虚拟机中的客户操作系统也存在与物理系统相同的安全风险 虚拟化无 法消除这样的风险 不过 对单个虚拟机的攻击只会危及该虚拟机自身的安全 而 不会危害到运行该虚拟机的虚拟化服务器 因此 关键在于对虚拟机采取与物理服 务器相同的安全保护措施 安装通常安装于物理服务器上的防病毒代理 间谍软件 过滤器 入侵防御系统以及其他所有安全工具 确保随耐更新所有的安全工具 包 括应用适当的修补程序 2 利用模板增加虚拟机安全 通过在模板中获取加强了安全性的基本操作系统映像 未安装任何应用程序 可以确保创建的所有虚拟机都具有己知基准级别的安全性 随后便可以使用该模板 创建其他特定于应用程序的模板 也可以使用应用程序模板部署虚拟机 确保随时 91 更新模板中的修补程序和安全工具 3 防止虚拟机抢占资源 虚拟化平台能够精确控制主机资源的分配 通过使用云平台的资源管理功能 如份额和限制 您可以控制虚拟机所消耗的服务器资源 因此 受到攻击的虚拟机 不会对在同一台物理主机运行上的其他虚拟机造成影响 可以利用这一机制来抵御 拒绝服务攻击 此攻击会导致被入侵的虚拟机消耗大量的主机资源 致使同一台主 机上的其他虚拟机无法运行其指定功能 4 限制从虚拟机到物理主机的数据流 虚拟机可以将故障排除信息写入虚拟机日志文件 该文件存储于云平台系统中 对虚拟机用户和进程有意或无意的配置会导致其滥用日志记录功能 将大量数据注 入日志文件 经过一段时间后 日志文件会占用物理主机文件系统的大量空间 将 硬盘填满 致使主机系统无法再正常运行 这就构成了拒绝服务攻击 可配置系统 使其在日志文件达到一定容量后轮换或删除日志文件 4 4 4 5 存储安全 在 XX 云计算平台运营后 平台上既存有政务应用所产生的业务数据 也存有社 会公众应用而产生的业务数据 另外还包括普通公众用户上传的各类隐私信息 虽 然云计算应用设计时已采用诸如数据标记等技术以防非法访问混合数据 但通过应 用程序的漏洞仍可实现非法访问 为了根本的解决这一问题 必须通过存储区域划 分的方式来实现数据隔离 在互联网环境下把 SAN 存储分隔为两个数据区 分别作 为政务应用数据区和社会公众数据区 可较好的解决数据存储安全问题 92 4 4 5 PaaS 层安全 XXXX 云计算平台在本期 IaaS 平台建设完成后 将逐步引入 PaaS 层云服务 PaaS 位于 IaaS 之上 又增加了一个层面 用来与应用开发框架 中间件能力 以 及数据库 消息和队列等功能集成 PaaS 允许开发者在平台之上开发应用 开发 的编程语言和工具由 PaaS 支持提供 PaaS 层的安全 主要包括接口安全 运行安全 当然也包括了数据安全 加 密和密钥管理 身份认证和访问控制 安全事件管理 业务连续性等 4 4 5 1 运行安全 在 PaaS 上 需保障用户的 IT 系统的安全部署和安全运行 使其不对现有的 PaaS 平台造成影响和威胁 不会在云内部发起对内和对外酌攻击 运行安全主要 包括用户应用的安全审核 不同应用的监控 不同用户系统的隔离 安全审计等 XX 云计算平台配备了运维安全审计系统 有效地防止内部发起的攻击 通过防火墙 IPS 漏洞管理 网页防篡改等安全技术手段保障由外部发起的攻击 实现对应用运 行安全的全方位防护 4 4 5 2 接口安全 对于 PaaS 平台提供的一组云服务接口 采取相应的措施 来确保接口的强用 户认证 加密和访问控制的有效性 避免利用接口对内和对外的攻击 避免利用接 口进行云服务的滥用等 在接口安全上 本项目配备了 PKI 应用服务器 结合政务网 CA 中心 实现对 接口的强用户认证 接口数据加解密和有效接口的访问控制 93 4 4 6 SaaS 层安全 SaaS 位于底层的 IaaS 和 PaaS 之上 SaaS 能提供独立的运行环境 用以交 付完整的用户体验 包括内容 展现 应用和管理能力 SaaS 层的安全 主要包 括应用安全 当然也包括数据安全 加密和密钥管理 身份识别和访问管理 安全 事件管理 业务连续性等 SaaS 层安全技术实现措施 XX 结合防火墙 IPS 等网络安全防护 通过 PKI 应用服务器 动态身份认证服务器实现用户身份的强认证 访问控制以及数据的加 解密 通过网页防篡改增强 web 应用服务器安全 通过不同层次的高可用解决方案 实现业务连续性 4 4 6 1 Web 应用加固 云计算服务推动了 Internet 的 Web 化趋势 与传统的操作系统 数据库 C S 系统的安全漏洞相对 多客户 虚拟化 动态 业务逻辑服务复杂 用户参与等 这些 Web2 0 和云服务的特点 对网络安全来说意味着巨大的挑战 甚至面临灾难 性威胁 因此 在云计算中 对于应用安全 尤其需要注意的是 Web 应用安全 Web 系统漏洞层出不穷 主要包括两个方面 一是 Web 应用漏洞 即 Web 应 用层的各项漏洞 包括 Web 应用主流的安全漏洞 网页挂马 恶意代码利用的漏洞 等 二是 Web 代码漏洞 即 Web 应用系统在开发阶段遗留下来的代码漏洞 包括 SQL 注入漏洞 跨站脚本漏洞 CGI 漏洞和无效链接等 XXXX 云计算平台 SaaS 应用在开发之初 应充分考虑到安全性 制定并遵循 适合 SaaS 模式的 SDL 安全开发生命周期 规范和流程 从整个生命周期上去考 虑应用安全 94 对于 Web 应用系统 其防护是一个复杂问题 包括应对网页篡改 DDoS 攻击 导致系统可用性问题的其他类型黑客攻击等各种措施 改务外网云计算平台采用的 技术防护措施有身份认证访问控制 Web 应用配置加固 漏洞管理 Web 应用防护 抗攻击系统等 4 4 6 2 网页防篡改 XX 云计算平台部分网站因需要被公众访问而暴露于因特网上 因此容易成为黑 客的攻击目标 虽然目前已有防火墙 入侵防御等安全防范手段 但现代操作系统 的复杂性和多样性导致系统漏洞层出不穷 防不胜防 黑客入侵和篡改页面的事件 时有发生 网页防篡改通过 Web 服务器核心内嵌技术 使用密码技术 为每个需保 护的对象 静态网页 执行脚本 二进制文件 计算出具有唯一性的数字水印 公 众每次访问网页时 都将网页内容与数字水印进行对比计算 一旦发现网页被非法 修改 则立即进行自动恢复 从而彻底地保证了非法网页内容不被公众浏览 另外 它也辅助使用了增强型事件触发式技术 从而能够在部分操作系统上防止常规的篡 改行为 网页防篡改系统综合考虑了广泛使用的 IIS Apache 服务器对于 Web 攻击的特 殊防护需求 基于最为稳定和高效的 IIS Apache 模块技术构建 稳定性好 效率高 透明化 与 IIS Apache 内核完美集成 网页防篡改系统对 SQL 注入攻击 跨站攻 击 溢出代码攻击 对系统文件的访问 特殊的 URL 攻击 构造危险的 Cookie 对危险文件类型的访问 对危险文件路径的访问等均能进行不问断的有效的检测 阻止与保护 并钝根据自动化攻击工具和手工攻击方式灵活调整安全保护策略 95 4 4 7 公共安全 4 4 7 1 数据安全 无论是 IaaS PaaS 还是 SaaS 都存在数据安全的问题 数据安全 就是要保 障数据的保密性 完整性 可用性 真实性 授权 认证和不可抵赖性 主要实现 以下目标 数据存放位置 必须保证所有的数据包括所有副本和备份 存储在安全的地理 位置 数据删除或持久性 数据必须彻底有效地去除才被视为销毁 不同客户数据的混合 数据尤其是保密 敏感数据不能在使用 存储或传输过 程中 在没有任何补充控制的情况下与其他客户数据混合 数据的混合将在数据安 全和地缘位置等方面增加了安全的挑战 数据备份和恢复重建计划 必须保证数据可用 运输机备份和云回复计划必须 到位和有效 以防止数据丢失 意外的数据覆盖和破坏 在数据的创建 存储 使用 共享 归档 销毁等阶段 都要采取相应的保护 措施 访问控制 安全审计等技术手段 来保障数据安全 通常我们可以将数据类型分为结构化数据 半结构化数据和非结构化数据 对 于存在 Oracle MSSQL MySQL 等关系型数据库中的结构化数据 可通过数据库 安全审计系统实现数据存取安全 对于半结构化数据和非结构化数据可通过数据加 密实现数据安全 XX 云计算平台配备有 PKI 应用服务器 结合 CA 中心颁友的数字 证书可以实现应用数据的加解密 保障接口数据的安全 物理磁盘的安全可通过加 密硬盘实现数据的加密 防止硬盘丢失引起的信息泄露 考虑硬盘加密将带来新的 96 单点故障 此外 硬盘的加密必然带来的一定的存储性能下降 本期暂未考虑使用 加密硬盘 在后续扩容工程中 可根据业务系统需要按需扩容 对磁盘的物理安全 当前可通过加强机房管理实现物理设备的安全 4 4 7 2 目录服务器 XXXX 云计算平台配备目录服务器 l 套 通过系统化的自定义方式来统一身份 资源 设备和策略 例如电子邮件地址 应用程序 文件 人员或小组 自动化 系统以及其他网络组件 目录服务器构成了云计算平台身份管理部署的基础 通过 目录服务器管理云计算平台管理员 云计算平台使用单位和云计算平台业务系统用 户的身份及安全性访问权 借助目录服务器 奠定安全身份管理解决方案 目录服 务管理和多平台网络服务的基础 4 4 7 3 加密和密钥管理 加密和密钥管理是云计算系统中 用于保护数据的一种核心机制 加密提供了 资源保护功能 同时密钥管理则提供了对受保护资源的访问控制 加密的机密性和完整性 包括加密网络传输中的数据 加密静止数据 加密备 份媒介中的数据 出这些常见的加密应用之外 对云计算的特殊性而言 应该要求 进一步分析加密动态数据的方式 包括内存中的数据 密钥管理包括密钥存储的保 护 密钥存储的访问控制 密钥的备份和恢复问题 加密和密钥管理可通过 PKI 应 用服务器实现 XX 云计算平台配置 PKI 应用服务器实现以下功能 1 数字证书有效性验证服务 PKI 应用服务器能够验证用数字证书是否有效 通过 PKI 应用服务器的接口 97 应用系统能够验证用户证书的有效性 并获取用户证书的详细信息 2 数字签名服务 PKI 应用服务器能够将指定的数据进行签名 并返回应用服务器签名数据 3 数