基础云平台建设方案.docx-淘文阁

资源描述

《基础云平台建设方案.docx》由会员分享，可在线阅读，更多相关《基础云平台建设方案.docx（40页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、基础云平台建设方案建设单位：X年X月X日虚拟化的网络.典典皿jjjj崛hfji蛔网络虚拟化通过提供全新的网络运营方式，解决了传统硬件网络的众多管理和运维难题，并且帮助云中心操作员将敏捷性和经济性提高假设干数量级。通过和服务器虚拟化相结合，在虚拟机和物理网络之间，提供了一整套完整的逻辑网络设备、连接和服务，包括：分布式虚拟交换机、虚拟路由器、虚拟防火墙、虚拟vSSL VPN等虚拟网络、安全设备；支持VXLAN等增强网络协议，实现和物理网络的无缝对接，简化网络的配置管理；通过虚拟化管理平台，实现网络拓扑部署、网络故障探测等网络管理功能。基于上述功能，虚拟网络可以快速完成不同应用系统的网络

2、部署，网络配置的自动化调整，网络故障排查等工作，提升网络的管理运维效率，提升网络就绪、扩展速度，降低数据中心物理网络的建设本钱。1、简化网络结构，节省硬件网络投资在部署了网络虚拟化之后，过去传统的接入交换、路由器、负载均衡、防火墙等传统网络、安全硬件设备，通通变成虚拟化的方式运行在服务器里。以前，串糖葫芦式的网络结构也会变得非常的扁平，服务器全部接入到一个大二层的网络，极大的简化物理连线。复杂、申糖葫芦式的网络结构VS2、简化网络配置，实现业务自动化调整部署了虚拟网络后，对于物理交换机来说虚拟化环境中的虚拟机网络流量将会变得透明，物理交换机不再需要配置复杂的网络策略，提供简单的大二

3、层转发即可。而vSwitch将会自动根据每台虚拟机迁移、删除等过程，实现网络策略的自动跟随，实现网络配置的自动化调整，极大的简化了虚拟机迁移所带来复杂的网络运维工作。简化网络配置，实现自动化部署3、品可靠&局性能首先通过应用层协议栈技术，把数据转发放到了应用层，能够让设备永不宕机；其次，通过分布式设计的虚拟路由和虚拟交换机，实现出现故障的能够秒级切换，从而防止虚拟设备的单点故障；最后，通过集群部署和链路聚合，能够避免物理环境的单点故障。这样，就实现了整个虚拟网络环境的高可靠保障，任意环节出现故障，都能被自动检测出来，并快速恢复业务。2. 3.云计算资源池服务器是云计算平台的核心，

4、其承当着云平台的“计算”功能。对于云计算平台上的服务器，通常都是将相同或者相似类型的服务器组合在一起，作为资源分配的母体，即所谓的计算资源池。在这个计算资源池上，再通过利用服务器虚拟化技术，使得其计算资源（CPU、内存、I/O）能以一-种虚拟服务器的方式被不同的应用所使用。服务器虚拟化技术很好地解决了传统服务器系统建设的问题，通过提高物理服务器利用率大幅度消减物理服务器购置需求、数量和运营本钱；通过利用服务器虚拟化中CPU、内存、I/O资源的动态调整能力实现对业务应用资源需求的动态响应，提升业务应用服务质量；通过在线虚拟机迁移实现更高的可用性和可靠性以及各种基于资源优化或节能减

5、排策略的跨物理服务器的调度等。因此，服务器虚拟化技术是建设区县云计算及大数据中心计算资源池最理想的解决方案。计算资源池的构建可以采用以下四个步骤完成：计算资源池分类设计、集群设计、主机池设计、云主机设计四个局部完成。计算资源池分类设计在搭建计算资源池之前，首先应该确定资源池的数量和种类，并对服务器进行归类。归类的标准通常是根据服务器的CPU类型、型号、配置、物理位置来决定。对云计算平台而言，属于同i个资源池的服务器，通常就会将其视为组可互相替代的资源。所以，一般都是将相同处理器、相近型号系列并且物理位置接近的服务器放置在同一个计算资源池里。在做资源池规划的时候，也需要考虑其规模和功

6、用。如果单个资源池的规模越大，可以给云计算平台提供更大的灵活性和容错性：更多的应用可以部署在上面，并且单个物理服务器的宕机对整个资源池的影响会更小些。但是同时，太大的规模也会给出口网络吞吐带来更大的压力，各个不同应用之间的干扰也会更大。所以，规划时应根据应用级别的不同，将某些级别高的应用尽可能地放在某些独立而规模较小的资源池内，辅以较高级别的存储设备，并配备高级别的运维值守。而那些级别比拟低的应用，那么可以被放在那些规模较大的公用资源池（群）中。目前资源池规划建设政务云业务计算资源池。计算资源涵盖所有可能被纳入到云计算平台的所有服务器资源，包括那些为搭建云计算平台新购置的服务器，

7、以及那些未来业务应用迁入至区县云计算及大数据中心之后闲置的区县市各个市级政府部门的服务器。在云计算平台搭建的初期，那些目前正在为业务应用服务的服务器并不会直接被纳入云计算平台的管辖。但是随着云计算平台的上线和业务系统的逐渐迁移，这些服务器也将逐渐地被并入云计算平台的资源池中。对于x86系列的服务器，除了搭建用于生产系统的资源池以外，还需要专门搭建一个测试用资源池，以便云计算平台工程实施过程以及平台上线后业务迁移测试使用。在云计算平台上线以后，原有非云计算平台上的应用会逐步向云计算平台迁移，空出的服务器也会逐渐并入云计算平台的资源池中。其状态可以用下列图所示:集群设计各种类型的计算

8、资源池规划完毕后，在每种类型计算资源池（如民生云业务计算资源池）内按照业务规模、业务逻辑或者业务属性，规划出一个个不同的集群，一方面实现对各类资源池的集中管理，另一方面在集群内实现虚拟化热迁移、 HA、动态资源调度、动态资源扩展等虚拟化特性。主机池设计将所有集群和没有加入集群的主机整合为一个主机池，并将主机池纳入云管理平台进行统一管理。云主机设计所有的云主机均应在标准的x86物理服务器上运行。多个云主机可访问同一台物理服务器的所有资源（如CPU、内存、磁盘、网络设备和外围设备），可在物理服务器上运行应用程序均可以在云主机中运行。默认情况，云主机之间完全隔离，从而实现安全的数据处理、

9、网络连接和数据存储。云主机镜像文件与应用程序都可以封装于文件之中，通过简单的文件复制便可实现云主机的部署、备份以及还原。物理服务器与云主机的整合比平均不超过1:10、云主机的vCPU与物理CPU 的线程数为1:1、单台物理服务器上所有云主机的vCPU总主频之和不超过物理 CPU总主频之和的150%、单台物理服务器上所有云主机内存之和不超过物理内存的 120%o服务器选型建议宿主机服务器架构是虚拟化架构的关键组件，也是服务器整合比例和本钱分析的重要变量。宿主机服务器处理大量整合服务器的工作负载的能力会提高整合比例并有助于提供满足需要的本钱收益。服务器的选择标准应该着重权衡各项性能指标。

10、服务器通常有六个方面的性能指标，即可管理性、可用性、可扩展性、安全性、高性能以及模块化。（1）可管理性是服务器的标准性能。（2）可用性是指在一段时间内服务器可供用户正常使用的时间的百分比。服务器的故障处理技术越成熟，向用户提供的可用性就越高。（3）安全性是网络的生命，而服务器的安全就是网络的安全。为了提高服务器的安全性，服务器部件冗余就显得非常重要。因为服务器冗余性是消除系统错误、保证系统安全和维护系统稳定的有效方法。（4）高性能是指服务港的综合性能指标高。服务潜基本性能主要表现在运行速度、磁盘空间、容错能力、扩展能力、稳定性、持续性、监测功能以及电源等方面。需要强调的是，一定要关

11、注硬盘和电源的热插拔性能，网卜的自适应能力，以及相关部件的冗余设计和纠错功能。这些基本性能为保证服务器安全、稳定、快速地工作起到重要作用。（5）可扩展性同样是服务器的重要性能之一。服务器在工作中的升级点，是由于工作站或客户的数量增加是随机的。为了保持服务器工作的稳定性和安全性，就必须充分考虑服务器的可扩展性能。（6）模块化设计是指电源、网卡、SCSI卡、硬盘、风扇等部件为模块化结构，且都具有热插拔功能，可以在线维护，使系统的停机可能性大大减少。特别是分布式电源技术，使每个重要部件都有自己的能源系统，不会因一个部件电源损坏而危及整个系统的安全与持续工作。这六个方面是所有类型的用户在

12、选购服务器时通常要重点考虑的，它们既相互影响，又各自独立，而且在涉及到不同的应用和行业时，六个方面的重要性也有轻重之分，因此，必须综合权衡。此外，品牌、价格、服务、厂商实力等因素也是要重点考虑的因素。综上所述，为满足工程当前政务云的需求，建议计算资源池服务器配置如下:序号名称单元具体描述单位数量备注1虚拟化服务器A2U标准机架式服务器；2 X E5 系列 12C CPU： 16X16G 内存（共256GB, 24根内存插槽）；2X300G 2. 5 时 10K 转 6GbSAS 硬盘；lx 板载 RAID 2GCache； IX四口千兆网卡;lx 双口 8Gb PCI-E 光纤

13、 HBA 卡； IxPCI-E双口 10G多模光纤网卡；lx2U 左 Riser（2 个 X8 插槽）；IX板载千兆双口 RJ45高端网卡；IX板载IPMI管理口； 2x5501V电源模块;含上架导轨。台28用于通用业务区虚拟化服务器，单台可支撑24台1 核2G虚拟机，或支撑12台4 核虚拟机，或支撑6台8核 16G虚拟机2虚拟化服务器B2U标准机架式服务器；2 X E5 系列 12C CPU； 16X16G 内存（共256GB, 24根内存插槽）；2X300G 2. 5 时 10K 转 6GbSAS 硬盘；lx 板载 RAID 2GCache； IX四口千兆网卡;2

14、x台10用于互联网业务区、数据库区、业务专区虚拟化服务器，单台可支撑24台1核单口 8Gb PCI-E 光纤 HBA 卡; lx2U 左 Riser（2 个 X8 插槽）；1 X板载千兆双口 RJ45高端网卡；IX板载IPMI管理口； 2x550W电源模块;含上架导轨。2G虚拟机，或支撑12台4核虚拟机，或支撑6台8核 16G虚拟机3数据库服务器A4U标准机架式服务器；4 XXeon E7系列大于12C CPU； 2x 内存板；16X16GB 内存（共256GB, 32根内存插槽）;4X300G 2. 5 寸 10000转 6Gb SAS 硬盘（RAID1）；

15、2x 板载万兆网口; 2XPCI-E千兆双口口45高端网卡；2X8Gb 单口光纤 HBA 卡；lx 1G cache PCI-E 八通道 SAS RAID 卡； 4x920W电源模块；含上架导轨。台4大规模数据库集群4数据库集群服务器B4U标准机架式服务器；4 XXeon E7系列大于10C CPU； lx 内存板;8X16GB 内存（共256GB, 32根内存插槽）；4X300G 2. 5 寸 10000转 6Gb SAS 硬盘（RAID1）； 2x 板载万兆网口； 2XPCI-E千兆双口 RJ45网卡；2X8Gb单口光纤 HBA 卡;lx 1G cache PCI-E

16、八通道 SAS RAID 卡； 2x920W电源模块；含上架导轨。台6中规模数据库集群5通川服务器2U标准机架式服务器；2 X E5 系列 12C CPU； 16X16G 内存（共256GB, 24根内存插槽）；2X300G 2. 5 时 10K 转 6GbSAS 硬盘：lx 板载 RAID 2GCache； IX四口千兆网卡;2x 单口 8Gb PCI-E 光纤 HBA 卡; lx2U 左 Riser（2 个 X8 插槽）；1 X板载千兆双口 RJ45高端网卡；IX板载IPMI管理口； 2x550W电源模块;含上架导轨。公10中小规模数据库集群,其他物理服务器2. 4.云存

17、储资源池结构化存储池区县云计算及大数据中心结构化存储池主要保存结构化数据库数据，数据库服务器对存储的性能要求较高（低时延、高10PS、采用高性能SAS硬盘），因此，建议采用高性能FC存储建立一套高可靠、高性能的结构化存储池。本次部署结构化存储的总容量为60TB, FC存储采用8Gb的传输端口连接高性能的数据库服务器，采用双控制器全交换架构，两个控制器可以实现冗余和负载均衡特性。同时在主机光纤通道卡、存储交换机、以及存储设备传输链路都考虑冗余设计，提高存储系统的可靠性。根据以往的存储系统性能测试数据来看，一般RAID5模式下，8块有效容量盘的性能最好。考虑到磁盘是存储系统中的最易损部

18、件，硬盘出现故障（或在恢复过程中故障）的几率很高，因此，建议采用RAID5模式进行RAID配置。同时，每个RIAD考虑1块全局热备盘，在硬盘故障的情况下，可以自动替换故障硬盘，保证数据的安全。非结构化存储池非结构化的数据相比一般的结构化数据（如数据库文件），对存储的要求有很大的不同。对存储性能一般要求不高，但对存储容量和访问量要求高，因此, 建议在区县云计算及大数据中心工程中采用高性价比的分布式存储（配合iSCSI 协议），构建非结构化存储。本次部署非结构化存储的总容量为140TB,通过2副本的方式进行数据的可靠性保障。云计算应用服务器通过iSCSI协议将非结构化数据存储系统挂载到本

19、地进行使用。所有服务器通过IP网络访问非结构化存储系统，并且每台服务器都采用2个网口进行绑定，到达冗余的效果。而非结构化存储系统采用2个万兆以太网端口共同对外提供数据访问服务，不仅可以到达网络高可用的效果，而且可以提高存储访问的带宽。另外，非结构化存储可以将虚拟化的文件存储池灵活地划分成多个逻辑卷, 分配给不同的非结构化数据的应用使用，增加新的应用或者应用存储需求扩大均可在同一存储池中动态满足，无须复杂规划。本期工程区县云计算及大数据中心云计算平台存储基本配置建议:序号组成单元具体描述单位数量备注1磁盘阵列13U，双活控制器,48GB Cache,板载主机通道1Gb IP X4,1

20、0Gb IP X4, 16Gb FC X4,可扩展支持 16Gb, 8Gb FC, 10Gb ISCSI,冗余电源风扇：220V交流电源A1用于通用业务区及数据库区虚拟化存储;共有125TB 磁盘空间2单块2 口 8Gb FC接口卡个23包含1200GB 10K硬盘24 块台14包含4TB 7. 2K硬盘24块台15磁盘阵列2四控制器级联数据双写套件（包含级联软件，硬件）台1双活存储，用于业务专区共享存储；共有420TB磁盘空间。64 口 8Gb FC 接口卡个47机柜通用托轨,X1/2U25盘位，双扩展模块XI, SAS 4X扩展接M,冗余电源；用于DS800- G25扩展，包

21、含扩展SAS线缆。台1482. 5 寸 SAS 400GB EMLCSSD个89SSD缓存许可个2101. 2T 2. 5 时 10K 转 6GbSAS个35011磁盘阵列34U16盘位,双控制器，2*32GB Cache主柜，冗余电源；lx机柜通用托轨;4x5M多模光纤线缆（LC-LC）：台1用于互联网业务区虚拟化共享存储：共有14. 4TB磁盘空间。124 口 8Gb FC 接口卡个2131.2T 2. 5 时 10K 转 6GbSAS块1214光纤交换机48端口交换机，24端口激活，双电源（热拔插），含24 个8Gb短波SFP,含Web tools、Zoning软件授权

22、，支持级联，3年原厂保修（非现场）2通用业务区目录1 .网络建设方案-4-1. 1.安全域划分-4-2. 2.网络拓扑设计-6-2 .云计算平台建设方案82. 1.云管理平台83. 2.云网络资源池94. 3.云计算资源池115. 4.云存储资源池176. 5.IaaS云服务目录203.信息安全建设方案233. 1.等保三级要求233. 2.安全体系建设283. 3.各功能区域安全架构设计323. 4.业务可持续服务安全387. 5.安全管理体系建设3815光纤交换机24端口交换机，16端口激活，单电源（固定），含16个 8Gb 短波 SFP,含 Web tools. Zoning软件授

23、权,支持级联，3 年原厂保修（非现场）台4业务专区、互联网区16分布式存储P200-oPara （索引控制器+ 管理控制器）专为均衡型应用而设计，同时兼顾海量小文件和大文件读写的应用需求，满足多种应用模式的数据存取需求。万兆网络台2共有384TB 存储空间17P200oStor （数据控制器），24盘位，提供高达96TB 的SATA存储容量,内嵌高性能数据存取引擎，并行处理所有客户端的数据访问请求，并支持多个数据控制器以副本方式容错。万兆网络公4183. 5 寸 7. 2k 转 4TB SATA块961948 口 SFP+万兆交换机（含4个QSFP端口），含双电源，双风雨

24、模块（端口侧出风），含48个SFP+光模块台2备份存储建议目前工程，区县云计算及大数据中心利用非结构化存储池设置统一的备份存储系统，对结构化数据和非结构化数据进行统一集中本地备份。2 . 5. IaaS云服务目录云主机服务提供简单高效、处理能力可弹性伸缩的云主机产品。用户可根据不同需求, 自由选择CPU、内存、数据盘、带宽等配置，同时，可实现随时不停机升级带宽， 1分钟内停机升级CPU和内存，支撑业务的持续开展。99. 95%的高可用性，为业务的稳定运行提供保障。同时提供多个可选运营商网络接入，以满足不同地域用户的业务需求。云存储服务提供的海量、安全和高可靠的云存储服务。存储容量和处理能力

25、可弹性扩展，提供按量付费的计价方式，使客户专注于核心业务开展。同时，可与大数据中心其他云产品搭配使用，广泛的应用于海量数据存储与备份，数据挖掘、数据处理分析等多种业务场景。云数据库服务基于按需即供的设计思路，向云应用提供关系型数据库服务，包括MySQL MS SQL Server. ORACLE等。功能上支持数据库的创立和访问，数据库的管理、备份和恢复，支持用户使用客户端软件进行数据库管理。云防火墙服务云防火墙服务是提供给租户在申请云主机、云存储等服务时配套提供的安全防护服务，可实现云防火墙安全策略定义与租户的云服务行为相一致，主要包括外部用户对云内部资源的访问控制和云内部租户/服

26、务器间的访问控制。安全控制策略随着租户虚机的迁移而同步，保证针对同一资源访问策略的一致性。云负载均衡服务负载均衡可以实现对网络设备和服务器带宽的有效扩展，充分利用多台服务器的业务处理能力，通过合理的调度算法和健康检查法，可以有效感知服务器的负载并将业务流量调度到最恰当的服务器上，从而提高网络的灵活性和可用性。云负载均衡能够为每个租户提供独立的vLB功能，实现租户业务的安全隔离， vLB资源独享能够保证租户负载均衡服务性能。云入侵防御服务云入侵防御服务是提供给租户在申请云主机、云存储等服务时配套提供的安全防护服务，安全策略定义要与租户的云服务行为相一致，主要为外部用户对政务云内部资源

27、的安全威胁防御：基于租户的安全威胁防护要求，配置对内的入侵防御策略，实现租户通过政务外网、公有云、互联网等对政务云内部资源的风险过滤;提供外部用户访问政务云资源的风险过滤，有效保证云基础资源的安全性。云网络服务云网络服务可为云计算模式下的云主机、云存储等云化资源提供云网络服务。在物理网络基础上，构建出面向应用虚拟网络，为不同租户提供网络服务。云数据中心服务云数据中心能为不同租户提供虚拟数据中心功能，租户可以根据自有的数据中心拓扑，在云计算中心申请对应的计算、网络、存储、安全服务，通过点击、拖拽等方式，在云计算上构建出与实现数据中心一一对应的虚拟数据中心，减少用户学习本钱，保持用户使用

28、习惯，到达“用旧如新”的功能。云防病毒服务云防病毒服务可将传统的防病毒功能虚拟化后为不同租房提供云防病毒功能，租户可以根据需要在线申请云防病毒服务并部署在自己的网络架构中，提高系统安全性。云WEB防护服务云WEB防护服务用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同，WAF工作在应用层，因此对Web应用防护具有先天的技术优势。WAF会对所有Web流量(包括客户端请求流量和服务器返回的数据流量)进行深度内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。云安全增值服务(1)流量清洗结合各方统计数据可以看出，现阶

29、段的DDOS攻击活动还处在一个高发期，无论是在持续增长的大小、速度、持续时间和复杂性上，都有了比拟明显的增长。一方面，网络上充满的各种DDOS攻击工具及详细的指导教程，降低了黑客的攻击门槛，使得DDOS攻击变成了一种简单高效、极易实施的行为；另一方面，大量的缺乏安全措施的终端PC,游戏服务器，各种开放的代理服务器，也为DDOS 的攻击提供了数量可观的肉鸡，使得发动攻击成为可能。区县云计算及大数据中心云平台集中了政府局委办的众多应用服务系统，极易成为DDoS攻击的目标，对DDoS攻击的防护显得尤为重要。针对这种异常流量，云平台需要提供基础的安全防护能力，推荐的防护模型包括以下几个方面

30、：网络业务流量监控和分析、安全基线制定、安全事件通告、异常流量过滤、安全事件处理报告等。（2）安全日志审计对区县云计算及大数据中心云平台的租户来说，把大量应用迁入到云环境后, 也要继续遵循各自单位的业务系统安全防护守那么，对日常收到的攻击、威胁等日志信息进行采集和分析。为了满足用户的这种需求，区县云计算及大数据中心云平台须提供安全日志审计服务，实现对全网海量安全事件和日志的集中收集与统一分析，对收集到的信息高度聚合存储及归一化处理，实时监控全网安全状况，并根据不同用户需求提供丰富的自动报告，并提供具有说服力的网络安全状况与政策符合性审计报告。云备份服务第一类云备份服务：为用户提供本

31、地数据备份到云平台上的服务。当用户本地数据因本次磁盘或者病毒等原因造成数据损坏且无法恢复时，可以将备份到云端的数据恢复到本地，从而到达数据恢复的目的。第二类云备份服务：这类云备份服务的备份对象主要是数据、云主机和云存储。（1）备份对象为数据的备份服务文件备份服务：通过在云主机中部署数据备份软件，实现文件数据的备份服务。数据库备份服务：通过在数据库服务器上部署数据库备份软件，或者通过数据库自带的备份工具实现数据库数据的备份。（2）备份对象为云主机的备份服务通过云主机快照、克隆等技术实现对云主机的备份通过复制软件或者存储复制技术实现云主机的备份。（3）备份对象为云存储的备份服务通过存储复

32、制方式实现云存储的备份。3 .信息安全建设方案等保三级要求本方案中提供的云计算安全等级保护三级要求，是信息安全技术信息安全等级保护第二分册云计算安全技术要求中的内容，不包含信息安全技术信息安全等级保护第一分册基本要求中的内容。信息安全技术信息安全等级保护第二分册云计算安全技术要求是针对当前云计算特点对信息安全技术信息安全等级保护第一分册基本要求的补充内容，所以，在整个区县云计算及大数据中心云平台信息安全建设中，需要同时参考信息安全技术信息安全等级保护第一分册基本要求和信息安全技术信息安全等级保护第二分册云计算安全技术要求两局部内容。以下将以网络安全技术要求等保三级具体内容举例：结

33、构安全1 .应划分不同的网络区域，并按照方便管理和控制的原那么为各网络区域分配地址；2 .应防止将重要网络区域部署在网络边界处且直接连接外部信息系统；3 .应保证重要网络区域与其他网络区域之间采取可靠的技术隔离手段；4 .应可按照业务服务的重要程度分配带宽，保证在网络发生拥堵的时候优先保障重要业务。5 .应实现不同云租户之间网络资源的隔离，并防止网络资源的过量占用；6 .应绘制与当前运行情况相符的虚拟网络拓扑结构图，并能对虚拟网络资源、网络拓扑进行实时更新和集中监控；.应保证虚拟机只能接收到目的地址包括自己地址的报文；7 .应保证云平台管理流量与云租户业务流量别离；8 .应能识别、

34、监控虚拟机之间、虚拟机与物理机之间、虚拟机与宿主机之间的流量；9 . 应提供开放接口，允许接入第三方安全产品，实现云租户的网络之间、安全域之间、虚拟机之间的网络安全防护；10 . 应根据云租户的业务需求定义安全访问路径。边界防护.应明确系统边界，保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信;.应能够对非授权设备私自联到内部网络的行为进行检查，并对其进行有效阻断；1 .应能够对内部网络用户私自联到外部网络的行为进行检查，并对其进行有效阻断。访问控制1 .应在网络边界或区域之间根据访问控制策略设置访问控制规那么，默认情况下除允许通信外受控接口拒绝所有通信；2 .应删除多

35、余或无效的访问控制规那么，优化访问控制列表，并保证访问控制规那么数量最小化；3 .应对源地址、目的地址、源端口、目的端口利协议等进行检查，以允许/ 拒绝数据包进出；4 .应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；5 .应在关键网络节点处对进出网络的信息内容进行过滤，实现对应用的访问控制。6 .应在虚拟网络边界部署访问控制设备，并设置访问控制规那么：7 .应依据安全策略控制虚拟机间的访问。远程访问1 .应限制具有远程访问的用户数量，按照远程访问控制规那么控制用户对系统的远程访问；2 .应保证远程访问会话通信的机密性和完整性；3 .应提供在规定的时间

36、内迅速断开或禁用远程访问系统的能力。4 .应实时监视云服务远程连接，并在发现未授权连接时，采取恰当的应对措施；5 .应对远程执行特权命令进行限制，采取严格的保护措施并进行审计；6 .当进行远程管理时，管理终端和云平台边界设备之间应建立双向身份验证机制。入侵防范1 .应在关键网络节点处检测、防止或限制从外部发起的以下网络攻击行为: 端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。2 .应在关键网络节点处检测和限制从内部发起的以下网络攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。3 .

37、应采取技术措施对网络行为进行分析，实现对网络攻击特别是未知的新型网络攻击的检测和分析。4 .当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事5 .应能检测到云租户对外的攻击行为，并能记录攻击类型、攻击时间、攻击流量；6 .应具备对异常流量的识别、监控和处理能力；7 .应对发布到互联网的有害信息进行实时监测和告警。恶意代码防范1 .应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新；2 .应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。安全审计1 .应启用设备安全审计功能，审计覆盖到每个用户，

38、对重要的用户行为和重要安全事件进行审计；2 .审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；3 .应对审计记录进行保护，定期备份，防止受到未预期的删除、修改或覆辛第皿守。4 .应提供对审计数据进行查询、统计、分析的功能或工具，定期对审计数据进行分析；5 .审计记录产生时的时间应由系统范围内唯一确定的时钟产生，以确保审计分析的正确性。6 .应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。7 .应根据云服务方和云租户的职责划分，收集各自控制局部的审计数据；8 .应为安全审计数据的汇集提供接口，并可供第三方审计；.应根据

39、云服务方和云租户的职责划分，实现各自控制局部的集中审计。集中管控1 .应对各种设备的运行状况、网络流量、用户行为等进行监测和报警；2 .应划分出特定的管理区域，利用技术手段或工具对分布在网络中的系统安全组件或安全功能进行集中管控；3 .应能够建立一条安全的信息传输路径，对网络中的系统安全组件或安全功能进行管理；4 .应对安全策略、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理和分析，对安全事件进行监测和分析。网络设备防护1 .应对登录网络设备的用户进行身份标识和鉴别，身份标识具有唯一性；2 .用户身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换；3 .应具有登

40、录失败处理功能，应配置并启用结束会话、限制非法登录次数和当网络登录连接超时自动退出等相关措施；4 .应禁用网络设备中不必要的功能、端口、协议和服务。5 .应重命名系统默认帐户或修改这些帐户的默认口令，删除或停用多余的、过期的帐户；6 .应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；7 .当进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；8 .应根据管理用户的角色建立不同账户并分配权限，仅授予管理用户所需的最小权限，实现管理用户的权限别离。9 .应采用一定的技术手段或工具，对可能存在的漏洞进行监测，并在经过充分测试评估后，及时修补漏洞;1

41、0 .应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别，并且身份鉴别信息至少有一种是不可伪造的。11 .应在网络策略控制器和网络设备（或设备代理）之间建立双向身份验证机制；12 .应采取必要措施防止网络策略控制器和网络设备（或设备代理）之间的网络通信被窃听和嗅探。除了网络安全技术要求外,等保安全技术要求还包含:“物理安全技术要求”、 “主机技术要求”、“应用安全技术要求”和“备份恢复安全技术要求”。当然，除了安全技术要求之外，还包含管理安全要求。而这些内容不在此详细描述。3. 2.安全体系建设对于区县云计算及大数据中心的安全需求，可以从物理层、资源抽象和虚拟化控制层、多租户l

42、aaS服务层、PaaS/SaaS应用层及安全管理体系建设的角度进行安全体系的建设，以到达等级保护3级的设计要求，详细的体系框架如下面所示：全入2X 安度我化岗洛安至HypevBor成内化安生VM&J工安生VM-VM的安生：！百嗯!S林化安堂防火/ IPS杀理交换机 M绦务H燹宏为生存蜻幻遗.安全筑制度安全应急哨应机制及处理用理云安全业务部及戢B及K云安全日S分析和行为计-图区县云计算及大数据中心安全体系框架图物理层安全云计算物理层面临着对计算机网络与计算机系统的物理装备的威胁，是指由于周边系统环境和物理特性导致的网络安全设备和线路的不可用，从而造成所承载的网络应用不可用。主要表现在

43、自然灾害、电磁辐射、三防(防火、防水、防尘)及恶劣的工作环境方面，而相应的防范措施包括抗干扰系统、物理隔离、防辐射系统、供电系统的冗余设计和可靠性备份，采取前后上下等多种通风方式。(1)机房环境安全区县云计算及大数据中心建设机房、电源、监控等场地设施和周围环境及消防安全，须严格遵循国标GB50174-2008计算机信息系统机房设计规范、 GB/T2887-2011计算机场地通用规范和GB9361-2011计算站场地安全要求等国家相关标准要求设计建设。机房应具备防震、防风、防水、防火、防尘、防盗、防雷、防静电以及温湿度可控等安全防护措施；设置防雷保护器，灭火器设备；配置稳压器和过电压

44、防护关键设备和磁介质实施电磁屏蔽；设置机房智能监控、防盗报警系统。同时，应制定出入机房管理规范、卫生管理规范、值班巡视制度，进入机房的来访人员须经过审批方可进入，控制、鉴别和记录进入的人员，以满足业务应用24小时不间断运行的要求。(2)物理线路安全通信线路安全通信线路是实现数据传输的物理线路，包括网线、光纤等。应符合以下要求： 1、通信线路采用铺设或租用专线方式建设；2、通信线路应远离强电磁场辐射源，埋于地下或采用金属套管；3、定期测试信号强度，以确定是否有非法装置接入线路；特别是在线路附近有新的网络架设、电磁企业开工时，应该请专业机构负责检测；4、定期检查接线盒及其他易被人接近的线路

45、部位，防止非法接入或干扰。骨干线路冗余防护骨干线路冗余防护应符合以下要求：1、骨干线路实现跨城域的广域IDC互联，提供与外网多个出口的互联，实现高性能的路由选路云计算及大数据中心硬件基础平台作为区县智慧城市的核心和承载基础。本平台的具体建设内容包括：云计算基础环境、基础设施即服务层（laaS）、云安全体系、管理规范体系、运营运维体系。云中心基础环境：提供机房、机柜、供配电、安防等基础环境，为上层的托管设备、laaS设备提供基础支撑。基础设施即服务层（laaS）：基于城市云操作系统提供基础的计算、存储、网络服务；服务于只希望共享计算、存储、网络的工程，这个服务主要针对原有已建成系统的

46、迁移，在这个层次上，除了可享受基础资源的虚拟化服务外，还通过资源的池化，实现资源的动态分配、再分配和回收。基础设施层资源池主要包括计算资源池、存储资源池和网络资源池，为上层的软件和数据等服务提供支撑。云安全体系：在城市云中心，计算资源、信息资源的集中和共享造成了传统安全边界的消失，为安全保障提出了新的挑战。任何单一的安全技术都无法有效保证城市云中心内部各项资源以及对外提供服务的安全性，必须综合利用多种安全防范技术以及完善的安全管理制度构建完善的云安全防范体系。管理规范体系：城市云中心的良好运营需要管理规范和技术标准体系进行保障。城市云中心的管理规范涉及到对云中心基础设施的维护、对数

47、据的管理、对应用系统开发的监管、对运维体系的管理、对SaaS服务应用效果的评价等方面；而技术标准体系包括了城市云中心基础设施、数据和应用的标准规范。运营运维体系：为保障城市云中心的正常运行，提供资源管理、调度管理、监控管理等运维功能，以及业务管理、流程管理、订单管理等运营功能以及相应的组织制度保障措施。门户Portal包括运维管理门户和运营管理门户，是城市云中心对外提供服务的界面。具体建设内容包括：实现包括：200个虚拟化服务器计算能力、200TB的存储能力以及相应网络、安全设施平台，建设完成后满足业务支撑需求，完成管理规范体系和运维体系的建设，为这些委、办、局的业务应用提供统一、集约化的基础设施支撑和运维服务。今后，随着区县智慧城市集约化建设进程的加快，可以基于以上平台，不断扩展各类资源（包括：网络、安全、计算和存储资源等），以快速满足业务应用集约化、政务资源整合共享、商业应用的需求需求。2、骨干

展开阅读全文