1、目录1方案整体规划21.1整体拓扑21.2设计依据21.3方案描述42网络部分规划72.1网络拓扑72.2设计依据72.3方案描述112.3.1物理交换网112.3.2云平台虚机网络113计算及存储规划163.1平台拓扑163.2设计依据163.3方案描述183.3.1弹性与自动化的基础设施183.3.2按需服务,平台交付183.3.3敏捷的IT服务水平193.3.4简化管理,智能统一运维193.3.5硬件故障无害化,保障业务连续193.3.6计算虚拟化需求203.3.7分布式存储213.3.8网络虚拟化(SDN)224网络安全规划234.1方案目标234.2设计依据234.3等保要求244.
2、4方案拓扑284.5功能描述285运维管理规划315.1设计依据315.2方案描述316附件:功能参数331 方案整体计划1.1 整体拓扑方案划分为五个功效区:线路接入区:包含互联网线路,市局、各委办局、采集点等专线接入网络纵深防御区:包含多种网络安全、审计设备,符合等保3级规范要求关键交换区:包含万兆关键交换集群及汇聚交换设备网管、客服区:包含网管平台及用户终端计算、存放区:包含云计算机平台和分布式存放系统。1.2 设计依据传统计算中心观念是依据功效需求改变实现对应硬件功效盒子堆砌而构建,这很类似于传统软件开发组件堆砌,被已经证实为是一个较低效率资源调用方法,而假如能够将整个网络构建看成是由
3、封装完好、相互耦合松散、但能够被标准化和统一调度“服务”组成,那么业务层面变更、物理资源复用全部将是轻而易举事情。所以提出支撑业务运行底层基础设施也应该向“面向服务”设计思想转变,结构“面向服务数据中心”(Service Oriented Data Center SODC)。具体而言SODC,应形成这么资源调用方法:底层资源对于上层应用就像由服务组成“资源池”,需要什么服务就自动会由网络调用相关物理资源来实现,管理员和业务用户不需要或几乎能够看不见物理设备相互架构关系和具体存在方法。SODC框架原型以下所表示:在图中,隔在基础架构和用户之间“交互服务层”实现了向上提供服务、向下屏蔽复杂物理结构
4、作用,使得网络使用者看到网络不是由复杂基础物理功效实体组成,而是一个个智能服务安全服务、移动服务、计算弹性服务、分布式存放服务等,至于这些服务是由哪些实际存在物理资源所提供,管理员和上层业务全部无需关心,交互服务层处理了一切资源调度和高效复用问题。SODC组成数据中心IT架构必将是整个数据中心未来发展趋势,即使实现真正理想SODC融合架构将是一个长久历程,但在向该融合框架前进每一步实际上全部将会形成对网络灵活性、网络维护、资源利用效率、投资效益等方面巨大改善。所以此次数据中心建设计划,要求尽可能遵照如上所述新一代面向服务数据中心设计框架。在基于SODC设计框架下,计划新一代数据中心应实现以下设
5、计标准:l 简化管理:使上层业务变更作用于物理设施复杂度降低,能够最低程度降低了物理资源直接调度,使维护管理难度和成本大大降低。l 高效复用:使得物理资源能够按需调度,横向无限扩展,物理资源得以最大程度重用,降低建设成本,提升使用效率。即能够实现总硬件资源占用量降低了,而每个业务得到服务反而更有充足资源确保了。 l 策略一致:降低具体设备个体策略复杂性,最大程度在设备层面以上建立统一、抽象服务,每一个被充足抽象服务全部按找上层调用目标进行统一。1.3 方案描述SODC架构是一个资源调度全新方法,资源被调用方法是面向服务而非像以前一样面向复杂物理底层设施进行设计,而其中交互服务层是基于服务调用关
6、键步骤。l 网络整合SODC要求将数据中心所需多种资源实现基于网络整合,这是后续上层业务能看到底层网络提供各类SODC服务基础。数据中心网络所必需提供资源包含:智能业务网络所必需智能功效,比如高可靠性、多台交换设备虚机化、安全访问控制、设备智能管理等等;统一整合数据中心三大资源网络:高性能计算网络;存放交换网络;数据应用网络。这三类资源整合将是检验新一代数据中心网络SODC能力关键标准。所以本方案中“关键交换区“是由两台高端关键交换设备,虚机为一台交换设备,统一对外提供数据交换、存放交换接入能力。l 计算、存放整合SODC要求将数据中心所需多种计算、存放实现统一整合和交付,上层业务不需考虑底层
7、计算资源和存放资源物理结构。只需依据业务系统划拨使用,底层计算和存放动态实现资源按需使用,动态扩展,数据安全等。本方案中“计算、存放区“是由统一整累计算和存放云平台来实现,云平台由多台高端定制化硬件服务器配合云系统来实现:l 集中管理:云平台提供了集中管理能力,从而对计算、存放资源统一化及动态化分配和管理。l 高度可扩展能力:提供了真正意义上水平扩展能力,没有中心节点,集群规模能够以数千台服务器为单位。能够按需增加计算资源和存放资源,单个云平台能够管理到超出6万台虚机,从而满足多种规模中心发展需要。l 最可靠平台:云平台从底层就提供了数据多副本,当服务器出现硬件故障时,云平台能够将该服务器上负
8、载自动迁移到其它可用服务器上,保障应用负载在硬件失败时自动恢复。平台内部物理网络全部是双冗余配置,以确保物理网络连接高可用。云计算平台还使用SDN等网络虚拟化技术,构建高可用虚拟用户网络。云平台经过使用分布式文件系统,构建统一存放池,提供包含实时异地多副本和硬盘快照等功效, 确保用户数据安全可靠。 在应用服务方面,云平台提供虚拟负载均衡器。负载均衡器把用户请求转发到多台应用服务器上, 一旦某台应用服务器失败, 负载均衡器能够把失败应用服务器隔离,但对用户请求仍然能够由其它应用服务器提供。达成高可用性、负载平衡运行环境。l 动态资源调整:云平台计算、存放、网络等资源物理位置及底层基础架构对于用户
9、来说是透明和不相关。 经过虚拟化技术能够实现硬件资源整合池化, 云平台所分配计算、存放和网络资源全部能够依据需要动态地调整,从而达成整个云计算平台资源平衡, 最合理地利用硬件计算资源, 提升IT资源整体使用率。l 易用性:云平台提供了一个统一、易用访问门户和手机用户端,用户在云平台上申请自己所需服务(功效)和所需硬件资源。直观访问界面和操作提醒降低用户培训时间,降低了二次学习时间。l 安全平台: 云平台从多角度提供了数据安全,不仅是私有网络二层隔离,角色授权、操作日志、访问日志等机制全方位保护云平台安全性。更和业界领先云安全厂商合作,整合更专业安全组件。2 网络部分计划2.1 网络拓扑关键交换
10、集群:采取两台高端交换设备进行虚机化集群,由两台交换机虚机为一台高性能、高可用性、高负载能力交换机对象,提供万兆网络和存放接入服务。汇聚交换机和云平台节点服务器均使用10G光纤链接关键交换集群。2.2 设计依据数据中心设计需要综合考虑用户需求和技术成熟度(包含网络技术,节能技术和行业标准等)原因。 用户需求数据中心用户需求包含用户业务战略需求,应用布署需求,网络管理需求和成本需求等多方面。l 业务战略需求:包含用户业务发展战略对数据中心网络需求,如未来几年内伴随业务发展,对网络容量、性能及功效产生新需求。l 应用布署需求:包含应用软件系统、服务器和存放设备对网络性能和功效需求。l 网络管理需求
11、:数据中心网络除了支持本身管理外,还是服务器、存放盘阵和其它应用系统管理运行平台。各系统日常管理、控制指令全部需要经过网络提供管理平台公布和实施。l 成本需求:数据中心网络计划应充足考虑机房环境,投资回报和维护成本问题。在综合布线,供电和制冷计划时参考绿色节能理念,降低数据中心整体能耗,提升能源效率。 技术趋势近两年伴随数据中心大规模建设,数据中心网络技术快速发展。下图为现在数据中心设计技术发展趋势。数据中心网络所处整合、虚拟化和云计算三个阶段相互区分,但并非简单换代关系。 l 整合阶段:本阶段偏重资源整合,网络性能要求低,业务分区物理独立,业务较固定。l 虚拟化阶段:该阶段网络设计承前启后,
12、能够提供很好业务灵活性,使传统数据中心结构得以延续。l 云计算阶段:该阶段数据中心网络设计要求资源能够灵活调度,性能高,物理和逻辑分区界限模糊化且资源灵活按需使用。数据中心网络计划设计应该以现有网络架构为基础采取阶段化策略,逐步建立稳健、可连续运行网络架构。数据中心网络设计人员还需要考虑以下多个要素: l 数据中心机房物理布局:包含基础设施配置限制,物理空间使用,机房布署和布线空间等制约条件。 l 数据中心现有网络现实状况:通常现有网络是依据实际情况发展出来,必需对网络现实状况进行具体分析,才能设计计划出适合数据中心网络。如一些专有系统对网络有特殊要求,数据中心网络必需满足,有些系统运行管理步
13、骤要求,数据中心网络也必需满足。l 数据中心行业标准:设计数据中心网络时必需支持相关行业标准,如TIA942布线标准、IEEE多种接口标准,网络距离限制全部需要尽可能满足,以适应未来数据中心运行管理和业务扩展。 设计标准数据中心网络设计遵照以下设计标准:l 发展阶段现在建设阶段为“云平台”建设。l 模块化考虑到业务调整及发展,网络结构和系统结构设计模块化、易于扩展。l 高可靠网络设计中采取冗余网络设计,实现关键设备、链路冗余;关键设备选择高可靠性产品,可实现单板、模块热拔插、控制模块设计冗余、电源冗余;降低网络层级,简化网络结构,从网络架构上提升可靠性。l 安全隔离数据中心网络应含有有效安全控
14、制。按业务、按权限进行分区逻辑隔离,对尤其关键业务采取物理隔离。以服务器为中心业务、IP存放备份、管理网络等多个网络进行逻辑隔离,管理网络采取物理隔离。l 可管理性和可维护性网络应该含有良好可管理性。为了便于维护,应尽可能选择集成度高、模块可通用产品。2.3 方案描述2.3.1 物理交换网关键交换集群:采取两台高端交换设备进行虚机化集群,由两台交换机虚机为一台高性能、高可用性、高负载能力交换机对象,提供万兆网络和存放接入服务。汇聚交换机和云平台节点服务器均使用10G光纤链接关键交换集群。2.3.2 云平台虚机网络网络虚拟化以软件方法完整再现了物理网络。虚拟网络不仅能够提供和物理网络相同功效特征
15、和性能确保,而且还含有虚拟化运维优势和硬件独立性,包含快速调配、无中止布署、自动维护等。网络虚拟化将逻辑网络连接设备和服务(逻辑端口、交换机、路由器、防火墙、负载平衡器和VPN等)提供给已连接工作负载。应用在虚拟网络上运行和在物理网络上完全相同。使用SDN技术,实现网络控制平面和转发平面分离,由此提供更友善、更强大网络配置和控制能力。云平台经过网络软件定义(SDN)技术实现虚拟网络编程控制和网络功效虚拟化(NFV)。云平台提供了两种组网方法:基础网络和私有网络。前者是一个由QCMS维护全局网络,后者是基于VXLAN协议由用户自行管理和定义网络。2.3.2.1 私有网络虚拟私有网络(VPC)是云
16、平台环境内能够为用户预配置出一个专属大型网络。在VPC网络内,您能够自定义IP地址范围、创建子网,并在子网内创建主机/数据库/大数据等多种云资源。私有网络之间是100%隔离,以满足对安全100%追求。私有网络类似物理世界中使用虚拟交换机(L2 Switch)将多台服务器连接在一起,组成局域网。虚拟路由器用于多个受管私有网络之间互联,并提供多项附加功效:DHCP、端口转发、VPN、隧道服务和访问控制,涵盖了常见网络配置和管理工作。当用户使用多台主机工作时,通常会让不一样功效主机分布在不一样子网里,比如:Web服务器和DB服务器因为访问要求不一样而被分配在不一样子网里。提供私有网络功效帮助用户轻松
17、完成组网工作,针对上述案例,只需将Web服务主机和DB服务主机放置在不一样私有网络里即可。私有网络节点通讯从传统树形结构变成网状结构,全部节点之间进行点对点直接通讯,提升了节点间通讯性能。私有网络之间通讯不在依靠单个虚拟路由器,而是经过分布式网关实现。提升了私有网络之间通讯效率,也提升了单个路由器能够接驳私有网络数目。一个私有网络能够连接254个子网(Vxnet),且最多能够容纳60,000台虚拟主机。经过分布式路由器和虚拟直连技术,云平台VPC网络能够在大规模布署情况下,保障网络集群高性能和高可用。VPC网络也能够实现和公网Internet高效互通,任意一台VPC网络管理主机全部能够直接绑定
18、EIP;同时,负载均衡器也能够直接连接VPC网络内主机。在VPC网络里,管理路由器只负责VPN/隧道/DNS/端口转发等管理功效,和这些管理流量转发和路由,不再处理子网之间转发流量。VPC网络内主机能够绑定自己EIP;设置专属防火墙,这些IP、防火墙和管理路由器之间没有隶属关系。2.3.2.2 自管网络假如云提供路由器功效无法满足您对网络管理需求,您能够创建自管私有网络,以自行配置和管理该网络。一个云主机能够加入多个自管网络,每个自管网络对应云主机一块虚拟网卡:从操作系统角度能够看到系统有4个网卡,eth0对应到受管网络,eth13对应到3个自管网络smn1,smn3和smn2。手工能够修改自
19、管网络网络配置。如eth1被修改为192.168.1.10。此时如有其它云主机也加入到smn1自管网络且设置ip到同一个网络,则两个云主机能够相互ping通。2.3.2.3 网络功效虚拟化经过软件定义网络实现了网络功效虚拟化,提供了虚拟负载均衡、虚拟防火墙功效。虚拟负载均衡器能够未来自多个EIP地址访问流量分发到多台主机上,并支持自动检测并隔离不可用主机,从而提升业务服务能力和可用性。 同时,你还能够随时经过添加或删减主机来调整你服务能力,而且这些操作不会影响业务正常访问。 负载均衡器支持HTTP/HTTPS/TCP 三种监听模式,并支持透明代理,能够让后端主机不做任何更改,直接获取用户端真实
20、IP。 另外,负载均衡器还支持灵活配置多个转发策略,实现高级自定义转发控制功效。同时,提供虚拟防火墙来保护网络访问。云虚拟防火墙采取是分布式防火墙技术,就是利用每个计算节点物理主机IPTABLES,把全部计算节点组成了一个分布式防火墙。为每个用户提供了一个缺省防火墙,我们也能够自建更多防火墙。不一样云服务器能够被设置不一样防火墙策略。2.3.2.4 物理组网因为不仅需要支持虚拟机之间高速通信,还要支撑完成多份实时副本工作,为确保整个平台性能,我们计划云平台支撑网络应该计划为万兆(10Gb/s)网络,。在云计算管理平台对于网络设备使用全部只当为二层(链路层)设备来使用,物理网络设备只是处理连通性
21、问题,无需使用任何三层(网络层)协议。这么好处是在确保性能最优前提下,无需复杂配置,不管是工程实施,还是后期维护,工作量全部大大降低了;同时系统构建不用依靠任何厂家网络产品,再也没有厂商锁定困扰。3 计算及存放计划3.1 平台拓扑整个云平台由:控制节点、对象存放网关节点、计算、分布式存放节点、对象存放节点组成。3.2 设计依据从技术架构来看,云计算出现之前数据中心大多采取“竖井式”应用开公布署方法,不管是机房基础设施,还是网络资源、存放资源、计算资源等全部采取专业化维度布署管理,对于应用软件投产、数据分布及备份采取按应用系统“一事一议”方法布署。这种各个系统部件、应用紧耦合维护、变更模式步骤较
22、为复杂。数据中心普遍经过在ServiceDesk中采取专门变更、问题步骤管理功效协调各专业部门工作流。伴随业务发展,数据中心在一定程度上出现了IT资源局部富余但整体担心现象。数据中心为了愈加好管理现有业务系统,同时提升IT系统运行效率,计划采取云数据中心方法对业务系统提供统一IT能力服务平台。其次,考虑到数据中心未来长久云计算平台建设策略,提议计划整体云计算建设路线图,并对目前基础架构云进行具体设计。云数据中心平台建设,应该考虑到设计标准为:n 可管理性标准 系统架构中应提供集成、统一软硬件管理功效,满足多种日常管理需求,适应新一代数据中心管理快捷、方便特点 n 开放性标准 架构必需能够满足本
23、身稳定性,同时含有集成异构兼容性,在满足新业务需求同时不需要对架构进行重新设计或对现有架构重大修改。 n 可扩展性标准 可扩展性是指未来应用系统业务量增加时,资源能够自动扩展以适应更多用户、更多业务处理及存放能力。 n 安全性标准 系统架构必需是能够提供认证、访问控制能力环境,以确保业务关键信息完整性、保密性 。 n 适度性标准 结合本身需求, 资源以满足现在要求为基准,并适度前瞻。 n 连续性标准 IT架构设计应该含有连续性,满足现在要求并可连续扩展,连续优化。3.3 方案描述云计算平台建设是分阶段、分步来实施,而且伴随业务访问量和对存放空间、存放性能要求,还可对本项目云平台进行水平扩展,本
24、项目计划由:控制节点、对象存放网关节点、计算分布式存放节点、对象存放节点组成。此次数据中心基础架构云建设可达成以下预期目标:3.3.1 弹性和自动化基础设施经过建设软件定义数据中心,实现能以按需方法,经过网络,方便访问数据中心可配置计算资源共享池(比如:网络,服务器,存放,应用程序和服务) 。同时以最少管理开销,完成自动化快速配置提供或释放资源,应对不确定和海量访问压力时提供足够计算资源。3.3.2 按需服务,平台交付统一便捷服务提供能力和集成能力,为资源使用者提供标准化服务目录和资源申请、管理平台,使其能够方便连接到云计算平台,申请所需服务和资源,并便捷进行管理。降低对于人工配置和步骤依靠,
25、在满足总体管理需求前提下提升服务水平。3.3.3 灵敏IT服务水平 不仅满足服务器资源池化需求,同时对存放、网络、数据库、缓存等关键组件全部实现软件定义和标准服务提供能力,将物理资源转化为逻辑资源,利用模版化、API、秒级交付、批量构建等手段,加速IT资源供给速度,提升服务水平。3.3.4 简化管理,智能统一运维经过云计算管理平台,实现对资源统一化及动态化分配和管理。将多组服务器、网络和存放经过软件定义技术, 将其作为一个超大规模集群进行统一管理,能够对其进行资源动态分配和调整及回收, 提升管理效率,并经过安全设置能够确保虚拟资源安全性和独立性。3.3.5 硬件故障无害化,保障业务连续经过其高
26、可用设计,能够实现最可靠运算平台。将任何一台服务器失败, 云计算管理平台全部能够自动发觉, 并把失败服务器从可用服务器列表中剔除,从而确保任意时间用户请求计算资源全部是建立可用服务器之上。同时, 将该服务器上负载自动迁移到其它可用服务器上,保障应用负载在硬件失败时自动恢复。同时方案提供多种应用、数据备份机制(高连续性服务),可实现应用层面多节点负载、快照、HA,数据节点3副本备份机制,提供多个安全保障功效,处理业务意外中止和数据丢失困扰。同时实现网络冗余配置,以确保物理网络连接高可用。使用SDN等网络虚拟化技术,构建高可用虚拟用户网络。使用分布式文件系统,构建统一存放池,提供包含实时异地多副本
27、和硬盘快照等功效, 确保用户数据安全可靠。 在应用服务方面, 提供虚拟负载均衡器,把用户请求转发到多台不一样物理宿主应用服务器上, 一旦某台应用服务器失败, 负载均衡器能够把失败应用服务器隔离, 但对用户来讲,其请求仍然能够由其它应用服务器提供。达成高可用性、负载平衡运行环境,保障业务连续。3.3.6 计算虚拟化需求计算虚拟化是指经过虚拟化技术将一台物理计算机虚拟为多台逻辑计算机。在一台物理计算机上同时运行多个逻辑计算机,每个逻辑计算机可运行不一样操作系统,而且应用程序全部能够在相互独立空间内运行而互不影响,从而显著提升计算机工作效率。虚拟化使用软件方法重新定义划分IT资源,能够实现IT资源动
28、态分配、灵活调度、跨域共享,提升IT资源利用率,使IT资源能够真正成为社会基础设施,服务于各行各业中灵活多变应用需求。计算虚拟化功效及技术需求以下: 采取现在主流KVM全虚拟化技术,应支持不重启主机动态升级KVM版本; 支持计算资源虚拟化,形成份布式计算资源池。虚拟化效率大于99.95%; 支持计算设备“一虚多”。同一台物理主机上同时支持多个操作系统,或是相同操作系统不一样版本。分区和分区之间相互独立,互不影响; 支持资源动态调配和弹性可伸缩。资源池含有各级资源按需获取功效,提升资源消费者可用性、容错和扩展能力。资源响应速度应达成秒级。 支持虚拟机在线和离线迁移; 支持虚拟机系统自动批量布署,
29、一次同时布署规模能达成200台虚拟机。3.3.7 分布式存放分布式存放系统,是将数据分散存放在多台独立设备上。传统网络存放系统采取集中存放服务器存放全部数据,存放服务器成为系统性能瓶颈,也是可靠性和安全性焦点,不能满足大规模存放应用需要。分布式网络存放系统采取可扩展系统结构,利用多台存放服务器分担存放负荷,它不仅提升了系统可靠性、可用性和存取效率,还易于扩展。分布式存放系统不仅为虚拟主机提供块存放也为对象存放提供存放能力。同时分布式存放系统提供数据多(3)个实时副本,确保用户数据安全。分布式存放系统功效及技术需求以下:n 支持增量扩容和自动数据平衡能力,许可用户定制数据分布策略;n 架构避免固
30、定集中控制点,且各节点能自动进行故障监测、切换和数据迁移;n 含有高可扩展性,可支持上亿个文件和PB以上量级文件存放;支持不重启系统,增加物理服务器后自动扩容;n 在不依靠SAN&NAS等特殊硬件设备条件下,提供高可用性和高可靠性;n 提供最少3份数据实时副本,且确保最少有一份跨机架数据副本;n 服务可用性要高于99.95%;数据可靠性要高于99.99999%;n 基于SAS硬盘虚拟存放IO性能大于120MB/s, 基于SSD硬盘虚拟存放IO性能大于300MB/s。n 应采取Shared-nothing架构设计,支持1万以上用户并发读写,支持1000台以上物理服务器集群。3.3.8 网络虚拟化
31、(SDN)网络虚拟化完整再现了物理网络。虚拟网络不仅能够提供和物理网络相同功效特征和性能确保,而且还含有虚拟化运维优势和硬件独立性,包含快速调配、 无中止布署、自动维护等。网络虚拟化将逻辑网络连接设备和服务(逻辑端口、交换机、路由器、防火墙、负载平衡器和VPN等)提供给已连接工作负载。应用在虚拟网络上运行和在物理网络上完全相同。使用SDN技术,实现网络控制平面和转发平面分离,由此提供更友善、更强大网络配置和控制能力。网络虚拟化和SDN功效及技术需求以下:n 采取软件+硬件方法,经过软硬件集成实现SDN,灵活调度和管理虚拟网络,并实现已应用为中心基础架构;n 经过SDN技术实现网络虚拟化,构建网
32、络资源池;n 支持虚拟私有网络,私有网络间要100%二层网络隔离,支持不一样用户自由使用网络资源;n 支持虚拟路由器,虚拟交换机,虚拟防火墙,虚拟负载均衡器,能够按需配置网络逻辑拓扑;n 经过SDN实现DHCP,端口转发,隧道服务,VPN接入服务和过滤控制服务;n 支持经过SDN功效实现机房间经过网络安全隧道(IP-Sec)联通。4 网络安全计划4.1 方案目标充足解读网络安全等级保护相关政策和标准,全方面提升网络安全防护能力,应对新威胁、新应用下安全威胁,利用云端安全服务、云防护创新技术理念和技术落地,实现对网络安全智能统一管理,并达成国家网络安全等级保护相关标准和要求。4.2 设计依据l
33、中办27号文件国家信息化领导小组相关加强信息安全保障工作意见l 四部委于9月15日公布公通字66号信息安全等级保护工作实施意见l 四部委06月17日公布()公通字43号 信息安全等级保护管理措施l GB/T 22239.1 信息安全技术 信息安全等级保护基础要求 第1部分:安全通用要求l GB/T 22239.2 信息安全技术 信息安全等级保护基础要求 第2部分:云计算安全扩展要求l GB/T 31167- 信息安全技术 云计算服务安全指南l GB/T 31168- 信息安全技术 云计算服务安全能力要求4.3 等保要求l 对标新等保第三级安全通用要求。l “物理和环境要求”不在本方案撰写范围。
34、网络和通信安全网络架构链路负载防火墙数据库审计运维审计堡垒机WEB防火墙漏洞扫描抗DDOS攻击通信传输防火墙边界防护防火墙运维审计堡垒机访问控制防火墙入侵防范IPS数据库审计WEB防火墙抗DDOS攻击恶意代码防范防火墙防病毒网关安全审计防火墙数据库审计运维审计堡垒机日志审计WEB防火墙漏洞扫描抗DDOS攻击集中管控防火墙漏洞扫描抗DDOS攻击设备和计算安全身份判别防火墙虚拟化安全数据库审计运维审计堡垒机WEB防火墙抗DDOS攻击访问控制防火墙虚拟化安全数据库审计运维审计堡垒机WEB防火墙漏洞扫描虚拟化安全数据库审计运维审计日志审计WEB防火墙漏洞扫描抗DDOS攻击入侵防范虚拟化安全WEB防火墙
35、抗DDOS攻击恶意代码防范虚拟化安全虚拟化安全数据库审计运维审计堡垒机WEB防火墙抗DDOS攻击应用和数据安全身份判别数据库审计运维审计堡垒机数据库审计运维审计堡垒机WEB防火墙数据库审计运维审计堡垒机日志审计软件容错数据库审计运维审计堡垒机WEB防火墙资源控制数据库审计运维审计堡垒机数据备份恢复数据库审计运维审计堡垒机WEB防火墙个人信息保护数据库审计运维审计堡垒机安全运维管理漏洞和风险管理漏洞扫描4.4 方案拓扑4.5 功效描述产品名称产品描述产品形态数量单位场景及配件选型链路负载集多线路智能选路和多链路相互备份,保障网络连通硬件2网络和通信安全虚拟化安全提供针对虚拟化平台一站式包含防病毒
36、、IPS、WEBSHELL、主机防火墙防护。软件1应用和数据安全+设备和计算安全抗DDOS抗拒绝服务攻击系统支持多维度数据分析功效,提供基于攻击主机、攻击类型、流量分析、性能分析、连接分析、数据报文捕捉等多个数据分析。2网络和通信安全智慧防火墙为各行业网络出口打造“云+端+边界+联动”下一代安全防御体系硬件2网络和通信安全+设备和计算安全WEB防火墙利用大数据分析技术,提升用户“正确发觉”其网络中威胁能力,需捆绑安服销售硬件2网络和通信安全VPN满足网外用户远程接入硬件1网络和通信安全IPS检测到对关键节点进行入侵行为,并在发生严重入侵事件时提供报警硬件2网络和通信安全+设备和计算安全数据库审
37、计从保障数据库应用安全角度进行设计,以网络数据捕捉能力、数据库协议解析、事件关联分析为基础,能够正确识别数据库操作和采取多种响应行为硬件1应用和数据安全+设备和计算安全运维审计堡垒系统基于软硬件一体化设计,集账号、认证、授权、审计为一体设计理念,实现对事企业IT中心网络设备、数据库、安全设备、主机系统、中间件等资源统一运维管理和审计硬件1应用和数据安全+设备和计算安全日志审计满足各个行业及单位对合规性要求日志审计软件/硬件1网络和通信安全+应用和数据安全+设备和计算安全漏洞扫描由系统扫描、Web扫描、弱口令破解、配置指标检验于一体化专业安全产品硬件1安全运维管理5 运维管理计划5.1 设计依据
38、结合中国外信息化管理平台发展特点,针对信息化现实状况和用户实际需求,自动智慧运维平台关键从以下两个方面进行建设:l 建设全方面基础设施管理此次管理平台需要提供全方面基础设施管理,这些管理内容包含网络设备、网络安全设备、服务器、存放设备、数据库、中间件、标准应用等。在管理设备基础上还包含对服务器硬件管理、进程管理等内容。经过全方面基础设施管理,能够建设一个含有全方面和精细管理平台。l 建设自动智慧运维管理平台全方面基础管理之上,经过自动学习,跟踪设备运行状态,自动建立设备“健康档案”。依据设备运行状态学习,建立全方面数据基线,基于自动运维理念,自动对设备运行异常进行提醒。异常提醒同时还同时给出操
39、作提议。整个系统还能做到开放运维,能够将用户运维经验经过智能策略方法加入到运维管理平台,愈加好满足“私人定制”系统要求。5.2 方案描述具体建设内容以下:u 系统平台,包含管理平台、智能运维引擎和多用户支持引擎。u 网络管理,包含网络设备管理、网络拓扑管理、网络性能管理等内容。u 应用管理,包含服务器管理、数据库管理、中间件管理和标准应用管理,建设系统拓扑图、主机日志管理等内容。u 存放管理,包含对存放设备(磁盘阵列、光纤交换机等)设备状态、性能管理,和各个磁盘、控制器状态监管,并提供存放容量分析策略,实现主动分析,透明化监控;u 告警管理,包含建设设备运行基线、异常提醒、处理经验管理和智能巡检等内容。u 报表管理,包含网络管理、应用报表等方面各类运行报表、故障报表等统计信息。
浙ICP备2021020529号-1 | 浙B2-20240490 
