电子政务云平台建设技术方案

电子政务云平台建设技术方案
目录
第一章、概述 (4)
第二章、云平台总体介绍 (6)
2.1 云平台整体架构 (6)
2.2 云平台部署 (9)
2.3 虚拟化平台 (10)
2.3.1虚拟化平台实现的功能 (10)
2.4 云管理平台 (11)
2.4.1资源管理模块 (11)
2.4.2池化管理模块 (12)
2.4.3用户管理模块 (12)
2.4.4服务模板管理 (12)
2.4.5云资源监控模块 (13)
2.4.6其他功能模块 (16)
2.5 云安全平台 (16)
2.5.1安全管理架构 (20)
2.5.2云安全技术体系 (21)
2.5.3物理安全 (21)
2.5.4网络安全 (22)
2.5.5应用安全 (28)
2.5.6数据安全 (29)
2.6 技术路线 (33)
2.6.1服务器虚拟化 (33)
2.6.2网络虚拟化 (36)
2.6.3安全虚拟化 (37)
2.6.4海量云存储 (38)
2.6.5云数据库 (41)
2.6.6运维管理 (45)
第三章、应用迁移过程 (47)
3.1 迁移的应用概述 (47)
3.2 迁移过程概述 (47)
3.3 迁移过程要点和总结 (49)
第一章、概述
云计算（Cloud Computing）是一种通过网络统一组织和灵活调用各种ICT 信息资源，实现大规模计算的信息处理方式。

云计算利用分布式计算和虚拟资源管理等技术，通过网络将分散的ICT 资源（包括计算与存储、应用运行平台、软件等）集中起来形成共享的资源池，并以动态按需和可度量的方式向用户提供服务。

用户可以使用各种形式的终端(如PC、平板电脑、智能手机甚至智能电视等)通过网络获取ICT 资源服务。

就云计算本身来看，其本质是通过互联网访问，将大量本该运行在自己计算机和服务器上的应用和服务,交由第三方提供。

它的目标是把一切都拿到网络上，云就是网络,网络就是计算机。

云计算借助互联网的庞大资源体系，以一种全新的计算模式向用户提供服务。

云计算的新颖之处在于它几乎可以提供无限的廉价存储和计算能力。

云计算具有四个显著特征：
一是使用的便捷性。

在云计算模式中所有应用和服务请求的数据资源均存储在云中。

用户可以在任意场合、时间通过网络接入云平台,使用统一的云服务,按照自身的需求获取所需信息,并可以实现不同终端、设备间的数据与应用共享，为工作带来极大的便利和效率。

二是服务提供的多元性。

云就是庞大的计算机群,具备极高的计算、存储能力，能够完成单机所完不成的海量计算、存储等工作。

云将调
用云中的计算机群，使用基于海量数据的数据挖掘技术来搜索网络中的数据库资源，并运用各种方法为用户反馈出尽可能详尽、准确的结果。

云中的计算机可以通过相应技术保持网络数据库信息的及时更新，用以保证用户服务的快速、准确。

三是用户端设备成本的低廉性。

由于云计算模式下大量的计算及存储工作都被放到了网络上，作为个人的用户端就完全可以简化到只有一个浏览器了。

云计算模式中用户只需通过网络使用服务商所提供的相关服务，并按实际使用情况付费，具体的计算机系统硬件配置、设备运行维护开支和服务器系统软、硬件升级都由云服务提供商来完成。

云计算的端设备和现在的PC机相比,云计算终端功耗低,成本低廉,终端用户使用简单,维护方便。

四是服务的安全性。

分布式系统具有高度容错机制。

可以实现严格、有效的控制、配置与管理,具有更好的可靠性、安全性和连接性能。

高度集中化的数据管理、严格的权限管理策略可以让用户避免数据丢失、病毒入侵等麻烦。

云计算已经成为全球信息产业变革的焦，成为未来必然的发展方向。

第二章、云平台总体介绍
2.1云平台整体架构
云平台包括基础设施服务层(IaaS)、平台服务层（PaaS）、应用软件服务层（SaaS）、信息安全体系和运营管理体系等，由云服务资源、云服务管理、云服务提供、云运营支撑、云开发平台五个部分组成，总体结构如下图。

基础设施服务层（IaaS）：提供基本的计算、存储、网络服务；服务于共享计算、存储、网络的项目，这个服务主要针对原有已建成系统的迁移，在这个层次上，除了可享受基础资源的虚拟化服务外，还通过资源的池化实现资源的动态分配、再分配和回收。

目前资源池主要分为计算资源池、存储资源池和网络资源池，同时也包括软件和数据等内容资源池。

平台服务层(PaaS)：平台服务层主要提供应用开发、测试和运行的平台，用户可以基于该平台，进行应用的快速开发、测试和部署运行，它依托于云计算基础架构，把基础架构资源变成平台环境提供给用户和应用。

为业务信息系统提供软件开发和测试环境，同时可以将各业务系统功能纳入一个集中的平台上，有效地复用和编排组织内部的应用服务构件，以便按需组织这些服务构件。

典型的如门户网站平台服务，可为用户提供快速定制开发门户网站提供应用软件平台，用户只需在此平台进行少量的定制开发即可快速部署应用。

软件服务层（SaaS）：SaaS软件即服务，典型的运用模式就是用户通过标准的WEB浏览器来使用Internet上的软件，只需要按需租用软件，直接应用。

云计算平台信息安全管理体系：针对云计算平台建设，以高性能高可靠的网络、安全一体化防护体系、虚拟化为技术支撑的安全防护体系，利用云安全模式加强云端和客户端的关联耦合，采用非技术手段补充等保障云计算平台的安全。

运营管理体系包括运行维护管理和运营管理：保障云计算平台的正常运行，提供资源管理、调度管理、监控管理等运维功能，以及业务管理、流程管理等运营功能，包括运维管理的门户和运营管理的门户，是政务云平台对外提供服务的界面。

云计算服务平台遵循云计算经典服务模型，提供IaaS层服务。

平台通过云计算操作系统实现对于底层服务器、存储、网络等硬件资源的虚拟化和统一调度管理，并抽象出弹性计算云和数据库云两类云服
务，提供面向最终用户的自助服务门户。

用户可申请弹性计算云服务部署应用服务器和WEB服务器、申请云数据库实例来导入业务数据。

平台提供内在的安全性设计，多个用户之间通过虚拟防火墙实现安全隔离和访问控制，并支持强身份认证和可选数据加密措施.
2.2云平台部署
云平台部署包括服务器、网络设备、存储设备、管理设备几个部分，存储网、虚拟网、管理网分开。

服务器上安装虚拟化软件XenServer,虚拟化管理软件采用XenCenter，网络部署简图如下。

2.3虚拟化平台
2.3.1虚拟化平台实现的功能
2.4云管理平台
2.4.1资源管理模块
实现对所有云内资源的管理。

该模块通过可扩展的设备资源管理接口，对云内包括网络、存储、服务器、软件、数据库等资源进行增加、删除、修改、配置及自动化发现。

资源管理模块对外提供Web访
问接口，后台组成主要包括资源数据库，中间件模块和资源管理接口。

2.4.2池化管理模块
通过服务器、存储、网络等虚拟化技术将云内资源按照不同的标准组织成不同的资源池，可以方便、快捷地在资源池中自动化定制上层应用所需资源。

此模块广泛支持各种服务器、存储和网络。

池化管理模块可以根据不同的标准来定义不同的资源池。

如根据性能来定义，可分为高性能计算资源池、高存储能力资源池、小型机资源池等；根据功能定义，可分为数据库资源池和中间件资源池。

资源池的定义模式灵活，便利。

通过池化管理模块，管理员无需去考虑具体的服务器、存储和网络配置。

2.4.3用户管理模块
建立完善的用户管理，可以对用户是否能够使用计算资源、已经使用的计算资源，以及应用项目之间关系等进行管理，同时用户管理模块应该和服务器资源，存储资源以及网络资源进行配合。

2.4.4服务模板管理
可以根据服务模板选择应用所需的软、硬件资源参数进行自动化部署。

服务模板是对IT资源的标准化和规范化定义，包括服务器配置、数量、存储大小、网络配置、操作系统、应用软件配置等。

举例说明如下，资源需求描述为“一台２颗虚拟CPU，2GB内存，15GB存储空间的虚拟服务器，并且安装windows操作系统，DB2数据
库，websphere中间件软件。

”通过服务模板管理可以按照定义好的模板，也可更改参数实现系统自动化部署。

2.4.5云资源监控模块
资源监控模块主要能够实现对物理设备、虚拟主机以及应用系统的监控，包括对操作系统各种主要运行参数的监控，对特定的文件系统的监控，对特定进程的监控，对虚拟资源的监控和对应用系统的运行监控，资源监控模块应当可以对所有资源池的物理设备及虚拟主机进行监控。

云资源监控可分为如下几个层次：
整体监控：系统管理员可以对当前系统的资源状况进行监控，如，对CPU，内存，磁盘存储，网络平均IO等指标进行监控
业务监控：系统首页可以展示系统当前状态，如虚拟机状态
Hypervisor监控：系统管理员可以对当前服务器的资源状况进行监控，如，对CPU，内存，磁盘存储，网络平均IO等指标进行监控通过云监控系统对云平台的各种资源（如CPU、内存、存储、网络等）使用状况进行记账，并可以生成多种格式（Excel，Pdf，Htm 等格式）的监控报表。

用户还可通过上机日志对云监控系统进行日志审计，查看虚拟机的操作时间、操作类型、操作者、所属项目、操作结果（是否成功）和操作描述。

云监控系统的告警管理模块可提供实时告警查询，系统还提供历史告警查询，系统管理员可以查看告警相关的监控指标信息，设置告警指标的阈值、指标的告警等级、该指标是否产生告警，可以根据阈值名称进行查询。

系统需支持短信、邮件、桌面告警和语音告警，提供告警升级机制，一旦告警事件长时间没有得到处理，故障告警将自动升级到上级领导，加快故障的处理速度。

系统还要实现对服务器系统内部网络及中心整体网络的运行状态进行监测；支持各种不同网络流量采集协议，包括Netflow、Netstream、Sflow、Cflow、IPFIX 等各厂家协议标准；无论是哪种Flow 格式，都可定义数据交互的标准格式，能够通过这些格式规范支持业内几乎所有的主流网络设备，如Cisco、Foundry、Extreme、Juniper、华为、H3C 等，保证了对采集目标设备流量良好的兼容性。

同时也支持端口镜像功能，可以根据相关的需求进行端口镜像。

流量分析支持对广域网核心层、广域出口、局域网核心层、局域网汇聚层网络流量的监控与分析，实现整网流量多点的可视性。

对于网络资源设备通过拓扑自动发现功能进行二层拓扑发现和三层拓扑发现；提供逻辑拓扑结构和机架的物理布局两种视图，能通过逻辑拓扑链接到相应的设备物理布局；实现对机架的布局实时呈现，实现机架的实时布置、设备的实时物理布局、系统设备的逻辑拓扑结构动态显示。

支持监控网络中异常流量，快速定位网络中的问题，实现高效运维，为网络运维人员解决了网络慢和不稳定的问题。

全面了解网络设
备运行状况通过主动查询的功能，准确了解网络设备运行状态，不同管理员根据各自关注的网络焦点的不同，可定制不同网络设备的运营报告，将管理变为主动管理，提高网络管理水平
系统提供适用于远程访问云计算系统开关机控制管理，并融合全局资源监控管理，提供一体化监控界面，并以图形化部件信息直观显示监控及报警信息。

运维管理系统需支持基于浏览器的GUI透明化操作，提供远程加密安全控制与访问，实现基于角色的统一认证、加密传输，审计及日志等功能。

统一监控策略管理包括统一描述和实施，其意义在于可以屏蔽各种受管设备和应用的具体监控管理策略的配置细节和差异，而以统一的监控管理策略配置界面呈现给系统管理员，使管理员能够专心地将自然语言描述的服务器监控管理策略映射成机器能够实施的策略。

根据监测数据，通过分类组合，输出相应的各种报表与自定义报表，支持图形化的显示方式，方便系统管理员对系统运行状态分析。

例如：
●服务器CPU使用趋势报表；
●内存利用率趋势报表；
●支持自定义的报表，对所采集的数据进行分类统计与报表生成
在实际使用中，每个资源都按照系统的定义给用户动态分配权限，相关的每个人员都可能承担多个角色。

在不同的系统中，每个用户或角色往往有着不同的职责和权限，访问规则和控制策略也因此而极其
复杂。

系统将基于PKI体系构建第三方认证服务，引入CA服务、签名认证服务等对用户身份进行可靠认证，并提供角色、权限管理。

统一权限管理提供用户安全认证、登陆、审计日志、用户操作及管理配置、系统配置、安全认证配置等功能，同时配合服务器管理终端进行用户权限配置，并对服务器及网络设备进行远程操作和管理。

2.4.6其他功能模块
其他功能模块还包括统计报表模块、可用性管理模块，生命周期管理模块、动态负载均衡管理等功能。

2.5云安全平台
云安全与传统安全第一大差异是防护理念上的差异，在传统安全防护中，很重要的一个原则就是基于边界的安全隔离和访问控制，并且强调针对不同的安全区域有差异化的安全防护策略，在很大程度上依赖各区域之间明显清晰的区域边界;而在云计算环境下，存储和计算资源高度整合，基础网络架构统一化，安全设备的部署边界已经渐渐消失，这也意味着单一的边界防护效果将急速降低，云安全的防护更注重是差异化、体系化和网元化的安全防护。

云安全与传统安全第二大差异是防护体系上的差异，在传统安全防护中，更多的是采用资源结构式的防护，一般会分为物理安全、网络安全、系统安全、应用与数据安全和安全管理五部分；而在云计算环境下，在传统资源结构的基础上，由于虚拟化技术的引入，安全防
护的将纳入虚拟化平台的安全、虚拟化管理层的安全和虚拟化安全三部分。

在应用安全方面，将以云计算的服务模式为基础，决定着应用安全的重点与建设方向。

而数据安全、安全管理与安全运维则是两个方面均需要考虑的。

CSA云计算关键领域安全指南V2.1中为云安全构建了技术及管理框架，其中包含了3个层面，13个关注点。

CSA安全指南v2.1在技术上面明确阐述了法律、电子证据发现（D3）以及虚拟化（D13）方面的安全关注建议，另外对于数据的可移植性
和互操作性（D6）也是新版CSA安全指南的独特之处。

这些内容在ISO27001或者PCI-DSS中或者没有要求，或者很少阐述。

D3和D6都是法律层面的关注点；而D13虚拟化则是安全技术关
注点，这也是云计算平台相对于传统信息中心在技术方面最大的区别之一。

云计算系统的核心是采用虚拟化技术实现计算资源的池化和动态
配置。

虚拟化技术也是云计算系统诸多优势得以实现的关键因素。

但是，必须注意到的是：虚拟化技术本身也会带来新的安全风险。

虚拟化技术为云计算平台增加了额外的一层安全要求。

现有的针
对操作系统软件的各种安全威胁在这些系统移植到虚拟机的时候仍
然存在。

虚拟机在使用和迁移过程中可能引起的潜在问题包括：虚拟服务器管理平台的安全风险、虚拟资源共享风险、虚拟机镜像安全风险。

针对上述风险，提出以下几种安全需求。

1) 虚拟服务管理平台（Hypervisor，VMM）
虚拟服务管理平台是云计算环境的核心驱动组件，控制管理着一
个域中的虚拟设备及数据；成功攻击服务管理器会影响所有该管理器控制的所有虚拟设备及数据。

以VMware、Citrix和微软的虚拟化应
用程序（ESX/XEN/Hyper-V）为代表的虚拟化应用程序本身可能存在
的安全漏洞将影响到整个物理主机的安全。

黑客在利用漏洞入侵到主机系统之后，可以对整个主机上的虚拟机进行任意的配置破坏，从而
导致系统不能对外提供业务，或者是将相关数据进行窃取。

同时，针对以vCenter为代表的虚拟机配置管理程序，考虑到其涉及到全部虚拟机的安全，因此针对这类管理平台软件的安全漏洞攻击，也是新的安全风险。

2) 虚拟资源隔离
同一物理机上的多个虚拟机共享物理（计算、网络、存储）资源是云计算环境的重要特点，如何实现隔离这些资源是云计算系统的重要挑战。

虚拟机间隔离技术的不成熟会导致信息泄露、数据完整性遭到破坏、服务连续性难以保证等问题。

3) 虚拟机镜像安全
虚拟机在生命周期的每一个步都容易受到安全威胁。

当从头开始创建新的虚拟机的时候，重要的是要保证虚拟机使用最新的安全补丁和软件。

当克隆虚拟机镜像和移动虚拟机的时候，重要的是保持每一个虚拟机的“稳定状态”，以便了解这些虚拟机是否需使用了最新的补丁或者是否需要使用补丁。

随着时间的推移，由于镜像存储很长时间没有使用，这些虚拟机可能会过时，需要在使用的间歇时间里离线使用补丁，以保证它们在下一次启动的时候尽可能是安全的。

同迁移的虚拟机一样，资产管理对于销毁虚拟机和防止闲置的虚拟机镜像文件在数据中心蔓延成为未知威胁的攻击目标是非常重要的。

虚拟机在迁移过程中可能导致异常网络流量，虚拟机隐私保护还有逻辑拓扑结构变化带来的安全措施脱节的问题。

2.5.1安全管理架构
云计算平台仍然是一类信息系统，需要依照其重要性不同进行分级保护云计算平台的安全工作必须依照等级保护的要求来建设运维。

但云安全还需要重点考虑虚拟化等。

新技术的应用和云计算运营模式所带来的新的安全问题。

因此，主要考虑如下思路进行云计算平台综合安全防护体系建设：
●基于信息安全等级保护，通过对物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设，达到云安全技术提升；
●通过对安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设；
●通过云安全管理平台加强云计算平台安全运维管理水平。

通过以上几个方面为云计算平台的业务系统提供立体、纵深的安全保障防御体系，保证信息系统整体的安全保护能力。

信息安全等保分为技术和管理两大类要求，云安全方案根据技术与管理要求进行设计。

根据相关规定，从物理安全、网络安全、主机安全、应用安全、数据安全进行全面防范、加固。

同时严格遵循信息安全等保的管理要求，形成如下的保护环境模型：
2.5.2云安全技术体系
2.5.3物理安全
物理位置选择
机房建设具有防震、防风、防雨和防洪、防雷的能力。

物理访问控制
在需进入机房的来访人员须经过登记，并限制和监控其活动范围；
对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；
机房合理规划
建筑物设置有避雷装置，每个机柜都有交流电源地线，设有自动灭火装置，UPS上有控制电涌的设置。

主要设备都放置在主机房内，所有设备均固定在机柜上，并设置了明显标记，通信线缆铺设在地板下，线缆走线槽，机房采用防盗设施。

2.5.4网络安全
2.5.4.1网络结构安全
网络结构的安全是网络安全的前提和基础，对于云计算平台，选用主要网络设备时需要考虑业务处理能力的高峰数据流量，要考虑冗余空间满足业务高峰期需要；网络各个部分的带宽要保证接入网络和核心网络满足业务高峰期需要；按照业务系统服务的重。

要次序定义带宽分配的优先级，在网络拥堵时优先保障重要主机；合理规划路由，业务终端与业务服务器之间建立安全路径；绘制与当前运行情况相符的网络拓扑结构图；根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的网段。

保存有重要业务系统及数据的重要网段不能直接与外部系统连接，需要和其他网段隔离，单独划分区域。

2.5.4.2访问控制
信息安全等级保护的一个重要要求是实现自主访问控制和强制访问控制。

自主访问控制实现：在安全策略控制范围内，使用户对自己创建的客体具有各种访问操作权限，并能将这些权限的部分或全部授予其他用户；自主访问控制主体的粒度应为用户级，客体的粒度应为
文件或数据库表级；自主访问操作应包括对客体的创建、读、写、修改和删除等。

强制访问控制实现：在对安全管理员进行严格的身份鉴别和权限控制基础上，由安全管理员通过特定操作界面对主、客体进行安全标记；应按安全标记和强制访问控制规则，对确定主体访问客体的操作进行控制；强制访问控制主体的粒度应为用户级，客体的粒度应为文件或数据库表级。

由此主要控制的是对应用系统的文件、数据库等资源的访问，避免越权非法使用。

采用的措施主要包括：
●在网络边界部署防火墙，并按照安全和隔离策略设置了访问控制策略。

●根据会话信息为数据流提供了明确的允许/拒绝访问的能力，控制粒度为网段级。

●按用户和系统的允许访问规则，决定或允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。

●网络设备均设置了timeout时间。

2.5.4.3安全审计
系统审计包含主机审计和应用审计两个层面：
网络安全审计系统主要用于监视并记录网络中的各类操作，侦察系统中存在的现有和潜在的威胁，实时地综合分析出网络中发生的安全事件，包括各种外部事件和内部事件。

在云计算平台交换机处并接部署网络行为监控与审计系统，形成对全网络数据的流量监测并进行相应安全审计，同时和其它网络安全设备共同为集中安全管理提供监控数据用于分析及检测。

网络行为监控和审计系统将独立的网络传感器硬件组件连接到网络中的数据会聚点设备上，对网络中的数据包进行分析、匹配、统计，通过特定的协议算法，从而实现入侵检测、信息还原等网络审计功能，根据记录生成详细的审计报表。

网络行为监控和审计系统采用旁路技术，不用在目标主机中安装任何组件。

同时网络审计系统可以与其它网络安全设备进行联动，将各自的监控记录送往安全管理安全域中的安全管理服务器，集中对网络异常、攻击和病毒进行分析和检测。

2.5.4.4应用审计
针对网络内的各种操作和访问记录，及入侵记录的事件开启审计功能。

●使用软件对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。

●对所有设备进行监控并记录，并且每天会有专人负责对记录进行查看，并形成每日报表以及周报、月报等。