数字化云端建设解决方案

招标编号：****

投标单位名称：****

授权代表：****

投标日期：****

信创云平台

建设方案

第1章 xx云平台在**信创产业服务保障基地目前的适配成果

1.1基地入驻指南

我们集团积极投身于*省信息技术创新（信创）产业发展，成为了*省信创产业联盟的重要成员，并在*信创产业服务保障基地设立了办公室。我们与信创适配测试实验室携手构建了先进的信创云环境，致力于推动开放的信创应用生态合作，不断丰富**省的信创应用软件适配资源。

1.2构建自主创新云计算平台

赛宝独揽本次的适配任务，基地将成为省内及各市级领导参观学习的核心场所。信创云测试对于推动全省后续信创工作的实施具有显著价值。除了省级业务的检验，该平台还将作为未来14个地市信创业务测试与适配的基石。作为当前市场上唯一的云服务提供商，x积极与赛宝合作构建信创云，验证了其在基础设施即服务（IAAS）层面的功能兼容性。包括在虚拟化、分布式存储等多个领域，x成功对接了基于鲲鹏、海光、飞腾和兆芯处理器的服务器制造商，展示了卓越的功能适配性能和展示效果。

纳管长城、浪潮、华为、曙光、紫光等多家厂商服务器

在‘信息技术应用创新生态发展’专项培训项目中，由中国工业和信息化部人才交流中心主导，联合辽宁XC产业服务保障基地和龙芯中科技术有限公司共同主办于辽宁举办的活动吸引了全国范围内的XC相关机构，以及省直及各地市的相关部门参与。此次培训的核心内容围绕紫光XC云的全面架构解析、现状展示及其未来适应策略展开，赢得了现场嘉宾的广泛关注和高度评价。

1.3实况适应性功能视觉呈现

概述云平台的整体资源状态、健康指标，以及对CPU、内存、存储等关键资源的使用分布与告警情况的统一呈现。

√一件巡检功能展示

√虚拟机状态管理展示

√ 异构芯片服务器资源管理

√大屏动态监控展示

√分布式存储资源管理展示

√分布式存储集群拓扑展示

√云操作系统基础设施资源展示

第2章全面的领域介绍或概览

2.1项目的重要价值、目标设定与主要内容

2.1.1改造目标

本项目旨在构建一个**市级的自主可控电子政务IT基础设施云平台，采用政务云模式并提供基础架构即服务(IaaS)。通过创新性地改造，我们将设立两个独立的区域：互联网区和政务外网区的自主可控云资源模块。该平台将部署包括网络资源、计算能力、存储设施、备份系统以及云管理服务平台在内的必要设备，主要服务于市级一体化协同办公平台的云端部署需求。

2.1.2改造内容

本项目主要改造内容包括：

一、市政务电子政务外网云平台GxxCxxH改造

1、提升**市自主研发云平台资源池的基础设施建设

本项目依托于*市电子政务外网络环境，旨在升级*市自主研发的政务云平台。在自主研发的芯片与云计算基础设施上，我们将构建网络资源池、计算资源池、存储资源池、备份资源池以及云管理服务平台等设备，以LaaS（基础设施即服务）模式对外提供服务，以支持全市范围内的协同办公平台部署需求。

(1)提升政务云平台网络架构：通过实施网络资源池优化，旨在实现云平台各功能模块之间的无缝连接与高效交互。

(1)优化计算资源池配置：通过部署服务器来满足政务云平台对于计算资源的安置及云平台管理的需求。

(2)优化数据库资源池配置：旨在通过服务器的合理部署，确保政务云平台对数据库应用的需求得以满足。

(3)构建集约化的云平台管理体系，涵盖监管、运营与维护的统一模块；(1) 优化存储资源池：对云平台的存储设施进行升级，以实现对虚拟机和数据库的数据存储支持，充分满足政务云的数据存储需求。

(5)提升至云端的数据保护方案：专为云平台及数据库构建备份功能，确保业务系统数据的安全稳定及完整无缺。支持全面及增量备份，涵盖各类如Anke OS和数据库等关键组件。

2、安全系统改造

为了支持**市自主可控政务云平台的部署，本项目旨在对云平台内的安全资源池进行升级，涵盖云计算环境、网络、边界以及统一安全管理中心的全方位安全防护建设与部署，从而确保云平台的稳定运行并提升其安全保障能力。

2.2中国信息技术自主研发的云平台进展

2.2.1GxxCxxH深入剖析CPU特性

1、国产CPU发展方向对比分析

当前，我国服务器芯片自主研发主要有以下五种方向：Alpha架构、ARM架构、MIPS架构、X86架构、Power架构。涌现出了基于MIPS的龙芯、基于X86的兆芯、基于ARM的飞腾和华为鲲鹏920以及基于Alpha架构的成都申威等。

当前国内在Alpha架构处理器芯片研发领域，成都申威公司处于领先地位。他们依托这一架构，得以自主设计和扩展指令集，实现技术路线的独立自主发展。

ARM架构，目前国产服务器芯片企业当中有飞腾和华为海思芯片，这两家厂商拥有v8架构无限制永久授权，可无限制基于v8架构开发、自主演进。

基于MIPS架构的研发工作，中国科学院计算机研究所的龙芯项目经历了一定的变迁。起初，龙芯曾设想将MIPS架构应用于个人计算机处理器的开发，然而这一尝试未能取得显著成果。现今，龙芯的战略转移聚焦于利用该架构开发服务器级别的芯片。

Power架构，知识产权为IBM所拥有，2015年向中国企业开放，不过由于其开放存在一定局限性，基于该架构研发的国产服务器芯片发展受到一定程度影响。

X86架构，Intel公司并不向任何第三方提供x86指令集授权，AMD和Intel交叉授权。VIA已经停止发展X86指令集和芯片；AMD与海光(THATIC)成立了两家合资公司，其中最重要的那个是AMD控股51%，这样保证了AMD对国产X86处理器的控制权，而中国这方插手不了Zen(禅)内核，只能做些外围芯片工作，而且该公司明确不再向中国公司授权其x86IP产品。

自主与可控技术特指具备独立知识产权和芯片安全掌控能力，即掌握自主研发的指令集和微架构。目前，国内唯有龙芯和申威能够满足这一标准。然而，在初期阶段，通过购置并基于国际厂商（如ARM）的指令集授权，同时自定义微架构设计，同样能够实现安全可控的目标。在硬件层面确保安全可控，并融入AA体系后，无需自行开发编译器，能够无缝衔接AA体系的软件生态环境，显著降低了技术研发的时间、资金和技术门槛。鉴于当前国内面临的‘芯’源短缺、市场需求急切的局面，这种模式对于推动市场化运营具有显著优势。

全球信息技术生态系统本质上由核心芯片定义，其构建基石依赖于选用的芯片技术。以X86架构为例，英特尔的处理器芯片以其卓越性能引领全球，与微软联合形成wintel生态系统，从而主导了个人电脑和中低端服务器市场。ARM架构以其精简指令集和低功耗特性，主导了移动设备领域，ARM公司作为代表企业在此占据显著优势。IBM的POWER芯片曾因强大的计算能力和错误容忍度在大型机时代独领风骚，但在日益开放的云计算时代，由于封闭体系的局限，其市场份额被X86侵蚀，目前主要局限于高端计算市场。  各处理器架构的独特性使得在特定架构中优化芯片的制造商能抢占先机，吸引更多上下游伙伴采用其产品和标准，进而构建专属的生态体系。因此，不同架构下的最优芯片直接决定了生态系统的差异化，而生态体系内合作伙伴的多元性和协作水平，进一步塑造了整个生态的竞争实力。

2、国产芯片技术分析

国产服务器芯片上，龙芯、飞腾、兆芯、华为海思等厂商均有新品发布，其中ARM架构下的CPU厂商有天津飞腾和华为海思。其中飞腾2000+/64核产品性能已经与英特尔主流E5部分产品性能相当。华为海思在2019年1月份推出鲲鹏920处理器，兼容ARMV8架构，64核，7nm工艺，主频达到2.6GHz,在中高档服务器CPU市场上具备较强的竞争力。

(一)龙芯

龙芯处理器核心数较少，缓存较低，不支持超线程，处理器主频较低，支撑能力较通用具有较大的差距。最重要的一点在于龙芯处理器采用的MIPS指令集，与通用x86架构服务器并不互相兼容，需要构建自身的生态系统。

(二)兆芯

兆芯处理器采用x86架构，核心数较少，缓存较低，主频的支撑能力较弱，内存通道数较少，较海光的也具有明显的差距。虽然提供虚拟化支持能力，但是在云计算/虚拟化应用场景适应能力较弱。此外，兆芯的技术来源——威盛的X86架构技术授权已于2018年4月到期（不能使用2018年4月后新的技术成果），后续发展阻力增大。

(三)申威

申威处理器基于Alpha架构设计，尽管核心数量众多且主频表现出色，但单核性能相对较弱，且缺乏虚拟化技术支持。其在操作系统、数据库及中间件生态方面的兼容性和配套服务相对有限。对于政务信息化领域，选用与标准X86架构兼容性欠缺且体系结构迥异的服务器来运行关键业务系统，无疑增加了显著的技术风险和潜在的运维挑战。

(四)飞腾

飞腾处理器基于ARMv8架构，其单核心运算效能相对较弱。在虚拟化支持方面，硬件CPU提供的功能相对有限。生态系统的全面性，包括操作系统、数据库和中间件的兼容性，与申威相当，对于那些依赖高度兼容性和与X86架构兼容性要求严格的服务器业务系统来说，可能面临适应性挑战。

(五)海思

华为海思的鲲鹏处理器系列基于ARM架构，以其众多的核心和较高的主频为特点。然而，受限于采用的精简指令集(RISC)设计，它对现有的X86架构的系统软件、数据库和中间件等存在一定的兼容性挑战。目前，主要支持鲲鹏CPU的是华为自家的软件生态系统，以及国内主流的系统软件供应商，例如中标麒麟、达梦信息技术和东方通科技等公司提供的解决方案。

(六)海光

海光处理器凭借x86架构的优势，其独特价值主要体现在本土适应性和生态系统的完整性。然而，海光处理器在设计上的局限表现为仅支持单路和双路服务器配置，与当前市场对四路及以上的高可用服务器需求相比，扩展性略有欠缺。值得注意的是，海光处理器面临国际形势的挑战，由于被列入美国实体清单，未来的技术发展受限于AMD的授权依赖，需逐渐实现自主研发的路径。尽管AMD与海光合作设立了合资公司，其中AMD持有51%控股权，这确保了AMD对国产X86处理器核心技术——如Zen架构的主导地位，而中国方面在核心内核层面的介入受限，主要聚焦于外围芯片的开发与支持。

从架构层次来看，采用x86的兆芯和海光的生态兼容性最佳，其他的厂商需要构建自己的生态系统。从核心数层次来看，飞腾、海思的最大核心数为64核，海光核心数最多32核，考虑到单核性能和核心数的差异，在整体性能上差距不大。龙芯、兆芯、申威的核心数较少，在性能上会有一定差距。从主频的角度去看，龙芯、申威、飞腾的主频数都较低，数据处理能力较差。从缓存的角度来看，海思和海光的缓存数较高，数据交换速度更快，整体性能也更好。

图3-5国产自研芯片对比分析图

2.2.2GxxCxxH深入剖析操作系统特性

操作系统扮演着计算机体系结构中的关键角色，其自主安全性至关重要。在国家背景下，国内的主流操作系统多数是建立在Linux内核基础上的自主研发产品。目前市场上的服务器级国产Linux衍生系统众多，其中包括诸如中标麒麟、银河麒麟、普华中科方德以及深度科技等知名品牌。

GxxCxxH操作系统情况表如下表所示。

上述GxCxxH操作系统中，作为CEC集团旗下中标公司的麒麟系统发展较为成熟，中标麒麟操作系统目前通过了多个国家权威部门的测评，可支持龙芯、飞腾、申威、鲲鹏等多种主流芯片，其产品支撑着国防、政府、企业、电力和金融等各领域的应用，满足政府部门、国防、金融、电力、机要、保密等领域对操作系统的高安全性需求。在目前在公开的国产操作系统领域市场占有率稳居第一。

2.2.3数据库软件GxxCxxH的功能与评估

国内自主研发关系型数据库的企业、单位基本上都是发源于上世纪90年代的，而且都是以大学、科研机构为主。到今天，有代表性的厂商有：达梦、人大金仓、神舟通用、南大通用。

在寻求满足自身业务需求的过程中，许多企业，特别是中国的通信和互联网企业，鉴于未能从包括Oracle在内的传统数据库供应商那里获得满意的业务支持或成本效益，他们转而选择了自主研发的道路。这一转变源于对自身业务发展的驱动。

华为，作为中国通信行业的领军企业，近期推出了自主研发并历时九载研发的GaussDB数据库产品系列。这款数据库沿袭了PostgreSQL9.2的核心技术，并针对不同业务场景如OLTP、OLAP及HTAP提供了多样化的解决方案。其在性能、功能和稳定性上表现出色，满足了高标准的需求。

互联网企业代表的有阿里和腾讯，电商企业阿里发布了自研的数据库，主要有基于MySQL的计算存储分离的云端数据库PolarDB,以及蚂蚁金服集团自研的OceanBase数据库。前者是阿里巴巴集团和阿里云业务的主打，后者成为了这次TPC-C测试里面打败Oracle的主角，主要应用于蚂蚁金服的相关业务。

腾讯作为一家互联网巨头，凭借在社交、金融、游戏等领域累积的面向数亿乃至十亿级用户规模的实战经验，其数据库产品的性能与特性彰显了国产数据库发展的一个独特路径。这其中包括了腾讯自主研发的明星产品如Tbase和TDSQL等。

以下是关于GxxCxxH数据库的详细概述表格。

目前三期目录内国产数据库品牌有：人大金仓、达梦、神舟通用。

2.3深入剖析问题

电子政务的演进，致力于服务于政府职能转换与服务型政府构建，其发展趋势聚焦于深化应用实效、加速创新步伐以及强化安全保障。互联网+政务服务的推行，凸显了对顶层设计策略的明确需求和可持续发展模式的探寻。在信息技术资源的视角下，构建顶层资源架构、设计科学的资源成长路径、提升资源集约化效能以及优化建设效益，构成了电子政务未来发展策略的选择题。以此为背景，审视**市政务云的资源及其能力现状，显得尤为重要且富有洞察力。

2.3.1国外技术对我们核心技术构成制约

我国在某些关键领域，特别是关乎国计民生的核心信息系统的T系统与设备，长期受制于国际大型供应商的垄断。对于那些核心技术元器件的高度依赖，使得我们的供应链如同处于他人的根基之上，犹如在他人搭建的基石上建造，即使外观宏伟，也难以抵挡任何潜在风险，可能面临严重的脆弱性。

2.3.2业务环境的不确定性因素分析

业务系统部署环境使用国外微软操作系统或红帽操作系统，业务系统包含着社会敏感信息、政府业务日常运作的重要数据信息，关键数据存储在Oracle、MySQL、SQLServer等国外数据库软件中。2013年斯诺登曝光美国“棱镜计划”，从2007年实施的绝密电子监听计划，国外政府可直接进入相关企业的中心服务器里挖掘数据、收集情报，其中包括微软、雅虎、谷歌、苹果等在内的9家国际网络巨头皆参与其中。国外政府通过电子监听计划可以随意调取科技IT界巨头数据，监控全球信息。

2.3.3提升平台安全保障措施

政务云在应对网络安全隐患，如遭受恶意攻击、数据泄露及设施破坏的同时，其虚拟化环境的特点也催生了额外的安全挑战，主要包括以下几点：

首先，面临法规与标准体系的不足。国内现有的云计算服务平台构建和信息安全管理体系尚不完善，原有的等级保护机制在适应云计算环境时面临着局限性。

二、虚拟化环境的安全隐患 云计算与其传统基础设施（T）环境的主要区别在于其构建的虚拟化计算架构。然而，国内云服务提供商在虚拟化核心技术和安全解决方案方面尚显不足，可供选择的安全产品有限，这在一定程度上困扰了用户资源的有效隔离和整体安全防护体系的建立。

风险主要源于数据与应用的高度集中：云计算服务的本质依托于资源的集约化管理和服务的交付，然而这使得系统对恶意攻击或安全威胁极为敏感，其可用性和保障面临严峻挑战。

2.3.4环境适应性不足

关键环节在于自主可控信息环境与网络生态系统的持续优化升级，其中适配中心扮演着至关重要的角色。当前，众多应用机构如协同办公系统、门户网站等，主要依赖于国际厂商如微软的操作系统构建。为了使这些基于国外平台的软件能在自主研发硬件上运行顺畅，必须经过严谨的适配测试与调整。自主可控产业堪称一个庞大且体系完善的生态系统，它涵盖了从源头的半导体材料，经由核心芯片、元器件和基础软件，直至整机制造的各个环节。这一过程中，对软硬件的兼容性要求高，且往往伴随着显著的时间投入和费用成本压力。

2.3.5风险管理策略

作为现代服务计算的核心创新，云计算在继承了传统信息系统固有的安全挑战，如风险与威胁的同时，催生了崭新的安全议题，包括数据加密、资源分隔、个人隐私保护以及严格的法规遵从——这些都构成了当前迫切需要解决的云安全焦点。

第3章需求理解与规划

3.1需求分析详述

3.1.1需求的自主掌控与可控性

芯片是网络信息技术发展的根基，国产芯片在国产自主可控替代计划中始终是重要的角色，包括芯片自主可控，服务器的自主可控，存储核心器件存储控制器的自主可控，操作系统的自主可控等基础设施环境。其中，芯片自主可控是重中之重，处理器研制单位必须由中资控股，处理器指令系统需要可持续发展，处理器核心源代码必须100%掌握。

3.1.2高效能网络资源管理

政务外网云平台的核心需求主要包括以下几个方面：

数据中心网络支持云平台运作，其关键特性包括快速收敛、高效转发性能、易于维护与管理，以及注重节能和环保。为此，要求优化网络结构，减少复杂性，以实现上述目标。

网络架构需追求极高的可靠性和可用性。在设计过程中，务必着重于消除单点故障风险。在设备选型与核心设备互联环节，应确保关键设备、重要业务模块及链路的冗余备份。目标应定位于实现电信级别的系统稳定性。

在数据中心网络架构和设备选型上，我们强调其高度的可扩展性，旨在确保其不仅能滿足当前业务的需求，更能适应未来业务扩展的潜在要求。

确保政府部门间网络的隔离需求，在网络层面上得到实施。

追求网络虚拟化的目标在于精简设备节点，优化配置流程，以提升运维效率的便捷性。

3.1.3计算资源池需求

云平台需具备灵活的资源调度能力，以匹配各类业务应用的独特需求，确保计算性能（包括处理器能力、内存等）的精准配置。目前，平台提供了两种主要的计算资源选项：（弹性云主机）虚拟机和物理服务器，其选择策略着重考虑以下几个关键因素：

(1)弹性云主机部署选择建议

针对业务需求的交互流量和处理难度，对于流量较小且复杂度较低的业务场景，推荐选用虚拟机进行部署。

在评估业务系统运行期间的资源利用率时，倾向于选择虚拟机部署的方式，特别是对于那些资源占用相对较低的业务场景。

(2)物理服务器服务选择建议

业务应用对服务器运算性能的需求极其严格，即使在单台服务器上配置了最大计算能力的虚拟机，仍无法充分满足其计算性能需求。

●当前的软件授权加密策略在应对虚拟化环境时显得不适用。

服务器的板卡需满足特定业务应用需求，然而这些板卡并不适用于虚拟化环境的部署。

·软件厂家不支持虚拟化部署的应用；

·要求物理服务器以云服务形式发放。

根据项目实际情况，我们推荐政务外网云平台的计算节点部署应选用弹性云主机的构建模式。

3.1.4构建云管理平台的关键需求

云资源池的管理涵盖三个关键领域：资源管控、运维运营和服务治理，针对不同的利益相关者，如租户、运维团队及管理者，分别提供定制化的权限和区域化的管理接口。

云管理平台应当具备出色的兼容性，能够接纳并管理资源池内广泛的计算、存储、网络及节点管理设备。

3.1.5存储资源池需求

存储资源池需适应各类用户对存储性能的需求，其包含以下特性： - 块存储功能，专为虚拟机操作系统安装及本地数据存储设计； - 文件存储功能，适用于电子公文应用程序的存储需求； - 对象存储则凭借其低成本特性，支持网盘共享功能。 借助存储资源池的虚拟化技术，我们提供多元化的存储服务方案，包括块存储和文件存储。通过统一管理平台，实现了异构存储设备的整合与高效运维，旨在提升存储资源的利用率，满足用户对于高性能、高可靠性和易于维护的需求。

3.1.6高效云备份解决方案

本期自主可控政务平台主要考虑本地备份。

存储备份技术要求：

系统需具备实例运行的容错功能，支持多实例并发执行。即使个别实例出现故障，也不会中断应用的可用性，因为系统会自动实现故障实例与数据的自动恢复过程。

需实现对数据的集中管控式备份，并针对各数据实例制定详细的数据备份方案。

系统需配备完善的错误监测功能，具备故障自愈能力，通过实施多副本冗余备份策略，以确保数据安全并实现高可用性设计。

应支持镜像备份；

应支持灾难恢复和裸机恢复；

应支持备份负载与应用程序分离；

应支持源端重复数据消重；

应支持备份数据压缩存储。

3.1.7高效运维与运营管理策略

运营管理的核心在于构建完善的运行维护支持体系，确保业务应用的顺利部署、启用与持续稳定。云平台的运行服务保障需全面审视资金投入、管理体系、规章制度、技术支持以及人力资源，强调一体化建设与统一管理策略。

从系统的运行维度来说，云平台的运行保障分为基础运维、业务运维、数据运维。基础运维主要包括物理环境监测、数据库和存储运行监测、虚拟主机运行监测、网络接入监测、系统故障监测和排除、日常检查服务、系统调优等基础的运维，由平台服务机构负责：业务运维主要包括与业务应用相关的运维，如业务咨询和操作解答、应用系统角色、权限分配、业务应用升级需求、配置管理及业务监控等，由政务部门负责；数据运维由数据源的权属部门负责。

3.1.8安全的云平台需求

信息系统依据其在国家安全、经济建设、社会生活中所承载的关键作用及其遭受破坏后可能对国家安全、社会秩序、公共利益以及公民、法人和其他组织合法权益产生的影响程度，被划分为五个等级，从轻到重排列。

按照等级保护体系的官方管理文件划分，信息系统安全防护等级被细分为五个级别。

当信息系统遭受侵害，首要影响的是公民、法人及其他组织的合法权益，同时不会对国家安全、社会秩序及公共利益构成威胁。

当信息系统遭受破坏，其后果主要体现在对公民、法人及其他组织的合法权益构成严重侵害，同时可能扰乱社会秩序或公共利益，然而并不触及国家安全的范畴。

当信息系统遭受破坏，其后果将对社会秩序、公共利益乃至国家安全产生严重影响。

当信息系统遭受四级破坏后，其后果将对社会秩序与公共利益带来极其严重的冲击，同时对国家安全部署构成严重威胁。

当信息系统遭受破坏至第五级，将对国家安全造成长远且极其严重的负面影响。

在等保2.0的技术规范中，安全需求被细致划分："安全物理环境"着重于机房设施的保障；"安全通信网络"与"安全区域边界"关注网络的整体防护；"安全计算环境"则针对业务应用和数据构成的节点提出严格规定；最后，"安全管理中心"侧重于系统的管理体系和集中控制的要求。

管理规定明确界定了"从元素至实践"的各个环节中的安全标准，主要包括"安全管理制度"、"安全管理机构"以及"安全管理人员"这三个关键要素。在安全建设与运维管理层面，着重强调了建设项目生命周期中的安全活动管控与运营阶段的持续安全管理需求。

在全面审视标准控制手段时，我们观察到可信控制点得到了显著扩充。各层次和级别均增设了可信验证控制环节，尤其在关键领域——一级至四级的'安全通信网络'、'安全区域边界'以及'安全计算环境'内，均增设了'可信验证'的管控点。自二级起，安全管理中心的技术规格也得到了强化和提升。

在等级保护测评环节，相较于以往，测评标准呈现出显著差异。新的测评体系将测评项目细分为'重点测评项'与'常规测评项'。其中，'重点测评项'实施'一票否决'原则，即若对应等级的任何一项重点测评未达标，将直接判定评估结果为不符合，无需继续进行常规测评。只有在确认'重点测评项'满足要求后，才会进行'常规测评项'的评估。

信息安全等级保护的实施流程涵盖定级、备案、整改、测评与监督等关键步骤，以下是各环节的具体工作内容阐述。

1、等级保护定级工作

信息系统安全等级保护的定级工作，主要包含两个方面的内容：一是基于业务信息安全的保护等级，称为业务信息安全保护等级；二是从系统服务安全的角度考虑的保护等级，称为系统服务安全保护等级。这一环节对于后续的等级保护评估以及相关工作具有至关重要的前置作用。

2、等级保护整改工作

在执行信息安全等级保护的整改工程中，严格遵循国家的法定规定和标准化规范，秉持技术和管理并举的策略。通过有效融合技术与管理手段，构建了全面的信息系统防护体系，旨在提升整体信息系统的安全保障能力。根据《信息系统安全等级保护基本要求》（简称《基本要求》），我们明确了信息安全责任，实施了一系列安全管理制度，涵盖了人员安全管理、系统建设管理及系统运维管理等方面，并着重保障物理安全、网络安全、主机安全、应用安全和数据安全等关键环节的技术措施。

根据信息系统在定级时所对应的业务信息安全级别和系统服务安全等级，以及当前的安全保护状况，详细规定各级别信息系统安全建设整改的特定内容。对于安全管理工作与技术整改，实施策略可根据实际需求灵活执行，既可同步进行，亦可分阶段逐一实施。

3、等级保护测评工作

测试评估信息系统安全等级保护的全面内容，主要包括两大部分：一是安全控制的实施与配置评估，着重审查信息系统是否符合等级保护的基本安全控制要求；二是系统整体的安全性评估，这是通过对安全控制测评的深入剖析来实现的。安全控制测评作为整体安全测评的基石，至关重要。

安全控制测评采用评估单元体系进行详细阐述，主要分为两大部分：安全技术测评与安全管理评估。在安全技术测评方面，涵盖物理安全、网络环境安全、主机系统保护、应用程序防护以及数据安全等五个层次的控制评价；而在安全管理评估部分，则侧重于安全管理机构的构建、健全的安全管理制度、人员安全管控、系统建设与运维管理等五个关键环节。具体如图所示：

图等保测评内容

3.1.8.1云安全建设思路

针对政务云中心的业务特性和平台架构特性，本项目在传统安全措施之上，整合了包括数据加密、虚拟专用网络(VPN)、用户身份验证、安全存储、虚拟化环境安全以及全面的防御设施，致力于构建一个以应用为中心的深度防护体系。遵照等保2.0三级标准进行建设，着重关注政务云数据中心的基础安全保障和电子政务云平台自身的防护需求，具体表现为以下几个关键环节：

(1)确保基础架构的安全性，其核心目标在于维护虚拟化平台体系结构的稳固屏障。

依托于传统的安全防护框架，我们的策略涵盖了操作系统层面的防护、交换机VLAN的有效管理、集群下存储安全的强化，以及服务器双机热备技术的应用，旨在确保系统的高可靠性。

服务器虚拟化安全策略：强调虚拟机管理器层面的安全措施，包括服务最小化原则与内核模块完整性保