统计云计算大数据平台安全运维方案

云计算大数据平台安全运维方案

1

目录

第一章现状与需求分析. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

1.1总体现状分析. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

1.1.1信息化现状. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

1.1.2关键问题分析. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

1.2业务需求理解. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

1.2.1开放的统计云数据平台. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

1.2.2数据采集与拓展. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

1.2.3创新应用开发. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

1.3基础平台建设需求. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

第二章总体架构设计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

2.1总体架构. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

2.2数据架构视图. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17

2.3创新的业务模式. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17

第三章信息安全中心设计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

3.1统计云安全风险分析. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

3.1.1统计云环境面临的传统安全威胁. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

3.1.2统计云环境面临的新型安全威胁. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19

3.2统计云安全建设方案. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46

3.2.1 IaaS层安全建设方案. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46

3.2.2 PaaS平台安全. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .51

3.2.3 DaaS层安全建设方案. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58

3.2.4 SaaS层安全建设方案. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .61

3.2.5安全服务中心建设方案. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .66

第四章运维监控中心设计. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .74

4.1云计算中心运维服务方案. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .74

4.1.1运维服务体系建设说明. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .74

4.1.2运维服务体系架构. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .76

4.1.3云计算中心运维服务内容. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .80

2

4.1.4云计算中心监控方案和排障方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95

4.1.5体系建设的效果分析. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .97

4.2系统迁移方案规划. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99

4.2.1迁移原则. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99

4.2.2迁移步骤. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99

3

第一章现状与需求分析

1 .1总体现状分析

1.1.1信息化现状

统计信息化是中国统计走向现代化的核心是提高统计数据质量的关键是中国统计更加规范统一的重要支撑。统计信息化是统计建设的重要内容是推动统计改革的内在动力。经过多年的信息化建设国际统计局已经建成了比较完备的IT软硬件基础设施和专业应用系统在统计业务的各个环节特别是数据的采集生产环节提供了较为有力的支撑。

1 .1 .1 .1基础设施建设

在基础设施建设方面统计局通过骨干网扩容提速实现国家局到31个省市、区统计局和新疆生产建设兵团统计局的一级主干网采用了双设备、双线路的冗余架构专线的网络带宽已提升到155M数据+2*2M音视频另外还有1*2链路用来对网络系统的带外管理大部分异地办公的省级调查总队实现了同城百兆光线的链接。 目前统计局的互联网出口带宽已经提升至1G联通、 电信各500M。局域网实现了核心万兆交换桌面千兆接入部分省及省以下统计信息网络系统进行了扩容改造的配套建设提升了带宽有的已将统计信息网延伸到了乡镇一级全国县以上政府统计机构的3068家统计局、调查队分别以专线、VPN专线、政务网等方式接入国家统计信息主干网并且各省都建设了独立的互联网出口。 国家统计系统的信息交换、数据传输能力不断提升。

4

图7 国家统计信息网络拓扑结构

近年来统计局利用虚拟化、资源池、云计算等新技术、新理念对国家统计核心业务系统进行资源整合构建了大规模联机业务处理和高并发事务处理能力的核心业务系统进一步提升了统计数据处理系统的可靠性、安全性为未来全国统计业务的统一在线处理提供云服务打下了基础。同时利用农业普查、经济普查、人口普查等大型普查的中央投资以及各地配套资金为乡镇、县市、省统计局也配备了大量的微机、激光打印机、服务器、小型机、存储、数据库、中间件等软硬件设备进一步推动了统计信息化基础建设。

以三里河西楼为主的机房面积大约3000平方米包括传输机房、IDC机房、存储机房和UPS机房。 目前大约有小型机近40台 PC服务器300余台并建立了集中的网络设备监控管理系统。 目前核心机房的设备大约分为三大部分

1. 小型机系统主要承载统计局核心业务系统的各个关键应用及O rac le数

据库

2. 虚拟化平台包括300多台PC服务器、 150TB磁盘阵列的虚拟化资源

5

池部署了160多个不同类型和部门的应用软件系统

3. PC服务器采用物理机的方式部署了覆盖系统所有工作人员的电子邮件

系统与OA系统。

图8 统计局机房设备分布

1 .1 .1 .2应用系统建设

依托基础设施资源统计局信息化应用开发取得了显著进展特别是2012年1月份以来统计局正式实施统计“四大工程一库、一表、一台、一网”带来了统计数据生产方式的重要变革在新的数据生产方式下原有的分散设计改为统一设计调查制度由原来的分散布置改为统一布置原始数据由间接采集改为直接采集实现了统计局直接掌握原始数据并加工和汇总各级统计机构在线实时共享数据大大提升了统计局信息化应用的整体水平。统计局开发的数据处理软件 已成功应用于农业普查、经济普查、 “R&D”资源清查、人口普查等大型普查 以及畜牧业监测、城乡住户一体化、 “一套表”等多项统计调查。采用3G/4G无线网络技术 已在全国500个城市开展了手持移动电子采价系统在

6

统计数据采集工作中的应用。按照全国一库在线、分级管理维护的模式建成了全国统一的基本单位名录库系统并建立了与质监、工商、税务、编办、民政等部门的单位信息共享交换机制和名录比对系统。统计局的OA办公自动化系统已在全国大部分个省级统计局、调查总队推广使用。遥感、空间定位和地理信息系统等空间技术已在农作物对地调查、主要粮食作物种植面积测量与估产、人口普查、经济普查和投资项目监测等统计业务应用。

统计局核心业务系统采用采用虚拟化技术提供统一的WEB服务、数据库服务、存储服务以及管理调度支持企业联网直报系统、第六次人口普查和第二次、第三次经济普查等重要统计业务的数据采集和处理工作。

图9 核心业务系统逻辑架构

 基础应用系统

 大型普查支持人口普查、农业普查、经济普查等大型普查任务

 专项调查人口变动、投入产出、R&D等

 经常性调查支持各专业的常规性调查、如月报、季报、年报等。 联网直报系统

实现工业、能源、投资、贸易和重点服务业等主要专业100%以上的“四上”共100多万多家单位的联网直报的工作。目前联网直报系统采用全国集中部署和使用 17个省区、市的企业通过网络直接向统计局数据中心报送数据 14个省区、市的企业通过网络向国家批准的省级节点报送数据国家实时从省

7

级节点抓取原始数据。目前企业上报数据以月报方式为主平均每月3~4张报表大约共有200多个统计指标。

在数据采集和处理环节采用统一兼容的数据采集软件系统进行数据采集、录入、审核、编辑和汇总提高了统计生产过程的可控性和规范性减轻了调查对象和基层的工作负担促进了地区数据与国家数据、专业数据与综合数据的有效衔接。

图10 联网直报系统体系结构

 遥感、空间定位与地理信息系统

利用遥感RS、地理信息系统GI S和全球定位系统GP S为代表的空间信息技术构建相关统计应用。以农村社会经济调查司为例该司目前通过高分遥感卫星863项目结合GPS、 GIS对农产品进行种植面积、产量、灾情等数据的调查、统计、预测及可视化展现。

 其他应用系统

 统计分析建模软件

 办公自动化OA系统

 电子邮件系统

 视频会议系统

 统计局内、外网站

 微信、微博、手机客户端信息发布平台

8

 各司局内部专业应用系统等

1 .1 .1 .3数据资源建设

国家统计数据资源体系由基础支撑数据库、专业原始数据库、专业工作数据库、综合应用数据库等功能子系统初步构成按统一设计、分级建设、同构互联的原则 由中央和地方的统计数据库系统共同组成。

 专业原始数据库

专注于基础性调查数据的集中管理、维护需要统筹考虑统计数据结构及相关安全域划分管理支持微观的专业报表基础数据文件、中观的主题数据文件和宏观的综合数据报表文件的归档管理提供接收、下载、导入导出、整理维护、加载更新等管理功能是统计数据处理系统与统计数据库体系的数据管理和交换子系统。这部分内容需在物理隔断的涉密网部署管理。

 专业工作数据库

使用数据仓库和专业统计分析、数据挖掘工具软件建设形成专业性的主题数据库或数据仓库系统支持数据处理阶段后专业内部针对基础数据深入的分析汇总和结构查询这部分功能应在物理隔断的涉密网运行管理支持跨专业、跨部门的综合数据共享查询支持综合应用库的建设和应用这部分功能需在逻辑隔断的内网运行管理。

 综合应用数据库

以常规数据库系统对供宏观决策支持、部门共享或公开发布的综合指标、综合数据进行管理形成以应用查询为主要功能的数据库系统。本系统以数据处理结果、专业工作数据库为来源根据共享程度及安全域划分分别在物理隔断的涉密网、逻辑隔断的内网或外网运行管理。国家统计数据库等发布数据库属于此类。

 基础支撑数据库

一是统计调查项目管理数据库、基本单位名录库等元数据管理系统二是地理信息和遥感信息等基础信息管理系统为统计工作和其他数据库提供基础性共享信息支撑。

9