集團企業(yè)信息化建設(shè)方案課件

集團企業(yè)信息化建設(shè)方案2

0

1

91目錄XX集團信息化藍圖架構(gòu)應(yīng)用藍圖架構(gòu)規(guī)劃發(fā)電業(yè)務(wù)板塊應(yīng)用架構(gòu)煤炭與燃料板塊應(yīng)用架構(gòu)企業(yè)服務(wù)平臺架構(gòu)規(guī)劃基礎(chǔ)設(shè)施架構(gòu)規(guī)劃

基礎(chǔ)設(shè)施目標(biāo)體系框架

數(shù)據(jù)中心基礎(chǔ)架構(gòu)安全與管理網(wǎng)絡(luò)及鏈路用戶終端信息安全規(guī)劃信息化管控體系規(guī)劃移動應(yīng)用規(guī)劃數(shù)據(jù)中心的策略分析核心需求核心KPI意義實現(xiàn)最高的可靠性等級機房必須達到TIA942

T4標(biāo)準(zhǔn)所有災(zāi)難發(fā)生、意外情況發(fā)生都不會影響數(shù)據(jù)中心的可靠性區(qū)別對待不同私有云的空間、電力和制冷要求采用模塊化數(shù)據(jù)中心建設(shè)，按需建設(shè)、按需擴展有獨立區(qū)域?qū)ｉT放置各種私有云設(shè)備滿足核心應(yīng)用部署在專屬私有云的高性能要求模塊化高密度機房需滿足2噸/平方的承重，15～30千瓦/機柜的耗電具備超高的交付要求，滿足未來5～10年的數(shù)據(jù)中心交付標(biāo)準(zhǔn)滿足企業(yè)私有云的中高性能要求模塊化高密度機房需滿足1.3噸/平方的承重，8～10千瓦/機柜的耗電在不犧牲T4標(biāo)準(zhǔn)的前提下，為企業(yè)私有云做堅實的基礎(chǔ)滿足輕量私有云的要求輕量私有云無需模塊化，但需要滿足1噸/平方的承重，4千瓦/機柜的耗電按照目前普通機會稍高的標(biāo)準(zhǔn)建造，成本較低。數(shù)據(jù)中心及接入層機房的規(guī)劃根據(jù)XX未來發(fā)展的長期規(guī)劃，本著提高及便利業(yè)務(wù)與生產(chǎn)，并綜合考慮地理位置與成本為原則，對數(shù)據(jù)中心的規(guī)劃制定了如下策略，并根據(jù)該策略將下屬的原數(shù)據(jù)中心或機房分為核心數(shù)據(jù)中心和接入機房。

核心數(shù)據(jù)中心分布在各下級單位的系統(tǒng)采用分散式向集中式轉(zhuǎn)變的原則，根區(qū)域接入機

據(jù)地域的劃分，分別集中到就近的數(shù)據(jù)中心，由數(shù)據(jù)中心進行房

托管；此類單位的客戶端通過本地的接入機房的網(wǎng)絡(luò)設(shè)施與數(shù)據(jù)中心相聯(lián)以實現(xiàn)應(yīng)用系統(tǒng)訪問。XX的數(shù)據(jù)中心建設(shè)以北京數(shù)據(jù)中心為主，對關(guān)鍵應(yīng)用和服務(wù)進行集中建設(shè)，包括所有的硬件平臺基礎(chǔ)建設(shè)，基礎(chǔ)軟件、服務(wù)建設(shè)，采用虛擬化技術(shù)和集群技術(shù)對IT資源進行整合。建議采用模塊化的數(shù)據(jù)中心土建工程標(biāo)準(zhǔn)的3層樓結(jié)構(gòu)的數(shù)據(jù)中心土建工程一層樓為高密度機房區(qū)域，二層和三層為中密度機房區(qū)域辦公室分布在單獨的一棟緊挨著的樓宇內(nèi)人貨分離的電梯冷卻設(shè)施在頂樓，也可以布置在大樓1層的邊上冷卻塔干冷塔冷凝聚集水處理不間斷UPSN+2辦公室不間斷UPSN+2辦公室辦公室消防氣瓶室1020

m22層樓：中密度機房區(qū)域面積：2500平方負載：5～10千瓦/每平方1層樓：高密度機房區(qū)域面積：2500平方負載：10～13千瓦/每平方滿足TIA-942

TIE4要求的數(shù)據(jù)中心建筑3層樓：中密度機房區(qū)域面積：2500平方負載：5～10千瓦/每平方建和維護減少閑置時間顯著的減少搭建時間，一般只需要22個工作日環(huán)保，可重用，可重部署模塊化的數(shù)據(jù)中心最終的結(jié)果就是單位面積的能力提高4倍以上，而整體擁有成本卻是下降了一半模塊化的供電及精密空調(diào)系統(tǒng)，使得數(shù)據(jù)中心模塊可以疊起到第二層，也能夠正常運轉(zhuǎn)?？諝鈨?yōu)化電力分布120個機柜及其冷熱通道業(yè)務(wù)容災(zāi)-XX數(shù)據(jù)中心未來容災(zāi)的必要性XX集團集團化、跨地域經(jīng)營的企業(yè)特點決定了構(gòu)架于IT系統(tǒng)之上的統(tǒng)一管理、統(tǒng)一決策、統(tǒng)一運營成必然趨勢。IT系統(tǒng)日趨成為單位的大腦和神經(jīng)網(wǎng)絡(luò)，數(shù)據(jù)中心成為運營的關(guān)鍵，一旦出現(xiàn)數(shù)據(jù)丟失或服務(wù)中斷，將直接影響企業(yè)的生產(chǎn)運營。數(shù)據(jù)大集中是集團型企業(yè)信息化發(fā)展的必然結(jié)果，統(tǒng)一的數(shù)據(jù)平臺實現(xiàn)對業(yè)務(wù)的集中透明管控，有效控制運營風(fēng)險，但IT風(fēng)險的集中也隨之而來，如何規(guī)避集中帶來的單點故障成為IT管控面臨的一個難題。作為大型央企，XX如何進一步地樹立穩(wěn)健、謹慎、成熟的單位形象，如何在考慮未來的盈利能力同時，降低風(fēng)險，實現(xiàn)對業(yè)務(wù)伙伴和服務(wù)受眾的長期承諾成為一個重要命題。容災(zāi)備份及業(yè)務(wù)連續(xù)性的管理不僅是對單位業(yè)務(wù)數(shù)據(jù)和業(yè)務(wù)連續(xù)性的保護，也是對所有客戶和合作伙伴的一種信心和信用的保證，是參與市場競爭的重要手段。容災(zāi)是解決IT系統(tǒng)集中化、數(shù)據(jù)大集中帶來單點故障風(fēng)險的必然選擇容災(zāi)是提升企業(yè)形象的有效手段容災(zāi)是改善現(xiàn)有機房環(huán)境缺陷，消除IT基礎(chǔ)環(huán)境隱患的根本途徑XX數(shù)據(jù)中心的云互聯(lián)及容災(zāi)技術(shù)采用云計算技術(shù)1、主機、網(wǎng)絡(luò)、存儲虛擬化。2、核心網(wǎng)絡(luò)二層互聯(lián)。3、網(wǎng)絡(luò)接入三層互聯(lián)。4、服務(wù)器高可用集群。5、存儲陣列分布式存儲。6、云管理平臺。應(yīng)用效果當(dāng)主數(shù)據(jù)中心發(fā)生故障，用戶自動接入異地數(shù)據(jù)中心，實現(xiàn)業(yè)務(wù)連續(xù)性。XX業(yè)務(wù)容災(zāi)建設(shè)目標(biāo)步驟應(yīng)用環(huán)境，網(wǎng)絡(luò)配置，業(yè)務(wù)數(shù)據(jù)的統(tǒng)一放置在共享存儲上1不同站點的存儲之間設(shè)置數(shù)據(jù)鏡像復(fù)制機制23在主站點發(fā)生災(zāi)難時，利用復(fù)制數(shù)據(jù)在災(zāi)備站點快速恢復(fù)務(wù)器、網(wǎng)絡(luò)和存儲的連接，從而恢復(fù)應(yīng)用系統(tǒng)的服務(wù)數(shù)據(jù)中心災(zāi)備建設(shè)總體方案路線起步階段1、在半年到一年時間內(nèi)建設(shè)1個災(zāi)備中心，或選取某遠程二級數(shù)據(jù)中心（凱捷昆山數(shù)據(jù)中心備選）作為災(zāi)備中心，支持集團關(guān)鍵業(yè)務(wù)平臺迫切的容災(zāi)需求。2、災(zāi)備中心和北京數(shù)據(jù)中心采用MPLS網(wǎng)絡(luò)架構(gòu)連接，備份北京XX大廈3F的數(shù)據(jù)。3、建立虛擬化標(biāo)準(zhǔn)，在災(zāi)備中心把所有的服務(wù)器和數(shù)據(jù)虛擬化；使災(zāi)備中心形成1個云。拓展階段發(fā)展階段1、第二年升級北京XX大廈的系統(tǒng)，把所有服務(wù)器和數(shù)據(jù)虛擬化，形成第2個云.2、“1主1備”升級為“雙活中心”，北京和華東2個云合成

1個云。1、第三年，在西南地區(qū)建設(shè)第3個數(shù)據(jù)中心的基礎(chǔ)架構(gòu)。2、根據(jù)XX集團“云標(biāo)準(zhǔn)”，可直接部署形成三地三中心數(shù)據(jù)互備容災(zāi)云架構(gòu)模式。3、第四年，建立全集團集中的多數(shù)據(jù)中心云管理平臺，實現(xiàn)信息資源統(tǒng)一管理、統(tǒng)一調(diào)度。XX數(shù)據(jù)中心關(guān)鍵業(yè)務(wù)系統(tǒng)的容災(zāi)北京數(shù)據(jù)中心備份數(shù)據(jù)中心IBM

PServerSAN在北京中心發(fā)生災(zāi)難時，從備份中心恢復(fù)應(yīng)用系統(tǒng)服務(wù)站點間設(shè)置數(shù)據(jù)復(fù)制機制，包括failover,failbackSAP應(yīng)用環(huán)境，DB2業(yè)務(wù)數(shù)據(jù)庫在共享存儲上如采用存儲完全同步技術(shù)，關(guān)鍵指標(biāo)RPO=0，RTO<4小時（備份中心和主用中心間距離<100KM)SANXX云計算在容災(zāi)實施中的步驟第一步網(wǎng)絡(luò)、存儲虛擬化及核心網(wǎng)絡(luò)二層MPLS網(wǎng)絡(luò)互聯(lián)，實現(xiàn)信息系統(tǒng)的數(shù)據(jù)級容災(zāi),此步驟在容災(zāi)規(guī)劃中的起步階段實施。第二步第三步主機虛擬化及服務(wù)器高可用集群，實現(xiàn)信息系統(tǒng)的應(yīng)用級容災(zāi),此步驟在容災(zāi)規(guī)劃中的發(fā)展階段實施。實施網(wǎng)絡(luò)接入三層互聯(lián)及云管理平臺，實現(xiàn)信息系統(tǒng)的業(yè)務(wù)級容災(zāi)。此步驟在容災(zāi)規(guī)劃中的拓展階段實施。容災(zāi)的實現(xiàn)方式主要有數(shù)據(jù)級、應(yīng)用級和業(yè)務(wù)級投資持續(xù)可用業(yè)務(wù)級快速恢復(fù)應(yīng)用級可以恢復(fù)數(shù)據(jù)級分小時恢復(fù)時間天周容災(zāi)方式業(yè)務(wù)恢復(fù)速度恢復(fù)難度技術(shù)難度運維成本投資數(shù)據(jù)級較慢RTO>24小時高較低較低較低應(yīng)用級較快RTO<12小時較低較高較高較高業(yè)務(wù)級持續(xù)可用RTO<0.5小時低高高高數(shù)據(jù)級容災(zāi)是僅將生產(chǎn)中心的數(shù)據(jù)完整地復(fù)制到容災(zāi)中心的容災(zāi)方式。數(shù)據(jù)級容災(zāi)是異地容災(zāi)的最低級形式，也是最基本的方式，是實現(xiàn)更高級容災(zāi)方式的基礎(chǔ)，但僅可以保證數(shù)據(jù)是可用的，若技術(shù)策略選擇得當(dāng)，可以保證業(yè)務(wù)數(shù)據(jù)的完整性。應(yīng)用級容災(zāi)是指在數(shù)據(jù)級容災(zāi)實現(xiàn)數(shù)據(jù)可用的基礎(chǔ)

上，進一步實現(xiàn)應(yīng)用的可用性，確保業(yè)務(wù)可以快速

恢復(fù)。容災(zāi)系統(tǒng)的應(yīng)用不改變原有的業(yè)務(wù)處理邏輯，是對生產(chǎn)中心系統(tǒng)的基本復(fù)制。業(yè)務(wù)級容災(zāi)是生產(chǎn)中心與容災(zāi)中心對業(yè)務(wù)請求同時進行處理的容災(zāi)方式，能夠確保業(yè)務(wù)持續(xù)可用，但投資很高。通常容災(zāi)的恢復(fù)目標(biāo)根據(jù)恢復(fù)的時間和恢復(fù)的數(shù)據(jù)量可定義分為兩種，分別為恢復(fù)時間目標(biāo)RTO和恢復(fù)點目標(biāo)RPO。根據(jù)RTO的指標(biāo)，容災(zāi)方式可分為數(shù)據(jù)級、應(yīng)用級和業(yè)務(wù)級。容災(zāi)需要考慮系統(tǒng)的數(shù)據(jù)丟失量RPO：RPO(Recovery

Point

Objective)是指災(zāi)難發(fā)生后，容災(zāi)系統(tǒng)能把數(shù)據(jù)恢復(fù)到災(zāi)難發(fā)生前時間點的數(shù)據(jù)，它是衡量企業(yè)在災(zāi)難發(fā)生后會丟失多少數(shù)據(jù)的指標(biāo)。RPO可簡單的描述為企業(yè)能容忍的最大數(shù)據(jù)丟失量。時間數(shù)據(jù)備份點數(shù)據(jù)按照固點的頻率進行備份在這個時間段內(nèi)丟失的數(shù)據(jù)就是企業(yè)所能容忍的最大數(shù)據(jù)丟失量主服務(wù)器備份服務(wù)器RPO的功能：由于實現(xiàn)“零數(shù)據(jù)丟失”需要的巨大的基礎(chǔ)架構(gòu)、帶寬和軟件成本，這就使“零數(shù)據(jù)丟失”只能夠用于極度昂貴數(shù)據(jù)，而不能用于所有的情況。所以企業(yè)需要確切地確定它能夠承擔(dān)在一次災(zāi)難中丟失多少數(shù)據(jù)。RPO就是用來幫助企業(yè)分析和評估數(shù)據(jù)丟失量的工具/指標(biāo)。確定RPO的步驟：1、到所要考察的數(shù)據(jù)系統(tǒng)的用戶以及這些領(lǐng)域的管理層去，詢問在災(zāi)難發(fā)生的時候他們能夠承受的數(shù)據(jù)丟失量。2、在選擇數(shù)據(jù)備份系統(tǒng)的時候，基于軟件的復(fù)制系統(tǒng)、基于硬件的鏡像、Business

Continuance

Volume（BCV）和其他記錄工具，以及無數(shù)基于磁帶的系統(tǒng)都是可選的。3、混合使用或者匹配使用這些類型的系統(tǒng)，以創(chuàng)建能夠滿足從幾分鐘到多個小時RPO的要求。還可以將其中的許多方案

應(yīng)用到單個的數(shù)據(jù)系統(tǒng)上，以處理有不

同RPO要求的不同系統(tǒng)。XX容災(zāi)方案的需求分析審計考慮公司形象考慮

SLA考慮業(yè)務(wù)損失考慮業(yè)務(wù)持續(xù)考慮花費成本宕機時間平衡點根據(jù)以下幾個要素進行容災(zāi)方案的需求分析：明確容災(zāi)級別（業(yè)務(wù)級、應(yīng)用級、數(shù)據(jù)級容災(zāi)）在主中心發(fā)生災(zāi)難時，能夠順利完成到異地的業(yè)務(wù)切換切換時間在DRP/BCP規(guī)定的時間范圍內(nèi)(RTO-RECOVERY

TIMEOBJECTIVE)因災(zāi)難丟失的數(shù)據(jù)只限于DRP規(guī)定的時間范圍(RPO-RECOVERYPOINTOBJECTIVE)異地備份和復(fù)制數(shù)據(jù)以及系統(tǒng)的可用性備份站點的數(shù)據(jù)和系統(tǒng)可以作為數(shù)據(jù)挖掘和容災(zāi)演練、系統(tǒng)開發(fā)等工作網(wǎng)絡(luò)切換時間在規(guī)定的時間范圍內(nèi)XX數(shù)據(jù)中心的容災(zāi)方案數(shù)據(jù)同步應(yīng)用系統(tǒng)數(shù)據(jù)數(shù)據(jù)應(yīng)用系統(tǒng)異地災(zāi)備XX核心數(shù)據(jù)中心

遠程數(shù)據(jù)中心建議達到的級別：根據(jù)目前的容災(zāi)現(xiàn)狀，結(jié)合前期的調(diào)研情況及凱捷在容災(zāi)領(lǐng)域的國內(nèi)外最佳實踐，建議在未來3年內(nèi)達到數(shù)據(jù)級容災(zāi)的建設(shè)要求。容災(zāi)中心的選址：根據(jù)基礎(chǔ)架構(gòu)核心數(shù)據(jù)中心的目標(biāo)體系，建議

XX未來選取某遠程數(shù)據(jù)中心作為災(zāi)備中心。災(zāi)備模式：建議XX核心數(shù)據(jù)中心采用主備中心備份模式。目錄XX集團信息化藍圖架構(gòu)應(yīng)用藍圖架構(gòu)規(guī)劃發(fā)電業(yè)務(wù)板塊應(yīng)用架構(gòu)煤炭與燃料板塊應(yīng)用架構(gòu)企業(yè)服務(wù)平臺架構(gòu)規(guī)劃基礎(chǔ)設(shè)施架構(gòu)規(guī)劃基礎(chǔ)設(shè)施目標(biāo)體系框架數(shù)據(jù)中心

基礎(chǔ)架構(gòu)安全與管理網(wǎng)絡(luò)及鏈路用戶終端信息安全規(guī)劃信息化管控體系規(guī)劃移動應(yīng)用規(guī)劃云基礎(chǔ)架構(gòu)-XX云服務(wù)器設(shè)計原則快速的可擴展/收縮能力通過服務(wù)器虛擬化按不斷變化的業(yè)務(wù)需求對服務(wù)器實現(xiàn)實時變化，或擴展或收縮，形成高度靈活的系統(tǒng)擴展性，服務(wù)器池的服務(wù)能力不為某一個應(yīng)用獨用，而是可以服務(wù)于所有企業(yè)應(yīng)用。x86和P

series

(AIX)兩個虛擬化平臺按照不同應(yīng)用系統(tǒng)(如exchange郵件服務(wù)器/SAP系統(tǒng)/大型數(shù)據(jù)庫)對服務(wù)等級和處理能力的需求不同，建立2個虛擬化平臺。高可用性通過服務(wù)器虛擬化和HA軟件實現(xiàn)虛擬服務(wù)器在物理服務(wù)器上的實時遷移，提供本地/異地同級/降級容災(zāi)系統(tǒng)，實現(xiàn)應(yīng)用級災(zāi)備，最小化服務(wù)中斷時間。簡化管理監(jiān)控平臺，提高IT人員工作效率通過一個管理平臺實現(xiàn)對各類虛擬化主機管理，以及統(tǒng)一監(jiān)控平臺，提高對各類事故的響應(yīng)速度和服務(wù)質(zhì)量。XX未來X86服務(wù)器的應(yīng)用架構(gòu)XX云存儲設(shè)計原則打破資源壁壘提高利用率通過存儲虛擬化技術(shù)把多個存儲模塊集中管理起來，所有的存儲模塊在一個存儲池中得到統(tǒng)一管理，各應(yīng)用系統(tǒng)可以充分利用存儲資源。經(jīng)濟性與投資保護按各應(yīng)用系統(tǒng)不同的性能需求來構(gòu)建存儲平臺，實現(xiàn)數(shù)據(jù)分層存儲，使資金的產(chǎn)出投入比達到最大值。盡可能保護已有系統(tǒng)投資，充分利用現(xiàn)有設(shè)備資源，易于擴展。安全性和可靠性根據(jù)數(shù)據(jù)生命周期管理的原則，采取本地備份異地存儲和異地數(shù)據(jù)中心遠程同步實現(xiàn)高可用和災(zāi)備。簡化資源管理使用基于開放的集中式設(shè)備管理工具實現(xiàn)資源管理和基于策略的自動化，提高IT管理人員的工作效率。目標(biāo):備份的統(tǒng)一計劃安排，充分利用系統(tǒng)資源，加強管理合理設(shè)置備份周期，實現(xiàn)離線備份數(shù)據(jù)的異地存放，確保數(shù)據(jù)安全備份系統(tǒng)離線磁帶異地存放生產(chǎn)數(shù)據(jù)中心人力資管理系統(tǒng)電子商務(wù)系統(tǒng)資產(chǎn)財務(wù)管理系統(tǒng)其他生產(chǎn)系統(tǒng)共享存儲設(shè)備異地災(zāi)備中心3在利舊的基礎(chǔ)上改造存儲網(wǎng)絡(luò)，提供不同層次的存儲能力，實現(xiàn)冗余4為虛擬化提供最有效的基礎(chǔ)架構(gòu)，實現(xiàn)可共享、易擴展的統(tǒng)一存儲平臺5通過遠程存儲復(fù)制實現(xiàn)異地實時災(zāi)備，實現(xiàn)業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)NASSAN同步/異步數(shù)據(jù)復(fù)制異地生產(chǎn)中心XX未來的存儲目標(biāo)專屬私有云存儲XX未來存儲架構(gòu)廠商1廠商2廠商3輕量云和企業(yè)私有云存儲存儲虛擬化管理廠商1 廠商2廠商3應(yīng)用環(huán)境數(shù)據(jù)同步磁帶備份備份磁帶異地存儲異地災(zāi)備中心虛擬化的存儲卷2打破資源壁壘提高利用率3經(jīng)濟性與投資保護，保護現(xiàn)有系統(tǒng)，實現(xiàn)數(shù)據(jù)分層4安全性和可靠性，遠程復(fù)制和磁帶異地存儲1簡化資源管理和策略生產(chǎn)中心目錄XX集團信息化藍圖架構(gòu)應(yīng)用藍圖架構(gòu)規(guī)劃發(fā)電業(yè)務(wù)板塊應(yīng)用架構(gòu)煤炭與燃料板塊應(yīng)用架構(gòu)企業(yè)服務(wù)平臺架構(gòu)規(guī)劃基礎(chǔ)設(shè)施架構(gòu)規(guī)劃基礎(chǔ)設(shè)施目標(biāo)體系框架數(shù)據(jù)中心基礎(chǔ)架構(gòu)

安全與管理網(wǎng)絡(luò)及鏈路用戶終端信息安全規(guī)劃信息化管控體系規(guī)劃移動應(yīng)用規(guī)劃云安全-風(fēng)險分類要點安全和隱私云計算的安全問題，數(shù)據(jù)保護，運行完整性，脆弱性管理，業(yè)務(wù)持續(xù)，災(zāi)難恢復(fù)和身份管理；隱私是另一個關(guān)鍵問題—服務(wù)收集用戶的數(shù)據(jù)（例如事件日志）為云服務(wù)供應(yīng)部門提供有價值的市場信息,但可能導(dǎo)致誤用和侵犯隱私?？蛻艨梢酝ㄟ^審計評價云服務(wù)供應(yīng)部門的安全和隱私保護，可以對廠商內(nèi)部運行提供部分可視性。由于審計需要深入云計算的細節(jié)，需要提供易用的接口和

API抽象運行細節(jié)，云供應(yīng)部門可能不允許單個企業(yè)的內(nèi)部審計師做審計，但是可以提供某種形式（獨立于云服務(wù)供應(yīng)部門的第三方）的外部審計其架構(gòu)和網(wǎng)絡(luò)。合規(guī)受到合規(guī)要求的企業(yè)需要理解是否和如何利用云服務(wù)可能影響企業(yè)自身的合規(guī)目標(biāo)用戶的數(shù)據(jù)隱私保護和業(yè)務(wù)持續(xù)是兩個合規(guī)的重要要求。大量隱私法律法規(guī)和監(jiān)管要求對數(shù)據(jù)處理和業(yè)務(wù)持續(xù)規(guī)劃有特別的規(guī)定。法律和合同要求企業(yè)必須考慮責(zé)任和知識產(chǎn)權(quán)這兩個法律問題。企業(yè)責(zé)任在云服務(wù)時不是始終能清晰劃分。知識產(chǎn)權(quán)同樣如此。對于某些服務(wù)，知識產(chǎn)權(quán)容易理解—云服務(wù)供應(yīng)部門擁有架構(gòu)和應(yīng)用，企業(yè)用戶擁有自己的數(shù)據(jù)和計算結(jié)果。對于某些服務(wù)，切分不能劃分清楚。在software

mashups或software

components-as-a-service(SAAS)，可能難以描述誰擁有什么和客戶對服務(wù)供應(yīng)部門具有什么權(quán)利。在服務(wù)開始前必須考慮解決責(zé)任和知識產(chǎn)權(quán)問題。其它合同要求包括服務(wù)支持結(jié)束—當(dāng)云服務(wù)供應(yīng)部門-客戶關(guān)系結(jié)束,客戶數(shù)據(jù)和應(yīng)用應(yīng)被打包和交付給客戶,客戶數(shù)據(jù)的其它副本應(yīng)從云服務(wù)供應(yīng)部門的架構(gòu)消除。云服務(wù)供應(yīng)商應(yīng)滿足合理的審計要求。企業(yè)與云服務(wù)供應(yīng)商協(xié)同工作，定義雙方認同的審計要求：披露有用的信息的同時不干擾云服務(wù)供應(yīng)商的架構(gòu)和運行。雖然云計算能交付很多收益，企業(yè)需要具有：令人信服的業(yè)務(wù)驅(qū)動分析和清楚地理解安全，隱私和法律后果，才能轉(zhuǎn)向云計算。云服務(wù)的用戶不應(yīng)承擔(dān)犧牲安全的代價轉(zhuǎn)向云計算，同時不應(yīng)不加懷疑地信任你的云服務(wù)供應(yīng)商可以交付安全的云。首先收集法律法規(guī)要求，可行性評估法律和法規(guī)可能禁止使用云服務(wù)—企業(yè)首先需要做可行行研究，涉及任何認證(例如PCI認證供應(yīng)商，

SAS

70

合規(guī))，地理限制，與多租戶相關(guān)的法規(guī)要求，在研究中盡早讓法律，風(fēng)險合規(guī)人員開展工作。仔細審查你的云供應(yīng)商使用檢查表明確企業(yè)“必須”和“可以談判”需求，不能滿足“必須”的需求的云服務(wù)供應(yīng)商應(yīng)被清除。處理“可以談判”條款與recourse

actions

和財務(wù)補償間的差距。注意云服務(wù)供應(yīng)商經(jīng)常模糊不透明的運行細節(jié)，例如數(shù)據(jù)的位置，日志記錄的事件，復(fù)制方法和架構(gòu)的冗余。服務(wù)水平協(xié)議(SLA)的工作指引和標(biāo)準(zhǔn)與云服務(wù)供應(yīng)商交流與企業(yè)業(yè)務(wù)運行相關(guān)的行業(yè)標(biāo)準(zhǔn)和指引，集成到服務(wù)水平協(xié)議中。要求云服務(wù)供應(yīng)商提供證據(jù)，例如行業(yè)認證，證明其具有滿足相關(guān)標(biāo)準(zhǔn)和指引的能力。需求持續(xù)的鑒證你的云服務(wù)提供商是合格的在合同開始前，審計云服務(wù)供應(yīng)商的架構(gòu)和應(yīng)用；在合同中，階段性進行審計以保證持續(xù)符合要求。使用第三方中立的云評估服務(wù)作為鑒證的更高層次，考慮第三方中立的云評估服務(wù)。當(dāng)企業(yè)外包運維時，可能也外包了安全，意味著企業(yè)自身缺乏足夠的評估云服務(wù)的技能和經(jīng)驗?？紤]能夠滿足企業(yè)需求的獨立的第三方評估服務(wù):1)以網(wǎng)絡(luò)、應(yīng)用掃描和滲透測試方式進行的安全評估；2)性能—負載測試和登錄能力測試；3)可用性和不停機評估。云計算基礎(chǔ)架構(gòu)下安全管理的重要工作目錄XX集團信息化藍圖架構(gòu)應(yīng)用藍圖架構(gòu)規(guī)劃發(fā)電業(yè)務(wù)板塊應(yīng)用架構(gòu)煤炭與燃料板塊應(yīng)用架構(gòu)企業(yè)服務(wù)平臺架構(gòu)規(guī)劃基礎(chǔ)設(shè)施架構(gòu)規(guī)劃基礎(chǔ)設(shè)施目標(biāo)體系框架數(shù)據(jù)中心基礎(chǔ)架構(gòu)安全與管理

網(wǎng)絡(luò)及鏈路

用戶終端信息安全規(guī)劃信息化管控體系規(guī)劃移動應(yīng)用規(guī)劃網(wǎng)絡(luò)與鏈路-網(wǎng)絡(luò)與鏈路的策略分析核心需求核心KPI意義網(wǎng)絡(luò)互通互聯(lián)網(wǎng)絡(luò)帶寬需求網(wǎng)絡(luò)接入冗余網(wǎng)絡(luò)安全需求雙核心雙冗余網(wǎng)絡(luò)高可用性網(wǎng)絡(luò)帶寬需求是一個需要考慮的重要問題,特定服務(wù)的網(wǎng)絡(luò)需要特定的網(wǎng)絡(luò)響應(yīng)需求.采用雙MPLS和SDH專線接入,確保冗余.網(wǎng)絡(luò)安全控制是防數(shù)據(jù)泄密的必備條件之一,對于任何開發(fā)和變革，最好能夠從風(fēng)險的角度進行一下衡量.網(wǎng)絡(luò)雙核心雙冗余架構(gòu)，為保證其性能，采用雙核心進行負載分擔(dān)，當(dāng)其中一個核心交換機出現(xiàn)故障時，數(shù)據(jù)能夠轉(zhuǎn)換到另一臺交換機上，起到冗余備份的作用.符合軍三安全要求高可用性的MPLS

私有網(wǎng)絡(luò)與

SDH的專網(wǎng)實現(xiàn)三數(shù)據(jù)中心互聯(lián)互通的保密性.MPLS的私有網(wǎng)絡(luò)系統(tǒng)架構(gòu)，能夠?qū)崿F(xiàn)按級別需求擴充的高可用性，在安全可靠的前提下支持應(yīng)用在移動終端的網(wǎng)絡(luò)訪問和實現(xiàn)對信息機密性的要求.SDH專有網(wǎng)絡(luò)實現(xiàn)三數(shù)據(jù)中心互聯(lián)互通的保密性，完全符合軍三網(wǎng)絡(luò)架構(gòu)的安全要求和災(zāi)備需求.完全支持移動辦公基于無線網(wǎng)絡(luò)的廣泛使用，任何時間,地點，完全支持移動移動設(shè)備辦公.采用云架構(gòu)的方式，任何時間,地點，完全支持移動移動設(shè)備辦公.支持應(yīng)用級災(zāi)備三數(shù)據(jù)中心相互災(zāi)備模式，靈活滿足不同應(yīng)用級需求及數(shù)據(jù)保護。針對IT現(xiàn)狀和對災(zāi)備的等級要求，可以采用不同的技術(shù)、策略和方案。災(zāi)備整體解決方案適用范圍廣，實現(xiàn)效果好，投資回報率高.支持不同災(zāi)備建設(shè)模式：災(zāi)備自建模式、共享災(zāi)備建設(shè)模式數(shù)據(jù)保護技術(shù)的災(zāi)備方案能夠有效防范各種硬件故障、軟災(zāi)難、自然災(zāi)備及人為破壞，對數(shù)據(jù)和業(yè)務(wù)提供最全面的保護.鏈路投資成本低：直接采用MPLS鏈路作為傳輸鏈路.提供基于網(wǎng)絡(luò)、存儲和數(shù)據(jù)等各個層次的安全解決方案，有效解決災(zāi)備建設(shè)中的數(shù)據(jù)安全問題.支持虛擬化基礎(chǔ)架構(gòu)虛擬化網(wǎng)絡(luò)的分布式服務(wù)存儲與iSCSI存儲區(qū)域網(wǎng)絡(luò)（SAN）整合.虛擬化網(wǎng)路環(huán)境提高了對高性能、高可用性、高彈性的網(wǎng)絡(luò)需求。支持存儲與iSCSI存儲區(qū)域網(wǎng)絡(luò)（SAN）整合，多個平臺可以共享同一存儲，從而極大提高利用率和效率，保護投資.路由器或防火墻SDH

專線網(wǎng)絡(luò)

2號數(shù)據(jù)中心路由器或防火墻路由器或防火墻LAN

SwitchLANSwitchFiber

SwitchSANStorageVM

Application

serversS

A

NNe

t

wor

kFiber

SAN

NetworkLAN

NetworkMPLS

NetworkS

A

NNe

t

wor

kVM

Application

serversVM

ApplicationserversSAN

Network3號數(shù)據(jù)中心1號數(shù)據(jù)中心LANSwitchFiber

SwitchFiber

SwitchSANStorageSANStorageMPLS專線網(wǎng)絡(luò)區(qū)域單位區(qū)域單位MPLS專線網(wǎng)絡(luò)XX集團未來數(shù)據(jù)中心的網(wǎng)絡(luò)連接采用SDH專線網(wǎng)絡(luò)，區(qū)域單位和數(shù)據(jù)中心之間以及區(qū)域單位之間的網(wǎng)絡(luò)連接采用MPLS專線網(wǎng)絡(luò)IPv6網(wǎng)絡(luò)IPv4網(wǎng)絡(luò)路由器v4/v6主機IPv6主機IPv4地址：20.1.2.1IPv6地址：1::5EFE:20.1.2.1IPv4地址：20.1.1.1IPv6地址：1::5EFE:20.1.1.1通過隧道技術(shù)，可將現(xiàn)有的IPV4遷移到IPV6架構(gòu)優(yōu)點解決IPV4地址不夠用的問題。ipv6是128位的，包含巨大的地址數(shù)量，在使用上不會造成IP地址不足的問題。同時讓路由器里面的路由表減小。增強的組播(Multicast)支持以及對視頻流的支持(Flow-control)加入了對自動配置(Auto-configuration)的支持更高的安全性，在使用IPv6網(wǎng)絡(luò)中用戶可以對網(wǎng)絡(luò)層的數(shù)據(jù)進行加密并對

IP報文進行校驗，這極大的增強了網(wǎng)絡(luò)安全.XX未來的IPv4和IPv6的兼容網(wǎng)路目錄XX集團