来源:“鑫智奖”第四届金融数据智能优秀解决方案评选
获奖单位:湖南麒麟信安科技股份有限公司
荣获奖项:运维创新优秀解决方案
一、解决方案简介
麒麟信安“三V一体”融合虚拟化金融信创云解决方案是围绕金融信创产业发展要求和用户需求,运用自身在自主操作系统和云计算领域的深厚积累,以云计算为技术架构,致力于整合鲲鹏、飞腾、龙芯等多款自主CPU计算平台,聚焦在云上构建异构算力集群,实现软件和硬件、云和端的全面自主化落地,面向金融用户提供统一、可集中管理控制“桌面虚拟化、服务器虚拟化和应用虚拟化”融合虚拟化方案。
该方案围绕金融信创自主创新应用需求,为用户终端系统自主化演进路线提供多种选择,有效衔接自主化前、后两个阶段的桌面使用;为用户的应用系统软件迁移上云,提供有效的技术保障;为在用户的全自主计算机直接使用windows应用软件提供技术实现,解决了金融信创推广过程中所面临应用软件迁移、海量外设再利用等问题。
二、应用场景痛点简介
在金融信创领域,国产自主创新正在紧锣密鼓地推进,取得了长足进步。在党政信创基础推动下,基础办公领域已通过国产PC(国产CPU+国产操作系统)开展桌面级办公应用。但金融、能源等行业安全级别要求更高、业务系统更繁多、场景应用更复杂,这对于信创应用提出了更高的要求,最终目标是完成桌面、应用等全方位的信息应用创新建设,本阶段距离目标还有很大的差距,当前金融信创领域主要存在如下几个方面的问题:
1.办公PC桌面环境复杂,人员与设备分散,管理运维难度大;使用国产操作系统与应用软件之后,管理维护难度进一步加大。
2.传统业务应用都是基于Windows或Linux等开发,国产PC暂时无法访问存量的应用和软件,存量应用和软件国产化平台迁移需要一定的时间和工作量。
3.现有大量外设无国产操作系统及国产CPU下驱动,导致大量外设无法使用。
4.数据存留在本地,缺乏统一管理,安全性低。
5.业务系统因自身框架不同、运行所依托的服务不同等各种复杂因素导致后台烟囱林立,无法实现统一化管理。
6.为解决存量应用的使用性问题,传统的应用模式只能通过在每个用户终端部署两台PC(一台国产、一台X86)才能满足人员使用需求,两台PC模式不仅造成人员数据隔离,还加大了信创项目建设的整体投入。
三、解决方案亮点介绍
麒麟信安“三V一体”融合虚拟化信创云解决方案基于KVM虚拟化框架,后端构建异构云服务,向用户按需交付所需操作系统环境,可以利用现有的信创计算机或云终端连接到后台云服务资源,在信创计算机上以虚拟机的方式自主使用,操作体验上与使用本地完整的PC主机以及运行在独立服务器上的业务系统体验完全保持一致。
系统设计上全面采用国产自主创新系统作为系统组成部分,服务器、终端、虚拟机全面支持国产软硬件设备。服务器及终端均可以采用龙芯、飞腾、鲲鹏、海光、兆芯等国产CPU芯片整机异构融合部署。麒麟信安“三V一体”融合虚拟化金融信创云解决方案集“桌面虚拟化、服务器虚拟化和应用虚拟化”三种虚拟化技术于一体,真正意义上实现了一云多能,能够完全适应不同阶段信创用户对桌面、业务等不同需求,为信创落地推广提供基础运行平台方案。
基础架构:通过鲲鹏、飞腾、龙芯、兆芯、海光等不同指令集架构CPU的服务器构建异构统一资源池。
云管平台:通过底层KVM虚拟化模块实现物理硬件资源池化,负责计算资源池、存储资源池、网络资源池的统一管理、按需分配部署、资源动态调度:(a)整合计算资源:物理机和虚拟机等计算资源;(b)整合存储资源:分布式存储、集中式存储等存储资源;(c)整合网络资源:物理IP地址与VLAN的规划和管理等。前端通过单一控制台对虚拟化资源进行综合管理,对外提供服务器虚拟化、桌面虚拟化、应用虚拟化的三类虚拟化模块功能。
接入终端:使用信创终端或云终端,在终端上安装麒麟信安云客户端程序,用户通过该客户端启动连接后端发布的虚拟机镜像,保持和传统计算机一致的使用方式。
1、安全防护能力更强
(1)安全身份认证机制
系统支持普通用户名和密码、AD、LDAP、Ukey等认证方式。
支持基于令牌的强身份认证,如数字证书身份认证系统等;支持指纹KEY,并可结合用户已有业务系统进行单点登录。
(2)底层架构安全
麒麟信安云基于麒麟信安公司自主研发的麒麟信安操作系统的平台,是完全信息系统创新的操作系统,减少了潜在的信息安全威胁。
所有用户连接到服务器或集群都要经过授权,并要求用户进行身份验证,认证通过后才能获取到可访问的虚拟机,系统支持使用PAM认证/授权(可插拔认证模块(PAM)的设施,提供所有身份验证,授权)。
(3)虚拟层安全性
虚拟化层安全性—— 采用的是经过安全加固的KVM虚拟机架构,可有效防止对虚拟化层的入侵;
虚拟机入侵安全性——系统生成的虚拟机被虚拟化层和安全内核保护,外部进程不可能破坏甚至访问虚拟机内的任何内容,包括内存页数据、用户数据等;
无特权执行—— 麒麟信安云上的虚拟机是作为无特权用户来运行的,消除了来自虚拟机内部对底层系统的任何损害;
特权隔离——每个虚拟机都是在授权的用户ID下运行,防止其他用户对虚拟机文件(镜像数据、用户数据等)有任何影响。
(4)数据存储安全性
镜像数据以及个人私有数据文件全部被重新封装特定格式保存在存储中,只有在用户登录系统时服务端才将用户私有数据进行解析,系统管理员也不能访问,有效避免因服务端失控导致的用户数据集中失泄密问题发生。
同时兼容第三方加密存储设备,可通过基于国家密码标准算法的企业级内核加密文件系统技术对数据进行安全加固处理。
(5)显示协议安全性
客户端协议采用128位密钥加密,经由Diffie-Hellman 密钥交换协议;
客户端协议首先发送数据作为帧缓存,在任何时间一个攻击者只能重现用户当前所见到的屏幕内容;
用户访问管理控制台,HTTPS提供安全认证和加密;
(6)外设安全控制
麒麟信安云支持USB穿透,用户虚拟机内使用U盘、光驱等外部USB设备,都是由用户接入端通过网络将接入端上识别的设备重定向到虚拟机内,保证用户在云桌面内使用外设与在PC主机上的使用方式一致。同时,为了提高系统的安全性,系统支持在重定向层进行设备白名单过滤,实现未经授权的设备禁止重定向到用户桌面,从而达到对外部设备的管理功能。
(7)传输加密保护
麒麟信安云所采用的传输协议采用加密措施。客户端和服务器通过使用128位SSL协议加密,在应用层通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的安全性。用户连接虚拟桌面过程中也同样采用传输链路加密保护,并可通过策略控制.
(8)应用安全性
虚拟桌面的动态实例可防止恶意代码,虚拟机内的应用在用户文档区域之外不能保存。
支持其他认证方式进入虚拟机环境(例如使用Active Directory、LDAP以及Ukey等),实现用户级别安全性。
2、兼容适配更强
(1)芯片兼容性
麒麟信安云可兼容飞腾、龙芯、兆芯、鲲鹏、海光以及X86等CPU架构的服务器、客户端(云终端、PC机、一体机、笔记本、触控一体机等)
(2)国产操作系统兼容性
麒麟信安云可兼容中标麒麟操作系统、银河麒麟操作系统、麒麟信安操作系统、统信UOS操作系统、普华操作系统等,并操作系统下运行的办公软件、电子公文系统、流版签软件及控件、音视频软件。
(3)Windows操作系统兼容性
麒麟信安云可兼容主流windows系列桌面操作,如WinXP、Win7、Win10等32位、64位操作系统,同时可通过虚拟出来的windows系统全面兼容windows下的应用软件及办公系统、办公插件以及B/S、C/S架构的软件。
(4)安全软件兼容
可兼容主机监控及审计系统、移动存储介质管理系统、打印复印及刻录管理系统、保密检查系统、防病毒系统等。
(5)外设兼容性
兼容常用的USBkey、打印机、扫描仪、摄像头、高拍仪等外设设备,并可根据用户需要进行外设适配。
(6)网络兼容性
云桌面系统能够与现有网络结构兼容,无需改动现有网络,不影响网络中已运行的各种应用。
3、性能效率更高
(1)标准硬件服务器下的桌面虚拟化计算性能
飞腾2000+,单颗CPU可承载12个完整的虚拟机。(单用户虚拟机4vCPU)
鲲鹏920,单颗CPU可承载14个完整的虚拟机。(单用户虚拟机4vCPU)
海光5280,单颗CPU可承载14个完整的虚拟机。(单用户虚拟机4vCPU)
Intel Xeon 6226R,单颗CPU可承载16个完整的虚拟机。(单用户虚拟机4vCPU)
(2)标准硬件服务器下的服务器虚拟化计算性能
飞腾2000+,单颗CPU可承载5个完整的虚拟机。(单用户虚拟机8vCPU)
鲲鹏920,单颗CPU可承载6个完整的虚拟机。(单用户虚拟机8vCPU)
海光5280,单颗CPU可承载6个完整的虚拟机。(单用户虚拟机8vCPU)
Intel Xeon 6226R,单颗CPU可承载7个完整的虚拟机。(单用户虚拟机8vCPU)
四、金融行业客户名单
中国人寿、长沙银行、贵州农信、中国人民银行某支行等。
五、客户评价
长沙银行信息中心:
为满足我行开发、测试及办公使用需求,计划对原有开发测试场地PC系统进行云化处理,将场地所有PC的操作系统从分散的前端转到后端运行,以便进行集中资源发放及回收管理,同时给使用者带来与场地无关的便利性,维护简单性。
我行选择麒麟信安“三V一体”融合虚拟化金融信创云解决方案,在湖南首推国产云研发使用模式,实现桌面、业务、应用的全面迁移上云,强化安全管理,减少重复投资建设,降低信息化改造迁移上云成本。
更多金融科技案例和金融数据智能优秀解决方案,请登录数字金融创新知识服务平台-金科创新社官网案例库、选型库查看。