践行深度用云 主机上云 运维现代化核心能力 华为云计算技术有限公司 尚海峰 胡玉海 贡 青 刘征辉 林丽鑫 支新辉 王 飞 徐 俊 郭晓征 耿丽丽 马晓明 毛明强 张志炯 张 毅 王进行 马 韬 石 松 黄征彬 熊洪槐 钱 沛 秦丹涛 张瀚文 编 人 员 责 任 编 辑 （排名不分先后） 去三四十年，金融核心系统主要采用集中式主机架构进行建设。 随着金融业务数字化转型需求的不断深化，云计算技术的持续演 进，金融机构普遍采用了云原生相关技术进行业务改造，更有不少头部 大行作为先行者，率先将主机承载的核心系统业务也迁移上云，加速了 金融行业数智化、自主创新进程。 目前，大部分国有银行和股份制银行已经完成了从一般类业务上云到核 务中断外，业务的劣化，如卡顿、报错等，也会造成最终用户的不满和 投诉。这就对承载核心业务的云平台提出了更高的稳定性、可靠性要 求。 除了稳定的产品外，强大的运维体系是保障云平台稳定性最直接、最有 效的手段。在主机核心业务逐步上云后，如何加强运维全链路监控能 力，快速定位、定界和解决问题，如何变被动运维为主动故障预防从而 大幅减少潜在故障与运维投入，如何将应用运维与平台运维进行有效协 同从而保障系统性业

五个规定动作 + 新的安全要求（风险评估、安全监测、通报预警、应急 处置、自主可控等） 内容变化 技术（物理、网络、主机、应用、数据） + 管理 技术（物理环境、一个中心三重防护） + 管理 技术要求 等保 1.0 等保 2.0 物理安全 安全物理环境 网络安全 安全通信网络 主机安全 安全区域边界 应用安全 安全计算环境 数据安全 安全管理中心 管理要求 等保 1.0 等保 2.0 用开发平台、云产品（服务）等 P a a S I a a S 安全计算环境 云操作系统、虚拟机监视器、云业务管理系统、 云产品（服务） 虚拟化网络 / 安全设备、虚拟机镜像 云产品（服务）服务器（虚拟机）、宿主机、 终端、运管平台服务器 网络设备、安全设备 配置文件、鉴别信息、系统数据、审计数据、 镜像文件、快照数据、个人信息 安全通信网络 网络架构、物理链路、通信数据 安全区域边界 物理网络边界、虚拟网络边界 自建的专属资源 池 什么是云主机： 从用户角度讲：一台你部署、系统应用或文件存储等功能。放在云上的 服务器， 部署企业应用平台（例如 OA 、交易平台、 CRM 、 ERP 、 开发测试等） 部署企业门户网站 如何使用：订购成功后，可以通过 VNC ， W 看不见的服务器 , 实现用户网站 indows 远程桌面或者 SSH 直接使用。 云主机 电脑主机 （ CPU+ 内存） +

......................................................................................42 2.4.5.1. 主机管理................................................................................................. ......................................................................................54 2.4.5.7. 主机拓扑管理............................................................................................... 智慧运维平台提供处置知识管理，通过对用户日常故障处置方法的收集，经验积累，自动反 馈到相同故障的处置过程中。 通过系统提供的智能策略机制，将用户对于某些异常分析的人工方式自动化，比如对于主机 高负载原因的排查，一般的操作逻辑是确定主机负载超过风险阈值情况是偶发事件还是一直存在， 然后分析每一次出现高负载的进程是否一致，通过人工智能找到具体的异常进程，关闭该进程或 者卸载相关软件，同时对于该进程的设定预警

机机房前端综合监控系统 在机房前端监控系统中，IP 摄像机通过以太网接入视频处理单 元，其他子系统通过 4-20mA 模拟量输入、开关量输入、 RS- 485/232 串口、以太网接入动环主机。视频处理单元和动环主机接 收子系统上传的视音频及动环、报警信息，并进行处理、上传，工 作人员可通过客户端向子系统发送一系列的控制指令。 4.4 视频监控子系统 机房摄像机是整个综合监控系统的视频信号源，主要负责对机 视频监控进行机房具体信息的直观了解，避免因准备不足而导致行 动盲目、低效，不能对报警进行及时有效的处理。 4.4.1 监控点分布 机房一般分为主机房、辅助区、支持区、行政管理区等几部分， 部分规模面积较小的机房，只有主机房和面积很小的辅助区。辅助 区的面积宜为主机房面积的 0.2～1 倍。面积大于 100 m2的主机房， 安全出口一般不少于两个。 机房均为封闭环境，且部分机房没有设计窗户，尤其夜间容易光 线不足，虽有补 时的监控效果，所以以下室内监控选型我们均推荐使用带红外功能 的摄像机。另外有高清需求的，也可选择高清摄像机。  主机房是主要用于信息处理、存储、交换和传输设备的安装 和运行的建筑空间，包括服务器机房、网络机房、存储机房 等功能区域，是我们的主要监控区域。对于主机房，我们选 择球机实现大范围的监控需要，通过云台控制可以监看机房 具体细节信息。同时根据机房重要性以及甲方对监控标准的

......................................................................................37 2.3.6.1. 主机管理................................................................................................37 智慧运维平台提供处置知识管理，通过对用户日常故障处置方法的收集，经验积累，自动反 馈到相同故障的处置过程中。 通过系统提供的智能策略机制，将用户对于某些异常分析的人工方式自动化，比如对于主机 高负载原因的排查，一般的操作逻辑是确定主机负载超过风险阈值情况是偶发事件还是一直存在， 然后分析每一次出现高负载的进程是否一致，通过人工智能找到具体的异常进程，关闭该进程或 者卸载相关软件，同时对于该进程的设定预警 智慧运维平台建设方案 智慧运维平台拓扑管理不仅是，拓扑结构的展现方式，更是用户监控的智能帮手；针对于业 务承载的主机，系统同样提供了系统拓扑，不仅提供全局状态监控界面，同时也讲拓扑图作为全 局分析工具，实现对于管理对象增长趋势的全域分析，包含对全域设备的 CPU 业务应用情况的分 析，整体智能分析业务上一段时

ORCHESTRATION OTHER SIEMs OTHER DATA LAKES 3rd PARTIES INCONSISTENT APIs 漏洞扫描 安全 Web 网关 上网行为管理 网络流量分析 主机加固 端点安全 IDS/IPS 防火墙 高级威胁防护 邮件安全网关 数据防泄漏 整合所有安全产品，统一快速的调度 DATA LAKES, SIEMs THREAT PLATFORMS & ANALYTICS ORCHESTRATION OTHER SIEMs OTHER DATA LAKES 3rd PARTIES APIs 漏洞扫描 安全 Web 网关 上网行为管理 网络流量分析 主机加固 端点安全 CASK 平 台 IDS/IPS 防火墙 高级威胁防护 邮件安全网关 数据防泄漏 CASK 的工作方式 自动执行动作 行为阻断 策略应用 启用查杀 告警通知 合规部门 消息推送和订 阅 历史数据 CASK 在 安全运维中心（ SOC ） 框架中的位置 各安全产品 漏洞 扫描 网关 代理 流量 分析 高级 威胁 邮件 网关 数据 防泄漏 主机 加固 端点 安全 防火墙 数据存储 威肋分析 通知告警 联动动作 确定的行为 待定的行为 事件驱动架 构 安全运维人员互动 确定的场景事件 待定的事件 事件 代理 事件分类账

第三级以上系统每年一次 测评结果的变化  60 分以上基本符合  75 分以上基本符合 等级保护控制层面的变化  安全控制层面划分上有较大变化 , 从传统 IT 防护变为体系化防护。 物理安全 网络安全 主机安全 应用安全 数据安全 安全制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 1.0 2.0 安全物理环境 安全通信网络 安全区域边界 安全计算环境 安全管理中心 安全管理制度 安全管理机构 安全审计： 网络中所有的设备、操作系统等都应提供审计功能， 记录用户行为和重要安全事件。 入侵防范： 最小组件安装、检测入侵行为、非使用端口关闭、 管理终端权限、发现已知漏洞。 5 恶意代码防范： 采用主机 EDR 及时识别入侵和病毒行为 , 并将其有效 阻断。 数据完整性与保密性： 采用 VPN 对数据传输过程进行加密，使用 HTTPS 进行加密； 采用数据加密技术对信息和数据进行加密。 6 7 三级业务 应用 应用 应用 其他业务 互联网 / 内网 等保二 级套餐 等保三 级套餐 天池安全管理平台 用户自定 义组件 堡垒机 Db 审计 日志审计 防篡改 主机安全 防病毒 WEB 扫描 主机扫描 数据库扫描 等保自 测评 虚拟网络 虚拟存储 等保 2.0 新要求项：新型网络攻击行为分析 核心业务区 应用服务 终端 DMZ 区域 数据中心 网 络 边 界

自动贴近实际环境 异常提示真实有效 主动学习 智能 智能—网络拓扑 生成基线 主动学习 智能 智能—网络拓扑 智能—主机拓扑 主动学习 智能 智能—主机拓扑 亮点—主机硬件 主动学习 智能 亮点—主机硬件 亮点—主机进程 主动学习 智能 主动学习 亮点—主机进程 亮点—数据库 智能 主动学习 智能—数据库 智能—虚拟化 智能 主动学习 智能—虚拟化 智能—存储 智能 奠

194 10.2.6 无线联网型光电感烟火灾探测报警器.............................................. 195 10.2.7 智能火灾报警通讯主机...................................................................... 196 第 11 章 后勤业务可视化子系统 ... 持 模拟与 数字视频矩阵切换功能，支持解码 、大屏控制 、图像拼接、融合、漫游 功能；能 与模拟矩阵系统无缝结合，组成功能强大的视频监控系统。 模块机架式 采用插拔式模块化、机架式设计，由主机箱 、高速总线背板 、主控板 、智 能 温控风扇、冗余电源、视音频输入输出业务板等组成，用户可以根据实际功 能要 求灵活配置，也能满足未来功能扩展升级和系统改造的需要。 支持业务子板的热插拔， 在连续写的环境下，实现随机读的快速处理 • 实现高可靠性 、高稳定性，支持 7*24 小时不间断工作 • 实现存储架构同时满足视频数据存储空间需求 • 实现多台主机和存储系统连接，并且确保无单点故障 • 实现系统的可管理，管理方式简单 、易操作 • 实现自动恢复功能，在断电后能够迅速重新启动 • 实现监控中心核心业务的连续可用性和数据保护，

、人 工智能和统计学等多种学科与技术的交叉，同时必须考虑多种系统平台与工具的集成， 因此系统的技术实现必须遵循以下要求：  开放性 为保证系统的开放性，系统构建中要尽量使用主流的硬件平台（主机、网络设备 等）和软件平台，遵循业界开放式标准，支持系统建设中涉及的各种网络协议、硬件 接口、数据接口等，为未来的系统扩展奠定基础。 同时为了保证数据仓库的开放性，在数据模型建立时，数据存储中应充分考虑对  安全性 系统安全管理主要包括网络安全管理、主机和操作系统安全管理、数据库安全管 理、数据访问权限管理等组成。 网络安全管理通过采用路由器、防火墙、通信服务器等多种硬件设施来保障网络 安全，防止系统受到非法入侵，保证数据的安全性，同时设置网络密码保护，确保通 过 Web 页面访问系统时数据传输的安全性。 主机和操作系统安全管理通过设置主机密码、操作系统级别的不同用户、口令， 确保系统 能保证系统的稳定 运行。以下我们将从硬件、软件、功能等方面讨论系统的逻辑架构。 2.2.1 硬件架构 2.2.1.1 架构图及说明 服务器架构图如下所示： 说明： 1、 图中绿色圆框中各主机是为从系统长远建设所需要并行性而设计的，在系统建设初期，由 于系统压力较小，从投资效益而言，也可先以单机形式考虑； 2、 系统建设初期，报表查询服务器、数据挖掘服务器、WEB 服务器、管理监控服务器等也