践行主机现代化 主机上云 技术白皮书 01 顾 问 主 编 编 审 编 写 组 主编单位 编制委员会 马海旭 李亚为 胡玉海 严光兵 蔡常杰 李 曜 田浩希 俞 辉 饶争光 韩 满 毛明强 王新宇 张 宇 徐 强 董冬冬 马俊超 王榕骁 张 江 刘征辉 姜 凯 彭 双 汪子杰 朱仁江 徐 峰 林丽鑫 沈 彬 杨 嘉 李金锋 陈文杰 不仅是企业在激烈的市场竞争中能否快速响应客户多样化需求的关键，也是企业开创增长新赛道的基础。 数十年来，主机系统凭借其强大的计算处理能力和高可靠的体系架构，支撑着众多企业的核心业务。然而， 我们必须坦诚地认识到：主机系统技术体系在应对爆发式业务增长和海量交互时，无法快速赋能业务智能创新， 并且与开放协同的产业生态相悖，主机技术正面临严峻挑战。如何让企业核心业务系统既能延续固有的稳定与 可靠，又能获得云与 AI 的重要战略课题。 近几年，主机现代化成为了打开企业核心业务系统大门的钥匙。它绝非简单的技术平台更替，而是一次深 刻的 业务转型 。其根本目标在于释放核心数据的价值、加速创新应用的交付、重塑极致的客户体验，并最终构 建面向未来的可持续竞争力。 本白皮书系统阐述了我们对主机现代化的深刻洞察与技术探索，希望这份凝聚了我们技术思考与实践经验 的成果，能为广大主机用户提供系统的技术方案与实施路径

五个规定动作 + 新的安全要求（风险评估、安全监测、通报预警、应急 处置、自主可控等） 内容变化 技术（物理、网络、主机、应用、数据） + 管理 技术（物理环境、一个中心三重防护） + 管理 技术要求 等保 1.0 等保 2.0 物理安全 安全物理环境 网络安全 安全通信网络 主机安全 安全区域边界 应用安全 安全计算环境 数据安全 安全管理中心 管理要求 等保 1.0 等保 2.0 用开发平台、云产品（服务）等 P a a S I a a S 安全计算环境 云操作系统、虚拟机监视器、云业务管理系统、 云产品（服务） 虚拟化网络 / 安全设备、虚拟机镜像 云产品（服务）服务器（虚拟机）、宿主机、 终端、运管平台服务器 网络设备、安全设备 配置文件、鉴别信息、系统数据、审计数据、 镜像文件、快照数据、个人信息 安全通信网络 网络架构、物理链路、通信数据 安全区域边界 物理网络边界、虚拟网络边界 自建的专属资源 池 什么是云主机： 从用户角度讲：一台你部署、系统应用或文件存储等功能。放在云上的 服务器， 部署企业应用平台（例如 OA 、交易平台、 CRM 、 ERP 、 开发测试等） 部署企业门户网站 如何使用：订购成功后，可以通过 VNC ， W 看不见的服务器 , 实现用户网站 indows 远程桌面或者 SSH 直接使用。 云主机 电脑主机 （ CPU+ 内存） +

157 页 业务系统可靠性。 （一） 云平台功能要求 1.云平台基础为XX学院应用提供计算、存储、网络、安全等基础资源服务，为应用系统提 供稳定、可靠的运行环境。 2.云主机服务 服务描述：为用户提供的云主机（虚拟机）服务。可根据用户的实际需求，对虚拟机的CPU、 内存、网络带宽、硬盘性能及空间进行定制配置。并通过平台可对虚拟机进行创建、启动、停 止、删除、快照、备份、恢复等。 易用性：支持批量创建操作，同一镜像可以一键创建多台云服务器；创建时自由选择硬盘； 支持Windows和Linux多种镜像。 灵活性：可以自由创建自定义镜像，并由其创建云服务器。 监控：可实现对云服务器的镜像及实例管理，并监控云主机运行状态。 3．云存储服务 将数据通路（数据读或写）和控制通路（元数据）分离，并且基于对象存储设备构建存储 系统，每个对象存储设备具有一定的智能，能够自动管理其上的数据分布。兼顾对象存储同兼 IAAS层：基于OpenStack+kubernetes双引擎架构，本次搭建的XX学院云平台计算资源池、 存储资源池、网络资源池和安全资源池，以及可提供基本的云计算服务。其中，计算资源池可 提供高可用的弹性云主机和裸金属服务，基于分布式存储技术的存储资源池，可提供满足DAS、 NAS和SAN等架构的存储解决方案，全面支持SCSI、FC，iSCSI，NFS、CIFS等存储协议，对外可 提供块存储、文件存储

......................................................................................42 2.4.5.1. 主机管理................................................................................................. ......................................................................................54 2.4.5.7. 主机拓扑管理............................................................................................... 智慧运维平台提供处置知识管理，通过对用户日常故障处置方法的收集，经验积累，自动反 馈到相同故障的处置过程中。 通过系统提供的智能策略机制，将用户对于某些异常分析的人工方式自动化，比如对于主机 高负载原因的排查，一般的操作逻辑是确定主机负载超过风险阈值情况是偶发事件还是一直存在， 然后分析每一次出现高负载的进程是否一致，通过人工智能找到具体的异常进程，关闭该进程或 者卸载相关软件，同时对于该进程的设定预警

项目实施 07 项目运营 √ 成本优势 √ 特色功能 √ 个性需求 √ 自定义任务 √ 功能迭代 √ 场景优化 √ 场景适应 方 案：自研高性能主机及算法，通过视频分析技术，获得多个摄像头监管的多泊位停车入离位事件； 通过增加球机，实现多场景下的违停抓拍。 √ 视频跟踪 √ 抗遮挡干扰 √ 安装灵活 √ 模型压缩 √ 多模型并行 √ 高 自研硬 件 方 案 落地运 营 迭 代 AI 视 频 算法 模型优 化引擎 数据标 注平台 自研场 景算法 方 案介绍 √ 打磨优化 抓拍相机 识别主机 自研相机 自 研 海 康 华为 支持 Onvif 方案介绍 交换机 100Mbps 1000Mbps 支持内网 有线 4G 网桥 △ △ △ 人 云平台 网络 特色功能特点 02 硬件介 绍 03 应用场 景 04 方案特 点 05 软件支 撑 智能主机 智能主机 基本功能：停车分析 + 多媒体 N1( 标准版 ):1 拖 2+ 基本功能 增强功能：隐私保护 + 视频裁 NX ( 旗舰版 ):1 拖 6+ 增强功能 剪

入内网 控制域控、堡垒机、云 平台、单点登录等系统 以点打面 使用弱口令、密码复用、 密码猜测攻击获取权限 攻击核心主机获取重要 系统权限 利用第三方运维、内部 违规员工非法外联入侵 专网 攻击第三方，利用第三 方接入网络攻击目标单 位 搜索多网卡主机、 4A 系 统、网闸等设备纵向渗 透 攻击供应链，挖掘漏洞 或利用已分配权限进入 内网 攻击手机 App 、微信小 程序等移动应用获取权 统、 4A 系统成 为攻击重点目标，大量存在弱口令、口令复用、老旧漏洞问题，一旦被控给网络安全带来致命打击。 八是核心业务系统缺乏重点防御。核心业务系统安全防护基本依赖网络流量层设备，运行依赖的主机基本上是 零防御、零感知状态，攻击方基本发现即可将其控制。 3.防守思路 防守工作面临的现实困境 管理困境 技术困境 部分人员安全意识有待提高 安全专业技能有限 组织协调难度较大 资产暴露、泄露信息不清晰 内 网防护机制，建立 深层次安全防御体 系，增强内网访问 控制 攻防演练 进行模拟攻防演练 （预演） 资产评估服务 网探 D01 （资产探 测） APT 检测系统 网防 G01 （主机防 护） 网哨 Z01 （ APT ） 蜜罐系统 内网哨兵 网盾 K01 （情报） 渗透测试 攻防演练服务 正式演习防护阶段 预测：威胁情报服务 全网威胁情报监测预警 防御：配备 APT

边界防护 入侵防范 访问控制 恶意代码防范 入侵防范 网络设备防护 恶意代码和垃圾邮件防范 安全审计 可信验证 安全管理中心 (一个中心) 系统管理 审计管理 安全管理 集中管控 主机安全 身份鉴别 安全计算环境 （三重防御） 身份鉴别 访问控制 访问控制 安全审计 安全审计 剩余信息保护 入侵防范 入侵防范 恶意代码防范 恶意代码防范 可信验证 资源控制 数据完整性 置加固、应用安全、 数据安全 双因素、PIK/CA（三 级增加） 访问控制 堡垒机、服务器加固 安全审计 集中日志审计、运维 审计、数据库审计 入侵防范 主机入侵检测、主机 补丁管理、网页防篡 改、WEB 应用防护 恶意代码防范 主机防病毒 可信验证 可信计算（可） 数据完整性 —— 数据备份恢复 备份恢复软件 剩余信息保护 —— 个人信息保护 —— 安全管理中心 系统管理 安全统一管控 和安全服务体系 要求和内容，集中管理、统一支撑，是整个安全保障框架的核心建设内容。 (三)安全技术体系： 18 智安网络等级保护安全防御体系方案 落实安全技术相关控制要求，实现物理、网络、主机、应用和数据的所有安 全控制项，通常采用安全产品加以实现，辅助安全技术以增强安全控制能力。 (四)安全服务体系： 1、安全策略： 指导信息系统核心业务信息系统安全设计、建设和维护管理工作的基本依

(路由交换设备) 在客户端形式多样的网络环境中，由于不同客户端支持 的接入认证方式有所不同，有的客户端只能进行 MAC 地址认证(比如打印机终端) ，有的客 户端进行 802.1X 认证，有的用户主机通过 Web 访问进行 Portal 认证。为了灵活适应这种网 络环境的多认证需求，用户汇聚节点 (路由交换设备)应支持多认证的统一部署方式， 使得 用户可以选择任何一种适合的认证机制来进行认证，且只需要通过一种方式的认证即可实 漏洞扫描设备能够通过综合运用多种手段(主机存活探测、智能端口检测等) 全面、快 速、准确的发现被扫描网络中的存活主机，准确识别其属性， 包括主机名称、设备类型、端 口情况、操作系统以及开放的服务等，为进一步脆弱性扫描做好准备。 设备提供探测未知资产功能，针对一个 IP 段进行自动漏洞扫描，自动针对在线的 IP 地 址的主机进行漏洞扫描， 使用 ARP、ICMP、TCP、UDP 等多种协议测试在线主机是否存活， 并 提供在线主机漏洞扫描功能。 漏洞扫描通过对信息网中的数据库、 WEB 以及主机进行扫描与威胁情报、APT 等进 行 联动，可用于发现 XX 网中各类非法远程控制行为，及时发现并阻断该行为。 6 跨网安全访问与交换平台安全方案 在接入网中，由跨网安全访问与交换平台实现数据汇聚节点与用户汇聚节点的安全互联， 实现 XX 用户、 外部用户和网络的安全接入。 3.1 跨网安全访问与交换平台安全建设思路

整体技术体系架构 产品清单 下一代防火墙 数据库审计 负载均衡 感知平台 + （检测探针） 上网行为管理 SSL VPN 信服云眼 / 信服云盾 日志审计系统 漏洞扫描系统 主机杀毒 运维堡垒主机 云平台安全建设拓扑图 法院等级保护 高校等级保护 广播电视等级保护 监狱等级保护 医院等级保护解决方案 医院整体拓扑图 内网终端接入域 核心业务域（三级系统域） 乡镇、社区卫生中心 系统 手麻 检测 探针 负载 均衡 内网运维管理域 安全感知平台 运维堡垒主机 补丁分发系统 日志审计系统 防病毒服务器 漏洞扫描系统 内网前置 网闸 外网前置 机（下一代防火墙）机 业务内网 外网运维管理域 日志审计系统 运维堡垒主机 补丁分发系统 漏洞扫描系统 防病毒服务器 外网核心域 对外服务器域 下一代防火墙 剩余信息保护 于数据库安全 计算服务安全 文件服务安全 主机防病毒 主机安全加固 入侵防范 WEB 应用防护 安全审计 业 务 & 租 户 安 全 安全策略

无数据分类、数据加密脱敏等安全防护 云安全层面 • 缺乏云平台安全、云东西向流量安全防护 某著名企业 \ 分支安全层面 • 针对 OA\ 财务共享 \ 供应链等应用缺乏安全防护，分支接入安 全 主机安全层面 • 安全基线管理、服务器防病毒、电脑主机防入侵层面需加强 安全管理与运营层面 • 缺乏统一的资产、威胁管理、风险管理的平台； • 无集中的日志审计、网络审计，缺乏网络管理体系。 • 安全集中监控、管理层面薄弱；没安全运营中心，可视化展示。 安全域隔离、业务安全边界… 宏观辅助决策，微观有效威胁 失陷业务发现、失陷主机发现、 UEBA 、潜伏威胁黄金眼、主机外发行为检测、勒索检测、挖矿检测、安全事件检测 企业安全战略规划 端点检测响应系统（ EDR Endpoint Detection & Response） VMware 安全加固 数据安全 应用安全 主机安全 DLP 、完整性保护、生命周期保护 Web 安全防护、防篡改、漏洞扫描 安全趋势及需求分析 总体规划框架思路 Contents 具体解决方案设计 4 方案实施路径 5 典型案例 现有企业安全架构 （出口防火墙） 扩展的安全架构部分 （数据中心、无线、某著 名企业互联网、主机安全、 漏扫、数据安全与数据库 审计等） 基础建设 基础架构设 计完善 强化系统 形成防御 - 检测 - 响 应闭环体 系 安 全 大 脑 云 端 安 全 端 点 安 全 边 界