湖北武汉信创安全信创改造解决方案

1.1.  建设目标

1、构建自主可控、安全可靠的业务承载平台

基于国产芯片、国产服务器为底座，采用自主可控的操作系统和软件堆栈，利用软件定义的方式实现资源的整合，构建自主可控的云计算平台，打造下一代数据中心，一方面，通过虚拟化技术提升基础架构资源利用率，另一方面，采用分布式存储实现集群存储资源共享，通过统一运维管理平台释放人力物力，进一步聚焦关注信息化和业务结合的创新，承载关键业务系统，并提供稳定、可靠和安全的运行保障，为业务快速发展保驾护航。

2、构建自主可控、安全实用的办公运行环境

根据中办与上级单位要求，办公系统应当实现“全面替换”，因此，办公类的基础设施应当进行全面替换。其中，最为重要的即PC的替换，当前，武汉铁路公安局网络分为公安综合信息网与互联网，两张网络之间物理隔离，每人配置两台PC，因此，自主可控的替代以及自主可控的“真替真用”是十分有必要的。

3、构建自主可控，双模拉齐的网络安全设施

办公网络除业务系统和办公pc之外，还需开展网络设施的国产化改造，网络基础设施通常包括交换机、路由器与网络安全等设备。交换机等网络设备，通常需要保证产品的性能与接口数量相同。对于网络安全设备，例如：防火墙、态势感知平台、主机防病毒软件、日志审计等，除应当保证产品性能外，还需保证安全产品的功能与非信创版本相同。

1.2.   建设原则

信创替代秉承分级分类的原则进行设计，需遵循五个优先：

1、按照覆盖面更广的原则，选择业务系统尽量覆盖更全的业务模块，覆盖到综合办公软件和终端、网信基础设施、业务支撑系统、生产制造系统等；

2、业务影响小的优先替代，优先选择并发量小的业务系统，再选择并发高的业务系统；

3、技术TD可行性高的优先替代，优先选择业内有改造最佳实践的业务系统，再选择其他；

4、按照循序渐进的原则，优先选择相对边缘的业务系统再选择核心业务系统；

5、按照业务关联性分析原则，优先改造业务相互关联性较小的业务，再选择业务关联性大的业务。

2.   信创改造思路

整体信创改造工作可分别按照以下步骤逐步开展：

1、进行资产盘点，形成资产台账(服务器/操作系统/终端/数据库/软件应用)，优先选择综合办公类，其次经营管理，最后探索生产运营业务。按开发测试/日常办公，逐步向生产/设计业务按计划替换；

2、进行国产CPU选型，确定技术路线；

3、根据业务系统迁移/新建/改造可行性和影响面，评估和制定业务系统替换计划；

4-1、基础设施平台选型，建设小规模第二资源池，与现有资源池统一管理，平滑迁移过渡；

4-2、采购信创PC，外设或云桌面，存在x86业务时可考虑桌面云技术实现真替真用；

4-3、定位成熟的网络安全产品和解决方案进行国产化替换；

5、按测试-办公-管理-生产的替换优先级，逐步进行基础硬件（CPU、服务器等）替换和基础软件（操作系统、中间件、数据库等）替换。

3.    系统调研评估

3.1.   系统调研分析

全面梳理武汉铁路公安局信息化系统中的IT基础设施、基础软件、业务应用、网络及安全设备现状，并对各个业务部门分岗位、分等级进行调研访谈，收集定性和定量资料，最终对IT基础设施、基础软件、业务应用、网络及安全设备等设施形成资产汇总。具体调研信息如下：

1、应用系统：分领域调研现有办公、管理和生产类应用系统技术栈及运行环境等情况，包含系统架构、开发语言、操作系统、中间件、数据库、承载服务器芯片、重要等级、业务场景、系统厂商等信息；

2、终端应用：分产品线、分岗位调研梳理现网使用业务应用的终端使用现状，包含应用产品信息、使用人数、使用范围等信息；

3、服务器：调研现网服务器整体分布情况、服务器技术架构情况（芯片、操作系统）、部署应用情况、设备采购时间、以及应用系统占用资源情况；

4、终端：调研现网在线终端情况，可按照单位网络或组织架构进行梳理，摸清终端上运行操作系统情况，采购时间以及访问业务类型（B/S或C/S）；

5、网络及安全：调研现网网络架构和安全建设情况，包含具体网络拓扑、部署设备信息、设备采购时间、设备国产化情况。

3.2.    系统改造评估

系统改造评估可从政策和技术可行性分别分析，按照政策要求，各单位应在2023年2023年基本完成办公系统TD，2025年全面替代；经营管理类业务2025年TD要完成50%，并针对能替换的生产类应用进行TD。

再结合系统调研结果，对自研应用进行适配测试确定改造可行性，外购应用通过评估软件开发商 ISV 改造方案确定改造可行性，调研评估在应用的信创改造过程中，可能对办公业务、管理业务、生产业务产生的影响，可按照“6R”替代方法论针对每种业务系统来确定应用的替换思路：

重新建设：对于在信创环境下有平替版本的软件，进行重新部署。

重构平台：对于需要基于平台改造的业务，进行信创平台的重构。

重新购置：对于有信创改造方案的ISV应用，进行重新购买。

重构应用：对于自研代码软件，从代码底层进行全面的应用重构。

保留：对于无法改造或改造难度特别大的业务系统保留。

淘汰：对于维保到期、软件迭代、老旧设备进行淘汰处理。

4.     技术路线分析

该部分建议充分参考公安部铁路公安局的技术路线选择，以便于后续部统建业务的平滑改造。

4.1.   国产CPU路线选择

CPU芯片技术路线的选择是信创TD工作中最为关键的一个环节，不同的选择将直接影响到后续的业务系统改造、系统迁移和设备替换工作。故单位需结合自身业务现状和中长期TD规划，制定平滑过渡的国产化芯片路线。

目前我国国产处理器芯片的主要参与者有：龙芯、兆芯、飞腾 、海光、申威和华为等，它们主要通过获取ARM指令集授权、x86内核授权、自研指令集架构等三类方式进行CPU研发，其中海光、兆芯基于x86架构，华为的麒麟、中国长城的飞腾基于ARM架构，龙芯和申威早期曾分别采用MIPS兼容的指令集和类Alpha指令集，如今已分别采用自主研发的指令集LoongArch和SW-64。对国产CPU的选择主要从生态、性能、供货和市场容量进行分析和选择。

CPU芯片（PC）分析选择：从不同芯片的应用领域、市场案例、生态构建、自主可控程度来看，SM场景PC终端基本使用的都是龙芯CPU，非SM场景，以龙芯CPU和飞腾为主。

CPU芯片（服务器）分析选择：从不同芯片的应用领域、市场案例、生态构建、自主可控程度来看，SM场景服务器基本以龙芯为主，非涉密场景考虑中长期内X86业务和国产化业务共存的客观事实，建议采取多技术路线并行的方式，使用海光+鲲鹏/飞腾的模式，一方面满足存量业务快速迁移，另一方面进行新增业务国产化生态部署以及存量业务的逐步改造。

4.2.   国产操作系统选择

操作系统是最核心的基础软件，其向下衔接硬件层的物理设备，向上为应用软件提供运行环境，并提供必需的人机交互机制，确保计算机各项资源的高效使用。目前国内主流操作系统以麒麟、统信和open Euler为主。

麒麟操作系统可为核心业务系统提供稳定性和可靠性保障，服务体系较为完备。同时在SM网络PC侧和服务器侧系统应用较多。

统信对于办公应用的软件做了丰富适配，且桌面体验比较流畅，主要应用在非SM场景。

在欧拉社区有丰富的国内开源插件和组件，为信创开发测试提供便利。

4.3.   基础设施路线选择

目前在信创TD过程中，对于业务运行环境的基础设施技术路线一般有三种选择，主要分析对比如下：

1、信创服务器+信创集中式存储/利旧现网存储（磁盘阵列）

架构：采购信创目录设备部署相应操作系统，外接集中式存储；

优势：可按需采购目录内设备进行落地，架构基本和以前没太大变化；

劣势：（1）信创服务器资源利用率底，可以资源进一步缩减；（2）前期信创CPU路线不明确时需采购多架构芯片的服务器，不同服务器间管理割裂，无法按需进行业务部署和统一管理；（3）国产化环境下不同芯片、服务器、存储、操作系统、中间件和应用软件的生态兼容性有一定差异，服务器架构资源无法灵活变更或扩展；（4）存储方面，若利旧现网存储，需考虑现网存储和信创服务器之间的兼容性，同时后续存储设备性能会成为瓶颈，也无法扩容信创存储到一个集群；（5）新购信创存储设备，需考虑与信创服务器设备之间兼容性以及国产化设备的读写能力是否满足业务读写要求，目前国产化存储市场案例和应用较少。

2、信创服务器虚拟化+信创集中式存储/利旧现网存储（磁盘阵列）

架构：在信创服务器上部署国产服务器虚拟化软件，实现计算能力虚拟化，再外接存储设备。

优势：灵活性高，资源弹性好，初次投入成本相较超融合低。

劣势：（1）若利旧现网存储，需考虑现网存储和信创服务器之间的兼容性，同时后续存储设备性能会成为瓶颈，也无法扩容信创存储到一个集群；（2）新购信创存储设备，需考虑与信创服务器设备之间兼容性以及国产化设备的读写能力是否满足业务读写要求，目前国产化存储市场案例和应用较少；（3）若要使用该技术架构构建信创云，至少需部署3-5台管理节点，和3-5台计算节点，该场景下成本最高。

3、信创超融合+国产化分布式存储（可选）

架构：在信创服务器上部署国产超融合软件，实现计算虚拟化、存储虚拟化、网络虚拟化和安全虚拟化，若有大容量的冷数据（平时用不多），可按需扩展分布式存储设备。

优势：（1）灵活性高、可实现统一管理，支持灵活扩容；（2）使用信创服务器内置磁盘构建虚拟存储，无需单独采购外置存储设备，后续信创存储技术成熟后扩容灵活，基本不影响。（3）轻量化建云，最少3节点就能构建信创云。

劣势：初期投入成本略高。

4、技术路线选择

考虑到短期内多技术路线并行、国产化存储设备的生态和性能、后期可扩展性以及对资源的灵活使用的需求，本设计建议采用信创超融合构建信创云平台。

4.4.   国产终端路线选择

目前针对国产终端的应用主要有三种技术路线选择：

1、信创PC模式

模式：按照前几期目录采购信创PC设备。

优势：模式简单，较为标准化。

劣势：（1）目录后续不再更新，目录内设备面临断档；（2）目录内设备基本为国芯和国产操作系统，在业务未完成国产化改造的前提下，国产终端兼容性会存在一些挑战，大部分X86架构的业务都难以在终端上访问；（3）信创终端目前性能和稳定性相较传统PC有所差距，日常运维压力相对较大；（4）PC数据本地存储，公安网内敏感警务数据需注意外泄风险。

2、国产化桌面云模式

模式：部署国产云桌面一体机，并给每个用户1台国产化瘦终端，用户用显示器+瘦终端接入到后端桌面进行办公，可按需给用户创建windows或国产操作系统环境。

优势：（1）可按需使用不同操作系统，满足国产和非国产化业务访问需求；（2）管理运维上，可通过管理平台实现统一运维，简化运维工作；（3）敏感警务数据不落地，数据集中存储在后端服务器，并可设置桌面管控策略，大幅提升终端数据安全性。

劣势：（1）目前不在目录内，没有相关品类，属于国产芯片和国产操作系统。

3、信创PC+国产化应用虚拟化模式

模式：在新采购或已采购的信创PC基础上，采购应用虚拟化一体机（国产化）+软件授权，可把单位未改造业务进行应用虚拟化，然后在信创PC上安装上对应应用程序，用户使用时仅需在信创PC侧点击对应图标即可访问到未改造的业务系统。

优势：（1）信创PC上看不到windows系统环境，合规性更强；（2）相比桌面云更加轻量化，利旧信创PC能力较好；（3）能实现信创PC真替真用。

劣势：投入成本较高。

4、路线总结分析

考虑到短期内业务改造问题，建议针对涉及大量X86业务访问的终端，采取云桌面或信创PC+应用虚拟化方案，在开展国产化替换过程中确保业务正常开展。

4.5.       网络安全路线选择

1、目录设备模式

模式：采购目录内已有的安全设备型号进行现网设备替换。

优势：（1）操作简单，按目录买设备即可。

劣势：（1）目录后续将不再更新，前期入围的设备存在无法迭代问题，前期入围大多厂商设备的版本都相对较老，后续设备更新计划和进度存在挑战；（2）目录内设备大多相比常规设备有些功能阉割，安全效果相对较低；（3）国产化环境下涌现出新的安全漏洞和攻击手法，入围产品基本不再更新，很多规则库能力没有与时俱进；（4）有很多近几年新涌现的新型安全技术未在名录内，安全整体效果保障不足，如安全态势感知、零信任、云安全等。

2、国产化设备模式

模式：采购国产芯片、国产操作系统的安全设备，后续国家会进行单独检测，不再卡目录。

优势：（1）国产化的软件版本和硬件优化可持续迭代，能力会持续升级；（2）可灵活组合业内安全设备，满足不同场景安全需求，比如零信任场景、安全运营中心场景和云安全场景等。

劣势：短期内国家单独的检测发证事宜还未实施。

3、路线总结分析

考虑到后续发展的趋势和安全效果保障，采用国产化设备的模式较好，22年国家已经发文后续主抓国芯国操，只要送检通过的设备都会发证，厂商可按需送检，且安全性更有保障。