Ð t É r ¶ l - cs2c.com.cncs2c.com.cn/datacache/upload/download/anquanyun_tb4seh.pdf ·...
TRANSCRIPT
︱︱
安全云计算
中标麒麟安全云操作系统
中标软件有限公司
广州广州市天河北路898号信源大厦1604室(510898)电话: 020-38182525/6/7/8传真: 020-38182529
商务合作联系人李 滨:13600098120文 杰:13925006627
上海上海市番禺路1028号数娱大厦10层(200030)电话:021-51098866传真:021-51062866
商务合作联系人方向明:13817873266王翡瑜:13901971101
北京北京市北四环西路9号银谷大厦20层(100190)电话: 010-51659955传真: 010-62800607
商务合作联系人向 燕:13601269550李 波:13911603922
技术合作联系人姚东华:13911075343
中标麒麟安全云操作系统
打造安全可靠的云计算基础设施平台
云计算基础设施平台的建设涉及到资源虚拟化、虚拟桌面协议、分布
式文件系统以及平台级的统一管理等诸多环节,需要操作系统级别的平
台软件与之相适应。中标麒麟安全云操作系统是国内首款基于安全操作
系统技术与虚拟化技术开发的、用于构建和管理云计算基础设施平台的
产品,可满足大中型企业以及政府、国防、电力、电信、教育、医疗等
行业用户快速构建安全、可靠、可控的云计算基础环境的要求。
通过将安全机制与虚拟化服务器、云管理平台、分布式文件系统等
技术相结合,中标麒麟安全云操作系统在实现云计算基础设施平台快速
构建的同时,为用户提供简洁易用的管理和监控功能,该系统消除了云
计算环境下的安全隐患,保障了云计算基础设施平台的安全可靠。
中标麒麟安全云操作系统主要技术特征
虚拟机全生命周期管理
虚拟机快照管理
多因子认证机制
三权分立机制
基于角色的访问控制机制
安全审计机制
数据加密存储与传输
配置信息的备份与恢复
基于主机负载均衡的动态虚拟机迁移机制
安全可靠的虚拟桌面协议
智能多维度软硬件监控
目 录 Contents
化云为雨的困惑
云操作系统:云计算落地的捷径
云计算的安全问题不容忽视
中标麒麟安全云操作系统设计原则
先进性
安全性
易操作性
可扩展性
安全云计算——中标麒麟安全云操作系统
中标麒麟安全云操作系统与传统操作系统的对比
中标麒麟安全云操作系统三大组件
全方位的安全服务体系
智能多维度软硬件监控
关键技术点
安全机制
虚拟机服务
资源管理
监控与统计
虚拟桌面
创新点
通用的多因子认证框架
基于组的用户管理、资源分配和权限控制
安全可靠的虚拟桌面通讯协议
秒级的虚拟机创建
资质与应用案例
中标麒麟安全云操作系统技术参数
P1
P2
P3
P6
P10
P11
P13
1
化云为雨的困惑
如何快速高效地部署云计算平台?如何便捷有效地管理各项资源?如何保障体系的整体安全性?
这都是我们落实云计算战略需要解决的重要问题,安全云操作系统也许是应对上述问题的重要答案。
云操作系统:云计算落地的捷径
部署云计算平台需要通过云操作系统来快速实现虚拟化平台的搭建;需要利用虚拟化服务对IT资
源实行统筹规划,打破应用之间的界限,形成资源共享,实现应用与硬件解耦,使硬件资源可以动态
地在应用系统间调拨,提高资源利用率;需要通过构建统一的云管理平台实现对资源的监控与管理。
提升资源利用效率
日益复杂的信息系统与业务应用往往带来大量新增的物理设备,导致IT成本与管理难度
不断上升。而据统计,传统环境下大部分服务器资源的平均利用率都低于10%,因此采用云
操作系统对于充分利用现有设备资源,实现业务系统的简化管理具有重要意义。
提高应用服务可靠性
在传统架构下,各类应用服务都存在单点故障的风险,需要增加新硬件来提升应用服务
的高可用性;而在云计算环境下,通过云操作系统的资源池化与动态调配,可在不增加或少
量增加硬件设备的前提下提高应用服务的可靠性。
有效应对繁杂的系统管理
通过采用云操作系统可加强系统的集中管控,降低管理成本和维护成本,形成标准化的
服务与管理流程。
云计算的安全问题不容忽视
随着云计算的发展,与云计算有关的安全事件也不断出现,对云计算技术的安全漏洞以及数据
监管风险的担忧已经成为制约云计算发展的难题。云计算带来的信息隐患:
谷歌邮箱爆发大规模的用户数据泄漏事件,大约有15万Gmail用户的所有邮件和聊天记录被删
除,部分用户账户被重置。
索尼旗下Playstation网站数据服务器遭遇黑客入侵,窃取了索尼PS3和音乐、动画云服务网
络Qriocity用户登录的个人信息,包括姓名、住址、生日、登录名和密码等,受影响用户多达
7700万人,涉及57个国家和地区。
可见,如果云计算基础设施平台的安全性不能得到保障,将会给用户数据以及与数据相关的人
带来安全和隐私风险。在更高层面,长期以来关系国计民生的政府、国防、电力、电信、教育、医
疗等诸多行业的信息系统,从底层设备到上层应用主要依托国外品牌的软硬件构建,对国家信息安
全构成的威胁不言而喻。因此通过国产软硬件厂商配套整合,形成面向行业的安全云解决方案,对
实现国家信息基础设施的自主可控和安全可靠具有重要意义。
中标麒麟安全云操作系统与配套服务,从云计算基础设施平台的构建与管理、安全增强等重要
方面入手,为云计算的落地提供一体化的解决方案。
安全云操作系统 技术白皮书
2
中标麒麟安全云操作系统设计原则
体现云时代特征,满足市场需求,实现安全保障与便捷部署的融合,是中标麒麟安全云操作系
统的立足点,其产品设计遵照以下原则:
先进性
中标麒麟安全云操作系统采用先进的虚拟化技术,能够充分利用硬件资源,具备应用资源整合
优势;通过使用安全可靠的虚拟桌面协议,优化网络带宽占用,并支持跨平台的虚拟桌面连接。
安全性
中标麒麟安全云操作系统为用户提供身份认证、访问控制、日志审计、应用隔离、数据加密等
各种安全机制,保障云计算基础设施平台的安全。
易操作性
中标麒麟安全云操作系统的管理平台组件采用B/S架构设计,浏览器兼容性好,界面简洁清晰、
命名直观、简单易用。
可扩展性
中标麒麟安全云操作系统采用J2EE、ReST等开放技术标准和接口,采用模块化设计思路,整体
耦合度低,可扩展性好,便于进行功能增强和二次开发,同时体系结构的优势带来强大的横向扩展
能力。
3
安全云计算——中标麒麟安全云操作系统
中标麒麟安全云操作系统与传统操作系统的对比
中标麒麟安全云操作系统是传统单机操作系统面向互联网应用、云计算模式的适应性扩展。作
为云计算环境下的操作系统与管理平台,它与传统操作系统存在着明显的差异。下图是两者在不同
层面上的差异对比:
中标麒麟安全云操作系统三大组件
核心管理组件:中标麒麟安全云管理平台
提供云计算基础设施资源(如CPU、内存、网络、映像、虚拟机等)的抽象聚合、管理、
调度、监控、统计等功能,具备用户管理、组管理、权限控制、日志审计等安全机制。
核心服务组件:中标麒麟安全云虚拟化服务器
采用x86硬件虚拟化技术,提供虚拟机监控器,能够对虚拟机运行状态进行监控和管
理;硬件兼容性好、功能稳定、易于动态扩展。
中标麒麟安全云操作系统与传统单机操作系统对比图
单机硬件设备
处理器管理
进程管理
文件系统
内存管理
进程间通信
设备管理
网络管理
用户管理
系统调用
硬件抽象层
基础运行库
图形 显示 协议
桌面环境
图形构件库
基本UI库
系统管理工具
应用服务
集成开发环境
应用程序
C 库
传统单机操作系统安全机制
传统单机操作系统框架
网络环境下服务器硬件设备
云操作系统
计算资源管理
云操作系统虚拟化系统调用
云操作系统硬件抽象层
云操作系统基础运行库
虚拟桌面显示协议
桌面环境
图形构件库
网络通信协议
云操作系统 系统管理工具
云操作系统 应用服务
云操作系统应用
云OS
下的
应用程序
云操作系统虚拟化资源编程接口库
云操作系统安全机制
中标麒麟安全云操作系统框架
云操作系统
虚拟机管理
云操作系统
映像管理
云操作系统
系统间通信
分布式
文件系统
云操作系统
虚拟设备管理
云操作系统
虚拟网络管理
云操作系统
网络用户管理
安全云操作系统 技术白皮书
4
核心应用组件:中标麒麟安全云虚拟桌面套件
基于开源的虚拟桌面协议进行优化开发,集成USB共享模块,结合中标麒麟安全云管理
平台,为用户提供了一套界面简洁易用、认证机制安全可靠的虚拟桌面解决方案。
硬件基础设施
中标麒麟安全云虚拟化服务器
中标麒麟安全云操系统
中标麒麟安全云管理平台
中标麒麟安全云虚拟桌面套件
中标麒麟安全云虚拟桌面客户端 中标麒麟安全云USB共享模块
… VM VM VM VM VM VM
中标麒麟安全云操作系统安全服务体系
全方位的安全服务体系
全方位的安全服务体系
中标麒麟安全云操作系统自底向上为用户提供三层安全服务体系。其中,最下层由中
标麒麟安全操作系统提供三权分立、身份鉴别、双因子认证、进程级最小特权、网络安全防
护、安全审计、安全可靠的虚拟机监控器等重要底层安全服务;中间层由安全云管理平台在
云认证、授权和访问控制以及云安全管理两个方面为用户提供全面的安全服务;最上层,应
用程序能够通过标准Web服务接口,利用下层提供的各种安全服务,实现用户与权限管理、
数据安全传输、应用安全隔离、恶意代码防范等安全机制。
基础设施资源池
中标麒麟安全操作系统底层支撑
中标麒麟安全云操作系统—
安全服务体系
中标麒麟安全云管理平台
三权分立 双因子认证 进程最小特权 强制访问控制
安全审计
网络安全防护
数据存储与加密 安全可靠VMM VM安全隔离
云认证、授权与访问控制
多因子认证
层状用户管理
基于角色的访问控制机制
基于组的资源管理
云安全管理
配置信息备份与恢复 平台及VM密码管理
日志与审计管理 云存储的数据加密
面向应用的安全支撑服务
数据安全传输
用户与权限管理
数据备份 恢复
应用安全隔离
恶意代码防范
安全配置 与管理
中标麒麟安全云操作系统三大组件
5
安全可靠的云到端传输
中标麒麟安全云操作系统通过对开源虚拟桌面协议进行优化和安全增强,为用户提供一
套界面简洁易用、安全可靠的虚拟桌面运行环境,保证云到端的数据传输安全。
智能多维度软硬件监控
中标麒麟安全云操作系统可实现对虚拟化服务器主机及其上运行的虚拟机的实时监控与管理。
监控系统预置对多种常见服务的支持,同时支持用户自定义服务的种类和参数,支持对所监控主
机、虚拟机的分组过滤。
VM
VM
VM
VM
VM
VM
VM
VM
VM
安全可靠的云到端传输
安全云操作系统 技术白皮书
6
关键技术点
安全机制
特权分离与多因子认证机制
在云计算环境中,由于所属角色的不同,不同用户拥有不同的管理权限。依据最小特权
原则,系统通过设置不同的角色进行管理权限的分离,以防止管理权限的滥用。用户登录管理
平台必须进行认证,确保用户被系统正确标识并授予正确的角色。此外,为防止用户身份冒用
而造成非授权访问,云管理平台在用户名口令认证机制外,同时提供多因子身份认证机制。
基于组的层状用户管理
中标麒麟安全云操作系统实现了与用户组织结构相对应的层状用户管理,即实现云计算
平台中用户层级结构与现实中组织结构的高度对应。对于大型机构而言,这无疑可以大幅降
低在实施虚拟化基础设施时的用户管理难度,提高工作效率。
基于组角色和子角色的权限管理
为 方 便 用 户 权 限 管 理 , 中 标 麒 麟 安 全 云 管 理 平 台 采 用 基 于 角 色 的 访 问 控 制 机 制
(RBAC),通过引入角色权限映射、用户角色映射机制,将用户与权限的直接绑定分离,在
细化权限管理粒度的同时,最大限度保持权限管理的灵活性。
为充分发挥“基于组
的层状用户管理”在用户管
理上的优势,中标麒麟安全
云管理平台对传统的角色权
限管理机制进行了调整,实
现二元的主从角色权限管理
机制。中标麒麟安全云管理
平台拥有两类角色:组角色
和子角色;其中组角色与用
户组是一一对应的关系,子
角色则是组角色的补充。中
标麒麟安全云管理平台中用
户、组以及角色之间的层次
关系如右图:
组、用户、角色层次关系图
超级管理员角色
子角色 子角色
系统管理员角色
子角色 子角色 子角色
安全管理员角色
子角色
审计管理员角色 用户角色
子角色
部门领导角色
子部门领导角色 子部门领导角色
组长角色
7
日志与审计
中标麒麟安全云操作系统提供完善的日志记录和审计功能,使对系统中的重要安全事件
和用户行为的审计追踪成为可能。通过审计功能,系统管理员可以全面管理全部用户的活动
情况,并通过追踪审计,及时发现非授权访问、恶意操作等行为。
配置信息备份恢复管理
用户、角色、组等配置信息以及主机、虚拟机等资源的状态信息的管理与维护对于系统
的稳定可靠运行极为重要。为此,中标麒麟安全云管理平台为用户提供配置信息备份和恢复
功能,主要包括:用户信息(基本信息、认证配置信息、密码检查信息)、角色信息、用户
组信息和审计设置信息等。配置信息既可以备份到云管理平台所运行的服务器上(只保留最
新的一次配置信息),也可以保存到进行操作的本地机器上。与之对应,配置信息的恢复也
支持从服务器恢复和从本地备份文件恢复。中标麒麟安全云管理平台会记录每一次备份/恢复
操作的详细信息。
为防止配置信息在保存和传输的过程中意外损坏,云管理平台在保存配置信息的同时会
保存其完整性哈希值。完整性哈希值在恢复时可用于校验配置信息,确保配置信息被正确导
入。对于无法通过完整性验证的配置信息,云管理平台将不予采用。
虚拟机服务
虚拟机的全生命周期管理
中标麒麟安全云操作系统实现了虚拟机的全生命周期管理,包括创建、配置、部署、销
毁、在线迁移、离线迁移、开关机及重启、休眠、挂起、恢复、重建等虚拟机操作,用户可
以对虚拟机进行更灵活、更细粒度的控制。
虚拟机状态监控
中标麒麟安全云操作系统的虚拟机状态管理包括虚拟机状态监控和虚拟机足迹管理:
虚拟机状态监控指中标麒麟安全云管理平台每隔一段时间会自动获取每个虚拟机当前
运行状态以及虚拟机所使用的CPU及内存大小,其时间间隔可由管理员自行设定;
虚拟机足迹管理记录了虚拟机部署在某一台主机上的开始时间与结束时间,并记录主
机上的变化及导致主机变化的原因。
虚拟机快照管理
中标麒麟安全云操作系统实现了完备的虚拟机快照管理功能,包括虚拟机快照的创建、
恢复和删除;支持基于用户的快照配额管理;支持创建在线快照和离线快照。其中在线快照
是指虚拟机在运行状态下创建的状态,包括了内存快照和磁盘快照;离线快照是指虚拟机处
于关机状态下创建的快照,只包括磁盘快照。
虚拟机动态迁移与主机负载均衡
负载均衡模块会定期查询各主机的负载,根据用户配置的相应策略筛选出负载较重的主
机、确定需要被迁移出去的虚拟机以及低负载的目标主机,并调用虚拟机在线迁移功能将虚
拟机迁移到目标主机上去。整个迁移过程可实现应用的不间断服务。
安全云操作系统 技术白皮书
8
资源管理
有效整合物理资源并进行统一管理是中标麒麟安全云操作系统的基础功能。物理资源可以分为
三类:主机资源、映像资源和网络资源。在中标麒麟安全云管理平台中采用对应的三个模块对这三
种物理资源加以管理。
主机资源
主机指安装了中标麒麟安全云虚拟化服务器,并且连接到中标麒麟安全云管理平台中的
物理机。主机是中标麒麟安全云管理平台之上所运行的虚拟机的载体,这些主机为虚拟机实
际提供了运行所需的CPU、内存等各种硬件资源。
映像资源
映像指用作虚拟机磁盘的映像文件。映像是创建虚拟机时不可或缺的对象,虚拟机的存
储设备(虚拟磁盘)就是基于映像而创建的。
网络资源
中标麒麟安全云操作系统中的物理主机需要配置网桥以实现虚拟机对网络资源的访问。
虚拟机使用的网络资源以虚拟网络的形式出现,虚拟网络为虚拟机提供接入网络所需的IP地
址、网桥名称、网关地址、DNS服务器地址等各种参数。系统中可同时创建多个虚拟网络。
监控与统计
实时监控
中标麒麟安全云操作系统提供完善的实时监控功能,可为用户实时展现当前系统内运行
主机、虚拟机的状态信息(包括性能状态和服务状态),其具体功能和特点包括:
支持监控管理平台、虚拟化服务器和虚拟机(支持Windows和Linux各版本)的实时
状态信息,支持虚拟机内部的实时服务信息实时监控与查看;
支持用户自定义虚拟机内部所要监控的服务类型和参数。
网络拓扑
中标麒麟安全云操作系统的网络拓扑模块可以用图形化的方式,为用户展示清晰的网络
(系统)拓扑结构,其具体功能和特点如下:
提供美观清晰的网络拓扑图,并支持交互式的展示方式;
支持多数据中心网络拓扑图的统一展示;
提供虚拟化服务器和虚拟机间的网状关系图。
统计报表
中标麒麟安全云管理平台提供完善的统计报表功能,系统可根据用户自定义参数为用户
提供性能和服务历史数据的图形化报表,其具体功能和特点如下:
支持用户自定义统计参数,包括选择监控对象类型、服务类型、时间跨度等;
支持多种报表类型;
采用自主研发的数据存储格式,支持在海量数据的情况下快速生成报表;
报表使用图片格式而不是通常的Flash方式进行展示和存储,方便用户二次使用。
9
虚拟桌面
安全云虚拟桌面客户端
安全云虚拟桌面客户端是连接用户和虚拟机之间通道。通过虚拟桌面协议与中标麒麟安
全云管理平台紧密集成,提供以下功能:
深度优化协议,显著降低视频播放应用的网络带宽占用率;
使用中标麒麟安全云操作系统的用户信息进行统一认证,阻止对虚拟机的非授权访问;
提供详细的虚拟机信息列表,便于用户管理虚拟机桌面环境;
支持Windows、Linux等多种操作系统平台;
支持桌面分辨率智能调整和准确快速的鼠标键盘响应。
USB设备共享模块
USB设备共享模块用于实现虚拟机与主机的USB口共享,采用客户端/服务器(C/S)架
构设计,服务器端运行在主机中,客户端运行在虚拟机中。该模块具备如下特点:
支持USB2.0全速传输、兼容主流USB优盘、USB硬盘和USB打印机设备;
支持Windows、Linux桌面主机与Windows、Linux虚拟桌面之间的USB端口共享;
服务器端对用户透明,高效稳定;客户端安装方便,简单实用。
安全云操作系统 技术白皮书
10
创新点
通用的多因子认证框架
中标麒麟安全云操作系统提供通用的多因子认证框架,该框架易于扩展以支持各种认证设
备;提供全局统一的认证设置页面,支持粒度到每个用户的认证设置;提供基于X.509数字证书的
USBkey认证模块和完善的证书管理功能。
基于组的用户管理、资源分配和权限控制
中标麒麟安全云操作系统基于组将用户管理、资源分配和权限控制融合统一。首先,为企业提
供层状用户管理,方便管理的同时,提高工作效率;其次,借助用户组将资源进行隔离分配,方便
资源细粒度控制;再次,中标麒麟安全云管理平台对传统角色权限管理机制进行增强,提出一种二
元的主从权限角色管理机制。
安全可靠的虚拟桌面通讯协议
服务器端与客户端之间的通讯数据通过传输层安全协议(TLS)加密,能够有效预防对虚拟桌面
通讯的窃听、干扰和消息伪造,确保用户的键盘输入和虚拟桌面显示数据的保密性,实现安全可控
的虚拟桌面通讯。
秒级的虚拟机创建
中标麒麟安全云操作系统中的映像管理模板采用了创新的子母盘技术,创建虚拟机时只需复制
一个只有几百KB的增量子盘,从而使一个新虚拟机从创建到运行只需要几秒钟的时间,解决了虚拟
机创建速度慢的问题,并降低了创建虚拟机时对网络和磁盘带宽的占用。
11
资质与应用案例
资质
ISO9001质量管理体系认证
云海产业联盟 推荐云计算解决方案
CMMI 5级认证 第十五届中国国际软件博览会 创新奖
应用案例
华中地区某省政府电子政务办公云解决方案
用户需求
解决政府日常办公自动化中面临的办公设备参差不齐、管理维护困难、重要数据不易管
理等问题。
解决方案
虚拟桌面办公云咨询服务、虚拟桌面数据中心、虚拟桌面客户端。
业务优势
简化的部署流程、低成本的运营模式。
政府电子政务办公云网络拓扑架构
安全云操作系统 技术白皮书
12
国防领域某研究院云计算解决方案
用户需求
随着业务的不断增加,用户现有IT架构在未来将很难支撑起用户终端业务发展对灵活
性、可扩展性方面的需求。在确保安全性的前提下,实现终端用户对日常办公、仿真实验
等硬件资源进行共享与动态调整,以便满足数据的安全性,资源分配的平衡灵活性、可控制
性,提高系统维护的工作效率等方面要求。
解决方案
利用中标麒麟安全云操作系统构造安全虚拟桌面环境,实现以下目标:
系统的集中部署与应用数据的集中管控;
快速提供日常办公和仿真实验的环境;
动态分配计算资源、存储资源、软件资源等,并进行集中管理和按需分配服务;
实现办公、科研和实验模式的转变,以应对现行保密管理、设备器材管理机制不完善
带来的风险。
1. 负责接入虚拟桌面的账户链接2. 管理授权信息及其他组件3. 虚拟桌面管理
现有接入终端
瘦客户端
桌面云管理平台
虚拟桌面池
国防领域某研究院办公云拓扑图
13
类别 技术参数
资源聚合
支持计算虚拟化,将主机CPU资源集中量化管理和分配
支持主机内存资源集中管理、调度和分配
支持网络IP资源聚合、统一管理分配
VM磁盘映像支持内置式和集中式两种共享存储方式,同时支持使用主机本地存储资源的独立存储方式
桌面虚拟化
采用中标麒麟自主研发虚拟桌面客户端软件,支持x86、龙芯等多种体系架构,支持Windows、Linux多种操作系统平台
支持Windows、Linux多操作系统平台,支持x86、x86_64、龙芯等多处理器体系架构
优化虚拟桌面协议,支持720p高清视频播放
提供USB共享模块,支持VM对虚拟桌面主机上USB设备的访问
提供串口共享模块,支持VM对虚拟桌面主机上串口设备的访问
NeoView使用与管理平台统一的用户认证机制
管理平台
提供基于J2EE架构设计,采用B/S架构的Web界面图形管理平台,浏览器兼容好
提供完善的组管理、角色管理和用户管理功能,支持树状企业内部组织架构、授权机制灵活,支持用户配额机制
提供主机管理功能(支持主机添加、查看、修改、删除等操作),支持主机分组,支持对主机进行开关机操作
提供映像模板管理功能(允许添加、查看、修改、删除映像模板),支持映像模板分组,支持从现有VM生成VM映像模板;
提供虚拟实例管理功能(支持创建、删除、开关机、部署、在线迁移、离线迁移等操作),支持在VM创建后改变其配置信息(vCPU个数、内存使用量、磁盘映像个数、网络等),支持批量创建和删除虚拟实例
提供全局统一的实时监控机制,可监控管理平台、虚拟化服务器和VM的运行状态,包括CPU、内存、网络等资源的使用情况态,系统关键服务的运行状态等
提供统计分析功能,可对管理平台、虚拟化服务器和VM一段时间的资源使用、关键服务状态等信息进行统计分析
提供系统告警机制和负载均衡机制,允许通过设置告警阀值来报告主机运行状态,并进行动态的VM迁移
提供关于全部主机及虚拟机的一体化网络拓扑图形显示界面
提供软件下载门户,允许用户通过管理平台统一下载使用相关软件
提供快速启动导航栏,让用户通过导航栏的快捷访问图标迅速进入相应管理界面
虚拟化服务器
具有安全可靠的国产化一体化光盘设计,精细化裁剪,只保留支持虚拟化服务所必需软件包,在最大程度减轻系统负载提升性能的同时,消除安装不必要软件带来的脆弱性和安全隐患
采用基于SSH RSA的认证机制,保证管理平台和虚拟化服务器之间管理命令传输的安全
强制实施SELinux策略,保证系统安全可靠
提供配置管理工具,允许设置时区、键盘语言布局、网络IP、SElinux状态等,支持对虚拟化服务器主机及上面运行的VM的开启、关闭操作等
提供本地控制台服务,支持基于SSH的远程访问
中标麒麟安全云操作系统技术参数
安全云操作系统 技术白皮书
14
类别 技术参数
安全特性
提供管理平台用户的全局身份标识机制
提供管理平台用户的多因子身份认证机制
提供基于USBkey的管理平台接入终端认证机制
提供基于角色的管理平台用户授权和访问控制机制
提供基于组的资源控制机制
提供基于主机的虚拟机完全隔离控制
提供管理平台的日志记录和安全审计功能
提供基于快照的虚拟机备份恢复机制
提供基于主机的管理平台高可用保护机制
提供管理平台用户登录密码强度控制
提供虚拟机内用户密码重置机制
提供管理平台用户配置信息的备份恢复机制
性能指标
每个主机的vCPU最大值512个、每个虚拟机的vCPU最大值64个
每个主机最大内存2T/64T
每个虚拟机的最大内存64G,支持内存过量分配、支持页面共享
客户操作系统支持大多数x86操作系统
安装特性
管理平台支持图形化安装,符合Windows用户使用习惯,配置简单、部署快速
虚拟化服务器提供无人值守快速安装和定制安装两种模式,既便于大规模快速部署也适用于用户定制优化
支持多种文件系统类型,如EXT3、EXT4、Reiser FS等,同时支持逻辑卷(LVM2)和软件RAID
软硬件兼容性
支持IBM、HP、Dell、浪潮、联想等厂商的主流服务器产品
客户操作系统(GuestOS)支持Windows xp、Windows7、Windows 2003 Server、Windows 2008 Server、中标麒麟桌面操作系统6、中标麒麟服务器操作系统5、中标麒麟服务器操作系统6等主流操作系统
安全云操作系统 技术白皮书
16
︱︱
安全云计算
中标麒麟安全云操作系统
中标软件有限公司
广州广州市天河北路898号信源大厦1604室(510898)电话: 020-38182525/6/7/8传真: 020-38182529
商务合作联系人李 滨:13600098120文 杰:13925006627
上海上海市番禺路1028号数娱大厦10层(200030)电话:021-51098866传真:021-51062866
商务合作联系人方向明:13817873266王翡瑜:13901971101
北京北京市北四环西路9号银谷大厦20层(100190)电话: 010-51659955传真: 010-62800607
商务合作联系人向 燕:13601269550李 波:13911603922
技术合作联系人姚东华:13911075343