前言 “数字化”是当今社会最先进和最具穿透力的生产力，近十年可谓是在气势磅礴的发展。十四五时期，中国的高质量发展，就需要建立在数字产业化和产业数字化基础上，通过推动数字服务、数字贸易集群化发展，推动智慧城市建设，最终提高中国城市整体运行效率和经济活力。随着全球 IT 生态格局的演变，迫使中国必须要建立基于安全的 IT 底层架构和标准，形成全新的开放生态，以保障中国经济数字化转型平稳 健康发展。 信创产业，即信息技术应用创新产业，信创产业发展的核心就在于通过行业应用拉动构建国产化信息技术软硬件底层架构体系和全周期生态体系，解决核心技术关键环节“卡脖子”的问题，为中国未来发展奠定坚实的数字基础。 本白皮书将从政产学研用多个角度对我国信创产业的行业趋势、中国移动信创落地与解决方案进行梳理，总结信创产业发展所面临的核心问题，提出相关策略建议，希望能为信创领域从业者、研究者，以及感兴趣的读者提供有益的参考与启示。 本书编写组指 导 单 位 中国移动通信集团有限公司政企事业部 编 写 单 位 中移系统集成有 限 公司 主要编写人员 牟笛 参编人员 郭玉光 袁肖 马林 CATALOG 02 愿景内涵 03 整体架构 01 行业趋势 生态合作 05 04 应用场景 06 典型案例 目录 行业趋势 01 1.1.1 信创政策与发展阶段 信创不单是全球信息安全事件频发、中西摩擦加剧的伴生概念，更是我国 IT 供应链寻求产业升级的实现手段。早在 20 世纪 80 年代，我国政府对 IT 底层基础软硬件的自主创新就提出了相关要求， 但由于信息基础软硬件的关键技术及标准被国外 IT 巨头垄断，诸多系统性风险与安全隐患无力解决。自 2018 年开始，在“华为、中兴事件”催化下，信创进入快速推广期。今年，“十四五”纲要提出加强原创性科技攻关、提高高端芯片、操作系统、人工智能算法等关键领域研发突破与迭代应用，并将增强信创供应链安全保障能力列为重点工作。未来，中国 IT 产业的基础硬件、软件、应用软件、信息安全等诸多领域将迎来新一轮的增长曲线。 1.1 政策导向 1.1.1.1 技术推进 1983 年，国家高技术研究发展计划，即“ 863”计划启动，打响中 国自主创新第一枪。 2006年，国家中长期科学和技术发展规划纲要颁布，将“核高基”（核心电子器件、高端通用芯片及基础软件产品）列为 16 个重大科技项目之一，标志着信创的起步。 2010 年，国务院对党政机关、关键信息基础设施运营者云服务商资质评估提出要求，信创标准由此初步确定。 1.1.1.2 政策推进 2014 年，工信部发布国家集成电路产业发展推进纲要，提出打造“芯片 -软件 -整机 -系统 -信息服务”的产业链要求； 2016 年，国务院发布国家信息化发展战略纲要，提出从根本上改变核心关键技术受制于人，逐步形成安全可控信息技术产业体系 ，大幅提高电子政务应用和信息惠民水平等要求。 2018 年，为摆脱上游核心技术受制于人的现状，我国将信创行业纳入国家战略，提出“ 2+8”发展体系。 1.1.1.3 政策文件 （ 1） 国家高技术研究发展计划（ 863 计划） （ 2） 中华人民共和国计算机信息系统安全保护条例 （ 3） 计算机信息系统安全专用产品检测和销售许可证管理办法 （ 4） 关于加强信息网络安全检测产品销售和使用管理的通知 （ 5） 鼓励软件产业和集成电路产业发展的若干政策“ 18 号”文件 （ 6） 国家信息化领导小组关于加强信息安全保障工作的意见 27 号文件 （ 7） 我国信息产业拥有自主知识产权的关键技术和重要产品目录 （ 8） 信息安全等级保护管理办法 （ 9） 信息安全技术服务器安全技术要求 （ 10） 中华人民共和国科学技术进步法 （ 11） 关于信息安全产品实施政府采购的通知 （ 12） 中华人民共和国保守国家秘密法 （ 13） 进一步鼓励软件产业和集成电路产业发展的若干政策 （ 14） 关于加强政党机关网站安全管理的通知 （ 15） 关于加强电信和互联网行业网络安全建设的指导意见 （ 16） 关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见 （ 17） 中华人民共和国国家安全法 （ 18） 国家信息化发展战略纲要 （ 19） 网络安全法 （ 20） 国家网络空间安全战略 （ 21） 十三五国家信息化规划 （ 22） 网络产品和服务安全审查办法 （ 23） 国家政务信息化项目建设管理办法 （ 24） 关于推进国家技术创新中心建设的总体方案（暂行） （ 25） 网络安全审查办法 （ 26） 关于新时期促进集成电路产业和软件产业高质量发展若干政策的通知 （ 27） 关于扩大战略性新兴产业投资培育壮大新增长点增长级的指导意见 1.2.1 党政行业 党政方面， 2014 年由“两办”牵头组织，启动了“党政机关电子公文系统信创应用试点一期工程”， 2017 年正式启动“党政机关电子公文系统信创应用试点二期工程”，通过芯片到IT 基础软硬件产品的研发升级以解决兼容适配问题。 2019 年底完成二期工程验收，提交了“党政工程信创三年建设规划”。 2020 年进入党政系统全面替代阶段。根据文件要求， 2020 年 -2022年分别按照 30%、 80%、 100%的累计进度，开展党政系统 IT 基础软硬件设备 TD 及电子公文 /OA办公系统迁移适配工作。 1.2 行业发展 1.2.2 其他行业 “ 2+8”发展体系里面八大领域中的金融领域于 2018 年底由银监会、人民银行部署全国范围国产化替代工作已启动，电信、能源、交通、水利、军工、公共服 务、电子政务等领域近年也逐步开展了试点工作。 愿景内涵 02 在信创领域，中国移动致力于成为生态赋能者，作为三大电信运营商之一，中国移动从通用网络的搭建，云系统的构建，物联网应用开发，系统集成等全领域着手，提升信创赋能能力，筛选了优质合作伙伴，组成信创生态联盟，为信创产业的市场化、产业化，打下良好基础。目前中国移动成立了中国移动生态实验室。 2021 年 6 月，中国移动全国首家信创示范营业厅正式在浙江省金华市投入运营，这是国内电信运营商中首家实现了通信业务办理端到端设备的国产化替代，也被视为国产品牌在通信领域“真替真用” 的重要里程碑。 核心技术乃国之重器，最关键、核心的技术要立足自主创新、自立自强。未来中国移动将联合更多企业展开合作，致力于加强原创性、引领性科技攻关，在坚持国产化的路程上，不断突破创新，努力实现关键核心技术自主可控，把创新主动权、发展主动权牢牢掌握在自己手中，打赢关键核心技术攻坚战。 2.1 愿景 “信创”与“ 863 计划”“ 973 计划”“核高基”一脉相承，是我国 IT 产业发展升级采取的长久之计。信创建设从关键环节核心组件的自主创新入手，中国移动致力于发挥数据要素资源优势、全程全网运营优势、一体化的服务优势，立于数字技术、数字系统、数字应用的研发、运营、服务，以整体政府理论为指引，构建三融五跨的数字政府业务服务体系。以党政军和关系国计民生的关键行业为试点，为国产 IT 厂商提供了实践创新的沃土，从而逐步建立自主的 IT 底层架构和标准，实现全 IT 全产业链实力和结构的优化升级。 2.2 内涵 整体架构 03 中国移动 长期服务于政企客户，肩负党政军行业数字化转型与安全转型责任，认真落实信息科技领域十四五规划，以赋能数字中国为发展方向，搭载移动运营商网络安全能力，围绕新型智慧城市运营商整体目标，聚焦重点客户行业信息化需求，构建生态合作产品能力体系，覆盖多行业应用，以产品为中心向外辐射，实现全产业链协同。提升市场竞争力，实现在数字经济时代准确识变、科学应变、主动求变，加快改造提升传统动能、培育发展新动能。 中国移动 具备甲级涉密信息系统集成资质、二级武器装 备科研生产单位。协助省公司属地涉密办公区、产品适配基地建设。纵向三级服务支撑体系架构和横向三线高效支撑机制，保障全国集成服务团队建设和项目支撑。扎实严谨的基础管理能力，丰富的服务经验，熟悉党政军等政企客户的业务场景和需求，在保障海量数据安全、迁移、整合方面储备了非常丰富的理论和实战经验，具有绝对的能力优势。同时作为信创从业人员标准起草组成员单位和信创从业人员培养课程体系标准设计成员单位，参与并起草了信创人才培养标准，为保障党政军工、金融等各行业人才储备，加强信创人才队伍的建设做出贡献。 基于国产平台的终端全栈架构：包括国产 CPU、整机设备、固件（ BIOS）、操作系统及驱动层和应用层（办公软件、应用软件）等。终端设备包括单独部署的个人桌面电脑、笔记本电脑、接入云平台的瘦客户 端等。 图 1 信创终端全栈架构图 3.1 终端全栈架构 随着云计算的发展， 政府、金融、电信等各个行业都在逐步从传统信息系统“烟囱式”的建设方式向私有云、公有云环境进行迁移。云计算的核心就是利用以虚拟化为代表的技术进行计算、存储、网络等资源的配置管理和弹性扩展。云计算整体架构包括：基于国产 CPU的基础设施层，如整机、网络、存储等； IaaS 层 -包括操作系统和云管理平台； PaaS 层 -主要是通过使用容器环境对应用软件进行微服务化定制封装，使用 DevOps 理念对云原生应用进行持续部署和集成，使用容器编排工具对容器进行统一集群管理； SaaS 层包括政府、金融、电信等各行业业务软件。 图 2 信创云计算全栈架构图 3.2 云计算全栈架构 应用场景 04 4.1.1 需求 信创生态逐渐成型，基础软硬件是核心。目前我国 IT 架构体系严重依 赖国外产品，在美国不断加大对我国技术封锁背景下， IT 产业自主可控的必要性和紧迫性凸显。生态构建是信创产业落地的关键，其中基础软硬件是整个 IT 产业的底座和基石。信创生态体系包含以 CPU、GPU、存储等为代表的的基础硬件，以操作系统、数据库、中间件等为代表的的基础软件，这些基础软硬件的替换是摆脱国外产品，踏出安全可控的第一步。 4.1 基础软硬件替换 4.1.2 方案 4.1.2.1 技术路线选型原则 （ 1）知识产权自主 考虑指令集架构、芯片设计、研制及发展等方面是否拥有自 主知识产权。 （ 2）技术先进，发展前景良好 自主不等于落后，应该重点关注所选的技术路线的技术架构先进性，优先选择产品性能高的技术路线以及技术路线未来的发展前景。 （ 3）稳定性好，可靠性高 在技术路线选择方面，选择适配程度深、稳定性好的技术路线。 （ 4）产品完备，生态丰富 需要考虑该技术路线是否具备丰富的生态环境，是否拥有涵盖信创办公信息化领域所用到的所有基础软硬件产品以及良好的生态环境。 4.1.2.2 产品选型原则 基于当前安全可靠关键软硬件的技术发展，借鉴安全可靠应用示范的成功经验，从全局出发对安全可靠信息系统组成、应用服务等进行优化设计。在产品选型上，应围绕实际应用需求，优选稳定可持续发展的国产关键软硬件产品。充分利用成熟的技术成果，确保关键信息设备的安全可靠，国产化替代后系统的“可用”，并可持续发展完善至“好用”。 主要软硬件选型将坚持如下原则： （ 1）在满足需求的前提下，采用安全可靠的信息化设备； （ 2）在满足安全可靠要求的前提下，优先选择成熟度高、适配性强的产品，确保系统的稳定性、可靠性； （ 3）选择符合相关标准协议的产品，确保产品间可互联互通及今后的可扩展； （ 4）相关安全设备选择需符合国家保密部门和秘密管理部门有关要求； （ 5）软件产品优先选用开放式体系架构的成熟产品，尽量减少自行开发工作，确保系统工作稳定； （ 6）选择低能耗设备，优先采用一类能耗标准且获得“中国节能 /环保产品”标识 /证书的产品。 （ 7）安全保密产品、终端、操作系统、版式软件、中间件和安全设备等选用安全可靠应用信息类产品采购名录产品；项目采购时可更加最新中办发布的名录进行采购； （ 8）安全保密产品应具有国 家保密部门相关的认证资质； （ 9）选用的计算机病毒防护产品应获得公安机关批准； （ 10）密码产品应获得国家密码管理部门批准； （ 11）网络产品应优先考虑国产设备； （ 12）安全保密产品必须通过国家主管部门指定的评测机构的检测； （ 13）安全保密产品必须具有自我保护功能； （ 14）安全保密产品应符合相关的国家标准。 4.1.2.3 基础软硬件选型原则 信创生态体系包含以 CPU、 GPU、存储等为代表的的基础硬件，以操作系统、数据库、中间件等为代表的的基础软件。其中，服务器及终端软硬件的安全可靠替代是安全可靠网 络建设的硬性要求；网络、存储备份、安全防护及外设等其他软硬件基础设施在充分利旧的基础上，采取适配、验证、优化的手段，逐步实现安全可靠替代，实现安全可靠目标。在基础软硬件选型上，因基于用户实际需求，考虑不同产品间的兼容适配效果最终确定选型方案。经过四期的产品目录推广，各体系之间产品的兼容性良好，可相互搭配。 组合体系 PK 体系 龙芯 +中标体系 鲲鹏体系 兆芯体系 芯片 飞腾 龙芯 鲲鹏 兆芯 操作系统 银河麒麟 中标麒麟 UOS、麒麟 UOS、麒麟 整机 长城 曙光、浪潮 华为 联想、曙光 数据库 神舟通用、人大金仓 神舟通用、人大金仓 高斯、神舟通用 神舟通用、人大金仓 中间件 东方通 东方通、金碟 东方通 东方通 存储 同有、鲸鲨 同有 同有 同有 网络 迈普 迈普 迈普 迈普 流 金山 WPS、永中 金山 WPS、永中 金山 WPS 金山 WPS 版 福昕、数科网维 福昕、数科网维 福昕 福昕 签 中安网脉 中安网脉 中安网脉 中安网脉 打印机 奔图打印、长城 奔图打印 奔图打印 奔图打印 表 1 四类体系产品表 4.1.3 效果 信创产业即信息技术应用创新产业，旨在用我国自主研发的基础软硬件产品实现对国外引进产品的替代。信创产业链主要分为基础设施（芯片、 PC/服务器、存储等）、基础软件（操作系统、数据库、中间件等）、外设、应用软件（ ERP、办公软件、政务软件等）、网络安全（边界安全、终端安全等），核心环节包括芯片、 PC/服务器、存储、中间件等。其中，我国应用软件国产化程度相对较高，而芯片技术的成熟 度尚与发达国家存在一定差距。不过随着信创产业的推进，基础硬件核心技术逐步突破，国产化进程迈入快车道；基础软件三位一体协同发力，生态建设成果显著，我国 IT 技术正在急速发展。 4.2.1 需求 信创环境下软件生态缺失，用户体验不佳。应用系统（软件）的替换现阶段集中在办公软件领域，一方面是由于核心业务软件对稳定性要求高，为了不影响正常的生产 经营，政企在替换前期都将基础办公软件作首选。另一方面，由于信创软件生态严重缺失，办公软件是目前信创市场少有的发展较为成熟的领域。在市场亟需业务软件、社交软件、行业软件等更多软件生态建立的同时，软件性能仍需提高，使用感不佳是现阶段客户反应的主要问题。从应用系统（软件）的发展来看，更多的厂商会通过地方化落地、收购与合并等方式来增加竞争优势，而中小规模厂商也会逐渐进场，应用系统（软件）市场整体竞争将更加充分。应用系统（软件）在中国商用市场已经发展得较为成熟，未来，应用系统（软件）厂商也将在信创市场继续其发挥技术优 势，促进生态建立，优化用户体验。与此同时，更加标准化、规范4.2 应用系统 （ 软件 ） 应用系统（软件）的发展来看，更多的厂商会通过地方化落地、收购与合并等方式来增加竞争优势，而中小规模厂商也会逐渐进场，应用系统（软件）市场整体竞争将更加充分。应用系统（软件）在中国商用市场已经发展得较为成熟，未来，应用系统（软件）厂商也将在信创市场继续其发挥技术优势，促进生态建立，优化用户体验。与此同时，更加标准化、规范化，且能够实现良性竞争的信创市场，才能让更多的应用系统（软件）厂商从中受益。 （ 1） 软件生态缺失 ：对于偏行业性质的应用系统（软件），现阶段缺乏相应的国产生态，例如工程制图、音视频编辑、 ERP 等软件，缺乏相应的替代产品。 （ 2） 软件性能仍需提高 ：在应用系统（软件）的替换过程中，功能缺失、稳定性弱、兼容性差等问题突出，软件厂商还需继续提升使用感，整体行业还处于使软件从可用到好用过渡的阶段。 （ 3） 缺少行业解决方案 ：信创内应用系统（软件）的个性化程度仍待加强，且还未形成针对于行业的成熟解决方案。 4.2.2 方案 针对客户系统和应用特点，为客户量身定制业务迁移方案，完成客户业务的平滑迁移。从操作系统层面，采用 P2V/V2V 方式以“快照”形式迁移，从应用系统层面，采用动态业务扩展方式增加业务节点，以“热添加”实现应用系统不停机迁移。 iDBM 提供智能化、一体化、适用各种数据场景的迁移服务，用户可以将整个数据，从一台服务器在线实时迁移到另一台服务器，不限制源和目标服务器之间的品牌、型号等差异。iDBM 提供实时在线 复制传输，包括源服务器的历史数据以及实时变化的数据，无需再迁移过程中中断其业务访问。 4.2.2.1 河长通智慧云平台 河长通智慧云平台，采用自主集成的新型 ICT 运营服务模式，建设过程中遵守国家政策文件要求，包含 Web 监管端、客户端 APP 基础版和统计版（包括安卓版和 IOS 版）、微信公众号，平台功能立足 河流治理实情，充分发挥中国移动通信运营商优势，建立业务闭环受理体系，打造河道监管智慧水务联网一体化。 河长通智慧云平台，利用 GPS、实时监测等技术，对重点河湖、水域岸线、区域水土流失等进行动态监测，实现基础数据、涉河工程、水域岸线管理等信息化、系统化，建立多角色共用的办公平台。将日常巡查、参数报警、预警应急、电话会议、问题督办、情况通报、责任落实等纳入信息化、一体化管理，及时发布河湖管理保护信息。平台可实现区域内河道全景图展示，河道责任归属明确，问题及时发现并快速协调资源处理和解决，并对各级河长进行有效监督 考核等，全面实现各级河长负责组织领导相应河湖的管理和保护工作正常开展。 共用的办公平台。 将日常巡查、参数报警、预警应急、电话会议、问题督办、情况通报、责任落实等纳入信息化、一体化管理，及时发布河湖管理保护信息。平台可实现区域内河道全景图展示，河道责任归属明确，问题及时发现并快速协调资源处理和解决，并对各级河长进行有效监督考核等，全面实现各级河长负责组织领导相应河湖的管理和保护工作正常开展。 图 3 河长通智慧云平台功能架构图 4.2.2.2 OneOffice 智慧办公 OA 系统 OneOffice 智慧办公 OA 系统是集协同门 户、即时通讯、音视频会议、办公审批、公文、党建、会议、通讯录、短信通知、通知公告等功能于一体的综合性办公系统。基于传统办公OA 系统，做功能性、体验性升级，集成多个常用的业务应用，并且开放第三方对接接口，实现办公集成一体化。 OneOffice 智慧办公 OA 系统通过调优适配国内主流的自主安全服务器、操作系统运行环境，为信创领域用户提供更加完整、优质、安全稳定的办公产品解决方案。目前已取得国产处理器、操作系统、中间件、数据库多项互信认证证书，包括龙芯、飞腾、鲲鹏、麒麟、东方通、神通数据库等等。 图 4 OneOffice 智慧办公 OA 系统总体架构图 4.2.2.3 智慧党建平台 智慧党建平台提供“ 1 平台、 N 应用”的党建管理、学习教育、党建宣传、党费缴纳、统计分析等智慧服务，在此基础上拓展了党建展厅和党建教室两个党建应用场景，规范党建工作审批流 程，提高党务工作效率和成果，利用 5G 创新体验形式，实现党政建设信息化、党建教育现代化、党建宣传品牌化。 （ 1）党建云 ：严格依据党章、党规要求，实现党务工作、党员发展、组织关系转接等流程化、电子化管理。实现对三会一课、组织生活、培训考试、党费缴纳等工作的透明化、规范化监督和管理。 （ 2）党建展厅 ：新时代基层党建阵地建设的数字升级空间平台，实现了新时代党建宣传工作与智能数字技术的深度融合，实现党建宣传工作方式方法的创新。 （ 3）党建教室 ：打造立体式、体验式、沉浸式智慧学习空间，提供中央党校名师现场授课机会，提供 权威、高端、优质的数字化学习内容，适用于基层党支部、党群中心、流动党员等集体学习场景。 （ 4） 5G 赋能党建 ： 5G+党建直播、 5G+VR 党建、 5G+党建机器人。 图 5 智慧党建平台总体架构图 4.2.2.4 移动安全加密终端 （ 和密话 ） 移动安全加密终端（和密话）是基于“终端” +“平台” +“应用”的一体化设计，依托定制国产终端、安全管理平台、密码服务平台及安全加密应用，打造的移动安全办公平台。重点解决移动办公的接入安全、终端安全、应用安全、数据安全等安全管控需求，满足用户安全移动办公的需求。 图 6 移动安全加密终端（和密话） 4.2.2.5 专线安全产品 专线安全产品以网络安全法、公安部令 82 号、等保 2.0 相关法规强制安全合规要求为服务准则，为移动政企专线客户提供交付符合法规、标准化的 一站式网络安全产品服务，包括云 WAF、云抗 D、云漏扫、 APP 检测、内网资产管理、安全管理堡垒机、网站防篡改、 EDR、日志和数据库审计等功能。 图 7 专线安全产品图谱 4.2.3 效果 提升软件能力，拓宽应用领域，拉动产业发展。从产业链各环节发挥的作用来看，应用系统（软件）是拉动信创产业发展的重要突破口之一。具体而言，只有当应用系统（软件）运行在真正的应用场景和使用环境下，并通过客户的持续反馈来打磨产品，从而带动生态中各个软、硬件产品成熟度的提升，才能使信创产业焕发出活力。在基础办公软件基本能够满足客户正常使用的环境下，应用系统（软件）领域下一步推 进动作是更贴近办公实际需求的社交软件、工业软件、业务软件的逐步替换，这个过程不仅能够提升产品生态的丰富度，还能加强客户对软件的使用深度与使用频率。应用系统（软件）将发挥出牵引作用，在提高用户体验的过程中，通过不断改进实际问题，提升产业链各个节点的能力，推动产业整体发展。总而言之，应用系统（软件）将在后续信创产业的发展中越来越受到关注。 4.3.1 需求 近年来，云计算发展进入应用普及阶段，越来越多的政府机构、企业已开始采用云计算模式部署信息系统。 2018 年 7 月 23 日，国家工业和信息化部印发了推动企业上云实施 指南（ 2018-2020 年），制定出台企业上云效果评价标准，支持第三方机构对上云效果进行评估，引导企业深度上云，促进企业运用云计算加快数字化、网络化、智能化转型升级。 2019 年 7 月 2 日国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部联合发布了云计算服务安全评估办法，旨在提高云计算服务的安全性以及可靠性，降低使用云计算服务带来的网络安全风险，从而增强党政机关和关键信息基础设施运营者将业务及数据向云平台迁移的信心。 4.3 信创云 4.3.2 方案 中国移动信创云解决 方案可根据客户实际情况需求，中国移动可以通过国产化物理服务器适配环境，配置基于 ARM 架构的麒麟飞腾等国产服务器，通过虚拟化引擎对服务资源的虚拟化，实现虚拟资源、业务资源、用户资源的统一管理。中国移动已完成了基于鲲鹏、飞腾ARM 架构的虚拟机，统信 UOS、银河麒麟的服务器操作系统，神通、达梦等数据库，东方通等中间件完成兼容性测试。 4.3.2.1 生态环境 中国移动作为大型央企的品牌资源，具有突出的优势资源整合能力。目前，公司已与行业内上百家核心厂家建立了全面的合作关系，可以为项目实施提供强有力的保障。各种模式合作，包括一级代理、框架采购。党政领域作为总包集成商，内部信创市场作为甲方，在供应链上下游的谈判能力占据主导。 图 8 中国移动信创行业合作图谱 4.3.2.2 “ N+1+N”全融合架构 为满足用户信创云建设的需求，中国移动潜心钻研，打磨 出“ N+1+N”全融合架构信创云解决方案。方案以一套云平台，适配龙芯、飞腾、兆芯、鲲鹏、海光等信创芯片，并兼容主流国产操作系统。目前，云宏和主流的国产芯片服务器、操作系统，及多家应用软件厂商完成产品兼容性互认证，形成高度兼容的云计算关键技术生态体系。 中国移动“ N+1+N”架构信创云解决方案适配多套国产芯片环境（龙芯、飞腾、华为鲲鹏、海光、兆芯），兼容主流的国产操作系统，如统信 UOS、中标麒麟、银河麒麟等国产操作系统等，其一套图形化管理界面，实现异构信创虚拟化环境统一管理。 图 9 “ N+1+N”全融合架 构图 4.3.2.3 方案特点 中国移动“ N+1+N”架构信创云解决方案有着以下特点： （ 1）兼容不同的国产 CPU 芯片架构，底层解耦，快速满足业务系统所需的资源。 （ 2）云计算弹性能力保障业务连续性。 （ 3）统一自助门户、运营管理、运维管理。 4.3.3 效果 我国信息技术应用创新工作从上世纪 90 年代末开始，经过多年的发展，底层硬件产品、操作系统、数据库、中间件、应用解决方案等取得从无到有、从能用到好用的重大进展，初步形成信创产业链体系格局，应用系统向信创平台迁移已具备了基础条件。云服务商及相关企业也在不断加强自主研发，不断推出信创领域的云产品和服务，构建信创云生态，为政府、企业提供更高的安全性保障。 随着技术的成熟以及政务云市场所起的带头示范作用向行业信创迈进，金融、电信 、能源、电力、医疗、教育、交通、公共事业等行业也将逐步成为信创云集聚的市场。金融行业由于数字化基础较好、 IT 投资稳定，目前在八大行业中对信创云的改造相对领先，市场规模的增长空间也仍然充足。金融行业的数字化建设反映了诸多传统行业在实现数字化转型过程中可能面临的关键需求和问题，包括对 IT 系统高并发、高可用、灵活性的需求以及对异构IT 环境的支持等。在云计算固有的高效 IT 资源基础上，信创云厂商整合行业上下游优势产品形成全栈式的 IT 解决方案，为企业提供端到端部署和完善的配套服务，在提高 IT 系统的一致性和可靠性的同时， 也降低了企业的部署成本。 4.4.1 需求 随着信息化的不断 发展，内部网络的业务系统越来越需要信息共享，将来源于各种信息渠道的数据进行汇总分析，可以为业务的开展提供更具有说服力的分析结果。在信息共享的需求下，来源于外部网络的信息是其中的一个重要方面。 在进行建设过程中需要建立互联网到外网，外网到内网之间的访问控制机制，防止未授权的网络访问行为，并且需要在边界部署安全防护设备，需要对互联网接入及内外网间交换的数据及交换过程进行监控、审计，监测恶意的访问及攻击。 对互联网导入到内部网络的所有数据要进行严格的检查及过滤，防止携带恶意代码的数据进入内部网络。 在互联网信息导 入到内部网络的整个链路中，需要防止内部网络数据向互联网的信息泄露。 4.4 内外网安全隔离与信息交换 4.4.2 方案 4.4.2.1 整体网络拓扑图 在遵循国家信息安全相关政策的要求下，内外网安全隔离与信息交换的总体架构如下图。内网互联网外网单向光闸单向导入平台系统单向导入外端代理系统单向导入内端代理系统外网办公内网内网终端双网隔离终端内端机 外 端机光单向隔离部件网线U S B 连接线网线外网核心交换机 图 10 内外网安全隔离与信息交换总体设计图 在外网与办公内网之间部署单向导入平台系统，在终端用户部署安全 KVM。 单向导入平台系统，主要包括单向导入外端代理系统、单向光闸及单向导入内端代理 系统。 安全 KVM 包含安全 KVM 硬件设备和一套系统软件组成。 4.4.2.2 单向导入平台 4.4.2.2.1 单向导入外端代理系统设计 单向导入外端代理系统的作用是采集外部网络中需要传输到内部网络的数据。 单向导入外端代理系统提供两种数据采集手段，一种是文件，另一种是数据库。单向导入外端代理系统上提供 FTP 文件服务，外部网络中的其他服务器及应用可以将需要传输的数据形成文件，并通 过 FTP 协议（可加 SSL 选项）传输到单向导入外端代理系统，也可以通过单向导入外端代理系统部署的文件代理软件从其它应用服务器上进行采集。另外，单向导入外端代理系统上提供数据库代理软件，负责从外部网络指定的数据库中提取需要传输的信息，并向内部网络传输。 4.4.2.2.2 单向光闸设计 单向光闸具备如下安全特性。 （ 1）数据单向传输 单向光闸使用两块高效的安全数据传输卡实现应用数据的单向传输，两块安全数据传输卡通过光纤连接，中间传输的是转换后的光信号，通过芯片的独特设计及光传输的特点，即达到了单向要求，又满足数据的高性能传输要求。 单向光闸的单向传输特性在于外端单向传输数据控制卡只有光发送适配器，内端单向传输数据控制卡只有光接收适配器，中间只有光传输信道。这样一方面保证不可能有光信号从内端传向外端；另一方面保证其它数字信号、模拟信号及电信号不能通过光纤通道传输。 （ 2）边界入侵防范 采用基于光信号的信息单向传输机制，有效防止办公内网向外网泄露。 由于采用单向传输，任何基于 TCP/IP 攻击协议无法穿过单向关闸，有效杜绝各种基于网络协议的攻击行为。 单向光闸的外端机具备业务口及管理口，业务口不开启任何网络服务，仅通过抓取的方式从外端代理系统上获取文件及数据库信息，攻击者无法访问通过业务口对单向光闸进行攻击。管理口平时是断开的，在需要进行配置时，由管理计算机直接连接，管理服务使用 HTTPS协议，采用证书认证，访问过程安全可靠。另外，单向光闸仅与外端代理系统连接，其业务口并不直接面向外网，攻击者无法直接访问单向光闸，降低了攻击风险。 （ 3）专有协议数据传输 单向光闸内部外端机和内端机之间采用单 向光信号通信，内部采用专有单向传输协议，从物理层对外提供数据传输接口，内外端机之间传输的是上层应用数据。任何 TCP/UDP 协议在单向光闸内外端被终止，转换为专有协议在内外端之间传输。因此，任何基于协议的攻击要穿过单向传输系统都不可能。 （ 4）安全数据传输代理 为了易于扩展及简化数据传输模型，单向光闸面向内外端代理系统提供专门的数据传输安全代理通道，所有在内外端代理系统之间交换的数据只能通过该代理通道传输。在单向光闸外端机将开启数据传输代理服务，内外端代理系统的数据传输模块与该代理服务通信，提交需要传输的数据 ，数据传输代理服务与数据传输模块之间采用专用设计的安全协议，在通信过程中实现双方的身份鉴别，数据传输使用协商的格式，适应各种不同大小的数据块。 （ 5）配置管理 单向光闸提供对系统运行状态的实时监控功能，包括网络接口监视、 CPU 利用率监视、内存使用率监视、网络状况监视、硬件系统监视、进程监视、任务监视等。单向光闸提供对监控结果的多种图表显示方式，如动态坐标图、饼状图和柱状图。 （ 6）系统监控与审计 单向光闸提供了强大的日志查询、日志存储和三权分离日志审计功能。系统提供 syslog日志上报方式将日志汇总到内外端 代理系统中统一管理，支持日志分级，支持本机和远程存储日志功能。提供对应用交换信息、安全控制信息、系统日志信息的记录及审计功能。 （ 7）流量控制 为了保证单向光闸建立的不同代理通道保持应有的带宽，防止网络接口流量异常，单向光闸实现了流量监视及控制模块。通过该模块能够对进入单向光闸的网络流量进行全面的控制。 流量监视及控制模块能够基于不同的服务对流量设置上限。另外，流量监视及控制模块还可以对单向光闸的特定网络端口进行上行及下行的流量监视及控制，使管理员能够随时掌握网络流量的状态，分析网络的稳定性。 （ 8）安全访 问控制 流量监视及控制模块能够基于不同的服务对流量设置上限。另外，流量监视及控制模块还可以对单向光闸的特定网络端口进行上行及下行的流量监视及控制，使管理员能够随时掌握网络流量的状态，分析网络的稳定性。 （ 8）安全访问控制 单向光闸设定安全规则，只允许连接单向导入外端代理系统，获取指定目录的文件，并连接外网区域指定的文件或数据、病毒库服务器，将数据导入指定目录。所有不在单向光闸安全规则中的服务器，单向光闸一律不能访问，不在安全规则中的目录也不能访问。安全规则只能通过管理服务设定及变更，攻击者无法通过业务口获取及变更安全规则。 （ 9）可信源认证 单向光闸通过单向导入外端代理系统获取数据时，单向光闸将对单向导入外端代理系统的真实性进行鉴别。为了实现对单向导入外端代理系统的鉴 别，可通过 CA 系统为单向导入外端代理系统发放设备数字证书（含私钥），并将证书信息导入到单向光闸中。当单向光闸访问单向导入外端代理系统时，单向导入外端代理系统通过私钥签名反馈单向光闸的访问请求，单向光闸通过证书校验单向导入外端代理系统是否真实合法，只有校验真实的单向导入外端代理系统，单向光闸才会进行后续的信息采集。这样，可以有效的杜绝单向光闸从冒充的单向导入外端代理系统获取信息的风险。 在实际实现中，将通过 SFTP 安全协议配合证书认证的方式实现对单向导入外端代理系统的鉴别及数据传输加密。 单向导入内端代理系统主要实现向办公内网的数据推送及链路监控。单向导入 内端代理系统的文件代理软件获得单向光闸传输的数据，形成文件并进行存储，并将本地收取的文件通过 FTP 等协议推送给内部办公网络的指定服务器。另外，单向导入内端代理系统上的标准数据库代理软件将本地收取的文件进行逐一解析，组合为 SQL 操作语句，向内部办公网络对应的数据库服务器进行写入操作，实现数据库信息的推送。 4.4.2.2.3 单向导入内端代理系统设计 4.4.2.3.1 外网浏览 4.4.2.3 安全 KVM 安全 KVM 将用户访问外网的图像信息实时地从安全 KVM 外端机单向传送到内网计算机显示器中，给用户的感觉就是如同使用自己的计算机访问外网一样，但实际是在安全 KVM 设备的外端机中访问的外网。 在使用过程中，安全 KVM 在内网用户计算机的显示器中直观显示用户当前正在访问的外网资源情况，完全与任何计算机接入网络访问外网的体验一样。 同时为了增加用户的体验在内端机操纵外端机访问外网时，为保证图像传输 的性能，我们采用增量图形捕获及处理技术（ Mirror Driver），解决连续传输图形的性能问题，极大减少内外端机之间数据传输量，增加带宽利用率，保证图形的质量和流畅性。 用户使用安全 KVM 访问外网时，获得外网信息资源的方式与普通计算机下载文件一样，一种方式是通过 IE 浏览器直接下载，另一种是使用下载工具。 安全 KVM 设备前面板内置了两个 USB 接口用于连接存储介质，对于需要将文件下载到移动存储介质时，就可以在安全 KVM 外端机插入移动存储介质 ，将文件下载到存储介质中。 4.4.2.3.2 文件下载 4.4.2.3.3 鼠标键盘中继 当用户需要使用内网计算机时，一般情况下，需要将连接在安全 KVM 上的键盘及鼠标拔下，并连接到内网计算机上。为了减少这样使用带来的麻烦，安全 KVM 提供了一种鼠标键盘中继功能。使用者只要通过特定的快捷键或 鼠标操作，就可以将使用模式切换到内网，而无需插拔鼠标键盘线，不需要切换时重新加载系统，切换速度快到毫秒级。此时，所有键盘鼠标信息将自动单向传输到内网计算机上，并作为内网计算机的键盘鼠标事件处理，也就是说鼠标键盘实际上就是在操作内网计算机。 4.4.2.3.4 防病毒木马监控 安全 KVM 集成了监控能力强的第三方防病毒软件，具有高性能和高防护能力，采用多线程后台操作，在应用层实现基于特征的病毒查杀蠕虫、木马、 office 宏病毒等威胁，支持自定义检测和检测所有邮件格式、多种格式压缩文件及多种格式文件，可以自动升级或手动更新病毒库。 4.4.3 效果 内外网安全隔离与信息交换的设计可实现以下效果。 （ 1）全面性 单向导入平台系统与安全 KVM 系统配合使用功能全面、适应性广、充分考虑扩展： 产品功能全面：产品具有数据单向传输功能、安全控制功能、审计管理功能、监控功能等，功能丰富全面，能够保证项目实施后对各种应用场景的兼容，也能提供完善的运维支持。 适应性广：产品具备文 件代理及推送服务、数据库代理及推送服务及病毒防护与升级三大类主要功能，适应用户需要信传输的所有类型和安全防护。 扩展性强：产品设计充分保证适应未来的扩展要求。 （ 2）实用性 单向导入平台系统及安全 KVM 设备是针对用户需求研发的产品，在