高性能计算平台安全架构设计.docx
《高性能计算平台安全架构设计.docx》由会员分享,可在线阅读,更多相关《高性能计算平台安全架构设计.docx(7页珍藏版)》请在冰豆网上搜索。
高性能计算平台安全架构设计
高性能计算平台安全架构设计
1.项目需求
高性能计算机,或称超级计算机,是一套计算性能强大,具有大规模存储空间和完整的软件系统,并且价格十分昂贵的计算机,是计算机中功能最强、运算速度最快、存储容量最大的一类计算机。
其性能远超普通的个人计算机和通用服务器,具有无与伦比的计算能力。
高性能计算机通过并行计算来实现超高的计算性能,并行计算即将多个处理器通过网络连接,并以一定的方式将其有序地组织起来,同时对多个任务或多条指令、或对多个数据项进行处理,以达到快速求解一个计算问题的目的。
高性能计算机多用于国家高科技领域和尖端技术研究,是国家科技发展水平和综合国力的重要标志。
目前的高性能计算机的主要架构是集群架构。
集群架构是将大量的服务器通过专用网络连接起来,让所有的服务器协调工作来完成一个计算任务。
在用户看来,整个集群就是一台高性能计算机,管理和操作就像管理一台计算机一样简单。
不同的是这台计算机具有超强的计算能力。
从目前IT产业格局来看,绝大多数市场份额是由HP、IBM、富士通为代表的国外品牌所占据。
以HP为例,其在进行了大量的人力和物力的投入。
经过近20年的经营,已经在IT的各个领域占据了绝对的优势。
HP品牌已经深入政府、企业以及民众的人心。
这些IT领域包括:
PC、笔记本、服务器、存储、打印机、系统集成等;涉及的领域包括银行、税务、海关、大型企业、科研院所、高教和普教等。
随着来自中国的企业在的不断开拓,尤其是中国的通信、基建等企业的不懈努力,中国的品牌已经在民众心中烙下了深刻的印象。
但是来自中国的IT企业和技术,仍然一直被认为是国外品牌的附庸,导致中国的IT企业,尽管进行了多方面的努力,仍然很难打破国外品牌垄断这一格局,没有形成有效的突破。
本平台需要提供防止整个系统(包括内网和外网)被黑客攻击和入侵的安全性手段及相应的软硬件设备和实施。
要求至少提供一台能够提供硬件隔离的安全服务器或硬件防火墙,至少包括日志和报警功能。
2.安全解决方案详细设计
2.1.数据库审计系统部署说明:
数据库审计系统是针对业务环境下的数据库操作行为进行细粒度审计的合规性管理系统。
它通过对被授权人员和系统的数据库操作行为进行解析、分析、记录、汇报,以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,加强内外部数据库操作行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运营。
数据库审计系统通过旁挂的方式,部署于HPC区,针对内外网的数据库操作进行审计。
2.2.堡垒机部署说明
网御堡垒机是针对运维操作进行控制和审计的管控系统;对整个运维过程从事前预防、事中控制和事后审计进行全程参与。
堡垒机通过旁挂的方式,部署于核心交换区,对运维操作进行管控。
2.3.IDS入侵检测系统部署说明
网御入侵检测系统基于分布式入侵检测系统构架的网络入侵检测系统,采用网御安全引擎,综合使用会话状态检测、应用层协议完全解析、误用检测、异常检测、内容恢复、网络审计等入侵分析与检测技术,全面监视和分析网络的通信状况。
在入侵监控的基础上,遵循CSC关联安全标准,可主动发包或与多种第三方设备联动来自动切断入侵会话,实现实时有效的防护,为网络创建了全面纵深的安全防御体系。
IDS通过旁挂的方式,部署于核心交换区,实时捕获、分析所监视网络的所有数据报文,发现其中的攻击企图,根据事先制定的响应方式通知网络管理员、记录事件过程。
2.4.UTM安全网关部署说明
UTM安全网关具备的基本功能包括网络防火墙、网络入侵防御、网关防病毒等功能,它将多种安全特性集成于一个专用设备中,构成一个标准的统一安全管理平台。
UTM安全网关也可能包括其它特性,例如内容过滤、安全审计、安全管理、日志、服务质量(QoS)、高可用性(HA)和带宽管理等。
UTM通过串联的方式,分别部署于局域网区和外网区,对针对内外网流量进行IP、端口进行包过滤访问控制策略设备,入侵防御,防病毒,来保障内网数据的秩序和保护数据安全。
2.5.VPN网关部署说明
VPN网关实现局域网用户和外网用户到HPC用户接口之间安全的通信隧道,通过加密、认证、数字签名等方法保证数据传输的安全性、完整性。
VPN网关通过旁挂方式,部署于核心交换区,对内外网的用户访问进行传输保障。
3.项目实施、售后服务和培训
将在用户的协助下共同制定项目的实施方案、售后服务方案和培训方案。
将保证提供优质的项目实施、技术支持与售后服务和专家培训。
我们的最终目的是:
该系统能快速有效的建立并稳定运行、用户使用方便、使用过程中得到及时有效的技术支持和相关服务,使用户满意。
3.1.项目实施
运输
供货将采用制造厂商直接供货到用户指定的实施现场的方式,在整个运输过程中,将严格按标准保护措施进行包装;保证所提供设备及配件为原厂商全新的产品。
提供所有设备原产连接线缆、相关配件、安装、调试、运行、管理及维护的齐全有效的技术资料。
集成
负责所有的节点、存储、网络等设备的集成安装工作,原厂服务工程师负责:
配合客户进行所有硬件设备的上架、布线,加电检测,确认所有的设备运行正常;按照要求完成节点刀片服务器、机架服务器、存储运行操作系统的安装、配置、优化;核心交换网络的基本配置,负责计算、管理网络的基本配置,负责网络性能的基本优化并进行功能/性能测试;负责集群并行环境配置,负责集群各单元模块的功能配置,系统连调,并进行功能验证测试。
测试
测试包括设备自检测试、并行环境单元测试、监管软件单元测试、应用软件测试等。
3.2.项目培训
技术培训对用户是十分必要的,这有助于用户更好的维护系统,保证业务的稳定运行。
通过专业的服务,尽快的帮助用户搭建起高性能计算平台;通过专业培训使用户的管理人员能较熟练的掌握高性能计算系统的安装、使用和维护,使整个系统能够正常、安全的运行。
根据本项目用户的特点,将针对本项目编写培训教材,制定详细的、完整的培训计划。
针对这种大型高性能计算系统综合应用平台的培训,积累了众多高性能计算领域的应用软件的调试、安装经验。
培训资料将包含针对用户的需求准备的各领域应用软件的安装、使用和调优等方面的内容。
集中授课培训
集中理论培训采用在用户指定的地点有原厂资深讲师课堂授课的方式,通过集中授课培训,使用户初步掌握服务器的架构、原理,服务器平台技术、服务器数据安全维护、系统管理软件、集群编译环境等内容,以及常见故障的判断分析。
实物操作培训
通过高性能计算系统实物的演示,让用户对产品有一个感性的认识,并能够对设备进行一般的操作、维护和常见故障的判断分析。
在上述的实践培训和实际操作过程中,我们将和您一起分析遇到的问题,并对您进行故障判断、排除等方面的实物培训。
3.3.售后服务
针对本项目的VIP专家服务方案
公司将根据自己产品的特点,在XXX设有备件分库,针对本项目专门设立VIP专家服务,向贵单位及时提供与本合同设备相关的安装、检验、调试、验收、运行、检修等相应的技术指导、技术配合、技术培训等全过程的服务。
1)服务人员构成
公司设有专门的客户服务中心,可为用户提供全方位的、高效的、及时的客户服务和技术支持;通过先进完善的售后服务管理体系,可及时、迅速地为用户解决应用过程中出现的问题。
2)服务方式
公司向用户承诺技术支持服务,配合用户其他产品解决与系统有关的问题。
技术支持服务包括:
为用户组建由具备专业资质的技术人员组成的技术支持小组,为用户提供专员支持、热线电话、传真、E-mail、现场服务等多种形式的设备维护、升级、改造、故障处理、突发事件处理、后期培训等技术服务,为用户提供三年的技术支持服务,并针对本项目提供整机三年免费现场服务:
电话支持(7×24小时专人热线支持响应):
针对本项目,公司将提供技术支持热线(5×8小时标准服务+7×24小时本项目专人服务),正常工作时间热线电话有专人值班,如遇紧急情况,可直接拨打行业经理的移动电话,寻求最快响应。
技术支持热线:
0086800-860-0011
XX地区技术支持热线:
(固定电话)
紧急情况联系电话:
(XXX:
集团海外事业部XXX)
电话支持服务终生免费提供。
E-mail:
公司将提供有效的E-mail联系方式,贵单位可随时利用E-mail提交故障单,并得到及时响应。
Email:
bjwebservice@(服务专用邮箱)
(XXX:
集团海外事业部XXX经理)
现场服务:
在规定的响应时间内,公司的专业技术人员将到达现场提供服务;服务过程及结果将形成文档,文档的格式与内容将严格遵守ISO9001质量保证体系的要求。
设备维修与更换:
当发生设备故障或损坏时,首先由贵单位电话通知公司;公司接到通知后,将立刻与贵单位沟通,了解设备现象的详细描述,并明确处理方法;设备损坏、发生故障而影响系统正常运行时,将迅速将备品备件送达故障点;设备发生故障且暂时不影响系统正常运行时,公司技术人员首先判断故障是否将更加严重并危及系统运行,并将如实向贵单位进行汇报,并迅速拿到备品备件,送到故障现场。
设备版本升级与增强:
在合同规定的技术服务支持期内,将根据贵单位的需要免费提供设备版本(如管理软件、系统BIOS)升级服务。
3)保修期及保修内容
保修期:
整机保修3年。
4)备品、备件及备机支持:
我们根据本项目的特点和设备的配备情况,将在下文详细阐述备品备件、备机的存放策略、管理方法等等,从而对贵单位系统的稳定运行提供了可靠的保障。
针对本项目,公司建立了备品/备件/消耗品保障体系。
备品备件数量
根据IT业界的标准、惯例和我们以往的经验,对所有设备都提供相应数量的备品/备件。
我们除在公司总部存有相应的备品备件,在xxx备件分库中心也配备了备品备件。
xxx备件库的备件数量都是按照提供3年保修的需求进行配备的。
备品备件管理和发放策略
备件库环境满足设备存放要求,具体可以参见相应设备的随机资料中声明的环境要求参数。
一般来说,存储温度保持在5—35摄氏度;湿度保持在30%—85%。
在各管理中心安排专人管理备件库,负责库内设备管理,做好清单统计;保证随时响应贵单位的故障设备更换请求,及时提供贵单位所要求的设备。
备品备件补充策略
为保证及时向贵单位提供必须的设备,我们将对备件库进行及时的补充。
如果故障原因在保证范围内,在好的备件转交给贵单位后,管理员将立即向总部备件管理中心发出通知,请其在规定时间内返回维修或更换设备,以保持备件库的完整性。
新购备件和经维修/更换后的备件,到达一级备件中心后,进行严格测试,经测试合格的备件送入备件库待用,不合格的产品则立即联系更换。
5)VIP项目组支持
我们为本项目技术支持与服务配备了如下人员:
项目总负责:
xxx(集团海外事业部xxx经理)
专家支持小组组长:
xxx(集团海外事业部xxx技术经理)
服务监督组组长:
陈彬(集团服务中心总经理)
主要技术人员:
xxx区技术人员。
通过项目组的控制来提供保质保量的服务。
6)VIP应急方案
对于突发性的问题,我们拥有系统应急策略,尽量减少系统停机时间,尽快恢复系统运转。
下面,介绍我们的系统应急策略:
人员组成:
为应付系统的各种突发事件,各项目单位的对口技术专家支持小组同时也承担着相应单位系统应急工作。
当贵单位系统发生紧急事件时,请立即与其紧急联系人取得联系,紧急联系人和专家支持小组将立即成立应急支持中心,由本小组负责协调公司所有资源,调动和指挥公司和现场附近的技术支持中心的工程师,竭尽全力为贵单位提供最迅速、最有力的支持。
时间安排:
对于突发事件的响应不受工作日与非工作日的限制。
只要贵单位系统发生紧急事件,请立即与我们的专家支持小组联系,相应的技术专家将立即协商、确定解决方案。
其他突发事件应急
对于其它任何突发事件,我们都本着尽快恢复系统运行为第一目的的原则,借助于一级备品/备件库、备品/备件中心来全力对系统进行恢复,尽量减少损失,让贵单位系统恢复运行。
7)保修期过后的VIP服务
在三年免费保修期结束之后,我们将继续向贵单位提供完善的技术支持和售后服务,服务内容和保修期内服务内容相同,仅需要酌情收取一定的配件费用。
售后服务分工响应程序
公司本着对用户负责的基本原则,为了严谨、认真地为用户服务,保障用户的切身利益,详细地细化售后服务分工响应程序。
根据用户服务请求分辨是要求网络支持、硬件维修、还是软件维护,然后做出不同的分工响应,提供全面的系统整体支持服务,使用户系统运行更为可靠、稳定。
全文完
升级会员 