中标麒麟安全云操作系统

中标麒麟安全云操作系统是国内首款安全云计算操作系统。其基于安全技术开发、适用于构建云计算环境的国内首款安全云操作系统产品，其通过虚拟化技术将服务器计算资源聚合;利用简洁易用的云计算管理平台和功能、强大的高级配置服务，方便用户快速创建自己的虚拟服务器、虚拟网络及虚拟桌面，为用户的应用服务提供性能接近于物理机的计算机资源;同时基于虚拟机的动态迁移和节点自动扩展功能提高了系统的可用性和扩展性;支持海量数据的存储环境，为用户提供随时随地云存储服务;支持安全组策略、数据节点的安全防护机制、云存储的数据传输和存储过程的安全保密、云服务身份认证、入侵检测和访问控制等安全措施，保障安全云操作系统的全面安全可靠。

图：中标麒麟安全云操作系统整体架构

资源虚拟化：聚合软硬件资源

中标麒麟安全云操作系统提供多种虚拟化的资源服务，包括：计算虚拟化、存储虚拟化、网络虚拟化和桌面虚拟化。这些虚拟化资源聚合成共享资源平台，为用户提供接近于物理机性能的应用服务。

计算机虚拟化

KVM、Xen和VirtualBox

支持KVM、Xen以及VirtualBox虚拟化技术，将服务器计算资源聚合到资源池中，可根据客户需求准确地分配给应用程序。

存储虚拟化

弹性块存储

为了更高效地利用存储资源，中标麒麟安全云操作系统提供基于Web界面的弹性存储管理。用户可以通过Web界面进行存储空间的申请，绑定及释放等操作。弹性存储的持久性、可靠性更强，并能对存储作快照，可用作数据备份。可实现高效，安全的使用存储资源。

全局云存储

全局云存储提供安全可靠的、支持海量数据的云存储环境，解决了数据节点的安全防护、数据传输和存储过程安全、云服务身份认证和访问控制等存储安全防护问题;提供安全易用的客户端程序，可让用户随时随地访问存储。中标麒麟安全云操作系统提供本地登录和直接登录两种登录方式。在保证存储安全的基础上，提供各种操作支持，包括：创建/删除目录、查看/更改目录权限属性、上传/下载文件、删除文件、设置文件权限属性等。

全局云存储的主要特性有：安全存储、多级防护。

分布式文件系统

中标麒麟安全云操作系统使用一个大规模的、安全可靠的，具备高可用性的分布式文件系统，以实现存储的虚拟化，为客户提供高效且可靠的海量云存储。

网络虚拟化

虚拟交换机

虚拟交换机为虚拟机实例提供网络资源，以便在虚拟环境下进行网络通信。虚拟机实例有内网IP和公网IP：内网IP由平台自动分配，外网IP资源可以从外网IP资源池中按需分配，确保同一个用户的多个虚拟机(跨多个物理机)分配在同一个VLAN中。

网络安全组

用户可以自定义网络安全组，并且可以把虚拟机实例放在不同的安全组中，增加虚拟机实例的网络安全，简化用户的网络维护，实现最佳网络管理。

防火墙

中标麒麟安全云操作系统内置增强型防火墙，默认设置严格保证云端安全，避免虚拟环境遭受外界攻击，并可根据云服务特点进行安全定制。

桌面虚拟化

VNC、RDP和XDMCP

支持多种远程桌面连接方式，如VNC, RDP, XDMCP，并且在Web管理界面中集成了VNC，RDP，通过浏览器就可以远程连接到虚拟机实例上。

应用服务：有效支撑客户应用服务

中标麒麟安全云操作系统提供对应用服务的控制，包括：可用性、可监控、扩展性以及安全性。

可用性

无需复杂的冗余硬件或者软件，为应用程序提供高可用性支撑。

高可用

传统的高可用性方案要求购置新的硬件设备，投入高而且管理和维护都很麻烦。利用中标软件虚拟化技术，以软件的方式实现高可用性的要求，把计划内宕机、意外宕机的恢复时间降至最低，并且完全独立于硬件、操作系统和业务应用，在最短的时间内自动重启应用系统，轻松保证服务质量。

动态迁移

当需要进行硬件资源维护时，传统方法需要将应用服务暂停或迁移到新的硬件平台上，此过程存在较高风险。 利用中标麒麟安全云操作系统提供的虚拟化技术可以自动化地把整个系统(包括操作系统、应用以及数据)通过简单操作即可轻松、快速、安全的迁移到其他硬件资源上并提供不间断服务。同时还可以轻松的备份恢复、导入导出所有重要的数据，保证数据的可靠安全。

可监控

中标麒麟安全云操作系统针对服务器等资源提供基于Web界面的性能监控。监控信息包括：所有物理机和虚拟机的运行状况，实时监控CPU，内存使用率，网络流量等，并能够提供云计算服务器自动拓扑图，为云平台的正常运转提供保证。同时，这些监控信息可以为虚拟机的创建调度提供依据，在保证虚拟机实例性能的同时，提高物理服务器的使用效率。

可扩展性

根据客户需求自动无中断地提供适量资源

负载均衡

企业和互联网数据中心的IT负载会随时间呈现出巨大的波动。通过采用中标麒麟安全云操作系统的负载均衡技术，根据预设的规则和临界值在虚拟机间动态的均衡应用和业务，动态提升业务处理性能，最大化的发挥云平台的计算能力。

自动扩展

用户可以自定义自动扩展策略，当中标麒麟安全云操作系统管理的虚拟机实例负载过高时，可以自动运行新的虚拟机实例，并结合负载均衡功能，使部署在虚拟机上的应用程序能保证最佳的服务质量。

安全性

为客户提供适当级别的安全防护策略

文件系统安全

服务器采用基于LSM机制的SELinux安全子系统框架，提供自主设计的无root帐户管理与权限集管理功能，支持安全管理模式切换、核心数据加密存储、特权用户管理、基于双因子认证体系的身份鉴别、进程级最小权限、结合角色的基于类型的访问控制、网络安全防护、细粒度的安全审计、安全删除等多项安全功能，并且可根据用户特定需要安全灵活地进行系统定制。

身份认证安全

基于Access Key与Secret Key结合的身份认证机制，使认证更安全可靠，效率更高。

入侵检测

中标麒麟安全云操作系统，可自动分析网络数据包，对云端是否遭受远程攻击进行智能判断。收集的信息提供多备份存储，避免关键信息被清除。网络管理员可根据警示信息及时发现入侵行为。

（责任编辑：落雪）