2018年8月，平安云高分通过公安部“网络安全等级保护”(以下简称“等保2.0”)四级认证，目前全国仅4家云厂商通过此测评。

　　2017年6月1日全面实施的《网络安全法》要求落实网络安全等级保护制度，共分为五级，等级越高，意味着安全保护能力越强，四级是目前云服务提供商所能满足的最高级别。平安云平台通过了云等保四级测评,定级为四级，意味着平安云可以提供金融级的高质量安全服务，帮助用户满足新法规下的严格合规要求。

　　国家信息安全等级保护认证

　　近年来，随着人工智能、大数据、物联网、云计算等的快速发展，安全趋势和形势的急速变化，2008年发布的等保1.0已经不再适用于当前的安全要求，网络安全等级保护已经进入2.0时代，等级保护制度成为新时期国家网络安全的基本国策和基本制度。

　　等保2.0的基本框架包含技术和管理两个核心维度，细分要求包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理八大板块，一共300项要求，共涉及测评分类73类。

　　等保2.0(即“网络安全等级保护”)与等保1.0(原“信息安全等级保护”)相比，从认证维度、内容等多方面对企业提出了更高要求。名称上即可看出，等级保护的对象全面升级——之前保护的对象是计算机信息系统，而现在上升到网络空间安全层面。从内容上看，从一个基本要求上升为安全通用要求和安全扩展要求(含云计算、移动互联、物联网、工业控制)。不同于等保1.0标准偏重对防护的要求，等保2.0标准更适应当前网络安全形势的发展，结合《网络安全法》中对于持续监测、威胁情报、快速响应等方面提出了具体的落地措施要求。

　　1. 云平台的等级和云上租户的业务系统等级有何关系?

　　根据《网络安全法》的规定，云平台的等级不可以低于云上租户的业务应用系统的最高级，并且明确规定“国家关键信息基础设施(云计算平台)的安全保护等级不低于三级”。比如一个互联网金融公司，运营的系统定到了四级，那么选择的云平台也必须是四级的云平台，如果选择三级的云平台，其在备案时会遇到一些问题，而且即便是上云以后，在监管方面也是不合规的。

　　2. 租户的系统已经上云，是否可以不用再去定级?

　　在新的定级指南中，有明确说明，云计算平台和云上的租户应用系统需分开定级。不过，根据国家等级保护监管部门明确的云计算平台测评结论复用原则，平安云平台上的客户系统通过等级保护测评时只需测评自身业务系统及所负责管理和维护的虚拟机、虚拟网络和数据库安全，无需对云平台进行重复测评。

　　平安云安全合规承诺

　　此次评测中，平安云平台全节点历经定级、备案、测评、整改、复核验证等阶段，最终达到了云等保2.0四级的相关要求，作为可以承载国家关键信息的IT基础设施，满足金融、医疗、智慧城市等强监管行业对云计算安全合规、高可用、高可靠的高标准需求。

　　诞生于全球30强的金融集团平安集团，基于30年金融业务场景的丰富积淀，平安云对安全与合规的理解更加深刻。从数据中心建造设计到安全体系的构建和安全细节的把控，均处于业内领先水平。此前已获得国际云安全联盟CSA C-STAR、可信云认证、ISO27001等九项国内外权威安全合规认证，成为国内金融云行业标杆。

　　平安云安全负责人表示：“一直以来，我们都把云上安全与合规作为头等大事，平安云稳固支撑着集团众多核心系统的运行，用户把数据托付给我们是对我们的信任，我们会通过不断的探索，完善云安全体系，为客户和合作伙伴提供更加可靠的服务。”

　　“不负所托”是平安云给客户的安全合规承诺。据悉，现在平安云上已经有包括安全咨询、应急响应等安全专家服务，对外开放平安的安全服务能力，未来更多企业可以通过平安云获得平安多年积累下来的宝贵安全合规经验。

　　开源软件让云服务部署加速前行

　　为了提高云部署的速度与稳定性，英特尔IT部门为私有云增加了混合解决方案，包括OpenStack软件——一种可扩展的开源云操作环境。使用OpenStack，加上内部代码与现有的企业软件，英特尔IT部门部署了云基础设施，将数据中心解决方案转变为可快速获取的用户服务。

　　在2010年开始实施私有云时，英特尔IT部门的初期目标是提供简单的计算laaS，使用户能更加便捷获得服务器。为此，英特尔IT部门在整个环境中推行自动化，并使应用开发人员和应用所有者为应用环境快速部署基础设施。

　　基于2012年在早期的实际使用，英特尔IT部门在2013年计划转而使用更多的混合解决方案，以便让一部分容量运行在公有云和私有云中。甚至计划每3-6个月在企业私有云中实施混合云模式的模块与功能。使用外部云提供商可以让英特尔IT部门能够进一步提取部署的资源，根据成本、位置与监管要求，灵活确定计算与存储需求的来源。英特尔IT部门的目标是创建一种开放云，把公有云环境当做数据中心服务的扩展。这包括监控成本并使该环境看起来、运行起来都犹如基础设施的扩展，提供应用和数据的无缝用户体验。无论是内部或外部，最终用户需要随时随地通过任何设备轻松、安全地访问他们的应用与数据。

　　当一切都成为服务——计算、网络、存储和软件，API就成为云应用的构建模块与杠杆点。将应用拆分为单独的web服务，API可使应用的功能集成至其它的云应用并重复使用，同时为每个服务支持适当的扩展。设计良好的API还可提高相互操作，保护应用免受基础技术实施与供应商特定实施的影响。

　　这样做的主要动机在于英特尔IT部门洞察到业界对于企业IT的全新期待。让用户选择设备(IT消费化)的概念正席卷各个企业。习惯经由互联网获得服务的企业IT最终用户期待轻松获取应用、存储与连接，并快速接收更新。

　　新的实施计划扩展了选择面，并让思维不局限于当前的解决方案，能够寻求最灵活、可管理和高效的解决方案来满足自身需求。英特尔IT部门需要快速改变策略，将所有的数据中心解决方案作为用户服务提供，这对于多数运行未构建基础设施API的企业IT而言是一项庞大的工作。对英特尔IT部门而言，这意味着要为该解决方案打下坚实基础：网络结构的万兆以太网，所有全新的刀片服务器及存储节点的高密度双机架单元服务器。

　　目前，英特尔推出基于最新英特尔至强可扩展处理器的服务器。几乎所有组件都具备冗余以实现出色的弹性与高度稳定，但是整个系统也不会过度配置，以控制基础设施成本。

　　为了满足对用户服务的期待并实现对所有数据中心组件的自动化管理，英特尔IT部门将各种现成商用、开源和公有云解决方案作比较，评估了多家供应商的多种大规模云解决方案。最终认为，最适用于环境的解决方案是为当前环境增加OpenStack。OpenStack是一种开源软件栈，用于支持高度可扩展的基础设施。它提供一种开放、可扩展的框架，以管理laaS云中的各类资源，包括计算、网络和存储资源。英特尔IT部门的决定取决于OpenStack开发人员社区的优势、开发人员和管理员文档的质量和代码演进的速度。

　　使用开源软件的优势

　　企业IT可能会担心开源软件具有一定风险，例如:与通常配有专门支持团队解决技术问题的现有产品相比，可能不具备针对开源应用的技术支持；开发开源解决方案的社区最终可能背离公司的最大利益，或开源解决方案可能被大型公司收购；实施时间的自然增长，及最终超过现有解决方案的培训与再开发成本；担心不受控制的开源使任何人都可破坏代码。

　　然而，英特尔IT部门将开源软件用于设计网格(Design Grid)由来已久，并发现了如下优势:

　　强大而活跃的社区，众多第三方公司提供出色的支持服务。大量与英特尔规模相近或规模更大的公司实施或运行OpenStack，辅以他们自己的代码。OpenStack的广泛使用可确保特性与功能将继续反映企业的需求。

　　丰富的文档，包括管理指南、API文档和开发人员文档，可确保学习曲线较短。

　　对开源代码库的完全访问，包括严格的同行评审及整合各种代码之前的接受与回归测试。

　　频繁的更新周期——每6个月进行一次重要发布，可帮助快速实施最新的特性与功能，包括性能与效率改进。

　　在对开源软件OpenStack评估时，英特尔IT部门发现OpenStack不仅安全可靠，而且还可满足其它的大规模计算要求。另外，在从专有解决方案向开源解决方案转变时，还有一些令人瞩目的优势，包括：

　　能够实现相互操作、尽量减少厂商锁定并帮助达成混合云目标。开发团队可专注于更高价值的云功能领域，并通过与社区合作帮助开放式的云技术行业快速发展。

　　转变更快，成本更低。与实施私有云环境的基本要素相比，采用开源软件得以在开源社区中完成大量工作。因为其他企业IT也使用OpenStack，各企业IT便可一起编写必要的核心代码，无需单独编写后再在社区中分享。

　　减少提供计算laaS的时间，更多时间用以提供更高级别的服务领域。这可提供应用开发人员需要的更高级服务，提高最终用户的工作效率。

　　英特尔IT云平台解决方案堆栈

　　如图1所示，英特尔的全新云解决方案包括:

　　图1. 英特尔IT云平台解决方案堆栈图表，描述开源组件和其它组件及它们相关的更新周期。

　　具有配置管理数据库(配置和状态管理)管理层、观测器(事件监控)、决策器(基于规则的自动化决策者)、执行器(配置与状态执行)及采集器(用于运行时配置和目录的运行数据库)等组件。

　　具有基础组件的OpenStack云操作环境。

　　包括计算、存储和网络组件的物理基础设施。

　　为了将新基础设施和软件版本更新的影响降到最低，英特尔IT部门设计了支持定期升级的云平台，它可以更出色管理员工设备在IT基础设施和软件要求方面的快速变化。例如，每6个月发布新版的OpenStack，并预期其发布后的3个月内集成下一版本：Folsom。核心服务和对象存储的定期升级不会给最终用户造成宕机，是开放云运行模式中持续集成与演进这一核心理念的关键特性。

　　提高系统的稳定度和利用率

　　英特尔IT部门正致力于实现更高的系统稳定度，这是众多计划中的一个。目标是主要业务服务达到99.99%，这意味着一年中计划内与计划外的宕机时间不超过52分钟。这种水平的HA需要实施大量的自动修复。目前的系统稳定水平在99.7-99.95%区间波动，因应用不同而有所差异。

　　实现这一目标的一种途径就是采用活动/活动应用设计。如图2所示，在活动/活动实施过程中，两个或更多数据中心同时处于活动状态，每个数据中心都运行不同虚拟服务器上的常用应用。这些数据中心完全对称。在应用网络内，任何交易信息可发送至任何数据中心，再由后者读取或更新任何数据项组。

　　图2 在活动/活动应用设计中，两个或更多数据中心同时处于活动状态，在不同虚拟服务器上运行的常用应用以确保高度稳定。

　　活动/活动方法可提供最高灵活程度并最优化的系统投资，因为对于所有可用的处理容量而言，请求的负载保持均衡。如果一个数据中心发生故障，其它数据中心的用户不会受影响。另外，发生故障的数据中心的用户可快速切换至正常的数据中心，快速恢复他们的服务。在活动/活动模式中使用多个实例，可实现更高的性能、稳定度、利用率和灵活度。

　　英特尔IT部门计划添加更多复杂的使用案例。有必要借助能够对照动态模型进行根本原因分析的关联引擎改进决策器。例如，观测器和决策器可能会突然接收到大量针对一组应用服务器的告警。这由潜在的网络或存储故障造成，但决策器并未意识到这点，因而继续在该组应用服务器上进行适当的操作。通过借助功能更强的关联与分析引擎(能够理解它接收到的消息的上下文)改进的决策器，能帮助它做出更明智的决定。

　　提高服务水平与符合规范

　　和许多企业IT一样，英特尔IT部门向大量企业技术作投资，从服务管理工具到身份验证和授权工具。使用开源基础设施的一大主要目标就是了解它与企业使用的现有解决方案的整合效果到底有多出色，如服务管理系统。与服务管理系统的整合至关重要，尤其是正在转变为完全的信息技术信息库环境。

　　根据架构与设计目标，系统需要提供用于追踪服务水平与符合规范的必要数据。配置采用管理系统，加上监控系统与关联引擎，可帮助在供应时间与资源关联。然后，该信息被提供给消息总线，并导入服务管理工具。

　　观测器也会在供应时间获得该信息，以确保资源被立即监控及资源告警可通过消息总线再次被服务管理工具轻松捕获，从而支持快速、独立的自动修复，例外情况只要求操作人员接收事故清单以进行问题管理。

　　利用消息总线模型和发布与订阅方法，该设计可极其灵活地识别和记录引起告警的原因、引起自动修复起因和生成用于操作人员故障分析的清单。

　　全新的英特尔IT云平台解决方案堆栈可以提高资源管理与其它优化的自动化水平，帮助企业IT向联合的、相互操作和开放云的目标迈进重要的一步。它使得在设计核心laaS解决方案上所花的时间减少，将其用于更高水平的服务领域，以提供更佳的服务，让应用开发人员使用它们来构建可提高最终用户工作效率的应用。

　　英特尔将继续使用可提供最佳解决方案并契合云演进的商用软件，而OpenStack可提供多功能工具，支持构建用于管理和提供各种资源(如云中的计算、网络和存储资源)的开放式可扩展框架。

　　短期来看，英特尔预计将继续改进所有层面的云平台。下一步的关注重点包括协调、块存储、自动扩展策略、实时迁移和复杂的应用部署。英特尔还计划继续向混合解决方案演进，使得能够更轻松地使用公有云服务