标准规范下载简介
SF/T 0033-2019 公证数据中心建设和管理规范简介:
SF/T 0033-2019《公证数据中心建设和管理规范》是由中国公证协会发布的一项行业标准,该标准主要针对公证数据中心的设计、建设和运营进行指导。公证数据中心,顾名思义,是为公证业务提供数据处理、存储、管理和分析的专门设施,它对于保障公证信息的安全、完整和有效性具有重要作用。
该规范的主要内容包括以下几个方面:
1. 数据中心的选址和设计:要求数据中心应选择在安全、稳定的环境中,同时满足数据存储和处理的能力,以及电力供应、网络连接、防火、防灾等物理安全要求。
2. 系统架构和管理:规定了公证数据中心应采用的系统架构,强调数据备份、恢复机制,以及数据安全策略、权限管理等。
3. 信息安全:强调了对公证数据的加密、认证、审计等功能,以防止数据泄露、篡改或丢失。
4. 运维和服务:规定了数据中心的日常运维管理流程,包括故障处理、性能监控、系统升级等。
5. 法律法规遵从:要求数据中心建设和运营需符合国家相关的法律法规,包括数据保护法、网络安全法等。
总的来说,SF/T 0033-2019标准是为了确保公证数据中心的高效、安全和合规运行,以更好地服务于公证业务,保护公众的合法权益。
SF/T 0033-2019 公证数据中心建设和管理规范部分内容预览:
下列术语和定义适用于本文件
SF/T 00332019
遵循EVB802.1Qbg所要求的扩展支持能力DB34∕T 2833-2017 装配式钢筋混凝土通道设计规程,保证
可用化要求如下: a)在网络整体设计和设备配置上应采用双备份策略; b)在网络连接上应消除单点故障,提供关键设备的故障切换; c)关键设备之间的物理链路应采用双路穴余连接,按照负载均衡方式或双机热备方式工作; d)关键主机应采用双路网卡,应使用全余方式使系统达到99.999%的电信级可靠性。
纵向流量转换成复杂的多维度混合方式,应使整个系统具有较高的吞吐能力和处理能力。
开放接口要求如下: a)应提供开放的API接口; )应保证服务器存储、网络等资源能够通过API接口、命令行脚本实现对设备的配置与策略下发
SF/T 00332019
网络机房的整体能耗应遵循GB50189和GB/T2589的相关规定。采用低能耗的绿色网络设备
公证数据中心总体架构如图1所示
图1公证数据中心总体架构
公证数据中心总体架构主要包括:资源池、云计算服务管理平台和公证数据中心安全体系。 a)资源池又包括:计算机资源池、存储资源池和网络资源池; b 云计算服务管理平台对资源池和应用进行管理调度及告警监控; c)公证数据中心安全体系保障公证数据中心的安全可靠运行。
5.2计算机资源池设计要求
5.2.1计算机资源池架构
计算机资源池的架构应由机架式服务器、刀片服务器构成,条件具备宜增加区块链资源,其中: a)力片服务器应通过服务器虚拟化部署一般业务系统和web应用系统: b)机架式服务器应用于部署管理平台和高负载数据库服务器等; c)区块链资源用于部署区块链技术,应实现对数据的加密计算。
5. 2. 2 配置与选型
SF/T 00332019
计算机资源池的配置与选型要求如下: a)根据实际业务发展情况应按需扩容、滚动建设; b)一台物理服务器应可虚拟多台虚拟机,应根据应用服务所需资源而定; 刀片服务器虚拟化后的虚拟机可部署一般应用服务器,高性能服务器虚拟化后的虚拟机可部署 重载数据库服务器: 每台物理服务器要求配置应不少于3个千兆以太网电口,分别用于虚拟化平台管理口、应用系 统对外提供服务、连接NAS(网络附属存储)存储设备; e 如需连接SAN存储设备还应部署HBA(主机总线适配器)卡和光纤交换机
5. 2. 3服务器选型
服务器选型要求如下: a)标准机架式服务器可选择典型的是2U或4U的型号,包含2到4个CPU插座,2到8个PC 或PCI一X插槽,4到6个硬盘托架; b 刀片式服务器应考虑刀片式架构中的每个刀片所包含CPU数及最大内存。应考虑对于每个 机服务器用于支持一定数量的客户机所需的网络和存储I/0,保证力片上运行的每个宿主 务器和刀片底盘自身能够提供支持
5.3存储资源池设计要求
5.3.1存储资源池配置应采用存储虚拟化技术,搭建支撑云计算中心高效运行的存储保障环境 5.3.2存储虚拟化环境应不少于2组存储虚拟化硬件设备,每组配置2个以上控制器,72G以上高速 缓存,并提供相应的存储资源虚拟化管理软件。 5.3.3高速SAN存储网应不少于2台高速SAN光纤交换机
5.4网络资源池设计要求
网络资源池组网物理拓扑图如图2所示
SF/T 00332019
图2网络资源池组网物理拓扑图
网络资源池设计结构要求如下: 应满足双网双平面结构,网络接口、网络链路以及关键网络设备均配置余部件; b 网络接口上每台物理服务器至少配置2张网卡,分别用于业务服务、虚拟化平台宿主机管理、 IP存储系统互联; C 业务服务网络根据业务属性不同,通过VPN划分为公用网络区、互联网接入区、专用网络区; d 虚拟化计算资源可在不同的网络区域中自由迁移
网络资源池结构安全要求如下: 应设置防火墙、隔离网闸、运维审计、数据库审计系统等安全设备; b 防火墙应用于实现同一网络区域中不同业务系统的之间的安全隔离; C 隔离网闸应用于在VPN隔离的不同网络区域之间进行安全数据交换,同时用于电子公证之间的 数据安全交换
5.4. 4 存储安全
资源池存储安全要求如
SF/T 00332019
a)宜采用区块链资源实现区块链计算资源部署,该区块链资源接入在核心交换机设备上,与其他 服务器资源形成局域网 b)应在高性能服务器部署软件区块链技术解决方案
网络虚拟化要求如下: a)应在云计算平台的汇聚层部署汇聚交换机、防火墙、IPS、负载均衡器等设备,实现网络服务 虚拟化; b) 虚拟化技术模拟汇聚层交换机,每个模拟出的交换机应拥有它自身的软件进程、专用硬件资源 (接口)和独立的管理环境,不同物理端口分配给不同的虚拟交换机,且虚拟交换机之间不应 共享端口; 采用网络虚拟化技术,对不同设备进行虚拟化分区,应包括安全审计虚拟化、负载均衡虚拟化、 IPS/IDS虚拟化、防火墙虚拟化四个方面
5.4.6IP地址及DNS
IP地址及DNS要求如下: a)IP地址规划应遵循国信办和国家外网工程办有关规定和指导意见; b)公证数据中心的网络带宽应不低于100MB
5.5云计算服务管理平台要求
云计算服务管理平台应包括以下内容: a)IT基础架构中的物理资源和虚拟资源的管理; 宿主机的管理接口(统一设置宿主机上某一个单独物理网卡用于云计算管理平台对虚拟机的管 理通讯)应进行统一V江LAN规划,实现不同分区的虚拟机在同一个资源组中迁移,实现云计算 平台对3个区的统一管理。
5.6公证数据中心安全系统要求
公证数据中心安全系统要求包括laaS、PaaS、SaaS、云安全服务、安全防护等级五个内容,具 见5. 6. 2、5. 6. 3、5. 6. 4、5. 6. 5和5. 6. 6。
5. 6. 2laas 要求
Iaas要求如下: 机房、电源、监控等场地设施和周围环境及消防安全,应严格按照国家相关标准,并满足24 小时不间断运行的要求进行设计建设。其具体安全措施应遵循GB/T9361和GB/T2887的相关 规定; b 通信线路应采用铺设或租用专线方式建设; C) 通信线路应远离强电磁场辐射源,埋于地下或采用金属套管; d 通信线路应定期测试信号强度,确定是否有非法装置接入线路,在线路附近有新的网络架设、 电磁企业开工时,可请专业机构负责检测; e 通信线路应定期检查接线盒及其他易被人接近的线路部位,防止非法干扰; f 骨干线路应在骨干线路或重要的节点设置几余线路和环形路由:
SF/T 00332019
g)骨干线路应设置几余电源配置; h)骨干线路应在重要部门重要业务系统所属的相关线路设置元余或环形路由; i)主机安全应采取的措施和技术手段包括身份认证、主机安全审计、主机入侵防御、主机防病毒 系统; 网络安全应来取的安全措施和技术包括防火墙、IPS、网络安全审计系统、防病毒、防病毒网 关、强身份认证; k 在互联网环境下应将SAN存储分隔为两个数据区,分别作为中心应用数据区和社会公众数据 区,进行存储区域划分实现数据隔离。
5.6.3PaaS要求
PaaS要求如下: a)公证数据中心应配备运维安全审计系统,通过防火墙、IPS、漏洞管理、网页防篡改等安全技 术手段保障由外部发起的攻击,实现对应用运行安全的全方位防护; 应安装PKI(公钥基础设施)应用服务器,结合CA(认证机构)中心,实现对接口的强用户认 证,接口数据加解密和有效接口的访问控制。
5. 6.4 SaaS 要求
5.6.5云安全服务要求
云安全服务要求如下: a)云平台应进行上线检测、监控服务以及2个月一次的远程巡检和现场巡检服务; 应定期远程巡检、定期现场巡检; 应有远程安全值守服务; d)应有安全加固服务。
JIS A0007-1967 建筑用铁制框架墙壁构件的标准公称尺寸5.6.6安全防护等级要求
公证数据中心机房建设基本要求如下: a)应按照数据中心机房B级以上标准进行建
SF/T 00332019
b)应配置网络KVM,实现“无人机房”; c)网关和集成服务器应在专门的网管控制中进行设备管理、软件调试工作,人机分离,应提供统 一、集中的访问权限管理,管理员按照用户权限分配专门的账号给网管人员和集成服务商技术 人员。
布线系统要求如下: a 机房内通信电缆及电力电缆应在走线架上布放,布线距离应尽量短而整齐; b)通信电缆与电力电缆应分别按不同路由敷设,如相互间距离较近,则应保持不低于100mm; c)应预留1个机架作为配线架专用机架,每个设备机架配置一套不少于24口配线架,
机房环境要求如下: a)应遵循GB50174与GB50462相关要求; b 所有设备应放在计算机房环境里,室内清洁无尘; 温度应介于(15~30)℃,每小时变化<10℃; d 湿度应介于(40~70)%,不结露、霜; 机房荷载要求:主机房楼面等效均布活荷载标准值应为6kN/m:控制室楼面等效均布活荷载 标准值应为4.5kN/m; 机房照明方式应采用一般照明,水平面(距地0.8m)照度应为(200~450)LX,直立面(距 地1.4m)照度应为(30~50)LX; 名 现有机房地板应具有足够的强度,应是难燃材料或非燃材料,同时耐油、耐腐蚀、柔光、不起 尘;新建机房不应采用活动地板; h 建筑物的接地应采用联合接地系统,接地电阻值应小于1Q
消防安全要求如下: a 机房的电源线与信号线的孔洞、管道应分开设置,机房内的走线除设备的特殊要求外,一律应 采用不封闭走线架;交流线应采用绝燃材料加护套,并用金属套管; b) 机房建筑材料应采用非易燃或阻燃材料; 主机房应同时设计安装消防报警系统: d 施工中应把电力线与信号线分架分孔洞敷设。确实需同槽同孔敷设或交叉的,应采取可靠的隔 离措施; e) 机房设备的排水管不应与电源线同槽敷设或交叉穿越。确实需同槽或交叉的,应采取可靠的防 渗漏防潮措施: 机房空调隔热层应采用不燃或阻燃材料: 施工完毕应将竖井和孔洞用不燃或阻燃材料封堵
GB∕T 31439.2-2015 波形梁钢护栏 第2部分:三角形梁钢护栏设备供电要求如下: a)遵循GB50174与GB50462相关要求:
SF/T 00332019