2024年6月,昆区某政府机关信息科赵科长找到我说:”杨工,市政府刚下了通知,要求我们在2025年6月前完成全部核心业务系统的信创替代,OA系统、档案管理系统必须迁移到国产化平台,数据库也要从Oracle换成国产数据库,而且采购的国产电脑要全部通过等保2.0三级测评。”该单位87台电脑(联想启天M4300,Intel i5-9400+Windows 10),新采购65台华为麒麟W515(海思盘古M900处理器,银河麒麟V10 SP3)。
【咨询设计】
信创替代不是简单的换电脑,而是涉及操作系统迁移、应用软件适配、数据迁移、密码安全改造、合规测评五大系统工程。
第一阶段:完成65台华为麒麟W515的初始配置和域控加入(基于银河麒麟操作系统的域控制器),建立统一身份认证体系。
第二阶段:应用兼容适配。OA系统和档案管理系统优先采用KVM/QEMU虚拟机方案运行Windows子系统(银河麒麟V10 SP3内置KVM,分配2vCPU+4GB内存+80GB虚拟磁盘给Windows 10虚拟机)。
第三阶段:数据迁移。使用USMT 10(Microsoft用户状态迁移工具,银河麒麟版)进行用户配置文件迁移(文档、邮件配置、浏览器书签),旧电脑硬盘使用ProMax ER910执行安全擦除(SM3/SM4算法7次覆写)。
反直觉洞察:赵科长一开始担心麒麟系统的软件兼容性,说:”杨工,银河麒麟能打王者荣耀吗?”我跟他解释:政府办公电脑不是娱乐电脑,重点是业务系统能否运行、文件能否打开、邮件能否收发。银河麒麟V10 SP3基于Debian社区的长期积累,软件生态已经相当完善,对于确实没有麒麟版的Windows专有软件,KVM虚拟机方案已经能够覆盖95%以上的场景。
【施工规划】
华为麒麟W515初始配置规范:银河麒麟V10 SP3安装完毕后,更新系统补丁(sudo apt update && sudo apt upgrade);配置安全基线(关闭bluetooth、SELinux设为enforcing、开启firewalld、禁止root远程登录);安装国产办公软件(WPS Office 2019 for Linux、永中Office 2019 for Linux、腾讯会议Linux版、360安全浏览器银河麒麟专版)。
信创密码改造:OA系统数据库升级密码存储算法(MD5+Salt→SM3 SaltHash),使用GmSSL(国密开源密码库,支持SM2/SM3/SM4);网络传输加密从RSA 1024升级至SM2 256-bit。
【安全补丁】
麒麟系统安全加固:开启银河麒麟系统自带的安全防护中心,安装360安全卫士Linux版(银河麒麟专版,提供实时病毒防护和漏洞修复);系统补丁更新策略:每日凌晨2:00检查更新。
统一终端安全管理:将65台麒麟电脑纳入北信源信创版统一终端管理平台,开启:外设管控(禁用USB存储设备)、应用白名单(仅允许白名单内的办公软件运行)、屏幕水印(防止截屏泄密)、敏感词审计(监控含”机密””秘密””绝密”等关键词的文件外发行为)。
等保2.0三级密码安全改造:对OA系统的身份鉴别(SM2数字证书认证)、访问控制(三权分立)、安全审计(所有操作行为写国密SM2签名日志)、通信保密(SM4端到端加密)四个控制点进行全面改造。
【验收交付】
系统功能验收:OA系统(KVM虚拟机内Windows 10运行)在麒麟系统内正常运行,功能测试用例100%通过;档案管理系统(Java+Oracle迁移至openEuler+openGauss)功能测试用例98.5%通过。
密码安全验收:使用GmSSL工具包对SM2/SM3/SM4实现进行验证测试,确认符合GB/T 32918要求。
等保测评验收:委托具有等保测评资质的测评机构对65台麒麟电脑内网进行了为期5天的等保三级测评,最终得分78.5分(良好),符合”基本符合”验收标准。
【售后承诺】
不舍昼夜技术为昆区政府信创替代项目提供2年现场质保,包括麒麟系统日常运维、虚拟机Windows子系统维护、应用软件兼容问题处理。每月提供1次系统巡检(含安全补丁更新检查、密码证书有效期检查、等保合规自查)。服务热线:17704868686,不舍昼夜,为您的信创替代保驾护航。