还剩80页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
大数据中心(城市运行云)平台建设方案
(2022)43上,支持用户在WAF中自主导入证书与私钥,从而实现业务的全链路加密,避免数据在链路中被监听的可能,从而满足对于HTTPS业务的安全防护需求WAF既可以防护OWASP的常见Web应用攻击,也可以缓解CC攻击同时,WAF支持根据网站实际业务制定精准的防护策略,过滤对用户网站有恶意针对性的Web请求
5.日志审计,提供基于云计算平台的一体化审计解决方案对标信息系统安全等级保护基本要求,统一日志分析从物理服务器层面、网络设备层面、云计算平台应用层面分别进行审计,实现行为日志的收集、存储、分析、报警等功能通过采集各个云产品、网络设备、主机、数据库等数据源的相关日志,并通过所设置的审计规则结合审计规则引擎完成对整个专有云的安全审计工作,对于触发规则的操作进行报警提示同时,统一日志分析提供日志查询与规则配置功能,全面满足用户的等保需求
6.入侵检测,是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高r信息安全基础结构的完整性它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象支持南北向互联网边界、东西向内网边界网络流量监控,监控网络流量趋势
7.数据加密服务使用多种加密算法对数据进行可靠的加解密运算52满足数据安全需求具备高可用设计并支持弹性扩展加密服务是一款云上加密解决方案服务底层使用经国家密码管理局检测认证的硬件密码机,通过虚拟化技术,帮助用户满足数据安全方面的监管合规要求,保护云上业务数据的隐私性要求借助加密服务,用户能够对密钥进行安全可靠的管理,也能使用多种加密算法来对数据进行可靠的加解密运算
8.主机安全,是为主机提供漏洞管理、基线检查、入侵检测、资产管理等安全防护措施支持主机安全防护、应具备高可用设计并支持弹性扩展,满足所有主机安全防护需求物理机安全通过在物理服务器主机上部署的客户端进行信息搜集和检测,实时检测云环境中所有物理服务器主机,通过主机列表、入侵检测、日志检索等功能帮助用户及时发现物理机的安全隐患
9.网站防篡改,是支持锁定需要保护的网站页面(例如敏感页面),被锁定的页面在收到请求时,返回已设置的缓存页面,预防源站页面内容被恶意篡改带来的影响
10.数据发现与脱敏,是数据发现与脱敏系统采用专门的脱敏算法对敏感数据进行变形、屏蔽、替换、随机化、加密,将敏感数据转化为虚构数据,隐藏了真正的隐私信息,为数据的安全使用提供了基础保障同时脱敏后的数据可以保留原有数据的特征和分布,无需改变相应的业务系统逻辑,实现了政务业务高效率高安全的使用生产的隐私数据
11.敏感数据保护,主耍用于发现和识别大数据产品的敏感数据在53帮助客户实现等保
2.0二级有关“安全审计”与三级有关“个人信息保护”的合规要求的同时,为客户提供敏感数据自动识别、分级分类、大数据安全审计与数据脱敏等数据安全能力,形成一体化的云上全域数据防泄漏与安全解决方案,并满足《数据安全法》中提出的有关要求
1.
2.
1.5资源服务
1.关系型云数据库,是一种稳定可靠、可弹性伸缩的在线数据库服务基于分布式文件系统和高性能存储,提供了容灾、备份、恢复、监控、迁移等方面的全套解决方案,彻底解决数据库运维的烦恼
2.云原生关系型云数据库,是一个稳定、高性能、高安全的政务级关系型云数据库,提供了自主可控、高度兼容Oracle语法的通用关系型云数据库,满足政务Oracle数据库迁移上云原生关系型云数据库,实现安全合规
3.分布式缓存,是兼容开源Redis协议的在线Key-Value存储服多种数据源之间数据交互的数据服务数据传输服提供了数据迁移、数据实时订阅及数据实时同步等多种数据传输能力通过数据传输服可实现不停服数据迁移、数据异地灾备、跨境数据同步、缓存更新等多种业务应用场景,构建安全、可扩展、高可用的数据架构
8.数据库自治服务,是一种基于机器学习和专家经验实现数据库自54感知、自修复、自优化、自运维及自安全的云服务,帮助用户避免数据库管理的复杂性及人工操作引发的服务故障,有效保障数据库服务的稳定、安全及高效
9.数据库管理服务是,一款Web端的数据管理软件,主要用于管理关系型云数据库、NoSQL数据库及OLAP数据库类型它是一种集数据管理、结构管理的数据库管理服务数据管理通过可视化的数据操作服务,让用户通过浏览器来使用他们的数据库通过在线编辑,可完成表数据的操作、表结构的变更,而不需要编写复杂的SQL语句
10.大数据计算服务,是-•种快速、完全托管的GB/TB/PB级数据仓库服务大数据计算服务提供完善的数据导入方案以及多种经典的分布式计算模型,能够更快速的解决海量数据计算问题大数据计算服务平台是基于完全自主知识产权的云计算平台构建的数据存储与分析平台大数据计算服务平台作为一个海量结构化数据离线处理与分析的平台服务融合了分布式存储与计算、分布式数据仓库以及互联网云计算服务等先进技术和运营理念,以云计算服务的形式实现海量数据的分享与处理,可以满足从流式计算到离线计算,从数据仓库建设到数据挖掘多种场景的需求11流计算服务,是提供SQL表达能力的流式数据加工处理引擎,流计算通过订阅数据集成提供的流式数据,驱动流计算的运行流计算服务(以下简称流计算)是一种完全托管的分布式数据流式处理服务,对海量55数据提供了实时计算能力,具有低延退、高并发、高可靠等特点该功能底层采用先进的分布式增量计算框架,可以实现低延迟响应,以SQL的形式提供流式计算服务,并且完全屏蔽了流式计算中复杂的故障恢复等技术细节,从而帮助实时业务开发人员极大的提高了开发效率
12.全文检索服务,是一个基于Lucene的搜索服务器它提供了一个分布式多用户能力的全文搜索引擎,基于RESTfulweb接口全文检索服务是用Java开发的,并作为Apache许可条款下的开放源码发布,是当前流行的政务级搜索引擎设计用于云计算中,能够达到实时搜索、稳定、可靠、快速且安装使用方便
13.数据报表(BI)服务,是提供从数据接入到模型分析、数据可视化呈现全流程BI能力,有效整合政务多业务数据源,帮助政务业务快速获取决策数据依据系统采用敏捷自助式设计,使用者仅需通过简单拖拽即可完成复杂的报表输出过程,通过和XX政务及时通讯软件打通,快速实现报表的分享、推送、评论互动等协作场景
14.交互式分析数据库,是提供简单、快速、经济高效的PB级云端数据仓库解决方案云数据仓库兼容PostgreSQL11协议,与大数据生态无缝连接,支持高并发和低延时地分析处理PB级数据借助于该产品,您可以使用丰富的PostgreSQL开源生态工具,实现对云数据仓库中海量数据的即席查询分析、ETL处理及可视化探索
15.机器学习服务,服务提供一站式机器学习服务平台,为用户提供56从数据预处理、模型构建、模型训练、模型评估到模型服务的全流程开发支持内置丰富的算法组件,支持多种算法框架,满足多种AI应用场景的需求自动化建模的支持与拖拽式任务流设计让AI初学者也能轻松上手
16.大数据开发服务,是基于离线大数据计算能力引擎、实时大数据分析能力引擎,对数据进行可视化拖拽式大数据开发和治理,形成大数据垂直数据中心、公共数据中心和莘取数据中心,对外以统一服务的方式提供服务大数据开发平台借助离线和实时计算分析引擎,构建海量数据实时和离线数仓大数据开发平台包括数据源管理、多租户模型管理、数据开发IDE、数据采集、数据管理、数据质量、实时分析、数据服务、离线调度和对外服务(Open API)依赖于离线大数据计算引擎和实时分析引擎,对外提供宏观决策、智能监管、智能报表,大数据可视化大屏等服务
17.实时数据分发服务,是提供的流式数据服务,它提供流式数据的发布和订阅的功能,让您可以轻松构建基于流式数据的分析和应用实时数据分发平台服务可以对各种移动设备,应用软件,网站服务,传感器等产生的大量流式数据进行持续不断的采集,存储和处理用户可以编写应用程序或者使用流计算引擎来处理写入到实时数据分发平台的流式数据比如实时web访问日志、应用日志、各种事件等,并产出各种实时的数据处理结果比如实时图表、报警信息、实时统计等
5718.数据可视化服务,是基于系统提供的流式计算、离线计算能力,从业务角度输出用于业务监控、业务接待相关的数据大屏,从数据源、组件设置、页面设计三个方面完成大屏的可视化开发数据源支持CSV、静态数据、SQL多种方式,帮助制作人员快速基于业务结果做可视化的展现,并投放到多终端大屏当中(如电视屏、PC端、手机屏等)构建一站式的大数据可视化应用设计、开发平台,能够根据变动频繁的大数据可视化需求灵活的开展相关的大数据可视化应用设计、开发、发布等管理流程
19.分布式应用服务,是一个分布式产品作为核心基础组件,其充分利用云IAAS资源,引入中间件整套成熟的分布式计算框架(包括分布式服务化框架、统一的会话框架,链路追踪和稳定性组件等),以应用为中心,帮助政务用户轻松构建大型分布式应用服务分布式应用服务对于分布式应用强大的管理能力,能够非常方便的帮助政务级应用实现一站式应用生命周期的管理,体现到包括服务治理、基础监控、应用监控和应用诊断在内的一系列配套管理服务;同时,分布式应用服务独创的链路分析,限流降级、容量规划和自动压测等一系列稳定性模块,将极大的提升用户对大型分布式应用的管理能力,利用弹性伸缩,轻松应对各种流量高峰用户可以根据用户的应用系统和资源需求,选择独享实例的云服务器集群、基于Kubernetes的容器服务Kubernetes集群或自建Kubernetes集群
5820.云服务总线服务,是处理系统间服务互通和管理的计算服务,面向专有云和专有域,帮助政府业务在自己的多个系统之间,或者与合作伙伴以及第三方的系统之间实现跨系统跨协议的服务能力互通各个系统以发布、订阅服务API的形式相互开放,并对服务API进行统一管理和组织,围绕API互动,实现政府业务内部各部门之间,以及政务业务与合伙伴或者第三方开发者之间业务能力的融合、重塑、和创新
21.业务实时监控服务,是一款端到端一体化实时监控解决方案的PaaS级云产品服务通过该产品服务,用户可以基于海量的数据迅速便捷地通过定制化为政府业务带来秒级的业务监控和响应能力
22.消息队列服务,是基于高可用分布式集群技术,提供消息发布订阅、消息轨迹查询、定时(延时)消息、资源统计、监控报警等一系列消息云服务,是政务级互联网架构的核心产品消息队列为分布式应用系统提供异步解耦、削峰填谷的能力,同时具备海量消息堆积、高吞吐、可靠重试等城府城市运行应用所需的特性
23.容器服务,是一种高性能可伸缩的容器管理服务,支持企业级Kubernetes容器化应用的生命周期管理容器服务简化集群的搭建和扩容等运维工作,整合虚拟化、存储、网络和安全能力,打造云端最佳的Kubernetes容器化应用运行环境
24.API网关服务,是提供API托管服务,覆盖设计、开发、测试、发布、售卖、运维监测、安全管控、下线等API各个生命周期阶段帮助59用户快速构建以API为核心的系统架构,满足新技术引入、系统集成、业务中台等诸多场景需要
601.
2.
1.6设备托管服务提供设备托管服务,可对托管设备提供基础网络配置
1.
2.
1.7总体架构根据政务网络安全管理、信息安全等级保护等要求,在城市运行云中明确部署和划分互联网区和政务外同区,两个区域之间应按照要求进行安全隔离并提供必要的安全保障,分别承载政务外问和互联问应用,政务外网应用与互联网应用实现安全隔离和数据交换因此在总体规划上设计为两朵云,分别为政务外网云与互联网云,两朵云间物理区域隔离,政务外网云与互联网云间若要数据交换则需要通过安全数据交换区互联网区右北向上联互联网出口允许互联网访问,另外互联网区云与公共云之间通过高速通道实现集中突发的公共服务业务能及时向公共云上弹性扩展政务外网区云南北向上联政务外网实现与政网外网间的数据访问,政务外网区云通过光纤与行业专网实现互通总体架构示意图如下61目录
461.
2.1容月服务内服
1.
2.计算服务存储服务
1.1网络服务
1.
2.安全托务
11..
22.资源架务设备要管
11..
25.总体构
11..
32.总体求
11..26体设.机房
11..
42.传输
1.
71.
2.
1.
2.
661.
81.
2.
681.
2.
21.
2.
8211.
2.
851.
2.
2.
1.
2.
8811.
2.
951.
2.
1.
2.
1102.
21.
2.
1101.
2.
1121.
1121.
2.
1121.
2.
1121.
2.
1141.
1151.
2.
1151.
1171.
2.
1171.
2.
1.
2.
1.8总体要求、本次项目属服务采购项目,采购内容是选定1家城市运行云服务商,确定云服务目录和服务单价63
二、云服务商必须在签订合同后15天内(含)具备测试运行能力,30天内(含),完成项目建设并提供相应云服务能力;云平台必须在签订合同后6个月内,通过三级等保测评,6个月内完成网信办云计算服务安全评估工作,按照国产密码应用相关规定的要求开展密评工作
三、云服务商必须按照采购人提供的设计要求,提供详细的技术实施方案,搭建市城市运行云平台,包含机房、云计算、云存储、云网络、云备份、云安全、应急资源池、独立资源池等服务同时,有义务配合市级各部门系统迁移上云和系统故障分析等相关工作
四、云平台必须有资源余量保障应急部署需要,每月开展关键资源(CPU、内存、存储空间、网络带宽、服务授权等)使用情况评估,及时进行资源扩充
五、云平台建设所使用的软硬件、产品和服务,涉及密码其密码算法和密钥,必须符合《中华人民共和国密码法》相关要求
六、为保证云平台软硬件产品的实施部署质量和提供更好的服务,云服务商需在实施(包括前期规划、顾问方案设计、迁移、安装、培训服务)以及日后维护过程中全部提供本地技术支持和服务
七、其它总体要求,见表1表1总体服务要求序号服务名称服务要求提供云平台需要的机房环境,包含安全可控的独立机房区1机房域、电力、机柜、制冷、门禁及视频监控等2传输线路提供政务外网区和互联网区传输线路64建设满足等保三级要求的云平台,提供包括云管理平台、云计3云平台算、云存储、云网络、云安全、云备份、托管、国产化资源、应急资源等服务;开放对接云监管平台和政务“云、网、数、端”统一运营管理平台需要的接口提供上云、跨云迁移和部署服务,包括数据迁移、镜像迁移4云迁移等
1.
2.2总体设计
1.
2.
2.1机房
1.机房应在XX区域范围,提供至少40个机柜(含托管)的机柜空间,并具备至少100个机柜的扩展能力每个机柜应满足双路供电,机房空间和供电在满足本期建设规模基础上,具备适合业务扩展的扩展能力
2.机房要具备独立的管理和监控能力提供较高性能的安防、环境智能监控(实现对设备电流量的监控、机房温度监控、机房湿度监控等)、灭火系统等基础设施服务,机房抗震烈度达8度或以上机柜区域配备专用门禁和24小时监控系统,视频监控画面可远程调用,云服务商需开放相应的接口或者提供专属监控服务,监控录像保存时间大于6个月
3.云服务商应保证云平台所用的服务器设备可持续获得电力供应,每年持续电力供应时间在
99.999%以上
4.云服务商需提供机房同区域的办公场地,满足日常运维值班、设备安装调试、业务系统迁移等工作需要
5.提供7X24人工值守以及响应电话,提供7X24全天候技术支持响应
651.
2.
2.2传输线路
1.云服务商提供至少2条且每条带宽不低于10G的裸光纤与市政务外同核心机房连接市电子政务外网核心机房发生变化时,云服务商根据实际情况调整线路
1.
2.
2.3云管理平台
1.云管理平台软件要求提供匹配云平台运行环境的云管理平台软件,采用OpenStack或者国产自研技术路线,通过云管理平台软件对资源进行管理,实现弹性计算、自动化部署、资源区域划分等功能;采用插件、接口、管理帐号等方式纳入云监管平台统一和政务“云、网、数、端”统一运营管理平台的管理
2.云管理平台硬件要求云服务商平台硬件配置应满足云管理平台部署,后期可进行动态扩容,应保证各功能节点的高可用性
3.云管理平台运维要求云服务商平台要对云资源进行动态优化,提供相关的动态优化方案,提高资源利用率
4.云管理平台软件详细功能要求,见表2表2云管理平台软件功能要求序号要求指标要求产品成熟度需云管理平台软件需自主可控,采用国产自研技术架构或者1求Open stack架构2基本模块至少具备计算服务、存储服务、网络服务、安全服务664个管理模块将现有的软、硬件资源进行资源池化云管理平台软件应动态提供虚拟化的资源,包括虚拟机、存储、负载均衡、虚拟网络等支持不同的计算虚拟化技术,包括kvm、xen等,支持主流厂商物理机资源管理新增同构物理服务器资源可以自动被3计算服务管理识别,并加入到平台的资源池中,扩容过程不应停止原有服务,且不对原有服务造成影响支持不同架构的存储服务及模式,包括分布式存储,精简配置4存储服务管理模式,仅交付存储数据所需的实际存储空间量,随着虚拟磁盘上存储数据量的增加而增加空间供应量支持虚拟网络管理、虚拟路由器管理、虚拟网卡管理和公网5网络服务管理IP管理等功能包括虚拟防火墙、虚拟入侵防御、虚拟主机安全等安全资6安全服务管理源,支持安全服务的查询、创建、修改、删除当虚拟机所在的硬件设备维护升级时能够实时迁移到其它硬件设备上运行,虚拟机中的服务不应停止当原硬件设备维护7虚拟机热迁移升级结束后也可以将虚拟机从其他硬件中迁移回来,在迁移过程中不影响服务玄管理平台软件要能够提供虚拟机冗余机制,酣置了高可用的应用虚拟机或虚拟机所在的物理机出现宕机情况时,云管理平8虚拟机高可用台软件应支持自动切换至另外的其他虚拟机或物理机上,同时没有虚拟机CPU数量限制节点出现硬件故障,故障节点运行应用应能自动切换到另外一9故障自动迁移个可用节点并运行(无需人工指定操作,所有平台中可用的服务器都可以作为备份节点)支持第4到7层的均衡能力,支持web服务、中间件、数10负载均衡服务据库以及其它互联网服务,可以实时测量服务器利67用率和连接负载云服务商提供稳定可靠的最新商用版本云管理平台软件,11自动化部署实现应用自动化部署功能云平台支持与第三方监管平台的对接,提供统一的运维API能力,可以将平台的各类资产和运维系统中的数据通过API的形式提供给第三方系统参与云监管平台、政务“云、网、数、12接口需求端”统一运营管理平台与云服务商平台间监管接口规范的制定、开发,配合适配和联调等工作,每月提供实际资源的利用率情况除了能够满足目前设备资源使用以及业务支撑需求,还需要支13扩展需求持对接平台现有硬件设备(服务器、存储等),以及未来在线扩展的需求按照策略调整在故障修复、例行维修、迁移运行环境和节电休眠时,14运行资源通过多种管理策略调整应用系统的运行位置云管理平台软件需对用户使用的资源如虚拟机^存储IP、负使用量可计量15载均衡、虚拟网络等资源的使用做到精细化管理并提供统计分计费需求析功能,根据需要提供资源计量报告云服务商平台要对云资源进行动态优化,提供相关的动态优化16运维方案,提高资源利用率
1.
2.
2.4计算服务资源池
1.云平台应划分为互联网区和政务外网区,各服务区应使用不同的物理服务器,所有服务器至少万兆接入业务网络和存储网络配置数据中心级交换机,交换与控制板分离,主控及交换冗余
2.云计算资源池,即服务器资源池,采用KVM虚拟化技术路线,确保实现与其他云服务商平台互相迁移68物理节点上重新启动,保障业务的连续性9支持云主机磁盘国密算法加密,能够对云盘中的数据、云盘和实例间传输的数据、ZX盘创建的所有快照进行加密处理,保障数据的安全性10支持云主机网络防ARP欺骗,云平台应阻止用户非法修改IP地址和MAC地址后发出的数据包,提升安全性11支持用户通过VNC方式远程访问云主机,同时支持用户设置云主机VNC密码非系统密码,并能在用户VNC访问时进行VNC密码认证,保证终端用户对云主机的安全访问12支持用户通过快照对云主机的数据进行备份,通过快照进行云服务器的数据恢复,不限制快照数量1裸金属实例支持块云盘,且支持云盘热插拔2裸金属实例支持弹性网卡,且支持网卡热插拔3支持裸金属宕机迁移,当裸金属服务器发生硬件故障时,自动迁移重启,数据都保留在云盘中裸金属物理服务24支持与其它云产品例如存储、网络、数据库等无缝对器接,并且完全兼容云主机实例的镜像系统,具体可以使用云主机镜像创建裸金属实例,使用云盘创建裸金属实例的系统盘、数据盘,同时保证物理机集群和虚拟机集群间虚拟专用络无通信瓶颈1裸金属服务同时支持多个小规格实例独占物理服务器该架构下物理服务器无虚拟化性能开销和特性损失;独占物3GPU服务器理服务器的情况下支持VT-x嵌套虚拟化,具备再次虚拟化的能力2支持Tesla AMD等主流的GPU卡表4计算服务资源池性能要求序号指标项指标要求1云主机云主机规格支持vCPU N64,支持内存N512Go1裸金属物理服务器1CPU
32.4GHZ;N2路裸金属物理服*24核,内存》192GB+硬盘2*600G块存储,含托管2务器2裸金属物理服务器2CPUN
2.4GHZN2路*24核;,内存N384GB+硬盘2*600G块存储,含托
813.云主机支持挂载不少于16块数据盘,支持不少于32TB容量数据盘,支持根据配置的伸缩规则弹性扩张云主机实例,能够自动将云主机实例添加到负载均衡实例的后端服务器组和数据库实例的访问白名单中
4.计算服务资源池技术要求,见表
35.计算服务资源池性能要求,见表4表3计算服务资源池技术要求序号指标项指标要求1支持为云服务器指定IP地址创建云主机,支持进行IP的统筹管理支持配置IPv6/IPv4双栈网络,云主机实例可自动获取IPv6地址进行内网通信2支持云主机生命周期管理和维护,包括但不限于创建、启动、关闭、重启、更换操作系统,其中创建、启动、关闭、重启应支持批量操作3支持对云主机CPU、内存、硬盘等基础指标进行监控,同时支持对云主机系统中的各进程CPU、内存、打开文件数进行监控,提供系统级、主动式、细粒度监控服务4支持对云主机的系统盘和数据盘创建整机镜像模板,创建1云主机的镜像包含用户的业务数据,可用于快速发放包含用户业务数据的新弹性云主机5支持基于KVM架构虚拟机热升级,在云主机不停机的情况下升级虚拟化层或者为虚拟化层安装补丁支持双活和多活模式,在线替换技术实现在线热升级,做到用户无感知,保障业务的连续性6支持云主机按宿主机,机架,网络交换机物理拓扑的调度能力,提升业务的可靠性7支持云主机热迁移,可手工指定迁移任务的带宽限制,降低迁移流量对正常业务的干扰8支持云主机高可用宕机迁移,当某台物理节点发生意外故障,在其上运行的云主机能够在其他正常的38表5存储服务设备要求序号指标项指标要求1所支撑的硬件设备应配置冗余电源和风扇服务期间磁盘故障需更换时,故障磁盘应做消磁处理服务期满后,存储系统及介质1基本要求的处置,需经过采购人书面同意2需提供经权威部门测评的国产品牌存储服务器设备1为女主机提供的低时延、持久性、高可靠性的数据文件级存储设备2支持NFS V
3.0/
4.0,SMB协议,支持多个文件系统组成全局命名空间3支持将NAS指定文件或目录归档到对象存储,可以按照不同2文件存储时间段规则进行选择性归档4生命周期管理支持NAS和对象存储间进行数据流动5提供三副本数据保护,数据三副本支持分布在3个和L柜或3对不同接入交换机上6支持通过权限组对访问主机的IP地址进行读写访问权限控制,允许授权对象对文件系统进行只读操作或读写操作,当同一个授权对象匹配到多条规则时,高优先级规则将覆盖低优先级规则1为云主机提供的低时延、持久性、高可靠性的数据块级存储设备2支持磁盘的创建、删除、卸载、扩容、挂载、查询、初始化等功能3支持在线扩展容量,扩容期间无需关闭虚拟机,无需卸载云盘系统盘在线扩容不停业务3块存储4支持不少于两种商业化产品类型,每种类型具备不同的10性能5支持使用用户指定的KMS密钥进行加密,支持国密算法加密功能简单易用,无需用户构建、维护或更改程序、流程,磁盘加密功能对于业务没有任何影响•磁盘加密功能支持对以下类型的数据进行加密云盘中的数据/云盘和实例间传输的数据/加密云盘的斫有棣昭加宓,中昭,1支持对象的简单上传、追加上传、下载、删除、列举、复制,获4对象存储取对象的元数据、创建多段上传任务支持列举存储空间、创建存储空间、删除存储空间、列举存储空间内对象、
831.1项目概况经历多年信息化建设,XX己经积累了大量数字化、网络化、信息化基础资源;近年又围绕智能化建设,对智慧社会、智慧城市、智慧政府一体化推进进行了有益探索,无线城市、网格化管理、智能交通、智能安防、“一网通办”等城市智能化萌芽快速成长为城市政务管理提供综合应用及可视化、各单位专题应用接入、综合插件、智能化应用支撑系统等IT赋能内容,支撑各相关政府部门、企事业单位开展智能化应用,提升对政务管理的精细感知、精确认知、精准行动能力,让整座城市更有序、更安全、更干净
一、项目现状
(一)云上系统运行现状依据《市人民政府关于印发市“互联网+城市〃行动方案(2017-2020)的通知》《市政务云建设规划(2017-2020年)》的总体规划,我市于2018年启动市政务云服务采购项目,采用“企业投资建设、政府购买服务、市县统采分签”模式,统筹建设了1+N+1的政务云基础平台(即1个电子政务云监管服务平台、N个云计算云服务提供者提供基础计算服务平台、1个统一的云安全支撑平台),市政务云基础平台由曙光云、浪潮云和新华三云等三个政务云基础平台,面向各级政务部门和公共企事业单位提供基础设施资源,支撑全市业务协同、服务集成、数据汇聚和共享开放已承载市县两级101个部门1315个系统,其中78个市级部门663个系统,23个区(市)县652个系统
(二)业务资源管理情况453裸金属物理服务器3CPUN
2.4GHz;N2路*24核;,内存N768GB+硬盘2*600G决存储,含托管
1.
2.
2.5存储服务资源池
1.提供文件存储、块存储、对象存储、快照和日志存储服务,根据业务场景选择合理、灵活的存储方式
2.云存储架构可采用集中式和分布式存储,其设备控制器、电源等关键组件应实现冗余,存储节点应与交换设备实现双连接接入,不得存在单点故障隐患
3.互联网业务区与政务外网业务区使用相对独立的存储系统构建存储资源池,保证数据隔离及安全
4.采用分布式存储技术,采用三副本或纠删码容错技术保证数据安全使用SSD硬件加速,满足分布式存储高IOPS的性能要求根据性能容量需求对存储进行扩充,支持动态扩展
5.文件存储底层采用分布式存储系统,可将数据文件分别保存在不同交换机、机架的服务器上,通过多副本/纠删码EC ErasureCoding等技术确保数据可靠性
6.对象存储服务支持RESTfulAPI接口,通过开发工具包SDK或直接通过RESTful API进行基础和高级操作,提供key value键值对形式的对象存储服务,支持基于三副本和纠删码ECCErasure Coding校验模式的数据多重冗余备份
7.存储服务资源池设备要求,见表5o
8.存储服务资源池性能要求,见表682获取存储空间的元数据2支持将存储空间配置成静态网站托管模式,并通过存储空间域名访问该静态网站支持防盗链,支持设置基于HTTP header中表头字段Referer的防盗链方法3支持生命周期管理、定义和管理存储空间内所有对象或对象的某个子集的生命周期、变更容量和变更归属4支持存储空间监控/使用流量监控/每小时请求数;能够统计公网流入、流出流量内网流入、流出流量统计Get/Put object请求数,Get/Head-Post object成功请求数,Append/UploadPart/UploadPartCopy/Delete object成功请求数;服务端错误请求数、服务端错误请求占比、网络错误请求数、网名各错误请求占比、客户端错误请求数、客户端错误请求占比5支持客户端加密功能,可以使用客户端加密SDK,在本地进行数据加密,并将加密后的数据上传到对象存储,既支持云平台密钥管理系统托管的用户主密钥,也支持用户自主管理的密钥支持服务器端的加密功能,用户能够使用密钥管理系统上创建的密钥进行加密提供控制台截图证明可以使用国密算法对bucket内保存的数据以及单独bject进行加密存储1针对实时日志类数据一站式服务,无需开发就能快捷完成日志数据采集、消费、投递以及实时查询分析等功能提升运维、运营效率,建立海量日志处理能力2可视化分析支持线图、柱状图、环图、地图、词云、TreeMap常见图表,支持构建图层,支持拓扑图构建,支持外部矢量图导入支持markdown,图表自适应分辨率显示,支持全屏模式;支持Storm/Flink/SparkStreaniing方式消费数据;支持5日志存储JavaTython/Go程序流式消费数据3支持多种SDK采集服务端日志数据,包括Log4J、LogBackPI IP、Ci、JavaGo、.netios/androidPylhon zLogging Handler9种SDK04日志采集工具支持使用分隔符、正则表达式对文本文件内的日志采集、支持syslog协议、Kubemetes H志采集5支持日志聚类、变点检测、极大值检测、时序预测、时序聚类智能查询分析846支持json、文本、数值等数值类型查询、支持json格式中文本自动构建索引、支持对数据进行全文查询、支持多个条件组合查询And、Or、Not、支持原始日志中上下文查询前后N行7日志服务支持通过密钥管理服务对数据进行加密存储,提供数据静态保护能力支持使用托管密钥进行加密支持通过用户自带密钥BY0K加密1可以为所有类型的玄盘创建崩溃•致性快照,用于备份或者恢复6快照整个云盘表6存储服务资源池性能要求序号指标项指标要求1高性能块储存IOPS不小于25000,吞吐量不小于300MB/S;普通性能块储存IOPS不小于5000,吞吐量不小于140MB/S1块存储2支持三副本数据冗余备份>三副本模式下数据三副本支持分布在3个机柜或3对接入交换机上2对象存储1支持基于二副本和EC校验模式的数据多重冗余备份二副本模式下,数据三副本支持分布在3个机柜或3对接入交换机上
1.
2.
2.6网络服务资源池
1.提供负载均衡、DNS智能解析和虚拟专用网络服务,根据业务场景选择合理、灵活的网络方式
2.网络资源池要求采用SDN架构,支持VxLAN技术、IPv4/IPv6双栈网络、动态网络资源调配和隔离,支持与互联网、政务外网及行业专网的连接,采集东西向业务流量,配合向政务云监管平台和政务“云、网、数、端”统一运营管理平台汇聚业务流量
3.云平台分为面向政务外网服务的政务外网区和面向互联网服务的互联网区,两区之间采用强隔离技术实现数据交换或同步,隔离设备要85具有冗余,保障政务信息系统数据交互需求和性能要求
4.云平台要通过专线实现与市级政务云的政务外网统一出口连接建立专线接入区,通过专线与市级各部门(单位)专网连接;
5.云平台每个区网络至少划分为业务网、存储网、管理网等,存储、传输和交互的管理数据、网络数据、存储数据要进行有效隔离
6.网络采用高可用设计,包括网络线路和网络设备按照业务需要,划分不同的虚拟私有云安全域,不同虚拟私有云之间实现安全隔离提供VPN或运维堡垒机等安全技术手段,实现部门对云上系统管理;提供负载均衡和QoS服务
7.云平台互联网区与政务云统一互联网出口,云平台政务外网区与政务云统一政务外网区出口,要部署访问控制设备进行边界防护
8.网络设备的数量、功能和性能要满足本项目需求,根据业务需要进行扩展升级至少配置4台具备网络虚拟化集群部署能力的数据中心级高性能、模块化交换机接入交换机要具备虚拟化特性
9.提供政务外网区和互联网区数据中心级、高可用的核心交换机,提供满足云平台建设所需的其他网络设备配置至少4台核心层数据中心级交换机,交换机要具备满足云平台满负荷运行所需的高密度10G和40G接口板;交换机要具备基本网络功能、VxLAN功能、OpenFlow、IPv6网络功能、虚拟化功能
10.业务网络具备至少10G带宽能力,存储网络具备至少10G带宽能力,管理网络具备至少10G带宽能力
11.网络服务资源池技术要求,见表786表7网络服务资源技术要求序号指标项指标要求1支持4层TCP/UDP和7层HTTP/HTTPS协议类型的服务i正书支持国密算法ECC-SM4-SM3以及ECDIIE-SM4-SM32支持IPv6,支持过载IPv4或IPv6的后端应用服务器3七层负载均衡模式下支持配置域名或者URL转发策略将来自不同域名或者URL的请求转发给不同的云服务器处理4支持TCP/UDP监听在后端应用服务器无插件模式下直接获1负载均衡取客户端源IP地址5负载均衡支持4层一致性hash、轮询RR,加权轮询WRR和最小连接数WLC等调度算法,在上述每种调度算法4层支持TCP源地址会话保持,7层支持HTTP Cookie会话保持包括植入Cookie和重写Cookie等6支持健康检查,自动隔离异常状态的后端应用服务器支持健康检查端口与应用服务端口不相同UDP健凄检查支持用户自定义请求和应答字段7负载均衡提供监听级别的访问控制,基于监听配置IP地址段白名单,只有在白名单中的IP地址才允许访问负载均衡1支持内网转发配置管理和解析支持域名级别的转发操作,将特定域名的解析操作转发到其他DNS服务器上进行解析支持默认转发功能的配置2支持租户隔离的功能特性,满足专有云DNS按租户对DNS数据和解析隔离的功能DNS刊能23支持域名主机记录的添加、删除和修改操作的功能,支持的解析记录类型包括A、AAAA、CNAME、NS、MX、TXT、SRV、PTR、NAPTR、CAA、SOA4支持两种转发操作模式,强制转发模式和优先转发模式5支持基于地理位置的全局流量调度6支持基于权重策略加权轮训WRR的负载均衡策略7支持租户隔离的功能特性,支持权威域名的添加、87修改、备注、删除、批量删除操作的功能,同时也支持根据关键字进行模糊查询8支持全局域名的配置管理9支持基于地理位置的全局流量调度,地域基于内网IP地址段的分配来标注,租户侧dns云服务可以根据客户端访问的源ip判断地域,并把相同域名解析到不同的后端指定虚拟IP vip上,来实现基于地理位置的流量调度1支持用户创建自己的虚拟专用网络,同时支持自定义配置IP地址、子网、路由表支持不同虚拟专用网络之间的安全隔离2支持多运营商地址池3支持IPV6地址,支持弹性网卡绑定云服务器,在多个云服务器间自由迁移支持为弹性网卡绑定弹性IP4支持不同虚拟专用网络间互通3虚拟专用网络5支持共享虚拟专用网络,支持按租户和资源集的虚拟专用网络资源共享6支持创建IPv4NAT网关,支持SNAT和DNAT配置,用于支持NAT网关绑定多个地址7支持在控制台上针对虚拟专用网络配置多个CIDR地址段;支持新CIDR地址段的扩容8支持用户可以创建网络ACL配置.入向/出向规则,进行网络访问控制功能,实现对一个或多个子网流量的访问控制
1.
2.
2.7安全资源池
1.基于现有的政务云安全保障体系,利用新技术、新措施,将软硬件安全产品提供的安全功能迁移至云上,利用服务编排调度技术,实现安全功能灵活部署、资源弹性伸缩,为云上用户提供网站云端防护、综合漏洞扫描、网页防篡改等应用安全防护服务,提供数据库审计、日志审计等审计类服务,提供堡垒机等远程安全管理服务,提供主机安全防护等虚机安全防护,提供重大节假日安全防护、日常安全运维等安全评估88服务,安全产品具备虚拟化整体交付能力各种安全服务运行情况应通过市级政务云监管平台以统一界面方式展示给各云租户
2.如果政务云服务商提供的云安全服务工具不满足要求,采购人有权责令云服务商进行整改,如云服务商拒绝整改,采购人有权取消合同,由此造成的一切责任和后果由云服务商承担
3.主机安全产品获得公安部颁发的销售许可证(增强级)(说明提供证书复印件)
4.敏感数据保护至少支持针对大数据环境下离线大数据产品、对象存储、关系型数据库四类数据产品的敏感数据自动发现与打标功能,内置常见识别算法,支持自定义识别模型
5.敏感数据保护支持根据不同安全等级、不同敏感数据类型的数据资产全局搜索以及分产品搜索,搜索结果分产品展示;敏感数据保护支持图形化、级联展示各个产品的敏感数据资产位置、安全等级,支持同产品内同等级敏感数据的结果查询并图形化呈现
6.敏感数据保护至少支持大数据环境下离线大数据产品、对象存储等两类数据产品权限管理能力,能够实现通过数据资产定位权限相关人员/操作能力/操作条件,也能够通过部门定位人员定位账号进而通过账号定位相应数据权限
7.安全服务资源池技术要求,见表8表8安全服务资源池技术要求序号〜〜指标项指标要求891支持多种认证方式本地静态密码认证、RADIUS认证、LDAP认证、AD域认证2支持通过基于时间、用户/用户组、设备/设备组、设备账号、命令关键字、命令关键字、黑白名单等组合访问控制策略,授权用户可访问的目标设备3支持对RDP屏幕文字内容、标题窗口、键盘输入的记录和搜索定位;支持全字段搜索审计日志,只需通过关键信息快速搜索定位;支持会话录像在线回放、定位回放及下载后使用官方专用客户端离线回放安全审计4支持使用浏览器直接调用H5控件实现运维操作;支持1云堡垒机Web页面调用DB2cmd PLSQL、Toad、Mysqk SqlplussIsqlw、SqlAdvantage PowerBuilderSqlPlusWSqlldr、mstsc XshellSeciircCRT Putty、winscp flashFXPsFileZillas Netterm、LeapFTP等运维客户端工具5支持主机/主机组的多级架构管理实现主机资产管机/主机组架构的灵活调整6支持SaaS化多租户模式,每个租户能够管理自身规则、查看自身运维管理状态,数据基于租户隔离7支持常用的运维协议SSH、TELNET.RDP、SFTPc只方持用宓桶住TTP A聊.寺娃S1VU用宓加宓曾注一1支持人大金仓、达梦、神通、南大通用等数据库审计2支持跨语句、跨多包的绑定变量名及绑定变量值的审计;支持对超长SQL操作语句审计,可以正常记录单条长度小于等于2M个字节的SQL语句内容3支持审计访问来源信息支持审计应用身份信息支持2数据库审计审计数据库主机信息支持审计SQL语句信息;支持数据库告警功能,支持对根据IP、账号、客户端工具名、时间等定制规则进行告警4支持基于时间、1P地址、数据库服务器IP地址、用户名、数据库操作命令、数据库表名,执行结果,应用用户、数据库服务实例名、报文关键字等多种丰富的查询检索条件支持应用层关联审计查询和关联分905支持甲骨文数据库Oracle、微软数据库SQLServer.Db
2、Informix PostgreSQLSybase ASE、Sybase IQ、MySQL、MongoDB、SAP HANA、MariaDB、Percona等主流数据库支持Hive^HBase、Sentry、Impala、HDFS ESElasticsearch、GP GreenphimRedis等大数据平台的审计6支持云数据库MySQL、SQL ServerPostgreSQL、MongoDBs Oracle兼容、分布式关系型云数据库服务的审计1租户网络间及虚拟主机间通过虚拟防火墙进行安全隔离与防护,吞吐量兰1000Mbps,提供互访安全策略的访问控制等功能2支持网络入侵防护,防护类型包括Web扫描、端口扫描、暴力破解、异常连接、DoS攻击、信息泄漏、远程执行、反序列化、蠕虫感染、木马后门、挖矿行为、反弹连接等支持配置入侵防御模式为观察或拦截模式3支持查看所有流量经过互联网边界的公网资产列表,包括IP、实例ID、资产类型、地域、绑定资产、防火墙状态等支持云内资产同步4支持SaaS化多租户模式,每个租户能够管理自身规则、查看自身防火墙防护状态,数据基于租户隔离3虚拟防火墙5支持互联网边界内对外、外对内的访问控制,访问控制策略包括但不限于访问源、目的类型、目的、协议类型、端口类型、端口、应用、动作等6支持自定义IPS防护规则,包括爆破拦截、远程命令执行漏洞拦截和被感染后连接CC行为等指定规则的关闭和启用,并可以一键恢复默认配置7支持VPC边界防火墙访问控制功能,访问控制策略包括但不限于访问源、目的类型、目的、协议类型、端口类型、端口、应用、动作等8支持查看VPC-VPC以及IDC.VPC边界流量状态,包括实例ID.VPC实例、对端VPC实例、防火墙开关、防火墙状态、防火墙模式等911支持对常见Web应用攻击防御,攻击类型包括跨站脚本XSS攻击、SQL注入、文件包含攻击、信息泄露攻击、WEBSHELL.网站扫描等2支持创建独享VIP,不同域名分配不同VIP支持为同一域名分配多个不同VIP3支持智能语义分析引擎,不需配置规则即可完成对XSS、SQL注入、命令注入、SSRF、CSRF、PHP反序列化、Java反序列化、文件上传、PHP代码注入、Java代码注入等攻击类型的检虚拟Web防火测,在功能界面上可以以开关方式控制以上Web应用攻击检测引4擎墙4支持SaaS化多租户模式,每个租户能够管理自身规则、查看自身防御状态,数据基于租户隔离5支持防护互联网侧站点的攻击,也支持防护VPC侧站点的的攻击6支持自定义规则,能够在配置界面上设定规则的过期时间,至少支持秒、分、时、天的时间设定粒度7各租户专用可通过云管平台进行管理和调度;HTTP协议流量1000Mbps;可对SQL注入、跨站脚本等0WASP T0P10攻击进行防护,保障租户网站安全1提供云日志审计服务支持完成日志的收集功能2日志审计服务稳定性要求为
99.999%5日志审计3提供对操作系统、中间件、数据库、网络设备、安全设备等资产的日志收集、关联分析、口志存储和综合展示,满足等保合规需求1支持入侵攻击检测,实时检测各种类型的Web应用攻击、Dos攻击、异常链接、命令行为、溢出攻击、病毒蠕虫、暴力破解、木马后门、病毒蠕虫、挖矿行为、反弹shell等入侵攻击行为6入侵检测2支持日志记录,自动提取并记录攻击时间、被攻击应用、攻击方法、攻击来源ip、攻击类型等信息3支持互联网边界的出入双向流量安全分析,提供基于十元组及DPI的IP和应用流量分析聚合,十元组包括目的ip、方向、流量大小、访问源ip数、应用数、92市政务云为市级部门(单位)非涉密政务信息系统提供支撑服务按照“按需分配、有序竞争、总体平衡”原则,以满足业务部署的最小化配置分配初始资源截至2021年12月底,市级政务云共分配VCPU6万多核,内存192TB,存储
7.8PB托管29个单位44个应用系统设备200余台
二、项目目标针对城市数字化运营类业务建设统一城市运营云服务平台,以满足对城市运营类业务大数据高并发场景的支撑能力为政府各业务部门的城市治理应用提供IT基础设施资源,按照“物理分散、逻辑一体”的总体架构,承载委办局上所有城市数字化运营和复杂场景的应用
1.2建设内容L
2.1服务内容本次项目计划采购城市运行云数字底座,建设城市大数据资源池,支撑政府各业务部门通过大数据创新应用模型建设带动思维理念创新、带动工作方式创新,以政府业务和大数据技术的深度融合提升成都城市运营工作的全面效能,不断深化大数据在政府实际工作上的应用,持续创新和共享一批有政府特色的大数据应用算法和模型,提升分析和决策的准确度46看云平台物理机资产详情,包括进程、软件、端口和账号以及计划任务等;检索物理机安全日志,包括进程启动、网络连接、登录流水、暴力破解、进程快照、端口快照、账号快照等1提供云网页防篡改服务,防止黑客、病毒等对目录中的网9网页防篡改页、电子文档、图片等任何类型的文件进行非法篡改和破坏2网站防篡改可支持锁定需要保护的网站页面例如敏感页面,被锁定的页面在收到请求时,返回己设置的缓存页面,预防源站页面内容被恶意篡改带来的影响1支持系统支持自定义、图形化操作的脱敏规则和脱敏方式,支持UNICODE标准、中文等字符编码支持数据库到数据库、数据库到文件、文件到文件、文件到数据库等多种脱敏方式2支持系统应支持敏感信息的自动发现能力,系统具有内置敏感数据特征库,能对常见敏感数据自动识别3支持灵活的脱敏方案管理,脱敏方案与脱敏任务不绑定支持对脱敏任务进行停止、启动、重启,并且支持任务并发脱数据发现与10敏任务可兼容执行过程中遇到的异常情况,支持跳过异常数据继脱敏续执行任务,包括对异常数据的丢弃、填充、置空处理4支持无中间数据库情况下脱敏dmp文件;支持对Excel.CSV、DEL、TXT文件脱敏5支持定义文件脱敏模板,用户上传需要脱敏的文件后通过选择模板即可完成敏感数据确认、脱敏算法选择、脱敏方案选择等任务,便于快捷的对文件进行脱敏支持同义替换、数据遮蔽、分组字典、自定义函数等脱敏算法6支持多种数据源,包括Oracle.DB
2、SQLServer、MySQL、PostgreSQL、GBase、达梦、Hive等多种数据库及数据仓库1针对大数据场景中产生的数据流转异常/数据操作异常/11敏感数据保护权限使用异常事件的智能检测,提供异常事件处理50目的端口数、会话数、异常流量等、应用、协议信息4支持内网边界其它数据中心到VPC的出入双向流量安全分析,提供基于十元组及DPI的IP和应用流量分析聚合,十元组包括目的ip、方向、流量大小、访问源ip数、应用数、目的端口数、会话数、异常流量等、应用、协议信息5支持网络一键封禁功能,可以一键将恶意源IP添加到黑名单,并配置目的IP及任意目的端口,以对源I P进行封禁,且支持配置封禁时长1支持对接符合国家密码管理局要求及金融数据加密标准的国产硬件密码机,支持国产加密算法2加密服务应支持密码机设备管理与密钥管理权限分离7数据加密3支持加密服务管理控制台与云管理控制台同一界面,统一账号管理4支持通过数据加密服务对密码机进行服务化改造,可通过加密服务控制台按需开通或关闭加密服务1支持多操作系统支持主流操作系统,支持windows linux系统2支持漏洞检查支持对Linux软件漏洞、Windows系统漏洞、Web-Cms iS洞以及应急漏洞进行检测,针对检测出来的漏洞提供修复方案、验证等操作,提供具体漏洞详情3支持入侵检测支持进程异常行为、网站后门、异常登录、异常事件、敏感文件篡改、恶意进程云查杀、异常网络链接、8主机安全持久化后门等多种告警类型,针对检测出的告警可以选择加白、忽略、处理等处理方式4支持病毒查杀和网站后门查杀功能,对检测出主流木马病毒、勒索软件、挖矿病毒、防分布式拒绝服务木马后自动隔离查杀,阻断黑客攻击行为,防止后门再次利用提供防勒索备份检查功能,支持对备份频率较低的资产进行勒索风险提示;支持对主机开启Web应用防火墙功能,提供黑名单和白名单两种防护模式5支持查看云平台物理机资产情况和安全状况;查51工作台并提供处理结果统计;检测模型参与以及模型适用性支持客户自定义配置
(2)提供大数据环境下常见结构化数据传输工具、流处理数据传输工具的数据传输详情(来源/通道/去向)的管理
(3)提供大数据环境下数据静态脱敏功能
(4)支持对对象存储服务、数据库服务、大数据计算服务的日志审计,可对审计事件进行检索和查看|
(5)支持对关系型数据库服务的权限管理功能
1.
2.
2.8PaaS服务资源池
1.供应商需根据要求提供数据库、中间件、大数据等PaaS服务能力
2.提供大数据计算服务的软件产品须采用分布式计算框架提供大规模数据存储与计算能力,可按需扩容大数据计算服务具备单集群不小于3000台物理服务器并行作业且同一套服务支持调度多集群的能力(说明提供第三方测评机构测评报告复印件)
3.提供大数据计算服务的软件产品支持用户服务实例和资源管理基于项目空间隔离的能力,可支持不少于3000个用户项目空间(说明提供第三方测评机构测评报告复印件)
4.提供流计算服务的软件产品具备单集群支持项目空间不少于300PB数据量的能力;单表可支持不少于10PB的数据量,单表可支持不小于2000个分区的能力(说明提供第三方测评机构测评报告复印件)
5.提供流计算服务的软件产品须具备生产环境单集群支持不少于2000个运行作业的能力,生产环境计算集群可扩容至不少于500台物理服务器的能力(说明提供第三方测评机构测评报告复印件)
956.业务实时监控支持服务MQ调用信息查看,支持按消息topic维度展示请求数,响应时间和错误数;支持用户自建应用监控;支持基于用于自定义监控数据集指标的报警;支持通过精确查询调用链路详细情况,或结合多种条件筛选查询调用链路;支持Web界面可视化的调用链路的跟踪展示支持监控项支持报警功能,报警支持短信,邮件等
7.大数据开发服务支持常见关系型云数据库MySQL、SQL Server.PostgreSQL.Oracle;支持NoSQL数据库支持服务编排,提供拖拽式、可视化的服务编排能力,支持用户按照业务逻辑,以串行、并行和分支等结构编排多个API及函数服务为工作流;支持管理员新建导出任务,导出时支持全量、按时间增量、自选三种方式筛选导出对象支持导出的对象有周期任务、手动任务、资源、函数、表元数据、数据源、组件、临时查询、数据服务等
8.关系型云数据库服务支持虚拟专用网络和经典网络,可支持指定虚拟专用网络创建数据库实例;支持安全防护措施,支持白名单设置、结构化查询语言SQL审计等功能;支持数据安全套接字协议SSL传输加密、透明数据加密,支持用户自带加密秘钥能力,支持国内国外主流加密技术采用全冗余架构,无单点故障
9.分布式缓存服务支持秒级粒度监控,支持自定义监控项,包括基础监控cpu,内存,连接数,命中率,键值等、等常见类型监控,事务,订阅等监控;支持SSL加密访问,保证通信数据安全;支持多账号,支持设置读写、只读权限,最小化授权提供更高安全保障;支持白名单设置,提供灵活的安全访问管理能力支持端口号修改,避免默认端口号扫描风险
9610.数据库自治服务支持查看各个表空间的详情表空间、索引空间、碎片率、表结构等等、临时表空间的使用趋势、日志空间的使用趋势;支持表空间分析和诊断功能,支持大表识别、表空间碎片识别、剩余空间可用天数预测;支持诊断报告,提供一键生成数据库的诊断报告,报告内容包括性能容量、慢SQL分析、空间诊断、会话诊断等内容
11.数据库传输服务支持源库和目标库之间进行单向、双向数据同步支持用户侧和运维侧操作分离功能;支持至少五种以上主流数据库类型数据迁移源库和目标库包括但不限于关系型和非关系型数据库MongoDB;支持对迁移/同步的源端和目标端数据进行全量校验支持数据加密和多并发压缩传输
12.分布式应用服务支持发布过程支持分批操作以保证业务连续性支持按内容和按比例的灰度发布策略发布应用的过程中支持配置启动命令、环境变量和应用生命周期管理;支持基于SDK的传统微服务和基于基础设施层的混合微服务,服务网格Servicemesh框架能够为应用提供服务发现、负载均衡、链路追踪等服务治理能力;支持批量运维功能,可以对集群应用以及指定的机器节点批量执行运维命令支持Eclipse和IDEA两大主流集成开发环境IDE并进行本地开发端与云端系统的联调976支持列表分区,范围分区及二级子分区,同时支持分区交换及分区剪枝,分区表中支持多个分区键7支持基于IP的安全访问白名单控制1兼容开源Redis协议标准、提供开源可靠的缓存数据库服务,基于双机热备架构及集群架构,可满足高吞吐、低延退等业务需求2完全兼容开源缓存型数据库Redis
4.x,
5.0等系歹J,集群兼容性高,支持事务和订阅3提供多种规格的缓存数据库实例,支持实例的创建、重启、释放、备份、清除数据等管理操作;支持实例的网络隔离3分布式缓存4支持主从、集群不同形态,用户可以在不同形态之间进行切换且对外连接地址不变5支持多种实例规格,支持规格的在线变更,读写并发和存储容量可实现同步线性扩容6支持虚拟网络模式,支持持久化机制7支持实例的手动和自动备份,支持自动备份策略设置,支持主从、集群版等多种形态实例的原地恢复,克隆实制.方持名伶拿下都1兼容非关系型数据库MongoDB,支持多节点高可用的文档型数据库服务2兼容多个非关系型数据库MongoDB版本,支持通配符索引,支持JSON数据模型,二级索引能力3提供多种规格的非关系型数据库MongoDB实例,支持实例的创建、重启、管理、变配、释放等操作,支持实例的网络隔离4非关系型云数据库4支持副本、分片集群架构,支持多种规格,支持集群角色主备自动和手动切换5支持对数据文件的物理备份和逻辑备份方式,支持回滚恢复和备份文件下载6支持秒级粒度监控,支持对cpu、内存、10吞吐量iops、磁盘空间、网络流量、连接数、主备延迟等指标进行监控7支持IP2名单设置,提供灵活的安全访问管理能
9913.PaaS服务资源池详细技术要求,见表
914.PaaS服务资源池详细性能要求,见表10表9PaaS服务资源池详细技术要求序号指标项指标要求1可提供稳定可靠、可弹性伸缩的在线关系型云数据库服务2支持原生只读实例和读写分离功能,可支持不少于5个只读实例,自动实现读写分离以及读节点间的负载均衡3提供数据库自主诊断、慢查询分析,提供全面的健康状态以便用户自动化运维1关系型云数据库4提供记录数据库的所有结构化查询语言SQL访问记录的能力5提供用户自服务门户和API接口,用户可自行创建不同规格的关系型云数据库实例,并提供关系型云数据库实例的在线扩容、备份、恢复、性能监控、异常告警、日志管理等功能6支持业务无中断在线方式升级数据库规格及存储空间7支持对MySQL可视化日志管理,包括慢日志、错误日志、数据库主备切换日志等1高度兼容甲骨文数据库Oracle语法的通用关系型云数据库2至少需要支持Java数据库连接JDBC,开放数据库互连ODBC,甲骨文数据库调用接口0CI,PHP,.NET五种访问云原生关系型云数方式2据库3支持时空数据引擎,带有时间/空间位置信息的图形图像数据,用来表示事物的位置、形态、变化及大小分布等多维信息,除支持与标准地理信息数据类型外,至少还可扩展支持几何模型、栅格模型、路径模型、点云模型、轨迹模型4支持甲骨文数据库Oracle内置系统包5支持甲骨文数据库Oracle语法实现自治事务98力8支持存储加密TDE和传输加密SSL等安全加密能力9支持审计日志服务,支持查看用户,客户端IP,执行语句,消耗时间,执行时间等审计信息1兼容MySQL交互协议分布式关系型数据2支持大部分MySQL的语法,具备分库分表、平滑扩容、5库服务升降配、透明读写分离等分布式数据库核心能力和特性3具备轻量无状态提供分布式数据库全生命周期的运维管控能力1单实例同时支持全文索引、JS0N索引2单集群同时支持SSD介质存储实例以及HDD介质存储实例3支持基本数据类型6云原生数据仓库4支持多值列数据类型,用于表示一个列有多个不确定的值5支持聚集列可以把一列或者多列指定为聚集列,确保值相同或相近的数据保存在磁盘问一位置,有效的降低查询10开销6支持细粒度的运行监控,包括集群存活状态、CPU/磁盘使用率、每分钟查询/插入次数、耗时前十SQL、耗量前右走空间.先令反新提饰纲笺指标1支持关系型玄数据库、非关系型数据NoSQL、联机分析处理联机分析处理0LAP等多种数据源之间数据实时交换的数据服务7数据传输2支持对数据迁移/同步的源端和目标端数据进行全量校验3支持断点传输功能,能够在源端、目标端数据库或者网络故障中断恢复后自动从中断的位置恢复,继续提供服务4支持数据同步任务监控报警功能5支持数据迁移/同步对库、表、列三级对象名映射6支持数据迁移/同步对迁移数据进行和列过滤1007支持数据迁移、数据订阅、数据同步多种数据传输方式1支持秒级SQL分析功能,在秒级不大于10秒内每隔1秒钟执行一次查看SQL任务进程,然后将所有的结果集进行统计分析,可以非常清晰的看到在这期间哪些SQL执行的次数最多,是否存在慢SQL等2支持SQL诊断和优化,基于外置SQL优化器,定位SQL的性能问题,并输出SQL的优化建议,同时给出优化收面3支持会话管理功能,提供实时活跃会话分析、多维度分析8数据库自治统计分析功能,支持快速定位活跃会话数量最多的用户、应用服务器4支持实时性能,提供通过图标或者黑屏的方式,每隔5秒自动采集数据库性能信息,有效的帮助数据库盯屏和护航5支持异常会话自动识别功能,提供自动识别悬挂事务、执行异常的SQL、阻塞SQL,并可以直接对SQL进行Kill、限流或者优化6支持慢SQL分析功能,提供慢SQL去参数化和模版化,能够快速定位执行次数TOP慢SQL、执行耗时TOP慢SQL、锁等待时间TOP慢SQL1提供建表语句SQL脚本查看、下载SQL,提供导出表结构word、excel、pdf等多种格式2提供对应用无侵入的读写分离,通过使用分布式关系型数据只读实例或者MySQL备机实现读写分离,对应用无侵入,在9数据库管理分布式数据库控制台即可完成读写分离相关操作3支持SQL窗口SQL的执行、格式化、执行计划、补齐提示、结果集导出、常用SQL管理等功能4支持历史执行SQL的模糊查询,可查看SQL执行的开始时间、数据库、SQL、状态、行数、耗时、备注等信息5支持图形化批量操作表,至少包括批量清空数据,删除表,表维护和表名前缀1016支持图形化数据库克隆,可选源库全表或者指定表进行克隆7支持图形化自动生成测试数据,可指定数据生成方式,包括随机、逻辑依赖、枚举等8支持图形化表数据量统计,可以按照表名模糊查询,统计表行数、容量等信息9支持终端样式执行SQL命令10支持至少五种以上主流数据库类型包括但不限于关系型数据库、非关系型数据库MongoDB、缓存型数据库Rcdis11支持记录且永久保存全部操作记录支持对操作记录的多维度查询12对于上述三种数据库对象,支持其查询、导出、7^由R日Xrh Tr小]主___________________________________________________________1提供完整RESTful API的方式提供离线数据处理服务,提供JAVA SDK,Python SDK,等编程接口,支持JDBC接口等系列用户开发工具和接口2提供离线任务管理、监控告警的功能,任务运维管理支持两种模式可供用户选择,包括列表模式和数据库可用性组DAG模式监控告警是调度任务的监控保障系统,支持基线告警和自定义告警两种方式当任务出现错误或者延迟产出的时候,系统会通过预定义的方式告知用户任务状态用户可以按照自己定义的规则来配置告警规则10大数据计算3支持MapReduce编程模型的分布式计算任务,支持数据库可用性组DAG模式的作业处理方式支持作业优先级设置功能,可支持优先级设置,在作业任务资源分配优先级上进行细粒度控制4支持原生Apache Spark编程接口,用户可以使用Spark接口进行编程处理存储在大数据计算服务中的数据5支持多种计算框架支持单表万亿条记录的多表关联分析支持高效数据压缩存储,压缩效率和数据格式相关,对冷数据支持归档操作
1021.
2.
1.1计算服务
1.云服务器,是一种简单高效、处理能力可弹性伸缩的计算服务云服务器提供各种处理能力可弹性伸缩的计算服务,它的管理方式比物理服务器更简单高效根据业务需要,可以随时创建实例、扩容磁盘或批量删除多台云服务器实例云平台云服务器以下简称云服务器是一个虚拟的计算环境,包含CPU、内存等最基础的计算组件,是云服务器呈献给每个用户的实际操作实体云服务器实例是云服务器最为核心的概念,可以通过云服务器管理控制台完成对云服务器实例的一系列操作其他资源,包括块存储、镜像、快照等,只有与云服务器实例结合后才能使用
2.裸金属服务器,是一种可弹性伸缩的高性能计算服务,计算性能与传统物理机无差别,具有安全物理隔离的特点,分钟级的交付周期将提供给用户实时的业务响应能力
3.GPU服务器,是基于云计算技术专享高性能GPU硬件的GPU应用计算服务适用于科学计算、深度学习、视频处理、3D图形渲染等应用场景,可有效提升图形处理、科学计算等领域的计算处理效率GPU服务器同时利用图形处理器GPU和CPU,加快科学、分析、工程、消费和企业应用程序的运行速度476本服务原厂商应具备公安部信息系统安全等级保护备案的,提供三级等保备案证明8支持作业优先级设置功能,可支持不少于9级优先级设置,在作业任务资源分配优先级上进行细粒度控制1提供在线流计算作业调试,调试容器保证调试过程不干扰线上环境2提供完善的流数据库StreamSQL开发套件,支持自动提示、语法高亮、语法检测3提供各类外部存储管理工具,支持流计算周边所有存储系统,提供DDL自动生成、数据预览、数据探查功能4支持复杂的窗口函数,包括滚动窗口、滑动窗口、会话窗11流计算口等5支持常规个性化的统计分析函数,并支持丰富的其他内置函数6支持自定义函数,以丰富更多业务功能7支持丰富的SQL语法,包括两个数据流的合并UNION、数据流的关联查询STREAM JOIN1维表JOIN、TopN等语法支持流式CEP功能,具备复杂事件处理能力功能8支持两类作业资源、并发调整模型,包括调优模型、智能调优模型支持资源图形化配置1提供一个分布式的全文搜索引擎实现数据搜索、数据分析、政务级权限管控、自动报表生成等功能2提供API编程接口用于大数据搜索服务的数据导入,索引建立,数据检索3支持集群插件管理,可上传自定义插件版本、提供插件12全文检索安装/卸载/升级功能4数据入库后,无需额外建立索引,支持通过SQL进行综合搜索,任意条件组合灵活查询支持聚合算子下推,提升搜索聚合分析性能5提供实施监控索引库及机器状态,支持机器基础指标的web化展示;支持数据导入后实时分析和检索6支持全文数据库的结构化和文本关键词信息存储,103进行多维度信息匹配及筛选过滤,倒排索引,全文检索7支持集群规模可平行扩展物理机扩容过程平滑,不影响平台正常运行,不需要停服务8具备完善的权限认证与隔离机制,保障用户数据的安全性1支持多种图表至少包含线图、面积图、柱图、堆积柱状图、条形图、瀑布图、组合图、饼图、交叉表、色彩地图、指标看板、仪表盘、散点图、漏斗图、雷达图、矩阵树图、词云图、桑基图等图表组件2支持下钻、联动、跳转、辅助线、趋势线、预测线3支持将仪表板拖拽式组装为数据门户,支持内嵌链接13数据报表BI4支持模板和菜单栏的基础设置数据门户不仅可以引用数据分析软件中的数据结果,同时也支持外挂链接5支持多工作空间权限、报表权限、数据权限、多门户权限可单独授权6支持通过特征库signature方式嵌入安全性高,有独立的报表内嵌管理7支持各类自定义SQL功能数据建模负责数据源的联机分析处理0LAP建模过程,将数据源转化为多维分析模型,支持维度包括日期型维度、地理位置型维度、度量、星型拓扑模型等标准语义,并支持计算字段功能,允许用户使用当前数据源的SQL语法对维度和度量进行二次加工1兼容PostgreSQL11协议与大数据生态无缝连接支持高并发和低延时地分析处理PB级数据2具备数据生命周期管理功能,过期数据系统自动清理14交互式分析3提供配套的强大所见即所得的集成开发环境,代码智能提示,作业智能展示,数据项目管理4支持值List表分区,可以将TEXT、可变长字符串\ARCHAR以及国际性组织INT类型的数104据作为分区键Partition Key5支持数据按行存储或按列存储,提供面向海量数据进行多维分析与多表关联分析的能力,同时也支持高并发明细点查询6兼容关系型数据库管理系统PostgreSQL11语法,及关系型数据库管理系统PostgreSQL协议客户端访问1提供一站式WEB工作界面,可视化建模,支持基于Web的可视化编辑器,通过拖、拉、拽方式完成算法实验的搭建2提供自动调参,全面降低算法使用门槛及算法使用者工作量针对常用算法提供4种自动调参方式以及用户自定义3支持深度学习和传统机器学习模型模型部署成RestfulAPI供线上业务调用,包括预测类模型PMML,深度学15机器学习习框架TensorFlow、Caffe等,同时支持用户基于自定义扩展使用场景4提供自研的大规模分布式算法组件包,涵盖数据预处理、特征工程、统计分析、机器学习、时间序列、网络分析、工具等常用机器学习算法5提供深度学习框架6支持Java语言开发UDF,支持开发算法Spark
2.x、TensorFlow.PyTorch.同时为算法使用者提供算法搜索和订阅第三方组件的功能1支持分级管理,自定义数据安全等级,包括绝密、机密、秘密数据等定义2支持数据水印溯源,可对查询结果嵌入数据水印可根据被泄露数据,回溯可能的泄露源支持敏感数据从生产环境到开发环境的存储脱敏16大数据开发3支持数据脱敏,包含有敏感信息的数据库,在不限制用户访问的情况下,对敏感信息进行动态遮蔽,支持设置脱敏白名单4支持数据风险识别,可自定义风险识别规则,可配置针对不同场景的风险识别规则1055导入任务支持设置引擎实例映射、资源组映射、任务依赖关系映射、调度空跑属性修改、开发成果提交规则等并提供导入报告6数据访问审计,记录审计特权用户的访问记录,包括访问时间、执行操作等7支持节点插件化能力支持用户创建自定义节点自行指定节点运行的引擎及节点处理逻辑8支持管理员创建开源引擎导入任务,支持导入引擎类型为Oozie、Azakaban、标准格式的导出文件导入文件支持支持本地上传或读取对象存储服务上的文件1支持单机配额管理,可以设置每台机器允许的shard数目,可以设置每个吞吐量的限制等2支持各种流控策略支持分布式资源调度,平台完全服务化支持数据多副本,容忍单节点宕机支持多集群容灾功能支持在线热升级支持数据生命周期设置读写延时毫秒级别3支持多种开源插件数据导入17实时数据分发Fluentd/Logstash/OGG°支持丰富的多语言SDK C++/Java/Python/Go兼容Kafka的写数据APE支持结构化TUPLE和非结构化数据BLOB存储4支持多租户和细粒度的权限管理支持多订阅,订阅点位存储5支持视化日志管理新建、删除、创建同步点等6支持可视化的运维日志扩容、缩容等1支持web界面,降低数据可视化应用开发的门槛,能够帮助非专业的工程师通过图形化的界面轻松搭建专业水准的可视化应用,满足大数据大屏分析等多种业务的展示需求18数据可视化2支持可视化大屏模板的能力,能够根据各个大数据可视化的应用场景选择相关的可视化模板、配置相关的数据源实现大数据可视化应用3提供可视化应用的图形化搭建工具,能够针对可视化的应用的布局、属性、数据、分辨率等进行设置________________106行曲线展现2支持基于主流同步、异步调用框架,如Spring Cloud.Dubbo,HTTP RESTful等的分布式链路跟踪3能统计出服务和服务的关联依赖图4支持应用接口的指标统计,包括请求数,响应时间和错误数等5支持默认提供应用各维度指标的报警6能统计出Java异常的次数统计,应用关联统计,以及发生所在的链路明细7提供接口快照功能,接口快照支持通过自动线程剖矫生待隔潮田方注1支持消息队列实例管理,支持创建、更新实例,删除实例,创建时可以设置Topic数上限,消息队列实例的是否拥有命名空间2支持查询无法被正常消费的消息并可以进行重投3支持对己消费过的消息重新回放或清除堆积的消息22消息队列4支持Topic、消息ID MessageID、消息键值Message Key多维度方式查询消息详细信息5支持消息轨迹查询,全程追踪消息在生产者、消息服务器、消费者之间的流动轨迹,并将数据进行汇聚分析后可视化输出6支持集群消费与广播消费模式7支持按照消息的发布顺序进行顺序消费,支持全局顺序与分区顺序8具备完善的多用户隔离机制,保障用户数据的私密性1支持使用yaml文件创建应用,查看己部署应用的YAML文件,可修改己部署yaml配置23容器服务2支持容器应用历史版本的查看及应用版本回滚3支持多集群的统一管控4支持手动伸缩和弹性伸缩,从页面上手工进行容器伸缩,可以按照配置容器资源阈值,进行容器实例的伸缩1084提供灵活的数据源配置功能支持数据库类api类文件类等数据的接入、配置5提供灵活的可视化应用发布功能,可以实现设置访问密码等功能1提供WEB界面形式的可视化分布式应用管控平台,对应用进行生命周期管理,包括而不限于应用的创建、部署、启动、扩容、停止和下线2兼容dubbo,springcloud等业界主流远程调用协议3提供可视化的方式进行配置管理,配置中心支持在线、准19分布式应用实时变更服务配置,支持配置文件的多版本管理维护4提供Web界面形式查看实例中应用的实时日志5支持添加日志文件和目录,并支持在线查看6支持创建和管理服务鉴权规则根据鉴权规则进行服务调用的安全管控7支持在•个云租户下多套环境并存1支持以Web界面形式进行API全生命周期管理,包括发布、订购、消费到注销2支持2个云服务总线群组或实例之间的HTTP服务级联3支持简单数据转换和深度定制数据转换的不同场景需求4支持服务总线节点的无间断扩容,能够水平扩展服务总20云服务总线线节点,线性增加服务能力5可设置服务总体流量访问控制6支持2个云服务总线群组或实例之间的HTTP服务级联在实例A上发布接入协议为HTTP的服务,自动级联发布到另外一个实例B,客户端访问实例B上开放的HTTP服务时,云服务总线通过安全通道,自动路由请求到实例A,再转好给内部域的亚冬服冬应用c1提供对于服务提供者以及消费者的集群以及单机的CPU,内存,磁盘以及LOAD的监控,网络速度数据统计,磁盘数据统21业务实时监控计,磁盘读写速度数据统计,磁盘读写次数数据统计,并以图形化形式按照小时,天,周进1075支持容器应用的健康检查6支持从页面上进行容器存储卷本地存储、块存储、文件存储、对象存储的生命周期管理7支持容器应用与节点间亲和性调度、应用间亲和性调度、应用间反亲和性调度等策略8支持页面对资源进行编排9支持从Web页面一键式自助添加和删除节点,伸缩过程中无需人工干预10支持GPU类型节点、支持裸金属服务器11容器服务与云平台无缝对接能够通过控制台实现集群的一键式自助创建和删除集群12提供平台看台功能能够快速查看资源的总体运行状态,包括节点、组件、应用的运行状态,集群的事件记录以及集群的当前的资源使用情况13集群单个主用节点故障时,不影响集群正常使用,全部主用节点全部故障时,不影响己有业务正常使用主工作节点故障迁移时,故障节点自动迁移________________________1提供API托管服务,覆盖设计、开发、测试、发布、售卖、运维监测、安全管控、下线等API各个生命周期阶段2支持API网关进行API托管支持混合云管理,对云上24API网关资源、云下资源的API进行统一管控3支持虚拟专用网络内访问、跨地域访问,本地数据中心和异地数据中心之间访问4支持直接调用API网关发布的API,实现数据的可视化展示表10PaaS服务资源池详细性能要求序号指标项指标要求关系型云数据库米用全冗余架构,无单点故障支持单可用域AZ主备高可用和31服务节点架构,及同城2个可用域AZ主备高可用和3个可用域AZ3节点高可用架构,3节点间实现数据强同步机制、保证RP0二
01091.
2.
2.9云备份
1.云服务商提供本地云备份服务采用重删备份技术,提供虚机系统盘备份服务,一周一次,备份文件至少保留一个月时间
1.
2.
2.10云平台基础安全多租户安全物理主机设备安全物理网络设备安全物理确设备安全物理通信关路安全基廷设施安全I|电力安全||温湿S制系统安全||消防安全图4平台安全架构图
1.云服务商要按照国家云安全规范持续加强云平台建设,提供满足要求的虚拟化安全服务,接受统一安全服务商的监管,全面保障云平台安全和云虚拟机安全
2.云服务商要制定云平台安全保障体系和运维服务响应机制,建立安全运维、系统管理、人员管理、机房管理和资产管理等相关制度
3.安全物理环境根据采购人要求选择机房、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应等110方面
4.安全通信网络采用冗余的网络架构、各重要节点采用冗余措in施,实施加密同络传输
5.安全区域边界提供完善的网络边界安全防护措施,实现对整个云平台中承载的所有应用的安全防护,同时保障云上系统网络的安全可靠运行
6.安全计算环境对承载云平台、应用、数据的基础计算环境,包括虚拟化计算环境进行安全保障
7.安全管理中心规划安全运维管理区,实现对城市运行云整体的设备及系统的安全管理
8.云平台应配置相应的安全防护和运维审计设备,提供防火墙、防病毒、运维审计、运维日志审计等硬件支撑设备,在网络边界处提供访问控制、病毒过滤、防攻击、入侵防御、内外网数据安全隔离交换等安全防护日志保留时间不少于6个月,保证对所有运维操作进行溯源,保护云上应用系统安全
9.应满足云上系统基础安全需求,基于软件方式提供以下云安全服务的自动化部署;支撑配合市级部门(单位)云上系统的密码应用与安全评测工作主要基础安全服务如下
(1)虚拟化防火墙租户网络间及虚拟主机间通过虚拟防火墙进行安全隔离与防护,吞吐量M1000Mbps,提供互访安全策略的访问控制等功能
(2)虚拟化入侵防御租户网络间通过虚拟入侵防御进行防护,防护流量至1000Mbps可通过云管理平台进行统一的管理和调度
(3)虚拟化Web防火墙各租户专用,可通过云管平台进行管理和调度;HTTP协议流量M1000Mbps;可对SQL注入、跨站脚本等OWASP TOP10攻击进in
1.
2.
1.2存储服务
1.文件存储,是提供安全可靠、可扩展的共享文件存储服务文件存储可与服务器服务搭配使用,为多个计算节点提供容量和性能可弹性扩展的高性能共享存储文件存储提供标准的NFS及CIFS/SMB文件系统访问协议,为多个计算服务提供共享的数据源,支持弹性容量和性能的扩展,现有应用无需修改即可挂载使用,是一种高可用、高可靠的分布式文件系统,适合于大数据分析、媒体处理和内容管理等场景
2.块存储,是基于分布式文件系统实现的一个高可靠、高可用的块设备存储服务按照物理硬盘的不同可分为分布式块存储-高性能和分布式块存储-全闪存,块存储数据通过多份冗余存放在不同的机架下,在硬件出现故障时,提供可靠的数据安全保护能力块存储卷即一块虚拟的块存储设备,用户可以像使用物理硬盘一样来使用,可以格式化,可以挂载,可以执行I/O操作块存储卷有多种类型,不同类型卷提供不同等级的I/O能力,以适应不同的工作负载
3.日志存储服务,是针对日志类数据的一站式服务您无需开发就能快捷完成日志数据采集、消费以及查询分析等功能,提升运维、运营效率,建立大数据时代海量日志处理能力48行防护,保障租户网站安全
(4)虚拟化防病毒采用无代理或轻代理防病毒方式,为虚拟机提供杀毒功能
1.
2.
2.11托管
1.提供标准42U服务器机柜,每路总功率至少6KW,用于物理设备托管服务
2.用户托管设备需纳入云管理平台进行统一监控
2.
2.
2.12监管接口
1.为了满足云监管平台的建设,云服务商应承诺在中标后提供接口定制化开发服务,参与并配合云监管平台、政务“云、网、数、端〃统一运营管理平台与云服务商平台的接口规范制定、开发、适配和联调等工作
1.
2.
2.13数据库管理和运维服务
1.对城市运行云上系统提供数据紧急恢复、数据库迁移和云上数据库自动化处理等运维服务具备本地的数据库运维服务团队,自带专业的数据库自动化、智能化云管的平台级支撑产品
1.
2.
2.14云平台监控服务
1.云服务商应结合使用单位需求,提供全面、及时的监控和预警体系,实现对使用单位业务系统、云资源的统一管理和统计,并能够向云管理单位提供各类基础信息云平台运维监控应包含基础IT资源管理、平台监控系统、云平台运维系统、租户侧云监控,实现从多维度对云平台从物理层、虚拟化层到云服务的自动化运维,保障云平台的安全运行,对异112常故障能够提前预警,从而使问题能够得到及时处理,最大程度避免影响用户业务
2.云平台监控服务支持按照区域、产品、集群等逐层展开左侧的导航树,查看某个产品某个服务所在的机器列表支持将所有物理机相关的信息导出至本地,用于线下查看支持按照主机名、IP地址、设备功能角色或SN号搜索并查看某个物理机支持按产品维度查看该物理机的基本信息及监控与报警情况支持严重告警的服务器机柜为红色,一般告警为黄色,无告警的为蓝色
3.云平台监控技术要求,见表11表11云平台监控技术要求序号指标项指标要求支持第三方的接入配置更改,增加,删除支持通过跳转的方1云产品运维管理式便捷地访问第三方界面支持导出历史告警列表支持查看告警源详情如告警说明、参考信息、影响范围及处理步骤等支持根据监控项类型、产品、服务、等级、状态、开始日期、结束日期及过滤内容来进行过滤查询支持告警处理如处理、处理完成、事件跟踪、上报ITIL等导出告警列2告警管理表里的告警信息支持告警屏蔽,在告警屏蔽的添加页面,配置需要屏蔽的告警筛选项支持为己屏蔽的告警解除屏蔽支持搜索关键字查询,如集群、产品、服务、等级、状态、监控项名称等,单击查询,可查询到相应的告警事件单击各色块可跳转至对应的告警事件页面可以根据业务需要,查询、添加、修改以及删除告警联系人和联系人组支持云主机库存情况查看,云主机库存详情中主要提供按区域、实例类型和日期分页查询某类实例在某个日期的库存情3资产管理况支持块存储、文件存储、对象存储库存情况查看,历史可用库存TB显示近五天存储113的库存可用情况;当前己用库存(TB)显示当前存储己用库存和百分比;存储库存详情中可按日期分页查询存储库存详情支出分布式关系型数据数据库实例库存,近期库存显示不同类型的分布式关系型数据近五天内库存情况其中,不同的颜色代表不同分布式关系型数据类型;库存详情中可按引擎、日期分页查询分布式关系型数据的库存详情支持负载均衡服务库存情况查看支持用户管理、用户组管理、双因素认证、角色管理、部门管理、菜单管理、Region授权管理、云操作系统日志、操作日4系统管理志、授权信息、多云管理统一账号管理角色权限管理,只需要登录到云平台运维系统中,就能实现对云平台所有的组件进行运维或者免登录跳转运维支持统计每个Region的告警汇总,按严重等级展示支持显示多Region的相关告警、库存和资源信息支持图形化展5运维大屏示云主机服务、对象存储服务等产品的库存百分比支持统计每个Region的物理资源
1.
2.
2.15应急资源池
1.通过引入公有云的资源能力,利用公有云成熟的技术架构和产品,建设市级城运云应急资源池
2.专属资源池专属资源池包括计算、网络、存储资源等,与市级政务云计算资源融合,实现云计算资源灵活调配和应急扩充,进一步发挥云计算的高弹性、高可靠性、高冗余的特性
3.专属网络通过数据专线构建市级政务云与公有云之间的专属网络
4.等保安全要求所融合的公有云专属资源池云平台需通过公安部颁发的等保三级证书(说明提供相关证明材料)
1145.资源要求所融合的公有云专属资源池需在本项目所在地具有不少于2个不同物理位置的公有云节点,互为灾备说明提供官网截图和相关链接证明材料
1.
2.
2.16基础软件
1.云服务商要配置如下要求的基础软件及相关模板,见表12o表12基础软件配套要求用途操作系统和数据库序号要求指标要求开源linux服务器操作系统主流版本CentOS,Ubuntu1等不限数量,不限版本号2开源MariaDB、开源MySQL、开源MongoDB数据库等不限数量,不限版本号3软件库提供软件镜像服务
1.
2.
2.17系统迁移系统迁移或适配工作时,云服务商要提供以下服务
1.配合市级部门政务信息系统迁移或适配前的环境需求分析工作
2.负责市级部门政务信息系统迁移前或适配的测试环境搭建工作,配置所需的虚拟机、网络、操作系统、相应的安全策略等
3.配合或提供市级部门应用系统迁移或适配需要使用的工具
4.配合市级部门开展应用系统迁移或适配中的问题故障分析,提出解决方案并配合解决
5.负责市级部门应用系统迁移或适配过程中对硬件、网络、软件、安全等运行环境的变更工作115上数据退出服务后承担保密责任;按要求保留数据或彻底清除数据
1.
2.3服务运行维护管理方案
1.
2.
3.1服务管理
1.项目实施与管理投标人应制定详细的服务实施方案,保证服务项目顺利实施
2.安全服务要求投标方提供的服务应满足等保测评
2.0和国家其他相关云安全服务质量的标准要求在服务期内,投标人服务质量如达不到采购人要求,应予以整改,并按规定予以处罚一个月内整改不到位,采购人有权终止合同年度服务期结束,采购人组织对本项目云服务商服务质量进行考核评估
3.保密协议中标供应商需按照采购人要求签订保密协议,确保数据安全
4.技术文档要求投标人应提供与服务工具相关的所有技术文档和资料含项目实施及验收报告等
5.资源利用率管理要求1宿主机CPU利用率即承担虚拟机运行的物理机的CPU利用率,该利用率平均值范围在[10%,60%]视为合理区间以一天为周期,连续三天利用率低于1%,认定该宿主机CPU为轻载连续三天利用率高于60%,认定该宿主机CPU过载计算资源池CPU平均利用率,即计算资源池中各宿主机CPU平均利用率之和除以宿主机数所得数值,该数值在[10%,50%]视为合理区间以一周为周期,连
1176.配合市级部门应用系统迁移或适配后的测试工作,如压力测试、故障测试等
1.
2.
3.2履约能力
1.投标人在签订合同后30天内(含)在项目所在地完成服务工具的安装部署,并具备服务能力如果不能按时提供服务,采购人有权终止合同
2.本项目服务期限为3年,采购方按照服务考核要求组织考核
3.服务退出要求采购人建立退出机制,云服务商需无条件遵守服务退出机制云服务商应承诺在服务退出时,确保使用单位的业务系统平滑迁移至指定的新云服务平台迁移完成后,云服务商需对业务系统以及数据进行彻底删除,不得保留、复制或拷贝,保证数据不可恢复;处理方案应经采购人和市级部门(单位)的书面同意,并在采购人的监督下进行,处理结果需经采购人及市级部门(单位)共同确认方可退出在退出云计算服务时,要求云服务商履行相关责任和义务,确保退出服务阶段数据和应用安全,如安全返还数据、彻底清除云平台上的数据等;在将数据和应用系统迁移至其他云服务平台的过程中,应满足应用可用性和持续性要求如采取原应用系统与新部署应用系统并行运行一段时间等措施
4.服务期内,如云服务商提出服务退出要求,至少提前6个月向采购人书面提出退出申请
5.服务期满后,若有需要,云服务商应承诺配合配合制定数据和应用系统迁移出政务云平台的接口和方案;完整返还存储在平台的116续两周利用率低于10%,认定该资源池CPU为轻载连续两周利用率高于50%,认定该资源池CPU过载2宿主机内存利用率即承担虚拟机运行的物理机的内存利用率该利用率平均值范围在[60%,90%]视为合理区间以一天为周期,连续三天利用率低于60%,认定该宿主机内存为轻载连续三天利用率高于90%,认定该宿主机内存过载计算资源池内存平均利用率,即计算资源池中各宿主机内存平均利用率之和除以宿主机数所得数值,该数值在[60%,90%]视为合理区间以一周为周期,连续两周利用率低于60%,认定该资源池内存为轻载连续两周利用率高于90%,认定该资源池内存过载
6.宿主机资源管理调度原则当宿主机CPU和内存同时出现轻载,宿主机应为迁移虚拟机或者新建虚机的优选对象;当宿主机CPU出现轻载,宿主机应为迁移计算型虚拟机或者新建计算型虚机的优选对象当宿主机内存出现轻载,宿主机应为迁移内存型虚拟机或者新建内存型虚机的优选对象;当宿主机CPU和内存同时出现过载时,应向其他轻载宿主机迁移虚拟机当宿主机CPU出现过载,应向CPU轻载的宿主机迁移虚机;当宿主机内存出现过载,应向内存轻载的宿主机迁移虚机
7.资源池管理扩容原则当计算资源池CPU和内存同时出现过载,应增加资源池宿主机,增加宿主机量为计算资源池的20%o当计算资源池CPU出现过载时,应增加计算型宿主机当计算资源池内存出现过载时,应增加内存型宿主机增加数量视具体情况进行确认
8.计算资源超额分配原则在保障计算资源稳定的前提下,为提高云平台资源的使用率,允许计算资源超额分配内存不超分,CPU物理核心126超分不高于14o9存储资源管理原则存储整体实际使用空间不高于85%,分布式存储空间副本至少3副本,整体复用率不超过130知服务商根据存储使用情况准备存储资源
10.资源使用效率管控要求为提高云平台资源利用率,有效提升政府财政资金使用效能,采购人制定云平台资源使用效率管控规则,通过对云平台CPU和内存两项资源使用效率指标的监控和管理,促使云服务商改进提高服务方式和服务质量,保障云资源合理配置与动态调整云服务商应主动参与云资源全生命周期管理,在新开通云资源交付与系统部署(或迁移),存量云资源使用率评估与调整等各个阶段,积极配合市大数据中心和使用单位开展资源合理配置与动态调整工作具体工作如下
(1)云资源开通与系统部署(或迁移)云服务商应积极配合使用单位完成需求调砾合理引导资源申请,在资源开通和系统部署(或迁移)的阶段,加强对系统部署(或迁移)及资源使用情况的监控,及时对使用率评估并提出资源调整建议
(2)存量云资源存量云资源使用效率需加强监控并定期评估和调整云服务商需每月对存量云资源的CPU和内存两项指标进行监控,并设定告警规则当CPU平均使用率低于10%或内存平均使用率低于30%时,设为黄色告警;当CPU平均使用率低于5%或内存平均使用率低于20%时,设为橙色告警;当CPU或内存平均使用率低于5%时,设为红色告警云服务商根据资源使用率告警级别进行评估,并分不同告警级别形成资源调整建议,定期上报市大数据中心,并按要求跟踪处理并实施
1271.
2.
1.3网络服务
1.负载均衡,是将访问流量根据转发策略分发到后端多台云服务器(云服务器实例)的流量分发控制服务负载均衡扩展了应用的服务能力,增强了应用的可能性负载均衡通过设置虚拟服务地址,将添加的云服务器实例虚拟成多个高性能、高可用的应用服务池,并根据转发规则,将来客户端的请求分发给云服务器池中的云服务器实例负载均衡默认检查服务器池中的云服务器实例的健康状态,自动隔离异常状态的云服务器实例,消除了单台云服务器实例的单点故障,提高了应用的整体服务能力止匕外,负载均衡还具备抗防分布式拒绝服务攻击的能力,增强了应用服务的防护能力
2.DNS智能解析服务,为城市运行云平台环境提供域名解析服务DNS智能解析服务通过设置域名与IP地址的对应规则和策略,可以将来自客户端的域名访问请求重定向到云平台中的云资源上、政务内网的业务系统上、互联网服务提供商的服务资源上等DNS智能解析服务为虚拟专用网络环境提供基础DNS解析调度服务通过DNS智能解析服务在虚拟专用网络内可以访问虚拟专用网络内的其他云服务器、访问云平台提供的云服务实例资源、访问客户自定义的政务业务系统访问互联网上的业务和服务和通过政务专线与政务自建DNS智能解析服务实现互通
3.虚拟专用网络服务,是一个隔离的网络环境,虚拟专用网络之间逻辑上彻底隔离用户可以完全掌控自己的专有网络,例如选择IP地址49范围、配置路由表和网关等,可以在自己定义的专有网络中使用云资源如云服务器、关系型云数据库、负载均衡SLB等可以将专有网络连接到其他专有网络或本地网络,形成一个按需定制的网络环境,实现应用的平滑迁移上云和对数据中心的扩展每个虚拟专用网络都由一个私网网段、一个路由器和至少一个交换机组成
1.
2.
1.4安全服务
1.安全审计(堡垒机),是实现对运维人员日常维护过程的行为进行记录、监视和控制等功能,具备异常操作行为的告警及阻断能力,拥有完善的安全审计报表系统,是一款具备事前控制、事后审计能力的安全产品通过B/S方式(https)进行管理,其主要功能为实现对运维人员远程访问操作服务器、网络设备、数据库过程的认证、授权、监控与审计,实现对IT运维过程的全面监管,做到有效的事前预防、事中控制及事后审计,满足用户的安全管理需求该产品采用先进的设计理念,支持对多种远程维护方式的支持,如字符终端方式(SSH、TelnetRlogin)图形方式(RDP、XII、VNC、Radinin PCAny where)文件传输(FTP、SFTP)等以及多种主流数据库的访问操作
2.数据库审计,是随着用户应用上云、云端数据安全面临挑战而推出的适用于专有云环境中数据库安全审计的产品基于主流数据库安全技术,数据库审计系统将传统产品与云端相结合,在专有云环境中形成一50套为数据库运维和安全管理人员提供安全、诊断与维护能力为一体的安全管理工具数据库审计系统实现了对云端自建数据库、RDS数据库访问的精确审计及准确的应用用户关联审计,并具备风险状况、运行状况、性能状况、语句分布的实时监控能力
3.虚拟防火墙,是解决云上业务快速变化带来的安全边界模耕甚至无法定义的问题虚拟防火墙采用“基于业务可视化的结果进行业务梳理和业务隔离”的技术,实现云环境中东西向流量的安全访问控制虚拟防火墙模块与主机安全模块共用在云服务器中部署的客户端Agent(Ageis-Client),收集云服务器基本信息(主要用于实现智能分区、分组)及云服务器主机中的进程、端口、协议、源IP、目标IP等信息由虚拟防火墙服务器端进行汇总分析,展示云环境中各服务器之间的访问关系同时,借助安全组的访问控制规则将基于业务可视化设置的访问控制规则真实下发,实现东西向流量的安全访问控制网络环境要求虚拟防火墙服务端能够连接主机安全客户端Agent,且中间通讯没有阻碍
4.Web应用防火墙(简称WAF),是面向云上租户Web应用的安全防护系统,有效防御常见Web攻击不同于传统WAF,专有云WAF使用智能语义分析算法技术解决Web攻击识别问题WAF通过智能语义分析算法技术,使WAF具备自主识别Web攻击行为的能力;同时结合学习模型,不断增强和完善分析能力,使其不依赖传统的规则库,即可满足用户日常安全防护需求WAF防护的流量定位在HTTP/HTTPS的网站业务51。