还剩36页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
智慧城市基础支撑平台建设方案6)提供用户登陆后的工作台,显示角色相关的关键运营数据7)提供云环境中的云产品资源实例提供租户级的资源监控能力;提供云产品资源实例提供租户级的告警通知能力8)支持以组织和资源维度统计资源报表、配额报表和云监控报表;支持异步导出的各类统计分析报表9)支持云平台运营大屏,支持预置大屏和自定义大屏预置应至少包括租户云资源、云网络监控、云安全监控、云告警监控等大屏,全方位多维度实时展示云平台的运行和资源使用状态自定义大屏应提供可视化大屏在线编辑器,支持自定义数据来源,自定义每个内容的不同呈现形式(例如柱状图、饼图、仪表盘、地图等),支持拖拽方式,所见即所得,快速实现业务数据大屏的个性化定制10)支持云环境中云产品的可用规格的录入/禁用/启用/查看管理11)支持按时间/按组织维度计量、计量报表查询、计量报表导出12)提供资源分析功能,支持按类型、性能、告警、利用率等多种维度进行图形化展示以及关键数据的报表导出功能13)提供菜单管理功能,支持创建、自定义、启用、删除自定义菜单功能
2、安全性1)提供日志管理,提供日志审计功能,保留所有用户的操作日志,并支持日志的过滤和导出功能2)提供登录策略管理功能,支持创建/修改/删除/禁用/激活登录策略、支持白名单、支持黑名单、关联用户、关联组织;支持按照登陆时间和IP地址的白名单/黑名单策略;支持设置能看见并使用这个登陆策略的组织运维平台
1、资源管理功能要求1)支持展示云平台部署产品概览,包括部署云产品总数,集群总数图形化展示产品软件部署状态2)支持看出每个集群的详细信息,包括集群名称,所属产品,集群状态,机器数量,告警数量支持按产品名称、集群名称,集群状态查询集群
2、分布式存储运维功能要求1)分布式存储总览支持显示存储集群服务器数量,总容量,使用空间百分比,文件数量,以及异常服务器/异常磁盘数量2)分布式存储集群管理显示存储集群服务器节点详细信息,应包括服务器状态,磁盘数量,坏盘数量,总容量,已使用量3)数据重分布在存储集群扩容、缩容、服务器故障等场景下,支持系统自动进行数据在服务器间的平均分布支持手动进行数据重新分布
3、运维安全要求1)支持运维角色管理,可以按产品进行角色授权支持设置运维IP白名单配置2)支持Linux命令拦截规则,可以设置拦截命令,拦截风险提示,拦截规则,拦截规则可以为通过,禁止,二次确认,校验码校验等3)支持运维命令审计,审计应包括登录,登出,执行命令等记录操作人,操作时间,操作机器,执行结果信息4)支持对操作视频回放
4、告警管理功能要求支持导出历史告警列表支持查看告警源详情,如告警说明、参考信息、影响范围及处理步骤等支持根据监控项类型、产品、服务、等级、状态、开始日期、结束日期及过滤内容来进行过滤查询支持告警处理(如处理、处理完成、事件跟踪、上报ITIL等),导出告警列表里的告警信息支持告警屏蔽,在告警屏蔽的添加页面,配置需要屏蔽的告警筛选项支持为已屏蔽的告警解除屏蔽支持搜索关键字查询,如集群、产品、服务、等级、状态、监控项名称等,单击查询,可查询到相应的告警事件单击各色块可跳转至对应的告警事件页面,可以根据业务需要,查询、添加、修改以及删除告警联系人和联系人组
5、支持云平台运维工作自动化,可对批量资源完成运维操作,提供基础设施、云环境、操作系统、应用层的自动化运维能力1)脚本管理,提供脚本库保存运维脚本,支持系统内置脚本,并支持运维人员自定义和导入脚本2)软件包管理提供软件仓库能力,可以上传和下载软件包,支持压缩包,JAR包等格式3)运维作业支持运维作业定义,运维作业可以手动触发和定时触发支持在作业中中定义执行的脚本或软件包,以及执行主机列表,任务支持灰度设置4)运维流程编排支持图形化方式编排运维流程,可以运维人员把一系列运维操作定义为“流程”,流程中可以定义触发方式,包括手动触发和定时触发,支持在流程中添加操作任务节点,节点可以包括执行任务节点,可以执行脚本或软件包,可以设置执行任务的节点资源,包括服务器主机或容器资源,任务支持灰度设置
6、系统管理要求支持用户管理、用户组管理、角色管理、部门管理、菜单管理、查看云操作系统日志、查看操作日志、查看授权信息
4.2云产品技术参数要求
4.
2.1弹性计算服务技术需求云服务类技术参数及要求别功能指标要求1)申请云主机时可以定义所需操作系统、CPU核数、内存、硬盘、IP及安全组,可以为云主机选择自定义密码2)支持对云主机CPU、内存、硬盘等基础指标进行监控3)虚拟机可以实现物理机的全部功能,如具有自己的资源(内存、CPU、网卡、存储),可以指定单独的IP地址等4)支持对云主机按宿主机、机架、网络交换机物理拓扑进行调度,控制台上分散策略支持严格分散和尽量分散两种可选5)提供虚拟机快照功能,支持快照将虚拟机磁盘文件等保存到镜像文件中支持用户通过快照对云主机的数据进行备份,通过快照进行云服务器的数据恢复,可以为每块磁盘创建至少64个快照弹性计算6)支持对云主机的生命周期管理和维护,包括但不限于创建、启服务动、关闭、重启、更换操作系统,其中创建、启动、关闭、重启应支持批量操作7)多台物理机可以实现虚拟化集群,集群内的物理机数量可以按需扩展8)支持为云服务器指定IP地址创建云主机,方便运维人员进行IP的统筹管理,支持配置IPv6/IPv4双栈网络,云主机实例可自动获取IPv6地址进行内网通信9)支持云主机生命周期管理和维护,包括但不限于创建、启动、关闭、重启、更换操作系统,其中创建、启动、关闭、重启应支持批量操作,提升管理员操作效率10)支持对云主机CPU、内存、硬盘等基础指标进行监控,同时支持对云主机系统中的各进程CPU、内存、打开文件数进行监控,为用户提供系统级、主动式、细粒度监控服务11)支持弹性伸缩,根据配置的伸缩规则弹性扩张云主机实例,能够自动将云主机实例添加到负载均衡实例的后端服务器组和数据库实例的访问白名单中12)单个云主机能够挂载不低于16块数据盘,单个数据盘的存储容量支持不小于32TBo
2、可靠性要求1)支持云主机热迁移,运维人员可以手工指定迁移任务的带宽限制,降低迁移流量对正常业务的干扰2)支持女主机高可用(宕机迁移),当某台物理节点发生意外故障,在其上运行的云主机能够在其他正常的物理节点上重新启动,保障业务的连续性
3、安全性要求1)支持云主机网络防ARP欺骗,云平台应阻止用户非法修改IP地址和MAC地址后发出的数据包,提升安全性2)支持虚拟机的弹性伸缩,应对突发的使用需求
4.
2.2云存储服务技术需求云服务类技术参数及要求别功能指标要求1)支持通过块存储访问协议对外提供云盘功能,支持格式化、挂载及执行I/O操作云硬盘块2)支持云盘快照功能,通过有计划地对磁盘创建快照从而实现保留存储某一个或者多个时间点的磁盘数据拷贝;3)支持自动快照策略,单个云盘支持不少于64个快照;4)支持镜像功能,可以使用快照创建自定义镜像;支持使用自定义镜像创建多台具有相同操作系统和数据环境信息的实例5)支持在线扩展容量,扩容期间无需关闭虚拟机,无需卸载云盘;系统盘在线扩容不停业务6)支持磁盘的创建、删除、卸载、扩容、挂载、查询、初始化等功能7)支持分布式EC和三副本数据冗余保护,三副本模式下,数据三副本支持分布在3个机柜或3对接入交换机上8)通过GB/T37737-2019《信息技术云计算分布式块存储系统总体技术要求》国标测试
1、功能指标要求1)对象存储服务支持RESTful API接口,通过开发工具包SDK或直接通过RESTful API进行基础和高级对象存储操作,提供keyvalue键值对形式的对象存储服务2)支持原生图片处理服务:创建图片处理规则、图片格式转换、图片效果处理、添加文字或图片水印、高级编辑自定义图片处理样式等,支持对视频文件进行视频截帧3)支持对象的简单上传、追加上传、下载、删除、列举、复制,获取对象的元数据、创建多段上传任务支持列举存储空间、创建存储空间、删除对象存储存储空间、列举存储空间内对象、获取存储空间的元数据4)支持将存储空间配置成静态网站托管模式,并通过存储空间域名访问该静态网站支持防盗链功能5)支持生命周期管理、定义和管理存储空间内所有对象或对象的某个子集的生命周期、变更容量和变更归属6)支持存储空间监控/使用流量监控/每小时请求数;能够统计流入、流出流量;统计请求数;服务端错误请求数、服务端错误请求占比、网络错误请求数、网络错误请求占比、客户端错误请求数、客户端错误请求占比
4.
2.3网络服务技术需求云服务类技术参数及要求别功能指标要求1)基于软件定义的虚拟网络技术,在专有云环境中构建出一个完全隔离的、自我掌控的虚拟网络,包括选择自由IP地址范围、划分网段、配置路由表和网关等2)可以将虚拟主机、虚拟负载均衡,虚拟数据库等云服务部署在一个VPC内3)支持通过虚拟交换机将专有网络的私有IP地址划分成一个或多个子网,根据需要将应用程序和其他服务部署在对应的虚拟交换机下4)支持根据业务需求配置虚拟路由器的路由规则虚拟专有5)支持NAT网关,NAT网关支持SNAT配置,满足VPC内资源主动访网络问外网需求,支持DNA「配置,提供IP映射和端口映射功能6)支持指定IP地址创建虚拟主机7)支持自定义虚拟交换机、虚拟路由器8)支持IPv6o9)支持弹性网卡绑定云服务器,在多个云服务器间自由迁移支持为弹性网卡绑定弹性IPo10)支持共享VPC,支持按租户和资源集的VPC资源共享VPC的所有者可以将VPC共享给同一组织的租户11)支持用户可以创建网络ACL配置入向/出向规则,进行网络访问控制功能,从而实现对一个或多个子网流量的访问控制功能指标要求软件负载1)负载均衡用软件方式实现;均衡2)均衡策略支持4层一致性hash、轮询(RR),加权轮询(WRR)和最小连接数(WLC)等调度算法,在上述每种调度算法4层支持TCP源地址会话保持,7层支持HTTP Cookie会话保持(包括植入Cookie和重写Cookie)03)负载均衡服务采用通用服务器架构实现提供4层TCP/UDP和7层HTTP/HTTPS协议类型的服务4)负载均衡支持IPv6,支持挂载IPv4或IPv6的后端应用服务器5)七层负载均衡模式下支持配置域名或者URL转发策略,将来自不同域名或者URL的请求转发给不同的虚拟机处理6)四层负载均衡支持TCP/UDP监听在后端应用服务器无插件模式下直接获取客户端源IP地址七层负载均衡支持后端服务器应用程序通过HTTP头字段获取客户端源IP地址,支持从HTTP头字段扩展方式获取负载均衡实例Id和负载均衡IP地址信息7)四层负载均衡支持提供主备服务器模式,负载均衡监听的后端添加主备两台后端应用服务器,当主机健康检查正常时,流量将直接转发至主机;当主机健康检查失败,流量将切换至备机8)四层负载均衡支持集群内节点之间的会话同步,在单机故障或者升级过程中,TCP长连接无影响9)负载均衡支持HTTP重定向到HTTPS10)负载均衡支持TCP/UDP/HTTP健康检查方式支持健康检查,自动隔离异常状态的后端应用服务器支持健康检查端口与应用服务端口不相同UDP健康检查支持用户自定义请求和应答字段11)负载均衡支持配置性能保障型实例,针对不同的业务类型配置不同的规格,其中规格涉及并发连接数、每秒新建连接数、每秒查询请求数支持单实例监听带宽配置,针对同一个IP内不同的监听端口配置不同的带宽限制值
2、安全性要求1)负载均衡提供监听级别的访问控制,基于监听配置IP地址段白名单,只有在白名单中的IP地址才允许访问负载均衡
1、功能指标要求1)支持租户隔离的功能特性,支持域名的添加、修改、备注、删除、批量删除操作的功能,同时也支持根据关键字进行模糊查询,针对每个VPC都可以提供定制化的私有网络DNS解析服务配置,实现VPC粒度的租户隔离功能域名解析2)内网域名管理和解析,支持IPV6域名解析服务DNS3)内网域名管理和解析支持域名主机记录的添加、删除和修改操作的功能4)支持全局域名的配置管理,满足所有VPC解析同样的域名数据的基础性需求,减少管理员的配置工作5)支持对地址池内的地址值进行TCP/UDP/HTTP/HTTPS/1CMP等协议的健康检查
1、功能指标要求1)支持SSL VPN服务,支持通过SSL-VPN功能远程接入专有网络,修改SSL服务端的名称、本端网段、客户端网段信息,支持创建SSL客VPN网关户端证书支持API方式配置2)支持IPSEC VPN服务,支持IPsec-VPN建立专有网络到本地数据中心的VPN连接,同时支持API方式配置
4.
2.4云数据库服务技术需求云服务类技术参数及要求别功能指标要求1)支持主流的数据库引擎,如MySQL;2)云数据库需要支持可弹性伸缩的在线数据库服务支持在线平滑升云数据库降级,计算能力、存储容量和总10带宽同步线性扩容;RDS3)为了帮助用户降低管理账户及系统维护的成本,提高用户使用系统的效率,云数据库服务需要采取统一账户、统一认证,确保用户信息的安全,避免用户面对复杂的账户、认证场景;云服务类技术参数及要求别4)为了应对实际部署需求,云数据库需支持统一管理,统一运维,统il里;5)支持虚拟专有网络,可支持指定虚拟网络创建数据库实例;6)采用全冗余架构,无单点故障,每个关系型数据库实例均实现主从热备并提供完善的备份、恢复机制,用户可按需备份并恢复到指定时间点支持自动备份到对象存储或用户设备,无需本地转储;7)提供用户自服务门户和API接口,用户可自行创建不同规格的关系型数据库实例,并提供关系型数据库实例的在线扩容、自定义备份、数据恢复、性能监测分析、异常告警、日志管理等功能;8)提供完善的备份、恢复机制,支持手工备份和自动备份,支持物理备份和逻辑备份、逻辑备份支持库级备份,备份文件可以保留不少于730天,并支持恢复到指定时间点9)提供数据库自主诊断、慢查询分析,提供全面的健康状态以便用户自动化运维10)支持业务无中断在线方式升级数据库规格及存储空间11)支持对MySQL可视化日志管理,包括慢日志、错误日志、数据库主备切换日志等12)支持虚拟专有网络和经典网络,可支持指定虚拟网络创建数据库实例13)具备完善的安全防护措施,支持白名单设置、SQL审计等功能14)要求所投产品与云平台为同一制造商,保障系统兼容性和扩展性数据传输功能指标要求:服务
一、项目概况
1.
41.
1.
41.
1.
51.
51.
2.
51.
2.
51.
62.
62.
72.
72.
124.
124.
144.
154.
184.
2、安全性要求1)支持集群节点采用冗余架构,无单点故障,节点故障时任务的自动切换和恢复2)支持用户侧和运维侧操作分离功能
3、要求所投产品与云平台为同一制造商,保障系统兼容性和扩展性功能指标要求1)支持关键字查找所需要访问实例、库、表数据资产;支持分类大盘统计用户、实例、数据库、表等数据资产数量;支持按需定义最多四层深度的类目,用于按照业务维度有效管理数据库实例、库、表等数据资产数据管理2)支持任务编排按需定义多个任务节点组成DAG周期调度服务3)支持历史执行SQL的模糊查询,可查看SQL执行的开始时间、数据库、SQL、状态、行数、耗时、备注等信息4)支持图形化批量操作表,包括批量清空数据,删除表,表维护(优化表、检查表、修复表、分析表),表名前缀(添加前缀、修改前缀)5)支持图形化数据库克隆,可选源库全表或者指定表进行克隆,可选是否对视图、存储过程、函数、触发器、事件等对象进行克隆云服务类技术参数及要求别6)支持图形化自动生成测试数据,可指定数据生成方式,包括随机、逻辑依赖、枚举等7)支持图形化表数据量统计,可以按照表名模糊查询,统计表行数、容量等信息8)提供建表语句SQL脚本查看、下载SQL,提供导出表结构word、excel、pdf等多种格式9)支持至少五种以上主流数据库类型包括但不限于MySQL.PostgreSQLMongoDBRedis、分析型数据库
2、安全性要求1)支持普通数据、无锁数据、历史数据清理、批量数据导入、可编程对象等数据变更申请管理2)支持审批模板和审批节点的新增、编辑、删除等审批流程操作管理3)支持安全规则的新增、缺省设置、编辑、类似创建、删除4)支持变更任务开启事务、定时调度、变更前自动备份,保障数据完整性与安全性
3、要求所投产品与云平台为同一制造商,保障系统兼容性和扩展性
4.
2.5中间件技术需求云服务类技术参数及要求别功能指标要求分布式应1)提供WEB界面形式的可视化分布式应用管控平台,对应用进行生用服务命周期管理,包括而不限于应用的创建、部署、启动、扩容、停止和下线云服务类技术参数及要求别2)分布式框架内置的注册中心可以兼容dubbo,springcloud等业界主流远程调用协议3)支持多语言服务治理功能,包括但不限于,服务注册、灰度发布、负载均衡、会话保持、流量限制、故障注入、服务熔断、基于双向TLS技术对服务间通行认证、服务鉴权4)支持服务网格的创建、修改、组件安装卸载及服务列表和详细信息的查看5)支持SpringCloud和Dubbo框架的全链路流量控制,可以快速灵活地创建一个流量控制环境,将具有一定特征的流量路由到目标版本应用6)支持K8s集群应用配置定时弹性,指定时间触发弹性策略,实现自动扩缩7)可以通过配置不同的应用路由,从而根据不同的路由转发规则访问集群内不同的Service8)支持审计功能对所有用户的所有操作能够记录在案,并提供审计日志的查询界面9)提供Web界面形式查看实例中应用的实时日志10)添加日志文件和目录,并支持在线查看11)当服务提供者停止或重启时,服务消费者将不受影响,服务消费者发起的调用请求无丢失可实现在应用实例停止、重启、缩容或升级等各种应用运维场景中,微服务能够及时下线,最大限度的保证服务的及时关闭12)在分布式服务框架控制台上可以创建和管理服务鉴权规则.根据鉴权规则,被调用方将能够允许或禁止调用方调用其接口,进行服务调用的安全管控云服务类技术参数及要求别13)支持在一个云租户下通过命名空间隔离的方式实现多套环境并存,命名空间提供服务名在注册中心的逻辑隔离14)创建和管理离群摘除策略当策略被触发时应用实例将被自动摘除15)以金丝雀(灰度)方式发布应用发布过程支持分批操作以保证业务连续性,且分批过程可以指定手动或自动触发支持按内容和按比例的灰度发布策略发布应用的过程中支持配置启动命令、环境变量和应用生命周期管理16)支持应用维度配置管理,提供可视化的方式进行配置管理,配置中心支持在线、准实时变更服务配置,支持配置文件的多版本管理维护支持kubemetes配置管理,提供保密字典和配置项的管理17)提供批量运维功能,可以对集群、应用以及指定的机器节点批量执行运维命令18)具备完善的租户和主子账号体系,能够实现不同租户之间网络隔离,同一个主账号将自己的资源按需分配给多个子账号19)要求所投产品与云平台为同一制造商,保障系统兼容性、扩展性20)具有熔断隔离功能,支持按照并发数隔离、按照慢调用、异常比例降级熔断、支持按照系统数据(CPU使用率、线程数)降级、每间隔一定的熔断时长,流量就会恢复,然后达到错误率阈值,继续熔断21)具有服务鉴权功能,支持微服务间,服务调用的身份认证和访问鉴权,创建鉴权规则后微服务访问策略配置立即生效,同时支持按应用ID的黑白名单配置,应用本身具有服务信息和用户的云服务类技术参数及要求别认证,支持多种方式来实现认证和鉴权支持API/接口/服务/应用等多级别细粒度的认证鉴权控制22)具有流量控制功能,流控规则可以指定接口,支持QPS配置,支持单机/集群流控,支持多种统计维度(接口/关联接口/链路入口),支持多种流控控制效果(快速失败/预热启动/排队等待),内部流控能力支持多种算法支持热点限流能力,同时支持流控结果的动态展示
1、功能指标要求1)提供对于服务提供者以及消费者的集群以及单机的CPU、内存、磁盘、网络的监控并以图形化形式按照小时、天、周进行曲线展现2)支持基于主流同步、异步调用框架,如Spring Cloud,Dubbo,HTTP RESTful的分布式链路跟踪3)支持应用层监控,包括但不限于JVM的堆内存使用情况、JVM的堆外内存使用情况、JVM线程数等维度的监控业务实时4)可以查看该应用的所有外部调用的请求数、响应时间、错误数及HTTP监控服务状态码信息5)支持抓取sql语句运行时长和错误,支持抓取绑定变量,统计数据库慢查询的请求次数及耗时,对数据库的性能问题有针对性监控6)支持对应用进行标签分组与过滤7)支持自定义应用监控的一些常用设置,包括但不限于调用链采样率、代理开关、慢SQL阈值等8)能统计出服务和服务的关联依赖图9)支持应用接口的指标统计,包括请求数,响应时间和错误数等云服务类技术参数及要求别10)支持默认提供应用各维度指标的报警,包括但不限于JVM、异常接口调用、应用调用类型统计、主机监控、数据库指标等应用监控的风险信息进行报警H)能统计出Java异常的次数统计,应用关联统计,以及发生所在的链路明细12)提供接口快照功能,接口快照支持通过自动线程剖析定位慢调用方法13)支持服务MQ调用信息查看,支持按消息主题维度展示请求数,响应时间和错误数14)支持用户自建应用监控15)支持基于用于自定义监控数据集指标的报警16)支持Web界面可视化的调用链路的跟踪展示17)支持指定时间段内NoSQL调用次数统计,支持基于操作命令的调用平均耗时、调用次数的详情查看18)针对Java语言应用,支持通过探针方式提供应用监控,为Java应用安装代理后,即可开始监控Java应用,无需代码侵入19)支持基于数据集配置交互式大盘,大盘可动态刷新,需要在宏观上对整体应用的概况有所了解20)要求所投产品与云平台为同一制造商,保障系统兼容性、扩展性21)支持收集微服务间的调用时序数据,支持调用分析和调试支持通过多种维度对调用链路进行查询,同时可以对调用依赖关系进行图形化展示,包括微服务之间的调用关系、请求状态及状态码、成功率/错误率、路径、时耗等指标22)支持图形化的进行微服务实例级别的运行状态、可用性、资源状态的监控;接口级别吞吐量、时延和成功率、熔断状态的监云服务类技术参数及要求别控支持对微服务之间的调用关系进行跟踪,可以获得请求依赖,请求接口,请求类型,单个服务请求时间,状态码可以通过系统快速的定位系统的故障23)具有内置的智能诊断服务,智能化的发现应用当前存在的问题,并通过智能化的分析能力,定位到问题发生时的方法、调用链路和方法栈
1、功能指标要求1)支持消息队列实例管理,支持创建、更新实例,删除实例,创建时可以设置主题数上限,消息队列实例的是否拥有命名空间2)支持按照创建实例时的TPS的并发量做实例级别的限流,若配置限流开关打开,当达到实例开通时的消息并发量,则拒绝消息生产3)支持多个实例间的消息同步能力4)支持TCP协议SD支5)支持事务消息,支持消息生产者本地事务与消息消费者的原子性,保证消息生产者本地事务处理成功与消息发送成功的最终一消息队列致性6)为消息设置推送时间,消费者只能在指定时间和指定延时后消费到该条消息7)支持查询无法被正常消费的消息并可以进行重投支持对已消费过的消息重新回放或清除堆积的消息8)支持消息轨迹查询,全程追踪消息在生产者、消息服务器、消息消费者之间的流动轨迹,并将数据进行汇聚分析后可视化输出9)支持集群消费与广播消费模式10)按照消息的发布顺序进行顺序消费,支持全局顺序与分区顺序云服务类技术参数及要求别11)在支持海量消息堆积的情况下,始终保证高性能,不影响集群的正常服务12)具备完善的主子账号体系,同一个主账号将自己的资源按需分配给多个子账号13)具备完善的多用户隔离机制,保障用户数据的私密性14)提供java、C/C++、.NET等多语言SDK15)要求所投产品与云平台为同一制造商,保障系统兼容性、扩展性
1、功能指标要求1)支持以Web界面形式进行API全生命周期管理,包括发布、订购、消费到注销2)API级联发布支持2个云服务总线群组或实例之间的HTTP服务级联在实例A上发布接入协议为HTTP的服务,自动级联发布到另外一个实例B,客户端访问实例B上开放的HTTP服务时,云服务总线通过安全通道,自动路由请求到实例A,再转发给内部域的业务服务应用云服务总3)协议转换支持数据库协议、REST协议、WebService协议等,支持线各种协议之间做转换和互通支持多协议服务互联,支持HTTP OpenAPI,Dubbo,Web Service等常用协议4)支持简单数据转换和深度定制数据转换的不同场景需求5)支持服务总线节点的无间断扩容,能够水平扩展服务总线节点,线性增加服务能力6)可设置服务总体流量访问控制7)支持完整的针对服务链路和系统指标的日志、巡检和监控8)可设置服务黑白名单-,无需重启服务即可生效云服务类技术参数及要求别9)要求所投产品与云平台为同一制造商,保障系统兼容性、扩展性
1、功能指标要求1)支持集群、节点、应用、容器实例层面的监控,支持集成监控服务的能力,为集群提供全方位监控大盘2)支持查看Kubernetes集群中的事件整体概览以及重要事件(访问、命令执行、删除资源、访问保密字典等)的详细信息支持查看Kubernetes集群中常见的计算资源、网络资源以及存储资源的操作统计信息,操作包括创建、更新、删除、访问支持查看Kubernetes集群中某类资源的详细操作列表支持自定义时间维度查询3)支持创建边缘集群,支持用将地理位置分布的已有节点作为边缘工作节点接入集群,支持将边缘节点设置断网自治状态,避免容器服务节点断网情况下的工作负载驱逐,支持边缘节点池以及边缘单元部署O4)支持容器实例日志查看和应用日志采集5)支持显存、计算单元的隔离和动态调整,同时避免虚拟化开销6)支持多集群的统一管控7)支持安全容器,安全容器需拥有独立的内核,具备更好的安全隔离能力且具备与Docker容器一样的用户体验8)支持手动伸缩和弹性伸缩,支持手工调整Pod的副本数量进行横向伸缩,支持配置容器资源阈值进行容器实例的自动伸缩9)支持从页面上进行容器存储卷(本地存储、块存储、文件存储、对象存储)的生命周期管理10)容器实例支持进行远程访问控制云服务类技术参数及要求别11)支持从Web页面一键式手工自助添加和删除节点,伸缩过程中无需人工干预支持通过弹性伸缩组自动创建工作节点并加入集群支持设定缩容规则触发后自动下线工作节点12)支持页面对资源进行编排13)支持GPU类型节点、支持裸金属服务器14)容器服务与云平台无缝对接,能够通过控制台实现集群的一键式自助创建和删除集群15)需能够快速查看资源的总体运行状态,包括节点、组件、应用的运行状态,集群的事件记录以及集群的当前的资源使用情况
4.3云平台安全配置要求云平台安全总体要求
1、云平台安全防护系统应采用服务器架构,软件化部署,并且具有良好的高可用设计和弹性扩展能力云平台安全防护系统应能够实现与云平台联动,用户业务上线后即自动提供安全保障服务简化内部网络地址规划,无需现场为每个云安全产品重新规划和配置内部网络
2、在云平台安全防护系统中提供的态势感知、堡垒机、Web应用防火墙、主机安全防护、网络流量检测与响应、云安全管理中心等功能模块要实现自动化交付安装,实现与云平台统一管理、统一监控、统一调度云服务类技术要求别态势感知
1、功能要求1)提供整体安全威胁概览信息,包括总体安全评分、防护资产状态、待处理风险告警、已处理风险等态势信息2)提供基于态势感知的大屏展示,包括资产、漏洞、基线、攻击来源、攻击分布等网络安全态势信息3)提供资产中心管理页面,包括服务器资产和云产品资产,展示的信息包括不限于防护状态、所属VPC、风险类型等信息4)支持防密码暴力破解攻击事件的发现,可对黑客进行暴力破解的行为进行实时检测5)支持定向攻击分析,比对云平台数据,分析出定向的应用攻击和定向暴力破解6)支持异常流量分析,从流量中抓取异常流量,分析已知和未知攻击包括发现异常的网络连接等7)支持通过机器学习和数据建模发现潜在的入侵和攻击威胁,从攻击者的角度有效捕捉高级攻击者使用的ODay漏洞攻击、新型病毒攻击事件支持但不限于以下模型的威胁检测MySQL提权和写Webshell、主机侧挖矿程序检测、反弹shell等8)支持应用白名单功能,针对未经白名单授权的程序进行监控告警,可监控进程名称、进程ID并提供解决方案,可进行一键处置
1、系统用户管理功能要求1)支持用户安全策略功能,如密码最小长度、密码使用限期、密码复杂度要求、密码重复策略、密码锁定策略等堡垒机
2、主机资产管理功能要求1)支持常用的运维协议SSH、TELNET.RDP、SFTP2)支持自动发现主机,可设定检测网段和服务端口进行扫描
3、访问授权管理功能要求1)支持通过基于时间、用户/用户组、设备/设备组、设备账号、命令关键字、命令关键字、黑白名单等组合访问控制策略,授权用户可访问的目标设备2)支持对重要命令进行实时审核运维人员执行命令后,系统响应动作包括实时审批、忽略指令、断开会话、实时告警4>审计记录及检索功能要求1)支持全字段搜索审计日志,只需通过关键信息快速搜索定位2)支持日志关联分析,可直接关联到日志同个会话中的所有操作日志3)支持会话录像在线回放、定位回放及下载后使用官方专用客户端离线回放
5、密码安全管理功能要求1)支持按设备、数据库、系统帐号、计划执行时间、改密周期、密码策略、改密结果发送等生成详细的改密计划,到期自动执行
1、功能指标要求1)既支持基于域名的接入方式,也支持基于IP+Port的接入方式;支持任意非标端口的转发2)支持HTTPS双向认证3)支持创建独享虚拟IP,不同域名分配不同虚拟IP支持为同一域名分配多个不同虚拟IP Web应用防4)支持智能语义分析引擎,不需配置规则即可完成对SQL注入、命令火墙注入、PHP反序列化、Java反序列化、文件上传、PHP代码注入、Java代码注入等攻击类型的检测,在功能界面上可以以开关方式控制以上Web应用攻击检测引擎5)支持在日志详情中精准显示解码后的攻击片段,并提示攻击方法(编码方式、攻击类型等信息)6)针对可能误报的攻击日志,可一键生成白名单规则7)支持自定义规则,能够在功能界面上设定规则的存活时间,至少支持秒、分、时、天的时间设定粒度8)支持SaaS化多租户模式,每个租户能够管理自身规则、查看自身防御状态,数据基于租户隔离9)支持后端Web服务器集群的负载均衡,支持加权轮训法、最小连接数法和源地址哈希法三种调度策略
1、基础功能要求1)网络威胁检测响应系统支持旁路部署模式支持云网络到互联网、云网络到企业内网流量中的攻击行为2)支持云原生多租户部署模式,一套集群支持检测不同租户的流量,并支持每个租户账单独立查看安全告警,支持租户配置安全策略,租户配置的阻断策略和白名单仅对租户生效3)威胁日志支持一键封禁IP、一键加白等操作,实现对告警的快速处理
2、攻击者画像功能要求1)从攻击者的视图对入侵者的基础信息、威胁情报、攻击手法、攻击网络流量目标、攻击过程进行统一的分析展示检测与响2)支持查看攻击过程的详情,支持攻击详细信息的下载应
3、策略管理功能要求1)支持四层防护策略,根据基于源IP、目的IP及端口设置流量观察与阻断策略;2)支持应用层防护策略,基于HTTP报文的字段内容设置观察与阻断策略;支持设置策略生效时间3)支持web应用检测配置,对包括SQL注入、跨站脚本、代码执行、本地文件包含等多种攻击行为检测°支持启用和禁用web应用检测规则4)支持端口扫描欺骗策略,可添加需要防护的IP和端口,对恶意端口扫描行为进行欺骗
1、功能指标要求1)支持通过访问来源信息客户端IP、端口、数据库名称、数据库用户、OS用户、访问工具、主机名称、MAC地址的方式进行审计2)支持Oracle、SQL Server^Db
2、Informix、PostgreSQL、Sybase ASE、MySQL MongoDB、SAP HANA等主流数据库3)支持Hive、HBase Redis等大数据平台的审计数据库审4)支持Teradata、人大金仓、达梦、神通、南大通用等数据库审计计5)内置安全特征库规则,如SQL注入、缓冲区溢出、权限提升、数据泄露、拒绝服务、访问操作系统、改密码、审计、游标注入、访问敏感组件、创建外部JOB、恶意代码、非系统用户执行命令等常规漏洞6)应具备漏洞攻击规则库,漏洞攻击规则应至少包括漏洞名称、漏洞类型、影响范围等内容7)支持识别口令猜解攻击,以及在同一个会话里,相同IP、数据库用户的频次攻击告警
1、功能指标要求1)支持漏洞扫描功能,基于无状态扫描技术,结合动态检测和静态匹配两种扫描模式,提供自动化、高性能的精准Web漏洞扫描、弱口令扫描能力2)支持以饼图、柱状图、趋势图等形式展示资产综合状况,支持从资漏洞扫描产类型、漏洞类型、主机存活状态、服务类型等角度展示3)支持VPC侧扫描自动导入虚拟云主机资产,可手工添加扫描目标IP O4)支持包括防火墙、交换机、路由器、服务器、摄像头、应用系统等资产识别,并支持自动对资产所属设备类型进行归类展示5)支持资产更新分析,自动收集资产更新前后信息,并针对更新内容进行重点对比展示6)支持突发事件应急检测,能够针对单个或多个漏洞进行指定资产范围内的风险发现7)支持漏洞风险分析,包括但不限于风险概述、风险地址、风险类型、风险描述、风险危害、风险细节、修复建议以及原始请求与响应等信息8)支持设置资产巡检周期,自定义扫描周期、扫描开始/结束时间、扫描速率、探活发包协议、端口策略、漏洞类型等信息
1、功能指标要求1)支持展示重点关注的资产,漏洞,异常,配置缺陷,事件等信2)支持中间件数据类型,包括中间件名称、类型、版本、PID、安装路径、最新扫描时间、版本验证信息、父进程PID、运行用户进程监听IP、进程监听端口、监听状态、监听端口协议、进程启动时间、进程命令行、容器名称、镜像名称、配置文件路径、Web目录3)支持主机维度进行资产暴露盘点,可提供资产、暴露方式、暴主机安全露组件、暴露端口、可被利用的漏洞、暴露链路拓扑图及暴露风险详情等信息4)支持应用维度进行资产暴露盘点,可提供暴露中间件名称、类型、版本、关联漏洞、影响资产、最新扫描时间等信息5)支持网站后门防护功能,支持自动拦截黑客通过已知网站后门进行的异常连接行为,并隔离相关文件,有效清理隔离php、asp、jsp等类型的后门6)获得IT产品信息安全认证云安全管
1、运营中心功能要求:理中心1)支持安全告警总数、处置闭环率、处置动作占比、告警风险级别、告警数据源、告警类型分布、TOP10攻击源IP、TOP10被攻击IP等告警数据统计2)支持发生时间、攻击IP、被攻击IP、告类型等多维度条件进行安全告警聚合,并以聚合列表的形式呈现,支持查看安全告警详细证据信息
2、态势监控功能要求1)支持云环境全局新发现网络攻击、异常行为、安全脆弱性、防护组织、T0P5遭受攻击组织、T0P5待处理异常行为、T0P5待处理脆弱性等数据统计呈现2)支持网络攻击类型分布及最新网络攻击事件、异常行为类型分布及最新异常行为、安全变化趋势等数据的统计呈现
3、风险分析功能要求1)支持云环境全局威胁事件集中呈现,包括威胁名称、威胁类型、威胁描述、处置建议、网络协议、源/目的IP及端口、匹配已知威胁情报、域名、文件名、进程信息等关键信息2)支持威胁事件一键转换为响应事件,将威胁事件相关信息导入到响应编排中心3)支持恶意指标画像,包括威胁等级、基本信息、IP标签、攻击目标、攻击次数、攻击影响程度、情报源等信息
4、资产管理功能要求1)支持租户侧云主机或虚拟化资产的信息采集,包括云主机、云数据库、云存储、负载均衡、弹性外网IP和Tunnel等资产实例信息2)云主机资产以列表形式集中呈现,包括IP公/私网地址、所属组织/单位、所属VPC、运行状态、操作系统、是否为新增、可疑安全组、安全告警、脆弱性风险、网络攻击、Agent状态、快照、内存、磁盘等信息,支持单资产详细网络攻击、异常行为、脆弱性风险的信息查看
5、响应编排功能要求1)支持通过流式告警、定期任务、人工执行剧本生成案件,支持查看案件内关联的数据信息2)内置丰富的日常安全告警处置和联动封禁等自动化安全运营剧本3)支持通过拖拽和配置方式,自定义业务场景的剧本
6、日志管理功能要求1)基于审计日志的任意字段及内容进行统计计数、最大值、最小值、平均数、总和等统计,并以柱状图、折线图、饼图、单值图、表格的形式进行呈现2)支持基于时间范围、所属组织、数据源、日志字段、日志内容等条件进行全局标准化日志的检索查询3)支持通过关键字与/或/非/大于/小于/等于等逻辑表达式进行日志检索查询,支持关键字模糊匹配查询,并支持保存为快速日志查询条件4)支持关键字和Json DSL两种日志查询方式
7、规则管理功能要求1)支持内置关联分析规则,包括威胁名称、威胁级别、威胁类型、攻击阶段、威胁描述和处置建议等属性信息,并支持规则自定义2)自定义关联条件支持以顺序发生和同周期内发生两种关联时序,可基于日志范围、源/目的IP、日志字段、周期内日志数量等属性条件进行关联3)支持以列表的形式进行关联检测规则管理,支持威胁级别、威胁类型、威胁名称等多维度条件进行规则筛选查询4)支持手动添加IP封禁策略,并支持IPv4和IPv6协议,支持源/目的IP、目的端口、封禁时长、封禁类型等策略属性配置
8、运营管理功能要求1)支持审计,可查看指定时间7天以内的日志概览统计,包括原始日志趋势、审计事件趋势、审计风险分布、危险事件分布、存储用量、审计类型等2)支持云平台数据库、主机、网络设备用户操作事件采集、审计、查询,包括资源管理事件、数据库攻击、错误事件、更改事件、访问事件、资源管理事件、权限事件和账号事件
一、项目概况为推动肥西县数据资源汇聚、政务服务能力提升和拉动县域数字经济、社会发展的重要基础设施依据《合肥市加快建设新一代政务云行动计划》合政办秘
[2020]58号文、《合肥市“城市大脑”建设方案2021-2023》合政办
[2021]10号文相关要求“以云网合
一、云数联动为基础,以电子政务外网为依托,建成全市逻辑统一的政务云体系架构实现各地各部门通用基础设施共建共用、信息系统整体部署、数据资源汇聚共享、业务应用有效协同”本项目建设目标如下通过构建“一网、一云、一数、N个应用”,配合信息安全保障与运营维护保障,形成“两翼齐飞”的云计算平台,打通政府各部门IT系统,实现政务IT系统软硬件的统一规划、统一建设、统一应用和统一管理,从而使肥西县各级政府机构的信息化平台和政务数据整体可管、可控、可信,实现数据共享、业务高效的IT目标;同时通过云计算和大数据在政府决策领域示范应用,增强政府民主决策的科学性
1.
1.业务目标
1.
1.
1.满足我县政务信息化支撑平台建设需要按照电子政务相关规划要求,云平台的设计要求对我县各个政府部门的不同需求,提供包括计算资源、存储资源、操作系统、安全等多样化的云计算服务
1.
1.
2.满足我县政务数据安全的需求建立统一的安全保障体系按照国家电子政务外网统一安全规划,和等级保护三级的基本要求,建立“可管、可控、可信”的云平台安全保障体系
1.
2.管理目标
1.
2.
1.统筹各部门业务系统资源需求通过高度集约、业务共享的云平台,加强对全县各委办局新建项目所需云计算、网络、数据等资源的审核,实现肥西县政府各委办局业务系统IT资源统一规划、统一调度、统一运营,提升IT资源利用效率,缩短政务信息化系统上线周期;完善各委办局数据统筹管理机制,促使政务数据资源汇聚、流通水平显著提升,跨部门数据共享通畅,各领域数据更加完备、鲜活
1.
2.
2.节省IT系统建设资金成本采用“社会力量建设,政府租用服务”模式租用云计算技术成熟、平台安全可靠、属地化运维经验丰富的云平台,通过“各委办局按需申请,政府按量一点付费”的商务模式,减少政府的直接投资,降低建设、运行成本,提高业务系统运行稳定性和可靠性
1.
3.决策目标通过集约化云计算平台,加强数据资源统筹,汇聚肥西县政府各委办局政务数据,为提升惠民服务质量、提升城市治理水平、加快肥西县数字经济发展提供大数据决策依据
二、建设需求
2.
1.基础设施资源服务数字肥西基础支撑平台提供计算、存储、网络、服务器、云管平台、安全服务等,同时保障基础设施资源的可扩展性,满足用户容量需求建设完成后的云平台可以提供包括计算服务、存储服务、网络安全服务及运维保障服务在内的服务能力,支撑各单位应用系统实时在线运行同时,数字肥西基础支撑平台建成应达到等保
2.0三级要求
2.
2.信息安全资源服务本项目需要提供信息安全技术服务包括安全防护服务、用户安全服务、安全接入服务、安全管理服务、安全扫描服务、网站防护服务等需要构建安全管理体系,与技术体系、服务体系密切结合,共同保障业务系统安全、高效运行参照国家信息安全等级保护规范覆盖到安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理五个模块内容,根据IS027001最佳实践,制定安全风险管理、信息资产管理,安全事件管理,人员安全管理、身份与访问控制管理等关键安全管理流程,并结合现有基础支撑平台运维体系构筑基础支撑平台安全管理体系
2.
3.支撑组件资源服务数字肥西基础支撑平台按照合肥市新一代政务云建设指导意见相关要求建设,为满足全县政务应用需要,提供统一的通用数据库工具和中间件支撑服务,可以根据业务特点,灵活选择,提高系统的稳定性和可用性
2.
4.运维保障服务针对基础支撑平台提供全面的保障及运维服务,运维管理对象包括:机房、网络、物理设备、虚拟设备、云管理平台等,具体服务范围如下1)通信响应需提供热线电话、电子邮件和在线网站等技术支持方式,提供7*24小时电话响应服务和5*8小时的现场运维服务,重大节点强化保障,确保基础支撑平台整体可用性不低于
99.9%o2)日常监控、巡检对基础支撑平台进行日常监控、巡检,包括监控告警的处理,巡检异常的处理等;需制定维护管理规定,并按照规定中的维护项目、周期和要求执行3)系统扩容在日常运维过程中,当基础支撑平台资源使用率超出限定额度或平台资源数量、功能、性能等方面不满足最终用户使用要求时,需对现有平台进行扩容在主管部门发起扩容需求后,需在1个工作日内响应,在25个工作日内完成扩容任务,同时向主管部门提交扩容后平台的资源情况报告4)故障处理处理基础支撑平台发生的各类软硬件、通信线路等故障,确保上层业务系统能够正常稳定运行5)系统中断需中断系统进行平台升级操作时,提前至少72小时(重大自然灾害除外)通知主管单位做好相关准备工作,征得同意后方可实施6)应急响应根据基础支撑平台高可用设计特性和各组件的重要性制订应急预案当发生重大应急事件时,业主单位需在云服务商的牵头下实施应急响应操作,并在事后制定重大事件报告7)安全加固支持对基础支撑平台各个基础组件进行安全策略配置、安全扫描和系统漏洞的加固8)配置实施及管理进行基础支撑平台各软硬件设备的基础配置、IP配置、角色用途、账号密码等的统一配置实施及配置管理9)节假日保障重大节假日期间进行基础支撑平台运行和信息安全的重点保障
2.
5.运营管理体系服务为保障云平台的稳定高效运行需要一个良好的运维体系,以提供资源管理、调度管理、监控管理等运维功能需要建立健全配套制度标准,提供云平台管理办法、运维制度、应急预案等
三、建设内容数字肥西基础支撑平台通过构建“一网、一云、一数、N个应用”,配合信息安全保障与运营维护保障,形成“两翼齐飞”的云计算平台,打通政府各部门IT系统,实现政务IT系统软硬件的统一规划、统一建设、统一应用和统一管理,从而使肥西县各级政府机构的信息化平台和政务数据整体可管、可控、可信,实现数据共享、业务高效的IT目标;同时通过云计算和大数据在政府决策领域示范应用,增强政府民主决策的科学性
四、技术要求
4.1云管平台技术需求云服务类技术参数及要求别
1、功能要求1)提供IaaS/PaaS类云产品及服务的资源操作控制台2)提供用户管理功能,支持创建/修改/删除/恢复/禁用/激活/查询用户、查询/修改/重置密码、变更归属、角色授权、用户组管理、登录策略设置3)提供角色管理功能,提供角色创建、修改、删除、禁用功能,支持云管平台自定义业务角色,设置角色所具有的操作权限,并将角色管理给相关用户;支持复制/查询角色,支持设置角色所能查看的首页仪表盘布局,以及相应的可视化控件4)提供用户组管理功能,支持创建/修改/删除/查询用户组、添力口/删除用户;支持用户组与角色关联5)提供组织管理功能,支持创建/修改/删除/级联删除/查询组织、变更资源组织归属支持通过组织查看、删除、导入用户信息。