某智慧城市政务云平台项目建设方案

某智慧城市政务云平台项目建设方案智慧城市政务云平台项目建设方案2022年05月目录1项目总体概述61.1项目建设背景61.1.1政策背景61.1.2技术背景71.1.3业务背景101.2项目建设依据111.2.1编制依据文件和要求111.2.2参考的规划、标准规范等122项目建设需求162.1项目建设目标162.2项目建设内容172.3项目建设要求182.3.1基础设施服务建设182.3.2信息安全服务建设182.3.3运行保障服务建设192.3.4业务应用支撑建设193平台建设方案203.1总体建设原则203.2总体方案设计213.2.1方案设计思路223.2.2总体架构设计233.3资源池建设方案243.3.1资源池总体规划243.3.2计算资源池建设253.3.3存储资源池建设263.3.4网络资源池建设283.4设备配置方案303.4.1服务器配置清单303.4.2网络设备配置清单323.4.3安全设备配置清单323.5信息安全保障方案373.5.1安全法规要求373.5.2总体安全规划383.5.3安全保障设计393.5.4安全运维管理493.6应用部署和迁移方案583.6.1应用部署规范583.6.2应用迁移规范623.6.3应用迁移方案654平台产品方案814.1私有云平台产品简介814.1.1产品概述814.1.2产品架构824.1.3产品特性874.1.4技术架构特性884.1.5应用场景934.1.6交付模式944.1.7术语解释954.2平台部署架构964.2.1集群节点964.2.2硬件选型1054.2.3机柜规划(示例)1074.3产品功能架构1084.3.1虚拟化核心1084.3.2复用公有云1504.3.3核心功能概念1504.3.4虚拟机1534.3.5云硬盘1654.3.6私有网络1684.3.7外网IP1734.3.8NAT网关1774.3.9负载均衡1824.3.10弹性伸缩1894.3.11定时器1924.4平台灾备方案1934.4.1本地灾备1934.4.2异地灾备服务1944.4.3公有云灾备服务1964.4.4两地三中心灾备服务1994.4.5灾备网络架构2034.4.6灾备切换2045项目实施方案2065.1项目建设周期2065.2项目组织保障2065.2.1领导和管理机构2065.2.2项目实施机构2075.2.3运行维护机构2085.3项目培训方案2096项目风险及控制措施2106.1项目风险概述2106.2风险标识2106.3风险估算2106.4风险评价与管理2106.5项目实施的外部风险与控制措施2116.5.1风险识别2116.5.2控制措施2116.6项目实施的内部风险与控制措施2116.6.1风险识别2116.6.2控制措施2126.7项目长期运行风险与控制措施2146.7.1风险识别2146.7.2控制措施2141.项目总体概述1.1项目建设背景1.1.1政策背景近年来，政府高度重视信息化和电子政务发展，在组织领导、战略布局、政策发布等方面均为电子政务发展提供强有力制度保障。中央网络安全和信息化建设领导小组正式成立，体现中国最高层全面深化改革，着力保障网络安全，推动信息化发展的决心。新组建的领导小组层次之高前所未有，党和国家最高领导人出任组长、副组长，第一次比较彻底地体现了信息化是“一把手工程”的内在要求。同时，新的领导小组也体现了党政军一体化融合推进的要求。无论从哪个角度看，今后总揽全局、统筹推进的规划能力和协调能力都将大大提高。作为国家信息化的重要组成部分，电子政务发展也同样有了更强的组织保障。从国家战略层面看，全面深化改革、推进国家治理体系和治理能力现代化，任重而道远。如何形成与国家治理体系相适应的电子政务管理体系，构建适应和推进治理能力现代化的电子政务发展模式，成为“十三五”我国电子政务发展的重要方向。从政府改革层面看，新一届政府对建设创新政府、廉洁政府、法治政府提出了更高的要求，转变政府职能、简政放权的力度明显增强，这些工作都需要电子政务做好支撑。从信息化发展层面看，国家把推进信息化、建设网络强国的战略部署与“两个一百年”奋斗目标和实现民族复兴的“中国梦”紧密联系，信息化的战略地位前所未有。在此三重背景下，我国电子政务的重要战略地位也不言而喻。S县电子政务云平台的建设紧紧围绕区政府、各政务部门深化电子政务应用、提高履行职责能力的迫切需要，为各部门实现政务、业务目标提供公共的技术环境和服务支撑，有效支持政务部门灵活、快速部署应用业务，满足业务不断发展和改革的需要；满足跨地区、跨部门、跨层级信息共享，以及行业系统与政府应用结合的需要；满足大量数据访问、存储和智能化处理的需要；满足安全可靠运行的需要。为了促进服务型政府建设，推动S县政务数据产业的发展，满足S县电子政务、电子商务等信息化快速发展的需求，保障信息化建设未来发展中出现的重复建设及信息孤岛问题，非常有必要将S县各部门建设信息系统都需要的基础设施和资源与各自的业务应用剥离出来，集约建设、统一管理、按需使用，形成公共平台支撑各政务部门的信息化建设。政策指导要求自2014年领导小组成立以来，党中央、国务院出台了多个文件，为电子政务发展提供政策指导。2014 年12 月，国务院办公厅发布《关于促进电子政务协调发展的指导意见》（国办发〔2014〕66号），从加强顶层设计，统筹电子政务协调发展；深化应用，提升支撑保障政府决策和管理的水平两大角度提出未来五年电子政务发展的指导意见，该文件也必将对“十三五”我国电子政务发展产生重要影响。2015年1月，国务院发布《关于促进云计算创新发展培育信息产业新业态的意见》（国发〔2015〕5 号），提出“电子政务云计算发展新模式”，推动政务信息资源共享和业务协同。同月，发布《关于规范国务院部门行政审批行为改进行政审批有关工作的通知》（国发〔2015〕6 号），提出全面实行“一个窗口”受理，积极推行网上集中预受理和预审查，创造条件推进网上审批，加快实现网上受理、审批、公示、查询、投诉等，这些要求为进一步发挥电子政务优势提供良好契机。此外，在政府网站建设方面，国务院办公厅还出台了《关于加强政府网站信息内容建设的意见》(国办发〔2014〕57 号)，中央网信办发布了《关于加强党政机关网站安全管理的通知》（中网办发文〔2014〕1 号）等文件，为政府网站建设和管理提供政策指导。从S县层面来讲，在“十四五”初需参照市级云目标和要求，完成所有S县政务云建设，并与市级云在设施资源层面分离、在中间平台层共享、在应用服务层联动。同时为本县各部门、各单位提供集中式云服务，对市级条线的原有业务系统，在市级相关部门的指导下，结合S县实际，开展政务云应用。1.1.2技术背景近年来随着我国信息化建设的发展，政府信息化工作取得了长足进展,政府部门利用先进的信息技术，网络技术和软件技术，建立并实现了部门内部、部门之间以及面向社会的基于信息共享，业务联动的各类政府业务信息系统和辅助办公系统，电子政务在改善公共服务、加强社会管理、强化综合监管、完善宏观调控等方面发挥了重要作用，促进了政府职能转变，成为提升党的执政能力和建设服务型政府不可或缺的有效手段。但从电子政务系统建设的现状来看，电子政务在信息共享和业务协同上还存在明显的不足，仍然存在统筹不足、政出多门、分散建设、低水平重复、投资浪费等现象；同时建设缺乏规范性，信息化进程缺乏统一的规则，甚至在有些部门还出现了使用多个异构系统同时进行工作的情况，缺乏扩展性。随着我国电子政务建设的发展，越来越多的政府意识到电子政务集中建设的必要性和优越性。很多政府逐渐实现了从网络到应用的集中共享建设模式。而随之带来的是相应的资源利用，数据安全，业务需求多样性及管理的复杂性等问题。通过云计算架构，应用于电子政务平台建设，能有效地整合资源，并解决上述问题。利用云计算不仅有助于降低电子政务成本、减小信息共享和业务协同难度，而且能提高电子政务部署效率和政府服务效率。S县政务数据中心在基础设施和应用系统建设方面取得了很大的成绩，但是在其建设当中，电子政务外网和电子政务互联网业务的资源部署方式仍然是按照应用进行物理的划分，这种部署方式可能存在以下风险和挑战：资源利用率低由于应用与资源绑定，每个应用都需要按照其峰值业务量进行资源的配置，这导致在大部分时间许多资源都处于闲置状态，不仅造成服务器的资源利用率较低，而且对资源的共享、数据的共享造成了天然的障碍。运维成本高S县政务内部电子政务外网和互联网业务的增加，服务器、网络和存储的设备数量也会出现迅速的膨胀，在传统的数据中心建设模式下，会造成占地空间、电力供应、散热制冷和维护成本的急剧上升，为政府信息中心长远的IT投入和运维带来挑战。业务部署缓慢在传统的模式下，政府信息中心的各个部门如果要部署新的业务，那么在提交变更请求与进行运营变更之间存在较大延迟，每一次的业务部署都要经历硬件选型、采购、上架安装、操作系统和应用程序安装以及网络配置等操作，使得业务的部署极为缓慢。管理策略分散当前的电子政务外网和政务互联网的运维管理缺乏统计的集中化IT构建策略，无法对政府信息中心内网的基础设施进行监控、管理、报告和远程访问，IT管理策略分散。S县政务的云数据中心建设作为政府信息中心运行关键业务运行平台和进一步发展的基石，必须拥有更强的IT服务能力，保持高效稳定的运行，数据中心的升级建设势在必行。另外，随着S县政务政府信息中心IT建设的迅速开展，云数据中心承载着政府信息中心内部的关键业务、核心应用，对于信息数据的完整性、业务运行的可靠性、网络系统的可用性的要求越来越重要。目前IT信息技术已经延伸到政府信息中心的各个层面，从政府信息中心角度看，云计算有利于整合信息资源，实现信息共享，促进政府信息中心信息化的发展。从用户角度看，利用云计算可以独立实现或享受某一项具体的业务和服务。因此云计算将在政府信息中心的IT政策和战略中正扮演越来越重要的角色。S县政务云数据中心的建设，未来的核心业务涵盖如下范围：以“统规、统建、统维”思想为指导，以丰富的云基础设施，云存储，云安全和各类云服务共同构建S县政务云数据中心，服务于各部门的电子政务外网和电子政务互联网。数据处理：海量数据的处理和分析。为S县政务各部门集中提供基础的信息处理能力，承接政府信息中心各部门的应用系统迁移和部署，实现相关云数据中心的资源整合、集中部署与统一管理。项目建设应从S县政务云数据中心信息化发展方向以及发展现状出发，加强综合协调和统筹规划，借助现代、前沿的信息化技术，形成集成能力强、运作效率高和具有可持续发展能力的云数据中心多业务应用平台，真正为S县政务提供找得着、用得好、有保证的信息化服务。具体建设思路如下：统筹规划，分步建设资源共享、协同服务因地制宜，突出重点基于云计算，创新服务模式本方案将云数据中心“IT基础设施”的“按需使用”以及“自动化管理和调度”作为云计算的实践，形成可落地实施的、可持续发展的云计算平台，即IaaS云计算平台。1.1.3业务背景电子政务建设集约化程度不高S县已建成的各类信息系统有效支撑了现阶段政府管理和民生服务的需求。但由于规划标准不一，难以支撑政府职能转变需求。亟需加强电子政务规划、建设、运营的统筹协调，从部门独立建设、自成体系，向跨部门跨行业集约化的政务云模式转变。信息资源共享度较低众多业务系统由于部门化管理，跨条块资源集成难、跨领域业务协同难、跨部门信息共享难的“三跨难”问题仍然存在，极易导致部门间业务协同不便，产生信息孤岛、绩效监测失控等弊端。突破信息话瓶颈建设当前各级政府推进信息化建设，面临资金更节约、政务需求更专业、信息安全更可控的新要求，这些要求之间彼此制约，成为突出瓶颈。云计算是一种创新的服务交付和使用模式，以公开的标准和服务为基础，通过网络提供按需、弹性、可靠、安全的服务。云服务是基于信息网络的新型计算模式和服务模式，它实现了业务应用软件与物理基础设施分离，避免了设施重复建设，拓宽了专业服务发展空间。政府采购云服务，是降低行政成本，提高行政效力的有效途径，推进购买云服务，能破解政府信息化建设高重复、高耗能、低效率的困局。提高政府信息安全在云计算架构下，数据集中存储在云端，数据存储介质难以通过物理方法获得，可有效降低数据泄露风险。云服务模式降低了对单台设备可靠性的要求，更能体现国产设备性价比高的优势。政府采购云服务将极大的推进政府社会管理和提供公共服务的水平，提升政府的效力和公信力。同时也是维护国家信息安全的有力手段。目前各行业，尤其是政府机构，将逐步降低对国外厂商与产品的依赖，夯实维护国家信息安全的基础。此外，云服务商会根据用户要求，对云端用户数据进行统一管理。促进治理能力现代化当前我国推进国家治理体系和治理能力现代化的一个重要内涵是，促进政策形成趋于量化、精细化。云服务模式是大数据治国背景下的重要基础设施。云服务模式具有政府信息中心无法比拟的专业优势，可搭建经济社会多领域数据融合的平台，挖掘数据信息潜在相关关系和发展趋势，能促进政府科学判断和预测。支撑政务业务应用和发展从信息化系统的业务角度出发，基础设施的集中后，政府信息化的项目管理单位，省去基础实施资源的规划、维护的工作与安全防护的责任。从信息数据的角度出发，云架构的网络与存储的集约化建设，为数据的汇聚、交换、共享，提供了更为便捷的渠道与基础。从县内信息化系统的统筹管理与监管的角度出发，通过统一的云管平台可以实现全县的设备的集中的信息化管理。避免原先的分散管理带来的沟通成本，使得区内信息化的统筹安排与调度成为可能。1.2项目建设依据1.2.1编制依据文件和要求中共中央办公厅、国务院办公厅关于转发《国家信息化领导小组关于我国电子政务建设指导意见》的通知（中办发[2002]17号）；中共中央办公厅、国务院办公厅关于加强信息资源开发利用工作的若干意见（中办发[2004]34号）；《中共中央办公厅、国务院办公厅关于深化政务公开加强政务服务的意见》（中办发〔2011〕22号）；中共中央办公厅、国务院办公厅《2006—2020国家信息化发展战略》（中办发[2006]11号）；国务院下发的《关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）；国务院：《中华人民共和国政府信息公开条例》；《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》；《国家电子政务工程建设项目管理办法》（国家发改委令第55号）《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）《“十二五”国家政务信息化工程建设规划》(发改高技〔2012〕1202号)《基于云计算的平台顶层设计指南》(工信信函﹝2013﹞2号)《信息安全等级保护管理办法》（公通字【2007】43号）《电子政务信息安全等级保护实施指南（试行）》（国信办[2005]25号）1.2.2参考的规划、标准规范等S县电子政务云平台方案设计、服务管理等需要遵循相关的政策法规、标准。包括但不限于：GB/T31167-2014《信息安全技术云计算服务安全指南》GB/T31168-2014《信息安全技术云计算服务安全能力要求》ISO/IEC17788:2014《信息技术云计算概念和词汇》ISO/IEC17788:2014《信息技术云计算参考架构》GB/T21064-2007《电子政务系统总体设计要求》GB/T20988-2007《信息系统灾难恢复规范》GB/T22239-2008《信息系统安全等级保护基本要求》GB/T22080-2008《信息技术安全技术信息安全管理体系要求》GB50174-2008《电子信息系统机房设计规范》GB50462-2008《电子信息系统机房施工及验收规范》《云计算》中国云计算专家委员会，2010；《云计算核心技术刨析》，2011；GB2562-2564,《云计算及其关键技术》，2009；GB17859-1999《计算机信息系统安全保护等级划分准则》；GB/T20271-2006《信息系统通用安全技术要求》；GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》；GB/T22240-2008《信息系统安全等级保护定级指南》；《TC260-N0015信息系统安全技术要求》，工信部；《云计算关键领域的安全指南》云计算联盟，2009；《GB/T31167-2014信息安全技术云计算服务安全指南》;《GB/T31168-2014信息安全技术云计算服务安全能力要求》;《政务云安全技术要求与实施指南》;《政务云平台安全等级保护测评方法与规范》;中网办发文〔2014〕14号《关于加强党政部门云计算服务网络安全管理的意见》;《信息安全技术信息系统安全等级保护第一分册基本要求》;《信息安全技术信息系统安全等级保护测评要求基本要求》;《信息安全技术信息系统安全等级保护第二分册云计算安全要求（草案）》;《信息安全技术信息系统安全等级保护测评要求云计算安全要求（草案）》;《国务院办公厅关于促进电子政务协调发展的指导意见》【国办发[2014]66号】加强国家电子政务外网建设和管理。进一步理顺国家电子政务外网建设和管理工作机制；充分利用各地区现有电子政务基础网络资源，加强电子政务外网网络平台和安全体系建设，加快推动地方部门接入网络平台，实现外网横向纵向联通；重点加强外网应用建设，促进外网信息资源整合利用和数据共享。积极推动各地区各部门业务专网应用迁移和网络对接。各地区各部门对现有业务专网应用进行合理分类，分别向国家电子政务内网或外网迁移；国务院各部门同步整合内部业务专网和向下延伸的业务应用；各地区各部门现有业务专网要理清边界，逐步实现与统一国家电子政务网络的网络对接和业务融合，推动数据交换和共享安全可控。推动基础信息资源库分别在国家电子政务内网、外网平台上部署；围绕重点应用领域，开展基础信息资源应用试点进一步推动政府系统电子政务科学、可持续发展，逐步建立与政府履职相适应的的电子政务体系，有效服务于创新政府、廉洁政府、法治政府建设，不断提升信息化条件下政府治理能力。《云计算工程实施方案》【发改高技[2014]3054号】以服务创新带动技术创新，充分发挥云计算整合IT资源、促进新兴产业发展和服务民生等方面的作用，着力增强云计算服务能力、关键技术产品和解决方案供给能力、云计算安全保障能力，完善云计算支撑体系，推动我国云计算健康有序发展。各级政务部门要抓紧制定本部门业务专网的迁移规划和实施方案，根据业务需求确定需在国家电子政务内网和国家电子政务外网上部署的业务，有计划地分别向国家电子政务内网和国家电子政务外网迁移。原则上，涉及国家秘密的机密级及以下的业务信息系统部署在国家电子政务内网上，非涉及国家秘密的业务信息系统部署在国家电子政务外网上。《国务院关于促进云计算创新发展培育信息产业新业态的意见》【国办发[2015]5号】鼓励应用云计算技术整合改造现有电子政务信息系统，实现各领域政务信息系统整体部署和共建共用，大幅减少政府自建数据中心的数量。政府部门要加大采购云计算服务的力度，积极开展试点示范，探索基于云计算的政务信息化建设运行新机制，推动政务信息资源共享和业务协同，促进简政放权，加强事中事后监管，为云计算创造更大市场空间，带动云计算产业快速发展。《中华人民共和国国民经济和社会发展第十二个五年规划纲要》中明确指出，大力推进国家电子政务建设，加强云计算服务平台建设，构建下一代信息基础设施。《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》明确要求“电子政务快速发展，到‘十二五’末，国家电子政务网络基本建成，信息共享和业务协同框架基本建立”，提出“提升电子政务服务能力。围绕提升服务和监管能力，促进政府管理创新，加强电子政务顶层设计。全面提升电子政务技术服务能力，鼓励业务应用向云计算模式迁移”。《国家电子政务“十二五”规划》，明确要求“建设完善电子政务公共平台。完成以云计算为基础的电子政务公共平台顶层设计、全面提升电子政务技术服务能力、制定电子政务云计算标准规范。”我国政府鼓励和支持利用云计算技术构建新一代电子政务基础设施（即电子政务公共平台），促进政府职能的转变和改变电子政务的发展方式。随着我国政府向公共服务型政府的转型，政府对民生问题的重视不断加强，电子政务是重要抓手。特别是十八大将信息化列为“新四化”（新型工业化、信息化、城镇化、农业现代化道路）之一，意味着信息化将成为推进我国经济社会转型的核心力量之一。国家发改委发布的《关于加强和完善国家电子政务工程建设管理的意见》中特别指出要"推进新技术在电子政务项目中的应用。鼓励在电子政务项目中采用物联网、云计算、大数据、下一代互联网、绿色节能、模拟仿真等新技术，推动新技术在电子政务项目建设中的广泛应用"，“发挥国家电子政务网络支撑作用。项目建设部门必须充分利用国家电子政务网络开展电子政务项目建设。项目建设部门应根据业务需求，将涉及国家秘密的机密级及以下的业务系统部署在国家电子政务内网上，将非涉及国家秘密的业务信息系统部署在国家电子政务外网上。现有部门专网承载的涉及国家秘密的业务信息系统和非涉及国家秘密的业务信息系统要分别逐步迁移到国家电子政务内网和国家电子政务外网上来。国家原则上不再审批新建部门专网，具体要求按《关于进一步加强国家电子政务网络和应用的通知》（发改高技[2012]1986号）执行。”并且在相关的指导意见中重点强调要保障电子政务项目安全可控。2.项目建设需求某智慧城市总体项目采用分阶段方式进行建设。第一阶段，完成Iaas层面的初步建设，确保区内主要业务系统和各委办局的现有和新建的等保三级及以下非涉密信息系统上云，完成物理层面的集中。第二阶段，在Iaas层面政务云的基础上搭建S县政务云Paas平台，提供统一的公共服务，并逐步要求区内新建信息系统按Paas平台规范开发，完成应用资源共建共享。第三阶段，完成S县政务云Daas平台的建设，实现“云数联动”，在“三个实有”的基础上，逐步完善长效数据更新和数据利用的目标。2.1项目建设目标S县政务云平台是某智慧城市项目第一阶段的重点建设内容。负责建设云网大数据中心的基本硬件、基础平台，建成S县云节点机房，形成云资源池，初期云资源池完成4000核能力的建设。通过S县政务云平台的建设，形成全县的云计算资源统一，能力扩展，服务延伸，为S县政府信息化建设提供安全可靠的云服务，为构建服务型政府奠定基础。本项目的总体目标是整合现有对内/外业务系统承载的物理系统环境，建设统一的政务云平台，讲电子政务外网和互联网业务系统接入云平台。同时实现各个委办局访问内网应用系统，并将现有网络及链路安全进行全面加固。通过S县政务云平台的建设，在有效降低重复建设投资、节能环保的基础上，提高基础设施资源的利用率，实现S县信息化基础设施资源的统一规划、统一建设、按需调配、即需即用、有效共享。通过合理规划、小步快跑的方式，在实现建设集约化、信息共享化、服务标准化、效益最大化的同时，满足县各级用户、各委办局基础设施的应用需求，为全县政务信息化发展提供有力的信息化支撑保障。基础架构平台化在整合政府部门现有软硬件资源基础上建设电子政务标准公共机房基础服务平台。采用下一代先进的云计算关键技术与解决方案，强化公共服务。实现电子政务系统的物理集中与应用管理的分散。实现应用系统按照需求，向“电子政务云平台”动态申请计算与存储能力。充分发挥平台集群计算、集群存储、按需使用、动态扩展的特性。为各级机关、企业提供计算、数据存储和灾备信息资源服务，实现软硬件统筹规划、统一标准、集中部署、统建共用避免重复投资政务应用云化构建可控安全的电子政务云，以可靠性、安全、易管理、动态变更、可伸缩作为解决方案的主要特征，面向各级政府部门及直属委、办、局。统筹各部门需求，统一采购云计算服务，推动政务应用逐步向云计算模式转型，促进资源共享、信息共享和业务协同。2.2项目建设内容本项目重点建设云网大数据中心的基本硬件、基础平台，建成S县云节点机房，云资源池并完成4000核能力的构建。本项目需要建设S县政务云平台，构建政务云计算资源池，包括服务器、网络设备、存储、安全及相应的云计算平台软件、云管理平台软件等。政务云平台建设完成后，各委办局电子政务外网和互联网逐步将全部迁入云平台架构，将来新业务需求也将通过云平台架构进行横向扩展，简化平台扩容难度。具体，S县政务云平台建设内容包括：建设统一云平台，提供云主机、云存储等IAAS资源池能力，云平台提供多租户的自助服务能力，并具有软件定义的虚拟网络技术为实现租户VPC网络隔离。建成S县政务云资源池，云资源池规模为4000核。构建政务公共政务云平台和互联网政务平台两个独立的政务云平台，两网平台都具备云计算能力提供服务，平台间采用网闸隔离，以保障安全。云平台为租户提供完善的自主服务流程，具备申请、审批和自动化运维能力。云平台具备完善的安全标准，能够根据委办局的需求实现等保二级/三级，云平台租户具备完善安全能力，保障业务安全。云平台具有备份能力，并能够在将来根据需求为业务提供容灾能力。云平台具备灵活的扩容能力，能够按需平滑扩容至数百台，并且扩容时不需要中断业务。2.3项目建设要求2.3.1基础设施服务建设基于云计算的高弹性、高可靠性、高冗余的特点，采用可行的云计算模式，充分利用专用数据中心等基础设施构建逻辑集中、统一的电子政务云公共平台，将物理分散的各类资源池化后统筹调度和管理，设计形成整体解决方案，能够快速交付虚拟化基础设施服务，灵活高效地分配资源，提供不中断业务的设备更新，提高政务基础设施运行效率，绿色低碳，节省电力。应对现有资源整合利用的手段、方法、实施路径、相关责任划分及责任边界等进行设计，要求技术成熟，方案可行，路径明确，责任清晰。2.3.2信息安全服务建设信息安全服务包括基础环境安全和业务及数据支撑安全两大部分，保障电子政务云公共平台及提供的各项服务的安全。基础环境安全的重点是满足云计算环境中等级保护的要求，应从区域边界安全、计算环境安全（主机/虚拟主机）、虚拟平台安全三个层面建立三重安全防护体系，尤其加强政务外网安全应用支撑，科学划分安全域和安全等级，开展安全防护，符合GB/T22239-2008《信息系统安全等级保护基本要求》三级等保能力要求。业务及数据支撑安全的重点是访问控制和数据隔离及加密。健全信息安全管理制度，信息安全管理的重点是应用安全、认证安全、数据安全的责任界定及相应的管理体系。建立安全管理中心，加强电子政务信息安全监测，建立和完善电子政务信息安全应急处置协调机制、指挥调度机制和通报制度；强化安全统一管理、数据库审计、运维审计、日志审计、漏洞扫描等安全管理手段。构建电子政务云公共平台安全保障体系，明确服务各方安全职责，加强对数据泄露、账号和服务劫持等安全风险防范。推行信息安全等级保护制度和风险评估，加强信息安全测评，定期组织开展信息安全联合检查，健全县区各级各部门信息安全管理机制，推进重要部门、重要信息系统安全保障体系建设。2.3.3运行保障服务建设基于云计算的电子政务云公共平台的建设，采用了云计算等新技术整合了已有的机房资源、计算资源、存储资源、网络资源、基础信息资源、信息资源支撑能力、公共应用环境等资源，统一向政府部门、政务人员以及公众提供计算资源、存储资源、网络资源、机房资源等服务，采用集中建设、集中运营的方式，减少了独立组建电子政务运营环境的时间，提高了服务质量。随着电子政务发展方式的改变，对基于云计算的电子政务云公共平台的运行保障服务提出了更高的要求。基于云计算的电子政务云公共平台具有平台系统复杂、提供服务众多性、服务对象多样等特点。需要组建统一的基于云计算的电子政务云公共平台运行保障支撑系统为平台提供运行保障服务以保障基于云计算的电子政务云公共平台的服务质量达到用户的需求。基于云计算的电子政务云公共平台运行保障服务需要面向基于云计算的电子政务云公共平台运行维护者、公共平台的管理者以及平台的使用者（公众、公务人员以及机构用户）。基于云计算电子政务云公共平台运行保障系统需要运行维护需求主要包括：实现对虚拟化环境、云计算平台和物理环境的集中监控和管理；需要管的对象包括：DB、OS、服务器、网络设备和安全设备、存储设备；支撑系统应当具有良好的扩展性，以适应平台业务不断的发展；管理平台应当具有良好的开放性，以适应不同环境的管理要求。2.3.4业务应用支撑建设政务云公共平台应为各级政府部门实现政务、业务目标提供公共的技术环境和服务支撑，有效支持政务部门灵活、快速部署应用业务；满足跨地区、跨部门、跨层级信息共享，以及行业系统与县级应用结合的需要；满足大量数据访问、存储和智能化处理的需要；解决政务应用开发部署的响应速度慢、无法满足快速变化的各政府机构管理体制和工作机制变革的问题。3.平台建设方案本项目方案为承接商洛智慧城市项目中的S县政务云建设工程，为S县设计政务云计算中心的云服务平台。旨在县政务云计算中心为满足各部门集约化建设需求，在提升能力和扩容进程中，向社会力量购买的政务云基础设施所需的网络接入、机房环境、硬件、基础软件设施及相关管理等基础设施保障服务。本期项目建设将基于私有政务云平台产品为基础，采用软件定义的技术路线，计算虚拟化、存储虚拟化、网络虚拟化及云管理系统均须满足以上基本要求。建设实施范围包括总部机房计算、存储和网络的资源池与云管理系统。含各资源池的设计、实施，含网络总体拓扑架构设计，含基于存储虚拟化的存储架构、规范等的设计、实施。3.1总体建设原则根据现有电子政务发展的现状，结合成熟可落地的新兴IT技术，本次S县政府政务云的总体建设原则如下：1、稳定性应采取各种必要技术措施，保证信息化云服务平台具备有优秀的稳定性，在保证性能的前提下，为主要业务提供7x24小时持续的支撑服务。2、安全性平台系统应能充分考虑用户数据的安全，避免用户受到异常攻击或敏感数据窃取。应能主动评估业务系统的安全状况及提供弥补措施，并提供各种操作行为的可回溯能力。同时，应能提供独立的机房、专用的门禁及专享的运营管理团队，确保机房及信息化云服务平台运行的安全。3、可扩展性各平台应具备良好的扩展能力，满足数据中心长期发展的要求。根据业务的发展预测，平台系统定期按照适度预留的原则进行建设，能在规定时间内快速响应新的用户，新的业务的新增要求。4、灵活的IT基础架构满足资源的随时随地按需分配，需要建立一个灵活的硬件基础架构。硬件基础架构通常由虚拟的服务器池、共享的存储系统、网络和硬件管理软件组成。5、自动化资源部署云计算运行管理平台的核心功能是自动为用户提供服务器、存储以及相关的系统软件和应用软件。用户、管理员和其他人员能通过Web界面使用该功能。自动化的部署流程不仅能做到“随需应变”，适应用户的需求，而且能够带来以下好处：引入技术和创新的时间缩短，设计、采购和构建硬件和软件平台的人力成本降低，以及通过提高现有资源的利用率和复用率节省成本。6、端服务请求管理云计算运行管理平台提供一个统一的管理平台来实现端到端的流程管理，协调各个部门的合作，提高管理效率。同时该管理平台负责全部的人工交互界面，权限控制和用户管理等功能。7、完善的资源监控及故障处理手段云计算服务管理平台提供资源和服务的各种运维能力，可以监控资源的使用情况，对于平台故障提供及时地预警报警，保证云计算平台的稳定运行。8、有助于建立IT管理规则为了实现数据中心的规范管理，需要以云计算运行管理平台为基础，有助于为数据中心制定一套完整的管理规则。9、开放性要求各类系统设计、产品及网络构建都要满足相关的国际标准和国家标准，提供标准结构及接口，有效地兼容各种品牌、厂商、电子运营商的系统和网络，实现多系统、多平台的互联互通。3.2总体方案设计云平台是云计算交付能力的集中展现，云平台通过基础架构环境的各个管理角色系统调度底层IT资源（如：服务器、存储、网络等），再利用管理系统间的管理联动，与云平台自身的流程审批、成本核算以及业务逻辑管理等功能相结合，即可实现企业私有云平台的资源自助按需供给、应用资源弹性调度、系统故障自动修复等高级管理特性。云管理平台从资源接管、资源建模、资源申请、资源调度、资源使用、资源监控、资源回收等方面形成闭环的IT基础资源管理体系；实现信息系统软硬件资源的统一管理、统一分配、统一调度、统一运维，优化资源管控模式，提高资源利用率，实现资源容量的可控有序增长，为业务应用提供稳定的、高效的、可动态调整的基础设施资源。3.2.1方案设计思路基于IaaS云管理平台建设的自动化云数据中心设计通过计算虚拟化系统建设的数据中心，采用云管理平台进行资源的管理，并提供自助式的云服务，能有效实现企业信息系统的技术标准化和管理规范化，为企业信息系统提供更好的支撑。云管理平台需要在虚拟化技术的支撑下，对包括计算资源、存储资源、网络资源等在内的基础架构进行管理，实现按需的、自动化的、可计量的对基础架构资源进行分配，同时，实现对资源使用情况和健康情况进行监控和管理。基于软件定义+网络虚拟化动态灵活的云网融合设计云数据中心引入服务器虚拟化技术后，对网络要求大二层设计，传统的VLAN技术设计云化数据中心网络存在种种限制，而基于新一代VxLAN技术实现的大二层网络，能够通过在物理网络上叠加一个软件定义的逻辑网络，物理网络不变，通过定义其上的逻辑网络，实现业务逻辑，从而解决传统数据中心的网络问题，极大的节省了用户投资。软件定义+网络虚拟化实现网络动态感知虚拟机迁移，实现网络策略的动态跟随，真正实现云、网融合。基于软件定义的信息安全与基础资源动态调度设计虚拟化和云的引入，形成计算、存储、网络及安全资源池，资源池化后网络边界模糊，需要引入新的技术解决虚拟化环境的隔离能力，并且能够实现资源池的基础资源能够在不同租户间的动态调度能力。基于软件定义技术，通过将计算资源、存储资源、网络及安全资源分配给不同租户，构成虚拟云平台，虚拟云平台之间可以实现有效的、安全的隔离，使之符合安全等保(等保三级)的要求；并且通过云管理平台能够实现基础资源在不同的虚拟数据中心间灵活调度，真正实现云计算数据中心资源的动态、按需的分配/调度和提供资源。3.2.2总体架构设计随着智慧城市的兴起，IT信息化的不断发展和推进，S县政务业务系统需要一个安全、稳定、可靠、高性能的基础架构平台来进行承载，来满足未来业务发展的需要。S县政务云数据中心按照支持多数据中心统一管控的模式进行建设。S县政务云数据中心分为互联网业务分区、政务外网分区，承担政府及委办局业务系统，政务外网分区本地放置了业务系统数据的备份分区，以实现数据的连续性保护。S县政务云平台建设的平台作为S县政府整体的运营和管理平台，下属各个委办局单位、政府内部使用人员可以通过云管理平台进行资源的申请，如：云主机、云存储、网络、IP地址（公网IP、私网IP）、操作系统、数据库等IT基础设施资源，未来也可以申请各种服务：如安全服务、备份服务、RDS服务等内容。下属各个委办局单位可以利用统一的云管理平台申请资源（如虚拟数据中心、主机、网络、安全、存储等资源），独立管理和运维。具体本次S县政务云平台的架构设计方案如下:资源池是软硬件资源的集合，包括各类服务器、存储、网络等基础资源，提供了动态供应资源的能力，是企业级IT基础设施崭新的应用形式，在云计算环境下是推动基础架构转型的重要推手之一，对于加强资源管控、实现成本领先具有重要意义。按照总体项目规划，S县政务云平台资源池建设初期需要完成4000核能力的构建，因此本次S县政务云平台计算资源池的规模设计为4000物理核。按此规划，本项目将部署193台x86服务器，其中3台为管理节点(不计入资源池)，其余190台服务器节点共同构成S县政务云平台资源池。具体，本次S县政务云平台资源池的核心资源建设规模如下：总计190台服务器，所有服务器节点均有配有存储功能与资源，其中120台为计算与存储资源节点，70台为独立存储资源节点；总计4000核物理CPU；总计53040GB内存；总计存储空间为7276TB(如果通过三副本保障数据安全的机制，则真实可用空间为2425TB)；具体服务器配置可见下文《服务器配置清单》。3.2.3计算资源池建设计算资源池架构当前虚拟化技术已经非常成熟并得到广泛应用，虚拟化技术将计算、存储等物理资源池化，为用户提供弹性扩展的资源，解决了硬件资源利用率低、业务部署周期长、运维管理复杂等问题。所以本着适度领先、应用成熟的原则，在本次S县政务云平台建设将引入虚拟化技术，全面采用x86服务器作为计算资源，并将物理资源划分为不同性能的逻辑单元，并构成计算、存储资源池，灵活为各业务系统提供所需资源。计算虚拟化是私有政务云平台的服务器虚拟化组件，是整个云平台架构的核心组件。在提供基础计算资源的同时，支持CPU超分、嵌套虚拟化、RAW镜像文件、NUMA优化、GPU透传、虚拟机异常重启及集群平滑扩容等特性。私有云平台计算虚拟化采用KVM和Qemu等Hypervisor组件及技术，将通用裸金属架构的x86/ARM服务器资源进行抽象，以虚拟机的方式呈现给用户。虚拟机将CPU、内存、I/O、磁盘等服务器物理资源转化为一组可统一管理、调度和分配的逻辑资源，并基于虚拟机在物理机上构建多个同时运行、相互隔离的虚拟机执行环境，可充分利用硬件辅助的完全虚拟化技术，实现高资源利用率的同时满足应用更加灵活的资源动态分配需求，如快速部署、资源均衡部署、重置系统、在线变更配置及热迁移等特性，降低应用业务的运营成本，提升部署运维的灵活性及业务响应的速度。私有云平台计算虚拟化通过KVM硬件辅助的全虚拟化技术实现，因此需要CPU虚拟化特性的支持，即要求计算节点CPU支持虚拟化技术，如IntelVT和AMDV技术。KVM属于LinuxKernel的一个模块，虚拟化平台可通过加载内核模块的方式启动KVM，管理虚拟硬件的设备驱动，用于模拟CPU和内存资源，同时需要加载QEMU模块模拟I/O设备。KVM虚机包括虚拟内存、虚拟CPU和虚机I/O设备，其中KVM用于CPU和内存的虚拟化，QEMU用于I/O设备的虚拟化。计算资源池规划本项目将部署193台x86服务器，其中3台为管理节点(不计入资源池)，其余190台服务器节点共同构成S县政务云平台资源池。而其中有120台服务器为计算节点，共同构建了S县政务云平台的计算资源池，总计规模为2880核。具体计算资源池的规划与配置如下：SATA型计算节点80台，每台配置2*12即24核CPU,共计1920核；SSD型计算节点40台，每台配置2*12即24核CPU,共计960核；具体服务器配置可见下文《服务器配置清单》。3.2.4存储资源池建设存储资源池负责对在线存储设备和存储区域网络的协同管理，根据业务场景对数据的存储、访问需求，灵活与快速的为应用系统分配存储空间，同时通过对不同等级的设备、数据保护方式、数据使用方式的协同管理满足应用对存储系统性能，数据可靠性，和灵活使用方面的要求。存储资源池架构在本次项目中存储资源池采用分布式架构、以混合式的存储架构设计，来支持政务信息化的业务资源需求，并支持存储架构与资源的统一管理。私有云平台云平台基于Ceph分布式存储系统适配优化，为虚拟化计算平台提供一套纯软件定义、可部署于x86通用服务器的高性能、高可靠、高扩展、高安全、易管理且较低成本的虚拟化存储解决方案，同时具有极大可伸缩性。作为云平台的核心组成部分，为用户提供多种存储服务及PB级数据存储能力，适用于虚拟机、数据库等应用场景，满足关键业务的存储需求，保证业务高效稳定且可靠的运行。私有云平台云平台分布式存储系统可提供块存储、文件存储及对象存储服务，适用于多种数据存储的应用场景，同时可保证数据的安全性及集群服务的可靠性。在部署上，通常推荐使用同一类型的磁盘构建存储集群，如超融合计算节点和独立存储节点自带SSD磁盘构建为高性能的存储集群；超融计算节点和独立存储节点自带的SATA/SAS磁盘构建为普通性能存储集群。分布式存储系统将集群内的磁盘设备结合OSD内建为弹性块存储服务，可供虚拟机直接挂载使用，在数据写入时通过三副本、写入确认机制及副本分布策略等措施，最大限度保障数据安全性和可用性。逻辑架构如下：私有云平台分布式存储系统是整个云平台架构不可或缺的核心组件，通过分布式存储集群体系结构提供基础存储资源，并支持在线水平扩容，同时融合智能存储集群、多副本机制、数据条带化、数据重均衡、故障数据重建、数据清洗、自动精简配置及快照等技术，为虚拟化存储提供高性能、高可靠、高扩展、易管理及数据安全性保障，全方面提升存储虚拟化及云平台的服务质量。存储资源池规划本项目将部署193台x86服务器，其中3台为管理节点(不计入资源池)，其余190台服务器节点共同构成S县政务云平台资源池，所有节点均支持存储功能并配置了存储资源。利用私有云平台分布式存储系统统一进行管理，实现存储资源的池化，为各类政务应用提供大量、高性能的存储服务。本次S县政务云平台存储资源池由190台服务器节点组成，其中120台为计算与存储资源节点，70台为独立存储资源节点，总存储资源池规模为7276TB（如果通过三副本保障数据安全的机制，则真实可用空间为2425TB）。具体配置信息如下：SATA计算存储节点80台单台服务器(配置6块4T的数据盘)容量为6*4T=24T，总容量24T*80=1920TB，分布式存储可用容量1920TB/3=640TB。SSD计算存储节点40台单台服务器(配置8块960G数据盘)容量为8*960GB=7.5TB，总存储容量为7.5TB*40=300TB，分布式存储可用容量为300TB/3=100TB。STAT独立存储节点50台单台服务器(配置12块8TB数据盘)容量为12*8T=96TB，总存储容量为96TB*50=4800TB，分布式存储可用容量为4800TB/3=1600TB。SSD独立存储节点20台单台服务器(配置2块U.2NVMe6.4TB数据盘)容量为2*6.4T=12.8TB，总存储容量为12.8T*20=256TB，分布式存储可用容量为256TB/3=85TB。3.2.5网络资源池建设网络资源池通过网络虚拟化技术实现各网元组件的整合，简化网络架构复杂度，降低管理难度，实现包括软件交换网络架构、软件防火墙、软件路由、VLAN资源的快速分配与调整，以满足应用系统内部和应用系统之间通信需求的灵活部署，实现基于虚拟化技术的SDN。网络资源池可以为应用提供功能至少包括：基于租户概念的网络分配软件防火墙软件路由器采用网络虚拟化VXLAN协议进行设计，包含虚拟网络和物理网络的设计，包括软件路由器、软件交换机、软件负载均衡、软件防火墙、物理网络架构、网络部署、网络容量规划等设计内容，边界为数据中心核心物理交换机的内网网络接口到物理机或虚拟机的网络接口。整体架构设计在本次项目中我们将采用分区交互的平台网络方案，在云平台内部基于主机构建大三层网络的架构以实现本地数据中心网络架构的建设，实现虚拟资源的灵活部署和快速迁移。S县政务云平台基于云数据中心进行规划设计，内含多个功能区，涉及的各种IT设备非常多，主要划分为互联网业务区、电子政务外网区。具体，S县政务云平台的总体网络架构拓扑如下:根据业务的不同属性，将S县政务云平台分成多个不同的分区(如互联网接入区、政务外网接入区、核心交换区、安全运维管理区、云管平台区域等)，互联网业务区、电子政务外网区两个区域间通过安全网闸设备进行物理隔离；各个区域根据业务的不同，部署不同设备，以满足业务的要求。通过分层分区部署可以使整个系统具有很好的扩展性（无需干扰其它区域就能根据需要增加容量），可以提升整个系统的可用性（隔离故障域降低故障对网络的影响），可以简化系统络的管理（拓扑结构结构更清晰）。网络部署方案基于分区规划设计，为支撑中建后续业务发展，以及满足当前数据中心向虚拟化、云计算数据中心发展需要，网络需要重新架构，实现服务器部署打破传统网络物理边界的需求，同时支撑未来虚拟化部署时的虚拟机的各种迁移、高可用性等需求。本次S县政务云平台将采用大三层网络架构，以满足云计算的相关应用与管理需求。网络区域的设备通常包括内网核心交换机、外网核心交换机、内网接入交换机、外网接入交换机。若服务器节点规模较小且暂不考虑扩容，可仅采用内/外网接入交换机。具体说明如下:内网核心交换机：采用三层交换机堆叠作为一组内网核心，用于承载内网接入交换机的汇聚和管理；外网核心交换机：采用万兆三层交换机堆叠作为一组外网核心，用于承载外网接入交换机的汇聚和管理；内网接入交换机：采用万兆交换机堆叠作为一组内网接入，用于承载服务器内网接入；外网接入交换机：采用千兆交换机堆叠作为一组外网接入，用于承载台服务器外网接入；除Internet连接外，网络均为大二层环境，采用LLDP协议获取网络拓扑信息，所有网络接入均为端口聚合，保证高可用；同时通过控制接口广播报文流量，抑制网络广播风暴；外网核心交换机与Internet之间可以为二层聚合、三层聚合、L3ECMP、L3A/S等互连模式，同时支持串联或旁挂防火墙、IDS、IPS及防DDOS等安全设备；云平台提供的网络功能均采用软件定义的方式实现，物理交换机仅作为网络流量转发设备，即仅使用交换机部分通用能力，如堆叠、Vlan、Trunk、LACP及IPV6等，无需采用SDN交换机实现虚拟网络的通信。若云平台虚拟机需要与数据中心的物理服务器进行通信，如标准架构图所示，需要将物理网络与云平台外网交换机进行互联，通过云平台提供的【物理IP】产品进行绑定并通信。标准网络架构中，通常推荐至少采用万兆及以上级别的交换机，保证平台节点内网接入、虚拟资源通信及分布式存储的性能及可用性。由于外网接入带宽一般较小，通常推荐采用千兆交换机作为外网接入设备。3.3设备配置方案3.3.1服务器配置清单设备角色设备类型配置规格数量说明管理节点管理节点【Intel®Xeon®Silver4110Processor11MCache,2.10GHz*2】DIMM：DDR432GB2666MHz*2OS：SATA3SSD240GB6Gb/s*2Data：SATA3SSD_480G*63Silver4110的CPU物理核数为8核心，单台服务器2颗CPU是16核心；单台内存64GB计算存储节点计算+SATA节点【Intel®Xeon®Gold6126Processor19.25MCache,2.60GHz*2】DIMM：DDR432GB2666MHz*12OS：SATA3SSD240GB6Gb/s*2Data：SATA3HDD4TB6Gb/s7200RPM*680Gold6126的CPU物理核数为12核心；单台服务器2颗CPU是24核心；单台内存386GB单台存储容量：24TB计算+SSD节点【Intel®Xeon®Gold614624.75MCache,3.20GHz*2】DIMM：DDR432GB2666MHz*12OS：SATA3SSD240GB6Gb/s*2Data：SATA3SSD960GB6Gb/s*840Gold6126的CPU物理核数为12核心；单台服务器2颗CPU是24核心；单台内存386GB单台存储容量：7.5TB独立存储节点SATA型【CPU：Intel®Xeon®Gold4110Processor11MCache,2.10GHz*2】DIMM：DDR416GB2666MHz*6OSHDD：SATA3SSD240GB6Gb/s*2DataHDD：SATA3HDD8TB6Gb/s7200RPM*1250单台服务器2颗CPU是16核心；单台内存96GB单台存储容量：96TBSSD型【CPU：Intel®Xeon®Gold4110Processor11MCache,2.10GHz*2】DIMM：DDR416GB2666MHz*6OSHDD：SATA3SSD240GB6Gb/s*2DataHDD：U.2NVMe6.4TB*220单台服务器2颗CPU是16核心；单台内存96GB单台存储容量：12.8TB汇总193(管理节点不计算资源池)3.3.2网络设备配置清单设备类型配置规格数量说明内网核心交换机40G板卡(16口)4，64\40GE22台一组做堆叠，保证高可用性外网核心交换机48*10GE+6*40GE2内外接入交换机48*10GE+6*40GE6存储接入交换机48*10GE+6*40GE4外网接入交换机48*GE+4*10GE+2*40GE2带外管理交换机48个千兆SFP，4个万兆SFP+48*10/100/1000BASE-T以太网端口,4*10GESFP+,单子卡槽位,600W交流电源模块1网闸吞吐量1Gbps，并发会话50万，2U标准机架空间，外主机6个千兆电口4个千兆光口，内主机6个千兆电口4个千兆光口2连接互联网业务区与政务外网区3.3.3安全设备配置清单设备类型配置规格数量下一代防火墙1)标准机架式结构，包含10个千兆电口和4个千兆光口，双电源，性能：防火墙吞吐率：10Gbps，应用层吞吐率（FW+APP）：3Gbp，并发连接数：220万；每秒新建连接（FW&HTTP）：15万，每秒新建连接（FW+APP&HTTP）：8万；支持路由，网桥，单臂，旁路，及混合部署方式，支持IPv4／v6NAT地址转换，支持源目的地址转换，目的地址转换和双向地址转换。2)产品由专用的硬件平台、安全操作系统及功能软件构成。设备采用自主知识产权的专用安全操作系统，采用多核多平台并行处理特性；安全操作系统采用冗余设计，出于安全性考虑，多系统需在设备启动过程中进行选择不得在WEB维护界面中设置系统切换选项。3)为提高链路可靠性，需支持手工链路聚合及LACP链路聚合，提供不少于11种的负载分担算法，灵活实现对聚合组内业务流量的负载分担。4)支持智能DNS及DNSDoctoring功能，能够将来自内部网络的域名解析请求定向到真实内网资源，提高访问效率，同时支持通过配置多条DNSDoctoring，实现内网资源服务器的负载均衡；5)支持在一台物理设备上划分出128个相互独立的虚拟系统，可根据连接配额及连接新建速率为每个虚拟系统分配资源；6)支持对单条访问控制策略进行最大并发连接数限制；7)提供智能策略分析功能，支持策略命中分析、策略冗余分析、策略冲突检查，并且可在WEB界面显示检测结果：红色为冗余策略，绿色为冲突策略；8)支持对业务被挂黑链进行检测，支持显示TOP5黑链主机及黑链（游戏、色情、反动及非法内容等）类型分布、危害或影响；9)支持多链路出站负载，支持基于源/目的IP、源/目的端口、协议、应用类型以及国家地域来进行选路的策略路由选路功能，以实现不同的数据走不同的外网线路的自动选路功能；10)支持设备排障界面展示丢包信息包含具体模块、相关策略、原因和排障建议等；11)支持基于NTP协议的检测清洗，包括NTPREQUESTFLOOD、NTPREPLYFLOOD等攻击检测，支持基于NTP请求限速、NTP响应限速、源认证、会话认证的防御策略。4入侵防御系统入侵防御系统软件全功能模块使用授权开启，要求提供三年原厂7x24小时软硬件售后保修和软件升级服务。【性能参数】网络层吞吐量10Gbps，IPS吞吐量4Gbps，并发连结数220W，新建连接数12W。【硬件参数】标准机架式结构8G内存，存储：

SSD64G，SATA1T；双电源；网络接口：10个千兆电口，4个千兆光口【功能参数】1.支持端口联动功能，当上行/下行端口链路出现故障时，对应的另一端下行/上行端口自动切断链路；2.支持同访问控制规则进行联动，可以针对检测到的攻击源IP进行联动封锁，支持自定义封锁时间；3、持基于应用类型，网站类型，文件类型进行带宽分配和流量控制，支持基于时间、地域、认证用户、子接口和VLAN等因素实现对象的流量控制；3.支持采用无特征AI检测技术对恶意勒索病毒及挖矿病毒等热点病毒进行检测，给出基于AI技术的病毒检测报告；4.设备具备独立的入侵防护漏洞规则特征库，特征总数在7000条以上；5.支持细致的服务器敏感数据识别，识别维度包含服务器IP、业务重要性、识别方式、开放的服务与端口、敏感数据页面数以及更新时间等；6.可提供最新的威胁情报信息，能够对新爆发的流行高危漏洞进行预警和自动检测，发现问题后支持一键生成防护规则；7.支持对终端已被种植了远控木马或者病毒等恶意软件进行检测，并且能够对检测到的恶意软件行为进行深入的分析，展示和外部命令控制服务器的交互行为和其他可疑行为。2日志审计系统2U机架式设备，冗余电源；1个console口，6千兆电口，4万兆光口，存储容量12T，标配Raid5。最大支持300日志源授权。包含日志收集、存储、查询、统计分析等功能。综合采集处理均值20000EPS。1.支持单级部署；支持代理分布式部署采集日志；2、支持Syslog、SNMPTrap、Netflow、JDBC、WMI、FTP、SFTP、SCP、文件等方式进行数据采集；支持通过Agent采集日志数据；3、支持首页展示当日告警情况统计；支持展示当日最新告警TOP10、TOP30和TOP50；4、支持对日志流量非常大但是日志重要程度低的syslog类型日志源进行限制接收速率，降低对系统资源的占用，保障重要日志的收集；5、支持根据设备重要程度设置独立设置每个被采集源的日志、报表数据存储时间为1个月、3个月、6个月和永久保存等参数；6、支持首页以全国地图、全球地图展示最近24小时日志访问源和访问目的的分布，能根据颜色区分访问来源和访问目的数据量大小，能够通过首页地图快速下钻查询指定区域的日志详细信息；7、支持基于拓扑图的日志源相关数据信息快速查看；支持通过拓扑下钻查看对应日志源的日志、报表、告警数据。8、支持将常用IP地址或IP地址网段标记为自定义名称，在日志查询界面可以在IP列中对应悬浮显示自定义名称；2数据库审计系统1、2U机架式结构，默认包含1个10/100/1000BASE-TX管理口，5个10/100/1000BASE-TX电口，4个SFP插槽，2个可插拔扩展插槽；2T存储空间，配置冗余电源，带有液晶屏；默认含3年攻击检测规则库升级许可审计处理能力：4Gbps,峰值SQL处理能力：30000条/秒，日志存储能力：40亿条2、支持Oracle、SQLServer、MySQL、DB2、Sybase、Informix、PostgreSQL、Teradata、等数据库系统3、支持IPv6网络环境下的数据库审计，可识别IPv6的相关主体与客体资源。4、支持HANA、Hive、Hbase、ES（elaticsearch）、Redis、浪潮KDB、MongoDB数据库类型5、支持首页直观展示数据库审计系统的运行情况，比如并发连接数、每秒新建连接速率、版本号、运行时间以及CPU、内存、硬盘等资源占用情况6、支持会话回放功能,并至少支持0.5倍速、1倍速、1.5倍速、2倍速、4倍速五级播放速度调节7、支持系统本身主要运行功能服务模块的运行状态巡检，保证系统安全稳定运行8、支持云检测，可对本单位部署的同一品牌的多台审计或者多类型安全设备（版本号、序列号、型号、运行时长、CPU和内存占用、并发和新建连接数、设备流量等）进行远程统一检测，保障各设备的安全稳定运行9、支持萨班斯法案报表模板以及自定义报表，可以按日、周、月等周期自动生成报表2堡垒机1、2U机型，1个console口，2个USB口；6个千兆电口，4个SFP插槽，2个可扩展插槽；4T存储空间，双电源；支持1000个资源，本次配置300资源授权，用户数不限制；2、采用物理旁路部署，不改变现有网络结构；支持双机部署，保证系统发生故障时的可用性；支持自建集群部署：支持无缝横向扩展，轻松应对高并发需求；分布式部署：分担堡垒机主服务器性能压力，便于提高整体性能；3、支持混合云资源的管理，即公有云及局域网资源，支持主机、服务器、网络设备、安全设备、数据库等的资产管理；满足公有云、云资源池、数据中心多种运维场景；4、公有云设备支持一键更新发现功能；5、支持改密结果自动发送到制定改密计划的管理员邮箱；密码采用密码信封加密保存，以保证安全性；6、图像审计采用OCR图像识别技术，通过加载训练过的运维图片集合，可以识别图形操作中的程序标题、快捷方式标题、窗口内容中的文本信息；支持RDP、VNC图形操作过程中键盘输入操作记录、剪贴板和鼠标点击行为记录；7、系统内置丰富报表统计模板：协议运维排名、资产运维次数top10、资产运维趋势top10、用户运维趋势top10、协议运维趋势、用户运维次数top10、指令分布top10、top10指令资产分布、指令用户分布top10、指令资产账号分布、指令排名、指令趋势、风险指令次数、风险指令top10等多种类型报表模板。8、支持对堡垒机虚拟为多台逻辑堡垒机，虚拟堡垒机之间实现独立配置、独立数据。实现IT资源的动态分配、灵活调度、跨域共享，提高IT资源利用率2上网行为管理1、2U机型;6个千兆电口，4个千兆光口，2个扩展槽；冗余电源；自带液晶屏；1TB硬盘；32G内存；网络吞吐6G，最大并发连接数>500万；30000个上网用户使用2、系统CF卡≥4G，设备本身的操作系统单独存放在CF中，要与日志存储分开。3、支持路由模式，旁路模式、网桥模式、混合模式部署；4、支持将多个以太网物理端口捆绑成一条逻辑端口（即将多个端口捆绑成一个逻辑的端口以增加带宽，同时增加链路备份）支持基于轮循、主备、哈希、广播、802.3ad、发送自适应、双向自适应多种负载方式。5、支持管理员通过Radius认证后才能登录设备。6、支持行为管理设备接入集中管控平台，并通过APP管理集中管理平台并查各个局点的ACM的状态和告警信息。7、必须支持ssl加密方式登录设备，支持ssh管理。8、支持IPv4和IPv6在一个系统版本内，同时支持V4和V6网络；支持接口配置ipv6地址、支持ipv6地址簿、支持ipv6策略路由、NAT64、NAT66、DNS64等相关配置。9、可通过NetbIOS协议扫描内网的主机信息，扫描结果将列出每个主机的IP地址、MAC地址和主机名等，然后可以将其加入某个用户组中，逐步完善组织结构的管理。10、支持短信认证方式、微信认证、钉钉认证、企业微信对接、二维码认证、指纹认证、刷卡认证23.4信息安全保障方案3.4.1安全法规要求以《中华人民共和国网络安全法》、《中华人民共和国计算机信息系统安全保护条例》国务院147号令为根本要求，以等保三级和《“互联网+政务服务”技术体系建设指南》为基本要求，提出“政务云”安全建设需求。《网络安全法》第二十一条明确规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。第二十五条规定：网络运营者应当制定网络安全时间应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。第二十六条规定：开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。网络安全及等级保护已经上升到国家安全战略，被写到法律之中。此次依照国家法律法规及等级保护三级标准要求提出本项目安全建设基本要求。3.4.2总体安全规划将安全设备资源化，通过防火墙、负载均衡等安全设备的虚拟化功能，形成防火墙池和负载均衡池，组建成中建总部安全能力中心。基于软件定义的模型，组成安全管理中心，通过软件定义方式，将虚拟化的安全设备分别部署在不同的安全区域的边界，保护用户访问的安全；同时通过安全事件信息的收集和分析，与安全设备（虚拟安全设备）联动，实现智能安全防护。与云管理平台相结合，根据云管理平台的边界定义，与软件定义控制器实现联动，进而通过安全虚拟化的虚设备部署在虚拟边界，保护虚拟资源的访问安全。3.4.3安全保障设计根据招标文件要求和实际网络情况，建设S县政务云数据中心架构网络，根据业务情况将S县政务云数据中心划分为两大部分，分别为互联网业务区以及电子政务外网区。其中，两部分网络各通过分区分域原则划分为以下区域：互联网出口区、安全运维管理区、政务外网接入区、业务核心交换区、云管平台区域、政务云业务区等多个区域。互联网出口安全互联网出口区域部署高性能链路负载均衡、高性能安全网关下一代防火墙，此外为保障政务服务效果，防止单点故障，出口设备均为双机部署。其中，链路负载均衡支持ipv6以及多种链路调度功能，安全网关为国际领先的下一代防火墙，创新融合网络层防火墙与入侵防御能力，通过一次拆包多次分析技术提升处理效果和网络体验，对网络流量的深度解析，即使准确发现非法入侵攻击行为，并执行实施精确阻断，主动而高效的保护用户网络安全。链路负载均衡本方案建设充分考虑后续数据中心扩展性，采用链路负载均衡，后续网络和应用系统的扩建、稳定性保障以及优化建设都有很好的扩展性。1、整个建设方案采用高端链路负载均衡设备两台全冗余网络连接方式建设，来保证系统的高可用性和高可靠性。2、电子政务云内网的用户访问互联网访问资源时，链路负载均衡设备接收到用户的访问流量后，通过预先设定链路负载策略将用户访问流量分配到不同的互联网链路之上，实现出站流量负载均衡，提升互联网链路带宽利用率。3、当外部用户访问内部资源时，链路负载均衡设备通过智能DNS技术将一个域名绑定多个运营商的公网地址，负责解析来自不同运营商用户的域名解析请求；链路负载均衡设备根据不同负载均衡策略为不同运营商的用户返回最佳的访问地址，实现用户入站流量的负载均衡。方案实现出站流量（内部用户访问互联网资源的流量）链路负载均衡设备接收到内网用户访问的流量以后，可以根据预先设定负载策略将访问电信的资源的出站流量分配到电信的链路之上，并做源地址的NAT，（可以指定某一合法IP地址进行源地址的NAT，也可以用负载均衡设备的接口地址自动映射），保证数据包返回时能够正确接收；同理，其它的访问的流量会通过相应策略会被分配到其它的运营商链路之上。入站流量（外部用户访问政务云互联网服务的流量）通过在域名注册提供商处修改域名NS记录，负载均衡设备获得域名解析权，实现一个域名绑定多个运营商的公网地址，负责解析来自多个运营商用户的域名解析请求。根据实现设定负载策略可以实现，如电信的用户通过电信的线路访问内部资源，联通的用户通过联通的线路访问内部资源；负载均衡设备还可以通过两条链路做反向查询，根据RTT时间判断链路的好坏，并且综合以上两个参数返回相应的IP地址。为了方便管理员能够根据自身需求选择相应的链路分配策略，支持更多个性化链路使用规则，链路负载均衡设备还支持算法例如轮询、哈希、加权轮询、带宽比例、首个可用、加权最少连接、加权最小流量、基于时间段负载算法等等。智能优化技术本次建设方案的链路负载均衡设备采用智能路由技术、DNS透明代理技术以及链路繁忙控制技术可以实现基于链路的负荷情况、时间段、用户群体、访问对象等因素来分配链路的分配机制，进一步提升链路优化使用率。链路繁忙控制，为每条链路设定阀值，避免过多用户被分配到同一链路之上，造成用户访问速度降低。智能路由，方便用户配置管理设备，提供基于时间段的链路负载机制，在不同时间段使用不同的负载均衡算法，满足网络个性管理需求。智能告警，一旦链路、应用系统、设备本身出现故障，就会通过邮件或者短信的形式通知管理人员进行相应的处理。健康检查机制链路负载均衡设备通过多个Internet站点的可达性，来共同判断一条链路的状况。例如，通过电信线路检查、以及的TCP80端口，并对检查结果做“或”运算。这样，只要其中一个站点可达，即可表明链路状态良好。该方法避免了ICMP检查的局限性，也避免了单一站点检查带来的单点失误。下一代防火墙通过在出口双机部署安全网关，保护电子政务云互联网区域安全，抵御互联网威胁。安全网关为下一代防火墙，通过下一代防火墙构建融合安全的防护体系。通过安全能力的融合实现事前风险预知、事中完整防护、事后检测及响应的闭环，同时依靠安全能力的融合将安全能力及数据进行集中，避免防御短板阻断高级威胁。全程保护，闭环防御在整个网络攻击的过程中，攻击者往往也遵循这一定的流程。在攻击初期进行网络探测确定攻击目标寻找安全漏洞，然后在进行边界突破获