智慧交通 物聯(lián)網(wǎng)數(shù)據(jù)服務平臺 運維管理通用要求DB50-T 1176-2021

ICS35.040CCSL80

DB50重 慶 市 地 方 標 準DB50/T1176—2021智慧交通物聯(lián)網(wǎng)數(shù)據(jù)服務平臺運維管理通用要求20212021113020220301重慶市市場監(jiān)督管理局發(fā)布DB50/T1176-2021DB50/T1176-2021DB50/T1176-2021DB50/T1176-2021目 次前言 Ⅱ范圍 1規(guī)范性引用文件 1術語和定義 1縮略語 2接入管理 2接入流程 2設備、網(wǎng)絡和系統(tǒng)接入要求 3安全加固及補丁要求 4帳號口令及日志審計要求 4應用軟件安全要求 4網(wǎng)絡驗收要求 4審計和執(zhí)行要求 5采集設備運維管理 5概述 5管理流程 5軟件系統(tǒng)運維管理 5安裝部署 5配置管理 6租戶管理 6監(jiān)控報警管理 7服務管理 7日志管理 7日常管理 7I前?言本文件按照GB/T1.1—20201草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由重慶市經(jīng)濟和信息化委員會提出并歸口。本文件起草單位：重慶市城投金卡信息產(chǎn)業(yè)（集團）股份有限公司、中國電子技術標準化研究院、重慶市公安局、重慶市公安局交通管理局。本文件主要起草人：張鵬、彭濱鴻、張璋、趙明、宋鴻、許汝峰、張偉、劉立國、胡芮嘉、易佳、廖汝秋、劉玉印、李春雨、鐘添翼、徐龍、辜繼東、鄭儒和、代緒豐、耿力、宋繼偉、劉倩穎、王思翔。IIIIDB50/T1176DB50/T1176—2021DB50/T1176-2021DB50/T1176-2021智慧交通物聯(lián)網(wǎng)數(shù)據(jù)服務平臺運維管理通用要求范圍本文件適用于物聯(lián)網(wǎng)數(shù)據(jù)服務平臺中運維管理的設計、選型和驗收。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T31454-2015公路收費車道圖像抓拍與處理DB50/T526-2013機動車射頻識別標簽產(chǎn)品規(guī)范下列術語和定義適用于本文件。3.1圖像抓拍videocapture下列術語和定義適用于本文件。3.1圖像抓拍videocapture利用視頻數(shù)字化技術將車道攝像機的視頻信號轉換為靜態(tài)數(shù)字化圖像的技術稱為圖像抓拍。[來源：GB/T31454-2015，3.2]3.2射頻識別radiofrequencyidentification[來源：DB50/T526-2013，3.1]3.3讀寫器reader/writer一種用于從射頻標簽獲取數(shù)據(jù)和向射頻標簽寫入數(shù)據(jù)的電子設備，通常具有沖突仲裁、差錯控制、信道編碼、信道解碼、信源編碼、信源譯碼和交換源端數(shù)據(jù)等過程。[來源：DB50/T526-2013，3.6]3.4角色role承載一個或多個權限的載體。3.51實例instance服務的一種具體表示，包含一種或多種資源。3.6租戶client對一組物理和虛擬資源進行共享訪問的一個或多個云服務用戶。3.7節(jié)點node物聯(lián)網(wǎng)數(shù)據(jù)服務平臺中的一種計算或存儲實體?？s略語下列縮略語適用于本文件。API:應用程序編程接口（Application ProgrammingInterface）DOS:拒絕服務攻擊(DenialofService)DDOS(DistributedDenialofService)JDK:JAVA開發(fā)工具（JAVADevelopmentKit）SSH:安全外殼（SecureShell）接入管理接入流程在設備、網(wǎng)絡及系統(tǒng)進行前期規(guī)劃時，由業(yè)務需求部門提出建設需求，建設部門按照本文件制定相應的建設方案，并提交方案給負責信息安全的部門和負責運維的部門進行評審；由負責信息安全的部門和負責運維的部門根據(jù)相關要求對建設方案進行評審，評審通過后報相關負責人審批，如審批不通過則駁回申請，由申請?zhí)岢霾块T修改后重新提出；審批通過后，由建設部門組織，負責信息安全的部門和負責運維的部門等其他相關部門配合完成入網(wǎng)實施工作。在配套網(wǎng)絡安全技術設施未建成的情況下，設備、網(wǎng)絡和系統(tǒng)不能入網(wǎng)運行；建設完成后，由建設部門組織，業(yè)務需求部門、負責信息安全的部門和負責運維的部門配合進于實際的技術原因暫時無法達到本文件的相關技術要求，應按照相關部門要求進行整改完成后方能初驗；相關設備、網(wǎng)絡、系統(tǒng)的維護工作根據(jù)職責分工由相應的技術部門負責。2圖1接入流程設備、網(wǎng)絡和系統(tǒng)接入要求設備、網(wǎng)絡和系統(tǒng)接入要求如下：a）應具備安全方面的功能和措施；b）應提供產(chǎn)品安全功能和配套安全措施方面的詳細描述；c）對于拓撲結構設計，應滿足基本的網(wǎng)絡安全技術要求；d）對于與外部網(wǎng)絡的邊界，應部署防火墻實施安全防護；應具備統(tǒng)一的網(wǎng)絡接口，以便進行兩個網(wǎng)絡間的高效、安全互聯(lián)；對于與互聯(lián)網(wǎng)等高風險網(wǎng)絡的網(wǎng)絡邊界，應部署雙層異構防火墻進行安全保護；g）對于向用戶提供互聯(lián)網(wǎng)訪問服務的重要業(yè)務系統(tǒng)，應部署防DOS設備；對于重要的業(yè)務系統(tǒng)、支撐系統(tǒng)，應在核心網(wǎng)段部署網(wǎng)絡入侵檢測設備；在建立防火墻和入侵檢測系統(tǒng)時，宜避免引入單點故障，并且應消除旁路路徑；j）對于在易遭受蠕蟲病毒攻擊的設備，宜增加病毒流量過濾設備；電子郵箱系統(tǒng)應配套垃圾郵件和病毒郵件防護設備或軟件；應支持部署統(tǒng)一的防病毒軟件。如不能支持，應特別說明并保障其能夠?qū)崿F(xiàn)定期升級病毒庫的功能；128系統(tǒng)在申請初驗時，申請部門應向服務和端口管理責任部門提供服務和端口檢查和審核相關表格，并提供以下信息，作為入網(wǎng)服務與端口審核的依據(jù)；具體文檔應包含以下內(nèi)容：開啟的服務與端口的對應關系以及用途說明；相關服務與端口關閉和開啟的操作方法；版本信息。3安全加固及補丁要求安全加固及補丁要求如下：應安裝操作系統(tǒng)、數(shù)據(jù)庫、中間件等第三方軟件的安全補丁，保證不出現(xiàn)高風險漏洞；應在安全補丁安裝前完成兼容性測試。如果出現(xiàn)不能兼容的情況，供應商和集成商必須免費對現(xiàn)有程序、應用進行修改和升級，或者免費提供額外的安全措施，以保證安全性；5.1帳號口令及日志審計要求賬號口令及日志審計要求如下：應支持基于帳號的訪問控制功能，并對口令文件提供妥善的保護；應能保存帳號增刪、權限更改和登陸信息等有關安全內(nèi)容的日志。日志的保存期限應不小于2年。如果因系統(tǒng)限制無法滿足該要求，應將日志定期導出，采用其他手段進行保存；應建立密碼規(guī)則控制，以保證密碼規(guī)則的有效實施（如能自動拒絕創(chuàng)建不符合安全設置條件的帳號和口令）；應保存對共享帳號的“增加，更改，刪除”操作日志，系統(tǒng)管理員定期審閱日志，若有異常操作，可結合IP地址以及登錄時間進行進一步調(diào)查；應支持口令至少8位大小寫的字母、數(shù)字以及特殊符號等字符組成；配置更改、敏感數(shù)據(jù)更改、登錄嘗試失敗、重要操作均應支持日志記錄功能；g）日志應支持實時導出，供應商和集成商應提供日志的標準格式和定義。應用軟件安全要求應用軟件安全要求如下：應具備測試小組和測試機制，測試過程中應包括安全方面的測試，例如：DOS/DDOS檢測、堆棧溢出檢測、非法輸入檢測等；應保證最終代碼中不存在測試用、調(diào)試用的代碼，也不存在任何后門；應該提供必須的備份機制和備份工具，備份至少支持配置備份、數(shù)據(jù)備份，另外備份媒體至少支持硬盤備份。同時應提供備份恢復工具。網(wǎng)絡驗收要求網(wǎng)絡驗收要求如下：應該將相關要求條目加入技術規(guī)范書或者作為合同附件；安全驗收報告至少應包括以下內(nèi)容：1）網(wǎng)絡拓撲結構；防火墻、入侵監(jiān)測系統(tǒng)、抗拒絕服務攻擊系統(tǒng)部署情況；加密技術使用情況；賬號口令、日志審計功能；防病毒軟件安裝情況；安全管理系統(tǒng)接入情況；4安全補丁裝載情況及補丁管理機制；安全加固及配置情況；終端安全管理情況；其他安全技術設施的配置；暫時不能滿足要求的安全技術設施情況說明。審計和執(zhí)行要求審計和執(zhí)行要求如下：信息安全部門應對安全接入的執(zhí)行情況進行管理和審查，對未能達到本文件相關要求的行為及時指正，并監(jiān)督相關部門予以解決；信息安全部門應根據(jù)本文件定期對設備、網(wǎng)絡和系統(tǒng)進行檢查。采集設備運維管理概述采集設備運維管理是對射頻識別讀寫器、攝像機等數(shù)據(jù)采集設備進行運維管理。管理流程采集設備運維管理基本流程見圖2，流程說明如下：如出現(xiàn)設備數(shù)據(jù)未回傳現(xiàn)象，系統(tǒng)進行故障派單處理；外場運維人員收到派單以后檢查數(shù)據(jù)未回傳原因；如外場運維人員檢查前端設備故障，則進行修復并將檢查結果與是否修復的情況反饋至系統(tǒng)如出現(xiàn)設備數(shù)據(jù)未回傳現(xiàn)象，系統(tǒng)進行故障派單處理；外場運維人員收到派單以后檢查數(shù)據(jù)未回傳原因；如外場運維人員檢查前端設備故障，則進行修復并將檢查結果與是否修復的情況反饋至系統(tǒng)中，修復后檢查數(shù)據(jù)是否正常回傳；如外場運維人員檢查前端設備正常，則檢查服務器原因；如服務器檢查正常，則交回外場運維人員處理；如故障未解決，外場運維人員持續(xù)對未恢復的設備進行處理，直至故障修復；如故障已解決，則檢查結束。圖2采集設備運維管理流程圖7軟件系統(tǒng)運維管理7.1安裝部署安裝部署功能要求如下：5應提供圖形化界面或自動安裝腳本自動進行系統(tǒng)及服務組件的安裝/卸載；應支持通過一種或多種方式進行服務部署，如模板、部署方案及自定義等方式；應支持集群部署時自動掃描或手動方式添加節(jié)點；宜支持安裝前對軟、硬件等進行配置和檢測功能，如服務器、客戶安裝的操作系統(tǒng)等；X86X86應支持系統(tǒng)部署（安裝/補丁/升級）失敗給出修復方式，如重試、回退等方式；應支持安裝/升級操作容錯能力，不因個別節(jié)點的故障導致整個過程的失?。籗SH宜支持自動識別、格式化、掛載各類型磁盤的能力；應具備設置機房斷電恢復后服務快速恢復運行的能力；應支持多集群多服務；JDK、數(shù)據(jù)庫、KerberosAPI，方便用戶自定義服務組件接入；宜支持管理節(jié)點主備部署方式，主節(jié)點失效不影響對外功能；宜支持主備機自動切換，當主節(jié)點失效時，備節(jié)點主動接管主節(jié)點服務；應保證主備節(jié)點數(shù)據(jù)同步；應支持在集群不重啟的情況下增加、刪除節(jié)點；宜支持設置數(shù)據(jù)均衡，避免集群新增節(jié)點后將新數(shù)據(jù)均放到新節(jié)點；宜支持多種粒度的系統(tǒng)升級或補丁，同時不中斷業(yè)務；宜支持服務器的大數(shù)據(jù)系統(tǒng)自動重裝。配置管理配置管理功能要求如下：應支持圖形化操作界面對系統(tǒng)的配置項進行管理，包括查看，修改，刪除、自定義等；應提供特有配置參數(shù)的中英文命名和完整的解釋；應支持多種方式對配置項進行管理，如：分類、分角色、分組等；應支持顯示配置文件各配置項；應支持配置下的批量導入導出；應支持配置項或配置文件的上傳、下載、更新；應支持滾動重啟方式生效，不中斷業(yè)務；應支持手動和自動方式推送配置項的更新給集群內(nèi)相關節(jié)點；宜支持配置參數(shù)的歷史版本、過期管理和回溯能力；應提供配置參數(shù)模板；應提供配置參數(shù)的默認值、閥值，針對可調(diào)參數(shù)應給出推薦值；宜支持角色組或?qū)嵗M的管理，各個組下允許有不同的參數(shù)配置；應支持配置修改后同步到使用的客戶端；宜支持參數(shù)的相互影響識別，修改某參數(shù)對其它參數(shù)產(chǎn)生的影響給出提示或聯(lián)動修改。租戶管理租戶管理功能要求如下：應支持以角色、用戶、用戶組的方式管理租戶權限；6應提供圖形化界面管理角色、用戶、用戶組；應支持權限控制到服務內(nèi)的資源，如表、目錄、文件等資源；應支持租戶管理，包括刪除、創(chuàng)建等；監(jiān)控報警管理監(jiān)控報警管理功能要求如下：應支持對集群、主機、服務、實例等多維度運維對象監(jiān)控；應支持對集群規(guī)模、資源使用情況、資源運行狀態(tài)等進行監(jiān)控；應支持對路由器、交換機、中間件、服務器、數(shù)據(jù)庫等軟硬件進行監(jiān)控；應支持服務及服務組件監(jiān)控指標的自定義；應支持監(jiān)控項的定制功能，包括：展示方式，可視化的監(jiān)控項等；應支持監(jiān)控項的多種展示方式，包括：圖形、表格、時間線等；應支持監(jiān)控數(shù)據(jù)的導出、歸檔和清理等管理功能；應提供監(jiān)控數(shù)據(jù)可視化報表的生成與導出功能，包括手動和自動兩種方式；應支持圖形化界面查看監(jiān)控和報警，并支持按不同關鍵字查看；應支持報表能力，按照多維度提供資源統(tǒng)計報表，如：用戶，租戶，目錄等；應支持數(shù)據(jù)匯聚和分析能力，給出數(shù)據(jù)的均值，最大值，最小值等；應支持與第三方管理系統(tǒng)對接，上傳監(jiān)控和報警等數(shù)據(jù)；應支持對不同級別報警信息設置處理優(yōu)先級；應提供報警項定制功能，包括名稱、級別、閾值等；應提供報警自動通知功能，如郵件、短信等方式；應支持故障自動檢測并發(fā)送報警，故障恢復后報警能夠自行消除；應支持故障修復后校驗，以檢查故障是否恢復成功。服務管理服務管理功能要求如下：應支持展示所有已