某市級(jí)政務(wù)云項(xiàng)目建設(shè)技術(shù)方案

某市級(jí)智慧政務(wù)云項(xiàng)目建設(shè)某市級(jí)智慧政務(wù)云項(xiàng)目建設(shè)技術(shù)方案 Ⅱ1項(xiàng)目概述 1 11.2現(xiàn)狀分析 1.2.1信息化建設(shè)基本情況 21.2.3現(xiàn)階段主要挑戰(zhàn) 21.3建設(shè)意義和必要性 3 7 92建設(shè)要求 2.1基礎(chǔ)設(shè)施要求 2.2線路要求 2.3云管理平臺(tái)要求 2.3.1云管理平臺(tái)硬件要求 2.3.2云管理平臺(tái)軟件要求 Ⅲ2.4云平臺(tái)基礎(chǔ)資源池要求 2.4.1計(jì)算資源池要求 2.4.2存儲(chǔ)資源池要求 2.4.3網(wǎng)絡(luò)資源池要求 2.4.4安全資源池要求 2.5云平臺(tái)安全要求 2.6監(jiān)管平臺(tái)要求 2.7容災(zāi)備份要求 2.8增量服務(wù)要求 2.9其它要求 2.9.1托管設(shè)備要求 2.9.2業(yè)務(wù)遷移要求 2.9.3對(duì)接要求 2.9.4冗余及擴(kuò)展要求 3需求分析 3.1基礎(chǔ)設(shè)施需求 3.1.1機(jī)房整體需求 3.1.2基礎(chǔ)裝修需求 3.1.4接地系統(tǒng)需求 3.1.5空調(diào)系統(tǒng)需求 3.1.6消防系統(tǒng)需求 3.2線路需求 3.3云管理平臺(tái)功能需求 3.4云平臺(tái)基礎(chǔ)資源池需求 3.4.1總體需求 3.4.2關(guān)鍵技術(shù)需求 3.5云平臺(tái)安全需求 3.5.1總體需求 3.5.2關(guān)鍵技術(shù)需求 3.5.3政務(wù)云安全管理體系 3.6監(jiān)管平臺(tái)需求 3.6.1運(yùn)行環(huán)境 V3.6.2應(yīng)用軟件 3.6.3定制開發(fā) 3.6.4接口開發(fā) 3.6.5監(jiān)管中心 3.7容災(zāi)備份需求 3.7.1機(jī)房選址與環(huán)境需求 473.8增量服務(wù)需求 3.9其它需求 3.9.1設(shè)備托管需求 49 3.9.3對(duì)接接口需求 3.9.4冗余擴(kuò)展需求 504總體方案設(shè)計(jì) 4.1設(shè)計(jì)原則 4.2架構(gòu)設(shè)計(jì) 4.2.1總體架構(gòu) 4.2.2云平臺(tái)架構(gòu) 4.2.3安全架構(gòu) 4.3技術(shù)路線 4.3.1云平臺(tái)技術(shù)選型 5云平臺(tái)技術(shù)方案 5.1laaS計(jì)算資源池方案 1.存儲(chǔ)資源池評(píng)估 5.1.1彈性云服務(wù)器 5.1.2裸金屬服務(wù)器 725.1.3計(jì)算資源池細(xì)化方案 5.2laaS存儲(chǔ)資源池方案 5.2.1分布式存儲(chǔ)資源池方案 5.2.3存儲(chǔ)資源池細(xì)化方案 5.3IaaS資源服務(wù) 5.3.1計(jì)算服務(wù) 5.3.2存儲(chǔ)服務(wù) 5.3.3數(shù)據(jù)庫服務(wù) 83 5.4網(wǎng)絡(luò)資源池方案 5.4.1總體網(wǎng)絡(luò)拓?fù)?5.4.2核心網(wǎng)絡(luò)建設(shè) 5.4.3接入網(wǎng)絡(luò)建設(shè) 5.4.4專網(wǎng)接入?yún)^(qū)網(wǎng)絡(luò)建設(shè) 5.4.5網(wǎng)絡(luò)分區(qū)建設(shè) 5.4.6網(wǎng)絡(luò)出口建設(shè) 5.4.7政務(wù)云大二層網(wǎng)絡(luò) 5.5安全服務(wù)體系方案 5.5.1政務(wù)云平臺(tái)安全 5.5.2安全資源池方案 5.5.3云平臺(tái)安全服務(wù)體系建設(shè) 5.5.4政務(wù)云平臺(tái)安全域劃分方案 5.5.5政務(wù)云平臺(tái)安全建設(shè)方案 5.6容災(zāi)備份設(shè)計(jì) 5.6.1建設(shè)思路 5.6.2災(zāi)備服務(wù)需求分析 5.6.3災(zāi)備設(shè)計(jì) 5.6.4容災(zāi)備份設(shè)計(jì)方案 5.7RDS數(shù)據(jù)庫服務(wù)設(shè)計(jì)方案 5.7.1RDSforMySQL服務(wù)能力 5.7.2RDSforSQLServer服務(wù)能力 5.7.3Oracle服務(wù)服務(wù)能力 5.8云平臺(tái)管理功能設(shè)計(jì)方案 5.8.1云平臺(tái)管理建設(shè)目標(biāo) 5.8.2云管理系統(tǒng)設(shè)計(jì) 6監(jiān)管平臺(tái)技術(shù)方案 6.1技術(shù)方案 6.1.1云監(jiān)管平臺(tái)架構(gòu) 6.1.2云監(jiān)管平臺(tái)拓?fù)鋱D 6.1.3云監(jiān)管平臺(tái)功能設(shè)計(jì) 6.2與省上云監(jiān)管平臺(tái)對(duì)接 6.3其他服務(wù)能力 6.3.1業(yè)務(wù)系統(tǒng)遷移方案審查 6.3.2協(xié)助定制業(yè)務(wù)系統(tǒng)遷移流程及制度規(guī)范 6.3.3政務(wù)云使用運(yùn)行流程管理 6.3.4政務(wù)云使用管理制度制定 6.4監(jiān)管中心建設(shè) 6.5云監(jiān)管平臺(tái)軟硬件配置 7業(yè)務(wù)部署與應(yīng)用上云方案 2277.1新應(yīng)用系統(tǒng)建設(shè)與部署 7.2老應(yīng)用系統(tǒng)云化建設(shè)咨詢 7.3現(xiàn)有業(yè)務(wù)整合遷移 7.3.1應(yīng)用遷移 7.3.2虛擬化遷移 7.3.3數(shù)據(jù)遷移 X7.4遷移實(shí)施方案 7.4.1容量規(guī)劃 2477.4.2遷移批次 7.4.3遷移演練 2487.4.4實(shí)施方案 7.4.5遷移驗(yàn)收 7.4.6遷移資料歸檔 7.4.7系統(tǒng)的持續(xù)優(yōu)化 2518運(yùn)維體系方案 2528.1運(yùn)維體系架構(gòu) 2528.2運(yùn)維體系建設(shè) 8.3運(yùn)維服務(wù)內(nèi)容 8.3.1平臺(tái)日常維護(hù) 2538.3.2故障處理維護(hù)場(chǎng)景 8.3.4監(jiān)控與告警管理 8.3.5報(bào)表管理 8.3.6應(yīng)急處理流程 8.3.7服務(wù)報(bào)告管理 8.3.9應(yīng)用管理 8.3.10服務(wù)管理 2829培訓(xùn)方案 9.1培訓(xùn)目的 9.2培訓(xùn)對(duì)象 9.3培訓(xùn)內(nèi)容 10.1項(xiàng)目團(tuán)隊(duì)組織 10.2.1需求分析及設(shè)計(jì)階段 28610.2.2集成測(cè)試及UAT測(cè)試階段 10.2.3上線階段 10.2.4運(yùn)行及驗(yàn)收測(cè)試階段 10.2.5項(xiàng)目工期預(yù)估 11主要軟硬件配置及參數(shù)清單 11.2云平臺(tái)軟硬件配置要求 11.3云監(jiān)管平臺(tái)軟硬件配置要求 12附：建設(shè)模式分析 12.1.2政務(wù)云平臺(tái)場(chǎng)地建設(shè)模式 303 12.1.4PPP模式 11.2.1信息化建設(shè)基本情況其中建有32個(gè)獨(dú)立機(jī)房，8個(gè)托管機(jī)房。區(qū)縣部門使用機(jī)房共56個(gè)，務(wù)器520臺(tái)、CPU1002顆、物理核數(shù)52名稱類別數(shù)量(臺(tái))數(shù)量(顆)核數(shù)(核)總內(nèi)存專用存儲(chǔ)設(shè)備容量備注市直部門市級(jí)黨委預(yù)估河?xùn)|新區(qū)388經(jīng)開區(qū)2412安居區(qū)36船山區(qū)射洪縣蓬溪縣大英縣3的IT系統(tǒng)，建設(shè)模式之間的矛盾，主要體現(xiàn)在以下幾點(diǎn)：一是傳統(tǒng)政務(wù)模式中，政府各部門的電子政務(wù)系統(tǒng)各自經(jīng)營(yíng)，分散建設(shè)、管理、運(yùn)行導(dǎo)致重復(fù)建設(shè)、信息孤島、投入高收益低等問題。二是在管理上難以與組織內(nèi)部工作流程有機(jī)結(jié)合，無法形成動(dòng)態(tài)的三是缺乏統(tǒng)一的規(guī)范導(dǎo)致功能缺失、信息更新緩慢，交互性差等問建設(shè)政務(wù)云有利于促進(jìn)信息化項(xiàng)目的集約建設(shè)和運(yùn)維，降低信息化投資成本；有利于促進(jìn)信息資源共享和開發(fā)利用，提高城市管理和服務(wù)水平；有利于強(qiáng)化電子政務(wù)安全保障體系，提升政務(wù)安全保障水平；有建設(shè)政務(wù)云是提升信息化條件下治國(guó)理政能力的必然要求，是實(shí)現(xiàn)XX市政務(wù)信息化集約可持續(xù)發(fā)展必由之路，是XX市融入、應(yīng)用“大數(shù)政府信息化是將政府管理與服務(wù)建立在現(xiàn)代信息技術(shù)、辦公自動(dòng)化技術(shù)和網(wǎng)絡(luò)技術(shù)基礎(chǔ)之上的一種全新的政府治理模式。在國(guó)民經(jīng)濟(jì)和社會(huì)信息化過程中，政府信息化處在關(guān)鍵和核心的位置。這是由政府在推4動(dòng)國(guó)家信息化中的主導(dǎo)地位和特殊角色，以及政府管理對(duì)信息的廣泛依隨著信息技術(shù)的不斷發(fā)展，國(guó)家對(duì)電子政務(wù)和政府信息化建設(shè)高度首先，各類政府機(jī)構(gòu)T應(yīng)用基礎(chǔ)設(shè)施建設(shè)相對(duì)完備，網(wǎng)絡(luò)建設(shè)在“政府上網(wǎng)工程”的推動(dòng)下獲得了較大的進(jìn)展，建成一張覆蓋全市范圍的“電子政務(wù)外網(wǎng)”專線骨干網(wǎng)絡(luò)，為全市政務(wù)信息數(shù)據(jù)集中、資源共享打下了堅(jiān)實(shí)基礎(chǔ)；同時(shí)大部分政府職能部門都已接入了覆蓋全系統(tǒng)的專網(wǎng)。其次，各委局條塊狀的辦公自動(dòng)化、管理信息化的水平不斷提高，適應(yīng)政府機(jī)關(guān)辦公業(yè)務(wù)和輔助領(lǐng)導(dǎo)科學(xué)決策需求的首先，重復(fù)建設(shè)重復(fù)投資。從目前情況上看，各職能部門根據(jù)業(yè)務(wù)發(fā)展需求，對(duì)信息數(shù)據(jù)資源獨(dú)立規(guī)劃和建設(shè)或條塊建設(shè)，很容易形成相對(duì)孤立的系統(tǒng)，在一定程度上存在著基礎(chǔ)設(shè)施和基礎(chǔ)數(shù)據(jù)重復(fù)建設(shè)和重其次，數(shù)據(jù)資源使用相對(duì)獨(dú)立。目前，各部門信息系統(tǒng)基本上以單體應(yīng)用為主，相互間以分立系統(tǒng)形態(tài)共存，因此各部門間信息資源在一5務(wù)從粗放式、離散化的建設(shè)模式向集約化、整體化的可持續(xù)發(fā)展模式轉(zhuǎn)變，使政府管理服務(wù)從各自為政、相互封閉的運(yùn)作方式向跨部門跨區(qū)域1、云計(jì)算能夠降低電子政務(wù)建設(shè)及運(yùn)維成本在電子政務(wù)云環(huán)境下，可以將信息技術(shù)資源交給專業(yè)的第三方云服務(wù)商管理，由云服務(wù)商提供需要的信息技術(shù)基礎(chǔ)架構(gòu)、軟硬件資源和信息服務(wù)等，政府根據(jù)按需付費(fèi)的原則定制需要的信息服務(wù)。這為政府帶務(wù)器和存儲(chǔ)設(shè)備等，從而節(jié)省建設(shè)費(fèi)用；二是信息軟硬件資源交給專業(yè)電子政務(wù)云具有較高的靈活性，政府實(shí)施新的電子政務(wù)工程時(shí)，不必購買額外的軟硬件，而是利用已有云基礎(chǔ)設(shè)施，快速部署系統(tǒng)，提高電子政務(wù)應(yīng)用部署速度。開發(fā)者在一個(gè)平臺(tái)上構(gòu)建和部署應(yīng)用程序，大3、云計(jì)算降低信息共享和業(yè)務(wù)協(xié)同難度長(zhǎng)期以來，我國(guó)電子政務(wù)普遍存在各自為政、資源分散等問題。盡管信息難以共享的根源在于電子政務(wù)機(jī)制問題，但云計(jì)算能從技術(shù)上降低信息共享和業(yè)務(wù)協(xié)同的難度。通過電子政務(wù)云平臺(tái)，多個(gè)政府部門可以共用相應(yīng)的基礎(chǔ)架構(gòu)，實(shí)現(xiàn)各政務(wù)系統(tǒng)之間的軟硬件共享，提高電子政務(wù)信息共享的效率，擴(kuò)大信息共享范圍；軟硬件資源和信息資源的共6享將有利于促進(jìn)各部門內(nèi)部與部門之間的業(yè)務(wù)系統(tǒng)的整合，為政府部門政務(wù)云實(shí)現(xiàn)政府軟硬件資源所有權(quán)與使用權(quán)的分離，政府將在不擁有軟硬件資源的情況下享受信息服務(wù)。因此，政府部門能夠集中人力物力進(jìn)行本部門的業(yè)務(wù)運(yùn)轉(zhuǎn)，從而減輕政府行政負(fù)擔(dān)，使政府能有更多的精力專注于面向公眾的公共服務(wù)，提高政府效率。同時(shí)，在部署了以云計(jì)算為技術(shù)支撐的電子政務(wù)云以后，后臺(tái)信息的煙囪式部署方式的壁壘將被打破，從而實(shí)現(xiàn)電子數(shù)據(jù)的統(tǒng)一共享，這對(duì)前臺(tái)服務(wù)界面的統(tǒng)一打通有著重要意義，將使得電子政務(wù)統(tǒng)一化不再停留在前臺(tái)展示層面，而切切實(shí)實(shí)的實(shí)現(xiàn)電子政務(wù)服務(wù)的高效與統(tǒng)一，不再只是從紙質(zhì)服務(wù)到電子服務(wù)的變化，而是真正意義的一個(gè)窗口辦所有事情，大大提高了服務(wù)政務(wù)云平臺(tái)的容錯(cuò)機(jī)制結(jié)合有效的控制、配置與管理，使之具有更電子政務(wù)云計(jì)算平臺(tái)作為區(qū)域高性能、高標(biāo)準(zhǔn)的信息基礎(chǔ)設(shè)施，對(duì)于提升城市綜合競(jìng)爭(zhēng)力，推動(dòng)產(chǎn)業(yè)轉(zhuǎn)型升級(jí)，優(yōu)化創(chuàng)業(yè)創(chuàng)新環(huán)境都具有重大意義。通過建設(shè)政務(wù)云，為政府、企業(yè)、居民、游客提供優(yōu)質(zhì)的信78為避免投資浪費(fèi)，私有云計(jì)算平臺(tái)體系的規(guī)劃建設(shè)不僅要求能夠滿足目前業(yè)務(wù)使用的需求，還必須具備一定的先進(jìn)性和發(fā)展?jié)摿?，使系統(tǒng)具有容量的擴(kuò)充與升級(jí)換代的可能，以便該項(xiàng)目在盡可能的時(shí)間內(nèi)與業(yè)(4)開放適用由于私有云計(jì)算平臺(tái)為各業(yè)務(wù)應(yīng)用系統(tǒng)提供支撐，必須充分考慮系統(tǒng)的開放性，提供開放標(biāo)準(zhǔn)接口，供開發(fā)者、用戶使用。在系統(tǒng)設(shè)計(jì)中，無論是網(wǎng)絡(luò)系統(tǒng)、主機(jī)系統(tǒng)還是存儲(chǔ)系統(tǒng)，都應(yīng)具系統(tǒng)從主機(jī)到存儲(chǔ)都應(yīng)有功能強(qiáng)大、操作簡(jiǎn)便、界面友好的管理工具，使管理人員能及時(shí)發(fā)現(xiàn)和排除系統(tǒng)的各種問題，保障系統(tǒng)的正常運(yùn)(7)集約共享實(shí)現(xiàn)統(tǒng)一建設(shè)、統(tǒng)一管理、統(tǒng)一服務(wù)，為政府及其部門提供協(xié)同、共享各部門按照數(shù)據(jù)向上集中、服務(wù)向下延伸的建設(shè)思路，充分利用電9(8)開放便捷采用層次清晰、結(jié)構(gòu)完整、開放共享的技術(shù)支持框架，采用(9)整合資源、避免浪費(fèi)數(shù)據(jù)中心”的思路構(gòu)建云計(jì)算數(shù)據(jù)中心，通過建設(shè)XX政務(wù)云平臺(tái)，打和數(shù)據(jù)資源共享。采用先進(jìn)的T系統(tǒng)架構(gòu)，建成國(guó)內(nèi)一流的云計(jì)算、大數(shù)據(jù)應(yīng)用中心，提高城市綜合競(jìng)爭(zhēng)力，提升政府現(xiàn)代化治理和民生服務(wù)非涉密業(yè)務(wù)專網(wǎng)等業(yè)務(wù)集成、渠道整合及數(shù)據(jù)共享，逐步形成由現(xiàn)代治支持XX市云計(jì)算產(chǎn)業(yè)的孵化和成長(zhǎng)，以政務(wù)云為中心帶動(dòng)整個(gè)XX信息化生態(tài)環(huán)境?；诖髷?shù)據(jù)，云計(jì)算，移動(dòng)互聯(lián)網(wǎng)等技術(shù)打造的XX政務(wù)云平臺(tái)，不僅能滿足政府對(duì)政務(wù)云的需求，也為促進(jìn)XX市云計(jì)算通過建設(shè)政務(wù)云平臺(tái)，實(shí)現(xiàn)數(shù)據(jù)匯聚，運(yùn)用大數(shù)據(jù)分析技術(shù)，積極開展公共數(shù)據(jù)挖掘工作，探索數(shù)據(jù)信息的規(guī)律性、前瞻性、導(dǎo)向性，為政府決策提供支持，并能更好地循“數(shù)”治理、依“數(shù)”服務(wù)。建立政大數(shù)據(jù)、物聯(lián)網(wǎng)等技術(shù)，深化平臺(tái)建設(shè)，構(gòu)建橫跨部門、縱跨層級(jí)的無縫隙的信息資源共享，帶動(dòng)前后臺(tái)資源整合，打造市級(jí)各部門非涉密電子政務(wù)系統(tǒng)運(yùn)行使用的電子政務(wù)云平臺(tái)，形成更加高效、透明的政務(wù)生態(tài)，切實(shí)提升政府治理能力和公共服務(wù)績(jī)效。促進(jìn)XX產(chǎn)業(yè)優(yōu)化升級(jí)及經(jīng)濟(jì)轉(zhuǎn)型、信息化管理水平提升及群眾便利等方面，助力XX傳統(tǒng)產(chǎn)業(yè)市級(jí)政務(wù)云平臺(tái)是政務(wù)云建設(shè)的樣板，其1+N+N+1的架構(gòu)體系市政務(wù)云建設(shè)的有效借鑒。同時(shí)對(duì)比周邊市州政務(wù)云建設(shè)模式，均是在由物理資源層、資源抽象與控制層和云服務(wù)層三部分構(gòu)成，提供完整的務(wù)，并通過電子政務(wù)外網(wǎng)將這些服務(wù)安全輸送給政務(wù)部門，滿足政務(wù)部每機(jī)柜提供雙路不間斷供電，機(jī)房空間和供電在滿足本期建設(shè)規(guī)模基礎(chǔ)滿足日常運(yùn)維值班，設(shè)備安裝調(diào)試，后期業(yè)務(wù)系統(tǒng)遷移等工作需要。機(jī)房應(yīng)具備獨(dú)立的管理和監(jiān)控能力?？商峁?*24熱線人工值守以及響應(yīng)等級(jí)和國(guó)家《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》GB2.3.1云管理平臺(tái)硬件要求2.3.2云管理平臺(tái)軟件要求指標(biāo)項(xiàng)1擴(kuò)展需求云管理平臺(tái)除了能夠滿足目前設(shè)備資源使用以及業(yè)務(wù)支撐需求，還需要良好兼容不同廠商的硬件設(shè)備(服務(wù)器、存儲(chǔ)等),以及未來在線擴(kuò)展的需求。2接口需求為了滿足云監(jiān)管平臺(tái)的建設(shè)，必須承諾在中標(biāo)后提供口規(guī)范的制定、開發(fā)，配合適配和聯(lián)調(diào)等工3應(yīng)用自動(dòng)化部署提供的云管理平臺(tái)軟件應(yīng)為穩(wěn)定可靠的最新商用版本，同時(shí)要保證版本升級(jí)方便。另外云管理平臺(tái)軟件需要提供應(yīng)用自動(dòng)化部署功能，方便用戶通過自助界面進(jìn)行使用。4需提供本地化支持為保證云管理平臺(tái)軟件產(chǎn)品的實(shí)施質(zhì)量和提供更好5產(chǎn)品成熟度需求云管理平臺(tái)軟件需自主可控，采用Openstack技術(shù)架6服務(wù)器動(dòng)態(tài)擴(kuò)云管理平臺(tái)軟件無需單獨(dú)授權(quán)，當(dāng)整個(gè)電子政務(wù)云平指標(biāo)項(xiàng)展需求臺(tái)的資源不足時(shí)，新的物理服務(wù)器資源可以自動(dòng)被識(shí)別到，并加入到平臺(tái)的資源池中，而整個(gè)過程不應(yīng)停止原有服務(wù)，且不對(duì)原有服務(wù)造成影響。7使用量可計(jì)量計(jì)費(fèi)需求儲(chǔ)、IP、負(fù)載均衡、虛擬網(wǎng)絡(luò)等資源的使用做到精細(xì)化管理并提供統(tǒng)計(jì)分析功能。且需要提供相應(yīng)的接口，方便云管控平臺(tái)使用。8軟、硬件資源池化需求可以將現(xiàn)有的物理軟、硬件資源進(jìn)行資源池化。云管理平臺(tái)軟件需根據(jù)用戶需求，動(dòng)態(tài)提供虛擬化的資源，這些資源包括虛擬機(jī)、存儲(chǔ)、IP、負(fù)載均衡、虛擬網(wǎng)絡(luò)等。9虛擬機(jī)熱遷移移到其它硬件設(shè)備上運(yùn)行，而虛擬機(jī)中的服務(wù)不應(yīng)停止；而當(dāng)原硬件設(shè)備維護(hù)升級(jí)結(jié)束后也可以將虛擬機(jī)從其他虛擬機(jī)高可用云管理平臺(tái)軟件應(yīng)能夠提供虛擬機(jī)冗余機(jī)制，當(dāng)應(yīng)用配置了高可用之后，應(yīng)用虛擬機(jī)或虛擬機(jī)所在的物理機(jī)出現(xiàn)宕機(jī)情況時(shí)，云管理平臺(tái)軟件應(yīng)支持自動(dòng)切換至另外的其他虛擬機(jī)或物理機(jī)上，保證應(yīng)用可用性，同時(shí)不應(yīng)對(duì)虛指標(biāo)項(xiàng)故障自動(dòng)遷移與虛擬化還是依賴于硬件設(shè)備的可靠性不同，云計(jì)算從設(shè)計(jì)開始就認(rèn)為硬件設(shè)備故障是常態(tài)，平臺(tái)所有的服務(wù)管理平臺(tái)可以自動(dòng)把運(yùn)行在其中的應(yīng)用自動(dòng)在另外一個(gè)可用節(jié)點(diǎn)上(無需人工指定在那個(gè)節(jié)點(diǎn)上，所有平臺(tái)中可用的服務(wù)器都可以作為備份節(jié)點(diǎn))啟動(dòng)，如果目標(biāo)節(jié)點(diǎn)上也突然出現(xiàn)問題，應(yīng)該可以自動(dòng)尋找下一可用節(jié)點(diǎn)，直到服務(wù)被啟動(dòng)。理論上是只要不是所有的節(jié)點(diǎn)都損壞了，系按照策略調(diào)整運(yùn)行資源用系統(tǒng)的運(yùn)行位置。使服務(wù)器、存儲(chǔ)等設(shè)備在故障修復(fù)、資源自助管理界面云管理平臺(tái)可以為用戶提供自助使用和自助管理資源的統(tǒng)一界面。指標(biāo)項(xiàng)負(fù)載均衡服務(wù)彈性負(fù)載均衡器是在Hypervisor上以虛機(jī)的方式實(shí)現(xiàn)的負(fù)載均衡功能，支持第4到7層的負(fù)載均衡，支持web服務(wù)、中間件、數(shù)據(jù)庫以及其它互聯(lián)網(wǎng)服務(wù)，可以實(shí)時(shí)測(cè)量服務(wù)器利用率和連接負(fù)載，在此基礎(chǔ)上高效地分配統(tǒng)一應(yīng)用業(yè)務(wù)負(fù)載，提供全面的可視性并有效地管理應(yīng)用性能、安全性和服務(wù)交付虛擬私有云云計(jì)算數(shù)據(jù)中心支持虛擬私有云功能2.4云平臺(tái)基礎(chǔ)資源池要求云平臺(tái)應(yīng)至少劃分為電子政務(wù)外網(wǎng)區(qū)和互聯(lián)網(wǎng)區(qū)，兩個(gè)區(qū)域之間應(yīng)采用安全數(shù)據(jù)交換系統(tǒng)進(jìn)行隔離防護(hù)；電子政務(wù)外網(wǎng)區(qū)和互聯(lián)網(wǎng)區(qū)內(nèi)部計(jì)算資源池劃分為高性能計(jì)算區(qū)、通用性能計(jì)算區(qū)，每個(gè)區(qū)分別使用不√高性能計(jì)算區(qū)，用4路14核或以上配置；√通用性能計(jì)算區(qū)，用2路14核或以上配置；服務(wù)器按照2個(gè)區(qū)劃分的原則，將不同用途的服務(wù)器進(jìn)行劃分并進(jìn)行上架、測(cè)試，安裝操作系統(tǒng)和虛擬化軟件，連接到虛擬化存儲(chǔ)池，創(chuàng)2.4.2存儲(chǔ)資源池要求可動(dòng)態(tài)在線從一臺(tái)物理服務(wù)器遷移到另一臺(tái)物理服務(wù)器上的特性等。存儲(chǔ)要求采用大于或等于8個(gè)8GB,提供大于或等于64GB的存儲(chǔ)分布式存儲(chǔ)主要采用X86服務(wù)器組成，使用至少2個(gè)萬兆接口用于源調(diào)配和隔離，支持與互聯(lián)網(wǎng)、電子政務(wù)外網(wǎng)及行業(yè)部門專網(wǎng)的連接。依照電子政務(wù)外網(wǎng)的安全域劃分，本次云平臺(tái)主要?jiǎng)澐譃殡娮诱?wù)外網(wǎng)區(qū)和互聯(lián)網(wǎng)區(qū)。其中電子政務(wù)外網(wǎng)區(qū)主要是政務(wù)部門系統(tǒng)內(nèi)和系統(tǒng)間的互訪，互聯(lián)網(wǎng)用戶不能直接訪問這個(gè)區(qū)域的數(shù)據(jù)和信息系統(tǒng)；互聯(lián)網(wǎng)區(qū)安全域內(nèi)從網(wǎng)絡(luò)服務(wù)、數(shù)據(jù)應(yīng)用業(yè)務(wù)的獨(dú)立性、各業(yè)務(wù)的互訪關(guān)系及業(yè)務(wù)的安全隔離需求綜合考慮，將管理數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、存儲(chǔ)數(shù)據(jù)進(jìn)行的市級(jí)部門訪問或管理業(yè)務(wù)系統(tǒng)可通過VPN等多種方式實(shí)現(xiàn)?；ヂ?lián)網(wǎng)區(qū)與電子政務(wù)外網(wǎng)區(qū)之間通過安全數(shù)據(jù)交換系統(tǒng)進(jìn)行數(shù)據(jù)交換?；ヂ?lián)網(wǎng)區(qū)與電子政務(wù)外網(wǎng)區(qū)出口邊界應(yīng)通過訪問控制設(shè)備建立邊界。平臺(tái)內(nèi)網(wǎng)絡(luò)至少劃分為業(yè)務(wù)網(wǎng)、存儲(chǔ)網(wǎng)、管理網(wǎng)等，業(yè)務(wù)網(wǎng)絡(luò)至少具備10G網(wǎng)絡(luò)通訊能力，存儲(chǔ)網(wǎng)絡(luò)至少具備10G通訊能力，管理網(wǎng)絡(luò)至少具備1G網(wǎng)絡(luò)通訊能力。平臺(tái)核心交換機(jī)至少配置4臺(tái)數(shù)據(jù)中心級(jí)高性能模塊化交換機(jī)，具備網(wǎng)絡(luò)虛擬化集群部署能力。若部署接入交換機(jī)也需具備虛擬化部署2.4.4安全資源池要求的需求)。2.5云平臺(tái)安全要求公用網(wǎng)絡(luò)區(qū)和互聯(lián)網(wǎng)區(qū)之間須部署滿足國(guó)家電子政務(wù)外網(wǎng)要求的安平臺(tái)應(yīng)配置必要的運(yùn)維審計(jì)設(shè)備，保證對(duì)所有運(yùn)維操作進(jìn)行溯源。XX市電子政務(wù)云建設(shè)1個(gè)云監(jiān)管平臺(tái)。實(shí)現(xiàn)對(duì)云平臺(tái)統(tǒng)一監(jiān)管，監(jiān)管平臺(tái)應(yīng)具備資源、業(yè)務(wù)、運(yùn)營(yíng)和運(yùn)維監(jiān)管等功能。云監(jiān)管平臺(tái)提供商需與云平臺(tái)提供商一起，在政府的統(tǒng)一管理下，提出云監(jiān)管平臺(tái)與云平臺(tái)之間的監(jiān)管接口規(guī)范并遵循。除了具備資源、業(yè)務(wù)、運(yùn)營(yíng)和運(yùn)維監(jiān)管規(guī)劃與申請(qǐng)，云服務(wù)的使用與監(jiān)控。最終保證系統(tǒng)上云正常維護(hù)等。狀況，云服務(wù)商資源審核，云服務(wù)等財(cái)政預(yù)算審核，安全監(jiān)管等。以上監(jiān)管流程，要求遵循ITIL標(biāo)準(zhǔn)和規(guī)范體系，通過規(guī)范和服務(wù)，將服務(wù)商的服務(wù)接入，解除云服務(wù)商與用戶的強(qiáng)耦合關(guān)系。平臺(tái)以中立方的角色，對(duì)各服務(wù)商的服務(wù)質(zhì)量進(jìn)行監(jiān)控與監(jiān)管，建立服務(wù)優(yōu)勝劣汰的質(zhì)量服務(wù)體系。最終形成良性的競(jìng)爭(zhēng)與合作生態(tài)圈，為各政務(wù)系統(tǒng)的政務(wù)云平臺(tái)容災(zāi)的設(shè)計(jì)目的是為了保障其所承載業(yè)務(wù)連續(xù)性，而業(yè)務(wù)的連續(xù)性涉及到三個(gè)方面的要素，即：HA(高可用),DP(數(shù)據(jù)保護(hù)),DR(災(zāi)難恢復(fù))。應(yīng)提供容災(zāi)備份相關(guān)技術(shù)手段。2.9其它要求提供標(biāo)準(zhǔn)服務(wù)器機(jī)柜用于物理設(shè)備托管服務(wù)，用戶托管設(shè)備需納入云管理平臺(tái)進(jìn)行統(tǒng)一監(jiān)控和管理，托管設(shè)備的運(yùn)維管理須納入基礎(chǔ)安全分散建設(shè)的政務(wù)信息系統(tǒng)，需要遷移到電子政務(wù)云平臺(tái)上。但這些系統(tǒng)采用了不同的平臺(tái)和技術(shù)實(shí)現(xiàn)，為遷移到電子業(yè)務(wù)遷移設(shè)計(jì)服務(wù)進(jìn)行系統(tǒng)遷移方案詳細(xì)設(shè)計(jì)并進(jìn)行完善的評(píng)估，確定2.9.3對(duì)接要求能夠與XX市現(xiàn)有電子政務(wù)外網(wǎng)，互聯(lián)網(wǎng)，專網(wǎng)(部門業(yè)務(wù)專網(wǎng))2.9.4冗余及擴(kuò)展要求3.1.1機(jī)房整體需求運(yùn)維辦公場(chǎng)所等。按照模塊化機(jī)房相關(guān)標(biāo)準(zhǔn)建設(shè)，容納機(jī)柜不少于30擴(kuò)展能力，未來3-5年根據(jù)實(shí)際業(yè)務(wù)需要可擴(kuò)展至60個(gè)以上，整體面m2,云平臺(tái)運(yùn)維管理區(qū)域需配備≥12塊、≥46英寸的的DLP拼接屏作6.向采購人提供7*24熱線人工值守以及響應(yīng)電話，7*24全天候技房抗震烈度達(dá)8度或以上。時(shí)間不小于3個(gè)月。在充分考慮計(jì)算機(jī)系統(tǒng)、通訊、空調(diào)、UPS等設(shè)備的安全性、可靠性、先進(jìn)性的前提下，達(dá)到高雅、大方、簡(jiǎn)樸的風(fēng)格；機(jī)房室內(nèi)裝潢基防水、防盜、環(huán)保、消防、不易變形及防鼠防蟲等因素，裝飾材料防火等級(jí)大于等于B1級(jí)。對(duì)于建筑裝修部分，既要與現(xiàn)代化的計(jì)算機(jī)通訊設(shè)備相匹配，又能通過精良、獨(dú)特的設(shè)計(jì)構(gòu)思，真正體現(xiàn)“現(xiàn)代、高雅、美觀、適用”的計(jì)，配電室、主機(jī)房、監(jiān)控室等所有機(jī)房區(qū)域敷設(shè)硫酸鈣復(fù)合無框防靜電地板；走廊敷設(shè)與大樓標(biāo)準(zhǔn)層相同的地磚，以保持與大樓裝修的統(tǒng)一機(jī)房區(qū)域內(nèi)鋪設(shè)優(yōu)質(zhì)硫酸鈣復(fù)合防靜電地板，地板規(guī)格600×600,地板敷設(shè)高度不低于400mm,根據(jù)機(jī)柜數(shù)量配置相應(yīng)的地板通風(fēng)口。地板腿、支架等所有防靜電地板附件全部采用防靜電地板原廠配件。各項(xiàng)門窗工程部分，機(jī)房區(qū)域、辦公輔助區(qū)域和其他區(qū)域的相關(guān)房間設(shè)置鋼木門、玻璃門等。根據(jù)消防安全設(shè)計(jì)要求，門開啟方向?yàn)橄蛲?，門色彩樣式考慮和墻面的整體協(xié)調(diào)配合，尤其應(yīng)具備防火、防盜要求。門框及門面鋼板厚度在1.5mm以上，配套五金件齊防火閉門器等),為保證質(zhì)量選擇優(yōu)質(zhì)國(guó)產(chǎn)名牌產(chǎn)品。主機(jī)房、監(jiān)控室、機(jī)房的用電負(fù)荷等級(jí)和供電要求滿足《供配電系統(tǒng)設(shè)計(jì)規(guī)范》級(jí)，預(yù)留備用容量。需要在1路市電供電的基礎(chǔ)市電停電后，發(fā)電機(jī)應(yīng)啟動(dòng)并供電。柴油發(fā)電機(jī)按N+1模式配置。空調(diào)系統(tǒng)及其他用電負(fù)荷與IT負(fù)荷分類別、分級(jí)供電。機(jī)房?jī)?nèi)所有電氣設(shè)備外殼、金屬管道、金屬吊頂、抗靜電地板、金屬隔斷框架均牢固連接大樓綜合接地。接地電阻要求≤1Ω,可以采用用綜合接地的方式。零地電壓小于1V。機(jī)房?jī)?nèi)所有計(jì)算機(jī)系統(tǒng)設(shè)備的金屬機(jī)殼應(yīng)使用數(shù)根絕緣導(dǎo)線就近接計(jì)算機(jī)設(shè)備的金屬外殼、UPS及電池箱金屬外殼、金屬地板支架、隔斷及金屬框架、設(shè)施管路、電纜橋架等應(yīng)以最短的線路連到最近的等3.1.5空調(diào)系統(tǒng)需求中央機(jī)房計(jì)算機(jī)設(shè)備運(yùn)行區(qū)域配備了機(jī)房專用精密空調(diào)系統(tǒng)，氣流組織采用下送風(fēng)、上回風(fēng)的方式，確保設(shè)備運(yùn)行區(qū)域的溫度、濕度和潔凈度指標(biāo)優(yōu)于設(shè)備運(yùn)行及國(guó)家B級(jí)機(jī)房標(biāo)準(zhǔn)的要求。每個(gè)獨(dú)立分區(qū)配置機(jī)房專用精密空調(diào)系統(tǒng)，N+1冗余運(yùn)行，可以提空調(diào)系統(tǒng)采用UPS供電保障，可實(shí)現(xiàn)全年不停頓運(yùn)轉(zhuǎn)，確?？梢詾闄C(jī)房?jī)?nèi)的設(shè)備提供全年7×24小時(shí)制冷保障。經(jīng)過高效過濾的新鮮潔凈氣體從設(shè)備運(yùn)行區(qū)域的兩側(cè)輸入，在提供空氣置換的同時(shí)，在機(jī)房?jī)?nèi)部按預(yù)定次序形成微正壓梯度和空氣排放通道，可有效防止未過濾氣體的入侵，保證機(jī)房潔凈度和空氣清新。有序流動(dòng)，配合溫度檢測(cè)系統(tǒng)和氣流調(diào)節(jié)措施3.1.6消防系統(tǒng)需求數(shù)據(jù)中心機(jī)房通過與控制中心式火災(zāi)自動(dòng)報(bào)警系統(tǒng)的聯(lián)合作業(yè)，及通過與閉路電視監(jiān)控系統(tǒng)、樓宇智能管理系統(tǒng)聯(lián)網(wǎng)的火災(zāi)自動(dòng)報(bào)警系統(tǒng)，結(jié)合應(yīng)急廣播系統(tǒng)、消防電話、無線通信等通信聯(lián)絡(luò)方式，確保數(shù)據(jù)中心機(jī)房采用分層部署的環(huán)保潔凈氣體(七氟丙烷)滅火系統(tǒng)，采用獨(dú)立的空間陳放消防設(shè)備，通過管道輸入到設(shè)備室；可以及時(shí)撲滅火災(zāi)，保障設(shè)備安全。與新風(fēng)系統(tǒng)整合的高效強(qiáng)制排煙系統(tǒng)，可以保證并配備手提式滅火器，在保證滅火效果的同采用先進(jìn)的煙感溫感報(bào)警器，設(shè)計(jì)部署數(shù)個(gè)180L鋼瓶環(huán)保型氣體滅3.1.7安防系統(tǒng)需求安防系統(tǒng)包含但不僅限于視頻監(jiān)控、門禁系統(tǒng)等，數(shù)據(jù)中心整個(gè)安全防范體系采用分級(jí)別、分區(qū)域的整體縱深防范體系，由外到內(nèi)劃分層5個(gè)安全等級(jí)。對(duì)于為客戶提供服務(wù)的專屬使用區(qū)域，將在安全管理規(guī)劃第4級(jí)的基礎(chǔ)上，根據(jù)具體要求定制安全管理措施及訪問控制策略，XX市政務(wù)云平臺(tái)要滿足與電子政務(wù)外網(wǎng)和互聯(lián)網(wǎng)的互聯(lián)互通，作為出口鏈路必須做冗余處理。切保證主干鏈路通信正常。XX市政務(wù)云平臺(tái)網(wǎng)絡(luò)接入建議通過裸光纖與XX電子政務(wù)外網(wǎng)統(tǒng)一出口及互聯(lián)網(wǎng)統(tǒng)一出口統(tǒng)一匯聚層互聯(lián)。出口匯聚示意圖如下：XX市政務(wù)云平臺(tái)電子政務(wù)外網(wǎng)資源池通過2條裸光纖與市電子政務(wù)統(tǒng)一出口網(wǎng)絡(luò)設(shè)備互聯(lián)實(shí)現(xiàn)云平臺(tái)與電子政務(wù)外網(wǎng)用戶的互聯(lián)互通，2XX市政務(wù)云平臺(tái)互聯(lián)網(wǎng)資源池提供多各接口(滿足10GE)與互聯(lián)網(wǎng)接入設(shè)備進(jìn)行互聯(lián)實(shí)現(xiàn)云平臺(tái)與互聯(lián)網(wǎng)用戶的互聯(lián)互通，向互聯(lián)網(wǎng)用戶提供政務(wù)業(yè)務(wù)服務(wù)?；ヂ?lián)網(wǎng)接入鏈路必須提供硬件防火墻設(shè)備保證平臺(tái)互聯(lián)網(wǎng)出口安全，支持多家運(yùn)營(yíng)商鏈路接入。實(shí)現(xiàn)平臺(tái)互聯(lián)網(wǎng)區(qū)域多路業(yè)務(wù)單位專網(wǎng)(部門業(yè)務(wù)專網(wǎng))業(yè)務(wù)統(tǒng)一接入XX市政務(wù)云平臺(tái)專網(wǎng)區(qū)，實(shí)現(xiàn)業(yè)務(wù)專網(wǎng)與政務(wù)云平臺(tái)的互聯(lián)互通，向?qū)＞W(wǎng)用戶提供政務(wù)業(yè)務(wù)服務(wù)。專網(wǎng)鏈路由業(yè)務(wù)單位自行負(fù)責(zé)，平臺(tái)提供統(tǒng)業(yè)務(wù)接入接口。(1)云基礎(chǔ)設(shè)施管理服務(wù)對(duì)云平臺(tái)運(yùn)行所需的基礎(chǔ)設(shè)施進(jìn)行管理，通過持續(xù)收集和管理數(shù)據(jù)中心的資產(chǎn)、資源以及各種設(shè)備的運(yùn)行狀態(tài)，通過分析對(duì)可能出現(xiàn)的問題進(jìn)行預(yù)警。其中數(shù)據(jù)中心相關(guān)基礎(chǔ)設(shè)施管理系統(tǒng)由云管理單位提供。(2)云資源運(yùn)行情況監(jiān)控服務(wù)云監(jiān)管平臺(tái)對(duì)云服務(wù)商的云資源(計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源等)統(tǒng)一監(jiān)控，包括資源使用情況、資源統(tǒng)計(jì)和資源考核等，如：虛擬機(jī)資源/存儲(chǔ)資源/物理機(jī)資源(查看已申請(qǐng)的虛擬信息：虛擬機(jī)名稱、描述、資源配置、操作系統(tǒng)、公網(wǎng)/私網(wǎng)IP地址、申請(qǐng)時(shí)間、虛擬機(jī)運(yùn)行(3)資源自助管理界面云平臺(tái)向終端用戶提供圖形化的統(tǒng)一管理界面，用戶使用統(tǒng)一登錄(4)使用量可計(jì)量計(jì)費(fèi)需求云管理平臺(tái)軟件需對(duì)用戶使用的資源如虛擬機(jī)、存儲(chǔ)、IP、負(fù)載均衡、虛擬網(wǎng)絡(luò)等資源的使用做到精細(xì)化管理并提供統(tǒng)計(jì)分析功能。且需(5)虛擬機(jī)熱遷移當(dāng)虛擬機(jī)所在的硬件設(shè)備維護(hù)升級(jí)時(shí)能夠?qū)崟r(shí)遷移到其它硬件設(shè)備上運(yùn)行，而虛擬機(jī)中的服務(wù)不應(yīng)停止；當(dāng)原硬件設(shè)備維護(hù)升級(jí)結(jié)束后可(6)動(dòng)態(tài)調(diào)整利用云計(jì)算本身靈活擴(kuò)展的優(yōu)勢(shì)，可以根據(jù)業(yè)務(wù)的負(fù)載情況靈活地根據(jù)電子政務(wù)云的現(xiàn)狀，云平臺(tái)資源方面要求能夠?qū)崿F(xiàn)按政府實(shí)際3.5云平臺(tái)安全需求云安全技術(shù)體系建設(shè)云安全技術(shù)方案涵蓋云基礎(chǔ)設(shè)施安全、云平臺(tái)安全、云應(yīng)用安全及用戶端安全，從邊界接入到主機(jī)安全防護(hù)，全方案的打造安全的云計(jì)算云安全管理方案包括信息安全法律法規(guī)、行業(yè)規(guī)范、流程管理、人員管理、威脅管理及合規(guī)性管理等，以等保安全標(biāo)準(zhǔn)為指導(dǎo)，針對(duì)信息云安全運(yùn)維體系從運(yùn)維管理角度建成政務(wù)云計(jì)算的安全體系，實(shí)現(xiàn)統(tǒng)一的數(shù)據(jù)保護(hù)、服務(wù)的訪問控制、數(shù)據(jù)安全審計(jì)策略以及安全應(yīng)急燈●網(wǎng)絡(luò)環(huán)境安全：安全保護(hù)設(shè)備和安全軟件的選型，按相關(guān)●底層結(jié)構(gòu)安全：必須保障虛擬化平臺(tái)架構(gòu)層面的安全。虛3.5.2關(guān)鍵技術(shù)需求安全監(jiān)控管理云安全管理與監(jiān)控對(duì)操作系統(tǒng)、虛擬化軟件、數(shù)據(jù)庫系統(tǒng)、應(yīng)用服務(wù)器、中間件及業(yè)務(wù)系統(tǒng)進(jìn)行全面的監(jiān)控，管理并分析所產(chǎn)生的安全事主機(jī)應(yīng)用監(jiān)管系統(tǒng)定位對(duì)網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用服務(wù)等一系列資源的不間斷監(jiān)控，為用戶提供面向應(yīng)用的監(jiān)測(cè)視圖、智能準(zhǔn)確的統(tǒng)一主機(jī)應(yīng)用監(jiān)管系統(tǒng)通過對(duì)應(yīng)用安全狀態(tài)的可視化、應(yīng)用安全健康度可量化、應(yīng)用安全監(jiān)測(cè)的預(yù)警化和應(yīng)用業(yè)務(wù)決策的數(shù)據(jù)化，能為用戶一云安全管理以安全策略為驅(qū)動(dòng)，以安全機(jī)制為核心，最終作用于安全部件，根據(jù)作用范圍分屬于不同的安全域。安全部件在運(yùn)行中產(chǎn)生的安全事件被提交到云安全管理控制臺(tái)，觸發(fā)響應(yīng)。整個(gè)管理流程是一個(gè)安全郵件安全郵件安全郵件安全郵件安全郵件安全郵件安全郵件安全郵件安全郵件安全郵件全安安全郵件安全郵件安全郵件安全郵件1.安全策略管理：對(duì)各種安全策略(云服務(wù)管理策略、數(shù)據(jù)安全策略、安全事件策略、身份管理策略、安全審計(jì)策略)進(jìn)行維護(hù)和管理，云安全管理與監(jiān)控的其它功能組件根據(jù)所制定的安全策略，執(zhí)行各自的2.服務(wù)安全管理：監(jiān)控云計(jì)算環(huán)境所提供的各類服務(wù)如IAAS、PAAS和SAAS,獲取各類服務(wù)的使用情況，監(jiān)聽云服務(wù)用戶對(duì)服務(wù)的請(qǐng)求和使3.數(shù)據(jù)安全管理：包括數(shù)據(jù)存儲(chǔ)加密、數(shù)據(jù)傳輸加密、數(shù)據(jù)共享安4.安全事件管理：監(jiān)控云基礎(chǔ)設(shè)施硬件包括計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源上報(bào)安全事件；支持多種告警方式，接收來自網(wǎng)絡(luò)、主機(jī)、虛擬環(huán)境等5.身份安全管理：負(fù)責(zé)用戶的安全接入認(rèn)證、用戶安全登錄以及單6.安全審計(jì)：包括網(wǎng)絡(luò)審計(jì)、應(yīng)用審計(jì)、操作系統(tǒng)審計(jì)、虛擬環(huán)境審計(jì)，記錄用戶對(duì)云服務(wù)的訪問使用行為信息，監(jiān)督和記錄系統(tǒng)運(yùn)行的8.云攻擊檢測(cè)：檢測(cè)來自內(nèi)部、外部的對(duì)云計(jì)算環(huán)境及服務(wù)的非法請(qǐng)求和攻擊，對(duì)檢測(cè)到攻擊產(chǎn)生安全事件并記錄攻擊信息，同時(shí)觸發(fā)應(yīng)事件管理與響應(yīng)協(xié)助用戶實(shí)現(xiàn)安全策略管理、安全組織管理、安全運(yùn)作管理，能實(shí)現(xiàn)管理層面和技術(shù)層面的職能，有效地將政務(wù)的策略管理、安全組織管理、安全運(yùn)作管理和安全技術(shù)框架結(jié)合在一起，保持一致性。其工作原壓壓事件收集安全信息事件關(guān)聯(lián).集中安全監(jiān)控中心事件收集器定制知識(shí)庫→加的風(fēng)險(xiǎn)管理中心：全面收集信息資產(chǎn)的漏洞和相關(guān)事件，通過關(guān)聯(lián)分析去除各種誤報(bào)，發(fā)現(xiàn)有用信息，給出級(jí)別度量。系統(tǒng)能夠自動(dòng)完成以往專家完成的風(fēng)險(xiǎn)計(jì)算工作，并自動(dòng)觸發(fā)任務(wù)單和響應(yīng)來降低風(fēng)險(xiǎn)，達(dá)風(fēng)險(xiǎn)管理以定期風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)，發(fā)現(xiàn)政務(wù)所面臨的安全風(fēng)險(xiǎn)，并開發(fā)適合信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)(簡(jiǎn)稱：ISRE)建立在工作流程標(biāo)準(zhǔn)化、技術(shù)水平專業(yè)化、經(jīng)驗(yàn)累積知識(shí)化之上，從業(yè)務(wù)采用定性和定量相結(jié)合的方法，幫助用戶識(shí)別信息化風(fēng)險(xiǎn)、分析信息化風(fēng)險(xiǎn)、處置信息化風(fēng)險(xiǎn)，從而建立以風(fēng)險(xiǎn)管理為中心的安全保障體系。物型安全風(fēng)險(xiǎn)評(píng)估圖(4)與相關(guān)法規(guī)和標(biāo)準(zhǔn)(如等級(jí)保護(hù)、ISO27000系列標(biāo)準(zhǔn))的符補(bǔ)丁管理補(bǔ)丁管理過程要遵循變更管理框架，并直接從漏洞管理程序得到反取最新補(bǔ)丁；補(bǔ)丁安全測(cè)試后，通過補(bǔ)丁分發(fā)管理中心服務(wù)器對(duì)網(wǎng)絡(luò)用戶進(jìn)行分發(fā)，并提醒各用戶，由用戶自行選擇安裝。合規(guī)性與安全審計(jì)提供的政務(wù)云和政務(wù)大數(shù)據(jù)平臺(tái)信息安全等級(jí)保護(hù)遵循國(guó)家等級(jí)保護(hù)相關(guān)政策和標(biāo)準(zhǔn)，完成三級(jí)等級(jí)測(cè)評(píng)和備案工作；針對(duì)平臺(tái)運(yùn)行的業(yè)務(wù)系統(tǒng)，采用等級(jí)化、系統(tǒng)化和標(biāo)準(zhǔn)化相結(jié)合的方法，提供從系統(tǒng)定級(jí)、安全規(guī)劃、安全設(shè)計(jì)與實(shí)施到安全運(yùn)維等信息安全等級(jí)保護(hù)全過程的服務(wù)，幫助用戶建立科學(xué)合理的信息安全保障體系，并符合國(guó)家相關(guān)政策和標(biāo)準(zhǔn)的要求。等級(jí)麥更局部調(diào)整1.信息安全等級(jí)保護(hù)管理要求CPCS以“適度防御、合理規(guī)劃設(shè)計(jì)”為基本思想，以用戶安全需求為導(dǎo)向，以信息安全等級(jí)保護(hù)相法規(guī)和標(biāo)準(zhǔn)為指導(dǎo)，幫助用戶建立健全信息安全保障體系，從而保證信息系統(tǒng)定級(jí)合理準(zhǔn)確、安全體系建設(shè)科系統(tǒng)定級(jí)安全規(guī)劃安全運(yùn)維信息安全等級(jí)保護(hù)咨詢服務(wù)設(shè)計(jì)與實(shí)施(1)系統(tǒng)定級(jí)咨詢服務(wù)服務(wù)內(nèi)容：采用訪談、研討會(huì)和文檔分析等手段，收集有關(guān)信息系依照國(guó)家有關(guān)管理規(guī)范、標(biāo)準(zhǔn)和信息系統(tǒng)的總體情況，進(jìn)行信息系統(tǒng)劃(2)等級(jí)保護(hù)評(píng)估服務(wù)服務(wù)內(nèi)容：采用基線分析和風(fēng)險(xiǎn)評(píng)估相關(guān)結(jié)合的方式，幫助用戶明確信息系統(tǒng)安全保護(hù)需求，形成安全需求分析報(bào)告；根據(jù)信息系統(tǒng)實(shí)際情況和信息安全等級(jí)保護(hù)基本要求，制定信息安全總體策略、系統(tǒng)安全(3)等級(jí)保護(hù)建設(shè)方案咨詢服務(wù)制定詳細(xì)的系統(tǒng)安全技術(shù)措施方案、安全管理措施方案和安全建設(shè)計(jì)劃(4)等級(jí)保護(hù)測(cè)評(píng)支持服務(wù)服務(wù)內(nèi)容：在等級(jí)保護(hù)運(yùn)行和維護(hù)階段，協(xié)助用戶準(zhǔn)備等級(jí)測(cè)評(píng)相2、用戶收益>幫助用戶開展信息安全等級(jí)保護(hù)相關(guān)工作，并符合國(guó)家相>根據(jù)用戶自身發(fā)展要求，幫助其進(jìn)行中長(zhǎng)期信息安全建設(shè)>幫助用戶建立動(dòng)態(tài)安全防御體系，持續(xù)改進(jìn)信息安全保障監(jiān)管部門的職責(zé)主要是從全局的角度來對(duì)于電子政務(wù)云的云服務(wù)的使用電子政務(wù)云平臺(tái)，搭建政務(wù)系統(tǒng)的各委辦局，特點(diǎn)是云服務(wù)的直接消費(fèi)方，通過平臺(tái)來申請(qǐng)、配置、使用并監(jiān)控云服務(wù)。(3)平臺(tái)運(yùn)營(yíng)商平臺(tái)運(yùn)營(yíng)商作為平臺(tái)的運(yùn)營(yíng)，維護(hù)各委辦局，監(jiān)管部門的賬戶、組織架構(gòu)體系；監(jiān)管服務(wù)商的技術(shù)接入及安全配置。保證各個(gè)服務(wù)與用戶服務(wù)提供商是特指IaaS服務(wù)商和PaaS服務(wù)商，對(duì)于IaaS服務(wù)商，提供主機(jī)、網(wǎng)絡(luò)等過平臺(tái)注冊(cè)接入，通過運(yùn)營(yíng)監(jiān)管平臺(tái)來配置所提供的服務(wù)，并且通過平臺(tái)的監(jiān)控、統(tǒng)計(jì)、計(jì)費(fèi)等服務(wù)來保證自身服務(wù)可控。云監(jiān)管平臺(tái)將建設(shè)在XX市政府指定地點(diǎn)，其所需的硬件和第三方軟件(包括但不限于服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)、安全、操作系統(tǒng)、數(shù)據(jù)庫、中間件等)由提供商按需規(guī)劃、配置，網(wǎng)絡(luò)需根據(jù)整體設(shè)計(jì)滿足與云平臺(tái)互通，同時(shí)需考慮系統(tǒng)安全的相關(guān)設(shè)備配置。根據(jù)對(duì)云監(jiān)管平臺(tái)的需求梳理，云監(jiān)管平臺(tái)需要具備統(tǒng)一門戶、服務(wù)考核、接口管理、資源監(jiān)管、運(yùn)營(yíng)管理、運(yùn)維管理、用戶管理、系統(tǒng)管理及安全管理等功能模塊組成。3.6.5監(jiān)管中心XX市政務(wù)云平臺(tái)需要為運(yùn)行在其上的各類政府部門業(yè)務(wù)系統(tǒng)提供等主流數(shù)據(jù)庫)、虛擬機(jī)等進(jìn)行備份?？筛鶕?jù)各類不同的業(yè)務(wù)應(yīng)用系統(tǒng)提供不同等級(jí)的RPO支持，范圍從0至24小時(shí)。數(shù)據(jù)備份分為本地備份和異地備份，本地備份利用生產(chǎn)中心內(nèi)的專用備份設(shè)備提供本地備份空間，用于數(shù)據(jù)的快速恢復(fù)；異地備份利用容災(zāi)中心內(nèi)的專用備份設(shè)備提供異地備份空間，用于重點(diǎn)業(yè)務(wù)在異地的業(yè)本地備份的數(shù)據(jù)包含所有業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫的結(jié)構(gòu)化數(shù)據(jù)和部分非結(jié)構(gòu)化數(shù)據(jù)。由于采用多副本的分布式存儲(chǔ)架構(gòu)，已經(jīng)能夠在一定程度上保障數(shù)據(jù)的可靠性，只需要將一些重點(diǎn)業(yè)務(wù)系統(tǒng)數(shù)據(jù)再次進(jìn)行備份。(1)容災(zāi)備份中心應(yīng)盡可能遠(yuǎn)離同一機(jī)構(gòu)主數(shù)據(jù)中心所在地。(2)災(zāi)備機(jī)房所在地區(qū)地質(zhì)穩(wěn)定，無地震、洪澇等災(zāi)害。(3)災(zāi)備機(jī)房周圍無強(qiáng)電磁波源，無易燃易爆品、無軍事目標(biāo)。(4)災(zāi)備機(jī)房需要滿足GB50174-2008《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》B級(jí)及以上標(biāo)準(zhǔn)和國(guó)家對(duì)于政務(wù)系統(tǒng)的要求進(jìn)行建設(shè)。(1)災(zāi)備系統(tǒng)的安全區(qū)域劃分應(yīng)該按照主生產(chǎn)機(jī)房的劃分方式來統(tǒng)(2)災(zāi)備機(jī)房的網(wǎng)絡(luò)是動(dòng)態(tài)可擴(kuò)展的彈性網(wǎng)絡(luò)，以滿足業(yè)務(wù)系統(tǒng)未(3)異地?cái)?shù)據(jù)容災(zāi)需要滿足GB/T20988-2007《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》要求，RPO(恢復(fù)點(diǎn)目標(biāo)):0至24小時(shí)；不同的3.8增量服務(wù)需求單元類型備注說明1以1臺(tái)物理服務(wù)器為單位以云服務(wù)商平臺(tái)所提供的通用計(jì)算節(jié)點(diǎn)物理機(jī)為參考，服務(wù)商應(yīng)充2高性能計(jì)算單元以1臺(tái)物理服務(wù)器為單位以云服務(wù)商平臺(tái)所提供的高性能3為單位，每1TB裸存儲(chǔ)容量以云服務(wù)商平臺(tái)所提供的FC-SAN4以1臺(tái)物理服務(wù)器為單位以云服務(wù)商平臺(tái)所提供的分布式5以滿足單臺(tái)云主機(jī)(虛擬機(jī))國(guó)產(chǎn)linux企業(yè)版以滿足單臺(tái)云主機(jī)(虛擬機(jī))以滿足一個(gè)應(yīng)用系統(tǒng)使用為1個(gè)單元配合XX市各級(jí)部門應(yīng)用系統(tǒng)遷移前的需求分析工作，對(duì)各部門應(yīng)用系3.9.4冗余擴(kuò)展需求(一)統(tǒng)一規(guī)范(二)成熟穩(wěn)定(三)實(shí)用先進(jìn)為避免投資浪費(fèi)，政務(wù)云平臺(tái)體系的設(shè)計(jì)不僅要求能夠滿足目前業(yè)務(wù)使用的需求，還必須具備一定的先進(jìn)性和發(fā)展?jié)摿?，使系統(tǒng)具有容量的擴(kuò)充與升級(jí)換代的可能，以便該項(xiàng)目在盡可能的時(shí)間內(nèi)與業(yè)務(wù)發(fā)展和(四)開放適用由于云計(jì)算平臺(tái)為各業(yè)務(wù)應(yīng)用系統(tǒng)提供支撐，必須充分考慮系統(tǒng)的(五)安全可靠本項(xiàng)目涉及用戶范圍廣，數(shù)量大，實(shí)時(shí)性強(qiáng)，設(shè)計(jì)時(shí)應(yīng)按照國(guó)家第三級(jí)安全等級(jí)保護(hù)規(guī)范，加強(qiáng)系統(tǒng)安全防護(hù)能力，確保方案實(shí)施完成后4.2.1總體架構(gòu)建設(shè)具備電子政務(wù)業(yè)務(wù)集中承載以及政務(wù)業(yè)務(wù)大數(shù)據(jù)分析處理能力的電子政務(wù)云，實(shí)現(xiàn)市政府各部門基礎(chǔ)設(shè)施共建共用、信息系統(tǒng)整體部為政府管理和公共服務(wù)提供有力支持，提高為民服務(wù)水平，提升政府現(xiàn)構(gòu)建市級(jí)各單位非涉密業(yè)務(wù)共享共用的ICT基礎(chǔ)設(shè)施平臺(tái)，各委辦提升信息化投入成效。未來政務(wù)云同時(shí)要承載交通、工業(yè)、食品安全應(yīng)急管理、環(huán)保、旅游、交易等多個(gè)行業(yè)業(yè)務(wù)云，為智慧政務(wù)、數(shù)字園企業(yè)信用、智慧工商等業(yè)務(wù)應(yīng)用系統(tǒng)提供數(shù)據(jù)及平臺(tái)支撐服務(wù)，并向平臺(tái)遷移市級(jí)部門已建并在互聯(lián)網(wǎng)、政務(wù)外網(wǎng)、非涉密業(yè)務(wù)專網(wǎng)上運(yùn)行的業(yè)務(wù)應(yīng)用，逐步將業(yè)務(wù)專網(wǎng)向電子政務(wù)外網(wǎng)融合，形成覆蓋全市的數(shù)據(jù)遂寧政務(wù)云平臺(tái)政務(wù)云平臺(tái)用戶資源申請(qǐng)NN1數(shù)據(jù)中心安全資意第一個(gè)“1”:1個(gè)統(tǒng)一運(yùn)營(yíng)監(jiān)管平臺(tái)；第二個(gè)“1”:1個(gè)云平臺(tái)；“N”:N個(gè)政府部門業(yè)務(wù)系統(tǒng)云平臺(tái)(N>=1),根據(jù)政府部門實(shí)際情況，制定技術(shù)標(biāo)準(zhǔn)，對(duì)現(xiàn)有部門條件較好的數(shù)據(jù)中心和設(shè)備進(jìn)行再利用，納入政務(wù)云統(tǒng)一管理或在云上建立縱向業(yè)務(wù)專有云平臺(tái)?！?”:為保障局委辦數(shù)據(jù)和業(yè)務(wù)的安全和連續(xù)性，規(guī)劃一個(gè)容災(zāi)備份中心，保障數(shù)據(jù)和業(yè)務(wù)的安全。4.2.2云平臺(tái)架構(gòu)與防護(hù)云服務(wù)星設(shè)備展遂寧市政務(wù)云平臺(tái)全金計(jì)，主要分為數(shù)據(jù)庫區(qū)、業(yè)務(wù)應(yīng)用區(qū)、存儲(chǔ)區(qū)、系統(tǒng)管理區(qū)、網(wǎng)絡(luò)出口→設(shè)備層設(shè)備層包括運(yùn)行政務(wù)云所需要的計(jì)算(服務(wù)器)、網(wǎng)絡(luò)、存儲(chǔ)等各→云服務(wù)層資源池IaaS服務(wù)：包括云主機(jī)、云存儲(chǔ)(云數(shù)據(jù)盤、對(duì)象存儲(chǔ))、云防火墻、云負(fù)載均衡和云網(wǎng)絡(luò)(租戶子網(wǎng)/IP/域名等)。IaaS的管理平臺(tái)不但能管理自己的虛擬化資源，還能由監(jiān)管平臺(tái)通過接口的方式進(jìn)的創(chuàng)新業(yè)務(wù)來滿足市民對(duì)政府信息公開及提升辦事效率的業(yè)務(wù)，但業(yè)務(wù)的推廣好壞除業(yè)務(wù)本身外，很大程度上取決于底層技術(shù)平臺(tái)的能力，比PaaS層服務(wù)擴(kuò)展能力，以支持政務(wù)信息化應(yīng)用向互聯(lián)網(wǎng)化演進(jìn)的需求。云架構(gòu)安全及防護(hù)樹開埋時(shí)盤過嘴時(shí)樹開埋時(shí)盤過嘴時(shí)物理安全、組織安全等部分。滿足國(guó)家安全等級(jí)保護(hù)3級(jí)的部署要求?！\(yùn)營(yíng)服務(wù)→運(yùn)營(yíng)管理運(yùn)營(yíng)管理為整個(gè)云服務(wù)平臺(tái)提供維護(hù)和管理的業(yè)務(wù)支撐，提供諸如根據(jù)XX市實(shí)際需求，結(jié)合云計(jì)算技術(shù)最新發(fā)展成果，XX市政務(wù)云政府辦公門戶(面向政府辦公人員)全政務(wù)數(shù)據(jù)公開全豆全整合遷移規(guī)劃設(shè)計(jì)實(shí)施全政府決策門戶系統(tǒng)安全保障體系費(fèi)量事或通意量事或通意4.2.3安全架構(gòu)等級(jí)保護(hù)政務(wù)云安全體系，從安全技術(shù)、安全管理以及安全服務(wù)三25070-2010),等級(jí)保護(hù)三級(jí)安全技術(shù)從安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心方面進(jìn)行構(gòu)建。等級(jí)保護(hù)安全體系如下圖金定聯(lián)及備t惠環(huán)境根據(jù)政務(wù)云平臺(tái)安全域的劃分，等級(jí)保護(hù)的幾個(gè)安全域安全防護(hù)手段可以對(duì)應(yīng)到政務(wù)云平臺(tái)的網(wǎng)絡(luò)分區(qū)中。由于本期項(xiàng)目本著適度安全的設(shè)計(jì)目標(biāo)，安全防護(hù)手段僅僅考慮政務(wù)云平臺(tái)自身的安全防護(hù)，因此不政務(wù)云的建設(shè)在解決政府部門間信息共享，實(shí)現(xiàn)業(yè)務(wù)部門之間的數(shù)云承載者、云審計(jì)者和云代理者五方面的參與者，每一個(gè)參與者是一個(gè)實(shí)體(人，或組織),在云計(jì)算中參與一個(gè)交易或過程和/或執(zhí)行任務(wù)。云的基礎(chǔ)設(shè)施，用戶自己承擔(dān)的安全責(zé)任越多，而云提供商承擔(dān)的安全責(zé)云計(jì)算下的安全問題包括：云服務(wù)的濫用和惡意使用、不安全的接口和API、惡意的內(nèi)部人員、共享技術(shù)問題、數(shù)據(jù)丟失或泄漏、不安全或不完整的數(shù)據(jù)刪除、賬號(hào)或服務(wù)劫持、用性和可靠性問題、治理與合規(guī)風(fēng)險(xiǎn)、可移植性風(fēng)險(xiǎn)、云提供商和客戶現(xiàn)有的安全系統(tǒng)整合風(fēng)險(xiǎn)等。對(duì)于電子政務(wù)系統(tǒng)來說，有其特殊的安全需求，主要包括：域間安全的數(shù)據(jù)交換、安全域的控制、標(biāo)準(zhǔn)可信時(shí)間源的獲取、信息傳遞過程數(shù)據(jù)安全應(yīng)用安全主機(jī)安全網(wǎng)絡(luò)安全物理安全云安全管理平臺(tái)及服務(wù)體系高級(jí)威脅滿足合規(guī)管理控制中心圖政務(wù)云安全設(shè)計(jì)思路第一步，先按照行政級(jí)別和行政區(qū)域進(jìn)行第一層系統(tǒng)的劃分，將整第二步：對(duì)每種電子政務(wù)云再按照系統(tǒng)功能和系統(tǒng)服務(wù)的對(duì)象進(jìn)行第二次系統(tǒng)的劃分，將第二層系統(tǒng)分解為具有不同功能、不同服務(wù)對(duì)象4.3.1云平臺(tái)技術(shù)選型虛擬化模塊。自Linux2.6.20版本起就作為一模塊被包含在linux內(nèi)支持熱插拔(CPU/塊設(shè)備、網(wǎng)絡(luò)設(shè)備等);支持實(shí)時(shí)遷移；支持對(duì)稱多處理(SMP);支持PCI設(shè)備直接分配和單根I/O虛擬化；支持內(nèi)核同KVM的優(yōu)勢(shì)在于它是Linux完全原生的全虛擬化解決方案，就是在Linux內(nèi)核中添加的一個(gè)虛擬機(jī)模塊，直接使用Linux內(nèi)核中已經(jīng)完善的進(jìn)程調(diào)度、內(nèi)存管理與硬件設(shè)備交互等部分，使Linux成為一個(gè)可以度很快，在任何場(chǎng)景下都可以直接和硬件進(jìn)行交互，而不需要修改客戶對(duì)系統(tǒng)級(jí)的定制化開發(fā)和改造。同時(shí)XX市政務(wù)云作為一個(gè)政務(wù)項(xiàng)目，具有高性能、穩(wěn)定，且無需修改客戶機(jī)系統(tǒng)。同時(shí)KVM本身作為業(yè)界主綜合考慮XX全市非涉密系統(tǒng)業(yè)務(wù)需求，應(yīng)該使用KVM作為底層虛擬化上萬臺(tái)云服務(wù)器的使用及運(yùn)營(yíng)，支撐了超過萬臺(tái)虛擬機(jī)。目前針對(duì)虛擬機(jī)生命周期的管理，實(shí)現(xiàn)了虛擬機(jī)鏡像管理，今后會(huì)在穩(wěn)定性、高性能以及服務(wù)器兼容性等方面做進(jìn)一步的優(yōu)化。讓政務(wù)云平臺(tái)虛擬機(jī)服務(wù)可云資源管理技術(shù)路線——openstackOpenStack是一個(gè)開源的云計(jì)算管理平臺(tái)，由幾個(gè)主要的組件組合起來完成具體工作。OpenStack支持幾乎所有類型的云環(huán)境，目標(biāo)是提加獨(dú)立功能的組件非常簡(jiǎn)單。有時(shí)候，不需要通讀整個(gè)OpenStack的代碼，只需要了解其接口規(guī)范及API使用，就可以輕松地添加一個(gè)新的模(2)組件配置較為靈活。OpenStack的組件安裝非常靈活?？梢匀慷佳b在一臺(tái)物理機(jī)上，也可以分散至多個(gè)物理機(jī)中，甚至可以把所有API。其他所有組件也是采種這種統(tǒng)一的規(guī)范。因此，基于OpenStack做二次開發(fā)，較為簡(jiǎn)單。而其他開源軟件則由于耦合性太強(qiáng)，導(dǎo)致添加OpenStack作為一個(gè)開源系統(tǒng)，不受任何一家單獨(dú)的公司控制。本身OpenStack是年輕的，但是他卻具有巨大的市場(chǎng)動(dòng)力，與此同時(shí)，很多大公司都在支持OpenStack發(fā)展。有了如此多公司的資源投入，OpenStack技術(shù)路線，支持幾乎所有類型云資源的管理，目標(biāo)是提供實(shí)施簡(jiǎn)單、可大規(guī)模擴(kuò)展、豐富、標(biāo)準(zhǔn)統(tǒng)一的云計(jì)算管理平臺(tái)。OpenStack通過各種互補(bǔ)的服務(wù)提供了基礎(chǔ)設(shè)施即服務(wù)(IaaS)的解決方案，每個(gè)服務(wù)提供API以進(jìn)行政務(wù)云服務(wù)平臺(tái)與監(jiān)管平臺(tái)的集成。XX市云平臺(tái)業(yè)務(wù)系統(tǒng)的門類眾多，情況復(fù)雜，云管理平臺(tái)需要能快速適應(yīng)不同的業(yè)務(wù)架構(gòu)和流程，這需要保證云管理平臺(tái)的各個(gè)模塊和組件能夠靈活調(diào)配，呈現(xiàn)出松耦合的特性，面對(duì)各類復(fù)雜場(chǎng)景井進(jìn)行快速的迭代開發(fā)。同時(shí)要具備豐富的功能，背后擁有龐大的開發(fā)社區(qū)，以滿足未來XX市云平臺(tái)信息化在發(fā)展中產(chǎn)生的新需求。綜合考慮XX市云平臺(tái)的業(yè)務(wù)特點(diǎn)以及對(duì)功能的需求，在云管理平臺(tái)的建設(shè)上，應(yīng)該使用開源松耦合的OpenStack來進(jìn)行部署。政務(wù)云管理平臺(tái)將如何實(shí)現(xiàn)將現(xiàn)有業(yè)務(wù)和關(guān)聯(lián)流程移植和更好的運(yùn)營(yíng)在私有云之上。幫助實(shí)現(xiàn)政府現(xiàn)有各類資源的分配，平臺(tái)的交互能力讓用戶更快熟悉私有云的應(yīng)用模式，構(gòu)建高可用的云應(yīng)用，優(yōu)化和適應(yīng)政務(wù)云之上的業(yè)務(wù)運(yùn)營(yíng)模式。同時(shí)基于OpenStack框架的重要性以及為保證平臺(tái)的穩(wěn)定性，廠商必須是OpenStack社區(qū)金牌會(huì)員或白金會(huì)員，具備云平臺(tái)技術(shù)優(yōu)化路線隨著政務(wù)云項(xiàng)目不斷深入，新業(yè)務(wù)及搬遷業(yè)務(wù)應(yīng)用的數(shù)量會(huì)以更大更加高效合理的使用計(jì)算資源會(huì)是一個(gè)非常重要的任務(wù)。在設(shè)備和帶寬基數(shù)很大的情況下，優(yōu)化資源使用效率和降低成本會(huì)變成政務(wù)云運(yùn)營(yíng)的核心目標(biāo)之一。政務(wù)云數(shù)據(jù)中心資源會(huì)變得越來越緊張。政務(wù)云平臺(tái)本身對(duì)政府業(yè)務(wù)的發(fā)展預(yù)測(cè)能力會(huì)較差，制定出長(zhǎng)遠(yuǎn)的、不變的數(shù)據(jù)中心資源規(guī)劃幾乎是不可能的。搬遷業(yè)務(wù)的需求將會(huì)非常的多，自動(dòng)化或自助化的異地隨著業(yè)務(wù)系統(tǒng)增多，支撐服務(wù)的異地部署能力也會(huì)受到考驗(yàn)。目前的遷移方式可能會(huì)受到未來某些目前無法預(yù)料的政府業(yè)務(wù)應(yīng)用需求的挑戰(zhàn)。要合理的解決這類問題，建立異地部署和遷移能力，會(huì)是面臨的一云客戶需求的更深層的能力出來。在功能上，也會(huì)提供更加多樣化的服2.在虛擬機(jī)服務(wù)中，更加安全的運(yùn)營(yíng)虛擬應(yīng)政務(wù)業(yè)務(wù)系統(tǒng)方面傾斜，同時(shí)自動(dòng)化和自助化的數(shù)據(jù)遷移與異地部署能力會(huì)進(jìn)一步的增強(qiáng)，比如提供co-processor的能力，讓業(yè)務(wù)邏輯可圖像處理等功能。實(shí)現(xiàn)全網(wǎng)的QoS控制，不但可以監(jiān)控所有流量，還能針對(duì)流量和客戶需求的優(yōu)先級(jí)，提供不同水平的SLA。最后，多個(gè)業(yè)務(wù)的數(shù)據(jù)分析能力，大規(guī)模計(jì)算能力，以及允許第三方提供個(gè)性化的數(shù)據(jù)4.3.2網(wǎng)絡(luò)技術(shù)選型考慮整個(gè)平臺(tái)業(yè)務(wù)需求整網(wǎng)采用SDN+VXLAN架構(gòu)部署，實(shí)現(xiàn)網(wǎng)絡(luò)層獨(dú)立的SDN控制器設(shè)備構(gòu)成控制層，底層網(wǎng)絡(luò)設(shè)備構(gòu)成了轉(zhuǎn)發(fā)云數(shù)據(jù)中心在業(yè)務(wù)平面通常采用vxlan的組網(wǎng)模式。在云數(shù)據(jù)中心大二層網(wǎng)絡(luò)考慮整個(gè)平臺(tái)業(yè)務(wù)部署需求整網(wǎng)采用使用大二層技術(shù)保證整個(gè)數(shù)據(jù)云數(shù)據(jù)中心下，隨著計(jì)算和存儲(chǔ)資源的資源池化，相應(yīng)的網(wǎng)絡(luò)也需要實(shí)現(xiàn)資源池化，使用大二層技術(shù)保證整個(gè)數(shù)據(jù)中心實(shí)現(xiàn)云化。使得管理員能夠根據(jù)不同業(yè)務(wù)的實(shí)際需求按需分配想要的網(wǎng)絡(luò)資源且不影響用大二層網(wǎng)絡(luò)基本上都是針對(duì)數(shù)據(jù)中心場(chǎng)景的，因?yàn)樗鼘?shí)際上就是為了解決數(shù)據(jù)中心的服務(wù)器虛擬化之后的虛擬機(jī)動(dòng)態(tài)遷移這一特定需求而出現(xiàn)的。對(duì)于普通的園區(qū)網(wǎng)之類網(wǎng)絡(luò)而言，大二層網(wǎng)絡(luò)并沒有特殊的價(jià)網(wǎng)絡(luò)統(tǒng)一管理，對(duì)接云平臺(tái)相應(yīng)的運(yùn)維壓力也會(huì)成倍增加，為了保證云數(shù)據(jù)中心能夠滿足業(yè)務(wù)頻繁更新的需求。需要能夠統(tǒng)一的對(duì)網(wǎng)絡(luò)進(jìn)行管理。為了使云數(shù)據(jù)中心能夠需要保證網(wǎng)絡(luò)這塊能通過SDN控制器同云平臺(tái)進(jìn)行對(duì)接管理。從而簡(jiǎn)化網(wǎng)絡(luò)健康狀態(tài)感知隨著網(wǎng)絡(luò)設(shè)備的增多，運(yùn)維人員很難一個(gè)個(gè)去收集現(xiàn)網(wǎng)中所有網(wǎng)絡(luò)設(shè)備的使用情況，也就很難能夠判斷哪些網(wǎng)絡(luò)設(shè)備是在超負(fù)荷運(yùn)行，哪些網(wǎng)絡(luò)設(shè)備存在風(fēng)險(xiǎn)，哪些網(wǎng)絡(luò)設(shè)備需要進(jìn)行升級(jí)換代。因此需要保證SDN控制器能夠感知整網(wǎng)網(wǎng)絡(luò)設(shè)備的將健康狀態(tài)，并能對(duì)網(wǎng)絡(luò)的健康情鏈路帶寬選擇核心接入互聯(lián)的網(wǎng)絡(luò)骨干區(qū)域，單鏈路需具備10G帶寬能力，未來根據(jù)業(yè)務(wù)擴(kuò)展需求可以平滑升級(jí)到50G單鏈路帶寬能力，滿足業(yè)務(wù)系統(tǒng)用對(duì)安全等保要求的特點(diǎn)對(duì)服務(wù)器進(jìn)行分區(qū)配置，滿足政務(wù)應(yīng)用對(duì)計(jì)算業(yè)務(wù)資源池、運(yùn)行管理資源池等功能區(qū)域集群。不同集群內(nèi)部資源可以其中業(yè)務(wù)資源池承載政務(wù)云大部分的業(yè)務(wù)系統(tǒng)，包括門戶網(wǎng)站、各委辦局管理系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等，以及數(shù)據(jù)交換平臺(tái)前置機(jī)、管理控制對(duì)于虛擬主機(jī)不能滿足的應(yīng)用，則采用物理服務(wù)器滿足。以下是針對(duì)不物理主機(jī)和虛擬機(jī)的不同節(jié)點(diǎn)配置全面覆蓋政務(wù)客戶的不同業(yè)務(wù)需對(duì)內(nèi)存容量、I0、擴(kuò)展性的要求都不高，且有節(jié)約空間和能源的應(yīng)用，采用虛擬主機(jī)來滿足；對(duì)于高性能計(jì)算，大容量存儲(chǔ)，大容量?jī)?nèi)存和高IO的需求，虛擬化不能滿足應(yīng)用需求，則采用4路X86服務(wù)器高性能物理主機(jī)滿足。本次政務(wù)云平臺(tái)的計(jì)算資源區(qū)建設(shè)，劃分為互聯(lián)網(wǎng)業(yè)務(wù)資源區(qū)和政務(wù)外網(wǎng)業(yè)務(wù)資源區(qū)，兩個(gè)區(qū)域之間采用了安全數(shù)據(jù)交換系統(tǒng)進(jìn)行隔離防護(hù)；二個(gè)區(qū)內(nèi)部計(jì)算資源池劃分為高性能計(jì)算區(qū)、通用性能計(jì)算區(qū)，每個(gè)區(qū)分別使用不同的服務(wù)器進(jìn)行承載。本次平臺(tái)計(jì)算資源池建設(shè)規(guī)模以現(xiàn)狀調(diào)研數(shù)據(jù)為基礎(chǔ)，信息系統(tǒng)平均硬件資源利用系數(shù)一般在0.65-0.70之間，本次資源利用率取平均系數(shù)0.68計(jì)算，并預(yù)留20%冗余空間；要求提供物理核≥1081核，內(nèi)存容量≥11596G的計(jì)算能力。同時(shí)考慮省內(nèi)各市州政務(wù)云規(guī)模、經(jīng)濟(jì)總量等實(shí)際因素，我市政務(wù)云計(jì)算資源池相關(guān)資源量具體測(cè)算過程如下：內(nèi)存容量評(píng)估規(guī)模=14210*0.68*1.2=11596G(取整)分布式存云資源池區(qū).其要辦局VDo。通用計(jì)算區(qū)云資源區(qū)該區(qū)域?yàn)樘摂M化資源池，包括高性能計(jì)算區(qū)、通用計(jì)算區(qū)、FC-SAN高性能計(jì)算區(qū)：該資源區(qū)的CPU處理能力高、內(nèi)存容量需求大，要求高規(guī)格虛擬機(jī)及高規(guī)格性能預(yù)留的業(yè)務(wù)，如：中間件服務(wù)器，應(yīng)用服通用計(jì)算區(qū)：該區(qū)域存放通用業(yè)務(wù)，虛擬機(jī)資源可根據(jù)業(yè)務(wù)量動(dòng)態(tài)調(diào)整，不需要資源預(yù)留，如普通業(yè)務(wù)系統(tǒng)，數(shù)據(jù)備份、文件共享等；該FC-SAN存儲(chǔ)：設(shè)計(jì)為高端集中式存儲(chǔ)池，用來承載對(duì)IOPS要求較分布式存儲(chǔ)：設(shè)計(jì)為分布式存儲(chǔ)，用來承載如：虛擬機(jī)系統(tǒng)、虛擬特點(diǎn)是對(duì)存儲(chǔ)的容量要求高；在政務(wù)云建設(shè)初期，為節(jié)約存儲(chǔ)資源，可從分布式存儲(chǔ)區(qū)劃分專門區(qū)域進(jìn)行關(guān)鍵業(yè)務(wù)數(shù)據(jù)備物理托管區(qū)服務(wù)器業(yè)務(wù)，或OracleRAC環(huán)境等不適合云供至少2個(gè)標(biāo)準(zhǔn)服務(wù)器機(jī)柜存放物理托管設(shè)備。備份資源區(qū)政務(wù)云本期建設(shè)通過使用備份工具進(jìn)行業(yè)務(wù)數(shù)據(jù)備份，數(shù)據(jù)存放在分布政務(wù)云通過使用大二層的網(wǎng)絡(luò)技術(shù)及SDN等技術(shù)將整個(gè)資源池劃分不同的虛擬數(shù)據(jù)中心(VDC),供各個(gè)委辦局使用，不僅能隔離不同委提供一種可隨時(shí)自助獲取、可彈性伸縮的云服務(wù)器，幫助租戶打造可靠、安全、靈活、高效的應(yīng)用環(huán)境，確保服務(wù)持久穩(wěn)定運(yùn)行，提升運(yùn)支持指定云服務(wù)器類型和規(guī)格創(chuàng)建云主機(jī)，支持根據(jù)預(yù)制的多種類型的云服務(wù)器類型供選擇，針對(duì)不同的應(yīng)用場(chǎng)景，可以選擇不同規(guī)格的支持使用公共鏡像發(fā)放VM,公共鏡像由系統(tǒng)管理員制作并注冊(cè)到系彈性云服務(wù)器對(duì)應(yīng)提供通用性能計(jì)算池，用2路14核或以上配置。本次平臺(tái)規(guī)劃部署24臺(tái)通用性能計(jì)算服務(wù)器。5.1.2裸金屬服務(wù)器為用戶提供專屬的物理服務(wù)器，提供卓越的計(jì)算性能，滿足核用對(duì)高性能及穩(wěn)定性的需求，結(jié)合了傳統(tǒng)托管服務(wù)器的穩(wěn)定性與云中資支持將物理服務(wù)器定義成服務(wù)目錄供用戶申請(qǐng)使用，用戶可以根據(jù)裸金屬服務(wù)器對(duì)應(yīng)提供高性能計(jì)算池，用4路14核或以上配置。次平臺(tái)規(guī)劃部署8臺(tái)高性能服務(wù)器。5.1.3計(jì)算資源池細(xì)化方案計(jì)算資源池化政務(wù)云服務(wù)是基于虛擬化技術(shù)，將單個(gè)服務(wù)器硬件虛擬成多個(gè)虛擬機(jī)VM,其目的也是在于提高服務(wù)器資源的利用率。但是，由于單個(gè)服務(wù)器的CPU、內(nèi)存、硬盤資源顆粒度較小，因此在虛擬化應(yīng)用中，經(jīng)常出更多的情況是硬盤容量存在大量空閑。而服務(wù)器資源池化可以更好的解決上述問題。現(xiàn)在的虛擬化云服務(wù)是一虛多的能力，而未來的服務(wù)器資該計(jì)算資源池規(guī)劃4臺(tái)裸金屬服務(wù)器以及FC-SAN存儲(chǔ)組成，放入電子政務(wù)外網(wǎng)區(qū)為政務(wù)外網(wǎng)及非涉密政務(wù)內(nèi)網(wǎng)的高性能業(yè)務(wù)提供服務(wù)。高性能計(jì)算資源池服務(wù)器為4路14核或以上配置。該計(jì)算資源池規(guī)劃12臺(tái)彈性云服務(wù)器以及分布式云存儲(chǔ)服務(wù)器提供服務(wù)。通用計(jì)算資源池服務(wù)器為2路14核或以上配置。該計(jì)算資源池規(guī)劃4臺(tái)裸金屬服務(wù)器以及分FC-SAN存儲(chǔ)組成，為4路14核或以上配置。該計(jì)算資源池規(guī)劃12臺(tái)彈性云服務(wù)器以及分布式云存儲(chǔ)服務(wù)器服務(wù)器為2路14核或以上配置。政務(wù)云管理平臺(tái)對(duì)4個(gè)計(jì)算資源池統(tǒng)一進(jìn)行控制與資源調(diào)度、運(yùn)更新任務(wù)狀態(tài)更新任務(wù)狀態(tài)接口層CMEM投遞消息到下一個(gè)隊(duì)列資源可以獨(dú)立分配，計(jì)算資源池關(guān)鍵算法在于對(duì)cpu和內(nèi)存的管理。1.同一個(gè)應(yīng)用的不同虛擬機(jī)盡量分布于不同的物理服而導(dǎo)致的性能問題，同一臺(tái)虛擬機(jī)只會(huì)在一個(gè)node分配虛擬■虛擬機(jī)無需停機(jī)，用戶業(yè)務(wù)不中斷■資源整理提高物理機(jī)資源利用率■有效解決硬件批次，內(nèi)核潛在問題帶來的故障計(jì)算資源池關(guān)鍵技術(shù)做到1分鐘內(nèi)交付主機(jī)。點(diǎn)，防止數(shù)據(jù)誤刪除電子政務(wù)對(duì)存儲(chǔ)資源池有多樣化的需求，主要包括各委辦局業(yè)務(wù)系其中各委辦局核心業(yè)務(wù)存儲(chǔ)、災(zāi)備生產(chǎn)存儲(chǔ)、數(shù)據(jù)共享交換平臺(tái)基信息中心公文/圖片存儲(chǔ)、數(shù)據(jù)共享交換平臺(tái)公文/圖片存儲(chǔ)、大數(shù)件資源利用系數(shù)一般在0.65-0.70之間，本次資源利用率取平均系數(shù)單位高性能存儲(chǔ)托管的需求，存儲(chǔ)資源池建設(shè)規(guī)模縮減一半，并按5.2.1分布式存儲(chǔ)資源池方案建立大規(guī)模塊存儲(chǔ)資源池，提供標(biāo)準(zhǔn)的塊存儲(chǔ)數(shù)據(jù)訪問接口(SCSI和iSCSI等)。支持各種虛擬化平臺(tái)和各種業(yè)務(wù)應(yīng)用(如SQL、Web、行業(yè)應(yīng)用等等);可以和各種云平臺(tái)集成，按需分配存儲(chǔ)資源。另一類是在企業(yè)關(guān)鍵IT基礎(chǔ)設(shè)施中，通過Infiniband進(jìn)行服務(wù)器得到極大的提高。又保留了分布式存儲(chǔ)的高擴(kuò)展性基因，從而支持政務(wù)云關(guān)鍵數(shù)據(jù)庫、關(guān)鍵應(yīng)用的使用，解決這些關(guān)鍵應(yīng)用的大數(shù)據(jù)量需求。分布式存儲(chǔ)節(jié)點(diǎn)規(guī)劃使用16臺(tái)。對(duì)于政務(wù)云數(shù)據(jù)庫關(guān)鍵業(yè)務(wù)，基于性能以及可靠性考慮，推薦使用FC-SAN存儲(chǔ)的光纖通道網(wǎng)絡(luò)是基于流控制的封閉網(wǎng)絡(luò)，儲(chǔ)的以太網(wǎng)是基于CSMA/CD機(jī)制來傳輸，因此FC-SAN存儲(chǔ)網(wǎng)絡(luò)的傳輸現(xiàn)的，因此性能高于IPSAN,例如服務(wù)器端通過帶有ASIC芯片的專用HBA來進(jìn)行數(shù)據(jù)信息處理。FC-SAN存儲(chǔ)節(jié)點(diǎn)規(guī)劃使用2套。5.2.3存儲(chǔ)資源池細(xì)化方案分布式存儲(chǔ)規(guī)劃>分布式塊存儲(chǔ)塊存儲(chǔ)主要為虛擬機(jī)或者物理機(jī)提供裸設(shè)備支撐，可用來存放虛擬機(jī)系統(tǒng)，亦可做數(shù)據(jù)盤或者通過iscisi協(xié)議擴(kuò)充物理機(jī)存儲(chǔ)空間>對(duì)象存儲(chǔ)的功能對(duì)象存儲(chǔ)主要通過restful的借口暴露出來，供外部調(diào)用，為網(wǎng)盤16臺(tái)分布存儲(chǔ)服務(wù)器，其中電子政務(wù)外網(wǎng)區(qū)放置10臺(tái)、互聯(lián)網(wǎng)區(qū)放置6臺(tái)分布式存儲(chǔ)服務(wù)器，由六臺(tái)控制節(jié)點(diǎn)服務(wù)器進(jìn)行控制。分布式存儲(chǔ)提供三副本和兩副本兩會(huì)總存儲(chǔ)方式，以滿足對(duì)數(shù)據(jù)可高擴(kuò)展性：使用普通x86服務(wù)器，支持10-1000臺(tái)服務(wù)器，支分布式存儲(chǔ)技術(shù)client,底層硬件設(shè)備使用x86server得到廉價(jià)大容量存儲(chǔ)池。存儲(chǔ)的位置，份數(shù)等，這些信息被記錄到metadata.mfs中。當(dāng)該文件會(huì)定期從master上將metadata、changelog、sessionChunkserver云存儲(chǔ)數(shù)據(jù)存儲(chǔ)保存，文件以chunk大小存儲(chǔ)。每chunk最大為64M,小于64M的該chunk的大小即為該文件大小，超過64M的文件將被均分，每一份(chunk)的大小以不超過64M為原則。文為1時(shí)，表示只有一份copy,這份copy會(huì)被隨機(jī)存到一臺(tái)chunkserver上，當(dāng)goal的數(shù)大于1時(shí)，每一份copy會(huì)被分別保存到每一個(gè)數(shù)，一般設(shè)為大于1份，這樣如果有一臺(tái)chukserver壞掉后，至少還終保持原有的copy數(shù)，而如果goal設(shè)為chunkserver壞掉，之后又重新加入回來，copy數(shù)將始終是0,不會(huì)恢復(fù)到之前的1個(gè)copy。Chunkserver上的剩余存儲(chǔ)空間要大于1GB,新的數(shù)據(jù)才會(huì)被允許寫入，否則會(huì)出現(xiàn)NospaceleftClient客戶端通過內(nèi)核加載的FUSE模塊，通過連接master,將塊是外加的模塊，當(dāng)系統(tǒng)重啟后，需要執(zhí)行modprobefuse,將其加載磁盤陣列以16個(gè)8GB光纖接入高性能計(jì)算資源池，提供大于96G存儲(chǔ)緩存吞吐量，并配置14塊1.92TSSD和76塊1.8T10KSAS(2.5)。使用兩臺(tái)光纖交換機(jī)組成標(biāo)準(zhǔn)FC集中架構(gòu)。電子政務(wù)外網(wǎng)高性能區(qū)和互聯(lián)網(wǎng)高計(jì)，管理員只需要維護(hù)少量的存儲(chǔ)資源池，所有的RAID配置在創(chuàng)建存儲(chǔ)池時(shí)自動(dòng)配置完成，同時(shí)，系統(tǒng)會(huì)自動(dòng)根據(jù)制定的策略來智能管理和5.3.1計(jì)算服務(wù)虛擬機(jī)物理機(jī)運(yùn)營(yíng)環(huán)境5.3.2存儲(chǔ)服務(wù)標(biāo)準(zhǔn)版塊存儲(chǔ)標(biāo)準(zhǔn)版塊存儲(chǔ)(云存儲(chǔ))基于MFS系統(tǒng)構(gòu)建，能夠提供方便快捷、高性能塊存儲(chǔ)5.3.3數(shù)據(jù)庫服務(wù)5.3.4網(wǎng)絡(luò)服務(wù)5.3.5高級(jí)服務(wù)負(fù)載均衡5.4.1總體網(wǎng)絡(luò)拓?fù)潆娮诱?wù)外網(wǎng)區(qū)核心層負(fù)責(zé)匯聚接入層流量，包括業(yè)務(wù)數(shù)據(jù)流量、存儲(chǔ)數(shù)據(jù)流量及管理數(shù)據(jù)流量。同時(shí)提供對(duì)業(yè)務(wù)的控制和優(yōu)化，如安全控制、負(fù)載分擔(dān)核心層采用4臺(tái)核心交換機(jī)構(gòu)建，電子政務(wù)外網(wǎng)區(qū)與互聯(lián)網(wǎng)區(qū)各放便于滿足后續(xù)業(yè)務(wù)擴(kuò)展需求。核心交換機(jī)支持一虛多技術(shù)，可以提升設(shè)電子政務(wù)外網(wǎng)區(qū)及互聯(lián)網(wǎng)區(qū)核心交換機(jī)通過10GE鏈路接入到數(shù)據(jù)交換區(qū)，通過數(shù)據(jù)交換平臺(tái)進(jìn)行兩個(gè)區(qū)域之間的業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)，通過數(shù)接入層負(fù)責(zé)接入各種服務(wù)器、主機(jī)、存儲(chǔ)等設(shè)備，并根據(jù)業(yè)務(wù)需求提供多種安全及QoS策略。接入層交換機(jī)支持高密度10GE端口接入，構(gòu)建二層無環(huán)網(wǎng)絡(luò)架構(gòu)，滿足虛擬機(jī)二層遷移需求，支持服務(wù)器的雙活電子政務(wù)外網(wǎng)區(qū)接入層：2臺(tái)業(yè)務(wù)接入交換機(jī)、2臺(tái)業(yè)務(wù)管理接入交換機(jī)，1臺(tái)硬件管理接入交換機(jī)，2臺(tái)存儲(chǔ)接入交換機(jī)；互聯(lián)網(wǎng)區(qū)接入層：2臺(tái)業(yè)務(wù)接入交換機(jī)、2臺(tái)業(yè)務(wù)管理交換機(jī)，1臺(tái)硬件管理接入交換機(jī)，2臺(tái)存儲(chǔ)接入交換機(jī)；政務(wù)專線接入層：政務(wù)外網(wǎng)專線接入2臺(tái)交換機(jī)；數(shù)據(jù)中心管理區(qū)：2臺(tái)管理接入交換機(jī)；5.4.4專網(wǎng)接入?yún)^(qū)網(wǎng)絡(luò)建設(shè)各外聯(lián)單位分別通過專網(wǎng)接入不同的云資源池區(qū)域。外聯(lián)單位和X術(shù)云計(jì)算服務(wù)安全能力要求》6.2邊界防護(hù)等相關(guān)標(biāo)準(zhǔn)要求的功能。政務(wù)云專網(wǎng)接入系統(tǒng)，設(shè)備主要包括2臺(tái)外聯(lián)接入交換機(jī)和2臺(tái)防火墻。各外聯(lián)單位根據(jù)需要分別通過專網(wǎng)接入不同的云資源池區(qū)域。外專網(wǎng)接入?yún)^(qū)邊界部署兩臺(tái)防火墻設(shè)備，外聯(lián)單位各業(yè)務(wù)專網(wǎng)分別接部署訪問控制策略，只允許外聯(lián)單位按照業(yè)務(wù)需求與政務(wù)云電子政具備攻擊檢測(cè)和審計(jì)功能，對(duì)網(wǎng)絡(luò)訪問進(jìn)行檢測(cè)、審計(jì)；對(duì)發(fā)生的外聯(lián)單位可能存在網(wǎng)段重復(fù)的情況，需要能夠有效的區(qū)別(通過能夠配置、修改、控制外聯(lián)單位到市政務(wù)云的訪問策略，做到只放根據(jù)以上需求和現(xiàn)有的設(shè)備，本著可靠，安全，可擴(kuò)展的原則，采在數(shù)據(jù)包離開自己的外聯(lián)路由器時(shí)，到達(dá)政務(wù)云匯聚接入并進(jìn)行VLAN5.4.5網(wǎng)絡(luò)分區(qū)建設(shè)(1)業(yè)務(wù)網(wǎng)業(yè)務(wù)網(wǎng)主要由業(yè)務(wù)接入交換機(jī)及核心交換機(jī)組成，由安全設(shè)備提供安全控制及流量?jī)?yōu)化。所有業(yè)務(wù)數(shù)據(jù)經(jīng)過直連業(yè)務(wù)接入交換機(jī)轉(zhuǎn)發(fā)到核再由核心交換機(jī)通過業(yè)務(wù)需求進(jìn)行統(tǒng)一轉(zhuǎn)發(fā)到電子政務(wù)外網(wǎng)區(qū)、互聯(lián)網(wǎng)(2)存儲(chǔ)網(wǎng)直連接入，由光纖交換機(jī)負(fù)責(zé)FC-SAN磁陣與高性能服務(wù)器的連接。(3)管理網(wǎng)管理網(wǎng)主要由管理接入交換機(jī)負(fù)責(zé)對(duì)本區(qū)域內(nèi)所有管理數(shù)據(jù)進(jìn)行接入交換機(jī)，事項(xiàng)對(duì)區(qū)域內(nèi)的網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)等資源及硬件設(shè)備進(jìn)行統(tǒng)同時(shí)設(shè)置硬件管理接入交換機(jī)，通過獨(dú)立于數(shù)據(jù)網(wǎng)絡(luò)之外通道對(duì)網(wǎng)絡(luò)設(shè)備(路由器、交換機(jī)、防火墻等),服務(wù)器設(shè)備及存儲(chǔ)設(shè)5.4.6網(wǎng)絡(luò)出口建設(shè)本次電子政務(wù)外網(wǎng)區(qū)核心交換機(jī)通過10GE上行鏈路接入到電子政互聯(lián)網(wǎng)區(qū)出口帶寬為1.2Gbps。5.4.7政務(wù)云大二層網(wǎng)絡(luò)>彈性能力a)橫向彈性—用戶從10臺(tái)虛擬機(jī)擴(kuò)容到100臺(tái)虛擬機(jī)b)縱向彈性—虛擬機(jī)配置從1核1G升級(jí)到4核8G,如果當(dāng)前母機(jī)換機(jī)管控下子網(wǎng)網(wǎng)段內(nèi)),要做不變ip的虛擬機(jī)遷移，只能在相同交政務(wù)云的大二層網(wǎng)絡(luò)拓?fù)涫疽鈭D如下所示：Nru政務(wù)云大二層網(wǎng)絡(luò)分作核心交換區(qū)和接入交換區(qū)兩層，保證虛擬機(jī)資源和物理機(jī)資源能在統(tǒng)一VLAN里。具體拓?fù)浣Y(jié)構(gòu)圖如下所示：臺(tái)業(yè)務(wù)及存儲(chǔ)接入交換機(jī)(10G接入)和1臺(tái)管理接入交換機(jī)(1G)機(jī)互為冗余，保證核心網(wǎng)絡(luò)交換的可用性。接入交換機(jī)和核心交換機(jī)均支持VxLAN技術(shù)，在該網(wǎng)絡(luò)環(huán)境中政務(wù)云虛擬機(jī)可以不依賴于物理硬件，靈活的在物理機(jī)之間遷移。政務(wù)云網(wǎng)絡(luò)中傳輸，到了接入交換機(jī)后把UDP頭解封裝，然后把原始報(bào)文發(fā)送給OuterUDPHea藍(lán)色的是原始報(bào)文。綠色的是VXLAN頭。橙色的是封裝時(shí)新加的二層三層頭。OuterUDPHeader中的DPORT是新申請(qǐng)的VXLANPort,以用來識(shí)別VXLAN報(bào)文；VXLANHeader中只有一個(gè)24位的VXLANNetwork5.4.8政務(wù)云虛擬數(shù)據(jù)中心VDC為實(shí)現(xiàn)各個(gè)委辦局的業(yè)務(wù)及網(wǎng)絡(luò)邏輯隔離，以及順利將各委辦局的原有系統(tǒng)順利遷移至政務(wù)云，滿足政府客戶原有系統(tǒng)的遠(yuǎn)程接入、移動(dòng)辦公的接入已有混合數(shù)據(jù)中心的建設(shè)，政務(wù)云服務(wù)平臺(tái)引入虛擬數(shù)據(jù)中心VDC的概念。政務(wù)云虛擬數(shù)據(jù)中心的核心技術(shù)為基于SDN的虛擬專用網(wǎng)絡(luò)(VPC),通過對(duì)各局委辦系統(tǒng)劃分VDC,局委辦內(nèi)部門劃分VPC,保證系統(tǒng)之間的隔離。不論部門集群是物理隔離還是邏輯隔離，網(wǎng)絡(luò)上都是通過VPC進(jìn)VPC1VP21VPCn分布式存儲(chǔ)FC-SAN存儲(chǔ)計(jì)算>虛擬網(wǎng)絡(luò)隔離虛擬網(wǎng)絡(luò)隔離用于幫助局委辦在云中虛擬出一個(gè)私有的應(yīng)用運(yùn)行環(huán)境，局委辦申請(qǐng)VPC以后，可以自助配置VPC中的子網(wǎng)，可以在VPC內(nèi)環(huán)境，局委辦可以規(guī)劃自己的網(wǎng)絡(luò)地址，不同的VPC之間的地址可以重>獨(dú)立資源管理局委辦根據(jù)自己的業(yè)務(wù)需要申請(qǐng)VPC業(yè)務(wù)，子網(wǎng)如果指定了IP段，系統(tǒng)會(huì)自動(dòng)為虛擬機(jī)在IP段內(nèi)通過DHCP的方式分配IP地址。管理員在定義服務(wù)目錄時(shí)，可以定義VPC中最大子網(wǎng)數(shù)，局委辦自助配置VPCXX市其它委辦局的辦公人員、移動(dòng)辦公人員及原有數(shù)據(jù)中心均可通過VPN的方式(專線或互聯(lián)網(wǎng))接入政務(wù)云服務(wù)平臺(tái)各自的虛擬數(shù)據(jù)中Usrr圖政務(wù)云服務(wù)平臺(tái)與已有數(shù)據(jù)中心混合架構(gòu)VPC內(nèi)業(yè)務(wù)相關(guān)配置完成后，政府客戶通過在前臺(tái)提供接口輸入usergw的設(shè)備型號(hào)及廠商信息等獲取usergw端的配置文件，政府客戶政務(wù)云平臺(tái)總體安全體系架構(gòu)網(wǎng)絡(luò)安全安全域隱離安空量盤設(shè)施安全資源池提供的安全運(yùn)行防護(hù)包括網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、安全管理多個(gè)方面，政務(wù)云平臺(tái)的安全建設(shè)需要使安全防護(hù)能力能夠根據(jù)云安全防護(hù)需求靈活調(diào)度，全面滿足政府部門應(yīng)用系統(tǒng)安全運(yùn)行對(duì)云平臺(tái)提供平臺(tái)級(jí)的安全服務(wù)，以滿足等保三級(jí)的預(yù)警、防護(hù)、層面類別方案物理和環(huán)境安全復(fù)用云平臺(tái)等保測(cè)評(píng)結(jié)論網(wǎng)絡(luò)和通信安全網(wǎng)絡(luò)架構(gòu)通信傳輸邊界防護(hù)VPC、防火墻、安全組、NAT網(wǎng)關(guān)訪問控制防火墻、安全組入侵防范Web應(yīng)用防火墻、網(wǎng)頁防篡改、主機(jī)防護(hù)惡意代碼防范主機(jī)防護(hù)、應(yīng)用防火墻安全審計(jì)日志審計(jì)集中管控堡壘機(jī)設(shè)備和計(jì)算身份鑒別堡壘機(jī)安全訪問控制堡壘機(jī)安全審計(jì)堡壘機(jī)數(shù)據(jù)庫審計(jì)入侵防范主機(jī)防護(hù)惡意代碼防范主機(jī)防護(hù)資源控制監(jiān)控應(yīng)用與數(shù)據(jù)安全身份鑒別應(yīng)用系統(tǒng)、堡壘機(jī)訪問控制安全審計(jì)軟件容錯(cuò)資源控制數(shù)據(jù)完整性應(yīng)用防火墻、網(wǎng)頁防篡改數(shù)據(jù)保密性應(yīng)用系統(tǒng)開發(fā)商解決數(shù)據(jù)備份恢復(fù)本地備份以及異地容災(zāi)剩余信息保護(hù)主要功能需要應(yīng)用系統(tǒng)開發(fā)商5.5.3云平臺(tái)安全服務(wù)體系建設(shè)個(gè)維度構(gòu)建。根據(jù)《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》(GB/T教地分教地分析評(píng)估方重設(shè)計(jì)a人的妻金參想要的眼壁花期計(jì)R環(huán)最定級(jí)及備案評(píng)安全技術(shù)的設(shè)計(jì)目標(biāo)，安全防護(hù)手段僅僅考慮政務(wù)云平臺(tái)自身的安全防護(hù)，因此數(shù)據(jù)歸屬關(guān)系不變，安全管理標(biāo)準(zhǔn)不變”原則，由業(yè)務(wù)所屬部門承擔(dān)信息系統(tǒng)和數(shù)據(jù)資源的安全管理責(zé)任，負(fù)責(zé)牽頭遷移工作，云服務(wù)商承擔(dān)信息系統(tǒng)部署時(shí)，各部門應(yīng)用系統(tǒng)應(yīng)在XX政務(wù)云測(cè)試平臺(tái)上開展壓力測(cè)試和內(nèi)部測(cè)試等上線試運(yùn)行準(zhǔn)備工作，云服務(wù)商與信息系統(tǒng)所屬部門共同認(rèn)可試運(yùn)行結(jié)果后，才能實(shí)施系統(tǒng)割接。系統(tǒng)割接后，各部門通過云監(jiān)管平臺(tái)對(duì)所屬信息系統(tǒng)實(shí)施在線調(diào)度、管理和監(jiān)控，要密切跟蹤了解系統(tǒng)在政務(wù)云上的運(yùn)行情況，原系統(tǒng)至少保留3個(gè)月以上，作為應(yīng)急回退措施，上云后6個(gè)月內(nèi)完成安全等保測(cè)評(píng)。5.5.4政務(wù)云平臺(tái)安全域劃分方案本方案依據(jù)政務(wù)云平臺(tái)及整體應(yīng)用業(yè)務(wù)需求進(jìn)行網(wǎng)絡(luò)安全域的劃分設(shè)計(jì)，同時(shí)對(duì)每一個(gè)劃分的區(qū)域分別進(jìn)行風(fēng)險(xiǎn)分析、依據(jù)安全工程理論■總體安全域的劃分要基于應(yīng)用的范圍，以業(yè)務(wù)系統(tǒng)為安全域的組■安全域是整體安全體系建設(shè)中的一環(huán)，安全域的劃分應(yīng)實(shí)現(xiàn)整體本次政務(wù)云平臺(tái)根據(jù)安全域的設(shè)計(jì)原則劃分為：核心域、接入域2電子政務(wù)外網(wǎng)區(qū)域電子政務(wù)外網(wǎng)區(qū)域與互聯(lián)網(wǎng)區(qū)域的安全邊界必須保障數(shù)據(jù)物理隔互聯(lián)網(wǎng)區(qū)域(互聯(lián)網(wǎng))5.5.5政務(wù)云平臺(tái)安全建設(shè)方案通過在政務(wù)云平臺(tái)出口部署防火墻、流量監(jiān)控、漏洞掃描、防入侵等安全防護(hù)設(shè)備，建立起一套完整的網(wǎng)絡(luò)安全防護(hù)體系，對(duì)網(wǎng)絡(luò)邊界處提供訪問控制、病毒過濾、防攻擊、防入侵、防篡改、內(nèi)外網(wǎng)數(shù)據(jù)安全抗DDoS等，根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級(jí)，同時(shí)防火墻具備對(duì)進(jìn)出網(wǎng)絡(luò)的信息