DB11T 2169-2023 政務(wù)云平臺(tái)建設(shè)技術(shù)要求　

DB11北京市市場監(jiān)督管理局發(fā)布 本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則有限公司、北京安信天行科技有限公司、中國電子技術(shù)標(biāo)李巍、王憶柔、鄭雅璐、陳青民、方莉莉、安政務(wù)云平臺(tái)建設(shè)技術(shù)要求本文件規(guī)定了云服務(wù)商要求、政務(wù)云平臺(tái)框3恐為山點(diǎn)次有應(yīng)為山點(diǎn)盡相恐為山點(diǎn)次有應(yīng)為山點(diǎn)盡相業(yè)務(wù)網(wǎng)中務(wù)上派務(wù)南1互聯(lián)網(wǎng)互聯(lián)網(wǎng)體系體系流湖曰苗文二云計(jì)立線存儲(chǔ)資源計(jì)算資源存儲(chǔ)資源政務(wù)外網(wǎng)運(yùn)維管理運(yùn)維首理防火地圖2部署框架5以障性短|上心三非關(guān)系型|p喧常=|變是創(chuàng)三報(bào)限性坦說瀝開潭回形計(jì)算決行儲(chǔ)文州行醒應(yīng)用安全地三信息，地分力興率面!電了郵平業(yè)務(wù)應(yīng)用層支撐軟件層基礎(chǔ)設(shè)施層消息隊(duì)列務(wù)彈性律宿注：圖中實(shí)線部分對應(yīng)本文件相關(guān)規(guī)定，虛線部分僅為表明政務(wù)云平臺(tái)技術(shù)框架的系統(tǒng)組成。6統(tǒng)計(jì)等基礎(chǔ)資源管理功能和用戶管理、組織管理、計(jì)量計(jì)費(fèi)、流程管理、消息通知等運(yùn)營管理能力等。6.4服務(wù)能力框架服務(wù)能力框架如圖4所示，具體應(yīng)包括：務(wù)內(nèi)容素引個(gè)務(wù)其他擴(kuò)展務(wù)操作服務(wù)容器和中服務(wù)圖4政務(wù)云平臺(tái)服務(wù)能力框架a)服務(wù)目錄由政務(wù)云服務(wù)商提供，可滿足使用單位信息系統(tǒng)運(yùn)行需求的所有服務(wù)和服務(wù)產(chǎn)品的結(jié)構(gòu)化信息，具體要求如下：1)政務(wù)云平臺(tái)可對外提供laaS、PaaS類的服務(wù)項(xiàng)，分為基礎(chǔ)服務(wù)、擴(kuò)展服務(wù)兩類；基礎(chǔ)服務(wù)是云服務(wù)商必須具備的能力；擴(kuò)展服務(wù)是云服務(wù)商可選擇性具備的能力；2)政務(wù)云服務(wù)商與使用單位通過服務(wù)合同約定的服務(wù)等級(jí)，包含服務(wù)定義、服務(wù)可用性等指b)服務(wù)要求包括服務(wù)基本要求、服務(wù)考核要求，具體要求如下：1)服務(wù)基本要求，政務(wù)云所提供服務(wù)應(yīng)滿足的基本要求；6.5安全框架政務(wù)云平臺(tái)的安全框架如圖5所示，具體應(yīng)涵蓋如下6個(gè)方面：a)物理和環(huán)境安全，涵蓋物理環(huán)境的基本要求、位置要求、出入口管理、電力供應(yīng)、電磁防護(hù)、防火、防潮防水、防靜電、溫濕度控制等方面內(nèi)容；b)網(wǎng)絡(luò)和通信安全，涵蓋網(wǎng)絡(luò)架構(gòu)、通信傳輸、可信驗(yàn)證、邊界防護(hù)、訪問控制、資源控制、入侵防范、安全審計(jì)等方面內(nèi)容；c)設(shè)備和計(jì)算安全，涵蓋身份鑒別、訪問控制、安全審計(jì)、入侵防范、可信驗(yàn)證、資源控制、惡意代碼防范、鏡像快照保護(hù)、虛擬機(jī)安全容器安全等方面內(nèi)容；d)應(yīng)用和數(shù)據(jù)安全，涵蓋安全審計(jì)、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)、數(shù)據(jù)完整性、接口安全等方面內(nèi)容；7租戶安全服務(wù)安全監(jiān)控和管理安全監(jiān)控和管理應(yīng)用和數(shù)據(jù)安全設(shè)備和計(jì)算安全惡高代5防范惡高代5防范網(wǎng)絡(luò)和通信安全物理和環(huán)境安全注：圖中實(shí)線部分對應(yīng)本文件相關(guān)規(guī)定，虛線部分僅為表明政務(wù)云平臺(tái)安全框架的系統(tǒng)組成。7.1.2機(jī)房要求），h)云主機(jī)出現(xiàn)故障時(shí)，應(yīng)支持自動(dòng)重啟或者遷移，保障業(yè)務(wù)連續(xù)性；a)應(yīng)支持結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)等多種數(shù)據(jù)類型存b)數(shù)據(jù)中心組網(wǎng)架構(gòu)設(shè)計(jì)可采用大二層網(wǎng)絡(luò)架構(gòu)，應(yīng)支持云主機(jī)無障礙動(dòng)態(tài)遷移；c)應(yīng)采用集群部署網(wǎng)絡(luò)控制，以保障升h)應(yīng)采用雙活網(wǎng)絡(luò)架構(gòu)，降低單點(diǎn)故障帶來的穩(wěn)定風(fēng)險(xiǎn)；a)云內(nèi)骨干線路帶寬不低于40Gb/s；b)應(yīng)提供基于不同CPU架構(gòu)的操作系統(tǒng)，以適應(yīng)不同業(yè)務(wù)應(yīng)用需要；b)關(guān)系型數(shù)據(jù)庫應(yīng)支持集中式數(shù)據(jù)庫與分布式數(shù)據(jù)庫兩種架構(gòu)；c)應(yīng)支持主流的商業(yè)、開源操作系統(tǒng)，包括主流國b)分布式的關(guān)系型數(shù)據(jù)庫要求如下：2)分析型數(shù)據(jù)庫應(yīng)支持對地理信息（GIc)應(yīng)支持虛擬網(wǎng)絡(luò)，指定虛擬網(wǎng)絡(luò)創(chuàng)建b)應(yīng)支持發(fā)布訂閱模型；c)在單個(gè)消息生產(chǎn)者情況下，應(yīng)支持順序消息，包括消息的順序發(fā)送f)應(yīng)具備完善的多用戶隔離機(jī)制，保障用戶數(shù)i)應(yīng)能為每個(gè)消息服務(wù)提供單獨(dú)命名空間，保m)應(yīng)支持節(jié)點(diǎn)主機(jī)配置雙網(wǎng)卡，實(shí)現(xiàn)安全隔離；n)應(yīng)支持配置數(shù)據(jù)同步功能，在不同消息隊(duì)b)應(yīng)提供收集面向應(yīng)用的日志服務(wù)，如應(yīng)用定向?qū)懙轿募械娜罩?；d)應(yīng)支持用戶自定義解析規(guī)則和解析規(guī)則組，并預(yù)制多種解析規(guī)則實(shí)現(xiàn)日志數(shù)e)應(yīng)具備自動(dòng)清理閑置容器鏡像能力，并可自定義最容器云服務(wù)提供以容器為核心的動(dòng)態(tài)伸縮功能，具微服務(wù)引擎是微服務(wù)注冊中心和配置管理的全托管式平臺(tái),提供高可用且免運(yùn)維的服務(wù)注冊和配置b)應(yīng)提供服務(wù)發(fā)現(xiàn)接口，用以對服務(wù)和資源進(jìn)行發(fā)現(xiàn)；d)應(yīng)支持微服務(wù)注冊中心、配置中心和API網(wǎng)關(guān)一鍵創(chuàng)微服務(wù)治理用于實(shí)現(xiàn)各個(gè)微服務(wù)的自動(dòng)化注冊與發(fā)現(xiàn)，具體b)應(yīng)支持服務(wù)降級(jí)策略，包括：屏蔽降級(jí)和容錯(cuò)降級(jí)，以保證核心服務(wù)的SLA；況進(jìn)行監(jiān)測、記錄和趨勢分析，對監(jiān)控記錄進(jìn)行保存，保存理，支持政務(wù)云操作系統(tǒng)的單點(diǎn)登錄功能，登e)在服務(wù)期內(nèi)，承載政務(wù)云平臺(tái)的軟硬件應(yīng)在原b)應(yīng)確保政務(wù)云平臺(tái)所有設(shè)備及承載的業(yè)務(wù)和數(shù)據(jù)均位于北京市內(nèi)運(yùn)行。b)應(yīng)支持屏蔽虛擬資源故障，如：某個(gè)云主機(jī)崩潰后不影響云主機(jī)監(jiān)視器及其他云主機(jī)；b)應(yīng)保證不同云租戶的應(yīng)用系統(tǒng)及開發(fā)平臺(tái)之間的隔離；及政務(wù)云平臺(tái)的建設(shè)管理、運(yùn)維管理和應(yīng)急管理等安全管理要求應(yīng)符合國家標(biāo)準(zhǔn)GB/T22239b)應(yīng)支持同構(gòu)資源池的多節(jié)點(diǎn)管理；南向接口主要是基礎(chǔ)設(shè)施層的接入，對云資源和服務(wù)進(jìn)行統(tǒng)一納管，包含a)硬件接入應(yīng)提供物理設(shè)備的接口，包括服務(wù)器設(shè)備、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備2)應(yīng)提供政務(wù)云使用單位相關(guān)的增、刪蓋基礎(chǔ)設(shè)施、支撐軟件和業(yè)務(wù)應(yīng)用各個(gè)層面，實(shí)現(xiàn)一個(gè)開放的政務(wù)云平臺(tái)的服務(wù)應(yīng)由政務(wù)云服務(wù)商以目錄形式統(tǒng)一對外公布，一般宜每年更新a)計(jì)算服務(wù)，應(yīng)提供云主機(jī)、物理主機(jī)租用、圖形圖像計(jì)算等b)存儲(chǔ)服務(wù)，應(yīng)提供普通性能存儲(chǔ)、高性能存儲(chǔ)服務(wù)；d)備份服務(wù)，應(yīng)提供本地備份、本地/異地視頻云存儲(chǔ)、視頻7.2.4.3.1擴(kuò)展服務(wù)包含操作系a)操作系統(tǒng)服務(wù)，宜提供商用操作系統(tǒng)、開源操作系統(tǒng)等容器鏡像等）、微服務(wù)（微服務(wù)引擎、分布式應(yīng)用、云服務(wù)b)云上應(yīng)用調(diào)優(yōu)，提供應(yīng)用架構(gòu)診斷、分庫分表設(shè)計(jì)、微服務(wù)治理、云原生改造等服務(wù)；c)全鏈路壓測，提供壓測方案設(shè)計(jì)、實(shí)施支持、優(yōu)化服擴(kuò)展開發(fā)的能力，一般包括云平臺(tái)擴(kuò)展、系統(tǒng)對接根據(jù)政務(wù)云管理單位、政務(wù)云使用單位的要求，對云管理平臺(tái)進(jìn)行相應(yīng)擴(kuò)展開發(fā)，要求a)應(yīng)支持對計(jì)算資源、網(wǎng)絡(luò)資源、存儲(chǔ)資源、安全資源自動(dòng)化調(diào)度及管b)應(yīng)對云資源使用情況進(jìn)行計(jì)量管理；h)應(yīng)支持大屏擴(kuò)展模塊，包括多維度指標(biāo)的按需展示和用戶自定義編排；i)應(yīng)支持運(yùn)維管理模塊，包括運(yùn)維門戶、監(jiān)控、報(bào)表等j)應(yīng)支持運(yùn)營模塊，包括申請審批流程、組織管理、多3)明確接口信息，應(yīng)根據(jù)業(yè)務(wù)場景，明確需要接口調(diào)5)接入聯(lián)調(diào)，按規(guī)范性文檔，接入第三服務(wù)，并對接入的6)接入完成，根據(jù)請求信息完成配置政務(wù)云平臺(tái)驗(yàn)收包括初驗(yàn)、試運(yùn)營和終驗(yàn)三個(gè)階段，要求a)初驗(yàn)是政務(wù)云平臺(tái)初步完成建設(shè)并具備基礎(chǔ)服務(wù)能力后開展的階段性驗(yàn)收，初驗(yàn)通過后可與b)試運(yùn)營是按照政務(wù)云管理單位的要求開展云平臺(tái)試運(yùn)行階段，政務(wù)云管理單位可檢驗(yàn)相關(guān)運(yùn)務(wù)云管理單位要求的國家相關(guān)安全合規(guī)性檢查當(dāng)政務(wù)云服務(wù)商完成政務(wù)云平臺(tái)的初步建設(shè)并具備基礎(chǔ)服務(wù)能力后可以向政務(wù)云管理單位申請進(jìn)c)審查與政務(wù)云監(jiān)管平臺(tái)的對接計(jì)劃、政務(wù)云平臺(tái)擴(kuò)展功能8.3.2.1當(dāng)政務(wù)云服務(wù)商建設(shè)的政務(wù)云平臺(tái)通過政務(wù)云管理單位要求的國家相a)審查政務(wù)云平臺(tái)是否完成政務(wù)云管理單位要求的國家相關(guān)安全合規(guī)性政務(wù)云服務(wù)商應(yīng)遵循政務(wù)云管理單位統(tǒng)一的運(yùn)維監(jiān)管要求和安全監(jiān)管要求，做好政務(wù)云平臺(tái)日常政務(wù)云服務(wù)商應(yīng)通過自動(dòng)化和手工機(jī)制向政務(wù)云管理單位提供云平臺(tái)運(yùn)行數(shù)據(jù)和監(jiān)管數(shù)據(jù)，政務(wù)云管理單位對匯集數(shù)據(jù)進(jìn)行統(tǒng)一管理。匯集數(shù)據(jù)應(yīng)結(jié)合政務(wù)云管理單位的管理目標(biāo)和內(nèi)容進(jìn)行詳細(xì)定.圖6監(jiān)管數(shù)據(jù)匯集框架9.2.3資產(chǎn)數(shù)據(jù)應(yīng)包括但不限于物理環(huán)境資產(chǎn)數(shù)據(jù)、物理設(shè)備資產(chǎn)數(shù)據(jù)、云主機(jī)資產(chǎn)、IP資產(chǎn)、用戶資產(chǎn)(入云系統(tǒng))等，實(shí)現(xiàn)對各類資產(chǎn)狀態(tài)和數(shù)量的實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)。9.2.4機(jī)房環(huán)控?cái)?shù)據(jù)9.2.6日志數(shù)據(jù)9.2.7云平臺(tái)數(shù)據(jù)9.2.8應(yīng)用數(shù)據(jù)應(yīng)包括但不限于業(yè)務(wù)系統(tǒng)數(shù)據(jù)、云主機(jī)規(guī)格9.2.9監(jiān)控?cái)?shù)據(jù)≥2個(gè)≥2個(gè) 用戶可以將申請到的磁盤空間同時(shí)分配給一臺(tái)或者多臺(tái)用戶可以將申請到的磁盤空間同時(shí)分配給一臺(tái)或者多臺(tái) 務(wù) 間 通過手工配置或自動(dòng)配置的方式實(shí)現(xiàn)IPSecVPN隧道的建據(jù)中心的VPN連接，支持對IKE策略、IPSec策略配置及對實(shí)現(xiàn)IPsec抗重放檢測功能、反向路由注入功能，支持提供域名SSL證書服務(wù)，可支持服務(wù)器、負(fù)載均衡等設(shè)備 中標(biāo)軟件、中興新支點(diǎn)、統(tǒng)信UOS、CentOS、EulerOS、 Kingbase（人大金倉數(shù)據(jù)庫）、K 通過云管理平臺(tái)實(shí)現(xiàn)針對每租戶按需自動(dòng)分配負(fù)載均衡 政務(wù)云平臺(tái)運(yùn)維服務(wù)能力說明（運(yùn)維保障方案政務(wù)云服務(wù)商應(yīng)提供政務(wù)云平臺(tái)物理網(wǎng)絡(luò)中核心交換機(jī)和接入交換機(jī)的物理網(wǎng)絡(luò)接口流量，用于監(jiān)測、審計(jì)政務(wù)云政務(wù)云服務(wù)商應(yīng)提供政務(wù)云平臺(tái)的虛擬交換和路由設(shè)備接交換和路由設(shè)備接口，應(yīng)支持可以根據(jù)指定策略將指定流量牽引到政務(wù)云管理單位指定的監(jiān)測設(shè)備，用于監(jiān)測、審政務(wù)云服務(wù)商應(yīng)開啟政務(wù)云平臺(tái)物理網(wǎng)絡(luò)中服務(wù)器、網(wǎng)絡(luò)政務(wù)云服務(wù)商應(yīng)開啟政務(wù)云平臺(tái)網(wǎng)絡(luò)、安全設(shè)備的SNMP協(xié)議管理接口，使得政務(wù)云管理單位能夠獲取政務(wù)云所有網(wǎng) 政務(wù)云服務(wù)商應(yīng)提供虛擬云主機(jī)接口用于對虛擬資源性能口政務(wù)云服務(wù)商應(yīng)根據(jù)政務(wù)云管理單位的監(jiān)管要求，按需提云平臺(tái)的入云系統(tǒng)和云主機(jī)資源使設(shè)備編號(hào)、所在機(jī)房、所在位置、電流數(shù)據(jù)