XX省旅游局智慧旅游省级综合平台一期数据中心和产业监测平台方案.docx
《XX省旅游局智慧旅游省级综合平台一期数据中心和产业监测平台方案.docx》由会员分享,可在线阅读,更多相关《XX省旅游局智慧旅游省级综合平台一期数据中心和产业监测平台方案.docx(45页珍藏版)》请在冰豆网上搜索。
XX省旅游局智慧旅游省级综合平台一期数据中心和产业监测平台方案
XX省旅游局智慧旅游省级综合平台一期数据中心和产业监测平台方案
(1)项目概述
以《国务院关于加快发展旅游业的意见》、《中国旅游业“十二五”发展规划信息化专项规划》和《XX省旅游业发展“十二五”规划》为指导,以新一代信息技术为支撑,以游客需求为中心,以应用需求为导向,以项目建设为抓手,加快推进省级智慧旅游综合平台建设,为全省智慧旅游建设奠定基础、提供示范,为全省旅游转型升级搭建平台、注入动力。
按照政府统筹、资源整合、协同共享、分步实施的原则,通过建设一批智慧旅游项目,努力做到泛在化的信息基础设施比较完备、智能化的管理服务系统协同有效、便利化的旅游综合服务体系保障有力,力争打造一个“赶超全国、引领全省、服务大众”的省级智慧旅游综合平台,推动XX省旅游在“创新管理、提升服务、促进营销”方面迈出新的步伐。
我省旅游服务质量总体水平还不能满足经济社会不断发展和旅游消费者需求日益提高的需要,尤其是在旅游信息服务水平上仍存在较大的差距,旅游信息化发展中积累的一些共性问题制约了旅游信息服务水平,其中旅游基础数据库建设是制约旅游信息服务水平提升的重大瓶颈之一。
因此,XX省旅游局启动智慧旅游省级综合平台一期项目招标,并明确提出把XX省旅游数据中心和XX省旅游产业监测平台作为重点项目。
(二)设备功能及技术要求
1、设备功能参数要求
1)数据中心存储技术指标
序号
指标项
技术规格(或功能及参数)要求
1.1
体系结构
采用全模块设计
★1.2
存储控制器
支持多控制器级联,最大支持四个控制器,多控制器之间缓存镜像,配置≥两个存储控制器,控制器冗余设计
★1.3
缓存
配置≥32GBCache,可支持128GBCache(非SSD或者高速Flash充当缓存)。
★1.4
SSD缓存加速
支持SSD缓存技术,加速数据读取速度和降低应用延迟。
1.5
缓存保护
支持BBU电池保护,配置基于Flash的永久保护模组
★1.6
主机接口
最大支持16个8GbFC主机接口,最大支持16个1GbIP主机接口,最大支持8个万兆接口,本次配置8个8GbFC主机接口
★1.7
后端接口
配置≥4个6GbSAS4X扩展接口。
1.8
磁盘驱动器
支持2TB,3TB,4TB7.2K6GbNLSAS磁盘;
600,900GB,1200GB10K6GbSAS磁盘;
200,400GBEMLCSSD硬盘;
支持在同一个磁盘阵列柜子中混合使用不同类型,不同容量的硬盘。
★1.9
扩展性
最大可扩展到≥516块硬盘。
★1.10
实配容量
10*3.5寸SAS4T7.2K硬盘
★1.11
RAID级别
支持RAID2.0技术,支持在同一个RAID组中三块硬盘同时掉电,通过RAID2.0技术,提高磁盘利用率,加快数据重构时间。
★1.12
数据保护
配置单个数据卷支持大于等于512个快照,支持快照回滚、快照视图、卷拷贝、自动精简配置功能
★1.13
存储系统高可用功能
为了实现业务级数据容灾,要求四控制器之间可以跨地域进行部署,同时具备故障切换功能,支持将存储中的数据自动存放在两个不同的存储系统中,并且保证两份数据严格的物理隔离,同时保证两份数据自动实时同步。
1.14
系统管理软件
提供完整的存储系统管理软件,支持集中式GUI管理,在同一管理界面实现监控,提供冗余和负载均衡管理。
1.15
系统兼容性
支持WinNT,Win2000,Win2003,Win2008,Solaris,AIX,HPUX,NetWare,RedHatLinux等主流操作系统。
1.16
系统扩充性
模块化结构,具有完全在线、无需停机的扩充能力,包括系统微码升级、系统处理能力的扩充、存储容量的扩充和IO能力的扩充等,并支持系统的平滑扩充。
1.17
电源风扇
冗余电源,冗余散热风扇设计。
1.18
售后服务
要求原厂3年免费质保服务
2)应用服务器参数及功能要求
序号
指标项
技术规格(或功能及参数)要求
★2.1
高度
2U机架式服务器,配套机架安装导轨
★2.2
CPU
2颗,单颗CPU物理核心≥15核,主频≥2.3GHz
★2.3
内存
配置≥128G内存(16*8G)
★2.4
硬盘
≥2个900G10KRPM热插拔2.5寸硬盘,最高支持24块2.5寸热插拔SAS/SATA硬盘,同时支持可选2个内置2.5寸SATA硬盘或SSD硬盘
★2.5
Raid卡
配置1GcachePCI-E八通道SASRAID卡,支持RAID0/1/10/1E;
★2.6
HBA卡
≥2个单口8GbPCI-E光纤HBA卡
★2.7
网卡
≥2个Intel芯片双千兆网卡;支持IOAT2网络加速技术,网络唤醒、网卡绑定功能;
2.8
电源
≤白金效率550w,1+1冗余电源
2.9
扩展槽
≥5个PCI-E,其中至少3个PCI-Ex16
2.10
配件
超薄DVD-RW
2.11
操作系统
配置正版WindowsServer2012简体中文企业版操作系统
★2.12
随机软件
服务器原厂集群管理软件,提供硬件和运行状态的统一管理、监控功能,综合告警管理和综合报表分析,支持快速恢复系统,可扩展支持短信或邮件方式故障提醒服务(提供国家版权局登记证书复印件)
★2.13
售后服务
提供原厂商5年7*24免费上门服务。
3)数据库服务器参数及功能要求
序号
指标项
技术规格(或功能及参数)要求
★3.1
高度
4U机架式服务器,配套机架安装导轨
★3.2
CPU
4颗,单颗CPU物理核心≥15核,主频≥2.3GHz
3.3
内存
配置≥256GB内存(32*8G)
★3.4
硬盘
≥4*900G10KRPM热插拔2.5寸硬盘,可扩展至8块;
★3.5
Raid卡
配置1GcachePCI-E八通道SASRAID卡,支持RAID0/1/10/1E;
3.6
HBA卡
≥2个单口8GbPCI-E光纤HBA卡
★3.7
网卡
≥2个Intel芯片双千兆网卡;支持IOAT2网络加速技术,网络唤醒、网卡绑定功能;
★3.8
电源
1+1冗余金牌电源,最多支持四个电源模块,支持PMbus
★3.9
扩展槽
≥4个PCIE2.0插槽,其中至少两个PCIEx16
3.10
配件
超薄DVD-RW
3.11
操作系统
配置正版WindowsServer2012简体中文企业版操作系统.
★3.12
随机软件
服务器原厂集群管理软件,提供硬件和运行状态的统一管理、监控功能,综合告警管理和综合报表分析,支持快速恢复系统,可扩展支持短信或邮件方式故障提醒服务(提供国家版权局登记证书复印件)
★3.13
售后服务
提供原厂商5年7*24免费上门服务。
4)三层交换机参数及功能要求
序号
指标项
技术规格(或功能及参数)要求
★4.1
端口
配置≥48个10/100/1000MBase-T(RJ45)端口,≥4个复用的千兆SFP接口;10G端口密度大于等于24;
★4.2
背板容量
≥2.4Tbps
★4.3
交换容量
≥1.5T;
4.4
包转发率
≥432Mpps;
4.5
业务槽位
≥大于等于6;
4.6
GE端口密度
大于等于280;
4.7
功能配置与维护
支持Console、Telnet、SSH等终端服务;
支持SNMPv1/v2/v3等网络管理协议;
支持通过FTP、TFTP方式上载、下载文件;
支持BootROM升级和远程在线升级;
支持热补丁;
支持用户操作日志;
安全和管理;802.1x认证,Portal认证;
支持NAC;支持RADIUS和HWTACACS用户登录认证;
命令行分级保护,未授权用户无法侵入;
支持防范DoS攻击、TCP的SYNFlood攻击、UDPFlood攻击、广播风暴攻击、大流量攻击;
支持1KCPU通道队列保护;
支持ICMP实现ping和traceroute功能;
支持RMON.
4.8
电源配置
1+1冗余电源
★4.9
售后服务
提供原厂商3年7*24免费上门服务。
5)光纤交换机参数及功能要求
序号
指标项
技术规格(或功能及参数)要求
★5.1
接口类型
FL_Port、F_Port、M_Port(镜像端口)和E_Port;
★5.2
端口
配置≥24端口(16端口激活,含16个8Gb/s短波SFP),
★5.3
USB端口
1个USB端口,适用于固件下载、支持保存、配置上传/下载;
★5.4
售后服务
提供原厂商3年7*24免费上门服务,提供服务器原厂授权及售后承诺函原件,复印件无效。
6)KVM切换器参数及功能要求
序号
指标项
技术规格(或功能及参数)要求
★6.1
端口要求
≥16端口;IQ模块。
2数字用户,1本地用户,
★6.2
接口要求
VGA视频接口,USB鼠标与键盘接口;
★6.3
配件
含19寸液晶套件、鼠标、键盘
7)机柜参数及功能要求
序号
指标项
技术规格(或功能及参数)要求
★7.1
物理尺寸要求
42U服务器机柜,600x900x2200(单位:
毫米)。
★7.2
接口要求
VGA视频接口,USB鼠标与键盘接口;
★7.3
配件
3套共配24个10APDU
8)网络安全产品参数及功能要求
完善XX省旅游数据中心的数据安全,可提供高性能、冗余的外联安全设备,外联设备提供IPSECVPN功能,方便各市州、县级旅游局等安全的上传数据与信息。
建设完善的数据中心安全体系,能防范各种外部入侵,内部的误操作等破坏行为,保障数据中心安全稳定的运行,同时可以对省级平台的其它应用提提安全屏障。
针对各种应用,配备可以防护黑客入侵和攻击的硬件IPS墙,针对门户网站,资讯网的防护,要专门配备硬件WAF,同时具备网站防篡改的能力。
具体指标要求如下:
IPS要求
技术指标项
指标要求
硬件平台
采用多核多线程并行处理硬件架构,底层操作系统分离平面设计
接口
标准2U设备冗余电源,至少具有≥4个10/100/1000Base-T接口,≥4个千兆10/100/1000SFP接口,至少支持4对Bypass接口;
性能
整机吞吐量≥10Gbps,七层吞吐≥2Gbps并发连接数≥200万,每秒新建连接数≥12万
部署方式
支持网关模式,支持NAT、路由转发、DHCP等功能;支持网桥模式,以透明方式串接在网络中;支持同时开启网关和网桥模式。
抗攻击特性
★设备必须内置病毒库、漏洞特征库、应用识别库、WEB应用防护库、数据泄密防护库,并且支持在线自动升级。
其中应用识别库的应用总数在1000条以上,规则总数在2200条以上;漏洞特征识别库的特征总数在4000条以上;WEB应用防护识别库规则总数在2000条以上。
数据泄密防护库支持用户自定义敏感信息。
(以上内容必须提供详细操作界面截图并加盖厂商公章)。
入侵防御功能
必须是微软“MAPP”计划会员,特征库必须获得CVE“兼容性认证证书”
漏洞分为保护服务器和保护客户端两大类,便于策略部署
漏洞详细信息显示:
漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容
包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/IPS逃逸攻击等
防躲避,支持TCP协议的乱序重传、TCP分包
支持防御Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing、SYNFlood、ICMPFlood、UDPFlood、DNSQueryFlood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IPSYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制等功能,此外还支持静态和动态黑名单功能、MAC和IP绑定功能
服务器防护
支持OWASP定义10大web安全威胁,保护服务器免受基于Web应用的攻击,如SQL注入防护、XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解(需提供截图证明)。
支持Web网站隐藏,包括HTTP响应报文头出错页面的过滤,web响应报文头可自定义。
支持FTP服务应用信息隐藏包括:
服务器信息、软件版本信息等。
URL过滤,对用户web行为进行过滤,保护用户免受攻击;支持只过滤HTTPGET、HTTPPOST等应用行为;并进行阻断和记录日志。
★脚本过滤,支持基于操作类型的脚本过滤,如注册表读写、文件读写、变形脚本、威胁对象调用、恶意图片等。
★支持APT检测功能,防止僵尸网络感染PC终端用户。
敏感信息防泄漏
★可定义的敏感信息,内置常见敏感信息的特征,且可自定义敏感信息特征,如用户名、密码、邮箱、身份证信息、MD5密码等。
(需提供截图证明)
数据文件敏感信息检测,支持数据库文件敏感信息检测,防止数据库文件被“拖库”、“暴库”。
http敏感信息检测,支持正常访问http连接中非法敏感信息的外泄操作。
漏洞风险评估
支持服务器的漏洞风险评估功能(为了保障与防火墙之间智能联动,要求漏洞风险评估非第三方软件产品)。
支持ftp、mysql、oracle、MSsql、ssh、RDP、网上邻居NetBIOS、VNC等多种应用的弱口令评估与扫描(需提供截图证明)。
支持被动漏洞检测方式,通过旁路部署被动进行报文特征匹配、协议异常检测
数据中心
★设备必须支持内置数据中心。
报表与日志系统
提供端口、服务、漏洞、弱密码、WEB安全漏洞等安全风险评估报表
支持DOS攻击、web防护、IPS、web威胁、网站访问、应用控制、用户登录、系统操作等多种安全日志查询
★提供遭受攻击最多服务器、攻击类型分布、攻击最多来源IP、服务器安全说明、服务器安全分析等内容服务器安全报表。
提供可定义时间内安全趋势分析报表
支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险等内容,并形成报表
支持将统计/趋势等报表自动发送到指定邮箱
支持导出安全统计/趋势等报表,包括网页、PDF等格式
★售后服务要求
产品包括三年硬件质保和三年应用特征库升级;
产品资质
产品应具备软件著作权登记证书;
产品应具备公安部销售许可证。
★产品应具备CVE兼容性认证证书和OWASPweb防火墙认证证书;
产品具有中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》
产品具有《国家信息安全测评信息技术产品安全检测证书-EAL3+级》
产品应具备ISCCC中国国家信息安全产品认证证书
WAF要求
技术指标项
指标要求
硬件平台
采用多核多线程并行处理硬件架构,底层操作系统分离平面设计
硬件规格
标准1U机架式设备,至少具有≥6个10/100/1000Base-T千兆电口,提供独立的管理接口,并含2个高速USB2.0接口,1个RJ45串口
★整机吞吐量≥5Gbps,七层吞吐≥700Mbps并发连接数≥150万,每秒新建连接数≥9万
部署方式
支持网关模式,支持NAT、路由转发、DHCP等功能;支持网桥模式,以透明方式串接在网络中;支持同时开启网关和网桥模式。
设备联动
为了保障设备之间的联动性,与入侵防御设备IPS为同一品牌
网络适应能力
支持802.1Q协议,VLAN解码,在Trunk主链路上部署(需提供截图证明)
支持端口汇聚(port-channel),显著提高设备间的吞吐能力
为了满足不同网络组网需要,支持静态路由、RIP、OSPF路由配置(需提供截图证明)
WEB安全防护
支持OWASP定义10大web安全威胁,保护服务器免受基于Web应用的攻击,如SQL注入防护、XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解
支持管理员页面、管理后台的短信强认证机制(要求至少提供URL、telnet、ssh三种方式的短信认证截图)
支持Web网站隐藏,包括HTTP响应报文头出错页面的过滤,web响应报文头可自定义。
需支持Web服务器软件(IIS、tomcat、nginx、apache)自身漏洞安全防护,web服务器底层操作系统漏洞安全防护(需提供截图证明并加盖厂商公章)
★支持异常连接检测,对21,22,25,53,69,80/8080,110,143,443等常见端口的协议异常流量检测,并支持RDP和SSH端口反弹链接检测。
支持FTP服务应用信息隐藏包括:
服务器信息、软件版本信息等。
URL过滤,对用户web行为进行过滤,保护用户免受攻击;支持只过滤HTTPGET、HTTPPOST等应用行为;并进行阻断和记录日志。
脚本过滤,支持基于操作类型的脚本过滤,如注册表读写、文件读写、变形脚本、威胁对象调用、恶意图片等。
自动建立网站合法访问行为模型,提供内置规则及自定义规则。
产品可防御常规盗链和分布式盗链和恶意扫描。
防web攻击逃逸(ASCII编码的还原、Unicode编码的还原、各种混淆编码的还原)
WEBSHELL文件拦截
★支持应用识别类型、URL、用户名、接口、安全域、IP地址、端口、时间等进行细粒化应用访问控制列表。
支持APT检测功能,防止僵尸网络感染PC终端用户
网页篡改防护
支持网关型网页防篡改,无需在服务器中安装任何插件。
★动态网页/静态网页支持,全面保护网站的静态网页和动态网页,支持网页的自动发布、篡改检测、应用保护、警告和自动恢复,保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全,完全实时杜绝篡改后的网页被访问的可能性及任何使用Web方式对后台数据库的篡改。
业务管理与安全管理分离,支持提供管理员业务操作界面与网管管理界面分离功能,方便业务人员更新网站内容。
篡改防护效果,支持通过替换、重定向等技术手段,防护篡改页面。
★报警方式,支持短信报警、邮件报警、控制台报警等多种篡改报警方式(需提供截图证明)。
敏感信息防泄漏
可定义的敏感信息,内置常见敏感信息的特征,且可自定义敏感信息特征,如用户名、密码、邮箱、身份证信息、MD5密码等。
(需提供截图证明)。
数据文件敏感信息检测,支持数据库文件敏感信息检测,防止数据库文件被“拖库”、“暴库”。
http敏感信息检测,支持正常访问http连接中非法敏感信息的外泄操作。
弱口令扫描
★支持ftp、mysql、oracle、MSsql、ssh、RDP、网上邻居NetBIOS、VNC等多种应用的弱口令评估与扫描(需提供截图证明并加盖厂商公章)。
智能策略联动
★风险评估可以实现web安全防护模块的智能策略联动,自动生成策略。
数据中心
设备必须支持内置数据中心。
特征库实时更新
★web攻击特征库支持在线,应每月至少更新两次。
风险评估报表
提供端口、服务、漏洞、弱密码、WEB安全漏洞等安全风险评估报表
安全统计报表
支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险等内容,并形成报表
BYPASS方案
内置硬件bypass模块,设备故障直接切换到bypass模式;支持软件BYPASS功能,系统软件故障时,系统自动实现旁路保护,避免网络中断等事故的发生。
售后服务要求
产品包括三年硬件质保和三年应用特征库升级;
产品资质
产品应具备软件著作权登记证书;
产品应具备公安部销售许可证。
★产品应具备CVE兼容性认证证书和OWASPweb防火墙认证证书;
产品具有中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》
★产品具有《国家信息安全测评信息技术产品安全检测证书-EAL3+级》
产品应具备ISCCC中国国家信息安全产品认证证书
9)视频终端接入设备
30个景区视频终端广域网接入设备,由于各景区的视频监控需要从广域网接入到产业数据平台,支持并配置与接入设备之间的VPN隧道连接,景点分支机构或远端的接入设备可通过VPN连接到总部。
支持语音和视频感知的WIPS扫描:
为防止语音和视频质量的下降,可配置扫描只在语音队列中没有流量的情况下进行。
支持云管理,流量控制、防火墙、负载均衡等功能,在有线网络链路出现故障或无互联网接入状态时,可切换到3/4G备用链路来保障视频接入的链路通畅。
指标项
技术招标要求(★必须支持)
接口
≥5个10/100/1000Mbps(RJ45);双WAN接口,无线WIFI,一个3/4G广域网备用链路USB接口(总部双USB接口)
无线网络流量包
4GLET及3/4G流量卡(含5G以上流量包)。
电源功耗
支持标准802.3af、802.3at。
负载均衡功能
具有基于接入用户数量和基于流量的负载均衡功能,并能灵活配置用户数量阀值及流量阀值。
用户控制功能
具有角色防火墙限制最大关联用户数的功能、具有基于用户数限制功能;实现带宽控制功能,包括基于用户的带宽控制。
防火墙功能
具有网络7层防火墙功能,可以设定网络L2/L3/L4/L7层的防火墙策略,将用户的无效请求控制在无线接入点上,从而大大降低到有线网络的无效报文;对于应用层的数据库可以定期更新。
(须提供截图)
定时开关功能
可根据用户设定时间,实现定时开关功能。
可信平台加密
具有基于硬件的可信任平台模块(TPM),进行密钥存储和加密。
DCHP服务器
具有DHCPserver/DHCP中继功能。
(须提供截图)
VPN功能
具有VPN服务器/客户端的功能,为远程接入点提供VPN连接。
10)应用支撑平台
服务器配备Windows、Linux等各种企业操作系统运行环境,采用正版的支撑软件平台。
11)平台核心支撑中间件规格要求
中间件要求数量为1cpu授权。
★为保证采用成熟、稳定的商用中间件产品,产品应具有软件产品登记证书、软件著作权证书。
★鉴于基础平台数据安全的保密性以及对数据加密签名等安全密码技术的需求和应用,中间件厂商必须为商用密码产品生产定点单位并提供相关证书,必须提供国家密码管理局颁发的《商用密码产品销售许可证》。
★为保障系统的良好兼容性并提供快速有效的服务支持,所选择的ESB服务总线、数据加工中间件、应用服务器中间件为同一品牌。
序号
指标项目
技术参数要求
1
应用服务器中间件
1.全面支持JavaEE5国际工业标准和相关规范,通过国际标准认证,可提供相关证明。
2.必须支持主流平台和多种数据库如Oracle、DB2、SQLServer等,提供双工备份的数据库连接池技术,并支持异构数据库间的负载均衡技术。
3.★支持对多种对象的集群功能,包括Web组件应用、EJB、JDBC等集群;集群技术支持Session非序列化对象复制技术,优化应用程序结构,实现快速便捷开发。
4.支持应用版本控制,实现多个版本应用的任意切换,在不中断客户端请求的情况下平滑升级。
5.基于JAAS架构,实现基于容器的安全策略,提供基于数据库和LDAP认
升级会员 