第五章采购清单及其他要求doc.docx
《第五章采购清单及其他要求doc.docx》由会员分享,可在线阅读,更多相关《第五章采购清单及其他要求doc.docx(38页珍藏版)》请在冰豆网上搜索。
第五章采购清单及其他要求doc
第五章、采购清单及其他要求
一、采购清单
序号
服务产品
技术规格要求
价格(元/月)
备注
1
云主机
CPU
内存
------
------
1核
1GB
35
如有特殊需求,此表中云主机无法满足业务系统部署要求,须定制提供云主机配置,相关价格另行协商。
1核
2GB
70
1核
4GB
110
1核
8GB
200
2核
2GB
115
2核
4GB
150
2核
8GB
230
2核
16GB
430
4核
4GB
225
4核
8GB
295
4核
16GB
445
4核
32GB
850
8核
8GB
445
8核
16GB
590
8核
32GB
890
8核
64GB
1700
16核
16GB
880
16核
32GB
1170
16核
64GB
1760
16核
128GB
2600
2
云存储
普通块存储(SAS盘,IOPS不低于3000)
1GB
0.25
1TB
246
高速块存储
(SSD盘,
IOPS不低于12000)
1GB
0.75
1TB
750
3
网络带宽
1-5M(包含5M)
10
每M每月
5-10M(包含10M)
20
每M每月
10M-20M(包含20M)
35
每M每月
20M以上
40
每M每月
4
云安全
包含三级等保要求的所有相关安全设备,详情见方案。
-------
费用包含在上述三项租赁费用中
5
云服务
提供云平台使用、迁移、运维、容灾备份等相关服务,保障全县政务信息系统平稳运行,详情见方案。
--------
二、项目建设背景和目标
当涂县政务云平台项目建设是基于马鞍山市新型智慧城市顶层设计,以云计算、大数据、物联网、移动互联网等新兴技术为手段,通过搭建科学、先进、高效的新型智慧城市云计算平台等,构建我县新型智慧城市的核心信息基础设施,以支撑智慧政务、工业、民生、惠农、交通、商务、双创、城市建设管理等八大智慧应用,建成全县政务资源管理、应用支撑、数据共享、服务保障的总枢纽。
本项目通过建设基础设施服务(IaaS)、数据服务(DaaS)、平台服务(PaaS)和应用服务(SaaS),构建标准规范体系、安全保障体系和运维管理体系等,通过统筹新型智慧城市规划、建设、管理和应用,加强信息资源整合,着力解决政务信息不互通、政务数据不共享、服务标准不规范等系列问题,打通横向和纵向两个方面数据接口,促进各部门政务业务的应用协同,全力支撑简政放权、放管结合、优化服务深入推进,全面提升政府治理能力和服务水平,提高人民群众的获得感,助力打造新型智慧当涂。
三、总体框架
(一)“政务云”总体框架
当涂县“政务云”按照国家电子政务外网标准《政务云安全要求》的技术架构、应用模型及建设、运维和安全管理等要求,采用六横三纵的技术架构,形成感知服务、基础设施服务、平台服务、数据服务、应用服务、展示服务六大服务能力,构建标准规范、运维管理、安全管理三大体系。
物联感知服务:
利用物联网等信息技术,通过各类视频监控、传感、射频识别、条形码设别、二维码识别等方式,按通用的标准协议,把相关感知端与云中心相连接,进行信息交换和通信,实现智能化识别、定位、跟踪、监控和管理,为相关政务信息化应用提供前端基础数据支撑。
基础设施服务(IaaS):
包括机房动力与环境、计算资源池、存储资源池、网络资源池,为上层服务提供云计算基础支撑服务。
平台服务(PaaS):
在云计算环境中建立运行、测试、开发等环境,为数据服务层以及应用服务层的开发、测试、运行提供平台支撑服务。
数据服务(DaaS):
引入大数据技术,在数据归集整合的基础上,提供基础数据、数据共享、数据交换、数据分析、数据挖掘服务,为上层应用提供数据支撑服务。
软件服务(SaaS):
将所有迁移到云计算中心的各应用进行发布,并根据新的业务需求,基于平台服务和数据服务开发新的应用,供各部门使用。
终端展现服务:
利用移动互联等信息技术,根据政务应用特点,结合政务服务对象的需求和服务场景特性,以多样化终端设备,提供适用的政府服务多渠道、多样化展现方式,终端类型主要有PC终端、移动终端、平板电脑、智能电视、自助终端机等。
标准规范体系:
建设电子政务标准规范体系,在其基础上,制定政务云专题标准规范、政府网站专题标准和“互联网+政务服务”专题标准。
运维管理体系:
由组织保障、数据采集、云平台管理、资产配置和集成管理等内容构成,确保资源交付的敏捷性和灵活性,提升资源的使用效率;提供全网资源的统一运维、自动监控、故障预警处置等信息化管理。
安全管理体系:
由物理安全、网络安全、主机安全、数据安全、虚拟化安全、容灾备份安全、日志安全审计和安全管理制度等内容构成,保障云平台的安全稳定运行。
四、总体建设内容
搭建当涂“政务云”基础技术框架,形成面向支撑当涂新型智慧城市建设的基础资源、数据共享开放、应用支撑的服务能力,推动政府治理、普惠民生、产业升级等智慧化应用的建设。
1)建立“政务云”建设管理机制,明确政府各部门责任边界,完成“政务云”建设的标准规范体系建设。
2)建设统一的“政务云”门户,实现对外政务信息对外发布;完成相关部门的应用迁移,逐步开展共性应用及重点领域应用建设;
3)建设“互联网+政务服务”数据分析及应用平台,打通横向各应用系统的数据接口,完成数据资源目录梳理,建设人口、法人等基础数据库和电子证照等主题库,搭建大数据应用平台,为后续智慧城市应用提供支撑;
4)完成平台服务支撑建设,为各政务应用提供平台支撑能力;
5)搭建“政务云”的基础设施服务框架,构建统一的网络、计算、存储资源池;
6)建立“政务云”的安全管理体系和运维管理体系。
五、具体建设内容
“政务云”建设内容,包括电子政务标准规范体系、运维管理体系、安全服务管理体系、应用服务、数据服务、平台服务(政务)、资源池建设(政务)、网络资源(政务)等。
本采购项目建设模式为购买服务模式和自建模式,自建部门后期由县信息办根据我县智慧城市推进进度另行实施,不在本次租赁服务采购范围内。
建设清单见下表:
序号
建设内容
子项目
具体内容
建设模式
备注
1
标准规范体系
标准制定
包括电子政务标准体系、电子政务规范体系、专题标准等内容
自建
各模块建设须符合国家电子政务外网标准《政务云安全要求》的技术架构、应用模型及建设、运维和安全管理等所有要求
2
标准管理系统
包括系统门户、标准管理、标准培训、数据元管理、对标检测、质量检测、流程管理、系统管理等功能
自建
3
运维管理体系
运维管理系统
包括运维管理门户、监控子系统、资产配置、云平台管理、运维集成管理等子系统
购买服务
4
安全服务管理体系
互联网接入区
链路负载均衡器、IPS、防火墙、DDOS、上网行为管理、路由器等
购买服务
5
外部数据中心区
IPS、网页防篡改、Web应用防火墙、应用负载均衡等
购买服务
6
内部数据中心区
IPS、防火墙、应用负载均衡等
购买服务
7
业务数据库区
数据库审计、防火墙等
购买服务
8
大数据中心区
数据库审计、IPS、防火墙等
购买服务
9
共享数据库区
数据库审计、IPS、防火墙,数据交换与隔离系统等
购买服务
10
综合安全管理区
SSLVPN、漏洞扫描、病毒/补丁服务器、日志审计设备、终端杀毒、服务器杀毒、运维审计、WEB应用漏洞扫描系统、网站云监管系统、代码检测系统、虚拟安全软件、网络和信息安全监控平台等
购买服务
11
边界接入区
防火墙、DDOS、IPS,三层交换机
购买服务
12
其它
安全服务与运维(按年收费),整体信息安全保护等级应达到《信息系统安全等级保护基本要求》(GB/T22239-2008)的第三级标准,同时各区域相关安全设备要通过业务进行相互关联,形成整体安全防范体系,具备动态感知,及时预警等功能,以保障系统安全。
购买服务
13
平台服务
操作系统
相当于WindowsServer2012
购买服务
14
相当于RedHatLinux7.0
购买服务
15
数据库
相当于Oracle12c
购买服务
16
相当于MySQL5.5
购买服务
17
中间件
相当于Websphere8.5
购买服务
18
相当于Weblogic12C
购买服务
19
相当于Tomcat7.0
购买服务
20
短信服务
短信平台
购买服务
21
短信发送费
购买服务
22
工作流引擎
工作流引擎
购买服务
23
基础资源
基础云组件
云主机
购买服务
24
云存储
购买服务
25
云负载均衡
购买服务
26
网络资源
云数据网络
带宽
根据实际业务需求,提供相应网络带宽以保障政务信息系统的正常运行。
购买服务
27
裸光纤租赁
提供两条万兆裸光纤,保障县政务云平台与市政务云平台的互联互通,同时提供两条万兆裸光纤保障县政务云平台与县电子政务外网联通。
购买服务
28
云迁移
系统迁移服务
提供应用、数据库迁云服务。
并提供VPC网络规划及配置、安全组、ACL设置、应用系统及代码改造以及系统迁移后服务器等硬件设置托管服务。
购买服务
29
容灾备份
提供政务云平台中相关业务系统及数据容灾备份服务,保障政务信息系统稳定运行。
购买服务
六、相关设备技术参数指标要求
序号
名称
技术参数
1
云平台
1.云平台机房优先选择部署在马鞍山市内机房,向政府、事业单位客户提供服务,提供客户化管理界面;
2.云平台已经建成并稳定运行的、能够以服务方式对外快速提供能力的云平台,可以演示;
3.云平台供应商或上级公司具备通过计算机信息系统等级保护三级测评并获得认证证书的经验,为后续平台通过三级等保提供支撑;
4.云平台单集群设计能力支持1000台物理服务器集群规模,云平台所使用服务器、存储等设备均采用X86架构,支持线性扩容;
5、云平台须符合国家电子政务外网标准《政务云安全要求》的技术架构、应用模型及建设、运维和安全管理等要求。
2
云平台机房条件
云平台机房并具备防静电地板、空调系统、防雷系统、防火系统、UPS系统等基本设施,需提供具体的地址以备核实,核实没有达到要求的取消其中标资格。
机房面积不小于400平米,接入总带宽不少于100Gbps(单机柜IP数大于15)且42U标准机架数不少于100个;
机房设计符合《计算机房设计规范》、《场地安全要求》和《场地技术条件》等国家标准,抗震等级二级,抗震烈度7度设防,防静电地板,承重1200公斤/平米;
核心网络设备采用双点备份,全网冗余结构,提供高可用的互联网线路;网络可用率达99.9%,并配有专业的网管系统实时监控网络;
机房还应满足以下要求:
1)机房所在地要求周边环境良好、交通方便。
2)机房设备配置须满足项目总体需求,提供配套的UPS不间断电源、油机供电、电力线路及供配电、机房空调、消防、防雷、安全监控等基础设施。
3)机房场地所配备基础设施的技术指标应达到国家相关标准和规范要求,并满足节能、环保指标,对周围办公及居民生活环境无影响。
4)机房场地须为本项目独立专属使用的场地,避免受到影响。
5)机房提供商需具备良好的机房运维服务能力,配备优秀的技术队伍,采取规范的运维管理机制,提供强有力地运行管理和维护支撑,确保机房基础设备、设施安全稳定运行。
6)机房以裸光纤的形式,实现与电子政务外网的网络联接,应允许其它运营商的线路进入机房的指定位置,在其它运营商的线路敷设过程中给与协助。
3
云服务器
处理能力可弹性伸缩的计算服务,能够快速构建更稳定、安全的应用,提升运维效率,降低IT成本。
1.灵活性:
ResourceonDemand;自定义Image,可以基于虚拟镜像的快速部署;All-in-One服务,与负载均衡服务、云监控、云防护无缝集成;
2.可靠性:
分布式文件存储,三副本,数据可靠性99.999%;磁盘快照与回滚,支持自定义快照与回滚策略;在线迁移,快速故障切换恢复、资源优化;
3.安全性:
虚拟防火墙,支持安全域隔离,抵御IP/MAC伪造和ARP欺骗;抵御DDoS攻击,支持流量清洗;
4.普通云服务器存储随机IOPS≥3000;SSD云服务器存储随机IOPS≥12000,最高性能可达20000;
5.普通云服务器存储吞吐量≥80MB/s,SSD云服务器存储吞吐量≥280MB/s;
6.提供云服务器任意时刻的磁盘快照功能,含快照制作,快照回滚;提供基于快照的快速数据备份与恢复;
7.支持业务持续发展,10分钟内可启动或释放百台云服务器;5分钟内停机升级CPU和内存;支持在线不停机升级带宽;
4
云存储服务
对外提供海量、安全和高可靠性的云存储服务。
1.海量数据存储,无限扩容:
不限文件数目和大小,无限的存储空间。
根据实际存储量无限扩展,解决传统硬件存储扩容问题;支持单个文件可达5TB,并可通过文件组合方式构建更大文件;
2.安全可靠,性能卓越:
提供三份数据备份,故障自动恢复能力,保障数据可靠性;严格的权限控制机制,加密的签名验证体系,保证数据安全;可靠性达到99.99999999%;
3.平台使用最先进的分布式存储,不使用IP-SAN、FC-SAN等传统专用存储,平台基于x86服务器的存储,具备横向扩展能力;
4.支持流式写入和读出,适合视频等大文件的边写边读业务场景,提供类文件读写接口,视频码流能向对象(文件)后面追加新内容,且已上传的内容在对象(文件)未写完时也可被访问;
5.支持数据生命周期管理,用户可自定义到期数据转入低成本的归档服务或者批量删除;
6.提供图片处理、音视频转码、内容加速分发、鉴黄服务、归档服务等多种数据增值服务;
5
内、外网负载均衡服务
1.对多台云服务器进行流量分发的负载均衡服务,通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性;
2.服务类型:
支持公网/私网类型的SLB服务;支持4层(TCP协议)和7层(HTTP和HTTPS协议)服务;并发连接数≥2000万,可支持每秒新建连接数≥40万;
3.健康检查:
对后端云服务器进行健康检查,自动屏蔽异常状态云服务器,恢复正常后自动解除屏蔽;
4.会话保持:
提供会话保持功能,在Session生命周期内,将同一客户端请求转发到同一台后端云服务器上;
5.转发及QoS:
支持加权轮询(WRR)、最小连接数(WLC)转发方式。
支持针对监听分配其对应服务的带宽峰值;
6.负载均衡服务支持实例分配,并按需向每个业务系统分配至少2个实例;
6
虚拟专有网络服务
1.基于SDN技术,可以建立自定义的虚拟专有网络,提供VLAN级别的隔离,阻断外部网络通讯;可以自定义网络拓扑,并可通过专线或VPN与传统数据中心组成一个按需定制的网络环境,实现应用的平滑迁移上云;
2.安全隔离:
使用隧道技术达到与传统VLAN相同隔离效果;广播域隔离在实例网卡级别;
3.访问控制:
灵活的访问控制规则;满足政务用户的安全隔离规范;
4.软件定义网络:
纯软件部署,不需要依赖特定的网络设备即可实现虚拟数据中心技术,按需配置网络设置、软件定义网络;管理操作实时生效;
5.不依赖于网络交换机,通过X86服务器实现虚拟数据中心网关的部署;
6.支持安全组策略:
提供虚拟防火墙功能,可实现云主机服务之间的安全域划分和网络访问限制和隔离。
提供至少1000个虚拟防火墙实例。
支持云主机的南北向和东西向流量过滤;
7
云防护服务
1、实时监测用户站点,提供WEB服务器漏洞防护、SQL注入攻击防护、LDAP注入攻击防护、SSI指令攻击防护、XPATH注入攻击防护、命令行注入攻击防护、路径穿越攻击防护、跨站脚本攻击防护,对用户WEB应用进行全方位的安全防护;
2、对web网站的进行网页防挂马、网页防篡改、网页敏感内容防护;
3、可以提供网站安全报表,能够实时展示网站的总请求数、总流量、网站浏览人数、遭攻击次数;
4、支持基于规则体系构建黑名单安全策略;支持基于智能用户行为识别的动态防护机制;支持自学习白名单机制。
产品自学习应该能够支持host,url,httpmethod,请求响应码,请求参数名称及其对应的值,cookie参数名称及其对应值,refer等信息;
5、支持针对主流Web服务器及插件的已知漏洞防护;
6、网站防护中,能够对黑客扫描尝试和黑客定点攻击进行实时展示,内容至少包括攻击时间、攻击网址、攻击IP、IP归属地、攻击类型和处理结果;
8
数据库审计
1、支持在目标数据库安装agent解决云环境、虚拟化环境内部流量无法镜像场景下数据库的审计;
2、支持分布式部署,管理中心可实现统一配置、统一报表生成、统一查询;
3、峰值处理能力:
≥2000条/秒;
4、审计日志检索能力:
≥1500万条/秒;
5、支持B/S业务系统三层关联审计;
6、支持审计记录中敏感数据的模糊化处理,内置常见敏感数据掩码规则,支持自定义敏感数据掩码规则;
7、告警查询应支持根据登陆用户、客户端工具名、客户端IP、规则进行归并分析,能详细展示每类告警占总告警数量百分比,便于告警分析处理。
9
综合日志审计
1、支持常见的虚拟机环境日志收集,包括Xen、VMWare、Hyper-V等。
2、可对日志进行细粒度解析,解析后的日志根据具体日志包含但不限于:
日期、发生时间、接收时间、设备类型、日志类型、日志来源、威胁值、源地址、目的地址、事件类型、时间范围、操作主体、操作对象、行为方式、技术动作、技术效果、攻击类型、特征类型、协议、地理信息(公网情况);
3、支持基于内存的实时关联分析,跨设备的多事件关联分析;
4、支持自定义条件都事件进行聚合;
5、进行关联分析的规则可定制;
6、支持根据资产价值、资产漏洞、针对漏洞的威胁事件三者进行威胁的自动关联分析(三维关联),所有的三维关联算法和准则以CVE、Bugtraq、OWASP公开协议和标准为基础。
10
网页防篡改
1、支持各类网页文件的保护,包括静态和动态网页以及各类文件信息;
2、支持对指定文件夹以及子文件夹的保护,避免上传非法文件及木马等恶意文件或插入恶意代码;
3、自定义HTTP头的各字段溢出自定义;
4、能根据时间段,IP段进行规则调整;
5、黑白名单内的IP访问页面时进行阻断;
6、同步服务器自带HA功能,保证同步服务器高可用;
11
DDOS攻击防护
1、流量监控:
为客户提供7x24小时的实时流量监测服务,对客户的网络流量进行实时采集和分析,对异常流量进行跟踪、记录和分析。
2.拦截并清洗网站DDOS流量攻击,可统计攻击次数和流量峰值;
3.省内具备150G防DDOS攻击能力
12
云堡垒服务
1.团队用户注册。
可以注册一个团队并分配一个管理员,每个单位注册时有一个唯一的团队代码,用户登陆时除了输入自己的账号名和密码外,同时要输入正确的团队代码;
2.团队成员管理。
可以在“团队”通过电子邮件添加企业的团队成员,也可以分配更多的管理员,每个成员可以被分配对不同的资源组进行管理;
3.堡垒模块,可通过堡垒模块对机器进行安全的远程管理和记录每个运维人员的操作信息的:
(1)通过堡垒模块进行SSH或SCP对目标主机进行管理;
(2)通过堡垒模块进行windowsRDP远程桌面管理
(3)记录相关的用户操作信息;
(4)实现对操作人员的相关操作的旁路监听;
(5)通过端口扫描发现网段内的服务器;
(6)通过对目标服务器中设置堡垒模块的证书,实现对目标服务器的免密码登录;
4.可创建一个可连通的网络集群,在这个集群内寻找一台主机通过命令行方式安装堡垒模块,向网络内添加资源:
(1)可以添加主机:
可以通过两种方式向网络内添加所需管理的资源——服务器,一种方式是通过人工表单方式直接输入IP地址等其他信息进行添加;另一种方式则是通过扫描固定网段,通过指定特定的端又(如ssh的22端口)让堡垒模块自动发现可管理的服务器;
(2)可以添加数据库:
可以通过人工表单方式直接输入IP地址或连接地址等其他信息进行添加,对添加的数据库可以设置SQL拦截规则、设置SQL审批执行审核人;
(3)可绑定或解绑堡垒机;
(4)可以分享网络:
将碉堡云中的A团队账号下的网络分享给B团队进行委托管理;
5.可以创建资源组(资源组即指服务器组、数据库组)以服务器组作为基础的管理单元,可以将不同网络中的服务器按照实际的需要分配到不同的服务器组中,比如将所有数据库服务器分配到数据库项目中,来实现分配不同运维工程师进行管理。
同时一个服务器可以属于多个服务器组;
6.服务器组可以添加成员,分配成员,并进行成员授权;
7.资源组有日志管理;
8.根据用户被分配的资源组管理权限,对应管理日志列表中相应资源组的操作日志;监控某一个用户操作人对服务器的SSH的连接及操作、RDP图形连接及操作,对操作进行记录并提供日志视频回放,提供用户下载日志记录文本文件,提供Excel日志清单下载;日志搜索功能支持日志文本全文检索能力,快速定位具体命令行及相对应主机和操作人;
9.支持两种服务器的连接操作模式,一种是通过平台的在线终端直接管理服务器,另一种则是使用自己本地的客户端、通过所分配的临时Code进行服务器操作;
10.临时授权:
提供临时授权给外部人员进行服务器操作的功能,在临时授权表单填写服务器的用户名和密码(填写哪一组用户名和密码,视外部人员管理的权限而定),提交表单后获得一个临时的URL,外部人员可以通过这个URL进行直接的操作,您同时可以进行实时同步监控并随时断开其连接。
URL使用完毕可以删除;
11.服务器连接Code是临时提供给外部人员进行服务器连接操作的连接code,code是一个六位数的字符串,可以通过资源组“连接”操作,进行资源连接,也可以通本地远程连接终端进行连接访问;
12.当任何可管理的服务器在被其他成员操作时,可以查看到所有的活跃连接信息,信息包括服务器名称,所属网络、操作人,可以针对具体的连接进行实时监控查看,如发现问题可以施行断开连接;
13
云迁移服务
1.应用迁移包括:
(1)JAVA、PHP、中间件等安装部署;
(2)系统、应用安装、配置部署;
(3)提交应用部署文档;
2.数据库迁移包括:
(1)数据库部署、配置、迁移、割接;
(2)数据库高可用模式环境搭建;
(3)数据库包括MySQL、Oracle、SQLServer、MongoDB等;
(4)灾备环境搭建;
3.网络及安全包括:
(1)VPC、VPN网络规划及配置;
(2)防火墙、安全组、ACL设置;
4.应用系统及代码改造指导包括:
(1)去Oracle改造;
(2)对象存储改造等。
14
云WAF
对网站或者APP的业务流量进行恶意特征识别及防护,将正常、安全的流量回源到服务器。
避免网站服务器被恶意入侵,保障业务的核心数据安全,解决因恶意攻击导致的服务器性能异常问题。
15
其他要求
其他相关设备须满足国家电子政务外网标准《政务云安全
升级会员 