预算管理一体化支撑平台建设方案.docx
《预算管理一体化支撑平台建设方案.docx》由会员分享,可在线阅读,更多相关《预算管理一体化支撑平台建设方案.docx(84页珍藏版)》请在冰豆网上搜索。
预算管理一体化支撑平台建设方案
预算管理一体化支撑平台
建设方案
一、总体情况
一.1.项目建设目标
本项目的总体目标是支撑全区预算管理一体化改革后,满足财政核心业务系统的高效、稳定、安全、可靠的运行,确保财政信息化系统改革圆满完成。
建成后,主要实现以下目标:
1、支撑全区预算管理一体化系统及其它多个财政业务信息系统的稳定、安全、高效和可靠运行,其中大部分核心业务系统是对针对财政、预算单位、社会团体、个人和企业服务的,涉及到财政收入、支出、资产、债务、办公、财政供养和财政管理等方方面面,为预算管理一体化系统及其他信息系统的实施和改革打下坚实基础。
2、在满足财政现有双活数据中心的基础上支撑预算管理一体化系统及其它财政业务信息系统的数据库、存储和备份等功能,确保数据运行准确、安全、高效和可靠。
支撑服务器虚拟机作为资源池的资源,部署业务系统的数据库,IOPS吞吐可以达到30万以上。
3、支撑全区大约2万个用户,实现支撑预算管理一体化自治区本级及7个地市,74个县区、5000多家预算单位的财政业务应用,约2万多用户在线访问使用。
4、建设统一管理财政厅虚拟资源的“财政云平台”,能够帮助财政厅提高IT资源环境下的管理能力、维护能力。
5、支撑计算机数据中心机房节电率可以达到现有标准的30%。
6、实现财政各种业务系统信息数据可追溯、可恢复,避免因技术和业务人员误操作带来的相关隐患。
7、达到国家计算机信息系统等保三级的相关要求,对于内、外网系统主机漏洞、应用漏洞、漏洞利用危害及蜜罐防攻击都有了重要提升,实现全区财政系统“谁进来,做了什么,找出长期潜伏的隐患”。
一.2.现有机房情况
根据目标需要,本次升级改造,根据绿色,节能的思路,按照发改委,经信厅出台的绿色数据中心建设标准,引入了“基于氟泵的冷凝塔空调技术”实现降低电力消耗的目标,同时采用一体化机柜技术建设28个机柜及支撑机柜运行和信息设备运行的相关配套系统,增加3D机房检测、报警、展示等功能,改造储藏室增加到19平方米,改造强电室20平方米,老UPS实现楼层电力供应,新UPS用于机房供电,增加网络室23平方米,将运营商、楼层网络,电子政务网汇聚如此,方便后期各单位检修。
一.3.应用计算系统(服务器存储)情况:
虚拟机现状:
1.虚拟服务器情况
财政厅目前共有379台虚拟服务器,所有的虚拟服务器都由第一办公区36台物理ESXI主机支撑。
其中互联网虚拟服务器36台,由5台物理主机支撑,内网虚拟服务器343台,由31台物理主机支撑。
这些服务器空闲资源可以互相利用,较高程度的达到了资源充分利用。
379台虚拟服务器中,有部分服务器处理停止和僵死状态。
2.物理主机情况
具体拓扑图如下:
3.物理主机连接情况及用途
西藏自治区财政厅目前共有物理服务器53台,第一办公区44台,其中35台为VMware主机(内网VMware主机30台,外网VMware主机5台),9台为物理服务器(内网物理服务器7台,外网物理服务器2台)。
第二办公区9台,其中2台为内网VMware主机,7台物理服务器处于未利用状态。
一.4.网络系统建设情况
1.总体网络建设情况
西藏自治区财政厅计算网络有:
电子政务内网、电子政务外网和财政核心业务专网,财政外网。
电子政务外网和财政专网之间采用逻辑隔离。
电子政务内网单独部署,物理隔离;互联网单独部署,物理隔离;本次建设只涉及财政核心业务专网。
2.财政核心业务专网建设情况
区财政厅已构建了自治区级数据中心机房和业务应用双活数据中心,为西藏自治区财政系统信息化建设奠定了强有力的信息网络数据基础平台。
一是在网络建设上,实现了横向财政、人行、商业银行网络连通,纵向建设了自治区—地(市)—县(区)三级广域系统专用网络,该网络覆盖7市(地)74个县(区、市)局,各市(地)、县、乡预算单位,实现网络全覆盖,实现各类财政业务。
3.网络安全系统建设情况
区财政厅信息网络系统等保定级为三级。
建立了一套稳定、安全、可靠可信的安全架构,能够保障核心业务系统的数据和运用安全,全网实现了身份认证、数据安全、虚拟化安全、运维管理、状态监控和等级保护等安全管理功能。
二、本项目建设相关要求
二.1.数据中心机房改造
西藏自治区财政厅数据中心机房建设,按照国家B级机房标准建设,同时参考国际TIA-942-2005TierⅢ、ASHRAE标准和国内电信机房B类标准,机房基础设备和设施冗余配置,B类机房基础设备和设施冗余配置,设备和设施的故障不会导致信息系统运行中断。
该中心机房按照模块化设计建设,可以根据业务发展需要实现简单及快速的扩展。
改建的信息中心机房能够放置28个服务器机柜,满足单位在未来3~5年内业务增长需求。
根据西藏自治区财政厅使用单位对机房环境的实际管理需求,建设一个功能齐全、模块化、高度集成的现代化B级数据机房。
本次西藏自治区财政厅机房建设技术需求主要涉及以下九个子系统:
Ø基础建设子系统
Ø电气子系统
ØUPS电源系统
Ø制冷工程系统
Ø微模块系统
Ø环境监控系统
Ø新排风系统
Ø综合布线系统
Ø消防系统
机房需求如下:
机房需求表
子系统
内容
需求
基础建设子系统
机房改建完成时间
2022年
主机房面积
120㎡
运营商网络设备接入间面积
23㎡
强电间面积
20㎡
储物室面积
19㎡
电气子系统
市电接入方式及容量
单路
变压器设置及容量
单路
UPS设置及容量
2套模块化UPS,前期UPS配置120KVA,系统后备保障时间≥2小时。
发电机设置及接口
要求预留
空气调节子系统
空调设置及容量
中心机房列间空调数量:
4台,单机制冷量:
38kw风冷,前期负载少时可形成3+1备份,后期满载时可符合机房制冷要求;
地板高度
400mm
新风系统情况
新排风系统
微模块子系统
微模块系统情况
中心机房前期采用双通道,双排机柜封闭,共28个机柜、2个列头柜、4台空调通道封闭
监控与安全防范子系统
环境监控
监控区内环境
安全防范
入口控制
综合布线
机房内布线包括强弱电桥架,综合布线桥架、消防信号走线等均采用上走线方式。
根据敷设位置不同,分为模块单元内部机柜间布线系统和模块单元外部综合布线系统。
消防系统
机房消防系统包括气体灭火系统和消防报警系统两部分
机房防雷接地
满足国标三级防雷
二.2.数据服务器、网络、分布式数据库及网络安全升级改造
西藏自治区财政厅数据中心建设采用省级集中部署模式,各信息系统软件和数据集中在财政厅数据中心机房。
建设需充分考虑对西藏财政现有网络资源、计算资源、存储资源等基础设施的利旧。
项目须依托于国内生产硬件。
二.3.应用计算系统(服务器存储)改造
服务器存储系统采用自治区级集中部署模式建设,相关系统软硬件均集中在自治区财政厅。
分布式系统、服务器存储系统建设专用于财政厅新建系统“预算管理一体化系统”使用。
分布式系统、服务器存储系统采用主流架构,核心网络设备支持万兆以上接入能力,能够满足地市、县区和自治区本级接入需求。
分布式系统、服务器存储系统具备高可用、弹性扩容、实时监控、精准计量等能力,可按需提供计算、存储、网络、运维、安全等基础服务,具备完善的SLA体系。
计算服务
1)虚拟化计算资源
弹性云主机是一种可随时自助获取、可弹性伸缩的虚拟化服务器,帮助用户打造可靠、安全、灵活、高效的应用环境,确保服务持久稳定运行,提升运维效率。
2)弹性伸缩服务
弹性伸缩服务是根据业务需求和策略,自动调整其弹性计算资源的管理服务。
用户定义周期及监控策略,让弹性伸缩服务动态的调整云主机实例,保证业务平稳健康运行。
弹性伸缩服务能力如下
提供弹性伸缩服务,可以根据用户业务需求,通过预先配置好的策略自动调整资源以应对业务变化的压力;
支持配置弹性伸缩服务的最大、最小可支持的虚拟机数量,弹性扩充的虚拟机可以使用的网络地址,支持配置自动扩容的虚拟机可以从指定镜像或者指定虚拟机进行创建。
支持按资源使用情况来配置伸缩策略,检测到CPU、内存等资源的使用在一定时间内达到阈值则进行云主机的扩容/减容操作。
二.4.网络系统改造
网络改造方面,确认现有接入方式及全网带宽,在新增的机柜增加万兆置顶交换机,服务器接置顶交换机,万兆置顶交换机通过40G光网络传输到核心交换机上的架构,节约核心交换机端口,加快单台设备下同网段之间数据传输速度。
二.5.安全系统改造需求
Web渗透测试:
渗透测试是指通过模拟黑客恶意的攻击方法,来评估计算机网络系统安全的一种评估方法,Web渗透测试只是针对Web应用的渗透测试。
Web渗透测试过程中,需要对HTTP请求和响应包做出分析,它集合了多种渗透测试组件。
本次测试工作要更加容易和方便,根据漏洞扫描的结果来验证漏洞造成的危害。
二.6.分布式数据库及数据备份
分布式数据库存储,为了保障核心数据库系统的稳定运行,提高数据库的安全性,保障业务的连续不间断运行,重新构建核心数据库,构建一套安全、高效、连续、经济的服务平台,最终实现业务连续性、数据安全一致性的目标。
财政厅第一办公区数据中心将形成高性能、高稳定性、高可扩展性的分布式存储架构平台作为底层支撑,财政厅第二办公区数据中心部署一套备份一体机。
实现同城数据库备份,确保数据零丢失、恢复100%。
本次项目采用软件定义存储数据库双活架构,整个架构由计算层、网络层、存储层组成。
二.7.集成服务需求
集成项目管理
结合项目建设目标,从技术与进度的维度,组织各厂商进行计划制定、风险识别、风险分析、风险应对计划,对整体风险进行跟踪和升级。
主要包括项目团队组建、项目整体管理、项目质量管理、项目进度管理、厂商项目人员能力评估、项目沟通管理、项目风险管理、厂商管理。
1)项目团队组建
负责分析项目所需人员能力模型,组建预算管理一体化系统管理团队,该团队包括并不局限于以下内容:
项目管理、架构设计、开发支持、质量管理、测试管理等,定义项目管理团队中各个角色的工作职责、工作内容和技能要求,项目管理团队负责协调各厂商按照统一架构开展开发与集成工作,推动整个项目按照预计目标、计划进度、目标质量实施落地。
集成方需协助组织和召开项目启动会,准备项目启动会材料,完成项目启动。
2)项目整体管理
负责制定项目章程、制定项目范围说明书、制定项目管理计划、指导和管理项目实施、制定项目管理相关规范和模板、监督和控制各项目运作、整体变更控制、项目收尾等工作,定义各个环节的准入、准出条件。
3)项目质量管理
项目质量管理的具体工作内容包括:
制定集成开发管理流程、建立质量管理制度、明确质量管理的目标和原则、清晰项目各参建方的质量管理边界、提出对各厂商的组织架构和交付物的要求。
4)项目进度管理
根据项目建设目标,组织各方制订里程碑计划、项目主计划,明确工作任务和责任边界,对各厂商的子项目计划进行评审。
根据项目工作进度,组织定期更新项目主计划,识别执行期间出现的偏差,确定造成偏差的原因和责任主体,评审其提供的改善计划,并监督执行。
监控项目进度,保证项目按照工期计划表要求进行。
及时收集实际工作进展信息,分析造成偏差的原因,并采取相应的改进措施。
5)项目变更管理
制定变更管理流程,组织梳理项目的需求和范围基线,定期对项目范围进行日常审视和管理。
6)项目沟通管理
项目沟通管理包括项目过程中产生、收集、传播并最终处理相关信息,项目沟通流程将贯穿项目实施的整个过程。
本项目涉及多个厂商和内外部单位,相关技术复杂,环环相扣,沟通不畅将导致进度受阻、无法正确决策。
集成方负责对各厂商的沟通管理提出要求,并结合厂商在项目交付中的实际情况,给出评估意见。
定期召开项目例会,回顾当前阶段工作内容,提交项目周报,内容包括:
项目进展报告、存在的问题和相应的解决方案、下周工作计划、所需的支持。
根据项目进展情况的需要,参与项目的专题例会,并提交会议纪要。
每个月或按项目阶段完成标志,向建设方项目管理机构或项目负责人汇报本项目的进展状况、存在的问题、需要协调的主要事项、下一阶段工作计划。
7)项目风险管理
通过持续关注风险管理,项目组将把潜在的负面事件及其对项目的影响降至最低,以便提高项目成功的可能性。
建立项目风险管理机制,明确对问题、风险的级别定义。
集成商需从技术和管理维度进行系统性风险识别,组织项目参建单位对系统性风险进行分析,提供系统性风险应对建议,并协助建设单位明确风险应对责任主体,组织各厂商制订风险应急预案,跟踪责任主体对风险的应对处理措施进展,向建设单位进行汇报和提醒。
对于外部风险,项目经理应及时升级风险,并积极寻找高风险事件的解决方案。
8)厂商管理
厂商的管理,主要包括以下几个方面:
制定厂商管理制度并监督执行,对各厂商的项目经理和核心技术人员提出要求,并结合现场实际情况给出评估意见。
向建设单位、项目监理单位提供对各厂商的考核与奖惩建议。
技术协调,清晰定义预算管理一体化系统的组织结构,明确责任边界及管控模式。
制定技术规则和仲裁机制,推动问题快速定位,解决闭环。
9)现场考察
经采购人允许,潜在投标人可进入项目现场进行考察,但潜在投标人需要签署保密承诺函及廉政承诺书,在采购期间除现场考察外不得有任何行为使采购人承担有关责任和蒙受损失。
潜在投标人应自行承担现场考察的全部费用、责任和风险,采购人不向潜在投标人提供有关现场的数据和资料(各类资料均已在招标文件中出具)。
采购人对潜在投标人依此作出的任何推论、理解和结论均不负责任。
国家相关行政主管部门颁布的强制标准、规范
采购内容需执行的国家相关标准、行业标准、地方标准或者其他标准、规范。
序号
名称
标号或文号
1
《计算机软件开发规范》
GB8566
2
《计算机软件质量保证计划规范》
GB/T12504
3
《计算机软件可靠性和可维护性管理》
GB/T14394
4
《软件产品评价质量特性及其使用指南》
GB/T16260
5
《信息技术云计算参考架构》
GB/T32399
6
《信息安全技术云计算安全参考架构》
GB/T35279
7
《计算机软件需求规格说明规范》
GB/T9385-2008
8
《计算机软件测试文件编制规范》
GB/T9386-2008
9
《全国信息网络系统建设技术规范》
2009修订版
10
《信息技术、软件包质量要求和测试》
GB/T17544-1998
11
《信息技术云计算参考架构》
GB/T32399-2015
12
《信息技术云数据存储和管理》
GB/T31916-2015
13
《信息系统灾难恢复规范》
GB/T20988-2007
14
《信息安全技术网络安全等级保护基本要求》
GB/T22239-2019
15
《安全防范系统技术标准》
GB50348-2018
三、项目技术、服务要求
序号
名称
功能及技术参数
(一)总体要求
1
背景理解及重点难点分析
相关规范和标准有深刻的理解;并充分认识本项目中顶层设计所面临的重点和难点。
2
人员能力要求
拟派具备顶层设计能力的负责人为投标人正式在册人员,应具备信息化建设与规划经验,具有CISP、PMP等认证证书。
3
技术总体要求
方案内容应具有预期成果的示例展示。
方案内容应包含1)总体方案说明;2)现状分析与评估说明;3)业务蓝图说明;4)技术蓝图说明;5)实施路径说明。
基于应用现状、技术现状、信息化建设的诉求、目标与策略,结合财政部相关要求从而分析系统整体架构情况,明确信息化建设的诉求与目标,制定财政一体化系统部署策略。
(二)数据中心机房改造
4
整体要求
机房主要设备(UPS,空调,微模块)厂商或投标人需具有ISO19001\45001\27001认证;需具有国家高新技术企业证书;需具有建筑机电安装三级资质证书;需具有电子智能化二级资质证书;需具有安全生产许可证;需具有通过GMPI认证和CNAS或相同的机构认证的空调性能实验室认证证书;在ICTresearch国内机房专用精密空调排名为前五名;机房设备生产厂商在ICTresearch国内微模块产品排名为前五名;机房设备生产厂商在ICTresearch国内模块化UPS产品排名为前五名;
配合第三方测试机构,数据中心能够在绿色数据中心测评中达到四星级或以上。
5
技术要求
空调机组要获得中国节能产品认证证书(CQC)证明,精密空调产品必须是制造厂原厂自己生产、装配、接线及调试,不得将挂靠其它资质单位所生产产品作为投标产品,提供所投精密空调的节能认证证书复印件。
由于项目现场安装位置限制,精密空调试室外机采用集中式冷凝器配置,节能节地,需提供已交付案例照片证明。
室外机模块单元采用“V”型冷凝器,增大散热面积,且氟泵单元需内置在模块化室外机系统中,便于安装维护;现场立式安装,连管为侧接方式,占地面积不大于1200*4600MM,安装高度不大于2200mm。
智能氟泵双冷源空调依据其特点,在同一套制冷系统中串联实现压缩机制冷、氟泵节能循环系统,不引入新风,保持机房密封性、洁净度,不需要在外墙上开设风口,机房内不得引入水管线,不需要再制冷系统外部增加管路系统等。
尺寸不大于650mmX300mmX950mm,氟泵必须为全封闭结构,占地面积不大于0.2m2,并提供证明和场地实拍图片;必须提供制造商氟泵双冷源节能空调系列的权威第三方性能测试报告。
6
场地保护
需对本次改造涉及的区域进行场地保护材料环保、防火、防水厚度高于2公分,场地要防雨防风,需要进行详细设计。
7
货物运输和存储
投标人须提供分发所需仓储及物流安全又可靠的解决方案.
8
机房装修
按照B类机房标准,规划建设网络设备间、增加强电设备间、储物间面积,并且对现有机房进行机房基础装修部分的改造。
9
机房设备保护
机房改造期间,保障原有设备稳定运行,需要设计机房内设备保护。
(三)集成服务
10
集成架构管控
集成架构管控需组织整体集成方案编制,负责集成方案实施管理。
11
设备迁移(原一机房内)
IT设备迁移到一体化机房、网络设备(包括电信设备)迁移到网络机房,并保证业务正常运行。
12
机房改造平稳过度
需基于本项目建设目标,充分考虑项目的进度,负责组织本项目范围内机房改造方案,方案要求不停业务。
(四)容器云管理平台
13
整体要求
原厂商应积极参与Docker及Kubernetes开源生态社区,必须是云原生计算基金会(CNCF,CloudNativeComputingFoundation)的成员,担任CNCF技术委员会(TOC)或管理委员会(GoverningBoard)的成员优先考虑。
14
投标供应商或原厂商应积极参与开源社区,有原创的CNCF基金会开源项目(沙盒、孵化或者毕业阶段),需提供证明文件。
15
本次投标产品需基于Kubernetes容器编排框架,为确保系统一致性、满足未来系统升级需求,投标产品的Kubernetes发行版、Kubernetes安装部署工具应通过CNCF基金会Kubernetes一致性认证。
16
本次投标产品基于Kubernetes容器编排框架,产品100%开源,需提供产品开源代码公开访问链接证明如github链接等。
专为本项目定向开源视为不满足。
17
本次投标原厂商在国际第三方主流评测机构(Gartner或Forrester)容器领域的评测中,厂商必须位于领导者象限或挑战者象限,必须提供原始报告。
或在第三方评测机构容器和云原生相关报告中,作为代表性厂商出现。
18
本次投标原厂商需为全球性容器公司,在国内和国外均设有研发机构。
19
本次投标原厂商需提供容器平台的整体解决方案,能够采用自有品牌的容器管理平台、容器操作系统、持久化容器存储、边缘计算容器产品的厂商优先考虑。
20
供应商应提供全球的客户数量和中国地区容器云平台客户名单及合同扫描件。
21
满足由中国信息通信研究院及云计算开源产业联盟评估的可信云容器解决方案四个应用场景。
22
具备云原生计算基金会与中国信息通信研究院联合认证的可信云kubernetes认证(TCCK)。
23
为保证平台运行安全可靠,本次产品厂家需同时具备CKA(CertifiedKubernetesAdministrator),RancherEnterpriseCertifiedArchitect(RECA)ElasticCertifiedEngineer(ECE)能力。
24
云平台软件技术要求
多集群管理
容器平台能同时对多个Kubernetes集群进行管理,包括创建集群、删除集群、为集群添加主机等。
每个集群有自己独立的管理视图,包括控制面板、主机视图、容器视图、应用视图,可图形化显示其所包含的节点状态和容器运行状态,并可以对节点和容器操作。
每个集群上运行的应用和其他集群隔离
25
集群基础设施管理和部署
容器云平台能够指定Kubernetes集群的部署角色,包括etcd数据节点、APIServer、ControllerManager控制节点、worker计算节点等。
不同集群能够指定不同的容器网络模式,灵活支持目前社区主流的容器网络解决方案,包括flannel、Calico、Canal、Weave等。
平台能够提供自动化部署工具,快速灵活的部署kubernetes集群。
26
集群管理权限设定
可设定每个集群的用户角色和权限,除默认内置角色外,支持在图形界面进行细粒度的RBAC权限自定义和角色创建。
管理员可以创建自定义角色,指定对平台内各种资源对象(包括但不限于Cluster、Pod、Deployment、ConfigMap等)的创建、删除、编辑、枚举等各种细粒度的操作权限。
27
导入外部Kubernetes集群管理
容器云平台必须能够导入外部Kubernetes集群并进行管理的功能,以满足对各种Kubernetes集群统一纳管的需求。
导入的Kubernetes集群能够通过容器云平台界面进行统一的角色管理,应用部署等各种操作。
28
公有云Kubernetes集群服务纳管
容器云平台必须能够对业界主流公有云厂商的Kubernetes服务进行纳管,包括但不限于:
AWSEKS,AZUREAKS,GoogleGKE,华为云CCE,阿里云ACK,腾讯云TKE
29
Kubernetes版本支持
支持Kubernetes目前的主要稳定开源版本,包括1.12、1.13、1.14、1.15、1.16、1.17等。
用户在部署Kubernetes集群时可以根据需要选择相应的版本进行部署。
30
Kubernetes部署高级设置支持
支持部署Kubernetes集群时在图形界面配置Kubernetes各组件的高级启动参数,包括APIServer,ControllerManager、Scheduler等,能够通过参数灵活调整Kubernetes的部署设置,包括PodCIDR范围、ClusterIPCIDR范围,Kubelet启动资源预留等,以灵活满足系统部署的多样性需求。
31
集群无停机升级
通过平台创建的Kubernetes集群,集群的系统软件,如Kubernetes版本、网络等系统服务软件,可通过图形界面在线升级或回退,升级过程对Kubernetes的数据平面、控制平面、计算平面等进行滚动更新,可设置最大不可用节点数,升级时并发升级节点数不超过最大不可用节点数,从而确保不影响集群环境中业务的使用。
32
集群模板
平台管理员能够创建Kubernetes
升级会员 