XX省旅游局智慧旅游省级综合平台一期数据中心和产业监测平台方案.docx

1、XX省旅游局智慧旅游省级综合平台一期数据中心和产业监测平台方案XX省旅游局智慧旅游省级综合平台一期数据中心和产业监测平台方案（1）项目概述以国务院关于加快发展旅游业的意见、中国旅游业“十二五”发展规划信息化专项规划和XX省旅游业发展“十二五”规划为指导，以新一代信息技术为支撑，以游客需求为中心，以应用需求为导向，以项目建设为抓手，加快推进省级智慧旅游综合平台建设，为全省智慧旅游建设奠定基础、提供示范，为全省旅游转型升级搭建平台、注入动力。按照政府统筹、资源整合、协同共享、分步实施的原则，通过建设一批智慧旅游项目，努力做到泛在化的信息基础设施比较完备、智能化的管理服务系统协同有效、便利化的旅游综

2、合服务体系保障有力，力争打造一个“赶超全国、引领全省、服务大众”的省级智慧旅游综合平台，推动XX省旅游在“创新管理、提升服务、促进营销”方面迈出新的步伐。我省旅游服务质量总体水平还不能满足经济社会不断发展和旅游消费者需求日益提高的需要，尤其是在旅游信息服务水平上仍存在较大的差距，旅游信息化发展中积累的一些共性问题制约了旅游信息服务水平，其中旅游基础数据库建设是制约旅游信息服务水平提升的重大瓶颈之一。因此，XX省旅游局启动智慧旅游省级综合平台一期项目招标，并明确提出把XX省旅游数据中心和XX省旅游产业监测平台作为重点项目。（二）设备功能及技术要求1、设备功能参数要求1）数据中心存储技术指标序号指

3、标项技术规格（或功能及参数）要求1.1体系结构采用全模块设计1.2存储控制器 支持多控制器级联，最大支持四个控制器，多控制器之间缓存镜像，配置两个存储控制器，控制器冗余设计1.3缓存 配置32GB Cache，可支持128GB Cache （非SSD或者高速Flash 充当缓存）。1.4SSD缓存加速支持SSD缓存技术，加速数据读取速度和降低应用延迟。1.5缓存保护支持 BBU 电池保护，配置基于 Flash 的永久保护模组1.6主机接口最大支持16个8Gb FC主机接口，最大支持16个 1Gb IP主机接口，最大支持8个万兆接口，本次配置8个8Gb FC主机接口1.7后端接口配置4个 6Gb

4、 SAS 4X扩展接口。1.8磁盘驱动器支持 2TB,3TB,4TB 7.2K 6Gb NL SAS 磁盘 ；600，900GB,1200GB 10K 6Gb SAS磁盘；200,400GB EMLC SSD硬盘；支持在同一个磁盘阵列柜子中混合使用不同类型，不同容量的硬盘。1.9扩展性 最大可扩展到516 块硬盘。1.10实配容量10*3.5寸 SAS 4T 7.2K 硬盘1.11RAID 级别支持RAID 2.0技术，支持在同一个RAID组中 三块硬盘同时掉电，通过RAID 2.0技术，提高磁盘利用率，加快数据重构时间。1.12数据保护配置单个数据卷支持大于等于512个快照，支持快照回滚、快

5、照视图、卷拷贝、自动精简配置功能1.13存储系统高可用功能为了实现业务级数据容灾，要求四控制器之间可以跨地域进行部署，同时具备故障切换功能，支持将存储中的数据自动存放在两个不同的存储系统中，并且保证两份数据严格的物理隔离，同时保证两份数据自动实时同步。1.14系统管理软件提供完整的存储系统管理软件，支持集中式 GUI 管理，在同一管理界面实现监控，提供冗余和负载均衡管理。 1.15系统兼容性支持 WinNT,Win2000,Win2003,Win2008,Solaris, AIX, HPUX, NetWare, Red Hat Linux 等主流操作系统。1.16系统扩充性模块化结构，具有完全

6、在线、无需停机的扩充能力，包括系统微码升级、系统处理能力的扩充、存储容量的扩充和 IO 能力的扩充等，并支持系统的平滑扩充。1.17电源风扇冗余电源，冗余散热风扇设计。1.18售后服务要求原厂3年免费质保服务2) 应用服务器参数及功能要求序号指标项技术规格（或功能及参数）要求2.1高度2U机架式服务器，配套机架安装导轨2.2CPU2颗，单颗CPU物理核心15核，主频2.3GHz2.3内存配置128G内存(16*8G)2.4硬盘2个900G10KRPM热插拔2.5寸硬盘，最高支持24块2.5寸热插拔SAS/SATA硬盘，同时支持可选2个内置2.5寸SATA硬盘或SSD硬盘2.5Raid卡配置1G

7、 cache PCI-E八通道SAS RAID卡，支持 RAID 0/1/10 /1E；2.6HBA卡2个单口8Gb PCI-E 光纤HBA卡2.7网卡2个Intel芯片双千兆网卡；支持IOAT2网络加速技术，网络唤醒、网卡绑定功能；2.8电源白金效率550w，1+1冗余电源2.9扩展槽5个PCI-E，其中至少3个PCI-E x162.10配件超薄DVD-RW2.11操作系统配置正版Windows Server 2012 简体中文企业版操作系统2.12随机软件服务器原厂集群管理软件，提供硬件和运行状态的统一管理、监控功能，综合告警管理和综合报表分析，支持快速恢复系统，可扩展支持短信或邮件方式故

8、障提醒服务（提供国家版权局登记证书复印件）2.13售后服务提供原厂商5年7*24免费上门服务。3) 数据库服务器参数及功能要求序号指标项技术规格（或功能及参数）要求3.1高度4U机架式服务器，配套机架安装导轨3.2CPU4颗，单颗CPU物理核心15核，主频2.3GHz3.3内存配置256GB 内存（32*8G）3.4硬盘4*900G10KRPM热插拔2.5寸硬盘，可扩展至8块； 3.5Raid卡配置1G cache PCI-E八通道SAS RAID卡，支持 RAID 0/1/10 /1E；3.6HBA卡2个单口8Gb PCI-E 光纤HBA卡3.7网卡2个Intel芯片双千兆网卡；支持IOAT

9、2网络加速技术，网络唤醒、网卡绑定功能；3.8电源1+1冗余金牌电源,最多支持四个电源模块，支持PMbus3.9扩展槽4个PCIE2.0插槽，其中至少两个PCIEx163.10配件超薄DVD-RW3.11操作系统配置正版Windows Server 2012 简体中文企业版操作系统.3.12随机软件服务器原厂集群管理软件，提供硬件和运行状态的统一管理、监控功能，综合告警管理和综合报表分析，支持快速恢复系统，可扩展支持短信或邮件方式故障提醒服务（提供国家版权局登记证书复印件）3.13售后服务提供原厂商5年7*24免费上门服务。4)三层交换机参数及功能要求序号指标项技术规格（或功能及参数）要求4.

10、1端口配置48个10/100/1000MBase-T(RJ45) 端口，4个复用的千兆SFP接口；10G端口密度大于等于24；4.2背板容量2.4Tbps 4.3交换容量 1.5T；4.4包转发率432Mpps；4.5业务槽位大于等于 6； 4.6GE端口密度大于等于 280；4.7功能配置与维护 支持Console、Telnet、SSH等终端服务；支持SNMPv1/v2/v3等网络管理协议；支持通过FTP、TFTP方式上载、下载文件；支持BootROM升级和远程在线升级；支持热补丁;支持用户操作日志；安全和管理；802.1x认证，Portal认证 ;支持NAC ;支持RADIUS和HWTAC

11、ACS用户登录认证 ;命令行分级保护，未授权用户无法侵入 ;支持防范DoS攻击、TCP的SYN Flood攻击、UDP Flood攻击、广播风暴攻击、大流量攻击;支持1K CPU通道队列保护 ;支持ICMP实现ping和traceroute功能;支持RMON.4.8电源配置1+1冗余电源4.9售后服务提供原厂商3年7*24免费上门服务。5）光纤交换机参数及功能要求序号指标项技术规格（或功能及参数）要求5.1接口类型FL_Port、F_Port、M_Port（镜像端口）和E_Port；5.2 端口配置24端口（16端口激活，含16个8Gb/s短波SFP），5.3USB端口1个USB端口，适用于固

12、件下载、支持保存、配置上传/下载；5.4售后服务提供原厂商3年7*24免费上门服务，提供服务器原厂授权及售后承诺函原件，复印件无效。6）KVM切换器参数及功能要求序号指标项技术规格（或功能及参数）要求6.1端口要求16 端口；IQ模块。2 数字用户， 1 本地用户，6.2接口要求VGA视频接口，USB鼠标与键盘接口;6.3配 件含19寸液晶套件、鼠标、键盘7）机柜参数及功能要求序号指标项技术规格（或功能及参数）要求7.1物理尺寸要求42U服务器机柜，600x900x2200（单位：毫米）。7.2接口要求VGA视频接口，USB鼠标与键盘接口;7.3配 件3套共配24个10A PDU8）网络安全产

13、品参数及功能要求完善XX省旅游数据中心的数据安全，可提供高性能、冗余的外联安全设备，外联设备提供IPSEC VPN功能，方便各市州、县级旅游局等安全的上传数据与信息。建设完善的数据中心安全体系，能防范各种外部入侵，内部的误操作等破坏行为，保障数据中心安全稳定的运行，同时可以对省级平台的其它应用提提安全屏障。针对各种应用，配备可以防护黑客入侵和攻击的硬件IPS墙，针对门户网站，资讯网的防护，要专门配备硬件WAF，同时具备网站防篡改的能力。具体指标要求如下：IPS要求技术指标项指标要求硬件平台采用多核多线程并行处理硬件架构，底层操作系统分离平面设计接口标准2U设备冗余电源,至少具有4个10/100

14、/1000Base-T接口, 4个千兆10/100/1000SFP接口，至少支持4对Bypass接口；性能整机吞吐量10Gbps，七层吞吐2Gbps并发连接数200万，每秒新建连接数12万部署方式支持网关模式，支持NAT、路由转发、DHCP等功能；支持网桥模式，以透明方式串接在网络中；支持同时开启网关和网桥模式。抗攻击特性设备必须内置病毒库、漏洞特征库、应用识别库、WEB应用防护库、数据泄密防护库，并且支持在线自动升级。其中应用识别库的应用总数在1000条以上，规则总数在2200条以上；漏洞特征识别库的特征总数在4000条以上；WEB应用防护识别库规则总数在2000条以上。数据泄密防护库支持用

15、户自定义敏感信息。（以上内容必须提供详细操作界面截图并加盖厂商公章）。入侵防御功能必须是微软“MAPP”计划会员，特征库必须获得CVE“兼容性认证证书”漏洞分为保护服务器和保护客户端两大类，便于策略部署漏洞详细信息显示：漏洞ID、漏洞名称、漏洞描述、攻击对象、危险等级、参考信息、地址等内容包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等防躲避，支持TCP协议的乱序重传、TCP分包支持防御Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN

16、Flood、ICMP Flood、UDP Flood、DNS Query Flood、ARP欺骗攻击防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、支持IP SYN速度限制、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制等功能，此外还支持静态和动态黑名单功能、MAC和IP绑定功能服务器防护支持OWASP定义10大web安全威胁，保护服务器免受基于Web应用的攻击，如SQL注入防护、XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解（需提供截图证明）。支持Web网站隐藏，包括HTTP响应报文头出错页面的过滤，web响应报文头可自定义。

17、支持FTP服务应用信息隐藏包括：服务器信息、软件版本信息等。URL过滤，对用户web行为进行过滤，保护用户免受攻击；支持只过滤HTTP GET、HTTP POST等应用行为；并进行阻断和记录日志。脚本过滤，支持基于操作类型的脚本过滤，如注册表读写、文件读写、变形脚本、威胁对象调用、恶意图片等。支持APT检测功能，防止僵尸网络感染PC终端用户。敏感信息防泄漏可定义的敏感信息，内置常见敏感信息的特征，且可自定义敏感信息特征，如用户名、密码、邮箱、身份证信息、MD5密码等。（需提供截图证明）数据文件敏感信息检测，支持数据库文件敏感信息检测，防止数据库文件被“拖库”、“暴库”。http敏感信息检测，支

18、持正常访问http连接中非法敏感信息的外泄操作。漏洞风险评估支持服务器的漏洞风险评估功能(为了保障与防火墙之间智能联动，要求漏洞风险评估非第三方软件产品)。支持ftp、mysql、oracle、MSsql、ssh、RDP、网上邻居NetBIOS、VNC等多种应用的弱口令评估与扫描（需提供截图证明）。支持被动漏洞检测方式，通过旁路部署被动进行报文特征匹配、协议异常检测数据中心设备必须支持内置数据中心。报表与日志系统提供端口、服务、漏洞、弱密码、WEB安全漏洞等安全风险评估报表支持DOS攻击、web防护、IPS、web威胁、网站访问、应用控制、用户登录、系统操作等多种安全日志查询提供遭受攻击最多服

19、务器、攻击类型分布、攻击最多来源IP、服务器安全说明、服务器安全分析等内容服务器安全报表。提供可定义时间内安全趋势分析报表支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险等内容，并形成报表支持将统计/趋势等报表自动发送到指定邮箱支持导出安全统计/趋势等报表，包括网页、PDF等格式售后服务要求产品包括三年硬件质保和三年应用特征库升级；产品资质产品应具备软件著作权登记证书；产品应具备公安部销售许可证。产品应具备CVE兼容性认证证书和OWASP web防火墙认证证书；产品具有中国国家保密局测评中心颁发的涉密信息系统产品检测证书产品具有国家信息安全测评信息技术产品

20、安全检测证书-EAL3+级产品应具备ISCCC中国国家信息安全产品认证证书WAF要求技术指标项指标要求硬件平台采用多核多线程并行处理硬件架构，底层操作系统分离平面设计硬件规格标准1U机架式设备, 至少具有6个10/100/1000 Base-T千兆电口，提供独立的管理接口，并含2个高速USB2.0接口，1个RJ45串口整机吞吐量5Gbps，七层吞吐700Mbps并发连接数150万，每秒新建连接数9万部署方式支持网关模式，支持NAT、路由转发、DHCP等功能；支持网桥模式，以透明方式串接在网络中；支持同时开启网关和网桥模式。设备联动为了保障设备之间的联动性，与入侵防御设备IPS为同一品牌网络适应

21、能力支持802.1Q协议，VLAN解码，在Trunk主链路上部署（需提供截图证明）支持端口汇聚（port-channel），显著提高设备间的吞吐能力为了满足不同网络组网需要，支持静态路由、RIP、OSPF路由配置（需提供截图证明）WEB安全防护支持OWASP定义10大web安全威胁，保护服务器免受基于Web应用的攻击，如SQL注入防护、XSS攻击防护、CSRF攻击防护、支持根据网站登录路径保护口令暴力破解支持管理员页面、管理后台的短信强认证机制（要求至少提供URL、telnet、ssh三种方式的短信认证截图）支持Web网站隐藏，包括HTTP响应报文头出错页面的过滤，web响应报文头可自定义。需

22、支持Web服务器软件（IIS、tomcat、nginx、apache）自身漏洞安全防护，web服务器底层操作系统漏洞安全防护（需提供截图证明并加盖厂商公章）支持异常连接检测，对21，22，25，53，69，80/8080，110，143，443等常见端口的协议异常流量检测，并支持RDP和SSH端口反弹链接检测。 支持FTP服务应用信息隐藏包括：服务器信息、软件版本信息等。URL过滤，对用户web行为进行过滤，保护用户免受攻击；支持只过滤HTTP GET、HTTP POST等应用行为；并进行阻断和记录日志。脚本过滤，支持基于操作类型的脚本过滤，如注册表读写、文件读写、变形脚本、威胁对象调用、恶意

23、图片等。自动建立网站合法访问行为模型，提供内置规则及自定义规则。产品可防御常规盗链和分布式盗链和恶意扫描。防web攻击逃逸（ASCII编码的还原、Unicode编码的还原、各种混淆编码的还原）WEBSHELL文件拦截支持应用识别类型、URL、用户名、接口、安全域、IP地址、端口、时间等进行细粒化应用访问控制列表。支持APT检测功能，防止僵尸网络感染PC终端用户网页篡改防护支持网关型网页防篡改，无需在服务器中安装任何插件。动态网页/静态网页支持，全面保护网站的静态网页和动态网页，支持网页的自动发布、篡改检测、应用保护、警告和自动恢复，保证传输、鉴别、地址访问、表单提交、审计等各个环节的安全，完全

24、实时杜绝篡改后的网页被访问的可能性及任何使用Web方式对后台数据库的篡改。业务管理与安全管理分离，支持提供管理员业务操作界面与网管管理界面分离功能，方便业务人员更新网站内容。篡改防护效果，支持通过替换、重定向等技术手段，防护篡改页面。报警方式，支持短信报警、邮件报警、控制台报警等多种篡改报警方式（需提供截图证明）。敏感信息防泄漏可定义的敏感信息，内置常见敏感信息的特征，且可自定义敏感信息特征，如用户名、密码、邮箱、身份证信息、MD5密码等。（需提供截图证明）。数据文件敏感信息检测，支持数据库文件敏感信息检测，防止数据库文件被“拖库”、“暴库”。http敏感信息检测，支持正常访问http连接中非

25、法敏感信息的外泄操作。弱口令扫描支持ftp、mysql、oracle、MSsql、ssh、RDP、网上邻居NetBIOS、VNC等多种应用的弱口令评估与扫描（需提供截图证明并加盖厂商公章）。智能策略联动风险评估可以实现web安全防护模块的智能策略联动，自动生成策略。数据中心设备必须支持内置数据中心。特征库实时更新web攻击特征库支持在线，应每月至少更新两次。风险评估报表提供端口、服务、漏洞、弱密码、WEB安全漏洞等安全风险评估报表安全统计报表支持自定义统计指定IP/用户组/用户/应用在指定时间段内的服务器安全风险、终端安全风险等内容，并形成报表BYPASS方案内置硬件bypass模块，设备故障

26、直接切换到bypass模式；支持软件BYPASS功能，系统软件故障时，系统自动实现旁路保护，避免网络中断等事故的发生。售后服务要求产品包括三年硬件质保和三年应用特征库升级；产品资质产品应具备软件著作权登记证书；产品应具备公安部销售许可证。产品应具备CVE兼容性认证证书和OWASP web防火墙认证证书；产品具有中国国家保密局测评中心颁发的涉密信息系统产品检测证书产品具有国家信息安全测评信息技术产品安全检测证书-EAL3+级产品应具备ISCCC中国国家信息安全产品认证证书9）视频终端接入设备30个景区视频终端广域网接入设备，由于各景区的视频监控需要从广域网接入到产业数据平台，支持并配置与接入设备

27、之间的VPN隧道连接，景点分支机构或远端的接入设备可通过VPN连接到总部。支持语音和视频感知的WIPS扫描：为防止语音和视频质量的下降，可配置扫描只在语音队列中没有流量的情况下进行。支持云管理，流量控制、防火墙、负载均衡等功能，在有线网络链路出现故障或无互联网接入状态时，可切换到3/4G备用链路来保障视频接入的链路通畅。指标项技术招标要求（必须支持）接口5个10/100/1000Mbps(RJ45)；双WAN接口，无线WIFI,一个3/4G广域网备用链路USB接口(总部双USB接口）无线网络流量包4G LET及3/4G流量卡（含5G以上流量包）。电源功耗支持标准802.3af、802.3at。

28、负载均衡功能具有基于接入用户数量和基于流量的负载均衡功能，并能灵活配置用户数量阀值及流量阀值。用户控制功能具有角色防火墙限制最大关联用户数的功能、具有基于用户数限制功能；实现带宽控制功能，包括基于用户的带宽控制。防火墙功能具有网络7层防火墙功能，可以设定网络L2/L3/L4L7层的防火墙策略，将用户的无效请求控制在无线接入点上，从而大大降低到有线网络的无效报文；对于应用层的数据库可以定期更新。（须提供截图）定时开关功能可根据用户设定时间，实现定时开关功能。可信平台加密具有基于硬件的可信任平台模块（TPM）,进行密钥存储和加密。DCHP服务器具有DHCP serverDHCP中继功能。（须提供截

29、图）VPN功能具有VPN服务器客户端的功能，为远程接入点提供VPN连接。10）应用支撑平台服务器配备Windows、Linux等各种企业操作系统运行环境，采用正版的支撑软件平台。11）平台核心支撑中间件规格要求 中间件要求数量为1 cpu授权。 为保证采用成熟、稳定的商用中间件产品，产品应具有软件产品登记证书、软件著作权证书。 鉴于基础平台数据安全的保密性以及对数据加密签名等安全密码技术的需求和应用，中间件厂商必须为商用密码产品生产定点单位并提供相关证书，必须提供国家密码管理局颁发的商用密码产品销售许可证。 为保障系统的良好兼容性并提供快速有效的服务支持，所选择的ESB服务总线、数据加工中间件

30、、应用服务器中间件为同一品牌。序号指标项目技术参数要求1应用服务器中间件1. 全面支持JavaEE5国际工业标准和相关规范，通过国际标准认证，可提供相关证明。2. 必须支持主流平台和多种数据库如Oracle、DB2、SQL Server等，提供双工备份的数据库连接池技术，并支持异构数据库间的负载均衡技术。3. 支持对多种对象的集群功能，包括Web组件应用、EJB、JDBC等集群；集群技术支持Session非序列化对象复制技术，优化应用程序结构，实现快速便捷开发。4. 支持应用版本控制，实现多个版本应用的任意切换，在不中断客户端请求的情况下平滑升级。5. 基于JAAS架构，实现基于容器的安全策略，提供基于数据库和LDAP认