武汉市消防救援支队2024年“智慧消防”云服务项目
一、项目概述
(一)功能或目标
近年来,随着武汉市社会经济持续快速发展,城市规模不断扩大,安全隐患日益增多,各类灾害事故呈现出风险高、危害大的特点,社会公共安全需求日益倍增。在此背景下,武汉市构建以消防队伍为主体、多方应急救援队伍相联动的综合应急救援力量体系,运用大数据、互联网、云计算、物联网等前沿技术,打造了“智慧消防”城市火灾风险防控及应急救援云平台。2019年8月该平台投入运营至今,从社会面火灾防控、灭火救援等方面,有效的提升了武汉市防御火灾的能力。
确保支队智慧消防云服务正常运行,保障智能指挥调度、城市物联网消防远程监控、数字化装备管理、消防车载平台、预警侦察、一张图应用支撑、数据汇聚、安保防控、公众聚集场所告知承诺制实施、消防财务审批系统等10大业务系统运行和数据安全稳定。
支队智慧消防相关信息化系统充分利用了消防云的计算资源、存储资源、安全资源进行部署,为应用系统提供基础支撑服务。同时,云服务商提供了的备份存储空间,制定完备的备份和容灾方案,构建了备份及容灾系统,增强系统的抗灾能力,最大限度地减少损失。
(二)政策需满足的要求
政府采购促进中小企业发展政策;政府采购强制、优先采购节能产品政策;政府采购优先采购环保产品政策;政府采购进口产品政策;政府采购支持监狱企业发展政策;促进残疾人就业政府采购政策。具体内容详见招标文件第二章。
二、执行的相关标准、规范
2、其他与本项目相应的国家或行业操作规程和验收标准。
注:(1)如以上规范/规程/标准有不同之处,应选择较严格或标准较高者;有更新的标准规范版本,当采用最新的版本。(2)若中标供应商采用的规范或标准在上述技术规范中未明确的,应明确其所执行的标准或使用规范的出处,并同时提供所使用的标准文本,该标准文本必须是国家或国际公认的同等或高于上述规范要求之标准,中标供应商应同时提供该文本译文,采购人不接受任何低于以上所列规范和标准的要求。
三、技术要求
(一)总体逻辑构架图
总体架构遵循“分平面+分区+分层+安全”的设计理念,将数据中心的网络按照功能的不同分成多个业务区域,各业务区域之间实现网络的不同程度隔离。
智慧消防云业务部署在主数据中心,10大业务系统分别位于互联网区和指挥调度网区,互联网区和调度网两个区域之前物理隔离,通过专用网闸满足业务互访需求。
消防119接出警系统采用四台物理机,接入指挥调度专网,部署在武汉市消防救援支队机房。逻辑构架图如下:
(二)服务内容及服务要求
1、云资源服务内容
本次项目主要以购买服务方式完成智慧消防云服务平台云资源采购工作,为武汉市消防救援支队多业务部门的内部系统与互联网应用提供系统运行配套的计算资源池、存储资源池、网络安全资源池以及灾备系统。
具体服务清单如下:
|
服务名称 |
服务内容 |
技术要求 |
数量 |
单位 |
|
云计算资源服务 |
计算资源 |
1.配置总资源CPU核数≥796,内存≥2860GB(需额外提供10%资源作为后期动态扩容需求); 2.支持不同虚拟机反亲和性部署,避免单个物理机故障影响多台云主机; 3.云主机支持多网卡; 4.单个云主机可挂载的块存储单盘空间20T以上,至少支持12块数据盘; 5.云主机支持虚拟机整机备份; |
1 |
项 |
|
云存储资源服务 |
云存储空间 |
1.总存储空间大于144.4TB(需额外提供10%资源作为后期动态扩容需求); |
1 |
项 |
|
云网络服务 |
网络专线 |
主数据中心:提供互联网1000M专线1条(包含30个可用固定互联网ipv4地址,提供互联网DDos服务)、1000M消防调度网专线1条; |
1 |
项 |
|
云安全服务 |
防火墙 |
1.针对互联网区云平台的边界网络安全进行防护; |
1 |
项 |
|
入侵防御服务 |
在网络出口对进出内部网络数据流量进行深度检测、实时分析,并对网络中的攻击行为进行主动防御;入侵防御系统主要是对应用层的数据流进行深度分析,动态地保护来自内部和外部网络攻击行为。 |
1 |
项 |
|
|
DDOS攻击防护 |
1.保底防护带宽≥20G,回源流量带宽≥200M,防御峰值30000QPS; |
1 |
项 |
|
|
Web应用攻击防护 |
1.CC攻击防护峰值QPS:≥200000、正常业务请求QPS:≥10000、业务带宽(云外/云内):50Mbps/200Mbps,可以快速弹性扩容;; |
2 |
项 |
|
|
防病毒 |
1.所有云主机提供防病毒软件; |
100 |
个 |
|
|
数据库安全审计 |
1.对云上所有数据库服务器提供安全审计; |
1 |
项 |
|
|
堡垒机 |
1.配置能力:并发≥50并发,CPU核数≥4,内存≥8G,硬盘≥400G;支持对主机地址进行精确搜索; |
1 |
项 |
|
|
安全态势感知 |
实现外网、内网全面的安全检测,有效识别来自外网及内网的安全风险,并直观的展现在界面上。还提供业务、用户风险的报告、日志报表呈现等功能。 |
1 |
项 |
|
|
互联网区漏洞扫描 |
1.按季度对云上所有主机进行漏洞扫描; |
1 |
项 |
|
|
互联网区日志审计 |
1.适配实际网络环境的运行情况,支持通过多种协议方式采集用户网络中分散在各个位置的各种厂商、各种类型的海量日志; |
1 |
项 |
|
|
上网行为管理 |
支持应用审计、流量管理、运维审计、上网审计、用户识别、认证控制、网页监控、上网安全等; |
1 |
项 |
|
|
安全资源池 |
提供租户侧的安全资源池,提供东西向安全能力 |
20 |
个 |
2、云资源服务要求
2.1云资源服务
(1)云平台专用要求:武汉市消防云的云服务器、云存储、云数据库、系统软件、网络等资源为武汉市消防救援支队专用。机房运行环境安全,承载云服务平台的物理机房应满足GB50174-2017中的机房建设要求。
(2)基础技术要求:云平台应提供功能完整、架构完善、体系完备的服务能力,如云服务器、负载均衡、存储、云数据库、云网络等服务产品;可在线提供物理和虚拟两种模式的云服务器产品;云平台中的分布式存储可实现数据传输过程中的用户鉴权处理,保证数据传输的安全性。服务商除服务目录中所列标准产品,可为用户提供定制化的云服务产品。
(3)平台运维运营要求:平台运营系统具备完善的流程审批机制和数据补录机制,支持线上、线下管理;云平台需提供服务产品的申请、审批、实施、计量计费、监管、统计分析等功能;云平台所提供的运营系统需确保租户的资源申请可实现线上和线下同步进行。
(4)安全防护要求:云平台所采用的运维系统应为独立系统,无需回接到其它运维系统,云平台可实现安全服务产品任意种类任意位置的服务编排功能,云平台须提供云防火墙产品,支持攻击防护。
(5)云平台安全等级保护:云服务平台应满足国标GB/T31168-2014《信息安全技术云计算服务安全能力要求》,达到为政府部门提供云计算服务的基本安全能力。公用网络区和互联网区之间须部署满足国家电子政务外网要求的安全数据交换系统。政务平台应配置必要的运维审计设备,保证对所有运维操作进行溯源。
2.2 信息安全服务
支撑武汉市消防救援支队“智慧消防”的云资源服务平台必然会涉及到一些敏感数据、企业秘密和个人信息等资料,一旦平台受到攻击而瘫痪、终止,对业务的正常运转必然造成极大的影响,可能会造成经济损失,严重时甚至会影响社会稳定,因此云服务必须具备相应的安全保护能力。
按照《信息安全等级保护信息安全等级保护管理办法》规定,信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。据此标准,本项目云服务平台应满足信息系统安全等级保护三级要求。
云服务网络安全主要包括了云服务网络和其他网络互访的边界安全防护,以及云服务网络内部的安全防护。
整个安全框架中,分为两部分,技术上从物理安全、设备安全、网络安全、管理安全、虚拟化安全到数据安全,管理上根据安全管理规范,建立内部管理体系、程序和作业流程,并贯穿各个层次。
2.2.1 物理资源安全
物理资源层安全是指云服务运行所需的机房运行环境安全,以及主机、存储和网络等设备的安全。
(1)该数据中心物理环境须设置在项目所在地行政区域内。灾备数据中心需满足国家标准《信息系统灾难恢复规范》(GB/T20988-2007)中分钟级的要求且与主数据中心相距70公里以上。
(2)数据中心电源应满足国家或行业相关要求,应配备双市电及配备备用电源,备用电源应能保证对数据中心内关键设备延长供电不少于8h;备用电源保护设备包括但不限于服务器设备、存储设备、网络设备、安全设备以及空调设备等。
(3)数据中心机房环境应满足《数据中心设计规范》GB50174-2017中的相关要求,选择机房场地、实现机房内部安全防护,防火、防水、防潮、空调降温、防静电;
(4)数据中心机房通信线路的安全应按照《信息系统安全技术信息系统通用安全技术要求》GB/T20271-2006中相关要求对通信线路进行安全防护;
(5)数据中心硬件设备应符合防电击、火灾、发热、机械、辐射、化学等安全方面的要求;
(6)数据中心应设计防雷和接地,应符合《安全防范工程技术规范》GB50348-2018中相关规定。
2.2.2网络安全
当不同业务使用云网络传输时,应分别符合相关部门对各个网络的安全管理规定或标准;专网专用,当网络之间需要进行数据交换时,应采取相应措施保障网络安全;公共网络、无线网络在条件允许的情况下宜采用虚拟专用网络(VPN)或者传输层安全(TLS)协议来保证传输的安全;当不能解决云范围内多网的隔离问题时,宜设置多套完全物理隔离的监控系统,分别直接连接相应网络进行监控。具体措施如下所示:
(1)网络平面隔离,云服务要求对管理网络、租户网络、存储网络使用不同的交换机进行搭建,网络之间采用物理隔离。各个租户之间的网络采用VLAN隔离。通过网络平面隔离保证管理平台操作不影响业务运行,最终用户不能破坏基础平台管理。包括不限于:租户网络、存储网络、管理网络、VLAN隔离。
(2)网络安全防护:云服务要求采用多种网络安全防护设备,从多个层面来保护云平台的安全。
(3)防火墙:云服务采用多重防火墙保护措施,在云平台的外围采用高端防火墙为整个云平台南北向流量的防护入口,作为整个云平台的入口安全防护,其中增加IPS/VPN作为流量清洗和安全接入使用。设备需要是专业的机架式设备,具备主控、电源、业务处理板等的处理能力。防火墙策略按照最小开通原则,仅开通客户需要的端口。在云平台内部,各个用户资源之间,通过防火墙进行安全隔离,通过物理防火墙和云平台联动实现关键业务东西向流量的安全隔离和防护。
(4)入侵防护(IPS):支持Web攻击识别和防护,如跨站脚本攻击、SQL注入攻击等;IPS系统支持除了基于攻击事件本身进行严重级别划分,还可以根据攻击与资产相关性关联进行风险级别定义,协助管理员关注实际环境中需要紧急处理的安全告警,提升安全事件响应效率。
(5)防病毒(AV):高性能病毒引擎,可防护多种病毒和木马,病毒特征库每日更新。
(6)Anti-DDoS:可以识别和防范SYNflood、UDPflood等10+种DDoS攻击。提供HTTPGet/PostFlood攻击防范、HTTP重传攻击防范、HTTP劫持攻击防范支持HTTP慢速攻击、HTTPSFlood攻击或对空连接攻击的精确防御能力。支持对僵尸网络的高效防御。
(7)云服务平台网络安全接入:云服务提供VPN客户端远程安全接入、VPN隧道实现网络互联、基于专线的内部网络互联、基于裸光纤的底层链路互通等4种安全的云环境接入管理方式,满足用户的多种需求。
2.2.3虚拟化安全
(1)支持对虚拟机模板进行安全加固,裁剪应用程序不必要的功能和服务,减小虚拟主机的潜在攻击面,防止被恶意篡改;
(2)支持对虚拟机进行安全备份,确保故障状态下的及时恢复;
(3)防止恶意虚拟机的地址欺骗,限制虚拟机只能发送本机地址的报文。
2.2.4信息安全
(1)云内应采用网络时间协议(NTP)来实现时间矫正,时间矫正周期可根据实际情况设定;
(2)根据用户的使用性质不同,将用户进行分类管理,将相同属性用户划分为一组,进行用户组管理;
(3)应制定符合实际情况的授权模型,云内基础授权策略标准统一,业务权限和管理权限不能同时授予同一用户。
2.2.5数据安全
通过备份与容灾提供对于云的运行稳定性和安全性进行加固,保证关键数据不丢失,系统服务尽快恢复运行。对于数据清理及数据退出机制,保证系统基于有效数据合理利用,及时清退无效、无用数据,关停无用资源,保障政府购买的云服务相关资源集约、高效使用。
备份要求:支持不同备份类型的需求,包括全量备份、增量备份、差量备份(或差异备份)、合成备份(仅用于文件);满足不同的备份执行需求,包括手工备份、自动备份;具备多地备份的能力,数据必须在本地保留备份,同时在异地建设灾备中心,提高数据的可恢复能力,具备核心业务接管能力;需要备份的数据类型包括:系统数据和用户数据。系统数据包括操作系统与安装的应用,用户数据包括用户文件、数据库数据、业务采集数据等;
2.2.6 数据清理
数据清理及退出机制数据在线生成后,随着时间推移会变成历史数据.为提高系统的运行效率及资源利用率,将历史数据从生产系统中剥离,这个剥离的过程即为数据清理。为了满足后续业务的查询需求,被清理的数据需转移到其他存储设备中进行归档保存一段时间后进行销毁。数据的生命周期.主要包括数据在线、归档和销毁三个阶段。其中,在线阶段确定了数据清理的条件;清理实施阶段规定数据清理的具体方式;归档阶段则需明确清理数据的归档(保存)方式及时间。首先应明确数据清理策略,它是对不同数据的清理实施条件、清理方式、数据保存方式等规定的集合,是数据清理实施的基础。另外,要求相关云服务提供单位在关键数据冗余系统未经消防局许可,不允许转让、对外开放、清除数据。服务期结束后,如未能续约,乙方应在规定时间内配合甲方无偿完成所有数据对接,保障所有数据在对接过程中安全、无泄漏和遗失,实现数据平稳过度。运行安全
(1)应按照GB/T20271-2006中4.2.3的要求,实时监测网络数据流,监视和记录内、外部用户出入网络的相关操作,使用防火墙、防病毒软件、入侵检测系统、漏洞扫描工具提高网络通信的安全性;
(2)应参考公安信息系统应用日志安全审计平台日志采集规范,对身份、操作和其他与安全相关的事件进行审计,并作出相应的审计响应;
(3)应制定安全应急处理预案,对于在正常工作中发生的突发事件,应由值班人员或维护人员依照应急处理预案进行处置或自动降级处理;
(4)建立完善的安全管理制度,对数据中心的工作人员应进行安全管理教育和定期培训,应对云的各种设备、组件、服务进行定期安全检查和维护。
2.2.7分域管理
(1)通过虚拟数据中心(VDC)实现分域管理功能,可将不同种类、不同等级的业务系统分别部署在不同的VDC中,实现不同安全域之间的安全隔离。虚拟数据中心(VDC)是IaaS资源的逻辑抽象,用于对可用的CPU、内存资源、存储和网络进行管理。云服务为每个用户单独创建一个VDC,不同的VDC之间默认安全隔离。
(2)虚拟私有网络(VPC)内部,可以创建不同的VPC来进行业务的隔离划分,每个VPC为VDC提供不同的安全隔离的网络环境,为VDC中的应用或虚拟机提供网络资源,在VPC中定义与传统网络无差别的虚拟网络。在VPC中,可以创建不同的网络,各网络之间使用不同的VLAN,可通过配置访问策略来进行资源的隔离。每个VPC内部还可以创建ACLs和安全组,来设计更严格的访问规则和权限管理。
(3)安全组用户根据虚拟机安全需求创建安全组,每个安全组可以设定一组访问规则。当虚拟机加入安全组后,即受到该访问规则组的保护。用户通过在创建虚拟机时选定要加入的安全组来对自身的虚拟机进行安全隔离和访问控制。
(4)同一个安全组中的虚拟机可能分布在多个物理位置分散的物理机上,一个安全组内的虚拟机之间是可以相互通信,而不同的安全组之间的虚拟机默认是不允许进行通信的,可配置为允许通信。
2.3 云平台管理服务
为保证成熟度,云管理平台需具备软件著作权证书;投标人须提供云管理平台功能,包括但不限于云资源管理平台和云运营管理平台,应为成熟上线的成型产品,不接受中标人在中标后进行定制研发,应至少具备如下功能:
2.3.1 云资源管理平台
(1)物理资源管理,实现对服务器、存储、网络的配置管理、性能监控、日志管理等功能。
(2)虚拟资源管理,提供对云主机、虚拟交换机和虚拟网卡的全方位监控;支持面向应用的资源调度,通过资源配置下发,将网络切片,实现端到端的流量监管、访问控制和质量保证,租户之间完全隔离,如同独享各自的服务。
(3)资源自动管理是支持虚拟化,专注于自动化,面向应用的资源调度、编排方案。通过对资源服务配置模型化,将相似的服务部署任务抽象为一个通用模型,实现了资源配置的重用。将模型与实际网络匹配,并完成自动部署,将传统手工需要耗费数周的配置任务缩短为分钟级。通过资源配置下发,将网络切片,实现端到端的访问控制和质量保证,用户之间完全隔离,仿佛在独享各自的服务。通过池化,更清晰的分配和监控资源,以租户、模型、域等不同视角对资源池进行管理和编排。
2.3.2 云运营管理平台
(1)自助服务门户,为用户提供申请云资源、使用云资源、监控云资源的门户,用户直接在门户上完成资源申请的工单填写与提交。
(2)多租户管理,实现本租户组织内的用户管理和权限分配、资源配额、模板管理等。各租户的资源相互隔离,每个租户都拥有各自的管理员。
(3)业务流审批。云业务流程为:用户申请云资源->审批员审批->云平台(供应商)开通云资源->通知反馈给用户使用云资源。
(4)服务目录,为各租户提供不同的云服务产品配置模板,供租户选择云服务平台提供的相应服务产品。
(5)监控与报表,对各租户的云资源使用情况进行监控,对使用的数据可以自定义输出相应的报表。
(6)云运营管理平台应依托自有云计算基础设施,采用全新架构,为用户提供稳定、安全、灵活的云计算资源。用户可对平台业务进行实时的统一配合申请,形成设备创建,管理,形成一套集购买、管理、服务为一体的云计算运营支撑系统。
(7)云运营管理平台应具有统一登陆门户,并对登录账户有验证机制。
(8)云运营管理平台总览首页的内容应根据角色权限进行显示,有项目成员、项目管理员、单位管理员角色。
(9)云运营管理平台总览首页应包含但不限于客户信息、单位配额信息、项目信息、服务总览、工单服务、站内消息、最新操作、告警消息几部分。
(10)云运营管理平台应具有产品管理目录,产品应包含但不限于云主机、云存储、模板、网络等。
(11)云运营管理平台的云主机管理功能应包含但不限于检索、开机、关机、重启、删除、登录主机、主机密码、项目变更、配置变更、网络变更、创建模板等常用功能。
(12)云运营管理平台云存储管理应包含但不限于云硬盘管理,可对云硬盘进行挂载、卸载,支持将一块共享硬盘挂载到多台云主机上。
(13)云运营管理平台网络管理应可查询账号下现有互联网带宽与公网IP清单,内容包含但不限于IP地址、带宽标签、带宽及创建时间等。用户可自行申请互联网服务,并可根据自身需求,配置相应的参数。
(14)云运营管理平台应具有私有网络管理功能,用户可创建多个私有网络,并设置网络之间的访问规则。
(15)云运营管理平台的服务管理功能,应包含但不限于工单服务、云服务目录管理、计费账单、操作审计、组织权限、系统配置、告警配置等。
(16)云运营管理平台工单管理系统应有适合政务行业的审批流程,可创建、查询、审批工单。可根据提交人输入、状态选择、提交时间选择、提交类型进行搜索查询。可根据自身权限,对需要自己审批的工单进行审批管理。
(17)云运营管理平台的项目管理功能,可创建项目,为项目设置CPU、内存、存储等资源配额,并分配项目管理员。可查看每个项目的详细信息,包括项目的项目名称、该项目的配额情况、项目的管理员以及项目的成员信息。项目配额到达设定值时,具有告警提示。
(18)云运营管理平台的服务目录管理功能,应能根据角色及权限的不同,分配不同的服务目录。各账号只能看到自己权限内的资源和状态。
(19)云运营管理平台的计费账单功能,应以服务类型和时间为维度来查看在平台上的消费情况,用户可在下拉菜单中选择服务类型,并选择计费粒度,以自定义的方式来选择计费周期,点击“搜索”,用户的消费情况一圆形中空饼状图的形式来为用户呈现,并以文字的形式在图片的右侧显示用户的消费账单情况。界面下部,呈现具体的资源条目信息。计费账单应能统计项目的计费情况和单位整体计费情况。
(20)云运营管理平台的操作审计功能,应能显示所有对平台的操作并进行查询并导出报表。展示字段:操作人、操作名称、操作对象、操作内容、操作状态、操作时间、来源(用户IP)、操作系统、浏览器。可根据操作人、操作时间、操作内容进行搜索查询。
(21)云运营管理平台的组织权限功能,应能根据政务客户组织架构特点,实现部门管理、用户管理等功能,并分配不同的权限。
内容来源:招标文件
