3399 万元、湖南省省级电子政务外网统一云平台资源补充项目

时间:2022-09-30 09:57:00 作者:火狐官方入口 来源:火狐平台首页登录 常见问题

  2021年9月26日,湖南省人民政府发展研究中心发布《湖南省省级电子政务外网统一云平台资源补充项目》公开招标公告,预算 34,493,300 元。

  2021年10月21日中标(成交)公告发布,中兴通讯 3399 万元中标。

  “十二五”以来,湖南省电子政务建设快速发展,已成为改善公共服务、加强社会管理、强化综合监管、辅助宏观调控、建设服务型政府的有效手段。2015年6月23日,湖南省政府提出“五个一”工程,即一套班子、一个文件、一个平台、一个互联网出口和一个网站。其中“一个平台”即建设湖南省级电子政务外网统一云平台。

  省级电子政务外网统一云平台已经于2016年完成第一期交付建设,2017年完成政务大数据中心的建设使用,2019年完成一期扩容交付建设,以及异地灾备中心等项目的交付使用,目前省级电子政务外网统一云平台稳定运行4年。截止到2021年1月,主数据中心计算能力达23000核,存储容量10027T,同城双活数据中心实现关键业务双活,存储容量达2300T,异地灾备存储容量7000T。目前省级电子政务外网统一云平台上承载了200多个应用系统,已为全省约70个单位提供计算、存储、数据库、政务外网网络、大数据及安全等资源服务,满足了省各级部门的需求和服务。政务云运行四年来,各部门大量业务上云,政务云资源逐步消耗,目前部分资源已使用殆尽,无法继续给有此类需求的厅局分配,同时,随着技术日新月异,业务系统对省政务云平台提出了更多的资源需求,原有设计所配置的部分设备已开始出现开始出现性能瓶颈,亟需进行资源补充及架构优化。

  省级电子政务外网统一云平台采用四横三纵架构,四横是IaaS(基础设施服务层)、DaaS(数据服务层)、PaaS(平台服务层)和SaaS(软件服务层),三纵是标准规范体系、安全保障体系、运维保障体系。

  基础设施服务层(IaaS):提供基本的计算、存储、网络服务;提供基础资源的虚拟化服务、资源的动态分配、再分配和回收。

  数据服务层(DaaS):DaaS数据即服务。数据共享交换平台通过进行数据的比对、处理、融合和共享,为电子政务应用和各厅局的专业应用提供统一数据支撑。大数据智能分析平台,通过高性能的实时和非实时大数据计算能力、丰富的统计、分析、挖掘模型,为政务决策提供智能支撑。

  平台服务层(PaaS):平台服务层包括信息资源与应用支撑。应用支撑主要提供网络信任体系、中间件、应用开发、单点登录等功能。

  软件服务层(SaaS):SaaS 软件即服务,开展公共服务云、政务办公云、领导决策云、市场监管云、综合治理云、部门应用云等建设。

  标准规范体系:梳理、归纳、整理已有电子政务的指导性、规范性技术与管理文件,确定电子政务标准体系框架,规范湖南省电子政务标准建设,为我省电子政务建设提供支持与服务,为全省电子政务系统实现互联互通、信息共享、业务协同、信息安全打好基础。

  安全保障体系:针对云平台建设,通过技术手段保证数据安全、应用安全、主机安全、网络安全、物理安全、管理安全,保障湖南省省级电子政务外网统一云平台的安全。

  运维保障体系:针对云平台建设,通过技术手段保证数据安全、应用安全、主机安全、网络安全、物理安全、管理安全,保障湖南省省级电子政务外网统一云平台的安全。

  当前省云平台一期完成省、市、县三级联通;省直部门互联网出口整合完成80%;互联网出口总带宽达到10G。

  省云平台一期已完成全省14个市州和123个县市区的纵向骨干网和省直部门的省级城域网的改造升级。省市骨干链路带宽升级到2个GE链路,市县带宽升级到2个100M链路。

  湖南省电子政务外网城域网络采用星型结构,按照网络层次结构分为核心层、汇聚层和接入层三层架构。核心层设备用于做高速的数据交换,汇聚层设备用于接入部门的汇接,接入层设备部署于用户机房,用于用户局域网的接入。

  城域网的主干由2个核心节点和6个汇聚节点组成。2个核心节点分别位于IDC机房和省二院机房,各部署1台中兴的ZXR10 8908E-H作为核心交换机,两台核心交换机作为两地数据中心信息交互的枢纽,承载业务流量大且业务可靠性要求高。两台核心交换机与互联网及省骨干网链接,完成接入单位的互联网业务及纵向骨干网业务。同时作为IBGP的RR,对全网IGBP路由进行路由反射。

  6个汇聚节点分别位于省委、省人大、省政府、省政协、长沙市政府和省二院,各部署2台ZXR10 8908E-H作为汇聚交换机,各省直部门就近连接到汇聚节点。现网中省二院、省政协、省人大、省委、省政府、长沙市政府六大汇聚节点各有两台汇聚节点交换机8908E-H通过两条万兆链路上联核心交换机,两条万兆链路进行汇聚双节点交换机的互联。随着业务量的增加,网络性能压力过大。

  湖南省电子政务外网现网中省二院机房的互联网出口区各部署了两台负载均衡设备、流量镜像设备等通过千兆链路与两台出口千兆交换机进行连接。

  省二院机房2条1G的电信出口,1条300M移动出口,1条100M移动出口,1条700M联通出口,1条300M联通出口,通过两台链路负载均衡设备实现负载均衡,IDC机房2条2G电信出口,1条1G移动出口,1条1G联通出口,通过两台链路负载均衡设备实现负载均衡,IDC机房 1条100M电信IPV6出口,实现省门户网址对外提供的IPV6访服务。

  截至2020年7月24日,湖南省省级政务外网统一云平台已提供计算能力达到13824物理核(主数据中心提供11520物理核 ,省二院双活数据中心提供2304物理核),存储能力达到11042TB物理容量,为省政协、人社厅、商务厅、省工商、省环保厅、省政府发展研究中心等67个厅局开通了238个业务系统。

  湖南省省级政务外网统一云平台共计576台计算节点,每台计算服务器提供24个物理核、256G物理内存,其中:主数据中心IDC建设480台计算服务器,可提供11520个物理核,122880G内存;省二院双活数据中心规划建设96台计算服务器,可提供2304物理核,24576G内存。现网虚拟化软件基于KVM技术进行二次开发,采用中兴通讯ZXCLOUD iECS V6.0软件进行部署。可被中兴通讯云管平台ZXCLOUD iROS V6.0统一管理。

  现网分布式存储共有三种类型,分布式块存储、分布式文件存储、分布式对象存储,均基于CEPH的分布式存储技术实现,采用中兴通讯的TECS CloveStorage V6.10 软件进行部署。

  湖南省省级政务外网统一云平台分布式块存储总共部署了3个存储集群,分别为60台分布式块存储集群、15台分布式块存储集群、13台分布式块存储集群。

  60台分布式块存储集群提供约4.19PB的裸空间,目前已经使用1.48PB,占总容量的35.29%,存储集群提供约4.8万的IOPS,目前已使用4.2万IOPS,占总IOPS的87%。

  15台分布式块存储集群提供约1.07PB的裸空间,目前已经使用531TB,占总容量的49.7%,存储集群提供约1.2万的IOPS,目前已使用超过1万的IOPS,占总IOPS的83%。

  13台分布式块存储集群提供约0.92PB的裸空间,目前已使用125TB,占总容量的13.46%,存储集群提供约1.3万的IOPS,目前已使用超过1万的IOPS,占总IOPS的77%,本次存储资源主要补充分布式块存储的资源。

  分布式文件存储主中心内外网存储容量和文件数使用,均未达到30%。CPU使用率均值不到5%,峰值不到20%,在3个月内没有明显的上升趋势。内存使用率平均在85%以内,部分节点峰值达到91%,由于分布式文件系统启动时设置资源上限,非动态占用内存,因此内存利用率较高,但在3个月内没有明显的上升趋势。读写流量峰值在600MB/s以内,未达到节点流量极限1GB/s的60%,3个月内无明显上升趋势;读写次数峰值在400以内,未达到节点读写次数性能极限800的60%,3个月内无明显上升趋势。主中心内、外网分布式文件存储支持接入客户端分别为900、800个,目前已经接入270、120个,未超过可接入总量的30%。

  因此当前业务量可以继续承载,但系统内存配置64G比较小,且硬盘配置低,后续继续系统运行情况观察,建议系统存储容量、系统资源和性能如有指标达到系统承载极限的60%则启动扩容。

  另外省二院内外部数据中心共8台分布式文件存储节点已经临时拆除用于Ceph紧急扩容,目前省二院无分布式文件存储资源,不能承载共享文件存储类业务,需要考虑后续补足这部分资源。

  湖南省省级政务外网统一云平台分布式对象存储在内部云、外部云各部署5台,分别提供363TB裸存储空间。外部云已使用5.6TB,占总容量的1.54%,内部云已使用43.93TB,占总容量的12.1%。本次扩容无需扩充分布式对象存储。

  现网云平台共计部署78台数据库服务器,分通用服务器和数据库一体机两种部署模式。数据库总计已开通185个实例,云平台一期数据库资源基本耗尽,一期扩容剩余6套RAC未开通实例,目前资源可满足短期需求,预计能开通45个数据库实例。

  云平台目前共计开通184个数据库实例,其中普通实例143个,财政厅pdb数据库35个,医保局pdb数据库6个。

  现网IDC 310机房有3台宏杉MS5520磁阵,为数据库提供存储服务。每台磁阵配置双控制器,采用FC-SAN组网,存储容量为268T,按照1:2:7配置有SSD、7200转SAS、10000转SAS三种不同性能的硬盘。SSD盘和10000转SAS盘分配给较高IO需求的数据库,7200转SAS盘分配给低IO需求的数据库。有2台磁阵SSD盘的存储空间已不足4T,10000转SAS盘只剩10T左右。考虑到数据库申请的存储空间大多是5T、8T或10T,剩余空间殆尽。从当前磁阵的性能统计数据上分析,磁阵的CPU和缓存的利用率不高,硬件资源空余较大,能够满足后续扩容。

  当前主IDC机房和省机关二院机房4个数据中心计算节点均采用双万兆上行接入万兆交换机5960的方式进行业务接入,接入交换机40G上行连接9900数据中心核心交换机的方式。

  当前主IDC机房和省机关二院机房4个数据中心计算节点均采用双万兆上行接入万兆交换机5960的方式进行分布式存储网络接入,接入交换机40G上行连接9900数据中心核心交换机的方式。

  分布式存储节点服务器直接接入9900数据中心交换机的方式进行。此部分称为前端存储网络,完成计算节点到存储节点的南北向访问。

  分布式存储一般分为前端网络和后端网络,前端网络用于对云平台提供存储服务,后端网络用于集群间数据同步。目前,现网分布式块存储集群的前后端网络未分离,存储间数据同步和服务网络合一,数据同步会影响服务网络,降低存储集群前端网络的服务能力。

  存储后端网络指当前分部署存储节点服务器复用存储的南北向物理口通过9900进行东西向同步使用,如某存储节点服务器故障时,需要通过后端网络同步、重平衡数据。造成了存储节点服务器的东西向和南北向数据混合,相互影响。

  湖南省省级政务外网统一云平台在主数据中心规划建设4台负载均衡设备,为省直单位提供服务器负载均衡服务。负载均衡设备采用专用的虚拟化管理程序,单台设备进行虚拟化,为省直单位提供虚拟化负载均衡服务。主数据中心的虚拟负载均衡已经全部分配完毕,已无法支撑未来的业务发展需求。

  目前对云平台虚拟机和数据库均已备份,所有X86数据库服务器和Oracle一体机进行数据库备份。主数据中心备份内外部虚拟机、内外部数据库、数据库一体机数据,归档历史数据(暂未启用)。双活中心备份同步主数据中心备份数据、发展研究中心应用数据。永州灾备中心为全备灾备中心,即备份结构化和非结构化数据,规划空间1200T,截止2020年7月初,使用率为51.5%。郴州灾备中心为非结构化备份灾备中心,规划空间1300T,截止2020年7月初,使用率为23.5%,剩余空间足够。

  现网有150个虚拟防火墙授权,其中内部云使用70个,外部云使用80个。虚拟防火墙授权已全部用完,无法为新上云的业务或单位提供安全隔离功能。

  现网云管理平台采用中兴通讯iROS系统,iROS管理平台基于OpenStack开放架构,以全面的、高集成度的集约开放平台为特点,构建省云统一云管平台,提供灵活弹性、高性能、高可靠的虚拟计算、虚拟存储、虚拟网络等资源与服务,在业务高可用性、高性能、高弹性、资源高效率等方面进行企业级优化,提供实现硬件资源虚拟化、共享、统一管理的端到端解决方案,满足用户高安全、高可靠、低成本、灵活弹性、快速交付的业务需求。

  通过云管平台统一管理了5个DC,包含IDC税务局专区、IDC主数据中心(内部云、外部云)、省二院双活中心(内部云、外部云),共计5个区域数据中心。

  云管平台对所有云平台物理资源进行集中管理和监控,可以监控云计算节点计算资源、网络资源、存储库运行状态和性能,可以定制化所有计算节点的性能阀值和告警策略。

  2017年3月,开始建设湖南省政务大数据中心,建设并建成大数据数据资源中心、大数据处理系统、资源目录系统、典型示范应用、大数据展现门户、系统工具(BI工具)、数据管理服务系统、互联网数据采集等大数据中心基础平台设施。2018年,依托省政务大数据中心,建设双网双平台的湖南省自然人信息大平台。2019年,又进行了一期平台扩容建设,对云平台大数据基础设施进行加强和优化。

  在试运行阶段和厅局大数据业务资源需求对接服务过程中,逐步发现“单一集群,多租户共享共用”的模式并不适合省直单位内业务隔离和单位间数据间隔离等的复杂场景,厅局顾虑比较多,将大数据业务部署到政务大数据中心的意愿并不强烈,厅局“大数据业务上云”推进缓慢。

  针对上述情况,中心组织有关单位经过分析研究和论证,决定“以需求优先,先让厅局用起来”为原则,将大数据中心由单一集群架构改造为“1+N”的多集群部署模式。即:

  1、中心划分为1个基础分区集群和N个独立分区集群,构成“多租户集群”+“单集群”的双模式架构;

  2、对于有独立和隔离需求的单位业务,分配独占集群分区,无独立隔离需求的单位业务分配多租户基础分区;

  3、所有集群基于Hadoop技术开发,采用中兴通讯ZXCLOUD GoldenData V2.0软件进行部署,通过一对Manager进行统一管理,各个集群内和集群间节点数量可以根据业务需求实现弹性调整和资源优化。

  2019年6月,经过报批后,大数据中心完成“1+N”双模式并存架构改造。1+N多分区方案,保障发展中心统一把控全局信息,全局统筹,同时满足政府各委办局业务、数据敏感性及各委办局需求,对各委办局给予一定的自主建设能力,在各委办局分区内部进行细粒度的资源管理。

  至此,我省电子政务统一云平台和大数据信息化基础平台已相对完备,截止2020年11月,已经为超过70个单位提供云平台服务,有240多个业务系统迁移上云。截止目前,大数据平台已接入64个厅局、14个市州,共计4300余个ETL任务,日数据交易量超过2000万条,已经创建了人口库、法人库、空间地理库等基础库和主题库,并实现了为各个厅局提供数据订阅服务。

  2015年10月,工业和信息化部电信规划研究院对湖南省云平台项目需求进行顶层设计。设计要求建设基于两地三中心架构的数据中心,建设跨越省市县三级的政务外网,建设统一的政务外网云平台,建设满足国家等保三级要求的安全保障体系。2016年11月,湖南省云平台一期完成建设并上线月,依照等保三级标准进行风险评估并完成安全加固。2018年3月,华中测评中心完成省电子政务云平台的等保三级测评,出具测评报告并完成公安备案工作。2019年初,省云进行了一期扩容建设,对云平台计算资源、数据库资源等进行了扩容,涉及到的安全设备也同步扩容,并于2019年11月,由湖南金盾完成省电子政务云平台的等保三级测评(信息安全等级保护三级认证2.0)。

  湖南省政务云平台的安全体系设计,严格遵从国家信息安全政策、指导意见、法律法规、标准规范等方面的要求,同时根据“公安部信息安全等级保护”对安全各层次要点要求,结合湖南省云信息化建设现状,建立了信息安全体系框架,包括技术防御体系、安全管理体系及安全运维体系。技术防御体系以信息安全等级保护标准、IATF、X.800等安全标准为依据,包含对省云物理环境的安全防护、网络通信的安全防护、主机及云平台的安全防护、应用安全以及数据安全保障,构建一个全面的、端到端的技术防护体系。管理安全体系主要以等级保护、ISO27001标准为主要依据,在安全机构、安全制度、安全人员及安全建设方面予以管理和规范。而针对省云的安全运维,则是以ITIL、ITSM等国际标准为参考,结合安全运维审计、态势感知平台等安全技术手段,将技术和管理及运维流程有效结合,保障省云整体的运行安全。

  目前湖南政务云项目由第三方负责整体运维服务工作,运维服务从2016年12月开始提供,为期5年。运维服务包括服务台、设备巡检、告警监控、告警处理、故障管理、配置管理、性能管理、资产管理、文档管理、人员出入管理、运维可视化管理、重大节日保障、运维演练、等保管理、制度管理、流程管理、租户管理、沟通协调等工作。

  目前湖南政务云(一期及一期扩容)现有运维人员41人,包括1名项目经理,8名服务台工程师,2名服务器工程师,1名存储工程师,4名数据库工程师,3名安全工程师,4名网络工程师,1名业务迁移工程师,3名自然人工程师,2名安全态势感知工程师,7名云平台工程师,4名老机房维护工程师,1名运维开发工程师。

  总体来说,运维组织架构搭建完善;基于ITIL、ITSS最佳实践,已经建立了运维流程体系和运维管理制度规范;云平台资源申请、业务运营等各项工作也已正常开展。

  主数据中心共有两个微模块机房,包括310机房和307机房。机柜高度为48U,支持最大功率6000瓦。310机房剩余20个机柜未用,307机房剩余39个机柜未用,共有59个机柜未使用。

  双活数据中心项目能使用的为一个机房,为省二院一楼1号机房。机柜高度为48U,支持最大功率6000瓦。目前只剩余4个机柜未使用。

  预算管理一体化系统基于X86架构开发,目前已完成系统开发,尚未安排资源部署。拟于本项目中采购资源,在云平台中划出财政VDC 专区用于部署该系统。

  两台核心交换机承担角色多、设备压力大、业务过于集中,风险较大。其中任何一个机房的核心交换机出现异常时,该机房的所有流量需绕行到另外一个机房,会降低数据交换效率,在业务高峰期造成网络拥塞。需要降低单机房单核心交换机的风险,在主IDC机房和省机关二院机房各新增一台核心交换机。

  在现网2台汇聚交换机节点ZXR10 8908E-H基础上,每台增配2块16口万兆板卡,合计4块,以增加汇聚节点接入省直单位的接入能力。

  随着省直部门的系统逐渐迁移到电子政务外网,如省委机要局的公文系统,一些行政机构、办事处、高校院所、企业也需要接入电子政务外网。目前有84家单位需要接入电子政务外网,其中28家单位通过财政筹集建设费用。这些单位接入电子政务外网只是为了访问系统,没有业务需要部署在电子政务外网。因此,需要城域网需要提供一种灵活的接入方式,低成本、快速的满足这些需求。

  在业务高峰期,省二院机房的两条电信出口链路、IDC机房一条电信IPV6出口链路,带宽使用率超过90%,需要升级出口链路带宽。

  出口链路带宽升级之后,交换机和连接负载均衡、ADS的接口以及用于镜像的端口都需要升级成万兆口,至少需要7个万兆接口,而现有省二院机房的互联网出口部署的是千兆交换机,没有万兆接口,库存的交换机最多只提供4个万兆光口,无法满足要求,需要新购2台万兆交换机。

  现有省二院互联网出口链路负载均衡-Radware Linkproof设备于2013年11月开始上线年开始停产,目前无软件版本支持IPv6协议,需要增加两台支持IPV6协议的链路负载均衡设备。

  现有省二院计算服务器96台,每台服务器配置两路12核CPU,256GB内存。内存配置偏低,需将96台服务器的内存配置从256GB增加到384GB。每台服务器增加128G内存,96台服务器共增加12288G内存。未来充分利用硬件资源,挪用86台计算节点及配套的交换机到主数据中心,并加入到主数据中心的计算资源池中。

  新增52台两路16核CPU、512GB内存的计算服务器,并为新增52台服务器配置对应的虚拟化授权。

  新增计算服务器中部署的虚拟化软件系统沿用现网云平台架构,能够被现网云平台统一管理,组成统一的计算资源池。虚拟机可以在现网虚拟化服务器与本次扩容的虚拟化服务器之间做热迁移,以均衡现网与本次扩容资源的资源使用率。新增的计算服务器可以使用现网及新增的存储池,以充分利用现网的存储资源。

  现网使用SSD+SATA盘混合存储模式,本次扩容要求使用全闪存存储服务器,以补充新增虚拟机对应的存储资源和IO资源需求,形成全SSD存储池和现有的SSD+机械硬盘存储池互为补充的分布式存储架构。

  本项目需扩容44台全闪存存储服务器,每台服务器配置包含10块3.84TB SSD硬盘。扩容完成后,44台分布式存储集群约可提供1600TB的裸容量。

  本次扩容的分布式块存储需与现网云平台无缝兼容,扩容的存储可以存储库的形式添加到现网云平台。同时,扩容的分布式存储系统可添加到现网分布式存储集群中,并支持被现网分布式存储系统统一监控和管理。

  当前存储部署了多套Oracle RAC数据库,磁盘空间使用率较高。现有设备内存储容量占比较大的为7200转NL-SAS机械硬盘,由于机械硬盘物理限制,IO性能较差。IO性能较好的10000转SAS机械硬盘和固态SSD硬盘容量占比较小。当业务压力较大时,存储瞬时延时较高,磁盘IO存在争抢,导致数据库业务访问存储存在延时较高、卡顿的现象,当前磁盘阵列的磁盘配置成为存储的使用瓶颈。数据库类型的业务对瞬时IO性能要求较高,采用大量性能较低的7200转NL-SAS机械硬盘的IO性能已无法满足省政务云现有数据库业务数据存储的需求。

  经过分析,目前所有在使用的数据库磁盘阵列硬件资源占用率较低,承载的数据库业务对于磁盘IO性能要求高,主要业务访问的瓶颈在硬盘配置上。因此需在现有硬件基础上对数据库磁盘阵列进行扩容升级,每台磁盘阵列增加配置一个单独的磁盘柜和一定数量的SSD固态盘,用于负载关键数据库业务,提供较好的数据库访问性能。

  本次新扩容计算节点,需要新增分布式存储网络接入交换机满足计算节点接入后方存储网络。

  通过1.3.3.4节描述,现网分布式块存储节点服务器的前后端网络未分离,东西向和南北向数据混合,相互影响。随着数据交换增多,后端网络东西向大量的数据交换会挤占前端网络南北向网络带宽,影响存储业务。鉴于物理分离需要新增现有存储节点服务器网卡以及更改配置,影响现有业务。所以本次仅对新增的存储节点服务器需要新增独立的东西向物理端口和新增独立的万兆交换机完成存储服务器节点的东西向数据集群间数据同步。原有存储节点服务器保持不变。

  现网虚拟防火墙已经全部使用,无法为未来新上线的业务或单位提供安全隔离功能。为了向新上云的业务或单位提供安全隔离功能,本次计划扩容100台虚拟防火墙,扩容后的虚拟防火墙需要与现网虚拟防火墙完全兼容。

  虚拟防火墙提供虚拟的安全防护系统,深度融入到虚拟化环境中,对数据中心内部东西向流量和外部网络接入流量进行防护,满足云平台安全需要。

  虚拟防火墙需要能够实现不同省直部门的多租户隔离和业务隔离,确保省直部门间的网络流量不相互影响、不同业务间的网络流量不相互影响。

  虚拟防火墙设备需接入到云管理平台,方便进行统一的开通部署和操作维护;虚拟防火墙需要能够部署在通用服务器承载的云平台计算节点上,并通过虚拟防火墙的管理节点与云平台的管理控制节点互通。虚拟防火墙可深插入到现网云平台中,可对云平台的东西向流量和南北向流量进行安全防护,以方便通过云平台实现虚拟防火墙的生命周期管理、策略的配置等工作。

  本期项目,只是对云计算资源的扩容,不涉及安全架构的改动,资源扩容涉及到部分安全设备,需要同步进行扩容,具体分析如下:

  1、新增的网络、服务器等设备,要纳入堡垒机的统一管理,目前现网的堡垒机管理资源足够,不需要扩容。

  2、需要对现有内外部数据中心的主机安全及管理软件进行扩容,增加3000个被管资源的授权,实现新增资源的主机入侵防御功能,具体包括:抵御账号暴力破解、账号异常登录检测、恶意代码检测、违规外联、端口扫描、病毒查杀、安全运维、安全基线、应对新增的主机操作系统、Web 服务器、数据库等系统软件自身的安全配置进行检查和加固,配置合规后才允许其正式上线运行。安全配置包括系统的账号口令、授权、审计等方面的安全管理配置,以及系统运行过程中的网络端口状态、进程状态、服务运行状态、账号状态以及重要文件状态等的配置。

  4、应定期对运行中的资源进行漏洞扫描与安全配置核查,发现问题及时整改,现网的漏扫设备不限制总资源数,新增资源不涉及漏扫的改造和扩容。

  5、新增资源要纳入态势感知平台的统一监控和审计,现网态势感知平台已经建设完毕,不限制被管资源数,本次扩容不涉及平台的改造。

  根据国办考核要求,需要对全省的电子证照进行印章的加盖,主要涉及13个厅局部门和14个市州,涉及印章约3万多枚,电子证照为亿万级。目前只有少部分市州和极个别的厅局单位自己购买印章存储加密机,大部分厅局单位没有自己的电子证照系统和印章应用平台,需要将电子印章托管到省统一印章服务平台,由省统一电子证照系统统一加盖电子印章。

  目前省统一印章平台使用的加密存储设备,是2015年电子政务外网云平台建设初期购买的两台签名验证服务器,其存储容量为100枚一台,不满足统一印章平台的存储需求,需要扩容购买电子印章存储服务器密码机,支撑全省后续电子印章的应用。

  本次项目需要采购2台印章存储服务器密码机,每台可支持1024个印章存储,能与湖南省统一电子印章服务平台对接,并兼容湖南省统一电子印章服务平台制发的电子印章。

  2019年政务大数据中心在完成多集群改造后,前期委办厅局提出的目录对接和数据共享得到较好的满足。越来越多的委办厅局开始提出数据共享需求,大数据中心开始启动全面对接服务工作。

  经过一年的运行,大数据中心服务器节点资源分配殆尽、系统资源负荷过高,无法支撑更多厅局数据处理需求,无法承接与更多厅局的对接工作。

  根据最新政策《湖南省政务信息资源共享管理办法》,为使省政务大数据中心更好服务于发展研究中心、省级委办厅局、市州有关单位,在整个云平台大数据的二期规划落实之前,需要尽快启动阶段性紧急扩容。经过分析测算,本次拟在原有大数据集群基础上新增40台服务器、软件功能License。扩容后具备省政务网大数据一期服务器节点同样的软件功能,能够被现网大数据平台统一管理。

  本次新增60台两路16核CPU、512GB内存的计算服务器,并为新增60台服务器配置对应的虚拟化授权。新增计算服务器中部署的虚拟化软件系统沿用现网云平台架构,能够被现网云平台统一管理,组成统一的计算资源池。虚拟机可以在现网虚拟化服务器与本次扩容的虚拟化服务器之间做热迁移,以均衡现网与本次扩容资源的资源使用率。新增的计算服务器可以使用现网及新增的存储池,以充分利用现网的存储资源。

  本次新增一台磁阵,为虚拟机、数据库、文件存储提供存储服务。为保证数据可靠性,虚拟机和数据库采用RAID 10,文件存储采用RAID5。每个虚拟机需要100GB的存储空间,考虑到硬盘空间大约有10%的标称损耗,670个虚拟机实际需要670*100*2/90%=150TB的存储空间。根据财政预算管理一体化系统的要求,每个虚拟机上部署的应用读写性能至少达到110MB/s以上,为此需要采用固态硬盘存储。数据库需要100TB的存储空间,文件存储需要280TB的存储空间。考虑到大部分文件存储对性能要求不高,主要采用SAS盘存储。

  本次扩容60台计算物理服务器,为保证业务、存储、管理链路的可靠性,每台物理服务器采用双链路的方式连接业务网、存储FC SAN网和管理网。所以,60台计算服务器需要提供120个万兆接口连接业务网,120个16G FC光口连接存储网,120个电口连接管理网,60个电口连接IPMI管理网。

  考虑业务网、管理网、IPMI管理网交换机都能一定数量的空闲端口,所以本次将新增2台48口万兆交换机用于连接业务网,,新增2台48口千兆电换机连接管理网,新增1台48口千兆电换机连接IPMI管理网。现有存储网的FC SAN 交换机空闲端口有限,同时有部分端口要用于交换机级联,所以本次新增4台48口FC SAN交换机。

  出于节约成本的考虑,本次扩容将新增6台4路数据库服务器和1台数据库一体机。6台数据库服务器将组成3个Oracle RAC。新增的1台数据库一体机将部署Oracle数据库,并能支持国产主流数据库,提供高性能的数据处理能力。数据库一体机配置4个计算节点和3个存储节点,计算和存储之间通过InfiniBand接口相连。为提高数据可靠性,采用三副本存储,配置480TB的裸空间,实际可用空间160TB。与现网数据库备份一体机深度融合,通过InfiniBand高速网络将数据库一体机上的数据高速备份到现网数据库备份一体机上,主备库之间时间差为0,数据库备份一体机可以一键接管数据库一体机上的数据库业务。

  财政部已经完成了部本级的数据级容灾建设,通过备份一体机,实现三张网的北京同城容灾及西安异地容灾。本次财政厅的数据异地灾备建设一方面是基于部本级数据容灾的扩展,实现湖南省财政厅到西安之间的数据容灾建设,另一方面也是技术创新的应用,采用更为先进的CDM副本数据管理技术,实现省财政厅的本地业务数据快速数据保护与恢复,并实现异地的快速恢复与演练。具体建设内容如下:

  西安异地容灾中心采用静态路由方式与各省(市)财政部门对接,便于进行路由的精细控制,保证只在各省(市)备份设备与西安异地容灾中心备份设备之间进行可控连接。西安异地容灾中心内部网络配置OSPF路由协议,结合BFD链路状态检测技术,在链路中断后能够将流量快速切换到冗余链路上,从而保证了网络的健壮性。

  本次项目利用与财政部西安灾备中心之间的20MB备份专线网络进行备份数据的远程复制。

  本次项目需要配置CDM副本数据管理一体机一台,通过IP网络或SAN存储网络接入到现有环境中,用于实现本地重要应用系统数据的灾备保护,然后通过CDM系统的远程复制功能,将数据传输至西安异地容灾中心。本次项目采用软硬件高度集成的一体机方式,该设备既提供数据保护功能,也同时提供备份数据的存储空间,在进行恢复验证或开发测试时,可直接将需要恢复的系统从一体机上挂载拉起。

  数据的异地复制策略由湖南省财政厅本地CDM节点上进行配置,可通过本地CDM节点监控到异地复制策略的执行情况。当发生灾难性事件,需要从西安灾备中心进行数据恢复时,可从本地CDM节点上发起恢复操作,将数据反向同步回本地CDM节点,或直接恢复到生产服务器中;也可在向西安异地容灾中心授权后,从西安异地容灾中心发起恢复操作。

  为了满足省财政厅的资源建设需求,新增8台服务器作为现有大数据平台计算节点的扩容,以提升数据的处理性能。扩容服务器部署沿用现网软件,能够被现网大数据平台统一管理。

  为满足省预算管理一体化系统的网络安全建设需求,需要在省财政厅现网中增加全网态势感知、云平台安全:

  1、全网态势感知:通过本地化威胁分析与建模、安全编排自动化与响应、机器流程自动化、网络流量分析和可用性监控技术,建设全局安全态势感知系统和系统运行监控平台。

  2、云平台安全:基于云平台弹性扩展、资源池化、按需服务、泛在接入的特点,从分层、纵深防御思想出发,根据层次分为云主机安全、租户自适应安全两个层面,结合已有的纵向安全体系形成南北向、东西向完整的云安全防护体系设计,并针对各级财政部门安全运维人员开展安全意识培训。

  1)投标人应承诺组建本地化项目团队,专门负责建设项目交付和后续运营维护,按时保质保量完成相关建设并提供高质量的后续服务。

  2)指派专业项目经理和团队,具备良好的沟通协作能力和专业技能,能与用户及合作伙伴进行良好的沟通,具备产品安装、调试、集成的能力。

  投标人提供的实施方案应包含项目计划、硬件安装、系统联调、系统测试及试运行、技术培训等相关内容。

  项目技术文档:项目实施计划、用户手册、操作手册、测试报告、实施进度表和总结报告。

  2)系统应提供符合中文习惯的操作界面,所有与采购方相关的信息都必须用中文显示。

  对本项目采购的软硬件产品,应根据招标文件要求,在招标文件规定的环境下,实现正常运行并达到招标文件要求的功能、性能,关键设备需提供原厂的售后服务。

  支持服务期内各省直部门的业务系统迁移需求,包括:系统评估、迁移方案设计、虚拟化环境准备、系统移植、测试验证、业务割接等所有步骤。

  系统调试完成后,按照采购方实际要求的基本功能以及招标文件中要求的所有指标进行逐一测试。

  1)单项测试:单项产品安装完成后,成交人进行产品自身功能及性能的测试。设备通电测试应单台进行,所有设备通电自检正常后,才能相互连接。

  2)验收测试:试运行期结束后,根据验收测试方案进行验收测试,现场提交测试报告,由甲乙双方签字确认。

  3)安全测评:依据国家信息安全等级保护制度规定,按照湖南省的有关管理规范和技术标准,结合实际需求,由专业服务商对非涉及国家秘密信息系统安全等级保护状况进行检测评估,确保扩容后云平台及大数据平台满足等保三级要求。

  为了保证系统能按时高质地顺利完成,规避项目风险或将风险降至最低程度,应采取如下质量保证措施:

  1)项目主管在项目实施期间不允许更换,项目主要实施人员的更换需同甲方协商,待甲方同意后方可更换。

  2)认真做好项目前期工作和实施计划。详尽全面的用户需求调研分析是系统实施的基础,先进实用的系统设计方案是系统实施的依据,一定要扎实做好需求调研分析以及系统设计工作,周密做好系统各阶段实施计划。

  4)强化成果审查、测试工作。对系统各实施阶段产生的成果严格进行校审,对系统各功能模块进行严测试,严把各阶段质量关,从而确保整个系统的高质量。

  1)售后服务必须是由相应产品提供方的原厂商直接对采购人提供售后服务,要求提供原厂相应产品的服务标准。

  2)本项目采购所有产品、服务,其原厂授权的使用方或服务对象必须为湖南省人民政府发展研究中心,授权均为永久授权。

  2、验收分到货验收和用户验收。到货验收由甲乙双方共同组织,形成到货清单。

  3、乙方应在用户验收前完成招标文件中所有的工作内容,提交验收所需文档,包括相关说明书及完成相关工作的证明材料且软硬件系统稳定运行一个月以上。

  4、用户验收文档应包括监理公司出具的建设实施过程的监理意见和监理报告,用户出具的试运行情况报告和提供服务的证明。

  5、对于验收中不合格项,甲方书面通知乙方限期进行整改,并由供应商返工直至合格,有关返工、再行验收以及给采购人造成的损失等费用由供应商承担。连续两次项目验收不合格的,采购人可终止合同,另行按规定选择其他中标候选人,由此带来的一切损失由供应商承担。待验收项全部合格后,签署验收到货清单及验收合格报告。

  6、到货验收合格后,供应商应将产品有关的全部资料,包括全部有关技术文件、资料、安装实施、操作和维护技术手册、验收报告等文档汇集成册交付给用户。

  7、项目验收国家有强制性规定的,按国家规定执行,验收费用由成交供应商承担,验收报告作为申请付款的凭证之一。

  8、验收过程中产生纠纷存在异议的,由质量技术监督部门认定的检测机构检测,出具检测报告,检测费用由供应商承担。

  乙方应负责向甲方进行培训,内容应包括产品的介绍,产品的使用,产品的日常运维。

  包括运维经理1人、服务台12人、服务器工程师4人、存储工程师2人、数据库工程3人、安全工程师4人、网络工程师5人、业务迁移工程师2人、云平台工程师8人。

  总体来说,运维组织架构搭建完善,41人全部到位;基于ITIL、ITSS最佳实践,已经初步建立了运维流程体系;云平台资源申请、业务运营等各项工作正常开展。

  云平台资源补充项目运维部分坚持“以业务和用户为中心”的原则,在一期和一期扩容项目下,进一步完善组织架构,全力保障业务的稳定性和连续性。