(一)背景及现状
年10月,根据《河北省人民*府关于促进云计算创新发展培育信息产业新业态的实施意见》(冀*发20号)文件要求,在整合利用省内现有资源的基础上,依托云计算技术,采用供应商投资建设,*府购买服务的方式,统筹建设了省级*务云平台(以下简称省*务云),为省级财*预算部门(简称“用户单位”)提供基础信息资源服务。河北省*务云一期由河北联通提供服务(-),二期由河北联通和河北移动分别提供服务(-)。
河北联通1.62亿中标河北省*务云二期项目
河北省*务云(联通区)采用了华为云平台,为各厅局提供云主机、云存储、云安全、物理机及托管等服务,*务云在石家庄本地建设了同城双中心,双数据中心使租户业务能够跨数据中心部署,同时具备提供国产CPU计算资源的能力。
截止年9月,河北省*务云(联通区)已完成70余家省本级预算单位
余个业务系统的迁移部署工作,提供了余台云主机,并为余台设备提供托管服务。本包拟继续通过购买服务的方式采购,持续深入推进省*务云建设,确保本区现有业务服务不间断。
(二)建设目标、功能定位、总体框架
1建设目标
总体目标
按照企业投资建设,*府购买服务模式,持续为用户单位提供云服务,加速提升电子*务集约化建设水平,为“河北省一体化大数据中心”建设夯实基础,进一步提升全省电子*务应用水平,为创新型*府、服务型*府和智慧型*府建设提供有力支撑。
本期建设目标
建设符合《基于云计算的电子*务公共平台顶层设计指南》、《信息安全技术云计算服务安全指南》、《信息安全技术云计算服务安全能力要求》、《网络安全法》、
《密码法》、《数据安全法》《网络安全审查办法》等标准、规范、法律法规的*务云平台,并贯彻落实“十四五”有关电子*务和信息化工作系列规划的相关要求。
*务云平台将提供统一的云计算、网络、安全以及相关软件服务;对已有信创区资
源采取“资产托管、购买运维服务”的模式,实现建设模式向服务模式的转换。本期*务云建设将基本满足河北省电子*务业务未来3的省级*务信息化应用相关需求。
2总体功能定位
*务云平台是支撑省直各用户单位业务系统建设的基础性、公共性、综合性资源服务平台,主要功能如下:
2.1计算能力
具备为用户单位提供计算(含操作系统)基础资源的能力。2.2存储能力
具备为用户单位提供存储基础资源的能力。2.3网络传输
通用网络
具备为用户单位提供*务外网、互联网的网络传输能力;具备云平台内部网络管理能力;具备提供负载均衡服务的能力。
专网网络
具备为用户单位提供专用网络环境开展云服务的能力;具备专网云平台内部网络管理能力。
软件服务数据库
具备为用户单位提供云数据库、分布式数据库、缓存数据库等服务的能力。2.4.2容器
具备为用户单位提供高性能、可伸缩的容器服务能力。2.4.3数据备份
具备为用户单位提供统一数据备份的能力。2.4.4云桌面
具备为用户单位提供云桌面应用的能力。2.4.5邮箱
具备为用户单位提供*务邮箱服务的能力。2.5网络信息安全
网络信息安全包括*务云平台安全和*务云用户单位安全两方面。
*务云平台按照等保2.0三级保护的要求,建设统一的安全保障体系的能力。用户单位安全按照“平台与租户单独定级,区别防护;平台与租户分开管理,职责
分离”的方式,可选择*务云提供的安全服务。2.6运行保障
具备为用户单位提供物理设备托管的能力。
具备为用户单位托管设备和已建信创区资源提供运行维护管理的能力。具备基于云平台的短信群发服务能力。
3总体框架
省*务云立足河北省电子*务应用实际和发展需求,以服务为中心,构建总体架构如下:
三个体系
包括贯穿各层面各环节的三个体系:信息安全保障体系、运行管理体系以及云平台标准和规范体系。
三层服务
建设*务云基础设施服务、平台服务、软件服务。
(三)本期采购内容及要求1采购服务内容
基础设施服务:计算、存储、网络、安全、备份、云桌面、托管等服务;平台软件服务:云数据库、容器等服务;
应用软件服务:统一电子邮箱、短信(仅限*务云平台管理和运维使用)等服务。
2产品及报价要求
云服务产品
按照采购服务内容,投标人提出满足要求的服务报价。其中,各类基础设施服务、共性软件服务之间的资源利用不得交叉计算,均须完全满足*务云指标要求。
托管费用
托管费是指部门既有设备进入托管状态后产生的费用,按U/报价。
3相关要求
投标人提供云平台所涉及的全部软件产品,在建设实施以及日常维护期间需全部由原厂技术人员提供服务,确保服务质量。
投标人提供的云平台应符合《基于云计算的电子*务公共平台顶层设计指南》、
《信息安全技术云计算服务安全指南》、《信息安全技术云计算服务安全能力要求》、
《网络安全法》、《密码法》、《数据安全法》、《网络安全审查办法》等国家及行业标准,应提供统一的云计算、网络、云平台安全以及共性应用服务。
投标人提供的*务云管理平台,须提供符合*务云监管平台接口规范要求的接口。
投标人用于本项目的机房。应在石家庄范围内拥有产权或使用权的机房不少于两个,且在河北省境内距离石家庄不小于公里拥有产权或使用权的机房不少于一个。
投标人应提供建设、运维相关的文档,包括但不限于以下内容:项目建设阶段:项目建设方案、实施方案、标准规范体系等相关资料;
提供服务期间:服务工单、故障诊断及排除记录、工作总结报告等其它相关资料;培训期间:培训计划、用户使用手册、管理员使用手册;
其他需要提交的材料。
投标人应保证所提供的软件产品均为正版软件,引起的版权纠纷由投标人全权负责。
投标人应用于*务云信创区的软硬件产品均须完成相关云环境下的适配测试,并提供证明材料。
投标人应按要求完成相关调研工作,制定详细的省*务云建设、实施、运维计划。
*(9)投标人须在合同签订后90天内,提供*务云服务能力。
*(10)投标人须在合同签订后6个月内,按照采购人要求免费完成现有上云系统平滑迁移及托管设备的迁移,迁移期间保证系统的延续性、稳定性、数据不丢失。二、技术要求
(一)基本要求
1建设要求
一是安全审查,投标人提供的*务云平台应当通过中央网信办安全审查。
二是测试测评,*务云平台应支持国密加密算法的密码应用,遵守等保2.0第三级的相关要求,并通过相关评测。
三是三专要求,包括:
设备专用,投标人提供的云平台设备为河北省*务云专用,未经许可,不得提供给其他用户使用。
队伍专用,投标人需配备专门的团队,未经许可,不得随意变动和调用。
管理专用,投标人必须严格遵守各项管理制度,未经授权,不得随意为单位用户提供各类云服务。
2网络互联要求
*务云云平台(机房或数据中心)应具备连接河北省电子*务外网的能力,具备互联网独享出口带宽能力,具备本地互联网骨干网接入能力,具备IPv6的能力。
3云平台机房要求
云平台所处的多个数据中心机房,同城机房必须在石家庄本地落地,且地理位置相距不小于5公里;异地机房在河北省境内距离石家庄数据中心不小于公里。机房应
符合IDC机房建设标准要求,首期单个机房面积不少于平米、机柜数量不少于50个。
投标人需在多个机房部署云计算平台,能够实现多个平台的数据互通、主机互备、应用备份的容灾要求。
4云平台要求
4.1云管理平台要求
云管理平台应包括但不限于云平台普通用户、管理员系统,自动化工具系统,统一监控平台等多个核心子系统。
支持统一的日志收集和分析平台,包括平台操作日志、系统日志等。
支持配额管理和计量功能,管理员可记录和调整租户使用的资源配额,如虚拟机数量、数据存储情况、网络使用情况等相关资源。
支持对云平台服务器节点的CPU温度、内存、风扇、磁盘温度、扇区、使用率、健康状态等进行监控;能够监控云平台软件、物理节点状态、资源使用率、硬盘在线状态、存储IOPS、运维告警信息。
支持定时自动巡检,能够主动地对事件进行提醒、报警通知。
支持平台自动化平滑无感升级,支持硬盘故障定位,支持磁盘进行数据重构无需重启。
支持云租户通过堡垒机加VPN等身份认证方式管理云主机。4.2计算虚拟化要求
支持完整的虚拟机生命周期管理,支持虚拟机的创建、启动、暂停和恢复、资源挂起、重启、关闭、配置调整、删除、锁定、解锁、虚拟机重置等功能。
支持CPU绑定,云主机vCPU绑定至物理节点pCPU上,可以实现云主机独占物理节点CPU的Core(物理核)/Thread(线程)。
支持在线虚拟机资源热添加,可以指定虚拟机,调整CPU、内存、硬盘资源。支持物理机高可用功能,当一台宿主机发生故障,运行在其上的虚拟机可以在集群
内的其他宿主机上重新启动,保障业务连续性。
支持虚拟机绑定、解绑与外部网络的公网IP地址。
支持虚拟机在线热迁移和批量冷迁移功能,实现虚拟机在不同宿主机之间迁移,迁移可以指定宿主主机,保障业务连续性。
4.3存储虚拟化要求
支持分布式存储;同时支持集中式存储对接。
支持完整的云硬盘生命周期管理,包括创建、删除、挂载、卸载、快照、备份、扩展、编辑名称、更新状态、重置挂载状态、更改属性等功能。
支持对云硬盘在线备份生命周期管理,包括创建、删除、恢复。
支持块存储自定义QoS,可控制单块云硬盘的IOPS或者磁盘吞吐量。
支持多级存储数据平衡策略,提供更加智能的数据平衡策略,方便用户单位灵活规划数据平衡与业务负载压力。
支持I/O路径优化引擎,实现I/O读写性能提升;支持智能缓存加速技术;支持精简部署。
支持数据多副本保护策略,实现不少于3副本保护。4.4云安全要求
基础设施安全
应实现不同云租户之间的安全隔离;安全策略随虚拟主机的迁移而迁移;
数据安全
应确保不同云租户之间的存储数据隔离;
应采用访问权限控制技术保证云主机、云端数据的最小授权访问,可有效控制投标人对云租户数据的非授权访问。
应用安全
应保证不同云租户间的应用隔离和数据隔离。提供安全可靠的云租户身份识别和认证机制。提供安全的访问控制手段。
4.5云产品自主能力要求
云产品须具备技术支持能力与知识产权。
5信创要求
投标人建设*务云信创区须符合信创相关*策要求,软硬件设备在信创目录中的产品必须选用;所选用的软硬件设备应通过*务云信创区环境下的适配测试;新建的*务云信创区资源须具备与已建信创区融合应用的能力。
6专网要求
按照用户单位需求,能够提供专网接入服务,包括安全服务能力。
(二)计算资源池1规模要求
云平台资源池应至少具备台物理主机的规模,包括x86架构设备、信创设备等。
2计算要求
云主机性能要求
本期云平台提供云主机的资源须包含X86云主机、信创云主机两类,每类可提供的资源如下:
X86云主机:VCPU核数最大不低于64核;内存不允许采用复用方式分配资源,可选范围最大不低于G,性能不低于DDRMHz,系统盘不低于40G,系统盘、数据盘顺序、随机读写4kB文件IOPS性能不低于0,读时延10ms以内,写时延15ms以内。
信创云主机:VCPU核数最大不低于48核;内存不允许复用方式分配资源,可选范围最大不低于G,系统盘不低于40G。
在运行环境中,根据各用户单位需求,提供正版操作系统,以满足在云平台部署的应用系统复杂多样的需求。
裸金属主机性能要求
提供裸金属主机服务,投标人根据用户单位需求可提供不同配置参数的裸金属物理主机。
GPU计算要求
提供GPU计算服务,投标人根据用户单位需求可提供多种规格的GPU计算资源。3管理要求
管理平台采用B/S架构,提供web界面,可通过浏览器进行远程控制;
实现跨平台监测功能,对windows、Linux等不同平台的服务器进行集中监测;具备灵活的告警配置功能,支持服务器的CPU、内存、硬盘、I/O性能、服务、进
程资源等监测;支持标准的IPMI协议,在不依赖操作系统的情况下,对服务器的运行状态实时监测,包括CPU温度、风扇转速、机箱内部温度、电源状态等;
支持远程开关机功能,方便管理员对设备进行管理;
管理员可根据被管理、被监控的设备数量和复杂程度,灵活的设置或定制管理软件;提供丰富的报表、拓扑和日志功能,可查看所有资源的运行记录,可根据记录数据
快速生成报表、资产列表等;实现拓扑的分层显示。4服务采购费用计算方式
服务包括服务管理费用和计算资源费用,计算资源按照计算节点的CPU核数收费,计算过程中使用的其他资源,如存储、IP、带宽等按照IaaS产品价格收取。
(三)存储资源池
1规模
投标人提供的存储资源池建设规模从5PB规模开始。2技术要求
合理利用已有存储空间,利用虚拟化、集群应用、网格或分布式文件系统等技术,实现异构存储整合,构建统一的存储资源池,为各用户单位提供块存储、对象存储、文件存储等多种云存储服务。
存储资源池具备开放标准、可扩充性、高可靠性、数据冗余部署、集中式管理等特性。
数据存储服务能够为部门提供数据级和应用级数据存储服务。
高性能存储与普通存储可按应用需求选择不同磁盘类型,实现数据按需存储;高性能存储与普通存储应具备较强的扩展能力,存储系统可扩展容量支持PB级扩
展。
高性能存储与普通存储可靠性达到99.%;
存储具有可靠的数据保护机制,确保不会因硬盘故障等原因导致数据丢失。3服务采购费用计算方式
按照存储容量以GB为最小单位进行采购。
(四)网络传输
1*务云网络传输
*务云分为互联网区、*务外网区、云平台运维管理区三大区域,各区域间采用必要的防护手段实现逻辑隔离。
2功能要求
互联网出口双链路设计,主链路不小于40G,备用链路不小于10G,且能够利用双出口实现动态流量分担;
云平台通过不小于40G的带宽预接入*务外网,所有接入网络都是动态可扩展的弹性网络;
在*务云出口旁路须加载安全资源池,具备防火墙、入侵防御、VPN等功能。云平台内部需要划分逻辑安全隔离区,每个逻辑安全隔离区之间的访问需有统一的
安全策略管理。3性能要求
网络设备和链路都应冗余考虑;网络可承载语音、视频、数据等方面的能力,且能
保证高性能高稳定;具备性能管理、故障管理、配置管理、服务器监视等网络管理功能。
4专用网络传输
按照*务外网的规划,专用于部署各部门与互联网和*务外网物理隔离的业务系统。
5负载均衡
云平台应提供负载均衡功能保证部署在云平台的应用高可用性。6服务采购费用计算方式
涉及互联网部分需要计费,按照网络出口带宽计费,最小单元为M。负载均衡按照
IP个数进行计费。
(五)软件服务1数据库
云数据库
具备集群管理功能,可通过云管理平台实现集群部署和删除。数据库稳定可靠,可以保证业务系统的常年运行。
提供专业的数据库管理平台,服务具有完善的性能监控体系和安全防护措施。支持调整数据库的规格,包含内存、存储容量等。
分布式数据库
具备提供分布式数据库服务的能力,支持海量数据,支撑PB级数据管理能力。集群规模可根据需求弹性伸缩,扩展业务不中断。
支持高速、并行入库,支持对指定格式(CSV/TEXT格式等)的外部数据高速、并行入库。
支持全并行的数据查询处理,最大限度的降低查询时节点之间的数据流动,提升查询效率。
缓存数据库
提供即开即用、安全可靠、弹性扩容、便捷管理的在线分布式缓存服务,满足高并发及数据快速访问的业务诉求。
纯缓存:Redis作为缓存层,加速应用访问。
持久化存储:采用内存加硬盘的混合存储方式,在提供高速数据读写能力的同时能够满足数据持久化需求。
数据库服务采购费用计算方式
数据库采用购买服务模式,云数据库和缓存数据库按照实例规格计价,分布式数据库按照节点数量计价。
2容器
提供容器引擎服务,支持Docker和K8S两种技术路线。通过容器引擎服务,可快速、便捷的部署容器应用,不同容器间实现隔离。
支持企业级容器化应用的全生命周期管理,提供高性能、可伸缩的容器管理服务。支持一键创建容器集群,支持自动化部署和一站式运维容器应用。
支持多类型容器集群,支持使用云服务器、裸金属服务器等多种基础资源。
服务采购费用计算方式:采用购买服务模式,按照集群实例规格和所用IaaS资源计价。
3数据备份
应提供*务云本地及异地备份服务,支持对数据库、中间件、操作系统等进行备份,并支持*务云用户单位应用系统备份的相关需求。
支持快照备份、数据库备份、文件备份、应用系统备份等。备份服务包括数据本地备份、数据异地备份。
异地备份位置距离石家庄*务云平台须≥公里,且地点不可在地震带。提供7*24小时实时监控和定期巡检服务。
服务采购费用计算方式:按照备份容量计价,异地备份计价不包含备份所需网络及带宽资源。
4云桌面
信创区云桌面要求
信创区云桌面服务须基于信创要求搭建,*务云用户单位自备信创终端,安装云桌面客户端软件接入云桌面平台。
信创区云桌面支持常见国产操作系统。4.2服务采购方式
云桌面采用购买服务模式,按照云桌面账户并发数量和所用IaaS资源计价。5邮箱
提供基于信创技术的*务邮箱服务。主要技术要求包括:
邮件系统具备全年99.99%的不宕机运行纪录;
支持*务云信创区运行环境;
每个邮箱容量不小于1GB。
服务采购费用计算方式:采用购买服务模式,按照邮箱账户计价。
(六)网络信息安全
网络信息安全将涵盖机房环境安全防护、网络安全防护、*务云安全防护、(租户)级防护、云内数据安全等多方面内容。
省*务云应通过国家信息系统安全等级保护2.0第三级标准测评和*务信息系统密码应用与安全性评估。具备保障系统运行的数据库、操作系统等完整方案。同时应当根据用户单位的业务需求,针对不同的业务系统等级保护要求,可提供相应的等保2.0三级或其他等级的安全服务,并在此基础上鼓励投标人提供等级保护要求以外的差异化安全服务能力。
1云平台安全
*务云平台安全分安全防护体系建设和安全服务体系建设。以《网络安全等级保护要求》内容为主要指导。
云平台安全应综合考虑主机、存储、网络和数据等方面的安全,以及云平台相关资源抽象与控制安全。
2云平台用户(租户)安全
云平台用户(租户)安全服务目录投标人具备提供以下安全类产品的能力。
云防火墙
提供基本的网络边界安全防护,包括但不限于4-7层的会话控制、应用控制、访问控制、漏洞攻击防护等功能。
入侵防御(IPS)
为云上应用提供入侵防御(IPS)能力,对网络流量进行深度解析,识别并抵御各类入侵攻击行为,应支持对漏洞攻击、蠕虫病*、木马后门、暴力破解等威胁类型的防护。
入侵检测(IDS)
为云上应用提供入侵检测(IDS)能力,对网络传输流量进行即时监控,发现可疑行为时进行告警。
防病*网关
提供防病*网关功能,通过检测进出网络内部的流量,对恶意文件进行扫描与隔离,应具备病*检测查杀、垃圾邮件过滤、恶意程序阻断等功能。病*库定期更新。
云WAF(按业务类型提供)
针对网站及Web应用系统提供应用层安全防护,通过对Web服务器的