《政务云平台建设方案.docx》由会员分享,可在线阅读,更多相关《政务云平台建设方案.docx(94页珍藏版)》请在三一办公上搜索。
1、政务云平台建设方案目录1 .云服务总体要求31云月艮务模式31.2云服务内容42.云服务需求及技术要求91. 1总体要求92.2技术参数12政务云平台平台作为智慧和政府信息化的基础设施支撑平台,充分运用云计算、大数据等先进理念和技术,按照“集约高效、共享开放、安全可靠、按需服务”的原则,以“云网合一、云数融合、云安联动”为构架,承载我市智慧城市应用系统和政府各部门应用系统的运行,实现政府各部门基础设施共建共用、信息系统整体部署、数据资源汇聚共享、业务应用有效协同,开展大数据开发利用,支撑我市社会经济、城市治理、民生服务等应用体系开展。政务云平台建设,将在有效降低重复建设投资、节能环保的基础上,
2、提高基础设施资源的利用率,实现信息基础设施资源的统一规划、统一建设、按需调配、即需即用、有效共享,推进政府信息化建设体制改革,构建“管运分离”的“数字政府”建设管理新体制。通过合理规划、小步快跑的方式,在实现建设集约化、信息共享化、服务标准化、效益最大化的同时,满足党政机关政务信息系统IT基础设施的应用需求,大幅降低建设和运行成本,提升整体运行管理水平,推进云计算关键技术的研发、标准体系的建立,创新应用服务模式,打造统一安全的政务云平台服务,构建大平台共享、大数据慧治、大系统共治的顶层架构和市级统筹、整体联动、部门协同的体系。1 .云服务总体要求1.1 云服务模式云服务方按照政务云平台平台建设
3、要求构建具备相关服务能力的大数据中心机房,提供主要服务内容包括:1)基础设施服务:含机房资源服务、网络资源服务、计算资源服务、存储资源服务、大数据服务等;2)信息安全防护服务:含基础安全防护、数据库安全、边界防火墙、安全指数、程序运行认证等安全防护增值服务等。1.2云服务内容服服计务务服务详细要求价数类子项单量别类位机房具有独立区域设置(进行物理隔离和机房围挡),单个机柜按4平米计算(含公摊独立面积)设置独立门禁管理。机房具有配平16空间套安保措施:独立区域内视频监控无盲米O服务区,视频录像记录存储时长不小于3个物月。属范围内A级机房,标准42U机架,供基理电最大功率3.3kVA,供电质量一级
4、,电础环机房源可用率99.99%;环境质量一级,即温设境机柜湿度达标,防干扰防静电防雷防鼠防火个40施服务防水防盗达标,有动力环境监控、视频月艮务监控设施。机房机房保证7*24小时有人值守,有专人定配套期巡检维护,制定完善的机房维护管理项1服务方案及应急保障方案,并严格执行。链因特路网专双纤上下对称因特网专线,直连运营商M10月艮线带骨干网。00务宽因特网专线IP租用双纤上下对称因特网专线,提供公网IPv4地址。个60电子政务外网加宽双纤上下对称电子政务外网数字电路(OTN、IPRAN.MSTP等传输数字电路,非IP城域网VPN专线)。M1000负载均衡应用负载均衡服务弹性负载均衡(Elast
5、icLoadBalancing)通过将访问流量自动分发到多台云主机,扩展应用系统对外的服务能力,解决大量并发访问服务器的问题,实现更高水平的应用程序容错性能。实例1IaaS平台资源月艮务云计算资源月Ii务(电子CPU物理处理器为金牌处理器主频22.3G,超配比为2。4个云节点为一个计价单元,即3个运行节点+1个冗余节点,只算3个节点的资源数量。详细性能要求见硬件设备配置和技术参数要求。vCPU384内存内存不低于2933MTs双通道DDR4内存。4个云节点为一个计价单元,即3个运行节点+1个冗余节点,只算3个节点的资源数量。详细性能要求见硬件设备配置和技术参数要求。GB3072政务外网区)硬盘
6、硬盘为SATA机械硬盘,并另配4%的高速SSD做加速。按3副本配置,计价按实际提供容量,即3T硬盘空间按IT计量计价。考虑厂家按十进制计算容量,计算机按二进制计算容量和RAlD冗余,实际得盘率为75%o详细性能要求见硬件设备配置和技术参数要求。TB160云计算资源月艮务(因特网区)CPU物理处理器为金牌处理器主频22.3G,超配比为2。4个云节点为一个计价单元,即3个运行节点+1个冗余节点,只算3个节点的资源数量。详细性能要求见硬件设备配置和技术参数要求。vCPU192内存内存不低于2933MTs双通道DDR4内存。4个云节点为一个计价单元,即3个运行节点+1个冗余节点,只算3个节点的资源数量
7、。详细性能要求见硬件设备配置和技术参数要求。GB1536硬盘硬盘为SATA机械硬盘,并另配4%的高速SSD做加速。按3副本配置,计价按实际提供容量,即3T硬盘空间按IT计量计价。考虑厂家按十进制计算容量,计算机按二进制计算容量和RAID冗余,实际得盘率为75%o详细性能要求见硬件设备配置和技术参数要求。TB80物理计算资源月艮务CPU物理处理器为银牌处理器主频22.1G。详细性能要求见硬件设备配置和技术参数要求。核80内存内存不低于2933MTs双通道DDR4内存。详细性能要求见硬件设备配置和技术参数要求。GB640硬盘硬盘为SAS12GbsT0K机械硬盘,RAlDlE冗余。详细性能要求见硬件
8、设备配置和技术参数要求。TB24备份空间硬盘为SATA6Gbs-7200机械硬盘,RAID5冗余。详细性能要求见硬件设备配置和技术参数要求。TB35IaaS平台安余月艮务本地安全月艮务边界安全安全区之间边界防护(含综合防火墙、Web应用防护墙、网闸等)。详细性能要求见硬件设备配置和技术参数要求。套1管理安全安全运维网关(堡垒机)。.套1安全扫描月艮务漏洞扫描常规安全漏洞扫描。次1入网安全系统上线安全扫描。VM/次1安全审计月艮务数据库数据库安全审计服务。套1H志H志采集与分析服务。套1云安全月艮务抗D近源抗DDOS攻击云服务(含攻击监测、攻击防护、分析溯源)。套1反钓鱼防本平台租户网站被钓鱼(
9、含钓鱼网站发现、钓鱼网站拦截)。套1网站安全网站安全专家系统服务(含网站可用性监测、网站内容监测、网站防火墙)。套1域名防护防本平台租户域名被冒用(含域名安全监控、域名快速修正)。套1IaaS平台基础软件月艮务通用软件操作系统等根据租户提出的资源需求,及时调配云服务资源,并安装操作系统、中间件、数据库等通用基础软件(软件甲供),最终交付一个可用的虚拟机。项1杀毒软件EDR在虚拟机或主机操作系统内安装EDR服务(终端侦测与响应)。套12 .云服务需求及技术要求总体要求1.总体架构需求政务云平台服务总体架构按照“分期建设、物理分散、逻辑统一、按需共享”的双中心分布式架构进行规划,总体架构如图所示:
10、1 1)一期、二期分别选择两家不同的云服务提供方,分别建设大数据中心机房,统一对外提供一致的云服务。(2)采用标准开放的云平台架构,两个云服务提供方应支持信息共享并能够支持互相迁移,并逐步实现数据双活。(3)通过统一云管理平台实现政务云平台各类云资源的统一运营和多租户服务管理,满足政务云统一管理。(4)根据存储数据的生命周期属性、创建时间、访问频度、读写性能等不同要求,合理区分冷数据、热数据。对于海量非结构化数据存储,在大数据中心后续规模拓展过程中,可考虑采用蓝光存储、对象存储等方式。2 .云服务基本需求政务云平台计算平台应采用云计算虚拟化技术建设集中统一的云计算与存储资源池,计算需求为实际可
11、用计算资源物理CPU288核,内存需求规模约为实际可用内存2304GB,存储需求实际可用容量规模约为240TBo能满足服务器动态扩展需求,不停机动态调整资源,可实现用户资源使用可视化、精细化管理并提供统计分析功能。按照实际运行情况,在服务期内应可根据用户的需求进行扩容,包括但不限于对计算资源、存储资源、网络资源等基础资源,以及各类软件支撑服务、安全服务的新增或扩容。采用双数据中心设计,云数据中心之间通过DCl高速链路连接,实现双云融合,本期建设其中一个中心。云平台需采用高可靠性设计,设备和链路双冗余,消除单点故障,云平台支持虚拟机热迁移,任何一台云服务器宕机,不影响虚拟机运行。3 .云安全需求
12、政务云平台平台需符合网络安全等级保护3级标准建设,具备保障系统运行的数据库、操作系统等完整方案。包括:边界安全:需具备平台外部网络边界的综合安全防护能力,防范来自Internet的各类安全威胁;需针对平台内部网络进行安全域划分,对于安全域边界进行网络隔离,定义网络访问控制策略。虚拟化服务器安全:需提供云平台内虚拟化基础设施的安全保护能力,确保VM的隔离,特定VM间通讯的监控以及VM自身系统的安全性。运维审计:为了保障网络和数据不受来自内部合法用户的不合规操作带来的系统损坏和数据泄露,需求运用技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、
13、处理,需建立运维审计系统。业务审计:通过对连接到重要业务系统(服务器、数据库、业务中间件、数据文件等)的数据流进行采集、分析和识别,实时监视用户对业务系统的访问,记录、发现并及时制止用户的误操作、违规访问或者可疑行为,需建立业务数据审计系统。云服务商应提供完备的备份服务,保障用户业务连续性和数据安全性。4 .运维管理需求建设政务云平台服务统一运维管理平台,实现对云服务提供方的物理资源、虚拟资源、大数据资源进行统一管理,提供完善的运维管理、云资源服务管理等功能,简化管理流程,提升运行维护与管理效率,降低运维管理开支。(1)应充分考虑满足后期建设的政务云异地容灾备份和业务双活中心的统一管理。(2)
14、满足虚拟化和物理资源统一管理。支持对虚拟资源和物理资源进行统一管理。(3)满足IT基础设施统一监控管理。支持对服务器、存储、网络、安全等基础设施进行统一的监控和分析,将被动的管理模式转变为主动的管理模式。5 .机房和链路需求机房标准不低于国标A级机房标准,机柜终期规模不小于100架。机房具有独立区域设置(进行物理隔离和围挡),设置独立门禁管理。机房具有配套安保措施:独立区域内视频监控无盲区,视频录像记录存储时长不小于3个月。因特网业务接口使用IoOOM双纤上下对称因特网专线公网IP地址大于60个(子网26位),采用IDC专用IP段,直连基础固网运营商骨干网,接受云端安全产品监控。电子政务外网接
15、口使用IooOM双纤上下对称VPN专线,为保证隔离安全性和永不阻塞,使用OTN、IPRNMSTP等传输电路方式。机房允许多通信运营商光缆接入,不能对通信光缆规格、数量、容量等进行限制而影响的使用需求。6 .业务迁移需求逐步将全市政务部门运行在各网络上的非涉密应用系统平滑地迁移到政务云平台,目前业务迁移范围主要包括电子政务外网上运行的业务以及可以和电子政务外网实现网络层互联的专网上运行的业务。为了保障现有业务系统顺利迁移至政务云,业务迁移方案需要遵循如下要求:(1)迁移期间,业务服务不能中断,需在夜间或周末等非服务时间进行迁移。(2)需支持将主机(X86服务器或其他特定虚拟化平台的虚拟机)系统及
16、数据完整迁移到政务云IaaS平台。(3)迁移后业务逻辑关系和业务能力保持不变。(4)采用成熟的业务迁移工具保障业务系统平滑迁移。(5)在应用系统允许的情况下,在迁移过程中进行系统升级,如单机系统升级为应用集群方式。(6)对初次迁移上云的系统进行全面安全扫描,确保不带入安全威胁。2.2技术参数序号名称指标项指标要求数量一、电子政务外网区域11云平台A(电子政务外网)知识产权要求产品上市三年以上,拥有完全的自主知识产权,超融合系统中硬件和软件均非OEM产品。虚拟化平台软件、分布式存储软件具有国产软件自主知识产权,具有自主研发能力,保障后续产品的连续性;体系架构要求通过X86服务器节点构建,同一节点
17、内实现计算存储融合,不需要外置SAN存储,存储系统为分布式SerVerSAN架构,可配置2副本或3副本,满足不同可靠性要求的业务场景。支持业界主流的数据库部署,包括但不限于OracIeDB2、Gbase人大金仓,达梦,PolarDB等虚拟化及管理平台技术要求支持在统一个管理界面中监控和管理计算、存储、交换机、虚拟化平台等支持在统一图形界面上一键式或定期自动输出系统健康巡检报告,包括CPU、内存、HDD、SSD.RAlD卡等硬件状态,虚拟化平台,存储软件,管理软件等部件的健康状态,便于主动识别潜在的风险。支持在统一图形界面上一键式日志收集功能,在需要定位问题时能够快速收集需要的所有日志信息,包括
18、硬件,虚拟化平台,存储软件、管理软件。支持在统一界面上一键式扩容节点,能够自动发现待扩容服务器,向导式完成网络配置、计算和存储集群的扩容。单个集群(HA资源池)的计算节点2128台。支持虚拟机热迁移功能,可以在不停机的状态下,手工或自动地实现VM在集群之内的不同物理机之间迁移,保障业务连续性。虚拟交换机级别的用户态交换技术(0VS+DPDK),支持高性能网络转发,提高数据处理性能和吞吐量,提高数据平面应用程序的工作效率。支持已集群为单位设置跨代CPU虚拟机热迁移属性.支持同一CPU厂商不同CPU型号服务器组建在同一逻辑集群中,并且支持虚拟机在不同CPU型号服务器之间进行业务不中断热迁移.支持动
19、态资源调度DRS(DynamicResourceScheduler),指采用智能负载均衡调度算法,并结合动态电源管理功能,通过周期性检查同一集群资源内各个主机的负载情况,在不同的主机间迁移虚拟机,从而实现同一集群内不同主机间的负载均衡,并最大程度降低系统的功耗。支持对服务器负载进行检测(DPMPynamicPowerManagement),实现轻载合并,对不使用的物理机进行并下电节能;重载分离,并对空闲物理机上电分担负载。虚拟机平台须支持主流的X86架构的操作系统,包括WindOWs,RedhatSUSE、CentOS麒麟、凝思等OS,不在支持范围的在承诺时间周期内单独发布支持。应详细列出所支
20、持的系统范围。提供备份软件,无需额外收费,用户通过浏览器即可方便的访问备份系统;支持虚拟机无代理备份模式,永远增量备份模式,备份系统保证每次备份都包含虚拟机的完整映像,是虚拟的全备。在恢复和删除备份数据时,无需进行合并。分布式存储软件要求分布式存储软件构筑在x86标准硬件之上,非开源软件开发,如不能使用开源LUStre和CePh软件等,通过软件层面的去中心化架构和数据冗余技术,来达到高可伸缩性和高可用性。在全SSD配置及SSD+HDD混合配置下,均支持EC(ErasureCode)算法实现数据冗余存储,支持2+2,4+2,6+2,8+2多种冗余配置。EC纠删码配置情况下存储利用率可达80%o支
21、持NVmeSSD、SASSSD、SATASSD作为缓存介质。支持NVineSSD、SASSSD、SATASSD、SASHDD、SATAHDD、NL-SASHDD作为主存介质。单存储集群可支持扩展至2256个节点。支持在单个存储集群内按服务器维度划分多个存储资源池;支持图形化界面划分存储资源池,每个存储资源池即为一个故障域,保证可靠性。单个存储集群最大支持128个存储资源池,单存储资源池最大硬盘数2048个。单系统支持存储卷的数量不少于100OOOO个,单卷最大容量支持2256TB。支持节点故障后数据自动重建,支持后台数据恢复或再平衡等任务的IO流控。当磁盘或者存储节点故障时系统能自动进行数据重
22、构,在无人工干预的条件下,数据重构速度需最快每TBRMoN、SSIK配置回滚、全网路径探测。本次配置40G光口三2,IOG光口248,冗余电源。3管理接入交换机A性能要求交换容量2192Gbps,包转发率242MPPS1硬件规格支持千兆电口224个,万兆光口三2个二层功能支持MAC地址216K,支持ARP表项24K三层功能支持RIP、RIPng.OSPF、OSPFV3路由协议支持IPv4路由表项24K,支持IPv6路由表项2IK可靠性支持堆叠和纵向虚拟化功能安全性支持防止DOS、ARP攻击功能、ICMP防攻击,支持端口隔离、端口安全、StickyMAC,支持IP、MAC、端口、VLAN的组合绑
23、定支持DHCPSnOoPing、DHCPv6Snooping功能配置和维护支持SNMPvlv2v3TelnetRMON支持通过命令行、Web、中文图形化配置软件等方式进行配置和管理支持TeIenIetry技术,支持音视频业务的智能运维本次配置万兆光口22,千兆电口N244核心交换机A基本要求交换容量219TbPs,包转发率N3200Mpps,主控引擎22,整机业务板槽位数26,支持热插拔模块化冗余电源和风扇,独立风扇框数22。2功能要求支持整机MAC地址N512K,ARP表项N256K,VLAN24K。支持IPv4和IPv6路由协议,IPv4路由转发表FIB规格2512K。支持横向、纵向虚拟化
24、技术,将多台设备虚拟为一台,支持核心层、汇聚层、接入层节点虚拟成一台逻辑设备。支持ACL、VLANACL.IPv6AC和IP/Port/MAC的绑定功能。支持GE/10GE端口20OmS大缓存。支持5级H-QoSo支持基于网络真实业务流量的故障快速检测和定位。支持硬件BFD/OAM,3.3ms稳定均匀发包检测,提高设备的可靠性。支持G.8032标准环网协议。支持DHCPSnoopingtrust,防止私设DHCP服务器。支持DHCPsnoopingbindingtable,BPDUguardRootguard,自动隔离攻击源技术。支持SNMP、Telnet.RMoN、SSH、命令行、中文图形化
25、配置软件等方式进行配置和管理。本次配置主控板22,万兆光口248,电源22。5终端侦测响应(EDR)A产品形态系统支持中/英文界面,系统部署采用C/S架构,管理采用B/S架构,管理员只需通过浏览器登录控制中心,即可对系统进行管理。1IinuX系统支持CentOS7.6及以上版本,采用Docker部署方式,能够快速恢复,横向扩展,可移植性强。windOWS系统支持Windowsserver2008R2及以上版本授权要求50个WindowsServer客户端防病毒功能授权。windOWS客户客户端至少支持WinCiOWsXP、WindOWS7、Windows8WindowslO等32位/64位终端
26、操作系统,支持Windowsserver2003Windowsserver2008、Windowsserver2012、端支Windowsserver2016Winde)WSSerVer2019等32持位/64位服务器操作系统。IinuX客户端支持RedHatLinux、UbuntuLinuxSUSELinUX、CentOSDebian国产支持LinUX操作系统以及中标麒麟、银河麒化支麟、中科方德、深度、UOS等国产操作系统和人持大金仓、达梦数据库等。虚拟支持虚拟机、主流虚拟化终端环境(VMware.化支华为、华三、阿里、腾讯等)持客户端资客户端安装后至多占用50M硬盘资源,日常内源占存占用不
27、到50M,有效节省PC/Server资源。用安装客户端安装支持本地安装、WEB安装方式支持级联部署及管理,可实时查看下级终端威级联胁及在线情况,上级可对下级灵活分配授权,部署同时可实现分级管理中心能够通过一级管理中心升级病毒库和客户端版本。资产管理中心支持实时显示客户端的状态及终端基信息本信息,包括客户端连接状态、服务状态;终统计端机器名称、客户端版本、病毒库版本、IP地址、MAC地址、操作系统版本、高危及功能漏洞、主板信息、显卡信息、内存大小、当前版本信息和物理位置等信息,并支持终端信息导出。任务下发支持即时/定时实现客户端病毒查杀,支持下发关机、重启、升级、病毒查杀、重新连接、漏洞扫描、漏
28、洞修复、显示消息、后门检测(Iinux),分发设置等操作,并对以上操作配置详情,客户端执行情况跟踪,实现管理中心对客户端的任务状况监控。分组支持对终端进行分组及批量分组,不同分组设管理置不同的策略。策略锁定控制中心支持全网/以分组、标签为单位/指定某些客户端定制策略,支持指定客户端策略锁定。动态策略支持终端策略标签化管理,按需求给终端配置标签,同一标签的终端可配置相同的动态策略,且策略优先级高于分组策略。终端支持终端防卸载、防退出功能,管理员能够统防卸一设置防卸载密码,防止终端用户随意脱离保载护。远程支持远程控制,通过管理中心实现对客户端的控制远程运维。角色可设置不同的管理员角色,每个角色分配
29、不同管理的操作权限和终端权限。控制中心支持控制中心访问控制,包含WEB访问控制定登录制超时时间、登录重试次数、IP锁定时长及解权限锁,IP访问控制指定具体IP可访问控制中心。设置多租支持多租户的管理模式,可根据实际需求建立户模多个租户,并对每个租户灵活分配授权。式系统支持管理员操作日志记录可对管理员操作进行日志追踪终端支持客户端与管理中心交互操作日志记录追日志踪,便于问题定位系统可自定义管理端登录系统名称,定制客户企业显示logo,自定义登录公告信息和首页名称等定制管理员密可自定义设置管理员密码复杂度:设置密码长码复度、包含数字、大小写字母、特殊符号的组合杂度设置病毒库更可自定义病毒库未更新时
30、间提示新提示存储管理支持定制磁盘管理规则,对审计日志、系统日志、终端日志、告警日志等即时或定期清理,离线升级平台支持病毒库、客户端离线升级包上传在线升级支持配置http(s)ftp远端同步方式,更新病毒库和客户端升级包同步工具根据不同的网络环境提供同步工具进行病毒库和安装包下载。终端升级支持终端自动升级、平台即时定时推送升级。漏洞扫描修复产品具备漏洞集中修复,强制修复;可设置开机时自动扫描高危漏洞补丁管理可以展示全网补丁情况,包括补丁类型、修复状态等,支持补丁忽略功能。扫描模式支持对终端内部文件进行全盘扫描、快速扫描,自定义扫描三种扫描能力,同时支持错峰扫描。虚拟沙盒支持基于虚拟沙盒的高效的本
31、地反病毒引擎,实现极高的本地查杀能力。查杀缓存支持本地查杀缓存,提高查杀速度。实现磁盘瘦身。支持对压缩文件内的恶意文件扫描,包括但不压缩限于对Arj、bzip2LZh、TarZiP等压缩文文件件格式类型查杀防护;支持扫描压缩文件大小查杀设定、不扫描指定扩展名文件,提高扫描效率,降低资源占用Webshell检测支持对webshell后门进行扫描检测,webshell后门库数量大于100OOOo白名终端支持路径白名单,添加到信任区的文件扫单描自动跳过信任目录,不作检测。支持病毒自动隔离备份功能,客户端能自动将隔离病毒文件隔离到本地隔离区,同时支持恢复隔恢复离文件。当文件被执行、修改、访问时,反病毒
32、引擎对文件相应文件进行扫描,如扫描到威胁则阻断用户实时对该恶意威胁的触碰并根据需要进行隔离操监控作。勒索设置诱饵文件并实时监控,当勒索病毒对该文病毒件进行加密操作时进行拦截。诱捕邮件支持基于SMTP/POP3协议的邮件监控,防止病监控毒通过邮件在终端传播。U盘主动对U盘中的文件进行扫描,对U盘传播类扫描恶意软件常见恶意修改操作进行修复。下载在下载过程中对文件进行检测,发现恶意程序保护立即弹窗阻止,并记录安全日志。浏览器保护对篡改浏览器设置的恶意行为进行有效防御,并可以锁定默认浏览器的主页设置。软件安装拦截安装推广软件时会弹窗提示,可以根据需要选择是否安装此软件。系统加固对系统关键位置进行防护,
33、阻止无文本攻击、流氓、广告程序对系统的恶意篡改等行为。从系统文件保护、病毒免疫、进程保护、注册表保护、危险动作拦截、执行防护等多个维度对系统进行防护。对外攻击检测支持终端对外攻击检测,根据自定义SYN、UDP、ICMP数据包的检测阈值,自动阻止并记录攻击行为。微隔离策略支持微隔离策略包括但不限于通过协议(TCP、UDP、ICMP、IGMP、GGP、PUP、IDP、ND、ESP、AH、RDPGRE、SKIP、RAW),端口号,IP地址、流量方向等配置对终端/终端组之间的访问进行控制。终端准入支持终端网络准入控制策略,提供802.Ix和防火墙联动两种准入方式。支持文档防泄漏功能,针对终端存储的WO
34、rd、文档pdfppt、Excelrtftxt等文档的名称、内防泄容进行包含关键字检查,对含有指定关键字的漏文档进行禁止发送、禁止拷贝等管控,消息提醒的同时将文档违规信息上报管理平台。文档跟踪支持文档跟踪策略,可按照不同文件、压缩包类型跟踪文档内到外、外到内、外到外、内到内等流转方向,并可跟踪文档包括拷贝、压缩、解压缩、修改、删除、重命名、移动等操作。USB存储标签管理支持对移动存储设备采用标签式注册管理,可以区分内外部介质使用,定义禁用、启用只读、启用(只读JS行)和启用读写、启用(读写运行)五种操作,按照文件类型审计在移动存储介质上文件操作记录,并可设置例外USB设备。外设管控支持外设管控
35、,可以对外接设备进行启用禁用操作:光驱、打印机、调制解调器、网络适配器、图形图像设备、通讯端口、红外设备、蓝牙设备、1394控制器、PCMCIA卡、便携设备、USB设备,对光驱可设置是否允许刻录权限,对USB设备可设置例外项,添加USB硬件ID和设备信息,USB设备类包括光驱、打印机、调制解调器、通讯端口、图形图像设备,USB设备子类包括音频、图像、打印、大容量存储、智能卡、视频等。进程监控支持进程监控,可定义进程黑、白名单,支持进程路径、HASH、版本、内容匹配,可忽略已签名程序,白名单指定进程可设置自保护、启动退出报警,黑名单中的进程可自动中止。软件监控对终端上安装的软件安装、修改、卸载进
36、行审计,也可以设置软件白名单,同时上报相关信息给平台。账号监控监控用户创建、修改、删除账号的操作并审计服务监控采用黑白名单方式控制系统服务启用或禁用,可根据服务名称、显示名称、路径进行匹配,并设置是否报警。外联监控支持http、telnetPing三种方式检测终端违规外联行为,可设定检测周期、外联检测地址、违规处理方式(不处理、重启、断网、提示)以及终端提示信息。支持浏览器主页锁定对篡改浏览器设置的恶意行为进行有效防御,并可以锁定默认浏览器的主页设置;文件粉碎能够解除文件的占用并且可以强制删除相关被占用文件启动项管理支持启动项管理,对相关启动项进行一键优化,阻止终端不必要的程序启动。弹窗拦截对
37、流氓软件、弹窗广告能够实现智能拦截,同时也可以自定义添加截图拦截弹出。流量管理能够实现网络应用流量进行实时监控,支持查询历史流量,同时可以实现相关进程或者程序所使用流量的控制。统计分析支持统计分析客户端上报的威胁日志,包含终端/部门/责任人危险排行统计、防御类型分布统计、病毒类型分布统计、病毒排行统计、病毒趋势统计、部门补丁排行统计、操作系统补丁排行统计、移动存储事件排行等,支持图表显不。报表模板支持报表名称、标题、公司、内容、周期、发送等设置,内容设定模板包括病毒趋势、病毒名称排行、威胁终端排行、病毒类型排行、安全事件排行、部门危险占比、攻击IP排行、被攻击主机排行、移动存储事件排行等统计情
38、景;周期设定日、周、月,定时生成报表;通过邮件的方式推送相关接收报表人员。全面清理系统垃圾、注册表垃圾垃圾清理审计查询支持对客户端上报的安全日志进行审计、可通过预置字段及自定义字段结合自定义历史时间过滤详细日志,能够快速定位终端安全状况。告警日志客户端上报的告警日志,可预置字段及自定义字段过滤详细日志,快速定位终端安全状况;定制符合企业敏感程度的告警规则,达到告警阈值,产生告警日志并通过邮件推送给管理员,保证告警及时性。二、因特网区域1云平台B(因特网)资质要求参数与云平台A(电子政务外网)一致1体系架构要求参数与云平台A(电子政务外网)一致虚拟化及管理平台技术要求参数与云平台A(电子政务外网
39、)一致分布式存储软件要求参数与云平台A(电子政务外网)一致单节点配置要求参数与云平台A(电子政务外网)一致安全管理要求参数与云平台A(电子政务外网)一致本次配置要求配置N4个超融合节点,配置28颗CPU超融合分布式存储功能授权,配置28颗CPU虚拟化套件高级许可授权。2数据中心交换机B参数与数据中心交换A一致23管理接入交换机B参数与管理交换A一致14核心交换机B参数与核心交换A一致25负载均衡设备硬件要求标准IU机架式机器,双冗余电源,支持热插拔1本次配置6个千兆电口,支持2个扩展槽位,要求接口扩展性最大可扩展至22千兆电口或者16个千兆光口或者8个万兆光口,支持硬件BYPASS,内存不小于
40、16G,CPU不小于4核,硬盘存储容量不少于ITB硬盘,吞吐量NlOGbps,链路吞吐量220GbPS最大并发连接数2800万,每秒新建连接数222万,DNS性能(QPS)213万/秒,支持域名数量N256o服务器负载虚拟服务器支持一个IP:Port对应多个域名虚拟服务器支持SNl扩展技术,一个IP:Port对应多个证书支持四层服务器负载均衡,支持RR、WRR.LC、WLC、HI、CHKFR等负载均衡算法支持HTTP负载均衡,支持RR、WRR、IPHASH.一致性HASH、最小连接、最快响应等负载均衡算法支持HTTP会话保持,包括源IP保持、URLHASHHeaderHASHCoOkieHASH等保持算法支持基于IP协议类型/HTTP版本/HTTP请求方法URLHeaderCOOkie选择服务器支持7层内容改写,对请求和响应方向均支持改写动作支持重定向/URL改写/头部改写/消息体改写/Cookie改写/删除头部/删除C
