云基础设施建设doc.docx

1、云基础设施建设doc第一包 云基础设施建设一、 项目概述为贯彻落实全面深化公安改革总体要求，积极稳妥推动云计算技术在公安行业的落地应用，切实提高信息化基础设施保障水平，进一步提升基础信息化服务能力，落实公安基础信息化建设任务，市局拟通过建设完善新一代数据中心，搭建“祥云北京警务云平台”。二、 建设目标建设目标：总体建设规模为计算能力1.5万核，存储能力10PB。三、 建设内容“祥云北京警务云平台”一期项目建设IaaS层、PaaS层及安全运维运营系统建设，IaaS层完成公安部定义的云计算建设指南中的IaaS层建设，包括基础设施，提供机房条件；硬件设备，提供服务器、网络、存储等设备；资源池能力，提

2、供计算资源池、网络资源池、存储资源池、安全资源池；基础资源服务能力，提供自动伸缩、网络服务、存储服务、VPC服务、弹性主机等服务能力。PaaS层完成公安部定义的云计算建设指南中的PaaS层建设，提供关系型数据库、分布式文件系统、内存数据库服务、全文数据库、离线计算、实时计算、流式计算、内存计算、分布式并行数据库等能力，进行海量数据的存储分析处理；提供服务总线、传输交换、任务调度、授权服务、认证服务、API网关等通用功能服务能力。安全运维运营体系完成公安部定义的云计算建设指南中的安全运维运营体系建设，作为云计算平台的保障支撑部分。1、 IaaS层基础资源建设基础设施作为云计算平台计算资源、存储资

3、源和网络资源的提供者，是整个云计算环境的基础，包括机房基础设施、服务器、网络设备和存储设备四大类。机房本期项目不需要建设，充分利旧现有的资源。服务器主要使用机架服务器搭建大规模集群，通过软件可伸缩性的优势弥补硬件差错，提高云计算平台的可用性、可靠性和安全性，服务器类型基于业务需要进行配置规划。存储基于业务需要进行配置规划，支持集中式存储和分布式存储系统，通过冗余架构、模块化设计和分布式存储软件可伸缩性，提高云计算平台业务应用的性能、可用性、可靠性和安全性，避免单点故障，保障业务系统持续运行。网络基于组网和端口互联需求进行配置规划，基于公安部云计算建设指南要求，按照分级+分平面+分区的原则进行设

4、计，构建数据中心网络，保证无阻塞、低延迟的报文转发。2、 IaaS层资源池建设通过云计算平台能够将物理资源的运算能力集合在一起，构成资源池，再根据需要分配给多个租户使用。资源池是一个抽象概念，构建资源池就是通过虚拟化的方式将服务器、存储、网络、安全等资源组织成一个巨大的资源聚合体，通过资源池化机制，以细粒度管理方式充分利用资源，从而大幅提高云计算系统的资源利用率，按照公安部云计算建设指南，资源池建设包括计算资源池、存储资源池、网络资源池、安全资源池。3、 IaaS层资源服务能力建设基础资源服务通过自服务的方式实现云平台的业务能力，提供丰富的各类服务能力，包括自动伸缩、网络服务、存储服务、VPC

5、服务、弹性主机、负载均衡等能力。4、 PaaS层大数据平台能力建设PaaS层设计基于公安部云计算建设指南进行规划，是面向软件开发者的服务，主要提供应用程序的开发和运行环境，以及相应的信息处理能力，自动实现应用程序的部署和运行，提高应用程序的开发效率。本期项目将提供各类应用程序所需要主要的大数据存储能力、大数据计算能力、传输交换、服务总线、任务调度、授权服务、认证服务、API网关等PaaS功能服务，为全局应用系统大数据应用提供平台层基础服务。大数据存储能力和大数据计算能力方面，主要是提供数据的存储与计算能力，包括关系型数据库、分布式文件系统、分布式并行数据库、图数据库、内存数据库、全文数据库等大

6、数据存储能力，大数据计算主要根据不同的应用场景，提供各类计算能力，包括离线计算、实时计算、流式计算、内存计算等。 5、 PaaS层应用支撑能力建设PaaS层应用支撑平台能力主要是为业务系统的开发测试提供通用的服务能力，包括传输交换、任务调度、服务总线、授权认证、API网关、多媒体处理服务的应用支撑能力，同时，“祥云北京警务云平台（一期）”应用建设需要完成把用户需要的多种操作系统、数据库、中间件等基础软件、引擎以及多种开发工具部署到云计算基础设施上去，为业务应用系统提供信息共享式应用服务的平台化软件系统，为全局迁云、上云的各类应用提供基础的访问授权、数据交换、异步数据共享等应用支撑服务。6、 安

7、全能力建设祥云北京警务云平台是重要的信息系统资源，本次项目按照国家信息安全等级保护三级要求的总体安全策略开展建设，实现“积极防御、主动防护”，并实现信息安全的机密性、完整性、可用性、可控性和不可否认性的安全目标。云计算平台将充分按照公安部提出的安全性的要求，从硬件、软件层面开展网络安全、应用安全、管理安全、数据安全等多层次的安全建设，对敏感数据应采用加密处理，满足与安全基础设施（包括认证、权限、加密等）的对接和统一，未来业务应用系统上云后，云计算平台需提供端到端的安全能力。7、 运维运营能力建设“祥云北京警务云平台（一期）”运营运维架构主要由运营中心、运维中心两部分组成，主要实现系统监控、资源

8、管理和系统配置管理等功能，内容主要包括逻辑拓扑监控、告警与事件管理、系统监控、虚拟资源管理、系统配置、用户管理、操作日志查询和授权信息管理等。运营运维管理平台对接云计算软件和大数据软件，实现基础设备的资源接入管理、各类资源的统一运维、市局云平台服务的申请和发放管理。本次建设的运营运维管理平台，能处理集中监控、故障定界、重大业务保障、运营分析等运维业务场景，以实现集中运维管理。 8、 统一云管平台能力建立按照前期需求分析，为了兼顾当前的信息化系统，确保市局部分单位早期已建设的云平台、已建虚拟化资源的统一管理，以及系统上云后原有设备的立旧，形成“全局一片云”，有必要建设统一云管平台来统一管理，统一

9、监控和统一运维。市局统一云管平台将通过接口调用方式，在跨物理位置的多个云平台之上提供全局资源的集中管理，并做到资源安全隔离，便于规划和管理相关资源；同时提供多维度拓扑呈现、系统健康监测等智能运维功能，方便用户进行操作维护。具有以下特点：资源融合，全网跨地域资源融合，多厂家异构资源池共存，实现所有设备信息一体化。智能运维，满足用户对云平台日常的各类计算资源的性能监控，实时掌握资源的运行情况，支持全网资源多维度可视化、自动化安装升级；能提供性能统计报表、资产资源统计表等报表，支持智能健康监测和主动优化。能够基于第三方软件对云上应用系统运行情况，如访问流量等内容进行监测。五、设备需求清单及技术规格要

10、求1、 设备技术规格要求序号设备名称技术参数及功能要求或应用场景需求（本表中设备技术参数为最低要求，投标人应选择不劣于表中技术参数的设备进行投标）数量单位1业务光口接入交换机1.48个10GE SFP+ 接口，6个40GE QSFP+接口，双电源2.交换容量：2.5Tbps（以最小值为准）3.包转发率：1050Mpps（以最小值为准）4.配置4个40G多模光模块，48个10G多模光模块，1根QSFP+ 40G高速电缆5m5.SDN场景下具备部署M-LAG功能。40台2业务电口接入交换机1.48个10GE 电接口，6个40GE QSFP+接口，双电源2.交换容量：2.5Tbps（以最小值为准）3

11、.包转发率：1050Mpps（以最小值为准）4.配置4个40G多模光模块，1根QSFP+ 40G高速电缆5m5.SDN场景下具备部署M-LAG功能。16台3安全管理汇聚交换机1.28个10/100/1000Base-T以太网端口4个万兆SFP+,支持扩展子卡插槽,双电源，交换容量：590Gbps）2.包转发率：220Mpps（以最小值为准）3.支持智能堆叠，纵向虚拟化，IPv64.配置4个10G多模光模块，1根QSFP+ 40G高速电缆5m2台4业务核心交换机1.交换容量：270Tbps（以最小值为准）2.包转发率：170000Mpps（以最小值为准），支持12个业务槽位，配置双主控，6块交换

12、网板，12块交流电源3.配置2块36端口40GE QSFP+光板卡，1块24端口万兆光板卡4.配置68个40G多模光模块，10个10GE多模光模块,2根QSFP+ 40G高速电缆5m5.具备将两台核心交换机堆叠成一台逻辑交换机的能力，主控板上特定端口能够隔离堆叠信号和数据流量。2台5云接入区核心交换机1.交换容量：270Tbps（以最小值为准）2.包转发率：170000Mpps（以最小值为准），支持12个业务槽位，配置双主控，6块交换网板，12块交流电源3.配置1块12端口40GE QSFP+光板卡，1块24端口万兆光板卡4.配置8个10G 单模10km光模块，1个40G多模光模块，2个40G

13、单模40km光模块,1根QSFP+ 40G高速电缆5m5.具备将两台核心交换机堆叠成一台逻辑交换机的能力，主控板上特定端口能够隔离堆叠信号和数据流量。2台6云接入区接入交换机1.交换容量：40Tbps（以最小值为准）2.包转发率：56000Mpps（以最小值为准），支持4个业务槽位，配置双主控，6块交换网板，4块交流电源3.配置1块6端口40GE QSFP+光板卡，1块24端口万兆光板卡4.配置4个40G多模光模块，2个10G多模光模块,1根QSFP+ 40G高速电缆5m5.具备将两台核心交换机堆叠成一台逻辑交换机的能力，主控板上特定端口能够隔离堆叠信号和数据流量。2台7光纤交换机1.96口1

14、6G FC光纤交换机，72端口激活2.配置72个16G FC多模光模块和光纤线6台8SDN控制器1.SDN架构分层解耦，提供基于租户的网络自动化部署、精细化可视运维、标准化的南北向开放以及高可靠集群负载分担和弹性扩展，构建以业务为中心的数据中心最强大脑。2.配置满足本次数据中心网络的接入设备管理56个license，配置核心设备/物理防火墙设备管理4个license 配置承载软件的硬件3台物理服务器及其配套软件平台3.能够与本项目云平台的物理服务器管理组件协同，自动下发物理服务器部署所需的网络配置。1台9带外管理区出口防火墙1.万兆光口2个，千兆电口8个，千兆光口8个，实配万兆多模2个，吞吐量

15、20Gbps，最大并发连接数750万，每秒新建连接数28万，交流双电源；SSL VPN并发用户95；IPSec VPN隧道13000；虚拟防火墙数量450；配置IPS、防病毒、URL过滤功能，及3年IPS特征库、网络病毒特征库、URL特征库升级2.能够基于时间、用户/用户组、应用层协议、地理位置、IP地址、端口、内容安全统一界面进行安全策略配置；可支持基于应用层协议设置流控策略，包括设置最大带宽、保证带宽、协议流量优先级等；支持将基于端口的安全策略转换为基于应用的安全策略，分析设备策略风险，及冗余和失效策略，提供安全策略优化建议；支持云沙箱或物理沙箱联动，实现对APT攻击的防御功能3.支持并配

16、置与本项目APT防御及安全态势感知系统、沙箱联动功能，内置流量探针，能针对威胁生成阻断策略。2台10出口防火墙1.配置双主控，双电源；接口板和业务板分离，电源、主控板、接口板、业务板支持热插拔；40G光口3个，40G多模3个；万兆光口6个，万兆多模6个；吞吐量80Gbps，IPS吞吐量40Gbps，AV吞吐量30Gbps，最大并发连接8000万，新建连接数100万；配置应用层协议识别及流量控制功能，3年应用协议特征库升级；配置负载均衡功能；配置IPS、防病毒、URL过滤功能，及3年IPS特征库、网络病毒特征库、URL特征库升级；为了确保开启IPS，防病毒，URL过滤等功能后不影响防火墙的性能，

17、需要使用独立的安全业务板（非防火墙业务板）处理IPS、防病毒、URL过滤功能；2.支持全面NAT功能，提供完整的NAT溯源方案；支持将基于端口的安全策略转换为基于应用的安全策略，分析设备策略风险，及冗余和失效策略，提供安全策略优化建议；支持数据防泄露，对传输的文件和内容进行识别过滤；支持HTTP、FTP、SMTP、POP3、IMAP、NFS等协议的病毒防护；支持云沙箱或物理沙箱联动，实现对APT攻击的防御功能3.支持并配置与本项目APT防御及安全态势感知系统、沙箱联动功能，内置流量探针，能针对威胁生成阻断策略。2台11核心防火墙1.配置双主控，双电源；接口板和业务板分离，电源、主控板、接口板、

18、业务板支持热插拔；万兆光口6个，万兆多模6个；吞吐量80Gbps，IPS吞吐量40Gbps，AV吞吐量30Gbps，最大并发连接8000万，新建连接数100万；配置应用层协议识别及流量控制功能，3年应用协议特征库升级；配置负载均衡功能；配置IPS、防病毒、URL过滤功能，及3年IPS特征库、网络病毒特征库、URL特征库升级；为了确保开启IPS，防病毒，URL过滤等功能后不影响防火墙的性能，需要使用独立的安全业务板（非防火墙业务板）处理IPS、防病毒、URL过滤功能；2.支持全面NAT功能，提供完整的NAT溯源方案；支持将基于端口的安全策略转换为基于应用的安全策略，分析设备策略风险，及冗余和失效

19、策略，提供安全策略优化建议；支持数据防泄露，对传输的文件和内容进行识别过滤；支持HTTP、FTP、SMTP、POP3、IMAP、NFS等协议的病毒防护；支持云沙箱或物理沙箱联动，实现对APT攻击的防御功能3.支持并配置与本项目APT防御及安全态势感知系统、沙箱联动功能，内置流量探针，能针对威胁生成阻断策略。2台12Web应用防火墙1.标准2U机型，提供2个GE 电口，2*10GE SFP+，1+1冗余电源,能提供特征库升级服务；防护站点数无限制；支持双机热备；HTTP吞吐量大于8Gbps， HTTPS吞吐量大于1.6Gbps。2.Web应用防火墙设备应采用黑名单安全技术、白名单安全技术、参数自

20、学习建模技术、行为建模分析技术等先进技术，提供Web应用实时深度防御、Web应用加速、敏感信息防泄露、网页防篡改等功能，能够抵御各类针对Web应用的外来攻击，最大限度的保障网站运行安全3.支持并配置与本项目APT防御及安全态势感知系统、沙箱联动功能，内置流量探针，能针对威胁生成阻断策略。2台13安全管理区出口防火墙1.万兆光口2个，千兆电口8个，千兆光口8个，实配万兆多模2个，吞吐量20Gbps，最大并发连接数750万，每秒新建连接数28万，交流双电源；SSL VPN并发用户95；IPSec VPN隧道13000；虚拟防火墙数量450；2.能够基于时间、用户/用户组、应用层协议、地理位置、IP

21、地址、端口、内容安全统一界面进行安全策略配置；可支持基于应用层协议设置流控策略，包括设置最大带宽、保证带宽、协议流量优先级等；支持将基于端口的安全策略转换为基于应用的安全策略，分析设备策略风险，及冗余和失效策略，提供安全策略优化建议；支持云沙箱联动，实现对APT攻击的防御功能3.支持并配置与本项目APT防御及安全态势感知系统、沙箱联动功能，内置流量探针，能针对威胁生成阻断策略。2台14沙箱1.配置1台服务器（高度为2U，采用机架式X86服务器，至少提供2个6核处理器，256G内存，12T硬盘；接口数量：8个GE电口， 2个10GE光口，万兆多模4个；为提高启动速度，设备要求提供固态硬盘；2.P

22、E、PDF、Office文件检测性能：8万文件/天，Web文件检测性能：8万文件/小时；3.支持HTTP、FTP、SMTP、POP3、IMAP4、NFS、SMB这几种协议的流量还原，通过解析主流的应用协议，对协议传输中承载的文件及关键字段信息进行分析还原；支持检测文件大类包括：OFFICE、PE、ELF、PDF、RTF、JAVA、CHM、IMAGE（tiff、bmp、gif、jpg等）、COMPRESS（ZIP、TAR等）、HTML、JS、SCRIPT，能够检测分析的文件类型不少于40+个；基于机器学习算法检测恶意PE文件、WEB文件等；支持SSL加密流量检测4.支持与本项目防火墙联动。能够对

23、防火墙流量提取文件检测并阻断承载恶意文件的流量；支持防火墙对SSL加密流量进行解密并提取文件后送至沙箱检测。2台15日志服务器1.支持分布式部署与集中式（AllInOne）部署模式每台服务器配置不得低于CPU：2*8核2.6G；内存不少于32G；硬盘不少于12TB SATA；2.最大日志源数为2000个；二进制会话日志均值不少于250,000 EPS；当采集器运行在前置机模式时，二进制日志峰值为30,000EPS；文本日志均值不少于15,000EPS；支持用户上网行为报表：支持对用户上网行为中的WEB访问、邮件收发、IM使用、上网时长进行统计和分析，提供功能截图，用户上网行为报表；3.支持用户

24、威胁报表：支持对攻击、病毒等威胁事件的统计和分析，提供功能截图，用户威胁（网络安全分析）报表；4.支持多维度Dashboard：入侵防御趋势分析、入侵防御事件排行、攻击防范事件趋势、入侵防御目的IP排行、病毒事件目的IP排行、病毒事件趋势、策略趋势、URL分类排行、日志量趋势、采集器CPU性能、采集器内存性能、分析器CPU性能、分析器内存性能等，提供功能截图，多维度Dashboard；1台16堡垒机1.配置两台服务器，每台服务器配置不低于：数据盘2T；内存32G；系统盘2*300G；8个GE口；2.字符并发：1000，图形并发：300；3.两台设备按照双机热备部署，提供配置和审计日志实时同步，

25、保证数据高可靠性4.UMA主机默认支持：5.字符型应用，包括telnet、ssh6.图形终端应用，包括rdp、x11、vnc7.文件传输应用，包括ftp、sftp8.对主流厂商的路由器、交换机、防火墙、Windows/Linux/Unix服务器等进行集中管理，全过程监控与记录运维人员对设备系统的操作行为，做到统一接入、统一认证、统一授权、统一审计，有效降低内部运维风险，完善IT管理体系。9.系统支持IP自动禁止功能，对连续登陆账号密码错误的来源IP自动屏蔽，可通过管理员解除屏蔽；10.系统内置PKI证书认证功能，用户只需配置USB-KEY即可实现证书登陆认证，实现双因素认证（USB-KEY+P

26、IN码）；对于审计结果的查看，可以做到：输入命令和输出结果的智能分离，可以只查看字符命令，也可以显示该命令的返回结果。11.对于审计结果的查看，定位回放：用户在查看命令行回放时，可以做到从任意命令点开始回放；1台17漏洞扫描系统1.标准型2U机型，标配6个千兆电口，可扩展1张4电口或4光口插卡，并且可扩展1 块8电口或8光口插卡，1T硬盘，冗交流电源；支持15个并发任务，支持并发扫描80主机；扫描主机为1000；2.支持系统扫描、Web扫描、数据库扫描、安全基线检测、弱口令扫描在内的五大扫描能力；产品支持分布式部署、层级管理，上级管理中心下发扫描任务到下级引擎并进行集中查询、分析；支持针对已经

27、新建的任务做任务复制，快速生成一个相同任务，支持对复制出来的任务进行再编辑，包括：扫描目标、扫描策略、任务调度、扫描参数；支持60000条以上系统漏洞库；支持漏洞库涵盖标准包含CVE、CVSS、CNVID、CNNVD、CNCVE、Bugtraq5种；1台18APT防御及安全态势感知系统1.至少包含6个网元：可视化节点、采集器、数据分发节点、存储检测节点、集群管理节点和流探针，共计12台服务器；可视化节点和采集器至少各包含1台独立的服务器，至少包含2台流探针，可视化节点、采集器以及流探针最低配置要求：CPU 10Core*2，内存16GB*4，硬盘2TB*6，2*GE电口， 2*10GE光口；2

28、.数据分发节点至少包含2台独立的服务器、存储检测节点至少包含3台独立的服务器、集群管理节点至少包含3台独立的服务器，服务器最低配置要求：CPU 12Core*2，内存16GB*16，硬盘1.2TB*23，2*GE电口， 2*10GE光口3.支持C&C异常检测功能，支持检测通过隐蔽通道通信的异常行为，支持通过DGA域名检测发现C&C攻击，支持DGA域名的自动识别；支持通过Fast-Flux域名检测发现C&C攻击，支持Fast-Flux域名的自动识别；支持用户自定义DGA域名和Fast-Flux域名白名单和黑名单功能；可以直观展示内网面对的威胁和最近发现的威胁事件；支持在一个管理界面从威胁、邮件和

29、文件多个维度展示攻击扩散路径和影响范围，支持在一个管理界面呈现高级威胁的多个攻击阶段，包括：外部渗透阶段、命令与控制阶段、内部扩散阶段、以及数据窃取阶段；支持攻击链回溯检测未知威胁4.支持与本项目SDN控制器、交换机联动，能够下发威胁处置策略至交换机，隔离受威胁的主机，能够基于业务链按需调度将租户流量引流至对应的逻辑安全设备。1台19负载均衡1.负载均衡提供对应用数据进行端到端的分析、调度、保护、加密和优化，能够探测应用交付过程中的故障，并毫秒级切换，保障应用稳定。2.同时具备网络层DDOS攻击防护、应用层DDOS攻击防护，SSL加密功能（支持最新加密算法，支持商密国密混配），保障应用从服务器

30、至客户端的应用安全和数据安全。4台20云服务器加密机1.加密机功能：对外提供支持虚拟化的虚拟密码实例（vHSM）；vHSM间密钥安全隔离和访问控制、安全审计功能； vHSM性能按需分配功能；VHSM性能弹性调度功能；VHSM的按需漂移、备份;接入第三方云平台统一资源监控、配置、分配等功能；支持远程管理、安全认证；VSM双机热备、负载均衡功能；VHSM对外提供如下功能：数据加密、解密，数字签名/验证，MAC的产生、验证，单向散列，对等实体鉴别等。2.支持的算法：对称算法：SM1/SM4/DES/3DES/AES；非对称算法：SM2/RSA2048；杂凑算法：SM3/SHA1/SHA256。3.设

31、备性能1) 加密机（CloudHSM)整机性能指标：RSA2048签名：40000 tps;SM2签名性能：80000 tps;SM4加密性能：120000 tps;SM1加密性能：15000 tps;其它算法支持：SM3、SM7、AES、SHA等; 并发连接数：10242) 加密机虚拟加密实例（vHSM性能）：RSA2048签名：3500 tps;SM2签名性能：3000 tps;SM4加密性能：4000 tps; SM1加密性能：1000 tps; 其它算法支持：SM3、SM7、AES、SHA等;并发连接数：642台21虚拟化服务器1.CPU处理器（芯片性能不低于Intel Xeon 14Core,2.2GHZ）*2,内存256G DDR4，2*600G 10K SAS硬盘，RAID卡（支持RAID 0/1/10）2.双口万兆网卡（含2个光模块）*4,双口千兆电口网卡，单口16G FC HBA卡*2，冗余电源18台22虚拟化服务器1.CPU处理器（芯片性能不低于Intel Xeon 14Core,2.2GHZ）*4,内存512G DDR4，2*600G 10K SAS硬盘，RAID卡（支持RAID 0/1/10）2.双口万兆网卡（