云基础设施建设doc.docx
《云基础设施建设doc.docx》由会员分享,可在线阅读,更多相关《云基础设施建设doc.docx(151页珍藏版)》请在冰点文库上搜索。
云基础设施建设doc
第一包云基础设施建设
一、项目概述
为贯彻落实全面深化公安改革总体要求,积极稳妥推动云计算技术在公安行业的落地应用,切实提高信息化基础设施保障水平,进一步提升基础信息化服务能力,落实公安基础信息化建设任务,市局拟通过建设完善新一代数据中心,搭建“祥云北京警务云平台”。
二、建设目标
建设目标:
总体建设规模为计算能力1.5万核,存储能力10PB。
三、建设内容
“祥云北京警务云平台”一期项目建设IaaS层、PaaS层及安全运维运营系统建设,IaaS层完成公安部定义的云计算建设指南中的IaaS层建设,包括基础设施,提供机房条件;硬件设备,提供服务器、网络、存储等设备;资源池能力,提供计算资源池、网络资源池、存储资源池、安全资源池;基础资源服务能力,提供自动伸缩、网络服务、存储服务、VPC服
务、弹性主机等服务能力。
PaaS层完成公安部定义的云计算建设指南中的PaaS层建设,提
供关系型数据库、分布式文件系统、内存数据库服务、全文数据库、离线计算、实时计算、流式计算、内存计算、分布式并行数据库等能力,进行海量数据的存储分析处理;提供服务总线、传输交换、任务调度、授权服务、认证服务、API网关等通用功能服务能力。
安全运维运营体系完成公安部定义的云计算建设指南中的安全运维运营体系建设,作为云计算平台的保障支撑部分。
1、IaaS层基础资源建设
基础设施作为云计算平台计算资源、存储资源和网络资源的提供者,是整个云计算环境的基础,包括机房基础设施、服务器、网络设备和存储设备四大类。
机房本期项目不需要建设,充分利旧现有的资源。
服务器主要使用机架服务器搭建大规模集群,通过软件可伸缩性的优势弥补硬件差错,提高云计算平台的可用性、可靠性和安全性,服务器类型基于业务需要进行配置规划。
存储基于业务需要进行配置规划,支持集中式存储和分布式存储系统,通过冗余架构、模块化设计和分布式存储软件可伸缩性,提高云计算平台业务应用的性能、可用性、可靠性和安全性,避免单点故障,保障业务系统持续运行。
网络基于组网和端口互联需求进行配置规划,基于公安部云计算建设指南要求,按照分级+分平面+分区的原则进行设计,构建数据中心网络,保证无阻塞、低延迟的报文转发。
2、IaaS层资源池建设
通过云计算平台能够将物理资源的运算能力集合在一起,构成资源池,再根据需要分配给多个租户使用。
资源池是一个抽象概念,构建资源池就是通过虚拟化的方式将服务器、存储、网络、安全等资源组织成一个巨大的资源聚合体,通过资源池化机制,以细粒度管理方式充分利用资源,从而大幅提高云计算系统的资源利用率,按照公安部云计算建设指南,资源池建设包括计算资源池、存储资源池、网络资源池、安全资源池。
3、IaaS层资源服务能力建设
基础资源服务通过自服务的方式实现云平台的业务能力,提供丰富的各类服务能力,包括自动伸缩、网络服务、存储服务、VPC服务、弹性主机、负载均衡等能力。
4、PaaS层大数据平台能力建设
PaaS层设计基于公安部云计算建设指南进行规划,是面向软件开发者的服务,主要提供应用程序的开发和运行环境,以及相应的信息处理能力,自动实现应用程序的部署和运行,提高应用程序的开发效率。
本期项目将提供各类应用程序所需要主要的大数据存储能力、大数据计算能力、传输交换、服务总线、任务调度、授权服务、认证服务、API网关等PaaS功能服务,为全局应用系统大数据应用提供平台层基础服务。
大数据存储能力和大数据计算能力方面,主要是提供数据的存储与计算能力,包括关系型数据库、分布式文件系统、分布式并行数据库、图数据库、内存数据库、全文数据库等大数据存储能力,大数据计算主要根据不同的应用场景,提供各类计算能力,包括离线计算、实时计算、流式计算、内存计算等。
5、PaaS层应用支撑能力建设
PaaS层应用支撑平台能力主要是为业务系统的开发测试提供通用的服务能力,包括传输交换、任务调度、服务总线、授权认证、API网关、多媒体处理服务的应用支撑能力,同时,“祥云北京警务云平台(一期)”应用建设需要完成把用户需要的多种操作系统、数据库、中间件等基础软件、引擎以及多种开发工具部署到云计算基础设施上去,为业务应用系统提供信息共享式应用服务的平台化软件系统,为全局迁云、上云的各类应用提供基础的访问授权、数据交换、异步数据共享等应用支撑服务。
6、安全能力建设
祥云北京警务云平台是重要的信息系统资源,本次项目按照国家信息安全等级保护三级要求的总体安全策略开展建设,实现“积极防御、主动防护”,并实现信息安全的机密性、完整性、可用性、可控性和不可否认性的安全目标。
云计算平台将充分按照公安部提出的安全性的要求,从硬件、软件层面开展网络安全、应用安全、管理安全、数据安全等多层次的安全建设,对敏感数据应采用加密处理,满足与安全基础设施(包括认证、权限、加密等)的对接和统一,未来业务应用系统上云后,云计算平台需提供端到端的安全能力。
7、运维运营能力建设
祥云北京警务云平台(一期)”运营运维架构主要由运营中心、运维中心两部分组成,
主要实现系统监控、资源管理和系统配置管理等功能,内容主要包括逻辑拓扑监控、事件管理、系统监控、虚拟资源管理、系统配置、用户管理、操作日志查询和授权信息管理等。
运营运维管理平台对接云计算软件和大数据软件,实现基础设备的资源接入管理、各类资源的统一运维、市局云平台服务的申请和发放管理。
本次建设的运营运维管理平台,能处理集中监控、故障定界、重大业务保障、运营分析等运维业务场景,以实现集中运维管理。
8、统一云管平台能力建立
按照前期需求分析,为了兼顾当前的信息化系统,确保市局部分单位早期已建设的云平台、已建虚拟化资源的统一管理,以及系统上云后原有设备的立旧,形成“全局一片云”,有必要建设统一云管平台来统一管理,统一监控和统一运维。
市局统一云管平台将通过接口调用方式,在跨物理位置的多个云平台之上提供全局资源的集中管理,并做到资源安全隔离,便于规划和管理相关资源;同时提供多维度拓扑呈现、系统健康监测等智能运维功能,方便用户进行操作维护。
具有以下特点:
资源融合,全网跨地域资源融合,多厂家异构资源池共存,实现所有设备信息一体化。
智能运维,满足用户对云平台日常的各类计算资源的性能监控,实时掌握资源的运行情况,支持全网资源多维度可视化、自动化安装升级;能提供性能统计报表、资产资源统计表等报表,支持智能健康监测和主动优化。
能够基于第三方软件对云上应用系统运行情况,如访问流量等内容进行监测。
五、设备需求清单及技术规格要求
1、设备技术规格要求
序号
设备名称
技术参数及功能要求或应用场景需求(本表中设备技术参数为最低
要求,投标人应选择不劣于表中技术参数的设备进行投标)
数量
单位
1
业务光口接入交换机
1.48个10GESFP+接口,6个40GEQSFP+接口,双电源
2.交换容量:
2.5Tbps(以最小值为准)
3.包转发率:
1050Mpps(以最小值为准)
4.配置4个40G多模光模块,48个10G多模光模块,1根QSFP+40G高速电缆5m
5.SDN场景下具备部署M-LAG功能。
40
台
2
业务电口接入交换机
1.48个10GE电接口,6个40GEQSFP+接口,双电源
2.交换容量:
2.5Tbps(以最小值为准)
3.包转发率:
1050Mpps(以最小值为准)
4.配置4个40G多模光模块,1根QSFP+40G高速电缆5m
5.SDN场景下具备部署M-LAG功能。
16
台
3
安全管理汇聚交换机
1.28个10/100/1000Base-T以太网端口4个万兆SFP+,支持扩展子卡插槽,双电源,交换容量:
590Gbps)
2.包转发率:
220Mpps(以最小值为准)
3.支持智能堆叠,纵向虚拟化,IPv6
4.配置4个10G多模光模块,1根QSFP+40G高速电缆5m
2
台
4
业务核心交换机
1.交换容量:
270Tbps(以最小值为准)
2.包转发率:
170000Mpps(以最小值为准),支持12个业务槽位,配置双主控,6块交换网板,12块交流电源
3.配置2块36端口40GEQSFP+光板卡,1块24端口万兆光板卡
4.配置68个40G多模光模块,10个10GE多模光模块,2根QSFP+40G高速电缆5m
5.具备将两台核心交换机堆叠成一台逻辑交换机的能力,主控板上特定端口能够隔离堆叠信号和数据流量。
2
台
5
云接入区核心交换机
1.交换容量:
270Tbps(以最小值为准)
2.包转发率:
170000Mpps(以最小值为准),支持12个业务槽位,配置双主控,6块交换网板,12块交流电源
3.配置1块12端口40GEQSFP+光板卡,1块24端口万兆光板卡
4.配置8个10G单模10km光模块,1个40G多模光模块,2个40G单模40km光模块,1根QSFP+40G高速电缆5m
5.具备将两台核心交换机堆叠成一台逻辑交换机的能力,主控板上特定端口能够隔离堆叠信号和数据流量。
2
台
6
云接入区接入交换机
1.交换容量:
40Tbps(以最小值为准)
2.包转发率:
56000Mpps(以最小值为准),支持4个业务槽位,配置双主控,6块交换网板,4块交流电源
3.配置1块6端口40GEQSFP+光板卡,1块24端口万兆光板卡
4.配置4个40G多模光模块,2个10G多模光模块,1根QSFP+40G高速电缆5m
5.具备将两台核心交换机堆叠成一台逻辑交换机的能力,主控板上特定端口能够隔离堆叠信号和数据流量。
2
台
7
光纤交换机
1.96口16GFC光纤交换机,72端口激活
2.配置72个16GFC多模光模块和光纤线
6
台
8
SDN控制器
1.SDN架构分层解耦,提供基于租户的网络自动化部署、精细化可视运维、标准化的南北向开放以及高可靠集群负载分担和弹性扩展,构建以业务为中心的数据中心最强大脑。
2.配置满足本次数据中心网络的接入设备管理56个license,配置核心设备/物理防火墙设备管理4个license配置承载软件的硬件3台物理服务器及其配套软件平台
3.能够与本项目云平台的物理服务器管理组件协同,自动下发物理服务器部署所需的网络配置。
1
台
9
带外管理区
出口防火墙
1.万兆光口≥2个,千兆电口≥8个,千兆光口≥8个,实配万兆多模≥2个,吞吐量≥20Gbps,最大并发连接数≥750万,每秒新建连接数≥28万,交流双电源;SSLVPN并发用户≥95;IPSecVPN隧道≥13000;虚拟防火墙数量≥450;配置IPS、防病毒、URL过滤功能,及3年IPS特征库、网络病毒特征库、URL特征库升级
2.能够基于时间、用户/用户组、应用层协议、地理位置、IP地址、端口、内容安全统一界面进行安全策略配置;可支持基于应用层协议设置流控策略,包括设置最大带宽、保证带宽、协议流量优先级等;支持将基于端口的安全策略转换为基于应用的安全策略,分析设备策略风险,及冗余和失效策略,提供安全策略优化建议;支持云沙箱或物理沙箱联动,实现对APT攻击的防御功能
3.支持并配置与本项目APT防御及安全态势感知系统、沙箱联动功能,内置流量探针,能针对威胁生成阻断策略。
2
台
10
出口防火墙
1.配置双主控,双电源;接口板和业务板分离,电源、主控板、接口板、业务板支持热插拔;40G光口≥3个,40G多模≥3个;万兆光口≥6个,万兆多模≥6个;吞吐量≥80Gbps,IPS吞吐量≥40Gbps,AV吞吐量≥30Gbps,最大并发连接≥8000万,新建连接数≥100万;配置应用层协议识别及流量控制功能,3年应用协议特征库升级;配置负载均衡功能;配置IPS、防病毒、
URL过滤功能,及3年IPS特征库、网络病毒特征库、URL特征库升级;为了确保开启IPS,防病毒,URL过滤等功能后不影响防火墙的性能,需要使用独立的安全业务板(非防火墙业务板)处理IPS、防病毒、URL过滤功能;
2.支持全面NAT功能,提供完整的NAT溯源方案;支持将基于端口的安全策略转换为基于应用的安全策略,分析设备策略风险,及冗余和失效策略,提供安全策略优化建议;支持数据防泄露,对传输的文件和内容进行识别过滤;支持HTTP、FTP、SMTP、POP3、IMAP、NFS等协议的病毒防护;支持云沙箱或物理沙箱联动,实现对APT攻击的防御功能
3.支持并配置与本项目APT防御及安全态势感知系统、沙箱联动功能,内置流量探针,能针对威胁生成阻断策略。
2
台
11
核心防火墙
1.配置双主控,双电源;接口板和业务板分离,电源、主控板、接口板、业务板支持热插拔;万兆光口≥6个,万兆多模≥6个;吞吐量≥80Gbps,IPS吞吐量≥40Gbps,AV吞吐量≥30Gbps,
2
台
最大并发连接≥8000万,新建连接数≥100万;配置应用层协议识别及流量控制功能,3年应用协议特征库升级;配置负载均衡功能;配置IPS、防病毒、URL过滤功能,及3年IPS特征库、网络病毒特征库、URL特征库升级;为了确保开启IPS,防病毒,URL过滤等功能后不影响防火墙的性能,需要使用独立的安全业务板(非防火墙业务板)处理IPS、防病毒、URL过滤功能;2.支持全面NAT功能,提供完整的NAT溯源方案;支持将基于端口的安全策略转换为基于应用的安全策略,分析设备策略风险,及冗余和失效策略,提供安全策略优化建议;支持数据防泄露,对传输的文件和内容进行识别过滤;支持HTTP、FTP、SMTP、POP3、IMAP、NFS等协议的病毒防护;支持云沙箱或物理沙箱联动,实现对APT攻击的防御功能
3.支持并配置与本项目APT防御及安全态势感知系统、沙箱联动功能,内置流量探针,能针对威胁生成阻断策略。
12
Web应用防火墙
1.标准2U机型,提供2个GE电口,2*10GESFP+,1+1冗余电源,能提供特征库升级服务;防护站点数无限制;支持双机热备;HTTP吞吐量大于8Gbps,HTTPS吞吐量大于1.6Gbps。
2.Web应用防火墙设备应采用黑名单安全技术、白名单安全技术、参数自学习建模技术、行为建模分析技术等先进技术,提供Web应用实时深度防御、Web应用加速、敏感信息防泄露、网页防篡改等功能,能够抵御各类针对Web应用的外来攻击,最大限度的保障网站运行安全
3.支持并配置与本项目APT防御及安全态势感知系统、沙箱联动功能,内置流量探针,能针对威胁生成阻断策略。
2
台
13
安全管理区
出口防火墙
1.万兆光口≥2个,千兆电口≥8个,千兆光口≥8个,实配万兆多模≥2个,吞吐量≥20Gbps,最大并发连接数≥750万,每秒新建连接数≥28万,交流双电源;SSLVPN并发用户≥95;IPSecVPN隧道≥13000;虚拟防火墙数量≥450;
2.能够基于时间、用户/用户组、应用层协议、地理位置、IP地址、端口、内容安全统一界面进行安全策略配置;可支持基于应用层协议设置流控策略,包括设置最大带宽、保证带宽、协议流量优先级等;支持将基于端口的安全策略转换为基于应用的安全策略,分析设备策略风险,及冗余和失效策略,提供安全策略优化建议;支持云沙箱联动,实现对APT攻击的防御功能
3.支持并配置与本项目APT防御及安全态势感知系统、沙箱联动功能,内置流量探针,能针对威胁生成阻断策略。
2
台
14
沙箱
1.配置1台服务器(高度为2U,采用机架式X86服务器,至少提供2个6核处理器,256G内存,12T硬盘;接口数量:
8个GE电口,2个10GE光口,万兆多模4个;为提高启动速度,设备要求提供固态硬盘;
2.PE、PDF、Office文件检测性能:
8万文件/天,Web文件检测性能:
8万文件/小时;
3.支持HTTP、FTP、SMTP、POP3、IMAP4、NFS、SMB这几种协议的流量还原,通过解析主流的应用协议,对协议传输中承载的文
2
台
件及关键字段信息进行分析还原;支持检测文件大类包括:
OFFICE、PE、ELF、PDF、RTF、JAVA、CHM、IMAGE(tiff、bmp、gif、jpg等)、COMPRES(SZIP、TAR等)、HTML、JS、SCRIPT,能够检测分析的文件类型不少于40+个;基于机器学习算法检测
恶意PE文件、WEB文件等;支持SSL加密流量检测
4.支持与本项目防火墙联动。
能够对防火墙流量提取文件检测并阻断承载恶意文件的流量;支持防火墙对SSL加密流量进行解密并提取文件后送至沙箱检测。
15
日志服务器
1.支持分布式部署与集中式(AllInOne)部署模式每台服务器配置不得低于CPU:
2*8核2.6G;内存不少于32G;硬盘不少于12TBSATA;
2.最大日志源数为2000个;二进制会话日志均值不少于250,000EPS;当采集器运行在前置机模式时,二进制日志峰值为30,000EPS;文本日志均值不少于15,000EPS;支持用户上网行为报表:
支持对用户上网行为中的WEB访问、
邮件收发、IM使用、上网时长进行统计和分析,提供功能截图,用户上网行为报表;
3.支持用户威胁报表:
支持对攻击、病毒等威胁事件的统计和分析,提供功能截图,用户威胁(网络安全分析)报表;
4.支持多维度Dashboard:
入侵防御趋势分析、入侵防御事件排行、攻击防范事件趋势、入侵防御目的IP排行、病毒事件目的IP排行、病毒事件趋势、策略趋势、URL分类排行、日志量趋势、采集器CPU性能、采集器内存性能、分析器CPU性能、分析器
内存性能等,提供功能截图,多维度Dashboard;
1
台
16
堡垒机
1.配置两台服务器,每台服务器配置不低于:
数据盘≥2T;内存
≥32G;系统盘≥2*300G;8个GE口;
2.字符并发:
1000,图形并发:
300;
3.两台设备按照双机热备部署,提供配置和审计日志实时同步,保证数据高可靠性
4.UMA主机默认支持:
5.字符型应用,包括telnet、ssh
6.图形终端应用,包括rdp、x11、vnc
7.文件传输应用,包括ftp、sftp
8.对主流厂商的路由器、交换机、防火墙、Windows/Linux/Unix服务器等进行集中管理,全过程监控与记录运维人员对设备系统的操作行为,做到统一接入、统一认证、统一授权、统一审计,有效降低内部运维风险,完善IT管理体系。
9.系统支持IP自动禁止功能,对连续登陆账号密码错误的来源IP自动屏蔽,可通过管理员解除屏蔽;
10.系统内置PKI证书认证功能,用户只需配置USB-KEY即可实现
证书登陆认证,实现双因素认证(USB-KEY+PIN码);对于审计结果的查看,可以做到:
输入命令和输出结果的智能分离,可以只查看字符命令,也可以显示该命令的返回结果。
11.对于审计结果的查看,定位回放:
用户在查看命令行回放时,
1
台
可以做到从任意命令点开始回放;
17
漏洞扫描系统
1.标准型2U机型,标配6个千兆电口,可扩展1张4电口或4光口插卡,并且可扩展1块8电口或8光口插卡,1T硬盘,冗交流电源;支持15个并发任务,支持并发扫描80主机;扫描主机为1000;
2.支持系统扫描、Web扫描、数据库扫描、安全基线检测、弱口令扫描在内的五大扫描能力;产品支持分布式部署、层级管理,上级管理中心下发扫描任务到下级引擎并进行集中查询、分析;支持针对已经新建的任务做任务复制,快速生成一个相同任务,支持对复制出来的任务进行再编辑,包括:
扫描目标、扫描策略、任务调度、扫描参数;支持60000条以上系统漏洞库;支持漏洞库涵盖标准包含CVE、CVSS、CNVID、CNNVD、CNCVE、
Bugtraq5种;
1
台
18
APT防御及安全态势感知系统
1.至少包含6个网元:
可视化节点、采集器、数据分发节点、存储检测节点、集群管理节点和流探针,共计12台服务器;
可视化节点和采集器至少各包含1台独立的服务器,至少包含2台流探针,可视化节点、采集器以及流探针最低配置要求:
CPU10Core*2,内存16GB*4,硬盘2TB*6,2*GE电口,2*10GE光口;
2.数据分发节点至少包含2台独立的服务器、存储检测节点至少包含3台独立的服务器、集群管理节点至少包含3台独立的服务器,服务器最低配置要求:
CPU12Core*2,内存16GB*16,硬盘1.2TB*23,2*GE电口,2*10GE光口
3.支持C&C异常检测功能,支持检测通过隐蔽通道通信的异常行为,支持通过DGA域名检测发现C&C攻击,支持DGA域名的自动识别;支持通过Fast-Flux域名检测发现C&C攻击,支持Fast-Flux域名的自动识别;支持用户自定义DGA域名和
Fast-Flux域名白名单和黑名单功能;可以直观展示内网面对的威胁和最近发现的威胁事件;支持在一个管理界面从威胁、邮件和文件多个维度展示攻击扩散路径和影响范围,支持在一个管理界面呈现高级威胁的多个攻击阶段,包括:
外部渗透阶段、命令与控制阶段、内部扩散阶段、以及数据窃取阶段;支持攻击链回溯检测未知威胁
4.支持与本项目SDN控制器、交换机联动,能够下发威胁处置策略至交换机,隔离受威胁的主机,能够基于业务链按需调度将租户流量引流至对应的逻辑安全设备。
1
台
19
负载均衡
1.负载均衡提供对应用数据进行端到端的分析、调度、保护、加密和优化,能够探测应用交付过程中的故障,并毫秒级切换,保障应用稳定。
2.同时具备网络层DDOS攻击防护、应用层DDOS攻击防护,SSL
4
升级会员 