标前公示需求Word文档下载推荐.docx
《标前公示需求Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《标前公示需求Word文档下载推荐.docx(59页珍藏版)》请在冰点文库上搜索。
VTL>
3.8TB/小时;
OST>
4.7TB/小时。
多协议支持:
能同时以VTL、OST、CIFS、NFS等协议接入。
安全性:
要求采用Raid6硬盘保护机制,且设备配置热备盘,进一步确保数据安全性;
具备SNMP、Email等多种方式的报警,如超过空间使用阀值,自动邮件报警;
容灾复制技术:
具有设备底层远程数据复制技术;
配置要求:
配置备份设备1套,配置裸容量为不少于14TB(所有容量必须是单一备份消重池),配置所有容量的去重License;
配置CIFSLicense,配置NFSLicense,可扩展VTLLicense,NDMPLicense,OSTLicense,配置至少4个1Gb以太网口;
配置远程复制License,实现两套设备之间的远程复制;
配置OSTLicense,实现源端消重功能。
服务及其它要求:
原厂3年软硬件7*24服务,原厂安装实施服务;
中标后签订合同前需提交承诺原厂三年质保。
5
备份软件
备份容量支持:
备份解决方案要求配置去重后1TB可用容量。
要求软件能够安装在VMWARE环境中;
高效的恢复能力:
恢复数据时采用任意时间点恢复的方式直接恢复到客户所要求时间点的数据.
备份源重复数据删除技术:
能够在数据源进行重复数据的删除功能,只将唯一的数据段备份到终端存储上;
备份服务端全局数据删除技术:
服务端可自动对这些来自多个客户端的数据作全局性的重复数据再删除;
客户端支持:
配置至少55个备份客户端的备份;
配置至少34个虚拟机的备份,20台ESX服务器的备份;
配置至少43个Oracle/MSSQL/Exchange/等数据库热备模块;
数据切分比对技术:
能够对不同的文件采用变长而非定长的数据段进行分割。
连续数据保护:
提供对VM虚拟机进行连续数据保护
备份方式:
采用永久全备份的方式。
6
网页防篡改系统
技术架构:
配置无需额外增加备份服务器;
使用NTLM技术进行口令认证;
多虚拟站点设置独立方案保护;
C/S架构,无需安装架设第三方管理界面网站;
支持Redhat,SUSE,Fedora,CentOS,FreeBSD,Ubuntu,
Windows2000/XP/2003/Vista/2008/7/8/2012等的32位和64位操作系统
防篡改与恢复功能:
双重保护——事前拦截+事后恢复;
配置安全性高于数字水印的数字签名检验文件完整性;
配置所有类型文件的自动恢复;
对保护文件实行主动监控不依赖网站请求;
文件监控实时性(毫秒级);
配置静态、动态、伪静态网页防篡改;
配置单机部署时本地备份目录的安全保护;
发布与同步功能:
配置手动精确同步;
配置批量上传、下载文件;
多主机的并发同步,支持cms系统、ftp,指定ip发布;
报警功能:
配置声音提示、邮件报警模式;
审计功能:
配置记录所有非法的篡改事件、所有的合法更新事件、保护方案改动事件、各用户的上一次登录时间、各用户的上一次登录IP、自动保存所有非法新增的文件作计算机取证使用;
自身安全防护功能:
配置所有可执行程序都自带可通过联网数字证书机构(CARoot)签名验证的数字签名保护;
防止产品安装目录被恶意访问和篡改;
操作系统特权限制;
防止产品进程被恶意终止;
防止产品服务被恶意禁用、删除、停止;
管理功能:
配置为每个网站设置单独隔离的管理员;
查看篡改日志、管理日志、错误日志;
对网站目录和发布目录进行管理;
创建只能管理部分站点的低权限用户;
查询所有非法新增的文件;
预算:
90万元
马鞍山市电子政务项目建设方案
第一章项目概述
1、项目名称
马鞍山市数据中心存储升级及数据保护项目
2、项目建设单位与职能介绍
2.1项目建设单位
马鞍山市信息化管理办公室
2.2项目单位职能
3、项目建设方案编制依据
1)《关于印发马鞍山市政务信息资源共享管理办法的通知》(马政〔2014〕30号)
2)《国务院关于印发促进大数据发展行动纲要的通知》(国发〔2015〕50号)
3)《政务信息资源共享管理暂行办法》(国发[2016]51号)
4)《国务院关于加快推进“互联网+政务服务”工作的指导意见》(国发〔2016〕55号)
5)《国务院办公厅关于印发“互联网+政务服务”技术体系建设指南的通知》(国办函〔2016〕108号)
6)《关于印发马鞍山市2017年智慧城市建设工作要点的通知》(马政办秘〔2017〕13号)
7)《安徽省人民政府办公厅关于印发安徽省政务信息资源共享管理暂行办法的通知》(皖政办〔2017〕17号)
8)《国务院办公厅关于印发政务信息系统整合共享的通知》(国办发〔2017〕39号)
9)《国家发展改革委中央网信办关于印发政务信息资源目录编制指南(试行)的通知》(发改高技〔2017〕1272号)
10)互联网+政务服务”技术体系建设指南(保留)
11)政务信息资源类规范、标准(保留)
要求:
方案编制遵循的省部及行业标准及相关国家、省级部门文件要求,列出文件名并作为附件提交。
4、项目概况
4.1项目背景
建立马鞍山市数据中心远程灾备及网站防篡改系统,进一步整合政府各个部门信息资源,规范信息资源安全体系建设,加快互联网+环境下政府治理体制的改革和政务服务模式的创新,加强对各类政务资源进行组织和管理,解决政务信息资源的发现、定位、授权及共用问题,推进跨层级、跨部门的政务信息资源共享开放,完善政务信息资源在传输和使用过程中的安全保障机制,营造一个安全、互联互通、数据开放、综合决策的资源数据安全平台,以实提升现信息化数据安全,全面保障构建面向政务协作、宏观决策、市场监管和社会管理的服务体系安全体系,为形成具有当地特色的智慧政务创新发展的良好局面打下良好基础。
4.2建设目标
马鞍山市政务中心现已完成云端数据中心用于各类业务的运行,但是出于业务数据的重要性考虑,需要将这些业务数据在实现本地备份的同时,再将数据备份到省厅数据中心实现异地备份。
4.3部门业务需求说明
马鞍山政府政务云系统已经实现VMware虚拟化应用,并且实现了数据的集中存储。
但是目前对于业务的数据缺乏可靠的手段来确保数据的安全性,假如出现故障甚至灾难,数据将发生不可挽回的损失,因此急需一套可靠的数据保护手段来确保数据的安全性。
4.4项目建设的意义和必要性
政府网站是黑客攻击的重要目标,需要通过有效的防御手段进行防护。
第2章信息化现状分析
1、现有信息系统装备和信息化应用状况
要求:
主要包括软件系统、硬件环境、网络环境。
1.1软件建设
通过对马鞍山市政务信息资源交换管理平台一期的建设和推广,对全市政务信息资源的统一管理及共享应用起到了很大的促进作用,取得了一定成效,具体如下:
1.1.1在政务信息资源覆盖方面
马鞍山市政府信息资源中心一期项目一共纳入市本级67个部门大约1900多项各类信息资源,12000项信息资源目录数据指标项;
三区三县及部分开发区相关部门大约4700多项各类信息资源。
目前已收到61个部门部分数据信息资源,收集到690项信息资源,19500W条数据。
1.1.2在信息资源采集分类方面
马鞍山市政府信息资源中心一期项目的数据源主要包括了公安的户籍人口信息,身份证照片信息,驾驶证信息,机动车信息,行政处罚信息,地理信息等;
公积金的个人缴纳信息;
工商局的注册登记信息,变更信息,法定代表负责人信息等;
港华燃气账单信息;
首创水务账单信息;
经信委的生产信息和财务信息,民政局的火化人员信息,食药监的生产经营许可证信息,企业登记评价信息等。
1.1.3在部门数据采集手段方面
马鞍山市政府信息资源中心一期项目主要采用的数据采集手段包括:
接口交换、数据上报、文件导入三种方式,基本保障数据采集的需要。
1.1.4在数据管理功能建设方面
马鞍山市政府信息资源中心一期项目在数据治理功能建设主要包括:
✓完成了人口、法人、宏观经济库、基础地理信息库四大基础资源库的建设
✓完成了信息资源目录和编码管理;
✓建立部门信息资源目录申请报送机制
✓制定数据入库清洗配对策略及日志监控功能
✓为其他系统提供统一用户管理接口服务
✓为第三方业务系统数据调用提供接口调用、订阅、授权、审核、监控服务
✓提供了数据资源在管理、查询、使用方面的数据统计功能
✓按业务主题(包括经济建设、资源环境、社会发展、道路交通、公共安全、科技教育、文化休闲、民生服务、机构团体、卫生健康)对所有的政务信息资源进行分类管理和数据共享开放服务
1.1.5在数据共享开放应用方面
为本市各个部门和企业通过接口调用的方式使用我们数据中以下数据:
✓市民网:
提供基础数据供市民网做应用支撑。
具体包括公安人口数据,机动车数据,社保数据,水务,燃气账单数据,个人公积金数据
✓网格化平台:
提供数据中心基础数据给网格化平台做基本网格元
✓公安:
通过东方通交换工具将公安所需数据推送给他们
✓公积金:
给公积金提供查询接口让他们在线办理业务得到数据验证
✓马鞍山微信公众号:
给公众号提供所需数据接口,供他们公众号实现在线查询
✓民政局:
给民政局提供接口调用,主要人口相关数据
✓网上办事大厅:
提供人口相关信息调用
✓广电:
提供水、气账单查询
✓省信用办:
个人和法人相关的信用数据收集提供给省信用办。
✓市民卡:
调用公民身份证照片信息及学生学籍照片信息
1.2硬件建设
品牌
型号
硬件配置情况
采购
日期
使用
情况
云平台服务器
12台
华为服务器RH5885V3
华为机架式服务器,配置4颗E7-4850v3CPU,配置512GBDDR4RDIMM内存;
2块10k热插拔SAS600GB硬盘,配置高性能RAID阵列控制器,配置RAID0、1、5、50、6、60,提供1G高速缓存(含断电保护);
配置4个万兆光接口有FCoE功能(含万兆多模模块),配置2块8GBFCHBA卡;
冗余电源,风扇;
配置独立的远程管理端口,提供KVMOVERIP功能。
2015年
运行良好
存储设备
2台
华为5500V3
华为光纤磁盘存储系统,配置控制器数量为2、单一控制器高速缓存达到64GB;
配置8个8GbFC主机接口(含8Gbps多模光模块)、配置4块万兆光接口网卡有FCoE功能(含万兆多模模块),IP主机万兆接口;
配置MLCSSD固态硬盘(单盘为600GB)总容量达到4800G,配置10KSAS硬盘(单盘达到1.8TB)总容量达到165.5T,配置7.2KNL_SAS硬盘(单盘达到6TB)总容量为288T,可扩展至750块硬盘;
配置存储管理软件、自动精简功能、自动分层存储和多路径管理功能、数据快照、卷克隆和远程镜像等高级功能,配置SSD缓存、异构存储虚拟化功能(需要异购虚拟化4台存储设备,其中有两台华为S5500T、两台浪潮AS1000G6),配置NAS功能;
配置两台存储之间双活许可(Active-Active,拒绝在主机上安装软件实现),配置冗余电源和风扇。
1.3网络建设
政务内网
马鞍山市电子政务平台是依托国家电子政务内网建设在马鞍山市政务内网中。
政务内网与互联网物理隔离,主要满足市政府及市直部门内部办公、管理、协调、监督和决策的需要。
政务外网
马鞍山市政府及市直部门原有网站建设在马鞍山市政务外网中,主要满足市政府及市直部门进行社会管理、公共服务等面向社会服务的需要。
政务专网
马鞍山市政务专网与互联网逻辑隔离,通过网闸,以摆渡方式与互联网交换信息,实现公共服务与内部业务流转的衔接。
1.4基础环境建设
面积
空调
UPS
网管
监控
气体
灭火
建设
100平方
4台
1组
2人
1套
2009年
目前在用
2、信息系统装备和应用目前存在的主要问题
第三章业务需求分析
1、业务功能、业务流程和业务量分析
政府网站是黑客攻击的重要目标。
据权威部门统计,中国大陆每月被篡改的域名网站约占整个大陆地区被篡改网站的7%,而域名网站仅占.cn域名的2.3%。
近年来,网页防篡改问题以及网站应用安全问题受到了全国所有政府网站的高度重视。
政府门户网站(以下简称中国政府网)是国务院和国务院各部门,以及各省、自治区、直辖市人民政府在国际互联网上发布政务信息和提供在线服务的综合平台。
政府网作为我国电子政务建设的重要组成部分,是政府面向社会的窗口,是公众与政府互动的渠道,对于促进政务公开、推进依法行政、接受公众监督、改进行政管理、全面履行政府职能具有重要意义。
政府网作为中国最权威的政府网站,其网站安全性不容忽视。
网页防篡改系统作为中国政府网网站安全体系中最重要的组成部分之一,从网站上线伊始就受到高度重视。
硬件设备需求
目前对于业务的数据缺乏可靠的手段来确保数据的安全性,假如出现故障甚至灾难,数据将发生不可挽回的损失。
为确保数据的安全稳定性考虑,现需求搭建一套完善的异地灾备中心系统。
在本地数据中心建立一套完善的备份系统(存储服务器+备份软件+专业备份存储),并在异地建立一套容灾系统(本地与异地之间数据同步复制)
2、系统功能和性能需求分析
备份容灾系统
影响备份性能的一个关键因素是必须在可用备份窗口中保护的数据量。
因为传统解决方案要反复备份所有内容,包括服务器、台式机、笔记本电脑和办公室中存在的重复文件和子文件数据段,所以效率十分低下。
在将这种传统解决方案与传统的每日增量备份和每周完整备份计划一并使用时,重复数据将多得令人震惊。
由于巨大的数据量必须通过早已拥塞不堪的网络、备份服务器和基础架构,在备份窗口内完成备份往往成为一项异常艰难的任务。
在虚拟环境、远程办公室和NAS文件服务器中,这一影响尤为严重。
在虚拟环境中,每个虚拟机(VM)都代表一份备份作业,因而经常会有一些重叠的备份窗口,同时还会有冗余的操作系统、应用程序和文件数据。
因此,VM的备份往往会超出可用的备份窗口,加重共享资源的负担,使数据处于无保护状态,同时给备份管理员带来诸多问题。
在远程办公室,由于网络带宽有限,几乎没有可能集中自动执行基于广域网的备份。
因此,备份任务必须由非IT员工处理。
容易发生故障的磁带型硬件以及临时的手动操作过程难以为远程办公室数据提供可靠的保护。
保护NAS文件服务器也成为一项异常艰难的任务,尤其是在分配的时间段内无法完成完整备份时,这既影响员工生产效率,又会使数据处于无保护状态。
传统解决方案需要额外的存储容量来备份重复的数据,这同样增加了成本。
为了遵从法规,需要满足其数据保留要求,这常会使问题进一步加剧。
另外,传统备份通常涉及到将物理磁带运送到异地,这样可能会导致机密信息暴露、失窃或数据丢失。
第四章总体建设方案
1、建设原则
系统先进性
在整个容灾备份系统工程的建设中,作为整个系统的中心,我们首先应从其系统性能入手,通过客观的分析比较,确定一个具有世界先进架构的产品,就成为首要的任务。
从业务工作的情况来看,数据中心平台中所提供的服务较多,要达到能同时满足对各类信息的管理、统计和实时备份恢复,则对于未来业务扩展以及系统升级的难度和风险大大降低。
系统业务的分布导致也就导致了数据的分布,能否提供一种解决方案,其不但能够满足分布数据的要求,而且能够做到数据的统一管理备份,这也是影响着系统未来健康发展的主要因素。
系统高可靠性
作为整个信息系统工程系统核心业务平台和存储系统,一旦出现数据丢失或差错,不仅对客户个体利益和其整体利益均会造成难以挽回的经济损失,也将造成极坏的影响。
此外,作为整个数据中心的核心,因为部分硬件的故障宕机而导致整个系统的瘫痪,同样是无法忍受的情况。
因此我们在主机系统选型和系统配置时,应该充分考虑到系统可靠性在今后系统运行时的重要地位。
在考虑系统建设时:
一方面应选择系统运行可靠性高、技术成熟的机型;
另一方面,在系统设计和配置中应发挥系统的容错特性。
在容灾备份方面,应该选择成熟,稳定,性能可靠的技术方案
系统的高性能
系统采用最新一代一体化产品,保证系统的高性能。
系统升级不必停机,可在线进行软硬件升级。
系统扩充灵活性
随着信息系统的不断完善和增加,在未来这样的发展情况下,要求我们在确定产品时,也要充分保证基于系统本身的扩展性和今后多种行之有效的开发途径。
之所以有这样的要求,首先是系统本身发展的需要。
其次,用户在进行如此大规模的系统投资时,最关心的是系统建成后的投入产出比。
因此,在系统建设之初,应首先立足当前应用进行系统配置,以系统扩展性能保证未来发展。
也只有如此,才能在有限的资金投入下适应目前迫切要求,做到投资省,见效快,力争在最短的时间内,建成一套高效的一体化系统。
只有采用具有高可扩展性系统,才能保证用户的系统投资不至于因日益增长的业务需求而在几年内便不得不面临更新和淘汰的局面。
开放性原则
存储系统担负着所有接入SAN网络的前端服务器的数据存储任务,在客户的实际系统中一定共存着多厂家各种类型操作系统的服务器,对所有操作系统的兼容也就成为存储系统的首要条件。
存储系统必须严格按照SNIA(存储国际标准化组织)制定的存储系统体系架构,确保系统的平台开放性原则。
除了操作系统的支持外,厂家提供的相关管理软件也应遵循同样的原则,只有这样的产品才是真正成熟的产品。
2总体建设任务
实现异地灾备及对政府网站防篡改功能建设
系统总体结构和逻辑结构
构建一套容灾备份系统,本地实现数据备份,本次与异地建立远程容灾,保证本地出现灾难,数据不丢失。
3、技术路线
网页防篡改
从逻辑上,网页防篡改系统由页面保护子系统、自动发布子系统和监控管理子系统组成。
数据备份
马鞍山政府信息办数据中心主站点部署一套备份系统,系统包括以下组件:
存储服务器,备份软件,带重复数据删除功能的备份专用存储设备,可实现对现有整个数据环境的备份。
异地备份
在异地灾备中心的备份站点部署一套一样的灾备设备(备份软件,带重复数据删除功能的备份专用存储设备),用于马鞍山政府信息办数据中心主站点的数据的异地备份,确保当主数据中心的数据发生灾难性故障时,仍然可以进行数据的恢复。
数据两地容灾
主站点和灾备站点的灾备设备都配置远程复制许可,通过设备底层的复制功能,实现数据的异地复制。
安全等级保护测评
完成马鞍山市电子政务网络安全等级保护测评工作。
第五章业务建设方案
1.系统设计(该部分不少于方案的60%)
1.1防篡改软件系统设计
1.1.1Web应用系统的工作原理
现代的信息系统,无论是建立信息发布和数据交换平台,还是建立外部商业和内部业务应用系统,都离不开Web应用系统。
Web应用是由动态脚本语言(如ASP、JSP和PHP等)和编译过的代码等组合而成,它通常架设在Web服务器上。
用户在Web浏览器上发送请求,这些请求使用HTTP协议,经过互联网或内部网络与服务者的Web应用交互,由Web应用与企业后台的数据库及其他动态内容通信。
尽管Web应用有着许多简化或复杂搭建方式,但一个典型的Web应用通常是标准的三层架构模型:
在这种最常见的模型中,客户端是第一层;
使用动态Web技术的部分属于中间层;
数据库是第三层。
用户通过Web浏览器发送请求给中间层,由中间层将用户的请求转换为对后台数据的查询或是更新,并将最终的结果在浏览器上展示给用户。
1.1.2Web应用系统的安全漏洞
Web应用系统有着其固有的开发特点:
开发人员素质一般、需求快速变更导致缺乏严谨的设计和代码编写、系统没有经过严格的测试等,这些特点加上HTTP协议本身的无状态和匿名性,导致Web应用出现了很多的漏洞,如SQL注入漏洞、跨站脚本漏洞等等。
另外,管理员对Web系统的现成软件(包括操作系统、Web服务器软件、中间件、第三方平台、数据库)的配置不当也会造成很多漏洞,最常见的就是网页被篡改。
作为Web应用运行的基础平台,Web服务器(软件)本身只提供对HTTP协议的处理,并不会对协议数据的来源和内容进行安全检查和安全加固,如下图所示:
正是基于Web服务器这样的工作原理,黑客就可以利用Web应用程序自身的漏洞和管理员配置不当造成的漏洞而对Web应用进行攻击和破坏。
1.1.3、Web应用安全解决方案
为了从源头上杜绝攻击的发生,通过核心内嵌技术给WEB服务器软件打上安全补丁,在WEB服务器尚未对请求进行内部(业务)处理之前,对请求中包含的各项数据进行过滤,确保只将安全的请求交给Web服务器进行处理;
在Web服务器合成响应之前对文件的完整性进行检查,确保响应内容的正确性。
如下图所示:
1.通过对请求和响应的双向检测,一方面确保黑客利用Web应用程序自身漏洞发起的各种应用层攻击都能够被实时阻断;
另一方面杜绝篡改后的网页/脚本文件被访问的可能性,使黑客利用管理员配置不当等漏洞篡改网页的企图完全落空。
2.不存在独立的安全模块运行进程,工作过程完全与Web服务的运行进程融合,在精准理解和分析Web服务请求数据的同时,确保入侵者无法干扰安全检测的运行。
3.与操作系统及硬件无关,与应用系统使用的脚本语言无关,无需改变网络拓扑结构,对Web应用的
升级会员 