政务公共综合资源服务平台方案.docx

资源描述

政务公共平台资源综合管理与服务交付系统建设方案目录 1 主要建设内容 3 3.1服务目录标体系建设 3 3.2服务和管理体系建设 3 完善平台建设标准 3 完善服务管理规范 3 完善平台使用规范 4 3.3系统总统设计 4 系统总体框架 4 系统部署设计 6 技术路线选择 8 系统对接设计 12 3.4应用功能设计 14 3.4.1资源综合管理 14 3.4.2服务交付管理 22 3.5日常工作管理 26 3.5.1系统管理 26 3.5.2服务商信息管理 27 3.5.3用户单位信息管理 27 3.5.4值班管理 27 3.5.5应急管理 27 3.6支撑系统设计 27 3.6.1 基础物理环境 27 3.6.2 基础支撑环境 28 3.6.3支撑应用环境 30 3.7 安全保障设计 30 3.7.1基础安全 30 3.7.2应用安全 31 3.7.3管理安全 34 2 项目预算 37 1 主要建设内容 3.1服务目录标体系建设按xxx基础设施建设实际情况，结合xxx公共平台顶层设计书，设计符合xxx公共平台发展和应用的公共平台资源服务目录，制定电公共平台资源服务目录，逐步构建一整套完善的资源服务目录建立、维护、管理和使用机制，最终实现公共平台建设以服务目录为导向，建设xxx公共平台。 3.2服务和管理体系建设按建设、管理、使用三分离原则，构建xxx公共平台服务和管理体系，从公共平台各设施系统的建设、管理、使用等三个方面进行规范，用于规范公共平台各子系统建设、管理运维和资源使用。出台xxx公共平台建设管理办法。完善平台建设标准以xxx公共平台资源服务为核心，按xxx公共平台资源服务目录内容，制定服务资源建设、运维、服务标准和规范，并根据服务标准和规范开展平台各资源的建设。完善服务管理规范建立完善的xxx公共平台管理规范，从服务队伍、服务资源、服务技术、平台资产、服务边界、服务评价等方面进行规范管理，制定相应的管理制度和办法，做到以制度约束服务行为。完善平台使用规范建立完善的xxx公共平台资源和服务规范，对xxx公共平台的使用范围、使用流程、使用要求进行明确定义，编制xxx公共平台资源使用标准和服务指南。 3.3系统总统设计以xxx公共平台资源综合管理与服务交付系统为中心，将目前已建成的政务机房、xxx外网、政务云计算、政务数据存储、政务数据灾备、政务短信、政务邮箱、GIS等政务资源系统进行整合和管理，形成标准统一的xxx公共资源池，并以标准化服务目录的方式，向部门提供“一站式”公共政务资源服务，并为经信委提供“一站式”xxx公共资源管理。系统总体框架 xxx市xxx公共平台服务管理与交付设计为“6+2”架构，“6”是指基础设施层、服务层、数据层、资源综合管理层、交付服务管理层、访问层，“2”是指信息安全和运维保障。具体如Error! Reference source not found.所示：支撑层：是运行环境支撑，同时也是服务管理与交付系统资源和动态分配资源的基础服务。数据层：是服务管理与交付系统的数据支撑，主要包括目录库、资源库、工单库和供应商库。服务层：是为服务管理与交付系统提供基础服务，主要包括日志管理、工作流管理、短信服务、邮件服务。资源综合管理层：是为整个xxx市xxx公共平台进行服务管理与交付的核心，提供对服务提供商、服务产品全生命周期的管理，并提供服务的统计分析等功能。服务交付管理层：是为市级政务部门和区县级政务部门提供一个统一的门户入口，可在统一门户上浏览服务目录、服务资源的申请、申请资源的管理等功能。访问层：系统的访问用户是市级政务部门和区县级政务部门。通过服务管理与交付，服务使用者可通过门户网站一站式申请所需的各类服务；服务管理者可通过服务管理与交付系统实时查看服务使用情况及服务容量，从而制定各类服务计划；服务提供者可根据服务运行状态进行服务维护及扩容，确保服务稳定运营，最终实现服务集中式管理和一站式服务。系统部署设计系统需要五种不同的服务器，即对外接口服务器、数据库服务器、应用及管理系统服务器、大数据分析服务器，以及Web服务器。这五种服务器可以根据系统容量的规模选择部署在单个或者多个服务器上。每一种服务器至少需要两台物理（或虚拟）主机，以确保设备的冗余备份。如果系统规模不大，为了节约资源，可以将多个服务部署在同一个服务器集群上。这样就实现了集中式和分布式两种不同需要的部署方式。系统的部署架构如下图所示，可以分为三层：接口层、应用层，以及服务层。 5.2.1接口层由一个或多个接口服务器组成集群，用于接收或者获取被管理资源服务系统的数据，同时也负责与其他认证或审核系统进行对接。接口服务器可支持多种标准接口协议，通过Web service、SNMP/SNMP Trap、Telnet、SSH、WMI、JMX、HTTP、JDBC、CORBA、ODBC、Syslog、开放API等多种方式实现数据的对接。 5.2.2应用层应用层有应用及管理服务器集群、数据库服务器集群，以及大数据分析服务器集群三红服务器组成，用于完成整个系统的所有核心业务逻辑的处理，并未前端的Web服务器层提供支撑。应用及管理服务器用于部署资源服务器管理系统、资源服务全生命周期管理系统、统一运维监控系统，以及系统维护管理系统。数据库服务器则为整个系统提供数据的统一存储和管理，同时通过双机备份的方式避免系统出现单点故障。数据分析服务器则用于完成大数据分析系统的所有功能，位系统提供大数据智能化分析挖掘能力。 5.2.3服务层服务层运用了先进的Web技术，为客户提供分角色、可视化的数据展现和管理功能。技术路线选择 xxx市xxx公共平台服务管理与交付系统是一个复杂的综合应用系统，针对系统的特点，我们在系统技术架构的选取上严格遵循低耦合高聚类的原则，选取了多种技术相结合的技术架构，从而做到各个子系统的相对独立，最终形成高稳定性、高扩展性、高并发及高性能的分布式综合系统。 5.3.1前端业务系统的技术架构前端系统使用业界成熟的MVC结构，将模型、视图、逻辑进行分离的模式，整个系统结构清晰分层明确。MVC结构如下图： Model View Controller Dispatcher Routes Web server 前端系统使用B/S模式实现，B/S模式下用户仅需通过浏览器访问服务器地址即可进入系统，无需安装客户端服务端部署仅需一次。升级维护也仅需要对服务端进行维护，是交互式应用系统的理想选择。B/S架构的系统如下优点： Ø 耦合性低视图层和业务层分离，这样就允许更改视图层代码而不用重新编译模型和控制器代码，同样，一个应用的业务流程或者业务规则的改变只需要改动MVC的模型层即可。因为模型与控制器和视图相分离，所以很容易改变应用程序的数据层和业务规则。模型是自包含的，并且与控制器和视图相分离，所以很容易改变应用程序的数据层和业务规则。如果把进行数据库移植，只需改变模型即可。一旦正确的实现了模型，不管数据来自数据库或是LDAP服务器，视图将会正确的显示它们。由于运用MVC的应用程序的三个部件是相互独立，改变其中一个不会影响其它两个，所以依据这种设计思想能构造良好的松耦合的构件。 Ø 重用性高随着技术的不断进步，需要用越来越多的方式来访问应用程序。MVC模式允许使用各种不同样式的视图来访问同一个服务器端的代码，因为多个视图能共享一个模型，它包括任何WEB（HTTP）浏览器或者无线浏览器（wap）。由于模型返回的数据没有进行格式化，所以同样的构件能被不同的界面使用。 Ø 生命周期成本低 MVC使开发和维护用户接口的技术含量降低。 Ø 部署快使用MVC模式使开发时间得到相当大的缩减，它使程序员集中精力于业务逻辑，界面程序员集中精力于表现形式上。 Ø 可维护性高分离视图层和业务逻辑层也使得WEB应用更易于维护和修改。 Ø 有利软件工程化管理由于不同的层各司其职，每一层不同的应用具有某些相同的特征，有利于通过工程化、工具化管理程序代码。控制器也提供了一个好处，就是可以使用控制器来联接不同的模型和视图去完成用户的需求，这样控制器可以为构造应用程序提供强有力的手段。给定一些可重用的模型和视图，控制器可以根据用户的需求选择模型进行处理，然后选择视图将处理结果显示给用户。 5.3.2后台支撑系统的技术架构后台支撑系统采用了分布式子系统的技术架构，将整个系统分为了几个相对独立的子系统。各个子系统之间全部采用标准的接口方式进行通信和交互，从而保证了系统具有很强的可扩展性和很高的性能。系统基于面向服务的体系结构（SOA）进行设计，采用了接口即服务的设计理念，提供基于Http协议的REST以及SOAP协议的WebService接口，实现了通过接口方式对外提供标准规范的服务。 SOA是一种粗粒度、松耦合服务架构，服务之间通过简单、精确定义接口进行通讯，不涉及底层编程接口和通讯模型。SOA可以看作是B/S模型、XML（标准通用标记语言的子集）/Web Service技术之后的自然延伸。 SOA将能够帮助软件工程师们站在一个新的高度理解企业级架构中的各种组件的开发、部署形式，它将帮助企业系统架构者以更迅速、更可靠、更具重用性架构整个业务系统。较之以往，以SOA架构的系统能够更加从容地面对业务的急剧变化。 SOA架构具有如下优势： Ø SOA通过网络服务器发布，从而可以突破网络端口的限制。 Ø SOA与平台无关，减少了业务应用实现的限制。 Ø SOA具有低耦合性特点，增加和减少业务使用对象对整个业务系统的影响较低。 Ø SOA具有可按模块分阶段进行实施的优势。系统对接设计目标系统名称根据前期调研情况，初步确定需对接的系统包括：（一）基础设施运维系统（1）云计算中心：网神运维管理系统、虚拟化管理中心系统（2）机房设施：综合运维管理信息系统（3）数据存储和灾备：统一运维和管理系统（4）信息安全：xxx市信息安全监测平台（二）综合管理系统（1）综合管理平台系统（2）服务交付和运维监督系统（三）公共应用管理模块（1） xxx市xxx地理信息公共服务平台（2） xxx市移动政务应用支撑平台（3） xxx市信息安全监测与应急响应平台（4） xxx市移动政务应用支撑平台（5） xxx市政务数据交换平台（6） xxx市政务短信系统（7） xxx市政务邮箱/市民邮箱服务系统对接方案设计系统对接所传输的信息为数据和请求，根据大数据数据采集原则是通过数据采集接口收集各类数据，并将原始数据进行存储、整理、清洗后使用。接口可为不同的数据库系统、应用系统、专用中间件系统提供接入组件，通过对接口协议需求进行抽象，就可以和特定系统的交互。另外提供组件定制接口，可以方便、快速地添加具有新的功能的组件。接口需符合以下要求： Ø 数据加密，提高系统安全性； Ø 异常处理，创建和维持一个“消息异常处理器”的接口，它可以保存因为某种原因不能处理的消息，这些“异常”消息还可以被送回重新加以处理 Ø 易于维护，通过使应用松耦合或分离，使系统环境中的接口更容易维护。同时通过数据交换平台对外提供统一接口，屏蔽了单个系统内部的改变，可以很容易替换过时的应用。 Ø 可扩展，数据交换平台提供了大量的扩展接口，方便用户进行功能扩展。平台接口标准规范建设 xxx市xxx公共平台资源综合管理与服务交付系统的核心服务的集中管理和集中服务，需要与众多系统和平台进行对接和交互，同时也为大量的不同角色的用户提供服务，因此建设一套统一的标准规范体系，对平台的规范管理和长足发展都至关重要。统一管理接口通过与各基础设施IT资源自有的管理接口和管理功能，自动获取资源及其支撑系统运行和管理情况。 3.4应用功能设计主要应用功能包括：资源综合管理子系统、服务交付子系统和系统管理三个部分组成。 3.4.1资源综合管理通过建立标准服务目录管理、统一服务资源管理、统一运维监控管理、智能分析和服务、资源服务管理等，实现对现有各类xxx设施资源总量、状态、分配情况、使用情况、运维情况的可视化管理，同时对各资源服务进行全过程管理和监控，并对资源运行、管理、应用和监控等信息进行智能化分析。 3.4.1.1 资源服务目录管理根据资源服务目录体系建设要求，对资源服务进行体系化、规范化、可视化管理，建成标准规范且满足xxx公共平台管理和资源服务交付需求的资源服务目录。主要功能包括：资源目录树管理、服务目录项管理等。图： 3.4.1.1.2 资源目录树管理能够根据xxx公共平台建设和管理实际情况，随时对服务目录树进行动态调整，包括新增、修改、停止、删除等功能，对目录树操作不影响目录树下的具体服务项。（1）目录树设计按树形结构，构建服务目录树，目录树主要包括：服务类型（基础设施类、软件类、咨询服务类）、服务子类-基础设施类（政务机房、云计算、存储、灾备等）（2）目录树维护能够对目录数据进行可视化、拖拽式管理，随时对目录树结构、内容进行调整，可根据需要对目录树各项内容进行新增、修改、停止、删除等操作。（2）目录树发布任何目录树的新增、维护操作都需经过经信委主管处室审核后方可发布。 3.4.1.1.2 服务子项管理能够根据xxx公共平台建设和管理实际情况，在服务目录树的框架下，随时对具体服务项进行调整和维护。主要包括服务项录入/新增、服务项审核、服务项维护、服务项停用。（1）服务项录入按服务项规范格式，实现新增服务项及其相关要素的录入。（2）服务项修改能够随时对各服务项名称、内容描述、服务水平、应用范围等内容进行修改，实现服务项动态管理。（3）服务项停用能够对任意服务项进行停用。 3.4.1.2统一服务资源管理通过建立标准、统一的政务资源管理中心，实现各服务资源集中化、可视化管理和监控。 3.4.1.2.1服务资源池分类按xxx公共平台服务和建设特点，将公共平台资源池分基础物理资源池、计算资源池、存储资源池、灾备资源池、网络资源池、支撑软件资源池、公共应用资源池、技术服务资源池等。 3.4.1.2.2服务资源池管理将云计算、数据存储和灾备以及机房、xxx外网、GIS、政务数据交换、CA、政务短信、政务邮箱等资源进行集中管理和监控，提供一站式资源管理和监控服务，随时掌握xxx公共平台各类资源情况。 3.4.1.2.2.1 服务资源整合根据当前各类资源建设情况和特点，服务资源整合拟按两种类型进行整合，形成各类资源池。（一）针对云计算平台、政务数据存储与灾备平台等具备在线资源监控的基础设施，以数据接口的方式直接从其管理中心系统或运维管理系统中资源总量、设备清单、运行状态、使用情况等信息。（二）针对机房、xxx外网、GIS、政务数据交换、CA、政务短信、政务邮箱等资源，由管理单位对资源使用情况及时录入系统，资源状态通过对口的方式直接读取该系统运行情况数据。通过以上两种方式，将各类资源池总量、使用情况、运行状态等信息进行统一整合，构建虚拟的xxx公共平台资源池，让平台各方能够及时了解平台资源池建设、使用和运行情况。 3.4.1.2.2.2 服务资源管理将整合的各类资源进行分类管理，形成不同的资源池，并能够实时监控各资源池里面的资源情况。 3.4.1.2.2.3 服务资源调度通过API与政务计算系统对接，试点实施政务云计算标准服务单位自助交付以及资源在线、自动调度。（1）标准计算单位调度。通过云计算虚拟机主机模板，实现主机自动生成、自动配置，并动态新增CPU、内存、存储等资源；（2）根据应用实际资源使用情况，能够实现自动资源调度功能。 3.4.1.2.3服务资源池监控能够对资源池及其相关支撑系统进行全面监控，包括资源池总量、资源分配情况、资源实际使用情况以及各资源相关支撑系统设备运行情况。（1）资源池监控。主要对资源池内的各类资源进行实时监控，实时了解资源池内各资源总量、资源状态等情况；（2）资源状态监控。对用户单位申请的资源进行动态监控，实时了解其资源实际使用情况。 3.4.1.3 统一运维监控管理将目前已建成的机房、xxx外网、云计算、数据存储和灾备以及公共应用等分散在不同建设单位或不同服务提供商的运维监控系统进行整合，构建虚拟xxx公共平台统一运维监控系统，实现对公共平台所有设备设施以及系统运行状态和运维情况监控，及时全面掌握xxx公共平台运行和维护情况，健全公共平台各设备设施服务和管理水平。主要功能包括：设备设施运维监控、公共应用、运维管理监控、资产管理、配置管理、机房定位管理、服务级别管理、运维辅助决策、综合分析报表等。 3.4.1.3.1统一运行监控将目前政务机房、xxx外网、政务云计算中心、政务数据存储与灾备等基础设施以及各类公共应用系统管理、运维系统等运行监控信息进行汇集，实现xxx公共平台统一运行监控，全面掌握整个平台各子系统运行情况。主要功能包括：数据采集引擎（1）数据采集引擎通过SNMP、log日志、agent等多种方式和手段，对各类设备设施运维和管理系统对接，对数据格式进行标准化转换，采集相关设备设施及系统运行数据。（2）关联分析引擎将从各方动态采集的运行监控数据进行关联分析，及时对相关事件、资源进行预测预警，方便做出提前准备。（3）统一监控管理将公共平台各子系统运行监控情况进行集中管理，对平台机房、网络、计算、存储、灾备、公共应用以及部门托管或部署的各类应用系统以拓扑图、机房地图、仪表盘等多种可视化管理方式，实现对各类设施资源统一监控管理。 3.4.1.3.2运维管理监控将xxx公共平台各资源建设单位或服务提供的单位运维管理信息进行整合，动态监测运维管理过程及情况，包括事件、资产、配置等 3.4.1.3.1.1事件中心管理将平台各资源系统运维信息进行汇集，实现xxx公共平台所有事件集中管理，使平台管理方能够及时对整个平台运维事件情况了解和掌握，并为后期提升运维水平提供趋势分析决策。 3.4.1.3.1.2统一资产管理将平台各资源支撑系统资源进行统一管理，为运行监控、服务资源等提供支撑。 3.4.1.3.1.3统一配置管理将所有设备设施以及软件系统配置信息进行统一管理，为日常运维工作提供配置管理工具，为应急处置、服务变更等提供决策。 3.4.1.3.1.4机房定位管理将政务机房服务资源进行可视化管理，以机房、机柜为单位，对机房内部署的设备设施进行精确定位和可视化管理。采用三维机房或2维机柜模拟图等方式展展现。 3.4.1.3.3服务级别管理将平台各资源运维服务级别信息进行整合，实现运维级别的管理和维护，及时掌握各项运维工作的服务级别。 3.4.1.3.4运维辅助决策将平台事件、运行监控、运维管理、服务级别等信息进行综合分析，为完善和提升运维水平提高决策依据，为管理单位或用户单位提供有价值的预测分析报告。 3.4.1.3.5综合分析报表能够按标准报告或自定义等多种方式，对平台运维情况进行多维度、多角度统计分析。 3.4.1.4智能分析和服务将公共平台运维监控、运维管理、信息安全以及系统运行等信息数据进行综合关联分析，对各类运维和安全事件提前预警预测，为提升公共平台建设、管理和服务的提升提供决策依据。 3.4.1.5 服务过程管理以平台各资源建设项目为基础，对平台类各资源服务进行全过程管理，实现项目管理、服务内容管理、经费管理、文档管理等全过程自动化、智能化管理，提升服务项目管理水平和效率，更好的为部门提供服务做好决策支撑。包括项目管理、服务过程管理、经费管理、文档管理等（1）项目管理通过与经信委综合管理平台中的项目管理进行对接，将公共平台相关项目进行导入本系统，实现项目管理信息同步管理。（2）服务过程管理按项目分类，将各项目中向部门提供的资源服务全过程信息进行管理，包括服务申报、审核、资源准备、实施、测试、交付、运行、变更、终止等服务全生命周期进行管理。（3）服务经费管理以项目为基础，将项目中向部门提供的资源按照费用结算方式，结合服务过程管理，实现第三方服务商费用自动计算和管理。（4）服务文档管理将项目管理及服务过程管理全过程文档按响应节点进行管理。 3.4.2服务交付管理服务交付管理是为市级政务部门和区县级政务部门提供统一的web访问门户，系统提供的标准服务目录、服务解决方案、咨询服务等，政务部门注册用户后可申请服务资源，对申请成功的资源可以进行管理及监控。 3.4.2.1 统一门户 3.4.2.1.1服务资源将xxx公共平台提供的各类资源，以服务目录形势集中展示，各服务使用单位能够清晰、及时、全面的了解xxx公共平台能够提供哪些资源服务。 3.4.2.1.2新闻动态向平台建设、管理、使用单位和部门提供统一平台建设、应用等动态信息发布、查阅通道，及时向各单体提供各类动态信息发布，起到了解。 3.4.2.1.3沟通交流提供服务资源申请相关的问题电话咨询服务、在线咨询服务，后台管理人员对咨询问题进行即时答复。 3.4.2.1.4技术支持提供帮助文档下载、技术论坛支撑、一般技术问题解答案例等帮助信息。 3.4.2.1.5注册登陆政务部门可在门户网站注册账号，审核通过后可进行服务资源的申请、管理等操作。 3.4.2.1.6通知通告在网站发布平台的通知通告，并以短信、邮件等形式通知平台用户。 3.4.2.1.7故障申报平台用户申请的服务资源出现故障问题时，可发起故障申报，后台管理人员对故障进行排查及及时回复处置结果或以短信形式通知故障排除结果。 3.4.2.2 管理控制台 3.4.2.2.1 账号管理注册用户可以对自己账号的基本信息进行维护，如联系人、手机号码（该手机号码用户接收平台推送的提醒信息）、邮件、登陆密码等相关信息。 3.4.2.2.2 运行管理用户可在控制台中实时查看从公共平台中获取的各类资源运行情况，包括资源/服务数量、运行情况、使用情况、预警信息以及安全信息情况，并可就具体服务进行故障申报、技术咨询等。 3.4.2.2.3 工单管理工单包括资源申请单、故障申报单、咨询服务单等，主要包括申请的状态、审核进度等情况（审核流程在经信委综管平台进行）。 3.4.2.2.4 消息中心平台推送给用户单位的各类通知通告、预警告警、问卷调查等信息，并能通过短信提醒用户。 3.4.2.2.5 服务评价用户可对每一项服务进行评价。 3.4.2.3服务交付 3.4.2.3.1交付资源管理用户能够对公共平台提供的各类资源服务的全生命周期管理，包括申请、实施、测试、交付、变更、状态等过程、资源、文档等进行管理。 3.4.2.3.2交付资源监控用户能够实时查看公共平台提供的各项服务运行及使用情况。 3.4.2.4 流程管理通过构建可配置、可自定义的流程管理工具，实现配置管理、事件管理、问题管理、变更管理、服务级别管理等管理流程。 3.5日常工作管理包括文档管理、配置管理、系统管理（包括用户管理、功能管理、内容维护等功能。）、安全管理、用户单位管理、供应商管理、预案管理、值班管理、接口管理（统一管理与各服务供应商相关管理、运维、监控系统的对接接口管理） 3.5.1系统管理（1）用户及权限管理对系统用户进行管理，包括新增、修改密码等，同时配置权限；（2）接口管理统一管理与各服务供应商相关管理、运维、监控系统的对接接口管理，能够对接口进行后台配置。（3）功能管理对系统各项功能进行管理（4）网站版面管理对网站版面进行管理和维护（5）网站内容管理对网站内容进行更新和维护（6）流程配置对系统中的各类流程进行配置管理 3.5.2服务商信息管理将公共平台各服务建设单位、服务供应商、运维单位信息录入系统，进行统一管理。包括新增、修改、删除等， 3.5.3用户单位信息管理将平台各用户进行分级、分类管理。 3.5.4值班管理将各值班人员安排信息录入系统进行管理。 3.5.5应急管理包括电子应急预案、应急资源管理、应急处置管理、应急事件管理等。 3.6支撑系统设计本系统作为公共平台管理和服务中心系统，需确保系统稳定、可靠且、安全且具备能够访问各类基础设施以及各服务供应单位、托管至政务机房的各类信息系统。 3.6.1 基础物理环境基础物理环境拟利用政务集中机房核心网络管理区构建，满足平台各设备设施运行所需的物理环境 3.6.2 基础支撑环境基础支撑环境主要包括服务器主机、数据存储、数据备份、基础网络等 3.6.2.1服务器主机考虑本系统为xxx公共平台中心管理和服务系统，系统需对接各类网络管理、机房设施管理、托管至机房的信息系统、其他服务提供商的专网系统，以及系统本身安全性需求，因此拟通过建立独立计算支撑平台，运维本系统各类应用。服务器主机主要包括：数据库服务器、应用服务器和前置交换服务器种类型。（1）数据库服务器。拟采购4台高性能数据库服务器，用于系统数据库运行和数据分析服务。建议配置如下： CPU: 4颗Intel Xeon E7-4809v2 / 128GB 1600MHz RDIMM内存 / 3块300GB 10K 2.5英寸SAS硬盘 / PERC H730P Raid卡，2GB缓存 / 双端口千兆+双端口万兆网卡 / DVD光驱 / 冗余电源 / 导轨 / 3年品质保证。（2）应用服务器。拟采购4台应用服务器，其中2台用于门户网站应用部署，2台用于资源管理监控和交付应用部署，均采用集群方式部署。建议配置如下： CPU：4颗Intel Xeon E5-4607v2 / 32GB 1600MHz RDIMM内存 / 3块300GB 10K 2.5英寸SAS硬盘 / PERC H710 Raid卡，512MB缓存 / 四端口千兆网卡 / DVD光驱 / 冗余电源 / 导轨 / 3年品质保证。（3）前置交换服务器。拟采购2台普通服务器，用于与各运维系统以及服务提供方管理系统进行实时数据交换。建议配置如下： CPU: 2颗Intel Xeon E5-2609v3 / 16GB 1600MHz RDIMM内存 / 4块2TB 7.2K 3.5英寸NL-SAS硬盘 / PERC H730P Raid卡，2GB缓存 / 四端口千兆网卡 / DVD光驱 / 冗余电源 / 导轨导轨 / 3年品质保证。 3.6.2.2数据存储与备份拟采用存储区域专网（SAN）的方式，利用现有存储与灾备设备，实现数据集中存储和备份。 3.6.2.3支撑网络系统充分利用政务集中机房内的网络设备，通过xxx外网虚拟机专网，构建专用管理网络，与基础管理系统、设备以及其他服务提供商的运维、管理系统对接。 3.6.2.4信息安全系统充分利用xxx外网已有安全，配套信息安全监测平台远程检测、安全服务等构建本系统安全体系，按等级保护三级构建。 3.6.2.5支撑软件选型（1）操作系统：拟采用国产安全可靠LIUNX系统（服务器版）（2）数据库:拟采用MY-SQL（服务器版）（3）中间件:东方通t-longq t-web 3.6.3支撑应用环境拟采用政务邮箱、政务短信、CA身份认证等系统实现与用户之间交付，以及系统通知等功能。 3.7 安全保障设计系统拟参照等保三级系统，构建信息安全防护体系，从技术、运维和管理三个层面对本系统进行综合的安全体系构建。 3.7.1基础安全本系统拟利用xxx市xxx外网信息安全监测和应急响应平台已部署的设备设施和安全服务，实现本系统安全建设和管理服务。 3.7.1 物理安全防护系统部署拟部署在政务集中机房内人，依托目前机房现有的物理环境实现系统物理安全防护。 3.7.2 网络安全防护系统部署在xxx外网，利用目前已有的网络防火墙、应用防火墙、抗DDOS、VPN、病毒防御系统、入侵检测系统等网络安全设备和信息安全监测平台服务，实现本系统网络安全防护。 3.7.3主机安全防护充分利用已有的堡垒机、防病毒软件和信息安全监测平台检查和监测服务，实现本系统主机安全 3.7.4数据安全防护利用已有的数据库审计系统、数据备份服务，对本系统数据库和重要数据信息进行安全保护，确保数据信息安全。 3.7.2应用安全应用级安全是指在应用层上保证本系统各应用子系统的信息安全。应用层的信息安全是面向用户和应用程序的，采用身份认证、授权管理、应用审计以及信息加解密作为基本手段，并可根据具体应用系统的实际需求提供灵活而可靠的信息安全。 3.7.2.1安全权限（1）数据安全管理系统内部的数据均需要设定安全访问级别，数据中间件层通过数据请求的安全属性决定是否符合数据的安全级别，同时应用层也针对数据的安全级别制定对应的展示安全控制，确保数据的安全性从存储到访问，再到展示都有严格管理。系统应该支持数据安全性不符时的告警功能。（2）授权管理提供对平台资源服务的访问权限管理，实现对不同的业务开放不同的权限控制，提高系统对资源的安全性和可控制性。资源授权管理支持按照委办局组织机构、用户账号、角色等多种方式进行授权管理。（3）认证管理提供对系统访问的统一认证管理，支持SSO单点登录方式。对访问的账号信息、集成对接的政务信息化系统的服务器信息、证书信息等方式进行认证，提高政务信息资源的访问安全性。 3.7.2.2身份识别身份识别指提供专用的登录控制模块对登录用户进行身份标识和鉴别，确认用户身份唯一性，提供登录失败处理机制，并可根据不同策略配置安全参数。拟复用四川ca认证管理中心为xxx市会议管理信息系统发放的259个KEY，实现部门用户安全认证。 3.7.2.3访问控制访问控制指根据安全策略，控制用户对系统功能、文件、数据库表的访问，可根据不同用户授予不同级别的权限。 3.7.2.4传输加密加密传输是指利用加密传输系统提供可靠的端到端加密服务，以保证数据的完整性、防窃取、防抵赖。具体涉及到诸如加密、解密、数字签名、密钥对产生、信息摘要、随机数产生等基本安全服务。 3.7.2.5应用审计应用系统和数据的安全是重中之重，而通过应用系统直接进行入侵，对数据进行窃取、破坏，造成的影响可能比其他都要严重，因此，确保应用系统及数据的安全是本整个应用安全平台必须考虑的问题。应用审计系统负责应用级行为的记录、分析和管理，它可以使系统管理员更好、更准确地了解和掌握应用系统运行情况，及时发现并解决出现的异常情况。 3.7.2.6安全加固建立整体的安全威胁模型，对web访问存在的溢出漏洞、信息泄漏、错误处理、跨站漏洞、SQL 注入等安全漏洞进行及时更新处理。通过加载安全组件包，对web访问的非法连接、恶意扫描、注入信息等按照安全规则进行有效拦截，保障应用平台安全稳定运行。 3.7.2.7数据库安全系统的数据库安全保护除尽量避免由于客观因素，如断电、火灾所造成的物理整性破坏外，设计一个好的数据库结构也是一个重要的关键，如对一个字段的修改不至于影响其它字段以保持逻辑完整性、定期数据库备份以及设置一个合理的数据库权限管理等。现有的系统还采取了设置应用中间件的策略，保证用户不能直接访问中心数据库，这样对数据库的安全能起到相当好的保护作用。充分利用已部署的数据库审计系统，加强数据审计，及时发现安全事件。 3.7.3管理安全按照信息安全等级保护要求，信息安全管理体系包括；制定管理制度、设置安全管理机构、人员安全管理、系统建设管理、系统运维管理等5个方面。 3.7.3.1制定管理制度按照国家相关信息安全标准规范要求及成熟信息安全管理方法论，建立符合xxx市xxx公共平台资源综合管理与服务交付系统安全管理需求的管理制度，主要包括安全策略、管理制度、操作规程等，构成全面的信息安全管理制度体系。（1）安全策略安全策略根据组织机构的风险及安全目标制定的行动策略即为安全策略。安全策略通常建立在授权的基础之上，未经适当授权的实体，信息不可以给予、不被访问、不允许引用、任何资源也不得使用。按照授权的性质，安全策略分为如下几个方面：基于身份的安全策略、基于规则的安全策略、基于角色的安全策略。（2）管理制度 Ø 人员管理制度 Ø 安全巡检制度 Ø 信息系统密码口令管理制度 Ø 机房管理制度 Ø 设备管理制度 Ø 设备巡检制度 Ø 信息安全事件上报/处理制度 Ø 系统监测/检查管理制度 Ø 业务连续性管理制度（3）操作规程 Ø 信息安全基线 Ø 设备巡检流程 Ø 信息安全事件处理流程 Ø 设备检修流程 Ø 信息安全事件应急处置流程 Ø 人员离岗信息清除流程 3.7.3.2安全管理机构成立专门的信息安全管理机构，配备系统管理人员、网络管理人员、安全管理员等，其中安全管理员应为专职，关键事物岗位应配备多人共同管理。 3.7.3.3人员安全管理建立规范人员安全管理机制，对人员录用进行严格审查，并签署保密协议，人员离职或转岗应办理严格的离职/转岗手续，包括终止/修改授权、相关设备设施、关键数据清理等，定期开展信息安全专业人员培训，定期对在岗人员进行安全技能和知识考核，严格执行外部人员访问受控区域制定。 3.7.3.4系统建设管理遵循与信息系统同步规划、同步设计、同步实施和同步运维原则，在系统规划设计之初应明确信息安全等级，根据定级情况进行信息系统安全规划、设计、实施、测试、验收和运行。信息安全建设应贯穿信息系统全生命周期。 3.7.3.5系统运维管理 xxx市xxx公共平台资源综合管理与服务交付系统运维管理建议在信息安全等级保护总体要求下，参照ITSS标准结合系统实际开展信息系统运维管理。 2 项目预算序号项目名称设备及软件单价（万元）数量总价（万元）一、基础支撑平台建设　 1 服务器数据库服务器 2 应用服务器 4 前置服务器 2 2 支撑软件 Liunx 8 数据库 2 　 IT服务管理软件(流程管理) 1 　 SOA中间件 1 二、应用系统建设 0 　　资源综合管理 1 服务交付管理 1 日常工作管理 1 　　系统对接　项目建设合计　三、项目实施与管理　 1 项目监理费用按项目建设费用3%以内计算 2 项目测评费用按项目建设费用3%以内计算项目总预算

展开阅读全文