政務云平臺建設方案

1、政務云平臺建設方案 TOC o 1-5 h z 一、項目背景4二、項目內(nèi)容4三、需執(zhí)行的國家相關標準、行業(yè)標準、地方標準或者其他標準、規(guī)范等.5四、建設目標6五、建設原則6六、云服務需求量清單8七、技術要求10 HYPERLINK l bookmark4 o Current Document 1基礎資源要求10 HYPERLINK l bookmark6 o Current Document 1.1專用IDC機房10 HYPERLINK l bookmark12 o Current Document 1.2政務云平臺11 HYPERLINK l bookmark18 o Current Doc

2、ument 云資源服務要求12 HYPERLINK l bookmark20 o Current Document 2.1彈性云主機服務12 HYPERLINK l bookmark22 o Current Document 2.2彈性云便盤服務13 HYPERLINK l bookmark24 o Current Document 2.3對象存儲服務(OBS) 14 HYPERLINK l bookmark26 o Current Document 2.4虛擬私有網(wǎng)絡服務14 HYPERLINK l bookmark28 o Current Document 2.5彈性負載均衡服務(ELB)

3、 16 HYPERLINK l bookmark30 o Current Document 2.6云數(shù)據(jù)庫服務17 HYPERLINK l bookmark32 o Current Document 2.7大數(shù)據(jù)服務18 HYPERLINK l bookmark34 o Current Document 云管理平臺要求194安全服務技術要求21 HYPERLINK l bookmark36 o Current Document 4.1云安全管理平臺22 HYPERLINK l bookmark38 o Current Document 4.2云防火墻23 HYPERLINK l bookmar

4、k40 o Current Document 4.3入侵防御IPS26 HYPERLINK l bookmark42 o Current Document 4.4 Web應用防火墻27 HYPERLINK l bookmark44 o Current Document 4.5數(shù)據(jù)庫審計29 HYPERLINK l bookmark46 o Current Document 4.6日志審計30 HYPERLINK l bookmark48 o Current Document 4.7云堡壘機32 HYPERLINK l bookmark50 o Current Document 4.8主機安全3

5、4 HYPERLINK l bookmark52 o Current Document 4.9漏洞掃描36 HYPERLINK l bookmark54 o Current Document 4.10 SSLVPN38 HYPERLINK l bookmark56 o Current Document 4.11態(tài)勢感知39 HYPERLINK l bookmark58 o Current Document 5應用改造及遷移要求41 HYPERLINK l bookmark64 o Current Document 5.1遷移工具要求425.2服務地點445.3服務內(nèi)容445.4遷移范圍455.

6、5遷移職責456應用等保測評要求466.1服務內(nèi)容466.2服務范圍47一、項目背景根據(jù)國務院關于同意浙江省調整杭州市部分行政區(qū)劃的批復 （國函（2021） 29號）精神，自2021年4月,杭州行政區(qū)進行調整， 撤銷杭州市余杭區(qū)，設立新的杭州市余杭區(qū)、杭州市臨平區(qū)。臨平區(qū) 需新建政務云平臺，將臨平區(qū)各政務部門已有的信息系統(tǒng)平滑遷移到 該政務云平臺上，同時為后續(xù)數(shù)字化改革應用系統(tǒng)提供云資源服務。 本次新建政務云平臺需嚴格按照等保2.0、政務云安全標準建設，切 實保障平臺及應用系統(tǒng)的安全穩(wěn)定運行。為貫徹落實2019年浙江省深化“最多跑一次”改革推進政府數(shù) 字化轉型工作要點的通知（浙政辦發(fā)（2019

7、） 17號、浙江省“城 市大腦”建設應用行動計劃方案（浙數(shù)辦發(fā)（2019）13號）浙江 省數(shù)字化改革總體方案文件精神，充分利用政務云資源，提供大數(shù) 據(jù)等新型云計算能力，深化臨平區(qū)數(shù)字化改革，為臨平區(qū)一體化智能 化公共數(shù)據(jù)平臺提供穩(wěn)定、可靠、優(yōu)質的云資源平臺和服務，推進區(qū) 級治理體系和治理能力現(xiàn)代化，打造“整體智治、唯實惟先”的現(xiàn)代 政府。二、項目內(nèi)容主要的建設任務有：1、建設智慧政務的機房和網(wǎng)絡基礎設施建設智慧政務云的相關基礎設施物理機房，包括網(wǎng)絡承載和安全 管控、基礎網(wǎng)絡管理與網(wǎng)絡覆蓋，同時在網(wǎng)絡建設過程中關注網(wǎng)絡安 全。2、建設技術先進、安全可靠的云平臺集約化建設綠色環(huán)保、低成本、高效率、

8、基于云計算的基礎設施 及平臺，有效促進各種資源整合，由平臺統(tǒng)一為政府部門提供資源、 安全、運維和管理服務；建設云平臺在橫向協(xié)同、縱向聯(lián)動上的應用 支撐能力，兼顧“經(jīng)濟”和“安全”，滿足用戶敏感、私密等信息存 儲應用的需要，避免盲目建設和重復投資。3、建立云安全保護體系，保障云平臺安全根據(jù)網(wǎng)絡安全等級保護安全設計技術要求MGB/T 25070-2019), 從安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境和安 全管理中心等方面進行設計，構建滿足等級保護三級要求的云平臺。4、政務應用改造及遷移，保障系統(tǒng)平滑遷移對部署在原政務云平臺上的政務應用進行改造，并將原有可遷移 的臨平區(qū)政務應用系統(tǒng)全

9、部遷移到新建云平臺上，保障系統(tǒng)平滑遷移, 降低對業(yè)務的影響。5、政務應用系統(tǒng)通過等保合規(guī)測評認證政務云平臺承載政務應用，關系到國計民生，信息系統(tǒng)受到破壞 后，會對社會秩序和公共利益造成嚴重損害，因此平臺上的應用系統(tǒng)， 根據(jù)定級要求完成相應等級的等保測評認證。三、需執(zhí)行的國家相關標準、行業(yè)標準、地方標準或者其他 標準、規(guī)范等電子信息系統(tǒng)機房設計規(guī)范(GB50174-2008)云計算基礎設施工程技術標準(GB/T 51399-2019)信息安全技術網(wǎng)絡安全等級保護基本要求(GB/T 22239-2019)四、建設目標本項目主要建設目標是為臨平區(qū)政務信息化系統(tǒng)提供應用部署 所需云資源，并且相應云資源

10、需按照云服務方式提供。主要服務內(nèi)容 包括：1、云資源主要服務內(nèi)容：1）彈性云主機服務，2）彈性云硬盤服 務，3）對象存儲服務，4）虛擬私有網(wǎng)絡服務，5）彈性負載均衡服 務，6）云數(shù)據(jù)庫服務，7）大數(shù)據(jù)服務，8）云管平臺服務，9）云安 全服務；服務期自云平臺驗收通過之日起3年。2、應用改造及遷移服務；10月31日前完成應用改造及遷移。3、應用系統(tǒng)等保測評服務；11月30日前完成應用系統(tǒng)等保測 評并通過認證。五、建設原則（-）完整性云基礎設施的建設應從全局出發(fā)、從長遠的角度考慮，統(tǒng)籌規(guī)劃 和統(tǒng)一設計系統(tǒng)結構，提供體系完備、功能完整、企業(yè)級信息架構全 覆蓋的服務能力。云計算平臺不僅要滿足單節(jié)點云服務

11、的互聯(lián)互通, 還要滿足多節(jié)點之間的數(shù)據(jù)同步、任務調度和統(tǒng)一運維管理。（二）成熟性云基礎設施的建設應采用成熟的架構和體系。云計算平臺應采用 先進的設計思想和方法，符合技術發(fā)展趨勢。云計算平臺既可以適應 地理環(huán)境、應用場景、運維能力以及投資規(guī)模等客觀因素，又可以靈 活地配置云服務種類和硬件、網(wǎng)絡，具有較高的性價比，滿足業(yè)務管 理的需求。同時，云計算平臺應該經(jīng)受過高并發(fā)、高可靠的實踐驗證， 確保采用的技術體系是經(jīng)過更大的適用范圍驗證過的。（三）擴展性云基礎設施的建設應具備一定的擴展性。云計算平臺的資源能夠 快速、彈性和自動化地供應，從而提供持續(xù)的云服務能力。云計算平 臺應提供大規(guī)模、分布式集群的管控

12、能力，通過增加物理設備，實現(xiàn) 總體網(wǎng)絡資源、計算/存儲資源、內(nèi)存資源和數(shù)據(jù)庫資源的自動擴展。（四）可維護性可維護性是今后項目能否長期穩(wěn)定運行的基礎，是項目成功與 否的重要保障。任何軟、硬件系統(tǒng)都有可能出現(xiàn)故障，很容易或很 方便地排除故障是在信息規(guī)劃時首要考慮的重要因素。（五）可遷移性云平臺投入使用后，各政務部門已有的信息系統(tǒng)需要平滑的遷 移到云平臺上，以實現(xiàn)各業(yè)務系統(tǒng)的數(shù)據(jù)互通共享。在業(yè)務遷移的 過程中要求保證業(yè)務連續(xù)性和遷移數(shù)據(jù)的高可靠性，要求遵循數(shù)據(jù) 安全性、業(yè)務連續(xù)性、遷移高效性、系統(tǒng)兼容性的遷移設計原則， 設計基于云平臺數(shù)據(jù)中心的集成業(yè)務遷移方案，最大程度縮短業(yè)務 中斷時間，確保應用系

13、統(tǒng)平穩(wěn)、安全地遷移到云平臺上。（六）安全性云平臺作為政務應用的承載體，嚴格按照等保2.0、政務云安 全建設標準等國家及行業(yè)安全標準規(guī)范設計建設，遵照各級保密法律法規(guī)，并采用相關的軟件技術提供完善的管理機制、控制手段和 事故監(jiān)控與安全保密等切實有效的措施，確保系統(tǒng)安全穩(wěn)定運行。六、云服務需求量清單6.1云服務需求量清單類型規(guī)格第-年使用量第-年使用量第三年使用量云主機4C16G3584485608C16G961201508C32G9011214016C64G405063塊存儲一高效云盤以GB為單位412672516096645120塊存儲一SSD盤以GB為單位204802560032000對象存

14、儲以GB為單位92160105472121856專有網(wǎng)絡(VPC)根據(jù)VPC個數(shù)按月計費100100100負載均衡實例584730913性能共享型150188234數(shù)據(jù)庫16C64G1416188C16G1416184C8G505868數(shù)據(jù)盤，以GB為單位460805324861440大數(shù)據(jù)計算服務實例開通CU數(shù)：CU432432432存儲容量：GB471044710447104云管理服務云資源綜合管理平臺111態(tài)勢感知規(guī)格：1個虛擬機實例584730913系統(tǒng)安全服務等保二級安全服務112141177等保三級安全服務384758云主機安全防護根據(jù)受保護的虛擬機個數(shù) 按月計費，默認隨ECS起

15、開通，規(guī)格：1個虛擬機實 例584730913互聯(lián)網(wǎng)岀口（雙路由）以100M為單位（2*10G專線）100100100互聯(lián)網(wǎng)IP地址標準IP地址或互聯(lián)地址300300300專線鏈路服務 費政務云外網(wǎng)至專有云互聯(lián)服務：2*10G專線333平臺運維服務負責提供云技術咨詢和方 案優(yōu)化，配合使用單位完成 應用系統(tǒng)上線、下線和遷移 工作。111平臺等保測評平臺等保2. 0測評服務111備注：實際使用量在計劃使用量20%范圍以內(nèi)的，年云服務費 用按投標時的報價正常支付；超出使用量20%范圍以外的，應按照 如下方式進行補充結算：刀云服務價格*| （丨實際使用量/計劃使用量 -11-20%） |0 （丨為絕對

16、值，丨丨為雙絕對值）七、技術要求基礎資源要求1專用IDC機房供應商應為“臨平區(qū)政務云”提供專用IDC機房，具體要求見下表:指標項規(guī)格要求備注建設標準國際機房建設標準ANSI/TIA-942 Tier2及以上標準建 造。機房地點需提供機房地點，機房須建在臨平區(qū)。機柜標準機柜尺寸為600X 1200X2200mm, 42U以上標準機柜。機柜功率滿足5KW及以上要求。每個機柜配置雙路PDUo服務器托管設立服務器托管區(qū)域，為物理服務器提供托管服務，至 少提供5個及以上機柜空間，需單獨配置網(wǎng)閘、防火墻 各2臺，用于托管區(qū)的網(wǎng)絡安全防護控制。防火墻參數(shù)要求：吞吐量50G,并發(fā)連接1200萬，應 用層吞吐量

17、40G,每秒新建連接36萬，4個千兆光口，4 個萬兆光口；網(wǎng)閘參數(shù)要求：吞吐量N 9Gbps ；內(nèi)網(wǎng)6個 10/100/1000M電口，4個SFP插槽,4個SFP+插槽;外網(wǎng)6 個 10/100/1000M 電口，4 個 SFP 插槽，4 個 SFP+插槽； 整機最大并發(fā)60萬,交互延時小于1ms,支持視頻并發(fā) （D1 畫質,2Mbps） 1500 路。動力保障2路10KV市電。釆用2N或N+1冗余的UPS供電，確保供電安全。機柜列頭釆用專用精密配電柜，配備浪涌保護器(SPD) 電源監(jiān)控和報警裝置并接入動環(huán)監(jiān)控系統(tǒng)統(tǒng)一監(jiān)控?？照{系統(tǒng)機房專用恒溫恒濕專用空調?？照{主機溫度232C,相對濕度：30

18、%70%。消防系統(tǒng)七氟丙烷無管網(wǎng)消防系統(tǒng)，保障機房運行安全。網(wǎng)絡資源具備可與臨平區(qū)政務外網(wǎng)相對接的網(wǎng)絡環(huán)境，能提供政 務專用網(wǎng)絡；政務云機房與區(qū)政務外網(wǎng)通過專線實現(xiàn)對 接互聯(lián)，保障政務網(wǎng)網(wǎng)絡穩(wěn)定?；ヂ?lián)網(wǎng)出口提供中國移動、中國電信、中國聯(lián)通線路接入支持。1. 2政務云平臺供應商應為臨平區(qū)政務云平臺項目提供專用的政務云平臺，具體要求見下表:指標項指標要求備注開放性為保障云平臺的開放性，云平臺軟件提供商或云服務商提 供的云平臺要求基于OpenStack架構,需提供社區(qū)官方證明。采用基于Linux內(nèi)核的KVM服務器虛擬化技術構建底層平 臺，具有標準的對外接口，服務器虛擬化可以隨著Host OS 的升級

19、而升級。兼容性所投云平臺需同時兼容X86架構與ARM架構的服務器。所投云平臺需支持常用windows linux以及國產(chǎn)麒麟、統(tǒng) 信等操作系統(tǒng)?？煽啃运对破脚_管理節(jié)點需采用獨立部署，確保管理和業(yè)務資源相互隔離，管理節(jié)點和業(yè)務節(jié)點故障不會互相影響。所投云平臺控制節(jié)點三節(jié)點以上高可用，任意一個節(jié)點岀現(xiàn)故障均不會影響平臺使用。指標項指標要求備注所投云平臺關鍵組件支持主備或集群部署，不存在單點故 障，在網(wǎng)絡及節(jié)點掉電、故障時具備關鍵服務告警能力，并 通過云平臺高可用能力實現(xiàn)故障自動切換，保障管理業(yè)務不 中斷。為保證平臺的穩(wěn)定性，要求投標人所投云平臺廠商為 OpenStack社區(qū)白金會員，需提供社區(qū)官

20、方證明并加蓋所投 云平臺廠商公章。擴展性所投云平臺需支持橫向擴展能力，能夠支持節(jié)點規(guī)模的平滑 擴展，在存儲和計算壓力增大的情況下，可快速增加節(jié)點實 現(xiàn)平臺的擴展，擴容期間對業(yè)務無影響。為支持未來業(yè)務發(fā)展，所投云平臺單region支持不少于 2000計算節(jié)點平滑擴容能力，提供平滑擴容方案，擴容不影 響現(xiàn)有業(yè)務。軟件定義網(wǎng)絡所投云平臺采用基于通用服務器的軟SDN能力，不依賴專用 硬件SDN設備，采用VXLAN網(wǎng)絡實現(xiàn)二層互通。云資源服務要求2.1彈性云主機服務指標項指標要求備注申請云主機提供云主機服務，用戶申請該服務時可以選擇云主機所在位 置，CPU、內(nèi)存規(guī)格，云主機操作系統(tǒng)、磁盤容量、網(wǎng)絡、安

21、全組、登錄認證方式、申請數(shù)量，同時，用戶可以在申請云主 機時為云主機指定非管理員賬號（如linux下的root）的用 戶名、密碼。支持申請云主機時自定義開機執(zhí)行的命令、腳本或注入文件。指標項指標要求備注跨代熱遷移支持跨代Intel CPU共集群，熱遷移，充分利舊資源池，未 來支持使用新一代CPU進行持續(xù)擴容。服務器設備直通支持云主機設備直通，用戶申請云主機時，可以申請將USB、GPU、本地磁盤等設備映射給云主機使用。計算資源變更支持云主機在線規(guī)格變更CPU和內(nèi)存，變更過程中無需停止 運行中業(yè)務，變更完成后無需重啟云主機即可生效。云主機克隆支持以云主機的系統(tǒng)盤和數(shù)據(jù)盤為模板，克隆新的彈性云主 機

22、，支持在線克隆，可以支持30臺云主機同時在線克隆。虛擬光驅支持為云主機掛載CD驅動器和ISO鏡像，用于系統(tǒng)或遠程軟 件安裝。多網(wǎng)卡EIP每臺云主機可以綁定多個EIP,通過綁定多張網(wǎng)卡，實現(xiàn)每張 網(wǎng)卡綁定一個EIPo重裝操作系統(tǒng)支持云主機重裝操作系統(tǒng)或切換操作系統(tǒng)，方便在云主機系 統(tǒng)故障或不滿足業(yè)務訴求時進行重置。云主機鏡像管理支持將已創(chuàng)建的云主機制作為私有鏡像，并支持共享鏡像方 式，即用戶可以將自己的私有鏡像共享給其他特定的用戶使 用。2彈性云硬盤服務指標項指標要求備注云硬盤服務支持云硬盤服務，可以通過云管理平臺為云主機申請云硬盤。創(chuàng)建云硬盤支持從各種數(shù)據(jù)源創(chuàng)建云硬盤（系統(tǒng)盤&數(shù)據(jù)盤），包括從

23、鏡像創(chuàng) 建云硬盤，從己有云硬盤創(chuàng)建云硬盤，從備份創(chuàng)建云硬盤，從快 照創(chuàng)建云硬盤。共享云硬盤支持共享盤，每個云硬盤可以掛載給4臺及以上云主機。指標項指標要求備注云硬盤擴容支持對云硬盤在線進行擴容。云硬盤快昭支持云硬盤快照能力。并支持從快照創(chuàng)建云硬盤或者數(shù)據(jù)回滾。云硬盤管理支持云硬盤的管理，用戶可以查看系統(tǒng)中己有的硬盤列表，可以 查看云硬盤名稱、狀態(tài)、容量、掛載到的云主機、創(chuàng)建時間等基本 信息。支持云硬盤性能監(jiān)控，包括云硬盤讀寫速率、云硬盤使用率。2.3對象存儲服務（OBS）指標項指標要求備注生命周期管理支持創(chuàng)建桶，支持對桶的配額進行限制。支持對象上傳、下載、刪除、查詢、共享，支持對象多版本，支持

24、HTTPS訪問。資源利用率支持數(shù)據(jù)冗余保護，采用EC冗余算法，允許3塊硬盤故障，磁盤 利用率最高可達到磁盤裸容量66. 7%。兼容性支持X86和ARM架構CPUo可靠性支持多層次容災能力：硬盤級、節(jié)點級，故障發(fā)生后對象存儲能不 中斷業(yè)務持續(xù)提供數(shù)據(jù)讀寫操作。網(wǎng)站托管支持靜態(tài)網(wǎng)站托管、跨域資源訪問、防盜鏈功能，方便通過對象存 儲提供網(wǎng)站托管等能力。2. 4虛擬私有網(wǎng)絡服務指標項指標要求備注虛擬私有網(wǎng)絡支持創(chuàng)建私有、隔離的虛擬網(wǎng)絡環(huán)境（以下簡稱VPC） o指標項指標要求備注可以獨立配置網(wǎng)絡環(huán)境，包括創(chuàng)建子網(wǎng)（IPV4、IPV4&IPV6）、 指定子網(wǎng)網(wǎng)段/網(wǎng)關/掩碼、子網(wǎng)使用的DNS等參數(shù)，支持為

25、 子網(wǎng)中云主機配置靜態(tài)路由。支持路由管理，支持租戶自定義路由表。支持VPC拓撲，支持圖形化拓撲展示當前VPC的子網(wǎng)信息， 以及使用該子網(wǎng)的云服務信息。VPC終端節(jié)點服 務支持同區(qū)域下跨VPC間的資源通信，無需考慮地址重疊、 訪問限制等問題，無需占用EIP地址。支持在VPC中創(chuàng)建 應用程序，將其配置為終端節(jié)點服務，同一區(qū)域下其他VPC 內(nèi)創(chuàng)建的終端節(jié)點可以與該終端節(jié)點服務建立連接和進行 通信。終端節(jié)點服務支持設置白名單，只允許白名單內(nèi)的租戶創(chuàng) 建的終端節(jié)點進行連接。NAT網(wǎng)關提供SNAT/DNAT能力，支持將VPC內(nèi)IP地址映射為彈性IP 地址。提供VPC內(nèi)外部訪問的能力，并支持配置NAT帶寬

26、限制，可以限制用戶使用NAT的最大帶寬占用。安全二層私有網(wǎng)絡支持項目級子網(wǎng)，項目級子網(wǎng)是管理云主機網(wǎng)絡平面的一 個二層網(wǎng)絡，同一個項目級子網(wǎng)內(nèi)的云主機均可以進行二 層通信，無法通過該子網(wǎng)進行三層通信。安全組支持安全組服務，可以對進出云主機端口的網(wǎng)絡報文進行 安全過濾規(guī)則設置。云主機端口與安全組關聯(lián)后，安全組規(guī) 則可對進岀云主機端口的網(wǎng)絡報文進行過濾，只有規(guī)則允 許的報文可通過。ACL控制支持自助創(chuàng)建安全規(guī)則，支持出、入方向的安全規(guī)則定義， 支持TCP、UDP、ICMP、ANY等幾種類型的規(guī)則定義，可以執(zhí) 行允許、拒絕以及駁回操作，源、目的地址支持單IP、IP指標項指標要求備注段的定義策略，源、

27、目的端口支持單端口和端口范圍的定 義，并支持安全規(guī)則的導入/導出操作。二層專線支持二層專線，可為VPC子網(wǎng)申請二層專線實例，實現(xiàn)云外 同網(wǎng)段子網(wǎng)與VPC子網(wǎng)二層互通，保證業(yè)務遷移上云不修 改IP地址。彈性 IP (EIP)支持租戶界面批量申請彈性IP地址，并支持申請時指定EIP QoS限制彈性IP所能使用的最大帶寬，支持獨享帶寬和共 享帶寬模式。云內(nèi)DNS支持內(nèi)網(wǎng)域名解析功能，支持VPC內(nèi)生效的內(nèi)網(wǎng)域名與私 網(wǎng)IP進行關聯(lián)，為云上資源提供VPC內(nèi)的域名解析服務； 可以在管理界面上進行記錄集的創(chuàng)建，修改和刪除。支持 A、CNAME、MX、TXT、SRV、PTR、NS、SOA 類型的域名 記錄。2

28、. 5彈性負載均衡服務（ELB）指標項指標要求備注負載均衡服務支持負載均衡服務，負載均衡服務基于軟件方式實現(xiàn)， 不依賴于特殊硬件設備?？梢詫⒂脩魳I(yè)務訪問流量自動 分發(fā)到多臺云主機，擴展應用系統(tǒng)對外服務能力。監(jiān)聽器支持用戶通過云平臺在己有的負載均衡上創(chuàng)建監(jiān)聽器， 支持四層、七層的監(jiān)聽策略。支持配置監(jiān)聽器的監(jiān)聽協(xié) 議/端口，支持UDP, TCP, HTTP, HTTPS；支持負載的加 權輪詢算法、加權最少連接、源IP算法等分配策略；支 持IP地址、HTTP cookie、應用程序cookie等回話保持 策略。健康檢查支持用戶為監(jiān)聽器配置健康檢查策略，用于檢查后端服 務器的狀態(tài)，支持四層以及七層檢測

29、方式，并可以設置檢查周期、檢查超時時間、重試次數(shù)、服務器響應的狀 態(tài)碼。白名單控制支持對訪問負載均衡的客戶端IP進行安全控制，如果使 用訪問控制能力，則只有被允許的IP能通過ELB訪問后 端云主機/物理機；如果不使用，則任何IP都可以訪問 該負載均衡。QoS支持QoS功能，支持TCP/UDP、HTTP/HTTPS協(xié)議進行限 速，支持針對不同的業(yè)務類型配置不同的規(guī)格，其中規(guī) 格涉及并發(fā)連接數(shù)、每秒新建連接數(shù)、每秒查詢請求數(shù)、 吞吐帶寬等指標。轉發(fā)策略當前端協(xié)議為HTTP/HTTPS時，支持按域名或者URL轉發(fā) 到后端云主機組。性能監(jiān)控支持租戶查看負載均衡器的性能數(shù)據(jù)，包括新建連接數(shù)、 并發(fā)連接數(shù)

30、、活躍連接數(shù)、正常、異常主機數(shù)、流入/流 出包數(shù)據(jù)、網(wǎng)絡流入、流出速率。2. 6云數(shù)據(jù)庫服務指標項指標要求備注實例類型提供MySQL數(shù)據(jù)庫服務組件，支持自動化部署單實例、主備實例等多種模式，支持主流版本5. 6、5.7、8.0。網(wǎng)絡支持虛擬專有網(wǎng)絡，可支持指定虛擬網(wǎng)絡創(chuàng)建數(shù)據(jù)庫實例。規(guī)格變更支持變更數(shù)據(jù)庫規(guī)格，包括變更CPU、內(nèi)存，擴容云硬盤，其中擴 容云硬盤時支持在線擴容，不影響數(shù)據(jù)庫實例運行。支持將單機實例轉換為主備實例，提升實例的可用性。安全性支持通過SSL網(wǎng)絡加密訪問數(shù)據(jù)庫?？煽啃詾楸Ｕ蠈嵗煽啃裕С诌x擇主備實例分別部署在不同可用區(qū)， 單個可用區(qū)故障不影響實例使用。指標項指標要求備注

31、支持數(shù)據(jù)庫備份恢復，設置備份策略自動執(zhí)行備份任務，支持指 定時間點恢復數(shù)據(jù)庫。主備實例支持故障自動切換，切換策略包括可靠性優(yōu)先和可用性 優(yōu)先，可根據(jù)業(yè)務需要修改數(shù)據(jù)庫主備切換策略。性能監(jiān)控支持查看數(shù)據(jù)庫監(jiān)控指標，包括常見OS指標和數(shù)據(jù)庫指標，如CPU使用率、內(nèi)存使用率、網(wǎng)絡流量、磁盤10、QPS、TPS、ETL語 句執(zhí)行頻率等。讀寫分離支持創(chuàng)建讀寫分離中間件實例，實現(xiàn)讀寫請求自動分發(fā)。日志管理支持查看數(shù)據(jù)庫錯誤日志、慢日志、主備切換日志，支持下載日 志文件到本地。故障定位所投云平臺的數(shù)據(jù)庫服務支持獲取MDL鎖視圖信息，方便現(xiàn)網(wǎng)定 位事務阻塞問題。2. 7大數(shù)據(jù)服務指標項指標要求備注開放性大數(shù)據(jù)

32、平臺軟件基于Apache開源社區(qū)實現(xiàn)，要求在可靠性、 安全性、管理性方面進行性能增強，不使用私有架構和組件替 代開源組件，各組件能夠跟隨社區(qū)發(fā)展進行版本升級。可擴展性單集群支持30000+節(jié)點的集群管理能力，需提供第三方權 威機構測評報告證明并加蓋所投云平臺廠商公章。多實例要求支持同一節(jié)點部署多個實例，提升資源利用率。異構能力支持X86、ARM單集群內(nèi)混合部署。分布式文件系統(tǒng)大數(shù)據(jù)平臺的HDFS組件，提供訪問HDFS的REST接口，通過REST接口可實現(xiàn)創(chuàng)建、刪除、上傳、下載文件等操作。支持分級存儲，即支持集群中同一節(jié)點上配備不同類型的硬 盤，如SSD、SAS、SATA等。支持指定文件存放在指

33、定類型硬 盤上。指標項指標要求備注支持HDFS組件上節(jié)點均衡調度、單節(jié)點內(nèi)磁盤均衡調度等策 略。在大規(guī)模集群場景下，HDFS支持DataNode分組，保證集群性 能不受影響。離線分析支持提供Spark+Hive組件，支持開源CarbonData高性能分析 引擎，提升查詢性能，實現(xiàn)超PB數(shù)量級數(shù)據(jù)快速查詢。支持提供Spark汁算框架，支持SparkSQLo要求SparkSQL支 持多租戶并行執(zhí)行，租戶任務提交到不同的隊列執(zhí)行，租戶間 資源隔離。支持細粒度的權限控制，多組件可以基于IP進行權限控制。支持針對Hive/SparkSQL進行數(shù)據(jù)動態(tài)脫敏訪問。云管理平臺要求指標項指標要求備注資源池管理能

34、力支持X86、ARM資源池的統(tǒng)一管理，包括申請、開通等操作。虛擬數(shù) 據(jù)中心 管理要 求提供虛擬數(shù)據(jù)中心管理能力，支持在虛擬數(shù)據(jù)中心下再劃分多 級子虛擬數(shù)據(jù)中心（支持5級劃分），以匹配用戶的組織架構。 每個虛擬數(shù)據(jù)中心可分配多個數(shù)據(jù)中心/地域的資源。支持對虛擬數(shù)據(jù)中心使用的資源做配額限制，包括但不限于彈 性云服務器（vCPU,內(nèi)存，GPU個數(shù)，實例個數(shù)）、云硬盤（磁 盤容量，磁盤類型，磁盤個數(shù)）、網(wǎng)絡服務（VPC個數(shù)，彈性 IP個數(shù)，虛擬專用網(wǎng)絡個數(shù)，彈性負載均衡個數(shù)，網(wǎng)絡ACL個 數(shù)，云專線個數(shù)），進行配額設置。指標項指標要求備注服務自 定義要 求管理員可創(chuàng)建應用服務，支持自定義應用服務申請需

35、要輸入的 參數(shù)。應用服務發(fā)布時，可指定用戶申請、修改、刪除服務是 否需要審批和審批流程。服務白 名單管 理支持服務的白名單能力，可以指定服務對租戶的可見度設置。計量要求支持自定義計量報表，用戶可指定特定虛擬數(shù)據(jù)中心下特定 區(qū)域內(nèi)的對象生成表格、圖表等計量報表。支持按周期性發(fā)送 到用戶指定郵箱，需提供平臺功能截圖證明材料并加蓋所投云 平臺廠商公章C資源統(tǒng)計分析支持查看資源性能統(tǒng)計情況、資源性能TOP分析報表?？舍槍?不同部門設置配額閾值和性能閾值規(guī)則。應用管理能力支持自動生成應用拓撲，當應用中加入、刪除資源后，應用拓 撲支持自動刷新。支持查看云服務資源的告警信息和性能監(jiān) 控。支持在云服務資源上部

36、署軟件、執(zhí)行腳本，能夠在界面上可視 化編排軟件部署流程。流程審批支持圖形化定義審批流程，可通過拖拉拽的方式定義審批流 程，支持串行、并行、會簽等流程，可自定義每個流程步驟的 參數(shù)表單，指定每一級的審批人，還可以審批用戶組的方式批 量指定審批人，滿足不同部門的不同業(yè)務審批流程訴求。支持將產(chǎn)品或服務跟審批流程關聯(lián)，關聯(lián)后該產(chǎn)品或服務的訂 單需要按照該審批流程進行審批。系統(tǒng)報表管理維度報表：支持按照告警、容量、業(yè)務分析、租戶資源統(tǒng)計分 析、設備統(tǒng)計分析、資源利用率分析等維度進行報表管理。支 持以表格以及圖表的方式展示。指標項指標要求備注明細報表：支持按照云資源、物理資源、租戶虛擬數(shù)據(jù)中心等 明細情況

37、進行報表管理。支持表格以及圖表方式展示。支持指標自定義，支持配置定期生成指定報表并發(fā)送到指定郵 箱。大屏支持支持自定義多種不同的大屏展示內(nèi)容，自定義內(nèi)容包括容量、 性能、資源統(tǒng)計、告警等對象?？啥x每個內(nèi)容的不同呈現(xiàn)形 式，包括柱狀圖、餅圖、儀表盤等。異構資源納管需具備多資源的整合能力，包括異構資源（計算、存儲、網(wǎng)絡、 中間件、數(shù)據(jù)庫、平臺軟件）、異廠商邙可里、華為、華三等）、 異用途（生產(chǎn)、測試、災備）的整合能力。需支持管理虛機資源池、容器資源池、物理資源池等異構資源 池，以及一體機設備等。需提供多租戶、多層次的資源訪問管理能力，包括分權（角色、 崗位、部門）分域（運維管理維度、資源使用維度

38、）的多租戶 （部門、項目兩級租戶）能力，滿足多層次，靈活資源隔離管 理的需求。4安全服務技術要求本項目云平臺需按照GB/T 25070-2019信息安全技術網(wǎng)絡安全 等級保護安全設計技術要求屮等級保護三級設計要求進行防護，滿 足安全通用要求和云計算安全擴展要求進行設備配置，包含防火墻、 入侵防御、Web防火墻、數(shù)據(jù)庫審計、日志審計、云堡壘機、主機安 全、漏洞掃描、SSL VPN、態(tài)勢感知服務。投標人需對部署在云平臺上的政務應用系統(tǒng)提供滿足相應等保合規(guī)要求的云安全服務。1云安全管理平臺指標功能規(guī)格要求基本功能平臺需能夠提供云防火墻、入侵防御IPS、Web應用防火墻、數(shù)據(jù) 庫審計、日志審計、云堡壘

39、機、云主機安全、漏洞掃描、SSL VPN. 態(tài)勢感知服務。服務方式租戶側界面需支持安全組件自運維功能，并且支持在首頁整體展 示租戶應用系統(tǒng)的風險狀態(tài)，包括業(yè)務風險分布、安全事件列表 等。平臺側界面需支持在首頁監(jiān)測云安全管理平臺集群狀態(tài)和安全風 險狀態(tài)，安全風險能夠體現(xiàn)全部業(yè)務的風險分布。支持多套云安全管理平臺的集中授權管理，可通過主節(jié)點給分節(jié) 點分配授權，主節(jié)點能夠集中查看各個授權池的總授權數(shù)、剩余 授權數(shù)和服務到期時間。系統(tǒng)管理支持租戶安全資源的服務鏈配置，通過靈活選擇源、安全服務節(jié) 點和目的，完成安全路徑的自定義，安全服務節(jié)點的先后順序可 靈活調整，配置完成后的安全路徑可以在安全架構頁面中

40、以圖形 化的方式呈現(xiàn)。支持對安全組件單獨升級，無需對平臺軟件進行升級。支持批量 升級租戶安全組件，提高運維效率。基于業(yè)務運維需要，平臺應支持展示模式和排障模式兩種形態(tài)的 安全架構頁面，方便運維人員在全局展示和故障排查之間快速切 換。支持通過netconf協(xié)議接管交換機，自動配置引流策略。安全運營具備基于云平臺整體視角的安全運營中心，能夠統(tǒng)一監(jiān)測和收集 各租戶的安全事件，從租戶維度實現(xiàn)安全風險統(tǒng)一管理，并且能 夠通過大屏進行投放，展示安全服務平臺的運營情況及租戶的安 全建設情況。具備基于單租戶視角的安全運營中心，能夠統(tǒng)一監(jiān)測和收集各安 全組件的日志，從業(yè)務維度實現(xiàn)安全風險統(tǒng)一管理，并且能夠通 過

41、大屏進行投放，實現(xiàn)租戶安全可視化。支持以月、周為單位定期生成租戶的PDF安全報表。支持與態(tài)勢感知服務進行租戶信息和威脅信息同步，在平臺首頁 上可以直接免登錄跳轉到態(tài)勢感知服務頁面，進行詳細的威脅分 析。平臺應支持同步主流云平臺的租戶信息。兼容性VPN、云防火墻、數(shù)據(jù)庫審計等安全服務能力和云安全管理平臺 底層虛擬化部分（計算虛擬化、存儲虛擬化、網(wǎng)絡虛擬化）應為 同一品牌提供，以保障平臺的擴展性和兼容性，需提供相關軟件 著作權證明并加蓋所投云安全產(chǎn)品廠商公章。服務資質平臺具備CSA云安全聯(lián)盟頒發(fā)CSTR云計算安全技術要求1. 0 能力級別認證-SaaS增強級證書，需提供有效證書證明并加蓋所 投云安

42、全產(chǎn)品廠商公章。平臺具備公安部頒發(fā)的云計算產(chǎn)品信息安全認證證書-SaaS增 強級證書，需提供有效證書證明并加蓋所投云安全產(chǎn)品廠商公章。2云防火墻指標功能規(guī)格要求路由特性支持靜態(tài)路由、策略路由和多播路由協(xié)議，并支持BGP、RIP、0SPF 等動態(tài)路由協(xié)議。支持策略路由負載，支持基于服務、應用、地域等維度進行智能選 路，保證關鍵業(yè)務流量通過優(yōu)質鏈路轉發(fā)。NAT功能支持源地址轉換SNAT,目的地址轉換DNAT和雙向NAT等功能，支 持一對一、一對多、多對一等形式的NAT。IPv6功能支持IPv4/IPv6雙棧工作模式，以適應IPv6發(fā)展趨勢。支持IPv6訪問控制策略設置，基于IPv6的IP地址、服務

43、、域名、 應用、時間等條件設置訪問控制策略。流量控制支持多維度流量控制功能，支持基于IP地址、用戶、應用、時間 設置流量控制策略，保證關鍵業(yè)務帶寬日常需求。支持基于地區(qū)維度設置流控策略，實現(xiàn)多區(qū)域流量批量快速管 控功能，需提供具備CMA認證的第三方權威機構關于“國家/地區(qū) 的流量管理”功能項的檢測報告證明并加蓋所投云安全產(chǎn)品廠商 公章會話控制支持基于IP對象的會話控制策略，實現(xiàn)并發(fā)連接數(shù)的合理限制。DDoS防護支持對ICMP、UDP、DNS、SYN等協(xié)議進行DDOS防護。文件過濾支持對文件傳輸行為進行安全過濾，內(nèi)容過濾類型至少支持網(wǎng)頁、 腳本、壓縮文件、圖片、可執(zhí)行文件、適配、文本等常見文件類

44、型。加密流量安全防護支持對HTTPS協(xié)議加密流量進行解密，支持配置基于區(qū)域、對象、 業(yè)務類型、服務器IP/端口的解密策略。防病毒支持對 SMTP、HTTP、FTP、SMB、POP3、HTTPS、IMAP 等協(xié)議進行病 毒防御。支持對多重壓縮文件的病毒檢測能力，支持不小于14層壓縮文件 病毒檢測與處置。支持勒索病毒檢測與防御功能，為保障勒索病毒的防御效果，需 提供具備CMA認證的第三方權威機構關于“勒索軟件通信防護” 功能項的檢測報告證明并加蓋所投云安全產(chǎn)品廠商公章。入侵防御支持基于 IMAP、FTP、RDP、VNC、SSH、TELNET、ORACLE、MYSQL、MSSQL等應用協(xié)議進行深度檢

45、測與防護。支持僵尸主機檢測功能，預定義特征庫超過100萬種，可識別主 機的異常外聯(lián)行為。支持未知威脅檢測能力，需提供關于“未知威脅檢測”的軟件著作 證書證明并加蓋所投云安全產(chǎn)品廠商公章。Web安全 防護支持對常見Web應用攻擊防御，攻擊類型至少支持跨站腳本(XSS) 攻擊、SQL注入、文件包含攻擊、信息泄露攻擊、血bshell、網(wǎng)站 掃描、網(wǎng)頁木馬等類型，內(nèi)置預定義Web應用漏洞特征庫超過3300 種。支持對請求報文頭的X-Forward-For字段檢測，并對非法源IP進 行日志記錄和聯(lián)動封鎖。支持CC攻擊防護功能，為保障CC攻擊的檢測效果，需提供具 備CMA認證的第三方權威機構關于“CC攻擊

46、防護”功能項的檢測 報告證明并加蓋所投云安全產(chǎn)品廠商公章。賬號安全支持用戶賬號全生命周期保護功能，包括用戶賬號多余入口檢測、 用戶賬號弱口令檢測、用戶賬號暴力破解檢測，防止因賬號被暴力 破解導致的非法提權情況發(fā)生。蜜罐服務具備主動誘捕功能，可通過偽裝業(yè)務誘捕內(nèi)外網(wǎng)的攻擊行為，并自 動封鎖高危IPo態(tài)勢感知聯(lián)動支持與態(tài)勢感知服務聯(lián)動，將云防火墻產(chǎn)生的安全日志等數(shù)據(jù)上 報并在態(tài)勢感知服務平臺進行威脅展示。策略生命周期管理支持策略生命周期管理功能，支持對安全策略修改的時間、原因、 變更類型進行統(tǒng)一管理，便于策略的運維與管理。日志查詢支持多種自定義條件快速查詢安全日志，自定義條件至少包括吋 間、日志類

47、型、安全日志嚴重等級等條件。賬號管控支持三權分立功能，根據(jù)管理員權限分為安全管理員、審計員、系 統(tǒng)管理員三種角色。雙因素認證支持管理員雙因素認證功能，用戶通過用戶名/密碼或Key等不同 方式登錄管理界面。服務資質具備國家信息安全漏洞庫兼容性資質證書證明并加蓋所投云安全 產(chǎn)品廠商公章。3入侵防御IPS指標功能規(guī)格要求應用識別 與流量控 制支持P2P、流媒體，常用郵件以及遠程控制軟件等的識別和控制， 支持識別管控的應用類型超過1200種，應用識別規(guī)則總數(shù)超過 3000 條。支持基于應用類型，網(wǎng)站類型，文件類型進行帶寬分配和流量控 制，支持基于時間、地域、認證用戶、子接口和VLAN等因素實現(xiàn) 對象的

48、流量控制。內(nèi)容安全防護支持URL過濾和文件過濾功能，URL過濾支持GET, POST請求過濾 和HTTPS網(wǎng)站過濾，文件過濾支持文件上傳和下載過濾。支持針對SMTP、POP3、IMAP郵件協(xié)議的內(nèi)容檢測，如郵件附件病 毒檢測、郵件內(nèi)容惡意鏈接檢測，郵件異常賬號檢測等，支持根據(jù) 郵件附件類型進行文件過濾；支持針對HTTP、FTP協(xié)議內(nèi)容檢測與 病毒查殺。入侵防護功能具備獨立的入侵防護漏洞規(guī)則特征庫，特征總數(shù)在7000條以上。支持對服務器和客戶端的漏洞攻擊防護，支持XSS攻擊、SQL注入 等WEB攻擊行為進行有效防護。支持對常見應用服務(HTTP、FTP、SSH、SMTP、IMAP P0P3 RD

49、PRlogin. SMB、Telnet、Weblogic、VNC)和數(shù)據(jù)庫軟件(MySQL、Oracle. MSSQL)的口令暴力破解防護功能。支持CSRF攻擊等攻擊防護功能；支持目錄遍歷攻擊防護?？商峁┳钚碌耐{情報信息，能夠對新爆發(fā)的流行高危漏洞進行 預警和自動檢測，發(fā)現(xiàn)問題后支持一鍵生成防護規(guī)則。數(shù)據(jù)泄漏防護支持資產(chǎn)的自動發(fā)現(xiàn)以及資產(chǎn)脆弱性和服務器開放端口的自動識 別。支持細致的服務器敏感數(shù)據(jù)識別，識別維度包含服務器IP、業(yè)務 重要性、識別方式、開放的服務與端口、敏感數(shù)據(jù)頁面數(shù)以及更新 時間等。支持關鍵文件保護功能，能夠過濾文件的上傳和下載行為，以防止 非法外傳和下載行為。能識別的文件類

50、型應包含至少以下幾類：音 頻視頻類文件、圖片類文件、文本類文件、壓縮文件、應用程序類 文件等。僵尸主機檢測具備獨立的熱門威脅庫，支持木馬、勒索軟件、蠕蟲、挖礦病毒等 種類，特征總數(shù)在60萬條以上。支持木馬遠控類、惡意鏈接類、移動安全類、異常流量類僵尸網(wǎng)絡 行為的檢測。系統(tǒng)管理支持以安全策略模板方式快速部署安全策略，安全策略模板支持 默認模板和自定義模板等多種格式，減少配置工作，提高部署效 率?？勺R別持續(xù)性攻擊、黑鏈、高危僵尸病毒等高級威脅并通過微信方 式進行預警，推送到運維管理員手機中進行快速處置。日志管理支持SYSL0G標準日志協(xié)議。支持根據(jù)起始時間、結束時間、源區(qū)域、源IP、目的區(qū)域、目的

51、IP等多種條件快速進行安全日志查詢。4.4 Web應用防火墻指標功能規(guī)格要求部署形態(tài)支持鏡像或容器的方式部署。源地址識別支持識別X-Forward-For等字段從而獲取請求訪問源地址，并支持 填寫受信任的代理服務器IP,用于日志記錄。Web應用防護支持超過4900種Web應用防護規(guī)則，和超過1200種Web漏洞攻擊 特征識別規(guī)則。支持防護SQL注入、XSS攻擊、網(wǎng)頁木馬、網(wǎng)站掃描、Webshelb跨 站請求偽造（CSRF）、系統(tǒng)命令注入、文件包含攻擊、目錄遍歷攻 擊、信息泄露攻擊、血b漏洞攻擊等。支持Web登錄弱口令檢測。語義分析支持語義引擎用于檢測Web攻擊，能針對不同類型的Web攻擊如命

52、令注入攻擊防護等，單獨選擇開啟或關閉語義引擎檢測。支持自定義語義引擎白名單功能，包含通過Web應用防護規(guī)則、URL 參數(shù)、IP地址、Webshell上傳防護、SQL、XSS、后門掃描的方式排 除。業(yè)務學習支持業(yè)務模型學習監(jiān)督功能，可通過智能分析引擎對業(yè)務流量進行 分析學習，建立用戶業(yè)務特征模型，解決因Web應用中因代碼不規(guī) 范或安全檢測功能沖突導致的業(yè)務誤判問題。機器人流量防護支持B0T防護功能，可過濾機器人自動化流量，并支持用戶自定義 保護閾值。支持自定義B0T防護排除功能，支持通過IP地址白名單、User-Agent、URL前綴的方式排除。防掃描 和信息 保護支持HTTP應用隱藏，支持替換

53、服務器出錯頁面（5XX）和替換服務 器岀錯頁面（4XX） o支持數(shù)據(jù)泄密防護，可自定義文件下載類型過濾。服務器權限控制支持Web權限控制，支持自定義文件上傳類型過濾，防止通過修改 文件后綴名繞過檢測。支持URL防護，可自定義允許訪問的地址和拒絕訪問的地址。支持受限URL防護，僅允許從自定義的起始頁面開始訪問網(wǎng)站。界面展示支持針對業(yè)務風險匯總，支持展示業(yè)務安全狀態(tài)分布，包括已失陷 業(yè)務、正在遭受攻擊的業(yè)務、存在漏洞但暫時未被攻擊的業(yè)務。支持對業(yè)務詳情進行展示，包括業(yè)務存在關鍵的風險，可以提供具 體的攻擊鏈過程并對攻擊進行舉證。支持針對業(yè)務攻擊事件匯總，展示攻擊事件類型T0P5及當前業(yè)務命 中的全

54、網(wǎng)實時熱點事件。策略模板支持以安全策略模板方式快速部署安全策略，安全策略模板支持默 認模板和自定義模板等多種方式。系統(tǒng)管理支持系統(tǒng)配置自動備份功能，可通過備份文件快速恢復系統(tǒng)配置， 降低管理員誤操作引入的風險。安全規(guī)則庫支持在線自動升級、手動升級、云端實時升級等多種方 式。4. 5數(shù)據(jù)庫審計指標功能規(guī)格要求審計功能支持審計主流數(shù)據(jù)庫 Oracle SQL-Server、DB2、MySQL Informix Sybase、Postgresql、Cache達夢、人大金倉、南大通用等。支持同時審計多種數(shù)據(jù)庫。支持白名單審計，系統(tǒng)使用審計白名單將非關注的內(nèi)容進行過濾， 不進行記錄，可降低存儲空間和無用

55、信息的堆砌。統(tǒng)計功能支持自定義報表拖拽，通過自定義報表拖拽功能可以隨憊拖拽用戶 預期的統(tǒng)計報表，幫助用戶提升通過高級選項篩選報表的可讀性， 更方便達到預期效果。支持以風險級別、源IP、業(yè)務主機、數(shù)據(jù)庫用戶、風險類型為維度 的數(shù)據(jù)庫風險排行。數(shù)據(jù)庫安全支持對SQL語句進行安全檢測，并識別當前的SQL操作是否有暴庫、 撞庫等嚴重性安全問題，如果命中了安全風險規(guī)則，可根據(jù)動作進 行阻斷、告警、記錄等操作，可提示管理員作岀相應的防御措施。支持基于SQL命令的Webshell檢測。響應方式支持Syslog告警、SNMP trap告警、郵件告警，短信告警。支持WEB界面?zhèn)浞菁叭罩净謴蛯牍ぷ?。支持自動與手

56、動兩種備份歸檔方式。系統(tǒng)管理支持審計系統(tǒng)用戶（組）管理。（添加、修改、刪除、停用、啟用）提供管理員權限設置和分權管理，提供三權分立功能，系統(tǒng)可以對 使用人員的操作進行審計記錄，可以由審計員進行查詢，具有自身 安全審計功能?？梢詫崟r監(jiān)控系統(tǒng)的CPU使用率，內(nèi)存使用率和磁盤占用率?？焖?定位系統(tǒng)的負載壓力和系統(tǒng)運行狀況。日志數(shù)據(jù)安全支持Syslog方式向外發(fā)送審計日志。支持對所有審計管理員操作審計系統(tǒng)的動作進行審計。4.6日志審計指標功能規(guī)格要求采集方式支持 Syslog、SNMP Trap、數(shù)據(jù)庫、文件、SMB、WME Console、日 志導入、鏡像流量等方式采集口志，審計中心可以支持多個日志

57、采 集器。為滿足業(yè)務審計要求，應支持通過正則、分隔符、json、xml的可視 方式進行自定義規(guī)則解析，支持對解析結果字段的新增、合并、映 射。支持對每個日志源設置過濾條件規(guī)則，自動過濾無用日志，減少對 網(wǎng)絡帶寬和數(shù)據(jù)庫存儲空間的占用。標準化支持從不同設備或系統(tǒng)的日志中抽取相關片段，并準確和完整地映 射為標準字段。為滿足業(yè)務安全性需求，支持TLS加密方式進行日志傳輸，支持日 志傳輸狀態(tài)、最近同步時間進行監(jiān)控，可統(tǒng)計每個日志源的今日傳 輸量和傳輸總量。過濾支持在安全事件收集引擎上設置過濾條件，可過濾出無關安全事件。歸并支持歸并技術，一段時間內(nèi)對重復日志進行歸并。日志査詢支持根據(jù)設備類型，按日期展示

58、日志的接入情況，包含不同級別日 志數(shù)量統(tǒng)計；支持精確的專家模式查詢，根據(jù)頁面的指導提示，通 過組合查詢表達式完成精確查詢。支持單條事件進行展開，顯示事件詳細信息和事件原始信息，支持 事件詳情中任意字段作為查詢條件無限制進行二次檢索分析。關聯(lián)分析支持挖掘不同類型、來源于不同設備或系統(tǒng)的日志或安全事件之間 可能存在的關聯(lián)關系，關聯(lián)的類型包括基于規(guī)則和基于統(tǒng)計的。告警響應支持關聯(lián)、審計策略命中后定義告警，響應方式包括：SYSLOG.郵 件、自定義命令行。支持列表的方式展示告警；告警聲音設置；告警過濾策略；支持實 時監(jiān)控，滾動顯示實時的日志接入信息。流量審計支持HTTP網(wǎng)頁標題、BBS、威脅情報、DG

59、A、搜索關鍵詞的網(wǎng)絡會話分類展現(xiàn)。支持DNS、DGA、解碼錯誤、解碼失敗、解碼超時的網(wǎng)絡會話分類展 現(xiàn)。支持TLS會話、數(shù)據(jù)庫會話、郵件會話、FTP會話、Telnet會話的 展現(xiàn)。全文檢索支持單條事件進行展開，顯示事件詳細信息和事件原始信息。用戶管理支持根據(jù)三權分立的原則和要求進行職、權分離，對系統(tǒng)本身進行 分角色定義，如系統(tǒng)管理員只負責完成設備的初始配置，規(guī)則配置 員只負責審計規(guī)則的建立，安全審計員只負責查看相關的審計結果 及告警內(nèi)容；安全管理員只負責完成對系統(tǒng)本身的用戶操作日志管 理。4. 7云堡壘機指標功能規(guī)格要求支持協(xié)議字符協(xié)議：SSHvl、SSHv2、TELNETo圖形協(xié)議：RDP、

60、VNCo文件傳輸協(xié)議：FTP、SFTP、RDP磁盤映射、RDP剪切板。用戶管理支持批量導入、導出用戶信息；支持用戶手動添加、刪除、編輯、 設定角色、單獨指定登錄認證方式、設定用戶有效期。用戶登錄認證方式必需最少支持靜態(tài)口令認證、手機動態(tài)口令認證、 Usb key認證三種方式；并支持各種認證方式和靜態(tài)口令組合認證。內(nèi)置三員角色的同時支持角色靈活自定義，可根據(jù)實際的管理特性 或特殊的安全管理組織架構，劃分管理角色的管理范疇。資源管理支持unix資源、windows資源、網(wǎng)絡設備資源、數(shù)據(jù)庫資源、C/S 資源、B/S資源。為滿足業(yè)務運維要求，應支持通過動作流配置提供廣泛的應用接入 支持。運維授權支持