项目1郑州教育云平台虚拟化安全项目.docx
- 文档编号:28628237
- 上传时间:2023-07-19
- 格式:DOCX
- 页数:27
- 大小:32.15KB
项目1郑州教育云平台虚拟化安全项目.docx
《项目1郑州教育云平台虚拟化安全项目.docx》由会员分享,可在线阅读,更多相关《项目1郑州教育云平台虚拟化安全项目.docx(27页珍藏版)》请在冰豆网上搜索。
项目1郑州教育云平台虚拟化安全项目
项目1:
郑州教育云平台虚拟化安全项目
1-1云计算数据中心安全
参数要求
一、技术指标
1、服务器及虚拟化保护:
(1)服务器安全需要主动的安全控制措施,基于白名单为基础,标识已知的可信应用,限制不可信的系统行为,同时可以满足更广泛的平台支持、对主机的资源占用更加小,满足稳定性需求;
(2)为确保服务器安全稳定、高可用的运行目标,需要满足系统配置变更监控、关键文件的恶意篡改保护、内部人员对资源的恶意利用限制、系统日志及状态监控等多种安全需求,将防病毒软件作为服务器的基础控制手段,同时对关键系统主机部署其他安全措施。
(3)通过集中的管理平台管理部署安全策略或搜集日志。
(4)让安全集成到Vmware提供无Agent的病毒防护,强化VMware的网络与服务虚拟化安全;
(5)能自动化伸缩满足数据中心增长,集成安全策略到统一安全管理平台,可用弹性控制安全部署;
(6)安全防护策略需要跟随虚拟机灵活迁移;
2、安全合规评估
(1)虚拟化环境下的漏洞与配置管理:
支持覆盖Web应用(包含应用扫描)、数据库、操作系统与网络设备,全面覆盖100%的IT资产的漏洞管理;
(2)自动化评估IT基础架构安全配置;
(3)建立持续合规监控的虚拟资产;
(4)提供虚拟化环境策略管理与审计:
提高虚拟环境的安全、降低宕机风险、合规需求。
3、防止数据泄漏和业务中断:
近乎不影响性能的情况下实时检测并移除虚拟服务器中的恶意软件;阻止试图通过卸载或中断安全程序避开检测的恶意软件;屏蔽Web、企业应用程序和操作系统中的已知和未知漏洞;检测可疑或恶意活动并发出警报,以触发主动式预防措施;跟踪网站的可信度并防止用户访问已经受感染的站点;
4、针对入侵检测提供审计与告警功能,入侵防御包括系统控制、网络保护和弱点防护;
5、加固过期的系统并且提供化解攻击方案;
6、提供实时的可视化管理与控制满足合规要求;
7、高可用性和扩展性:
云数据中心的安全防护系统不能成为性能瓶颈,必须保证高可用性,确保业务连续性、更高的可靠性、更短的停机时间、更简便的维护和升级,同时,云计算是弹性扩容的,安全设备也应该是灵活扩展的。
8、安全授权数量:
360台虚拟机保护。
二、功能要求
1、防恶意
(1)集成VMwarevShieldEndpointAPI,在无需安装软件客户端的模式下保护VMware虚拟机,防止其受病毒、间谍软件、木马和其他恶意软件的侵害;
(2)提供防恶意软件客户端,将防护范围扩展到物理服务器以及Citrix、Hyper-V和公共云服务器;
(3)通过ESX层的缓存,防止重复数据被再次扫描,提高性能;
(4)优化安全操作,以避免全系统扫描和特征码更新时出现常见的防病毒风暴;
(5)通过隔离已阻止的恶意软件,防止虚拟环境中的复杂攻击干扰安全。
2、Web信誉:
提供无代理Web信誉,在仅占用少量资源的情况下提高虚拟服务器的安全性。
3、双向状态防火墙
(1)通过精细过滤、针对网络的设计策略以及适用于所有基于IP协议和帧类型的位置感知功能缩小了物理、云和虚拟服务器的受攻击范围;
(2)集中管理服务器防火墙策略,包括适用于常规服务器类型的模板;
(3)防止拒绝服务攻击并检测侦察扫描。
4、完整性监控
(1)监控关键的操作系统和应用程序文件(如目录、注册表项和值),以便实时检测并报告恶意更改和意外更改;
(2)执行虚拟机系统管理程序的完整性监控,监控对虚拟机系统管理程序进行的XX更改,从而将虚拟化系统的安全性和合规性扩展到虚拟机系统管理程序;
(3)通过可信事件标记功能降低管理开销;
(4)通过安全软件认证服务提供的基于云的自动白名单功能,减少已知良性事件的数量,使管理得以简化。
5、入侵阻止
(1)可检查所有输入和输出通信,不给任何违反协议、违反策略和可能导致攻击的内容以可乘之机;
(2)通过对已知的未经修补的漏洞进行虚拟修补,防止其被无限制利用;
(3)短短几小时内便可自动屏蔽新发现的漏洞,无需重启;
(4)协助合规性保护Web应用程序及其处理的数据;
(5)防止SQL注入、跨站点脚本攻击和其他Web应用程序漏洞;(6)为所有主要的操作系统和超过100款应用程序(包括数据库、Web服务器、电子邮件服务器和FTP服务器)提供立即可用的漏洞防护;
(7)更好地查看或控制访问网络的应用程序。
6、日志检查:
(1)收集操作系统和应用程序日志并进行分析,以确认数据中心内是否存在可疑行为、安全事件和管理事件
(2)协助合规性优化对隐藏在多个日志条目中的重要安全事件的识别;
(3)将事件转发至安全管理平台系统或集中日志服务器进行关联、报告和存档。
1-2持续数据保护虚拟化管理网关
指标项
指标要求
基本描述
具备虚拟化存储管理功能,支持存储设备的整合和虚拟化,实现异构存储设备的数据集中整合存储,能够整合固态盘阵产品,保持和形成一个能够支持未来稳定、高可靠、高性能的数据中心级虚拟存储结构。
存储虚拟化
支持对各类主流存储设备进行虚拟化,提供面向应用的存储服务能力。
并提供官方证明链接。
要求支持:
Huawei(OceanStor5000系列,18500等)
Sugon(DS系列),NetAppE系列
IBM(DS全系列,V系列XIV)
HDS(AMS系列,HUS系列,VSP系列)
HP(MSA系列,EVA系列3PAR系列)
EMC(CLARiiONCX系列,VNX系列,VMAX系列,Semetrix系列等)
Infortrend(ESDS系列产品)
SUNStorageTek系列;DellCompellent/EQ/MD系列;
等当前市场主流存储设备。
连续数据保护能力
要求支持对核心业务系统的连续数据IO捕捉记录(精度应达到1/1000000秒),可回退到任意指定时间点。
设备提供快照工作模式,与Journal录像模式同时在同设备上工作。
录像模式以波形图形式体现。
每个Journal/Snapshot作为应急系统可随时短时挂起充当业务系统运行,原影响生产系统不做任何改动。
接入方式
采用带内部署方式接入,支持不更改原有的服务器或存储数据内容及格式映射关系,无需进行数据迁移,应用系统和保护设备的任何故障都互不影响,不影响到其他应用系统
写入缓冲技术要求
要求具备写入缓冲技术提升写入性能,并且采用非内存型技术,虚拟化管理器本身所配置缓存不可以驻留数据,避免管理器故障后导致数据损坏)。
读取缓冲技术要求
要求具备热数据读取缓冲技术增加热数据的频繁读性能提升,保证如数据库等常用热数据的预读加速。
数据迁移能力
要求设备提供数据在不同异构存储间的迁移及数据镜像能力。
在不影响原因存储性能集成商实现异构存储镜像
*快照保护能力
要求提供对存储数据的快照保存技术,通过存储虚拟化设备自身功能完成数据快照保护,无需额外添加其他设备和软件,支持的快照数量不小于1000个,支持同时提起多个快照同时验证。
精简配置
要求支持thinprovisioning精简配置
存储架构
支持多节点集群,负载均衡Active-Active工作模式
I/O优化
可对高速缓存进行大小划分、读写比例分配
支持对不同存储卷分配高速缓存,实现存储I/O性能提升
支持存储卷级别的I/O性能调整,以保证最重要的业务系统能有最好的I/O性能
一键式接管
可结合现有VMWARE、hyperv等虚拟化平台,在业务主机故障时,可一键式进行P2V业务接管。
通过Vmware、Microsoft兼容性认证,提供截图和官方链接。
演练恢复
数据可用性,可在生产中心或异地容灾中心随时验证数据确保可用性,灾难演练与生产系统无关性,并支持即时灾难恢复的演练。
灾备功能
要求具备远程数据复制功能replication,并且支持多对一复制。
无需借助额外设备实现异地窄带数据复制和容灾。
在低带宽链路情况下能够进行高效的数据传输。
能够提供微单元传输技术,将传输的最小数据单元缩小到512字节,提供断点续传、加密传输、连续传输,及策略传输(时间增量)功能
灾备架构
支持现有的本地连续数据保护,并且可以实现未来的A到B点的容灾架构,同时可以满足未来向两地三中心A-B-C或A-B/A-C的容灾架构的扩展及数据传输。
快速恢复能力要求
当数据丢失或数据瘫痪时能够通过快照技术,或者在快照恢复技术外能投提供更为精细恢复手段,针对磁盘I/O级的保存和历史恢复能力,以达到更为精准的历史恢复能力。
RPO/RTO
如果发生为本地的逻辑故障或者设备故障,要求本地就可以恢复。
本地RPO趋近于0,RTO<=10分钟
不停机备份支持
不影响业务连续运行前提下支持备份软件从持续数据保护中直接备份至物理磁带机中,实现数据长期归档要求。
数据复制的通讯协议
要求支持IP数据传输、FC传输的灾备能力
主机接口类型
同时支持FC、IP(iscsi)接口。
FC接口要求
本次配置要求单台虚拟化控制器配置不少于4个16GBFC接口
iSCSI接口要求
本次配置要求单台虚拟化控制器最低不少于4个千兆iSCSI接口
内存
本次配置要求单台虚拟化控制器不低于32GB
容量要求
至少包含800GBSSDCache
体系结构要求
支持双节点冗余;不接受虚拟化管理器为windows系统内核;不接受UNIX主机安装代理的接入方案。
管理界面
要求产品能够实现统一界面管理,要求图形管理界面及命令行管理界面显示的Logo及核心平台代码标识与投标产品品牌一致,并可管理多台CDP设备。
1-3云计算中心信息化网络安全态势感知和通报预警平台
指标项
参数要求
信息安全态势感知平台
*1、提供充分满足本平台运行的硬件平台和安全操作系统,配置不少于6个千兆电口,本次配置有效存储容量不少于6TB(采用RAID10),日志处理能力达到>30,000条/秒,满足1TB数据查询返回结果时间<3秒的要求,能够平滑升级,可通过增加计算节点数量实现性能提升,投标文档应明确列明硬件参数详细指标和部署拓扑图;
2、首页展示包含以下内容:
(1)风险业务雷达图,展示TOP风险业务,并支持跳转到业务监视页面中;
(2)攻击地图和实际攻击事件列表,支持按攻击源和目的进行攻击指向动态展示以及攻击事件的滚动展示;
(3)对全网安全状况进行评分并展示安全告警个数和增长情况;
(4)高风险资产统计及增长情况,并支持跳转到设备视图。
3、对现网WAF、网站安全监测平台的日志信息进行集中收集、存储、查询,支持以syslog收集安全设备日志的能力,提供日志的聚合、归类、分析等。
4、日志管理分析平台具备集群化部署方式,能够平滑升级,通过增加节点数量实现性能提升全景拓扑管理:
支持全景展现网络设备(路由器、交换机)、安全(FW/IPS)、LB、服务器、应用、数据库等资源节点的拓扑连接关系、链路状态、设备状态等的结组网构和状态信息;
5、应用监控管理:
支持对操作系统、数据库、中间件、应用进行监控,并通过列表展示应用详情,包括应用名称、应用类型、健康状况和可用性等;
6、业务监控管理:
支持业务定义,包含指定业务名称、描述、优先级、联系人、业务中包含的应用和服务器、业务中包含的网络设备等信息,支持业务建模并通过大屏直观展示业务安全风险状况以体现安全运维管理成果;
7、安全策略管理:
支持防火墙域间策略定义与下发,支持IPS特征库管理和策略定义,支持IP地址管理、服务管理、时间段管理、动作管理等全局资源管理,并由安全策略引用;
8、安全事件分析:
对最近一小时的事件进行汇总分析和展现。
支持按设备名称、TOP个数、业务等作为分析条件。
提供攻击源TOP、目的TOP、产生事件最多的设备TOP、产生最多的事件TOP、事件趋势、攻击协议TOP等分析图表;
9、拓扑管理与攻击溯源:
管理平台支持展示网络拓扑和安全拓扑,支持完整攻击拓扑溯源,可展示攻击路径上的交换、路由、安全设备;
10、资产管理:
支持对网络资产、服务器资产、应用资产的增删改以及导入导出(excel);资产信息包含路由器、交换机、FW、IPS、LB等的位置、序列号、软硬件版本、维保信息、联系人等;
11、支持丰富的机器学习算法,能自我完善模型、训练数据,支持离线数据挖掘,实时数据分析。
11、资产风险评估:
展示资产威胁信息、和脆弱性信息,以及基于威胁和脆弱性计算出的风险评估概况;
12、风险分析功能:
支持对系统各自业务的风险分析,包括对业务的健康度、繁忙度、可用性、风险级别,以及业务监控中app、主机、网络设备占比饼图;支持从业务风险概览中的业务卡片,打开业务对应的拓扑,查看被建模成业务的各个对象的连接关系;
13、支持自定义告警规则。
支持多种告警监测的方式,可选择实时、cron、常规(每月第几天、每天的几点钟)安全告警检测。
支持邮件、短信、提醒框等多种方式通知用户。
1-4郑州教育云计算中心运维
指标项
参数要求
郑州教育云计算中心技术运维
1、合理规划云平台各应用存储资源使用;
2、云平台日常运行存储空间、备份策略、虚拟带库管理、CDP策略;
3、虚拟化环境管理:
虚拟机分配、资源监控、虚拟机安全等;
4、系统软件(包括Linux操作系统、mySql、双机热备软件等)版本升级(或安装新版本)、故障维护及性能优化调整等;
5、容灾策略优化
生产中心和灾备中心关键业务CDP复制,保证数据级异地容灾;
生产中心和灾备中心关键数据库业务VTL复制;
关键数据库直接导出到灾备中心。
6、云平台灾备演练。
1-5郑州教育云计算中心应用支撑服务
郑州教育云计算中心应用支撑服务
郑州教育云计算中心应用支撑服务完成对运行于云平台上的各系统进行维护、保障、升级等实施规范化服务内容,规范项目的实施标准、服务标准,保证云平台业务运维服务期内各系统纳入教育数据中心体系,实现统一的身份认证和统一数据管理,确保需方对使用者的统一管理和统一认证能力,简化各类教育用户的操作繁琐性,提升系统效率。
具体内容如下:
1、支撑应用服务的技术支撑
应用支撑服务包括各类标准体系,用于应用拓展,消除孤岛。
具体包括,基础数据标准:
兼容国家教育行业通用标准,并可根据用户教育管理特色进行标准扩充;数据交换共享规范:
符合EMIF应用数据互操作规范,符合规范的应用都可以便捷的交换数据;统一身份认证规范:
符合认证行业CAS、oAuth标准;应用集成规范:
应用集成规范;统一接口标准:
基于XML、JSON格式以及HTTP协议标准的标准化接口方式。
2、应用支撑服务形式:
实现对教育系统测试、维护全的标准化和统一化,形成从验收、部署、配置、调优工作、维护等工作的全程监控、全程支持、全程服务、全程记录。
3、服务对象:
服务期内运行及建设的信息化项目。
3.1在建系统接入服务
在建系统通过与应用支撑服务中技术平台的对接,实现在建系统和教育数据中心的数据和物理连接,从而实现教育数据中心的统一权限、统一数据、统一管理;
3.2服务期内建设的信息化项目开发结果和服务实施结果接受本体系的服务
(1)在建系统完成后应接受本体系对于软件质量评估、软件服务评估和规范的服务,通过以上服务对在建系统的整体质量有一个明确的客观评价,同时可以对在建项目的服务标准进行统一化,实现服务的可量化、可参照化,提升在建项目的服务质量。
(2)当有新业务应用系统上线时,负责完成应用和数据服务的部署和实施,并接入云计算数据中心平台;
(3)通过云平台业务支撑服务的建设,以全程监控、全程支持、全程服务、全程记录为核心,建立一个面向软件生命全周期的保障服务体系和标准,通过以上的服务方式达到规范需方应用系统建设及应用维护标准化及规范化体系建设,可追溯化与可统一化的信息记录规范标准的构建。
项目2:
郑州市中小学电子学籍管理系统升级
序号
指标项
参数要求
2-1
数据库服务器
结构:
4U机架服务器(配置导轨)
CPU:
支持4个Intel处理器,本次配置CPU:
≥4颗IntelE7v3处理器;
内存:
最大可扩至6TB内存容量;本次配置≥256GB内存
硬盘:
最高可配24个2.5英寸热插拨12Gb/6GbSAS硬盘或SAS/SATA固态硬盘;本次配置6块600G2.5寸热插拔15KSAS硬盘
阵列卡:
支持RAID0、1、5、10等,缓存2GB
光驱:
内置DVD光驱
网卡:
可灵活选择板载网卡(Intel或者Broadcom品牌,千兆或万兆),本次配置2块Broadcom双端口千兆网络卡;2块双端口万兆以太网卡,兼容iSCSI;
HBA卡:
2块Qlogic16Gb单端口HBA卡;
IO插槽:
≥10个PCI-E插槽,其中PCIe3.0插槽≥8个;
虚拟化支持:
可选冗余SD卡,支持在服务器本地通过非硬盘安装方式部署VMware或Citrix虚拟化平台的Hypervisor
应用加速:
利用SanDiskDAScache软件实现应用加速;
电源:
可选热插拔后备双电冗余源,配置4个≥1100W电源;
其他:
前面板带有LCD液晶面板显示服务器状态信息
管理:
本次配置远程管理卡模块IDRACEnterprise,
提供远程管理功能,支持远程虚拟介质,支持硬件故障检测,电源、电压、风扇监控,温度监控,远程开关机,报错日志管理。
2-2
oracle11g企业版
1、投标人提供的产品必须是全新的正版产品;
2、版本为oracle11g企业版;
*3、授权为1Processor数据库,FULLUSE许可,含一年原厂标准服务
2-3
电子学籍系统数据服务及决策分析系统
为更好的发挥学籍在区域教育决策和基础数据验证的作用,开发电子学籍系统数据服务及决策分析系统。
具体如下:
一、电子学籍系统数据服务
提供学生身份认证、获取学籍简易信息等对外学籍服务接口。
通过严格的身份认证保障学籍数据的安全性。
1、应用注册
输入应用名称,应用标识,应用IP地址,可查看的数据范围注册应用,注册成功后生成唯一密钥。
每次调用服务接口时需默认提供应用标识,密钥做应用接入许可认证。
2、服务接口API
每个API只接收POST的请求;请求头必需包含应用标识,密钥信息。
每个API只能在应用注册时设置的数据范围内做学生身份证与获取学生信息。
输出结果以JSON格式呈现。
(1)学生身份认证接口:
提供学籍号、身份证号、姓名与身份证号的方式单个或批量验证学生信息是否存在。
(2)获取学生信息接口:
通过学籍号、身份证号、姓名与身份证号获取单条或多条学生信息;
(3)获取学生照片:
提供按照学籍号获取学生照片的服务接口;
(4)批量获取授权下的指定学校全部学生信息的接口,获取的学生信息格式可自定义;
3、学籍数据质量检查
发现各类问题数据,追踪问题数据的生产源头。
(1)身份证号为空或重复;
(2)学籍号为空或重复;
(3)照片未采集;
(4)必须存在一组完整的监护人信息;
(5)性别,出生日期,民族,户口类别不能为空;
(6)因手工数据处理产生的学籍唯一号重复数据问题等。
二、电子学籍系统决策分析
提供电子学籍数据基础分析报表
1、教育事业统计类:
中小学学校数、中小学班数;
2、学生类统计类:
中小学在校生人数-按办学类型、中小学在校生人数-按年级、中小学在校生人数-按其他、特殊教育学生人数、留守儿童统计报表、进城务工随迁子女统计、学籍异动统计表、学籍注册监控汇总表;
3、学校报表:
小学教学班数、班额情况,中学教学班数、班额情况,小学学生数,初中学生数,中小学、特殊教育学生变动情况,在校生中其他情况及外国籍学生情况,学生异动花名册等;
4、义务教育均衡化县(区)督导评估报表。
项目3:
郑州教育云数据中心异地容灾中心扩容
1-1CDP授权容量扩容
指标项
技术规格要求
现有CDP授权情况
实时数据保护(CDP):
飞康GA7001(允许扩展),裸容量20TB
扩容配置
飞康GA700授权容量扩展20TB,达到40TB授权。
对接要求
扩容配置需与原有配置无缝对接;
1-2IPSAN存储
指标项
参数要求
控制器
配置双控制器
接口
2个1GbEiSCSI端口,可选择升级到2个10GbEiSCSI端口
网络接口数
每个控制器四个10GbE铜缆接口
在线更换
支持在线更换控制器;支持在线更换存储系统
高可靠性
单台存储即可实现无单点故障,冗余电源、风扇、硬盘、控制器;支持在线更换电源、风扇、硬盘和阵列控制器,支持自动的负载均衡
配置硬盘
SAS硬盘,24*2000GSAS7.2k
硬盘支持
磁盘组支持NL-SAS、SAS、SSD固态硬盘混插;支持盘柜平滑扩展,最大可支持48个硬盘在一个虚拟磁盘组
LUN数量
单个存储节点可以划分至少1024个LUN
RAID配置
支持RAID5、RAID10、RAID50、RAID6
RAID在线转换
支持服务器在线应用不停机的情况下可以从RAID10转化成RAID50或RAID6或RAID5;从RAID50转化成或RAID6或RAID5;从RAID6转化成RAID5。
这些转换必须确保生产数据不丢失;必须确保RAID在线转换时对应用性能不造成影响
数据保护
全局HotSpare技术;支持磁盘后台扫描,数据逻辑安全监控,确保数据端到端的保护
基本管理软件
配置基本管理软件。
支持GUI、SNMP、Telnet、SSH、HTTP、SSL,MRTG多种管理模式和命令行管理;支持通过Email或SNMP协议向系统管理员报警;提供虚拟存储管理功能
性能监控管理软件
配置性能监控管理软件,支持集中式GUI管理,可监控和分析多个虚拟存储组中的所有存储系统的性能,实现在单一管理界面下的性能监控、性能分析等。
多路径管理软件
配置多路径管理软件,实现主机通道负载自动均衡到同一虚拟存储组中的多个存储系统的不同IP端口。
快照软件
配置快照软件,需同时支持Snapshot和Clone方式。
要求快照卷必须支持唯读或读写。
快照定制软件
配置快照定制软件,实现图形化界面操作来建立快照可自动按指定时间间隔重复执行的任务。
双向远程复制软件
配置数据远程复制软件,实现数据容灾级远程备份。
数据可以从A存储远程复制到B存储,也可从B存储复制到A存储。
远程复制定制软件
配置远程复制定制软件,实现图形化界面操作来建立远程复制可自动按指定时间间隔重复执行的任务。
自动精简配置卷
配置自动精简配置卷功能;支持数据卷在基本静态卷和自动精简配置卷之间随意在线更换设定;可以为将来的存储空间分配提前规划完成。
卷的在线扩展
配置卷容量在线扩展软件或功能,实现卷容量在线动态扩展。
卷的跨盘阵扩展
配置卷容量跨盘阵扩展软件或功能,实现卷容量可自动跨越到不同的存储系统上。
卷的在线迁移
可以根据对生产卷的性能要求变化,随时在线将数据卷调配到不同性能的存储组里、无需在主机安装或执行任何额外软件,应用系统不用停机。
虚拟存储功能
采用IPSAN虚拟化存储组技术;用户仅需通过一个唯一的虚拟组IP地址来管理所有的存储系统;可以实现多层虚拟化架构;要求虚拟化存储组技术必须由盘阵自嵌带,不能在主机上安装任何额外软件,以避免影响主机性能和影响兼容性的问题。
操作系统兼容性
Windows®2000Server、WindowsServer®2003、WindowsServer®2008(包括Hyper-V™)、WindowsSe
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 项目 郑州 教育 平台 虚拟 安全