1 项目背景概述
1.1 项目背景理解
1.2 项目需求范围
2 项目技术方案
2.1 咨询研究服务方案
2.1.1 咨询研究服务内容
2.1.2 咨询服务方案
2.2 第三方独立评估
2.2.1 概述
2.2.2 管理办法
2.2.3 考核机制
2.3 安全咨询研究服务方案
2.3.1 安全咨询服务内容
2.3.2 咨询服务方案
2.4 政务云咨询研究服务方案
2.4.1 政务云咨询服务内容
2.4.2 咨询服务方案
2.5 信息安全方案
2.5.1 安全服务原则
2.5.2 安全服务措施
3 项目实施方案
3.1 项目管理流程
3.1.1 项目流程
3.1.2 项目启动阶段
3.1.3 需求分析阶段
3.1.4 需求规格阶段
3.1.5 设计阶段
3.1.6 开发阶段
3.1.7 测试阶段
3.1.8 试运行阶段
3.1.9 验收阶段
3.1.10 项目维护阶段
3.2 质量控制流程
3.2.1 立项阶段
3.2.2 开发阶段
3.2.3 结项阶段
3.3 项目实施团队
3.3.1 团队人员架构
3.3.2 团队人员能力
3.3.3 技术服务人员管理
4 项目服务计划
4.1 服务承诺
4.2 服务响应承诺
4.2.1 服务响应方式和内容
4.2.2 服务受理时间
4.2.3 服务响应时间
4.2.4 服务响应承诺
4.3 技术服务承诺
4.4 售后服务方案
4.4.1 服务规范体系
4.4.2 服务质量保障措施
4.4.3 服务管理保障措施
5 相关项目案例
5.1 某移动公司市场业务重点领域调研咨询项目
5.1.1 项目目标与需求分析
5.1.2 总体调用咨询方案
5.1.3 业务调研咨询方案
5.1.4 项目成果
5.2 某移动公司5G应用市场发展研究咨询项目
5.2.1 项目背景与需求分析
5.2.2 整体思路与框架
5.2.3 业务研究与咨询方案
5.2.4 项目成果
1.1 政务云咨询研究服务方案
1.1.1 政务云咨询服务内容
在本次项目中,我司将为企业提供相关政务云咨询研究服务,助力企业满足H市公共数据主管单位对政务云的应用、管理与维护需求。
具体,在本次项目中对于政务云咨询研究服务,我司将提供的具体服务内容包括:
l 从政务云平台日常运行、运营服务、系统迁移等主要工作出发,落实运营管理制度研究、迁移计划与目标、前瞻性扩容需求调研,落实业务和技术的演进路线的咨询、课题研究;
l 根据云技术标准化技术委员会的工作要求,研究制定云平台标准体系;
l 将引入专业性机构进行各类质量体系认证、成熟度评估、服务能力评估、合规性审计等工作。
1.1.2 咨询服务方案
1.1.2.1 云平台运营管理研究
政务云(Government Cloud)是指运用云计算技术,统筹利用已有的机房、计算、存储、网络、安全、应用支撑、信息资源等,发挥云计算虚拟化、高可靠性、高通用性、高可扩展性及快速、按需、弹性服务等特征,为政府行业提供基础设施、支撑软件、应用系统、信息资源、运行保障和信息安全等综合服务平台。
1.1.2.1.1 总体技术咨询
1.1.2.1.1.1 政务云总体架构
u 政务云架构设计
1、政务云建设模式
政务云采用“省市两级、物理分散、逻辑统一、按需共享”的分布式架构体系,包括1个省级政务云平台、N(N≥10)个市(州)级政务云平台、在用或在建的N(N≥0)个省级政府部门政务云分平台及1个云灾备平台,简称“1+N+N+1”模式。各级政务云平台均划分为内部业务区和外部业务区,内部业务区可根据业务需求进一步划分独立的部门业务承载区域,其中外部业务区承载连接互联网的业务系统,内部业务区承载连接电子政务外网的业务系统,两大业务区的计算和存储资源池要求物理隔离。
省级政务云平台通过与云服务商合作运营方式构建,并采用同城双活架构,通过同城双活灾备平台实现关键业务系统的双活灾备。市(州)级政务云平台可通过与云服务商合作运营方式构建或利用现有环境自建,并为本地(含县、市、区)政府部门提供云服务。各级政务云平台通过分布式云计算和SDN(软件定义网络)技术,实现物理分散、逻辑互通、资源共享的政务云。
2、政务云技术标准
(1)计算资源池设计
各业务区计算资源池要求物理隔离,配备独立的物理服务器,并根据业务需求安装虚拟化软件、创建虚拟化资源池,并纳入本级政务云管理平台进行统一管理和调度。
(2)网络资源池设计
各级政务云平台要求提供SDN、VxLAN相关网络服务,能实现动态的网络资源调配和隔离,并支持与互联网、电子政务外网及各类非涉密行业专网的安全连接。
政务云平台内、外两个业务区的业务数据、存储数据和管理数据要求通过独立网络承载,实现流量隔离,其中承载业务数据的业务网至少具备10G网络通讯能力、承载存储数据的存储网至少具备8G网络通讯能力、承载管理数据的管理网至少具备1G网络通讯能力。
(3)存储资源池设计
省级政务云平台采用基于FC-SAN存储,市(州)级政务云平台可根据自身工作需要选择基于FC-SAN技术的集中存储或分布式存储。其中FC-SAN存储适用于对IOPS(Input/Output Operations Per Second,每秒输入输出操作次数)要求较高的业务系统。分布式存储适用于存储海量非结构化数据。
(4)云管理平台功能设计
各级政务云平台要通过本级云管理平台实现对本级政务云资源的集中管理、弹性计算、自动化部署和资源区域划分等功能,并按照统一接口标准与政务云运行监管平台实现对接。
3、政务云平台服务目录设计
各级政务云平台需要提供的以下基础服务,其他增值服务可根据需求选择提供:
u 政务云运行监管平台设计
ü 监管设计
为实现对政务云各级各类政务云平台的统一运行监管,在省级政务云平台统一建设政务云运行监管平台,监管要求如下:
1、动态监管
对省、市(州)政务云平台实时动态监管,监管内容包括:云服务能力监管、云资源状态监管和云资源效能监管。监管功能包括:宏观调度、资源监控、安全审计和动态调优等。产生的月度使用报告和年度运行报告可作为政务云核算租费、资源调配和增容的依据。
2、分级统一监管
各级政务云平台通过统一接口标准和规范与政务云运行监管平台实现对接,授权登录后实现对本级政务云平台的监管,省级政务云管理部门可通过该平台实现对全省政务云的统一监管。打造“省级统一监管,市(州)分级管理”的管理模式,能够确保建设有序,运行统一和协调一致;
3、业务快速部署
通过政务云运行监管平台对纵向业务系统的云资源、业务系统和数据库应用模版进行整体打包,分发至各级政务云平台中完成应用模版的整体调用和业务系统快速部署。
ü 接入设计
各级政务云平台均须接入政务云运行监管平台,并实行统一的运行监管、宏观调度、资源监控和安全审计。按照统一监管要求,各级政务云平台要采用统一的KVM/Openstack开源架构,各级云管理平台要基于统一的Openstack接口规范接入政务云运行监管平台,接口规范包括资源同步接口、资源操作接口、消息通知接口、资源监控告警接口及资源性能监控接口。
1、资源同步接口:主要用于政务云监管平台周期性地同步下层各级云平台中的资源配置信息和资源状态信息到云管理资源数据库中,保持云监管平台和各平台之间数据的一致性。此外,各级云平台中资源的变化情况也会同步上来,例如因容量扩展需要而增加的物理机、存储或者网络设备等。
2、资源操作接口:依据资源类型不同,具体操作接口有差异,提供对各类资源的操作能力。比如虚拟机操作包括增删改查,启动/关闭/重启,快照/备份,绑定卷,设置访问控制策略,绑定浮动IP,配置网络,迁移,扩展等。
3、资源监控告警接口:针对不同的资源提供监控指标和监控策略配置,以及告警事件的收集接口。
4、资源性能监控接口:提供资源利用情况的数据采集接口,主要是性能,包括CPU、内存、网络、IO等等。
5、消息通知接口:提供反向通知能力,用于各级云平台向云运营管理平台发送事件,比如安全事件或者故障事件等,便于云管理人员及时采取措施。
如采用非KVM虚拟化技术路线,须确保开放相关接口并能实现政务云平台与政务云运行监管平台有效对接。
1.1.1.1.1.1 政务数据共享交换
u 政务数据共享交换平台设计原则
ü 政务数据覆盖范围
政务数据来源主要包含以下两个部分:
政府内部产生的数据:这是数据的主要来源,涉及到各级政府部门所有在用、在建或待建的业务系统产生的数据,以及业务办理过程中产生的其他类型数据。
企事业单位产生的数据:社会事业单位和企业产生的数据,包括水、电、煤气等公共事业数据、电信运营商数据和银行数据等。
ü 政务数据组织原则
通过对部门政务数据进行调研和梳理,构筑供求关系和数据生态环境,厘清围绕数据应用的责权利关系。数据从原始分散的数据孤岛,通过交换汇集为有条理有组织的数据资源集,形成数据金字塔型依赖关系。通过原始数据的交换处理,形成基础资源库。在原始数据库与基础资源库生成的基础上,构建主题库。
1.1.1.1.1.1 政务云安全设计
在技术复杂性和管理多元的前提下,业务系统和政务数据在政务云平台集中部署和存储,风险高度集中。为确保政务云安全运行,需要对云平台、各业务系统和政务数据做到可管理、可控制、可追溯,同时明确政务云管理部门、云使用单位和云服务商之间的安全边界和安全责任。
云服务商应与本级政务云管理部门和云使用单位签订相关安全协议,明确责任边界、网络安全和系统配置、与业务系统相关的安全策略、政务数据存储地点和方式、政务数据备份策略等内容。
u 安全区域划分
根据政务云总体规划,各级政务云平台均划分为内部业务区和外部业务区,其中内部业务区包括公共业务区和部门业务区,外部业务区包括分区管理。具体区域划分及安全管理要求如下:
1、内部业务区
(1)部门业务区
部门业务区承载各云使用单位的业务系统,非本部门用户不能直接访问该区域的数据和业务系统。各云使用单位的虚拟私有网之间逻辑强隔离,为部署在不同虚拟私有网的业务系统、数据库系统和视频系统提供安全数据交换,有效降低数据泄露风险,切断来自外部的网络攻击路径,阻断病毒传播途径,预防信息窃听和信息篡改等非法攻击行为,确保关键业务系统和重要数据不受到来自外部的安全威胁,确保业务系统及政务数据安全。
(2)公共业务区
用于跨部门、跨地区数据共享交换及承载公共业务应用系统。云服务商有责任将云平台的相关系统管理功能授权给各云使用单位进行使用和日常管理,业务系统及数据的共享交换权限由所属云使用单位负责。业务系统和政务数据基础安全服务由云服务商参照信息系统等级保护第三级标准提供,安全责任由云服务商承担。
2、外部业务区
用于承载各级政府面向公众的业务系统,互联网用户禁止通过该区域直接访问内部业务区。外部业务区的互联网出口安全应按相应信息系统等级保护要求由云服务商负责,在网络边界应部署必要的安全防护设备(包括防DDoS、入侵防御、网站安全防护等功能模块或设备),确保互联网入口安全。
u 区域连接与隔离原则
1、内部业务区中分区安全隔离要求
各级政务云云平台的公共业务区与部门业务区之间通过部署虚拟防火墙实现逻辑隔离。部署在公共业务区的业务系统按照信息系统等级保护第三级标准进行建设和防护,部署在部门业务区的业务系统依据业务重要性和安全保护需要,可选择按照信息系统等级保护第二级或第三级标准进行建设和防护。部门业务区内建设独立的二级等保计算物理资源池和三级等保计算物理资源池。
1、内部业务区与外部业务区安全隔离要求
内部业务区是外部业务区数据的重要来源,两个区域之间通过有效的跨区域数据安全交换系统进行安全隔离和交换,不允许直接互访。部署在内部业务区的业务系统不分配公网IP,互联网用户无法直接访问内部业务区部署的业务系统和政务数据。外部业务区根据业务系统需要分配公网IP,互联网用户可以直接或经授权直接访问相应的业务系统。
各类移动终端通过互联网或移动通信网络访问内部业务区域部署的业务系统,须通过安全接入平台访问相应的业务系统,安全接入平台要求具备身份认证、网闸交换、数据加密、移动设备安全管理及安全策略制定等功能。
u 政务云安全体系架构
各级政务云平台建设和管理要达到信息系统等级保护第三级要求,云服务商应按照国家相关要求,组织开展各级政务云平台的信息安全等级保护测评和安全服务审查,确保达到国家信息安全主管部门的标准要求。按照各级政务云管理部门的监管要求,建立本级政务云平台专职安全管理团队,落实安全责任,制定安全管理制度,细化安全策略,优化安全防护措施。各级政务云安全体系架构如下:
1.1.1.1.1.2 政务云灾备平台
政务云承载的业务系统数量多、涉及面广、数据量大,为避免受到断电、火灾、市政施工挖断光缆、洪水、台风、地震等不可抗外力影响,导致数据丢失甚至业务中断,需要建设云灾备平台来备份重要数据,并省级建立同城双活备份平台实现关键业务实时自动接管。