浙江省电子政务云建设方案

各级政务云与同级政务外网通过10G专线互连，政务云网络与政务外网互为备份。政务云网络与公有云之间通过10G专线互连。省政务云广域骨干网由省级政务云平台与11个市的高速交换路由器构成，各级城域汇聚路由器负责各级城域网单位连接，全省政务云网络物理连接如图8所示：图SEQ图\*ARABIC8省政务云物理连接示意图MPLS-VPN规划全省政务云网络规划为两大类VPN：公众服务专网（VPN1）和资源共享专网（VPN2），分别与政务云平台的公众服务专区和资源共享专区互联，并全省纵向贯通。根据业务需求，两类专网在省、市两级分别通过安全隔离措施互访，并对互访内容进行日志审计。省政务云MPLS-VPN骨干网结构如图9所示图SEQ图\*ARABIC9省政务云MPLS-VPN骨干网结构图省政务云承载网络MPLSVPN骨干网所有P和PE设备运行在一个AS自治域内。省核心P设备下联11个地市的核心P设备作为全省政务云骨干网，省政务云承载网络P设备与同级政务外网P设备互通。P设备主要作为骨干网流量汇聚设备，PE设备主要作为用户接入汇聚和VPN隔离。路由策略及IP地址规划与省政务外网一样，省政务云网络采用OSPF动态路由协议。OSPF协议采用多区(AREA)模式，广域骨干网中各市政务云平台的主路由器与省级政务云平台路由器都划分到OSPF的Area0内，与之相连的下级节点的设备再分别划为不同的OSPFArea，将各市的区号作为相应的OSPFarea号。表SEQ表格\*ARABIC4各市OSPFarea号市名称AREA号衢州0570杭州0571湖州0572嘉兴0573宁波0574绍兴0575台州0576温州0577丽水0578金华0579舟山0580省政务云IP网络地址使用省政务外网的IP地址段：172.*.*.*,59.*.*.*，-/24。IP地址详细分配方案另外下发。安全系统设计省政务云网络和省政务云平台应满足信息系统安全等级保护三级（含）以上要求。省政务云网络安全主要包括了政务云网络和其他网络互访的边界安全防护，以及政务云网络内部的安全防护。省政务云平台安全体系包括物理资源层安全、资源抽象与控制层安全、云服务层安全以及云安全基础服务五个方面内容，其中云服务层安全包含IaaS安全、PaaS安全和SaaS安全。如图10所示。图SEQ图\*ARABIC10省政务云安全体系框架图云网络安全1．政务云网络边界安全为适应各类业务应用需求，在安全的前提下，实现公有云和政务云间有限的双向访问。在边界需要部署防火墙、入侵防御、安全审计等设备进行安全防护，并配合完善风险管理机制和安全管理制度实现云网络层边界安全运行，如图11所示。图SEQ图\*ARABIC11政务云网络边界安全部署图业务数据的流入方向包括：①互联网用户直接访问政务云内部的公众服务专区；②公有云的公众服务专区访问资源共享专区；③政务云内的公众服务专区访问资源共享专区；对于①，由于政务云内部的公众服务专区直接接入互联网，面对互联网的安全威胁较大，需要在互联网出口部署全面的安全设备，如流量清洗、防火墙、入侵防御、日志审计等设备来提供安全防护。对于②和③，除了已定义好的数据交换的交互过程，其他情况不允许公众服务专区访问资源共享专区，定义好的数据交换的交互内容需要实时监控和审计。业务数据的流出方向包括：①政务云的公众服务专区和资源共享专区访问互联网；②资源共享专区访问公有云的公众服务专区；③资源共享专区访问政务云内的公众服务专区；对于①，除了实现系统在线升级等特殊需要需访问互联网，其他情况不允许访问，从而避免内部用户的恶意操作或误操作造成数据泄露。对于②和③，除了已定义好的数据交换的交互过程，其他情况不允许资源共享专区访问公众服务专区，定义好的数据交换的交互内容需要实时监控和审计。2．云网络内部安全省政务云采用两级部署方式，采用统一的身份认证，除了依赖政务云承载网的网络安全外，还需要增加日志审计设备实现对全网的日志审计。物理资源层安全物理资源层安全是指政务云运行所需的机房运行环境安全，以及主机、存储和网络等设备的安全。1．机房运行环境安全，承载政务云平台的物理机房应满足GB50174-2008《电子信息系统机房设计规范》中的A类机房建设要求。2．主机安全，政务云平台的物理主机应满足GB/T22239-2008《信息系统安全等级保护基本要求》主机安全三级（含）以上防护要求。3．存储安全，政务云平台的存储应满足GB/T22239-2008《信息系统安全等级保护基本要求》三级（含）以上数据安全与备份恢复要求。4．网络安全，政务云平台的网络应满足GB/T22239-2008《信息系统安全等级保护基本要求》网络安全三级（含）以上防护要求。资源抽象与控制层安全资源抽象与控制层应安全稳定运行，确保虚拟化实例对物理资源层的访问隔离，确保虚拟化实例之间的安全隔离，确保虚拟化实例的可靠性，确保虚拟化实例释放时其数据完全被清除，其安全防护主要如下：（1） 应通过安全加固技术确保资源抽象与控制层安全稳定运行，并及时修复虚拟化共享技术带来的技术漏洞。（2） 应采用虚拟化重定向技术限制政务云IaaS层对物理资源层的直接访问，保证IaaS层服务对物理资源层的调度和管理均在资源抽象与控制层内完成。（3） 应对物理资源层的主机中央处理器采用弹性计算单元化技术，实现不同政务云IaaS层虚拟化实例对同一物理资源层主机中央处理器的计算资源相互隔离和质量控制，确保同一物理资源层主机上的不同政务云IaaS层虚拟化实例不会出现计算资源争抢。（4） 应采用内存独占模式保证政务云IaaS层虚拟化实例的虚拟内存地址具备唯一性，确保每个政务云IaaS层虚拟化实例内存容量独立性，不同实例间无法共享内存，互相之间无法访问。（5） 应采用分布式离散存储技术保证政务云IaaS层虚拟化实例的可用性，确保部分数据损坏不会影响其常使用，损坏的数据应自动修复。（6） 应采用数据链路层、网络层访问控制技术实现对IaaS层不同虚拟化实例的隔离，以及对以太网畸形协议访问等攻击行为的隔离。（7） 应对资源抽象与控制层的运维操作实时监控和审计，系统管理员和审计管理员账号及权限分离。（8） 对于多用户模式，在同一物理计算、内存和存储资源被回收后，应支持按策略彻底释放和完全清除虚拟化实例数据。云服务层IaaS安全应确保提供的基础设施安全，能抵御分布式拒绝服务和应用攻击等网络行为，基础设施安全应包括云服务器安全、云存储安全和云网络安全等。1．云服务器安全。云服务器的特殊安全要求如下：（1） 云服务器之间应安全隔离，并管控云服务器对外部公共网络的访问。（2） 应实现不同云服务器用户的默认隔离，并实现不同云服务器间端口和通信协议的访问控制。（3） 应保证在服务期限内任何状态下的云服务器安全策略有效性，安全策略随云服务器的迁移而迁移。（4） 云服务器应在镜像生产环节通过加入协议级、服务级、必要的补丁升级及防入侵安全客户端等措施实现安全加固。（5） 云服务器应保证其镜像和快照文件的完整性，防止被恶意篡改，镜像和快照文件应具备容灾措施。2．云存储安全。云存储的特殊安全要求如下：（1） 应采用分布式离散存储技术保存云用户数据，确保不同云用户之间的存储数据隔离。（2） 应采用通讯链路加密技术保证云端用户数据和本地用户数据通讯安全。（3） 应根据策略对云用户敏感数据信息提供加密存储，云服务商不得掌握密钥。（4） 应采用云端存储空间访问权限控制技术保证云端数据的最小授权访问，防止系统管理员对云用户数据的非授权访问，防止云用户间的数据非授权访问。3．云网络安全。云网络的特殊安全要求如下：（1） 提供安全的访问控制手段，实现专有云网络对外部公共网络的访问控制。（2） 提供安全接入通道，保障云用户通过公网或VPN（虚拟专网）接入专有云网络。（3） 提供云网关、云防火墙等访问控制措施，实现云用户对专有云网络的访问控制，实现专有云网络内部之间的访问控制。云服务层PaaS安全供应商提供的统一应用框架、数据库及开发环境安全。1．统一应用框架安全。统一应用框架的特殊安全要求如下：（1） 应保证不同云用户之间的应用及数据隔离。（2） 应用框架应为应用软件提供安全的运行环境。（3） 应提供安全的访问控制手段，实现对应用框架的访问控制。（4） 应保证应用框架实例的完整性，防止被恶意篡改。2．数据库安全。数据库的特殊安全要求如下：（1） 应保证不同云用户间的数据库实例隔离。（2） 应提供安全的访问控制手段，防止系统管理员对云用户数据库的非授权访问，防止云用户对数据库的非授权访问。（3） 应根据策略提供数据库加密服务。（4） 应支持云用户自定义备份策略并实现自动备份。（5） 应保证数据库实例的完整性，防止被恶意篡改。3．开发环境安全。开发环境的特殊安全要求如下：（1） 应保证不同云用户间的开发环境隔离。（2） 应提供安全的访问控制手段，防止云用户对开发环境的非授权访问。（3） 应对云用户提交的开发代码进行安全扫描审核，确保代码合规性。云服务层SaaS安全供应商或中间商提供的应用软件安全，主要包括应用安全和内容安全。1．应用安全是指为云用户所提供的各类应用软件的安全性，其特殊安全要求如下：（1） 应保证不同云用户间的应用隔离和数据隔离。（2） 应提供安全可靠的云用户身份识别和认证机制。（3） 应提供安全的访问控制手段，防止云用户对应用的非授权访问。（4） 应提供安全的访问控制手段，防止应用系统管理员对云用户数据的非授权访问。2．内容安全是指云用户上传或者编写内容的合法性和完整性，其特殊安全要求如下：（1） 应确保云用户在云平台的应用存档、状态等信息的完整性，所有信息内容均为完全、正确、一致的状态。（2） 应通过对敏感信息的自动扫描、过滤等手段，监管信息内容，管控信息传播过程，预防云计算下的犯罪行为。云安全基础服务应向云用户提供云监测、云防护、云扫描和云审计等云安全基础服务，并为云用户提供灵活的配置和管理界面。1．云监测是指供应商应提供针对云网络、云应用的安全监测服务，应具备网络和应用安全事件的实时监测、预警和统计功能。云网络入侵检测服务要求如下：（1） 应对来自云网络外部和云网络内部的网络入侵事件进行实时检测和预警。（2） 应在云网络边界处提供网络入侵检测措施，对来自云网络外部的入侵事件进行检测和预警。（3） 应采用流量重定向技术或基于隧道的软件定义网络架构等技术，对云网络内部产生的入侵事件进行检测和预警。（4） 应为云用户提供服务管理界面，允许云用户自主灵活的配置检测范围、预警策略及报表推送策略。云应用安全监测服务要求如下：（1） 应在政务云中部署云应用安全监测系统，对来自云网络外部和云网络内部的应用安全事件进行实时监测和预警，应用安全事件应包括网页篡改、网页挂马、敏感信息发布、应用可用性故障等。（2） 应为云用户提供服务管理界面，允许云用户自定义监测策略、预警策略及报表推送策略。2．云扫描服务要求如下：（1） 应在政务云中部署扫描系统，对网络、主机、应用提供漏洞扫描服务。扫描的漏洞应包括操作系统漏洞、数据库漏洞、中间件漏洞、应用系统漏洞等。（2） 应为云用户提供服务管理界面，允许用户灵活配置扫描范围和扫描策略，支持对网络段、主机组和应用组进行扫描。3．云防护是指供应商应提供针对网络、主机、应用的安全防护服务，包括云防火墙、云杀毒、云清洗等服务。云防火墙服务要求如下：（1） 应在云网络边界处提供云防火墙，对来自云网络外部的访问进行控制。（2） 应采用基于隧道的软件定义网络架构下虚拟防火墙或流量重定向到物理防火墙技术，实现对云网络内部主机和应用的访问进行控制，虚拟防火墙支持对云主机实例的访问进行控制。（3） 应为云用户提供服务管理界面，支持云安全域或安全组划分，允许用户灵活定义访问控制策略。云杀毒服务要求如下：（1） 应在政务云中部署云杀毒系统，采用云主机实例查杀或云主机实例和资源抽象与控制层组合查杀技术，为多个用户提供病毒检测和查杀服务。（2） 应为云用户提供服务管理界面，支持配置云主机组，允许用户灵活配置病毒查杀范围和策略。云清洗服务要求如下：（1） 应在政务云中部署异常流量检测、流量调度、流量清洗等系统，为多个用户提供实时流量清洗，清洗范围包括网络层、传输层、应用层的拒绝服务攻击、垃圾邮件等。（2） 应为云用户提供服务管理界面，允许用户灵活配置清洗范围和清洗策略。4．云审计，云供应商和云审计机构应提供针对政务云平台的安全审计服务，包括云内审计和第三方审计。云内审计服务要求如下：（1） 应为多个用户提供内部安全审计，包括：操作审计、行为审计、内容审计、安全事件审计等。（2） 应为云用户提供服务管理界面，允许用户灵活定义审计范围和审计策略，支持原始信息与审计信息的云存储、在线查询和报表推送。第三方审计服务要求如下：（1） 应为多个用户提供第三方安全审计，由第三方审计系统实现，审计内容包括：安全审计、隐私审计、性能审计等。（2） 应为云用户提供服务管理界面，允许用户灵活定义审计范围和审计策略，支持原始信息与审计信息的云存储、在线查询和报表推送。备份系统设计根据省政务云建设的实际情况，采用11+1的容灾模式，即11个市级政务云利用省级政务云平台中的资源进行备份；省级政务云选择一个市级政务云建设灾备中心。GB/T20988－2007《信息安全技术信息系统灾难恢复规范》定义了六个灾难恢复等级和七大技术要素，如下：结合容灾技术的业界最佳实践，规划采用如下容灾等级：1．对于核心业务，应达到五级要求，实现应用级容灾保护。2．对于其他非关键性业务，应达到三级要求，实现数据级容灾保护。运行维护系统设计政务云运维体系的主要内容包括运维服务、应急响应和绩效考核三个方面，参与方主要涉及供应商、政务云用户、中间商和审计机构。运维服务运维服务主要内容包括各类供应商所提供的服务内容、服务分级和服务流程。服务内容政务云服务是指供应商、承载商、中间商及审计机构，为云用户提供的最终服务。其中供应商提供的服务内容包括咨询及支持、计算及存储、运行保障和信息安全等；承载商提供的服务内容包括基础网络、网络安全和运行维护等；中间商提供的服务内容包括调研咨询、应用开发、应用部署、应用迁移和应用维护等；审计机构提供的服务内容是审计政务云的运行和安全隐私等状况，并向云用户提交审计报告。服务分级服务分级主要针对供应商。承载商、中间商和审计机构的服务分级标准应参照相应的行业标准规范执行。根据用户的重要程度和应用系统的重要性，供应商的服务等级一般分为三级：一级服务（非常重要）、二级服务（重要）和三级服务（一般）。（1） 一级服务（非常重要）适用范围：核心业务系统和实时性强的系统。全年应用系统在线率应不低于99.9%（8.76小时）。服务咨询期：供应商应提供需求调研、技术咨询和方案制定等服务。系统上线期：供应商应提供资源筹备、应用测试环境、应用部署、调试开通和技术培训等服务。售后服务期：供应商应提供7*24客服热线；7*24小时系统健康状况监控；主动故障告警，故障响应时间30分钟以内，故障处理时间2小时以内；定期巡检并提交运行分析报告，协助用户制定系统优化方案等服务。（2） 二级服务（重要）适用范围：常规业务系统和实时性较强的系统。全年系统在线率不应低于99.5%（43.8小时）。服务咨询期：供应商应提供技术咨询和方案制定等服务。系统上线期：供应商应提供资源筹备、应用部署、调试开通和技术培训等服务。售后服务期：供应商应提供7*24客服热线；7*24小时系统健康状况监控；主动故障告警，故障响应时间1小时以内，故障处理时间4小时以内；定期巡检并提交运行分析报告，协助用户制定系统优化方案等服务。（3） 三级服务（一般）适用范围：一般业务系统、无实时性要求和无无交互要求的系统。全年系统在线率不应低于99%（87.6小时）。服务咨询期：供应商及承载商应提供技术咨询服务。系统上线期：供应商应提供资源筹备、应用部署、调试开通和技术培训等服务。售后服务期：供应商应提供7×24客服热线；7×24小时系统健康状况监控；主动故障告警故障响应时间1小时以内，故障处理时间8小时以内；定期巡检并提交运行分析报告等服务。服务流程供应商为云用户提供的服务流程主要包括以下几个阶段：服务申请，服务上线，服务运维和服务终止。（1） 服务申请由云用户对需求进行调研，中间商协助配合，根据调研结果填写申请报告，报政务云主管部门审批，审批通过后由供应商配置云资源，并反馈至政务云主管部门及最终用户。（2） 系统上线供应商、中间商协助云用户制定新建或迁移方案，应用系统测试通过后，由供应商提供云资源并开通运行。（3） 服务运维供应商应制定政务云平台运维方案，提交给政务云主管部门审核认可，同时提供政务云审计数据接口。供应商根据运维方案提供运行维护、系统监控和故障解决等服务，并定期向用户提供运行报告，征询用户意见，改善服务质量。（4） 服务终止由云用户提交系统终止使用申请，报政务云主管部门审批通过，由供应商回收相应云资源并停止服务。应急响应政务云应急响应主要内容包括应急准备、监测与预警、应急处置和后期处置四个方面。根据《浙江省网络及信息安全应急预案》要求，由政务云主管部门牵头，供应商和承载商参与，在应急事件风险评估报告基础上制定《浙江省政务云应急预案》，并建立专门的应急响应组织，开展应急处置工作。系统配置及软硬件选型原则省级政务云平台设备核心交换机，交换容量≥17.5Tbps，包转发率≥5000Mpps；采用主控引擎、交换引擎、接口单元硬件槽位分离的全分布式架构；支持1:N、N:1、纵向虚拟化；支持云中心大二层互联技术。负载均衡，支持全面的四至七层负载均衡和链路负载均衡功能，支持IPv6基础特性及IPv6的负载均衡。防火墙，采用核心交换机相同的架构，支持N:1安全集群来统一配置管理；支持虚拟防火墙功能，支持IPv6基础特性。入侵防御，通过国际权威安全组织（通用漏洞披露组织）兼容性认证，支持深入七层的分析检测技术，并能主动防御。日志审计，能对网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件。存储专网接入交换机，支持802.1QbgIEEE国际标准协议；支持全万兆线速转发，40GE上连。服务器管理网接入交换机，支持全千兆线速转发，万兆上连。服务器业务网接入交换机，支持802.1Qbg标准协议；支持全千兆线速转发，40GE上连。服务器存储网千兆接入交换机，支持802.1Qbg标准协议；支持全千兆线速转发，40GE上连。服务器存储网万兆接入交换机，支持802.1Qbg标准协议；支持全万兆线速转发，40GE上连。两路服务器，参照5.3.1中的设备选型要求。四路服务器，参照5.3.1中的设备选型要求。存储，参照5.3.1中的设备选型要求。服务器虚拟化软件，采用裸金属架构，支持完整的云主机生命周期管理；虚拟交换机支持802.1Qbg标准协议，实现针对虚拟主机的边缘虚拟桥接。云管理平台，参照5.3.4云管理平台要求。网络管理平台，支持基础网元管理和分级管理；支持虚拟网络拓扑、虚拟资源性能监控；能基于802.1Qbg协议定位云主机位置，实现云主机迁移时网络策略自动跟随迁移。省政务云网络设备省级政务云出口路由器，交换容量≥12Tbps，包转发率≥5000Mpps；采用核心交换机相同的架构，支持1:N、N:1、纵向虚拟化；支持MPLSVPN、OSPF、IPsec、NAT，满足省电子政务外网规范。省级政务云汇聚路由器，采用核心交换机相同的架构，支持1:N、N:1、纵向虚拟化；支持MPLSVPN、OSPF、IPsec、NAT，满足省电子政务外网规范。市级政务云出口路由器，采用核心交换机相同的架构，支持1:N、N:1、纵向虚拟化；支持MPLSVPN、OSPF、IPsec、NAT，满足省电子政务外网规范。县（市、区）出口路由器，支持MPLSVPN、OSPF、IPsec、NAT，满足省电子政务外网规范。省城域网云点设备，支持MPLSVPN、OSPF、IPsec、NAT，遵循省级政务云和省电子政务外网技术标准，具有网络、计算、存储、云主机的功能，纳入省级政务云平台进行统一监控与管理。市级根据实际情况参照以上配置。系统软硬件配置清单表SEQ表格\*ARABIC5系统软硬件配置清单设备名称数量单位省级政务云平台设备核心交换机2台负载均衡2台防火墙2台入侵防御2台日志审计2台存储专网接入交换机2台服务器管理网接入交换机6台服务器业务网接入交换机6台服务器存储网千兆接入交换机4台服务器存储网万兆接入交换机2台两路服务器80台四路服务器20台存储4台服务器虚拟化软件（含240个CPU授权）1套云管理平台（不少于800个云主机授权）1套网络管理平台(含100个网络节点授权)1套省政务云网络设备省级政务云出口路由器1台省级政务云汇聚路由器1台市级政务云出口路由器11台市级政务外网P路由器万兆板卡11块县（市、区）出口路由器90台省城域网云点设备60台表SEQ表格\*ARABIC6云服务清单产品服务说明基础型云主机1核vCPU，1G内存，20/40G系统盘标准型云主机2核vCPU，4G内存，20/40G系统盘增强型云主机4核vCPU，8G内存，20/40G系统盘大内存I型云主机4核vCPU，16G内存，20/40G系统盘大内存II型云主机4核vCPU，32G内存，20/40G系统盘高计算I型云主机8核vCPU，8G内存，20/40G系统盘高计算II型云主机8核vCPU，16G内存，20/40G系统硬盘云主机数据盘以100G为单位基础型防火墙最大吞吐率1Gbps标准型防火墙最大吞吐率4Gbps增强型防火墙最大吞吐率8Gbps云主机负载均衡最大吞吐率2GbpsMySQL60个连接，自带100G数据存储空间MySQL600个连接，自带100G数据存储空间MySQL2000个连接，自带100G数据存储空间数据库存储空间每新增100G存储空间

（数据库默认含100G存储空间）应用迁移根据应用迁移的难度双方评估，达成一致后按人天报价服务交付以及报价模式本项目各类服务由中标商提供，政府采用租用方式支付各类费用。

项目建设与运行管理领导和管理机构本项目领导和管理机构为浙江省人民政府办公厅。项目实施机构本项目实施机构为浙江省人民政府办公厅电子政务处。运行维护机构本项目运行维护机构为通过政府采购确定的第三方运维主体。项目招标方案本项目严格按照政府采购程序，实行公开招标。项目进度、质量、资金管理方案本项目建设期为2014年1月至2015年6月，省市两级分期实施，项目资金为财政资金。为确保本项目建设进度和建设质量，项目建设将统一规划、分级负责、分步实施，通过加强组织保障、整合工作力量、完善制度激励等措施，各地各部门在统一架构、统一标准的前提下，省、设区市两级分步实施，最终实现全省“一张网”联动运行；把政务云建设工作纳入政府目标责任制考核，制定绩效考评体系，加强专项效能监察，确保建设进度和质量。项目资金管理遵循现有财政管理体制要求，按照政府采购规定程序，通过政府采购确定项目承建单位，并按合同相应条款支付建设费用。

人员配置与培训人员配置计划本项目人员配置为省市县三级电子政务技术及管理人员，另外聘专家作为顾问，中标单位人员作具体实施、运维。人员培训方案培训目的通过本项目的培训，使省政务云的管理、使用和开发人员，掌握省政务云的使用方法，促进不同部门和不同结构的业务应用系统逐步向省政务云部署和迁移，推动省政务云的推广和使用。培训对象培训对象为省市县三级政府部门电子政务云平台的管理人员、使用人员和开发人员，包括：1.政务云平台的服务资源管理人员、服务申请和使用人员、应用开发人员；2.政务云网络资源的管理人员和使用人员；3.政务云安全管理人员和使用人员。培训内容1.管理培训针对省、市两级政务云服务资源的管理人员，培训的内容是政务云管理平台的各项功能，使他们掌握云平台、云网络、云安全服务的审批和资源分配方法。2.使用培训针对省、市、县（市、区）三级政府部门的电子政务管理人员和政务云的使用人员，培训的内容是政务云平台、云网络、云安全服务的申请、配置和使用的方法和技巧，使他们成为分布在各个部门的政务云使用专家，可以为本地本部门解决使用中出现的问题。3.开发培训针对政务云平台业务系统的开发和部署人员，培训的内容是云主机、云存储、云数据库等云环境下的业务系统开发、部署及迁移的方法和技巧。培训方式结合省政务云平台特点，根据培训对象对云平台使用要求，本项目采用集中培训、书面培训、网上培训相结合的方式开展培训工作。

项目实施进度项目建设期本项目建设期为2014年1月至2015年6月，分两期实施，具体如下：第一期：建设省级电子政务云平台、省级城域网络和广域骨干网络，时间是从2014年1月至2014年6月。第二期：各市按统一标准建设各地的云平台和城域网络，时间是从2014年6月至2015年6月。实施进度计划本项目实施分为两期：第一期：省级云计算平台及网络建设。1．建设方案设计（2014年1月）在前期工作基础上，梳理业务需求，设计省政务云建设方案。2．建设方案完善（2014年2月）建设方案征求各地、各部门意见，根据反馈完善省政务云建设方案；同时开展省级政务云招投标准备工作。3．招投标与谈判（2014年2月-2月底）按照政府采购要求，完成省级政务云平台、省级城域网络和广域骨干网络招标工作，并签署合同。4．部署调试（2014年3月-4月）开展省级云计算平台及相应网络系统的部署并完成测试。5．应用推广与培训（2014年5月-6月）针对本项目的管理人员和使用人员开展培训工作。6．正式运行（2014年6月）省级云计算平台及相应网络投入正式运行。第二期：市级云平台和云网络建设。1．工作方案（2014年7月）根据省政务云整体建设要求制定市级政务云平台、市县（市、区）城域网建设方案，明确任务分工和进度要求。2．市级招投标与谈判（2014年8月-2015年3月）按照政府采购要求，完成市级政务云平台、市县（市、区）城域网建设项目招投标并签署合同。3．市级政务云部署和调试（2015年3月-2015年4月）完成市级云计算平台及相应网络的部署和测试。4．应用推广与培训（2015年5月--2015年6月）针对本项目的管理人员和使用人员开展培训工作。5．正式运行（2015年6月）市级云平台和云网络投入正式运行。

初步设计概算初步设计方案和投资概算编制说明1．本项目按年支付服务费，各项软硬件建设、运维费用由建设方承担。2．各项价格参照公有云服务商平均报价和有关资料估算。3．所需费用统一按人民币估算。初步设计投资概算书省级政务云平台投资估算约为每年534.6万元，如下表：表SEQ表格\*ARABIC7省级政务云平台及城域网、广域骨干网投资概算表序号项目费用名称数量单位单价万元/年金额万元/年备注一云平台140.71云主机60台34.5系统盘，Linux送20GB，Windows送40G1.1标准型30台0.4413.2两核2.26G，内存4G；5M互联网出口带宽，100G数据盘，每台4400元/年1.2增强型30台0.7121.3四核2.26G，内存8G；5M互联网出口带宽，100G数据盘，每台7100元/年2云存储19.82.1存储空间20TB0.295.8存储空间0.0077元/GB/日2.2外网流出流量200TB0.0612.0外网流出流量0.6元/GB2.3请求次数200亿0.012.00.01元/万次3云数据库30个0.8826.4MySQL5.1或5.5，最大连接数600个（2400M内存），500G存储空间，8800元/年。4负载均衡5项6305000元/月/项5云资源平台管理软件1套6305000元/月/套二云网络358.8省市县1省—厅局60条1.2721.2万元/线/年2省—市11条2.426.42.4万元/线/年3市—县90条1.21081.2万元/线/年4省级政务云—公有云2条万元/线/年5网络设备155.1省、60个省级部门、11市、90个县区5.1省级政务云出口路由器1台6.76.7省、60个省级部门、11市、90个县区5.2省级政务云汇聚路由器1台5.25.25.3市级政务云出口路由器11台5.256.811市5.4县（市、区）出口路由器90台0.872.990个县区5.5省城域网云点设备60套0.213.660个省级部门三云安全5项6305000元/月/项四总投资534.6年租用费市级政务云平台参照省级模式，根据实际需要租用云主机、云网络、云安全等服务。资金筹措及投资计划本项目省级政务云平台、省级政务云城域网、全省政务云骨干网络所需年租用费由省财政安排解决；11个市级政务云平台所需年租用费由各市筹措解决。本项目按政府采购流程进行招标工作，中标单位按照省政务云的标准规范进行政务云平台及网络建设，并提供相关服务，各项软硬件建设及维护费用由中标单位承担，省级政府按年向中标单位支付相关租用费，市级政府根据实际情况参照执行。

风险及效益分析风险分析及对策风险识别和分析省政务云建设的主要风险可以归纳为：1．时间进度风险本项目任务重、时间紧，若出现进度延迟意味着无法及时支撑应用系统的测试和部署，进而威胁浙江省网上政务大厅投入运行的时间。2．应用部署风险绝大部分应用开发商各类软件开发环境不针对云平台,对云应用开发不熟练，造成开发出的系统性能不佳；省网上政务大厅项目建设期短，开发商与云平台、业务系统与云平台之间缺乏衔接磨合的时间。3．应用迁移风险政府部门现有业务系统由于不针对云平台开发的，可能无法迁移或迁移后不能正常运行，同时由于缺乏经验，业务系统和数据在迁移过程存在宕机风险，造成服务中断，停机时间无法准确预知，特别是对时间敏感型和数据完整性业务，存在数据安全、系统恢复、业务正常运行的风险。风险对策和管理为确保项目成功，将在本项目建设中采取有效的风险管理，消除各类风险的不良影响，具体的风险对策和管理措施如下：1．时间进度风险的对策和管理对于这种风险解决方案一般是精心计划、分项分段并行实施、增加项目监控的频度和力度、多运用可行的办法保证工作质量避免