云存储项目需求

云存储项目需求一、建设内容本项目配置2台超融合一体机和1台存储设备采用分离式架构进行建设，将计算、存储和网络资源分别部署在独立的硬件上，每种资源都有专门的设备负责，计算、存储、网络资源可以灵活扩展，而不影响其他设备。后续在使用过程中在资源管理和优化方面更加灵活，可以针对性地根据需求升级或替换某一部分的硬件。具体架构设计如下：计算资源：共2台Intel计算服务器，可为原VMware虚拟化平台上待迁移的业务主机或新增业务系统提供所需要的CPU、内存等计算资源。存储资源：采用1台独立的存储设备，通过IPSAN方式对接到私有云平台，为云平台的业务主机提供存储资源。网络出口：新增的云平台与核心交换机互联互通，和原有的VMware虚拟化平台统一通过核心交换机作为业务出口。备份：实现学院与原有的虚拟化系统平台数据保护，提供增量备份到云端备份资源池。原有资源情况：华为OceanStor5500，数据方舟NextorCS2016数据备份，6台服务器（华为、超巨变、曙光等），120余个虚拟化应用。二、采购清单设备名称单位数量超融合一体机台2交换机台2集中式存储设备及服务台1云备份服务套1链路租赁服务年1网络安全/1三、详细参数设备名称指标类别技术规格参数超融合一体机硬件要求不低于2U标准机架服务器，配置冗余风扇、电源、滑轨套件。CPU配置≥2个Intel处理器（单CPU≥16核，主频≥2.4GHz）；内存配置≥256GBDDR4内存容量，单根内存条容量不低于32GB，所有内存条性能参数相同，最大支持32个3200MT/sDDR4ECC内存插槽。配置系统盘≥2块480GBSATASSD,≥12个热插拔2.5/3.5英寸硬盘槽位。配置至少1块RAID卡，支持RAID0/1/10/JBOD。网卡配置≥2*双口万兆网卡（带模块），≥1*四口千兆网卡。软件要求授权要求：单台超融合设备提供不低于2颗CPU超融合授权许可。以上授权许可均为永久授权许可，所有功能不得在授权许可之处另行收费，不得限制使用时间。云平台需支持物理机高可用，当出现宿主机故障时，其上运行的虚拟机会自动疏散至其他正常的节点并运行，保障业务的连续性。为保证此次项目交付的云平台是安全、可信的，是被业界广泛接受和信任，云平台需通过可信云虚拟化云平台认证。云平台需支持统一的虚拟机管理界面，在同一界面上提供虚拟机修改配置、关机、重启、停止、关闭电能源、标签绑定、硬盘加载/卸载、SSH秘钥、网卡加载/卸载、制作镜像模板、创建备份（灵活可选主机及其挂载的硬盘）、报警策略等功能。云平台需支持虚拟机回收站功能，防止因虚拟机误删除导致数据丢失，支持设置回收站文件保存周期，超期的文件将被自动删除，支持批量销毁或还原虚拟机。云平台需支持并提供iso、raw、qcow2、vmdk、ovf等格式的镜像或模版导入功能，同时支持导出OVA格式虚拟机。为满足虚拟化不同场景接入模式，云平台需支持并提供SPICE、VNC、SPICE+VNC三种模式的控制台，SPICE协议可新增SSL加密通道。云平台需实现虚拟机快照功能，支持设置快照将虚拟机磁盘文件信息保存到镜像文件中，快照需要支持磁盘级快照和内存级快照。支持云主机弹性伸缩功能，根据对云主机CPU使用率、内存使用率进行监控，按照既定策略动态增加或减少云主机数量；支持对弹性伸缩组云主机进行健康检查，自动隔离不健康云主机；每次触发弹性伸缩策略后进行消息通知，支持查看伸缩记录。为保证平台架构的灵活性和扩展，平台应该支持FC-SAN、IP-SAN、本地存储、NFS、分布式存储等不同存储接口。云平台需支持虚拟机的在线迁移功能，在无共享存储的情况下，可以在不中断用户使用和不丢失服务的情况下在服务器之间实时迁移虚拟机，保障业务连续性。云平台需具备支持扁平网络和VPC网络两种网络架构，不限制VPC路由器的使用数量，并且支持VPC路由器主备部署保证VPC网络稳定性。云平台需具备NFV能力，需要支持安全组、负载均衡、虚拟防火墙、端口转发、虚拟IP、端口镜像、Netflow、OSPF动态路由、IPsecVPN、组播路由、黑洞路由等网络功能，且不限制数量使用数量、带宽性能和吞吐速率。云平台须支持在任意三层网络中创建负载均衡器，通过流量分发扩展应用系统对内的服务能力；负载均衡器不限数量、吞吐速率、带宽性能；支持TCP/UDP/HTTP/HTTPS协议、轮询/最小链接/源地址哈希/加权轮询等不同算法的负载均衡服务，负载均衡器可以将公网地址的访问流量分发到一组后端的云主机上。为保障高并发业务的网络性能需求，云平台需支持在UI界面将物理网卡虚拟化切割成多张VF类型的网卡直接给云主机使用。为保证操作便捷性，云平台需支持任意界面打开内部搜索功能，可根据关键词搜索资源、功能入口、相关技术文档及操作实践手册等。为减少平台运维难度，云平台原厂需提供可在线查看的常见运维指南及常见排障指南，相关信息及文档需有公开链接，无需身份验证即可查看。云平台需支持一键纳管现有VMware环境，功能模块内置在云平台。交换机硬件要求以太网交换机主机，≥24个10/100/1000Base-T电接口、≥24个万兆光口，模块化双电源插槽，含≥12个多模万兆光模块。集中式存储设备硬件要求采用盘控分离的多控制器架构，配置≥2个SAN控制器，最大可扩展到≥48个SAN控制器。控制器采用Active-Active架构，实现单卷业务均衡负载到所有控制器。配置≥4个X86架构多核处理器（非ARM架构），内部总线为PCIE3.0。配置10GbiSCSI≥8个（含模块），16GbpsFC≥8个（含模块），1GbiSCSI≥8个。配置后端磁盘通道≥8个SAS3.0，总带宽≥384Gb/s。配置高速缓存≥256GB，最大可扩展到3TB。配置1200GB10K转SAS硬盘≥4块，1200GB10K转SAS硬盘≥9块，1.92TBSSD硬盘≥6块，6TB7200转硬盘≥5块。软件要求配置中文图形化管理平台软件，SAN和NAS存储可通过统一界面进行管理。支持控制器在线升级，升级过程中前端业务运行正常，单卷无IO跌零。任意1个控制器故障时，业务仍然连续且单卷无IO跌零，支持控制器被接管，控制器HA接管过程中业务仍然连续且单卷无IO跌零。支持RAID0、1、3、4、5、6、10、50、60等RAID类型，不同RAID类型可共存，支持热备盘和热备空间，两种热备方式可共存。支持NVMe、SSD、SAS、NL-SAS、SATA类型硬盘，支持不同类型硬盘混插。每双控制器系统支持最大硬盘数≥3200块，配置全部容量授权许可，未来扩容任意类型硬盘，不需要再支付相应的授权许可费。单RAID硬盘组任意3块及以上硬盘发生整盘永久性故障，数据不丢失，业务不中断；单LUN任意1块硬盘发生整盘永久性故障，业务不中断，单LUN无IO跌零。支持RAID快速重建功能，在RAID5中，单块硬盘发生闪断，重建时间不超过10分钟；在RAID5中，单块硬盘大面积介质故障，热备盘重建时间不超过20分钟。支持FC、iSCSI、NVMeoverFC、NVMeoverRoCE四种接入方式。配置集中硬盘管理中心，对磁盘运行状态进行实时监测。并根据磁盘监控统计数据，同时支持手动对相应磁盘进行预警、修复或重建。单卷任意1块硬盘发生故障，业务不中断，无IO跌零。支持硬盘缓上电技术，避免大量硬盘同时上电时，引起电流过载，跳闸风险，对硬盘的上电时间设置告警阈值以及告警事件开关。支持Windows、Solaris、HP-UX、IBM-AIX、Linux等主流操作系统。支持K-UX操作系统、凝思安全操作系统V6.0、统信UOS等国产操作系统。支持达梦、人大金仓、南大通用等数据库。支持VMware的VirtualVolume和VVolsStorageReplication功能，通过VVolsStorageReplication认证；通过VMware

NVMe阵列的兼容性认证，支持RDMARoCEv2。后续可在线升级SAN/NAS一体化双活，实现SAN和NAS的双活容灾，两台双活阵列数据实时同步，故障自动切换。支持基于时间点的数据快照功能，并同时支持COW及ROW快照，单LUN支持快照数量≥2048个；支持在快照基础上再次创建快照，并支持跨级回滚，以保障快照数据安全。提供一套基于用户现有物理机或虚拟化环境部署的对象存储软件，容量授权不少于1000TB，可提供S3对象存储接口供应用软件使用。此功能可按照用户实际需要进行功能验证，如不满足，用户可要求退货并追究相应责任。配置全容量许可精简功能，精简粒度4K、8K、16K、32K、64K、128K、256K、512K、1M可调节，后续扩容无需额外购买许可。为了避免数据外泄，可通过数据销毁功能一键销毁数据，充分保障数据的安全性。支持数据复制功能，可与同品牌的混合阵列进行存储级复制；复制功能可同时实现复制加密和复制压缩。运维管理配置自动巡检软件，自动执行在网存储设备巡检，生成巡检结果，巡检结果自动发送给指定接收人。配置告警功能，支持自定义告警配置，可通过短信、邮件、SNMP告警等方式即时获取告警信息。配置IPv4/v6协议授权，可以通过IPv4/v6协议进行存储访问、带外管理等。简化管理，实现集中化部署、管理、监控和维护，设备制造商需提供SMI-S接口,通过SNIASMI-SV1.6.0及以上版本认证。配置性能监控功能，可监控设备、网络端口、LUN、CPU、内存、磁盘等对象的实时性能数据，统计IOPS、吞吐量、延时、缓存命中率等数据，性能统计数据支持自定义时间段查看历史性能数据。存储网桥功能配置网桥功能，实现存储数据不需要其他外部设备，与云端备份数据同步，同步的数据与云备份原有的数据兼容，实现云备份统一管理数据。云备份服务要求提供远程云备份服务，本次要求增加有效数据空间≥30TB，云备份资源池扩容，实现学院与原有的虚拟化系统平台数据保护。提供增量备份到云端，与原有的备份数据互联互通，统一管理数据，新增数据与原备份数据兼容，包括新增虚拟化平台的业务备份。提供新增数据备份容量空间，并通过云端备份数据恢复测试等，另外数据库数据云端备份，实现远端容灾备份要求。云备份服务要求提供备份空间安全防护服务，保障数据不泄密，数据不丢失，需提供云端备份空间及安全服务方案。链路租赁服务要求100M专用链路。网络安全1.资产梳理，要求提供1次/年的资产梳理服务，服务对象是信息中心IT资产，服务内容要求：采用人+工具的组合方式，主动或被动探测信息中心（服务器、应用系统、中间件、数据库、网络安全设备等）的资产信息，对资产进行全面梳理，发现数据中心出现的未报备资产，提前发现可能存在的安全隐患。梳理维度包括但不限于：名称、IP、端口、组件、服务等。服务输出结果是《资产梳理报告》。2.漏洞评估，要求提供12次/年的漏洞评估服务，服务对象是信息中心IT资产，服务内容要求：采用业界认可的、专业的扫描工具，通过定制的扫描规则，对业主制定的系统或主机进行一次全面的自动化安全扫描，人工验证扫描结果，并输出安全扫描报告及修复建议。详细如下：（1）.针对扫描检测发现的漏洞，进行分析验证和评估，按照不同维度对漏洞归类归档，如系统漏洞、应用漏洞、数据库漏洞等，并提出不响应的建议处置措施；（2）.按照不同漏洞维度提供不同的处置方式，如系统漏洞建议在数据备份前提下协助业主单位打补丁处理，应用漏洞建议由我司协助软件供应商处置升级版本、修改代码等处置。（3）.在对漏洞归类处置后，再提供一次漏洞的校验服务，保证漏洞评估的闭环处置。服务工具要求：（1）.本次服务工具支持对各种网络主机、操作系统、网络设备（如交换机、路由器、防火墙等）、常用软件以及应用系统、数据库的识别和漏洞扫描。（2）.本次服务工具要求支持用户自定义系统名称、版权信息和系统的Logo信息，而无需进行定制化。(3).为应当弱口令的危害，要求本次服务工具具备弱口令扫描功能，支持弱口令扫描协议数量≥22种，包括FTP、SMB、RDP、SSH、TELNET、SMTP、IMAP、POP3、Oracle、MySQL、MSSQL、DB2、REDIS、MongoDB、Sybase、Rlogin、RTSP、SIP、Onvif、Weblogic、Tomcat、SNMP等协议进行弱口令扫描，允许用户自定义用户、密码字典。(4).应用系统扫描能力要求，扫描结果在产品界面中支持查看目标应用返回的软件版本，可以方便与漏洞描述对比进行漏洞验证。服务输出结果是《漏洞评估报告》。3.渗透测试，要求提供2次/年的渗透测试服务，服务对象是信息中心重要应用系统，服务内容要求：作为漏洞评估服务的重要补充，渗透测试服务更多关注漏洞被利用后对全网造成的影响。真实的站在黑客视角采用无害攻击手段，模拟黑客真实的攻击行为，深度检验网络安全防线效果，并结合智能工具扫描结果，由高级工程师进行深入的手工测试和分析，识别工具弱点扫描无法发现的问题。主要分析内容包括逻辑缺陷、上传绕过、输入输出校验绕过、数据篡改、功能绕过、异常错误等以及其他专项内容测试与分析，重点发现信息系统应用层业务流程和逻辑上的安全漏洞和敏感信息泄露的风险，输出渗透测试报告，提出专业修复建议，协助解决网络安全风险问题。服务技术要求：为了更好达到提出关于渗透能力要求，本次服务提供方要求提供国家信息安全漏洞共享平台原创漏洞证明。服务输出结果是《渗透测试报告》。4.业务上线前检测，要求在服务期内按需提供业务上线前检测服务，服务对象是信息中心即将上线业务或变更业务系统，服务内容要求：协助信息中心对即将上线或变更的业务系统进行综合评估，提供合理加固建议，降低风险，提升业务系统上线后的健壮性和可持续性。包括：首先，通过安全漏洞检测，业务逻辑漏洞检测，异常文件检测，Webshell检测，安全基线核查等发现存在的安全风险，并记录；其次，根据上述检测发现的安全风险，输出整改建议，如漏洞修复、代码修复、安全策略加固、配置优化等。服务输出结果是《业务上线风险评估报告》。5.信息安全制度梳理，要求提供1次/年的信息安全制度梳理服务，服务对象是信息中心，服务内容要求：依据《网络安全等级保护制度》相关要求，结合《等保测评整改报告》的相关内容，协助健全网络安全组织架构和管理制度，明确及各部门网络安全相关责任，建立网络安全责任制。服务输出结果是《信息安全管理制度》修订版。6.配合监管检查，要求服务期内按需提供配合监管检查服务，服务对象是所有信息系统，服务内容要求：针对业主单位所有信息系统配合监管单位（上级单位等）开展安全检查，包括勒索和挖矿病毒排查，漏洞扫描等，同时对相关排查结果进行协助处置，按需提供服务输出结果。7.协助安全加固，要求服务期内按需提供协助安全加固服务，服务对象是所有检测出的安全风险，服务内容要求：根据安全巡检、漏洞评估和渗透测试等服务中对网络设备、主机系统、数据库、中间件是否存在不合规、不合理以及存在安全风险的配置和漏洞，再通过工具与人工相结合的方式，提出安全加固建议方案，做到合理加固，并保证业务的正常运行。服务输出结果是《安全加固建议方案》。8.网络安全意识培训，要求提供1次/年的网络安全意识培训服务，服务对象是相关工作人员，服务内容要求：专业的网络安全讲师为相关工作人员开展网络安全意识培训，通过课堂演示、案例剖析等多维度的授课方式，将网络安全风险防范意识有效地传递到每个人，使其、日常生活行为，降低信息泄露风险，提升网络安全风险防范意识。服务技术要求：为了更好的满足对网络安全培训讲师能力的要求，要求讲师具备风险管理方向的信息安全保障人员认证证书。要求输出结果是《安全意识培训定制PPT》。9.应急演练，要求提供1次/年的应急演练服务，服务对象是信息中心相关工作人员，服务内容：在服务期内，为应对信息系统遇到突发的安全问题如：发生网络入侵事件、大规模病毒爆发、遭受拒绝服务攻击等，无法及时对该事件进行处理或解决的情况，提前针对此类事件进行应急方案的编制和演练，当此类事件发生时以便进行快速应对处置。演练场景内容要求：演练场景应包括但不限于以下可选：(1).系统入侵攻击安全事件；(2).病毒与木马攻击安全事件；（3).网站页面篡改安全事件；（4）.数据库内部误操作。应急演练内容应包括但不限于以下可选：（1）.信息篡改：模拟针对网站首页篡改事件的监控和处理（利用上传漏洞或者弱口令实施攻击）。（2）.恶意代码：模拟某恶意攻击者，利用系统的弱口令，利用windows共享管理服务（tcp/445），获得对服务器的控制权限。服务输出结果是《应急演练总结报告》。10.应急响应，要求服务期内按需提供应急响应服务，服务对象是所有信息系统，服务内容要求：服务期内，通过远程和现场支持的形式协助客户对遇到的突发性安全事件进行紧急分析和处理。应急响应实施人员应及时采取行动，检查所有受影响的系统，抑制事件扩散和影响的范围，在准确判断安全事件原因的基础上，提出基于安全事件解决方案，追查事件来源，协助后续处置。出现安全事件时，第一时间响应：（1）、技术人员必须在1小时内到达现场；（2）、对入侵事件进行分析，查找原因；（3）、抑制入侵事件的扩散，将事故的损害降低到最小化；11.排除安全隐患，消除安全威胁，协助恢复系统正常运作；5、提交应急响应报告及系统安全改进方案。服务输出结果是《应急响应报告》。12.云防护系统：（1）、要求提供1套，要求支持1个一级域名、10个二级域名的站点防护。用户指定业务系统，要求可同时支持http、https协议，支持自定义站点端口，自定义端口数量不限。（2）、支持以SaaS化方式向云租户提供服务，无需在网站前端安装任何安全设备、软件，通过DNS别名指向到云端进行安全防护；（3）、支持产品内部的分权分域，在同一平台下每个租户只能查看自身网站和系统的安全状况，平台管理员可关注、查看所有租户的网站和系统整体情况。(4)、支持集群化和高可用部署架构，全国范围至少50个云防护节点，不会发生单点故障。(5)、支持检查提交的报文是否符合HTTP协议框架，如异常的请求方法、特殊字符、重点字段的缺失、超长报文造成的溢出攻击以及对高危文件的访问等。(6）、支持识别恶意请求，包括：跨站脚本(XSS)、注入式攻击（包括SQL注入、命令注入、Cookie注入等）、跨站请求伪造等应用攻击行为。（7）、支持对用户上传的文件后缀名和文件内容进行全方面检查，杜绝Webshell的上传和访问。可提供基于IPv6协议的转换与防护功能。具备流量监测的功能，基于用户的访问记录，实时检查被访问页面的安全状况，能够发现更深层次的暗链、Webshell等安全事件。。（8）、支持区域访问控制，限制国外用户或者国内以市为最低行政单位的区域进行访问控制。（9）、支持一键