《文化大数据体系算力中心及文化专网技术要求（征求意见稿）》

ICS33.040.40CCSL7832IDBXX/TXXXX—XXXX 2规范性引用文件 3术语和定义 4缩略语 5网络架构 5.1功能服务模型 5.2网络拓扑模型 6国家文化专网（特指有线电视网络设施）技术要求 6.1组网原则 46.2省级组网要求 46.3地市级组网要求 46.4接入单位组网要求 46.5专网地址规划 7算力中心建设技术要求 7.1建设原则 57.2计算服务功能技术要求 7.3存储服务功能技术要求 7.4高速互联服务功能技术要求 7.5中间件服务功能技术要求 7.6数据库服务功能技术要求 8安全与运维技术要求 8.1建设原则 68.2网络设备管理安全技术要求 8.3边界安全技术要求 8.4计算环境安全技术要求 8.5数据安全及传输安全技术要求 8.6运维技术要求 9应用场景及支撑技术要求 9.1数据安全的传输和存储 9.2数据确权的传输和存储 9.3数据加工的传输和存储 9.4数据交易的传输和存储 9.5数据分发的传输和存储 9.6算力服务的传输和存储 9.7AI服务的传输和存储 9.8入表服务的传输和存储 参考文献 DBXX/TXXXX—XXXX本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由江苏省广播电视局提出、归口并组织实施。本文件起草单位：江苏有线数据网络有限责任公司、江苏省广电有线信息网络股份有限公司。本文件主要起草人：宋晶科、林峰、陈春、沙磊、赵秋阳、沈燕、张云海、余杰、杨祎、杨建、谢才军、臧砺寒、王华、孔令浚。1DBXX/TXXXX—XXXX文化大数据体系算力中心及文化专网技术要求本文件界定了文化大数据体系算力中心及文化专网技术的术语和定义，确立了缩略语，规定了网络架构、国家文化专网（特指有线电视网络设施）技术要求、算力中心建设技术要求、安全与运维技术要求、应用场景及支撑技术要求。本文件适用于在江苏省范围内的各类文化机构国家文化专网、文化算力中心建设，各类文化机构专线网络和算力中心建设可参照执行。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB50174数据中心设计规范GB/T22239信息安全技术网络安全等级保护基本要求3术语和定义下列术语和定义适用于本文件。3.1文化大数据culturalbigdata指文化生产者、文化经营者、文化消费者在文化实践过程中所产生的数据，与文化产品或文化服务的创作生产、推广传播、市场运营、最终消费过程相关的，以文博场馆的原生数据及次生数据形式保存下来的图片、文本、影像、声音等文件资料的总称。3.2国家文化专网culturalprivatenetwork指由有线电视网络设施、广电5G网络和互联互通平台提供的传输通道组成，为文化大数据产业各环节中相关设备和系统互联互通提供数据传输通道的专用通信网络。跨省组网由中国广电骨干网网络承载，省内文化专网由广电网络城域专网承载，文化资源收藏及保管机构、文化数据采集加工生产机构、文化消费机构等由广电网络接入网承载；无线终端接入、虚拟专网等由广电5G网络提供数据接入与传输通道服务。文化消费端数字内容可通过安全网关导入互联网。3.3算力中心指在网络中提供计算资源的设备或地点，包括但不限于带宽、中央处理器（CPU）、图形处理器（GPU）、内存、时延等。算力中心的核心作用是将网络中闲置的计算资源通过统一纳管平台提供给有计算需求的用户，从而优化资源利用，降低用户计算成本。2DBXX/TXXXX—XXXX3.4数据加工指对原始文化大数据进行解构、重构、标引、标注和标识等操作，以提高数据的质量和可利用性，使其更适合用于分析、建模、产品生产等工作，激活大众对公共文化的数字化的需求。4缩略语下列缩略语适用于本文件：5G第五代移动通信技术（5thGenerationMobileCommunicationTechnology）API应用程序编程接口（ApplicationProgrammingInterface）BGP边界网关协议（BorderGatewayProtocol）CPU中央处理器（CentralProcessingUnit）DTLS数据包传输层安全性协议（DatagramTransportLayerSecurity）EC纠删码（ErasureCode）EGP外部网关协议（ExteriorGatewayProtocol）GE千兆以太网接口（GigabitEthernet）GPU图形处理器（GraphicsProcessingUnit）HSF分布式远程过程调用服务框架（High-speedServiceFramework）HTTPS超文本传输安全协议（HypertextTransferProtocolSecure）IGP内部网关协议（InteriorGatewayProtocol）IPOIB在InfiniBand网络上运行IP协议的技术（IPoverInfiniBand）IP网际互连协议（InternetProtocol）iSCSIInternet小型计算机系统接口（InternetSmallComputerSystemInterface）K8s开源容器编排引擎（kubernetes）MB计算机中的一种储存单位兆位（MByte）MSTP多业务传送平台（Multi-ServiceTransportPlatform）ms毫秒(时间单位)（millisecond）NAS网络附属存储（NetworkAttachedStorage）NPU神经网络处理器（Neural-networkProcessingUnit）、OSPF开放式最短路径优先，属于链路状态路由协议（OpenShortestPathFirst）OTN光传送网（opticaltransportnetwork）SDN软件定义网络（SoftwareDefinedNetwork）SFTP安全文件传输协议（Securesecretfiletransferprotocol）SNMPV3简单网络管理协议版本3（SimpleNetworkManagementProtocol）SRv6基于IPv6的分段路由技术（SegmentRoutingoverIPv6）SSH安全外壳协议（SecureShell）TCP/IP传输控制协议/网际协议（TransmissionControlProtocol/InternetProtocol）TLS/SSL传输层安全/安全套接字层（SecureSocketsLayer/TransportLayerSecurity）VPC虚拟私有云（VirtualPrivateCloud）VPN虚拟专用网络（VirtualPrivateNetwork）web全球广域网（WorldWideWeb）5网络架构3DBXX/TXXXX—XXXX5.1功能服务模型国家文化专网及算力中心功能服务模型包括有线电视网络设施、广电5G、算力中心以及安全运维模块（如图1所示）。依托国家文化专网，建设具备云计算能力和多云管理能力的区域性集群式文化算力中心，构建以算为核心，以网为根基的文化算力服务体系，并部署确权、交易等应用场景支撑技术，有效支撑文化机构物理分散、文化数据逻辑集中的文化业务需求。图1国家文化专网及算力中心功能服务模型5.2网络拓扑模型国家文化专网及算力中心网络架构分为省级组网（大型算力中心）、地市级组网（中型算力中心）、接入单位组网（小型算力中心）以及微型算力节点（如图2所示）。a)省级组网（大型算力中心）负责数据分组从核心层高速转发到汇聚层，并提供高效算力网络服务，支持多种计算任务的高效执行。b)地市级组网（中型算力中心）负责处理接入层设备的所有通信流量，提供到核心层的上行链路，并通过资源管理和调度，满足一定规模的计算任务和数据处理需求。c)接入单位组网（小型、微型算力节点）通过将计算能力下沉到边缘，提供更接近用户的资源，减少延迟并降低成本，优化文化应用场景的服务质量和效率。图2国家文化专网及算力中心网络拓扑模型6国家文化专网（特指有线电视网络设施）技术要求4DBXX/TXXXX—XXXX6.1组网原则国家文化专网组网原则如下:a)应具有可操作性、可靠性，减少故障发生的概率；b)应具有先进性，能够支持未来业务的发展和网络扩容的需求；c)接入方式应多样化，适应不同文化机构场景和需求；d)应具有良好的可用性和兼容性，能够与其他技术和设备无缝对接；e)应实现冗余设计，确保在网络故障时能够快速恢复业务；f)路由、交换机等设备应采用国产化品牌。6.2省级组网要求满足如下要求:a)省级网络层应包含核心层面和接入层面；b)省级核心层面设备横向连接它省端口具备10GE光口，可选100GE光口；下联地市采用双链路，接入端口应具备10GE光口；c)省级接入层面设备横向连接它省端口具备10GE光口；下联地市采用双链路，接入端端口可选1GE/10GE光口；d)省级网络设备宜采用OSPF作为IGP路由传递，BGP作为EGP路由传递；e)核心层到汇聚层平均时延应不超过20ms；f)核心层到汇聚层平均抖动应不超过5ms；g)核心层到汇聚层平均丢包率应不超过1%；h)核心层到汇聚层带宽利用率不超过80%；i)在发生故障或链路拥塞时，链路切换时间不超过50ms，以实现快速恢复和无缝切换。6.3地市级组网要求满足如下要求:a)地市网络层应包含汇聚层面和接入层面；b)地市汇聚层面设备上联端口具备10GE光口；下联接入端采用双链路，端口可选1GE/10GE光口；c)地市网络设备上联宜采用OSPF作为IGP路由，routeid由省级网络统一分配及管理，下联宜采用静态路由模式；d)汇聚层到接入层平均时延应不超过20ms；e)汇聚层到接入层平均抖动应不超过5ms；f)汇聚层到接入层平均丢包率应不超过1%；g)汇聚层到接入层带宽利用率不超过80%；h)在发生故障或链路拥塞时，链路切换时间不超过50ms，以实现快速恢复和无缝切换。6.4接入单位组网要求满足如下要求:a)接入层组网设备上联端口具备10GE光口，可选1GE光口；下联接入端口可适配多种接入类型，支持100MB至1GB细粒度业务的承载能力；b)接入层组网宜采用静态路由模式，IP地址由市级统一分配，并定期与市级同步使用情况；c)接入层到文化机构平均时延应不超过10ms；d)接入层到文化机构平均抖动应不超过5ms；5DBXX/TXXXX—XXXXe)接入层到文化机构平均丢包率应不超过1%；f)接入层到文化机构带宽利用率不超过80%；g)在发生故障或链路拥塞时，链路切换时间不超过50ms，以实现快速恢复和无缝切换；h)对于省级文化机构或国家一级博物馆，宜采用主备双链路接入，可选100MB/1000MB带宽。6.5专网地址规划满足如下要求:a)IP地址由省级统一分配，包含互联地址和业务地址；b)下联地址由市级统一分配管理，并定期与省级同步使用情况；c)专网地址统一应需省级网络规划，包含IPv4和IPv6网段规划；d)市级层面执行省级层面规划，并做明细化划分；e)应采用多级分配管理方式。省级负责分配和管理市级IP地址，市级负责分配和管理接入网IP地址。各负责单位应定期与上一级管理部门同步使用情况；f)IP地址管理单位定期对IP地址空闲情况进行统计分析，对空闲未使用地址进行回收，纳入到可分配地址范畴；g)地址空间应尽量划分为层次，以保证聚集性，缩短路由表长度。同时，对地址的分配要尽量避免地址碎片出现。7算力中心建设技术要求7.1建设原则算力中心建设原则如下:a)应符合GB50174要求；b)应遵循国家自主创新的要求，提升自主化水平；c)年平均可用性大于99.5%；d)新建算力中心PUE应在1.5以下。注：超大型、大型、中型、小型四类规模定义参考工业和信息化部、发展改革委、国土资源部等数据7.2计算服务功能技术要求满足如下要求:a)应提供计算、存储、安全、监管等资源服务，并支持按需扩缩容；b)应提供CPU、GPU、NPU等三类计算芯片，并对外接口的统一适配，屏蔽芯片差异；c)应支持云主机在线扩容CPU、GPU、内存等，无需重启即可生效，保证业务系统计算资源可以进行垂直扩容；d)应支持对云主机的系统盘和数据盘创建整机镜像模板；e)应提供资源编排组件，支持按照模板规范编写资源栈模板；f)支持通过资源栈逻辑集合来统一管理单组云资源；g)支持云主机按宿主机、机架、网络交换机物理拓扑调度能力，提升业务可靠性。7.3存储服务功能技术要求满足如下要求:a)应提供对象存储、块存储、文件存储，支持跨节点的数据管理；6DBXX/TXXXX—XXXXb)块存储应支持分布式EC和三副本数据冗余保护；c)对象存储服务应支持RESTfulAPI接口，兼容AmazonS3接口；d)应提供图形化bucket权限管控能力，应支持针对指定的用户ID配置bucket/对象的访问权限。7.4高速互联服务功能技术要求满足如下要求:a)应支持VPC；b)应支持物理机接入VPC网络并分配VPCIP地址，可以与VPC内资源互访，以及与外部网络互访；c)应支持网络切片技术，每个切片应具备独立的网络功能和资源，实现业务隔离和定制化服务；d)应支持网络切片编排管理系统，实现切片的端到端编排和管理；e)应支持SRv6、TCP/IP、IPoIB等协议；f)宜支持软件定义网络技术（SDN）；g)应支持IPv4/IPv6双栈的转发能力。7.5中间件服务功能技术要求满足如下要求:a)应提供WEB界面形式的可视化分布式应用管控平台；b)应兼容Dubbo，SpringCloud和HSF业界三大主流分布式服务框架；c)应支持SpringCloud和Dubbo框架的全链路流量控制，可以快速灵活地创建一个流量控制环境；d)应支持多K8s集群应用生命周期的管理；e)应支持基于主流同步、异步调用框架，包含SpringCloud,Dubbo,HTTPRESTful的分布式链路跟踪；f)应支持2个网关群组或实例之间的HTTP服务级联。7.6数据库服务功能技术要求满足如下要求:a)应支持关系型数据库、非关系型的数据库、非结构化数据等；b)应支持原生只读实例和读写分离功能；c)应提供完善的备份、恢复机制，包含手工备份和自动备份，物理备份和逻辑备份，并应支持恢复到指定时间点；d)应支持业务无中断在线方式升级数据库规格及存储空间；e)应支持对执行SQL进行CPU、Memory资源的使用限制；f)应支持所有操作审计，内容包括操作时间、操作用户、涉及的对象、SQL类型、执行状态、影响行数、耗时等信息。8安全与运维技术要求8.1建设原则安全技术建设原则如下:a)应采用多层次的安全防护策略，包括防火墙、入侵检测系统、反病毒软件和数据加7DBXX/TXXXX—XXXX密等技术，以有效保护国家文化专网和数据的安全；b)应将安全控制分布在多个层级，以增强国家文化专网的安全性，包括网络边界防护、主机防护和应用程序防护等；c)应利用强密码和多因素身份验证机制来保护接入终端的访问权限；d)应记录和监控国家文化专网中的安全事件和活动，通过实时监控和审计功能，检测和应对安全威胁；e)防火墙、安全等软硬件应采用国产化品牌。8.2网络设备管理安全技术要求满足如下要求:a)应支持访问控制策略；b)应支持管理员鉴别功能，登录口令不可见；c)应支持多次鉴别失败踢出功能，鉴别次数可调整；d)应支持多角色设定，并根据不同角色对应不同权限；e)应支持SSH、SNMPV3、HTTPS等安全协议登录和访问；f)应确保通信线路、关键网络设备和关键计算设备的冗余，保证系统的可用性。8.3边界安全技术要求满足如下要求:a)应利用安全网关设备，保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；b)应利用终端管理系统或相关设备，对非授权的、私自联到内外部网络的行为进行检查或限制；c)应在网络边界或区域之间根据访问控制策略设置访问控制规则；d)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为；e)应在关键网络节点处对恶意代码进行检测和清除。8.4计算环境安全技术要求满足如下要求:a)应对登录的用户采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别；b)应支持启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；c)对于远程管理的应采取必要措施防止鉴别信息在网络传输过程中被窃听；d)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为，并将其有效阻断；e)应具备网卡防欺骗功能。8.5数据安全及传输安全技术要求满足如下要求:a)应符合国家有关加密技术的法律法规；b)应支持使用数字签名技术，以确保信息的不可否认性；c)应支持SFTP、HTTPS、TLS/SSL、DTLS等传输协议；d)应支持断点续传功能；e)应支持错误重传机制；8DBXX/TXXXX—XXXXf)应支持限制未经授权的访问；g)对敏感数据进行加密存储，确保数据在存储过程中的机密性；8.6运维技术要求满足如下要求:a)应支持统计的所有外部调用的请求数、响应时间、错误数及HTTP状态码信息；b)应支持采集集群及单节点的CPU/内存/磁盘/网络的监控数据；c)日志采集工具应支持使用分隔符、正则表达式对文本文件内的日志采集、应支持syslog协议、Kubernetes日志采集；d)应支持日志处理能力，支持线图、环图等图表呈现，支持多种SDK采集服务端日志数据；e)应支持日志聚类、变点检测、极大值检测、时序预测、时序聚类智能查询分析。f)应支持一站式迁云服务，支持创建单迁移任务、批量迁移任务、增量迁移任务、定时迁移任务。9应用场景及支撑技术要求9.1数据安全的传输和存储数据安全应用场景功能包括：应支持接入安全、存储安全、访问安全、传输安全、应用安全等。9.2数据确权的传输和存储数据确权应用场景功能包括：a)应支持版权确权管理功能，至少提交版权证明材料及出处和文化数据访问链接；b)宜支持版权许可、转让流转、授权链管理维护；c)应支持自动化处理功能，包含自动审核、自动确权等，以提高确权效率并减少人为错误；d)应支持版权所有人补充缺失版权信息服务；e)应支持版权资源库数据查询检索服务；f)应支持向版权所有人提供文化数据版权追踪受理服务；g)应支持提供版权侵权信息监测、取证及监测报告服务；h)应记录数据的确权历史，包括确权时间、确权主体、确权结果等信息。9.3数据加工的传输和存储数据加工应用场景功能包括：a)应支持多种格式的文化数据导入，包含文本、图像、音频、视频等；b)宜支持利用先进的算法，对文化数据进行解构，将其拆分成更小的、更易于理解和处理的数据单元；c)宜支持解构后的数据进行自动分类；d)宜支持自动标注工具，支持文本、图像、音频、视频等多种类型数据的标注；e)宜支持用户自定义数据重构的规则和算法，以满足不同的应用场景和需求；f)应支持标注数据的存储、管理和查询功能；g)宜支持质量控制功能，对标注结果进行校验和修正，提高标注数据的质量；9DBXX/TXXXX—XXXXh)应支持数据导出功能，数据导出为多种格式，包含文本、图像、音频、视频等，方便与其他系统进行集成和共享；9.4数据交易的传输和存储数据交易应用场景功能包括：a)应支持申请人/委托人申请开户；b)应支持交易流程管理功能，包括交易申请、交易确认、交易结算等环节；c)应记录所有交易数据，包括交易时间、交易价格、交易双方等关键信息；d)应支持数据导出功能，方便用户将交易数据导出进行进一步的分析和处理；e)应支持用户发布供需信息；f)应支持交易中介服务，包括交易咨询、合同签订、交易监督等环节；g)应支持交易纠纷解决机制，保障用户的合法权益。9.5数据分发的传输和存储数据分发应用