(一)总体要求

★1、投标人机房应位于葫芦岛市龙港区或连山区，建设标准达到国家标准电信机房要求，模块化工作岛建设，配置安全等保三级标准化机房建设的其他设备设施。机房面积具备200个以上机柜位，满足政务信息系统整合迁移、互联网+政务服务以及智慧城市建设需求；机房提供双路市电，且具有独立的配电间。投标人应承诺提供的云平台可实现常规应用软件系统的无缝迁移部署。投标人应承诺验收后立即完成现有全部业务系统部署工作，但不得影响现有系统的正常运行。在服务期内，机房运行所需的水、电、采暖、安全、等相关费用由投标人承担。

 ★2、政务云平台应具备云资源实时统计、云资源管理、云资源申请业务流程、存档功能、云资源计费以及弹性计算能力，以方便在高并发和服务器大量请求的场景中使用。

3、项目所需的软硬件设备、工程实施、系统集成等工作均由投标人出资提供，相应资产归投标人所有，但应向采购人开放最高管理权限。网信、网监等部门出于监管目的，在政务云机房部署相关设备时，乙方应积极配合，提供相应技术支持。

4、项目建成后，其中部署的应用软件和其产生的数据资源归采购人所有。投标人应当配合采购人做好数据安全防护工作。

5、投标人应当妥善保管数据存储设备，已存有数据的介质不得交由厂家回收，且未经采购人允许不得用作项目外其他用途。

6、投标人应在合同签订6个月内完成政务云平台的建设并通过验收，云平台建设具体要求见后续内容。

7、投标人须免费提供与云服务器配套的操作系统，操作系统类型按需配置。

8、投标人应在所投数据中心内为采购人提供不少于2个房间、总人数不少于5人的办公场地。

9、投标人应派遣不少于5人的团队提供驻场服务。

 ★10、合同期内，根据甲方需求在服务费不变的情况下，满足国产要求安全可控云服务要求。

(二)云平台服务

可以任选一种计算服务、存储服务、安全服务、密码服务的技术路线。

1．计算服务-弹性云服务

（1）云主机支持全量快照，通过快照进行云服务器的数据恢复，支持设置自动快照策略。支持对虚拟机完成无限快照创建。

（2）支持为运行的云主机创建镜像模板，通过镜像模板快速创建新的云主机。

（3）云主机之间要求有访问隔离能力，要求提供云主机实例之间访问隔离方式。

（4）支持双栈IPv4和IPv6协议，在同时部署IPv4和IPv6组网的情况可正常进行业务访问。

（5）云主机支持在线迁移。

（6）云主机支持回收站功能，对已删除的实例进行回收处理。

（7）云主机支持实例克隆功能。

（8）兼容性/开放性要求：支持主流的操作系统，并提供操作系 统正版软件授权。

（9）支持虚拟机监控管理：提供性能监测分析、异常告警等功能。

（10）虚拟机可以实现物理机的全部功能，如具有自己的资源（内存、CPU、网卡、存储），可以指定单独的IP地址等。

（11）无单点故障，能够在出现硬件故障的情况下云主机自动宕机迁移，确保业务连续，平均可用性不低于99.95%。

2．计算服务-容器云服务

（1）容器平台包含计算、存储、网络等组件，满足各域应用层拉通、数据层融通、提供全域支撑能力的私有云平台。

（2）支持企业级容器化应用的全生命周期管理，为容器化的应用提供高效部署、资源调度、服务发现和动态伸缩等一系列完整功能。

（3）支持多容器集群生命周期管理操作，包括创建、下线、排水、删除等；支持混合集群，可以在虚拟机、裸金属混合节点上部署集群。

（4）支持弹性伸缩策略，实现水平自动伸缩的功能。支持冷却时间窗和扩缩容阈值功能。

（5）支持节点排水、节点调度、移除节点、集群扩容等功能；支持节点标签，通过标签可以快速了解节点特点及设置与工作负载的亲和性/反亲和性策略。

（6）通过图形化的方式完成复杂应用的编排，并且可以保存成应用模板，使用模板直接创建多个容器组成的复杂应用。

（7）云硬盘中的数据自动地在可用区内以多副本冗余方式存储，避免数据的单点故障风险。

（8）提供网络服务，支持虚拟私有云VPC，可以在VPC中定义子网、安全组、IP预留、带宽等网络属性；支持云负载均衡器，为VPC内的容器、服务器等云上资源提供负载均衡服务。

3．存储服务

（1）通用分布式块存储

1）支持通过块存储访问协议对外提供云盘功能，支持格式化、挂载及执行I/O操作。

2）支持云盘快照功能，通过对磁盘创建快照从而实现保留某一个或者多个时间点的磁盘数据拷贝。

3）支持对已有云硬盘进行扩容。

4）兼容通用X86、ARM架构服务器。

5）支持计算存储融合部署架构和计算存储分离部署架构。

6）支持多Master节点部署，保证服务高可用。

7）支持多副本冗余机制，保证业务数据的可靠性。

8）支持云盘加密功能。

（2）高性能分布式块存储

1）通过块存储访问协议，对外提供云盘功能，客户可以像使用物理硬盘一样来使用，可以格式化，可以挂载，可以执行I/O操作。

2）提供云盘快照功能，通过创建快照，对磁盘创建快照，客户可以保留某一个或者多个时间点的磁盘数据拷贝，从而保证业务可持续运行。

3）支持对已有云硬盘进行扩容。

4）兼容通用X86、ARM架构服务器。

5）支持计算存储融合部署架构和计算存储分离部署架构。

6）支持多Master节点部署，保证服务高可用。

7）支持多副本冗余机制，保证业务数据的可靠性。

8）支持云盘加密功能。

（3）集中式存储

存储设备要求：

1）支持服务器通过光纤交换机或以太网交换机连接集中式SAN存储，为高性能数据库、虚拟化等业务场景提供高性能、高可靠的统一存储空间。

2）采用≥2U盘控一体架构，支持控制器扩展，最大支持≥8控制器。

3）控制器总核数≥32物理核。

4）双控制器存储缓存容量配置≥128GB，任意控制器一级缓存容量≥64GB。

5）网络接口主机端口≥4个GE接口；≥8个10GE接口；≥8个16Gb FC接口。

光纤交换机要求：

1）配置≥48个16Gbps F_Port端口。

2）支持联机，支持自动设别、登记、加入光纤设备。

3）支持自动识别并隔离异常链路，自动启用备用路由传输数据。

4）配置冗余电源，冗余风扇。

（4）对象存储

1）基于分布式架构，通过软件分布式架构和数据冗余技术，来实现高伸缩性和高扩展性，容量与性能都随节点数增加而线性增加。

2）支持S3/POSIX/HDFS/协议，实现一套集群、多种协议互通，满足用户同一份数据，被多种客户端访问的诉求。

3）单流性能>=300MB/s。

4）支持硬盘级、节点级、机柜级故障，最大支持1个机柜+1个服务器故障，存储能不中断业务持续提供数据读写操作。

5）支持多租户，在同一套业务集群中通过逻辑多租实现用户数据安全。可实现租户间数据相互隔离，访问控制权限，支持桶接口、对象接口，ACL访问权限接口，禁止非授权用户访问对象存储。

6）可以支持对象上传、下载、删除、查询、共享，支持桶的配额设置和查询。

7）支持创建桶、删除桶，查询所有桶，设置桶内对象的生命周期。

8）支持节点级CPU利用率、内存利用率统计，支持服务器、盘的TPS和带宽的监控。

9）支持集群容量的查看。

10）支持空间使用率超阈值告警。

（5）本地、同城、异地备份

1）支持周期性备份。支持指定备份间隔，按设置时长启动新的备份。备份间隔支持按天、周、月、年等灵活指定。

2）支持多备份历史版本保存。每进行一次备份会生成一个新的备份版本。支持设置需要保留的版本数。

3）支持基于备份的数据恢复。支持选定特定版本进行恢复，支持恢复到原机或异机，数据库支持日志备份，可恢复至任意时间点。

4）支持手动触发新的备份任务。支持手动即时触发新的备份任务。

5）支持物理备份（备份容量达到PB级别）。支持全量备份，支持增量备份。

6）支持备份概览：包括备份操作，备份历史，趋势图，以及其他可以提供的备份数据概览。

7）支持实例列表：实例详情、创建备份等。

8）支持备份管理：包括数据备份列表、日志备份列表、备份策略，日志设置、删除等。

9）支持常规恢复：支持常规的备份数据恢复。

10）支持系统设置：提供备份系统的系统备份策略设置。

11）RTO不超过2周（根据主生产中心平台恢复情况而定）。

12）RPO不超过1天。

4．安全服务

平台作为政务应用的承载体，应遵照各级保密法律法规，采取切实有效的措施，确保系统安全稳定运行。禁止投标人未经采购人许可将专有云平台资源提供给其他用户使用，禁止投标人将该平台与其他未经采购人许可的平台连通，禁止投标人授权未经采购人许可的人员操作该平台。同时在未经许可的情况下，云服务上无权对政务云平台上的数据和应用进行任何操作，也不能将云平台的数据泄露给任何第三方。

云平台必须按照国家信息系统安全等级保护三级相关标准建设机房，配备相应的安全设备、技术防护手段及安全保障服务，提供完善的云安全解决方案，具备抵御各类DDoS攻击、网络入侵、网络攻击、病毒的安全防范能力；具备以用户为单位的身份认证和授权，以及对数据资源和服务进行访问控制的能力；具备完善的安全管理机制，保证系统安全稳定的运行。

云平台须具备风险感知能力，需要对政务云上的政府门户和网上政务业务系统等互联网业务提供安全预警、监测、检查和防护服务，服务需要基于安全大数据态势感知技术能力，提供云端服务。云平台具备为各部门新增独立VPN能力，态势感知能力。防火墙、WEB防火墙、漏洞扫描、运维堡垒机、数据库审计、病毒查杀等。

（1）虚拟防火墙服务

虚拟化防火墙服务可支持透明传输、路由转发模式，支持路由设置、高可用性等提供包过滤、地址转换、状态检测、动态开放端口、带宽管理、连接数控制等网络层访问控制功能；提供应用类型控制、应用关键内容控制等应用层控制功能；此外还提供拒绝服务攻击防护、恶意代码防护、应用攻击防护等服务。

（2）网页防篡改服务

可实时监控网站目录并通过备份恢复被篡改的文件或目录，保障重要系统的网站信息不被恶意篡改，防止出现非法植入等内容。

（3）WEB防火墙服务

WEB防火墙服务可支持透明桥接或反向代理模式，提供配置WEB安全防护策略，实现基于HTTP/HTTPS协议的应用内容控制、WEB攻击防护、攻击逃逸防护等服务，并支持特征库管理、安全告警、统计分析、双机热备、负载均衡等功能。

（4）数据库审计服务

数据库审计服务能够对网络环境中的数据库管理系统（达梦、金仓等）的数据操作、结构操作和用户更改等行为进行审计和分析，提供了按条件查询审计记录，统计分析、潜在危害分析、事件分级和告警响应等功能。

（5）日志审计服务

日志审计服务可支持标准协议或日志导入方式采集操作系统的日志，能够按照预定义的策略对指定日志源的日志进行收集、转换和筛选，支持日志查询、统计报表，可对潜在危害、异常行为、关联事件进行分析，可针对日志数据进行分析挖掘，展示日志信息中的风险状况。

（6）漏洞扫描服务

漏洞扫描服务可支持通过对TCP、UDP 端口扫描，识别开启的端口情况以及对应的服务或应用协议，发现目标系统中各服务应用存在的安全隐患，并提出修改建议。

（7）堡垒机

运维审计服务可支持通过TELNET、SSH或VNC等方式对运维对象及其账号等进行集中管理和授权等功能；提供运维操作审计、会话监视、会话回放等功能，并对违规操作行为进行报警、阻断。

（8）云主机安全（含杀毒等）

云主机防护服务产品可支持通过管理中心对云主机病毒防护进行集中管理，具备病毒检测、病毒处理、策略自定义、隔离区管理、样本提交、告警信息、日志、升级更新、统一管理等功能。可支持虚拟化环境部署，可对主流云平台虚拟机进行兼容，支持虚拟主机微隔离功能，可对各业务系统之间、应用主机之间设置不同的访问控制策略。

（9）VPN网关

政务外网安全接入服务（无介质），可支持IPv6/IPv4双栈协议，支持主流操作系统PC用户登录，支持主流操作系统的移动终端用户登录。提供政务用户通过SSL-VPN安全接入电子政务外网的业务流程办理及VPN系统运行维护以及VPN用户的技术支持、故障处理等服务。

（10）安全隔离与信息交换服务

安全隔离与信息交换服务可支持基于默认禁止的传输规则，提供应用数据的交换，并具有关键字、文件类型和病毒过滤等功能，支持双机冗余提高可用性。

5．密码服务

包括安全访问服务、浏览器密码服务、加解密安全服务、时间戳密码服务、签名验签服务等。

（1）数字证书服务（含介质）服务内容：支持SM2、SM3、SM4算法，提供个人专属标识，SSL域名证书，具有身份认证、加/解密、签名/验签等服务。

（2）国密SSL-VPN安全接入服务，要求支持IPv6/IPv4双栈协议，支持主流操作系统的PC用户登录，支持主流操作系统的移动终端用户登录。提供政务用户通过SSL-VPN安全接入电子政务外网的业务流程办理及VPN系统运行维护以及VPN用户的技术支持、故障处理等服务。

（3）安全访问服务内容：可支持通过对应用代理建立与客户端安全传输通道，并对终端用户身份进行验证；支持HTTP、TCP、等传输协议；提供SSL等安全协议。

（4）浏览器密码服务内容：主要通过浏览器内核、SSL安全协议模块、插件进程等提供支持SM2、SM3、SM4算法，提供与Web服务器之间建立安全通道，实现Web网页安全访问功能。

（5）加解密安全与密钥管理服务内容：支持SM2、SM3、SM4算法，具有密钥管理、密码运算、数据加密/解密等功能；支持SM2、SM3、SM4算法，具有密钥生成、分发、存储、管理等功能。

（6）时间戳密码服务内容：支持SM2、SM3、SM4算法，具有时间戳生成、应答、验证等功能。

（7）签名验签服务内容：支持SM2、SM3、SM4算法，具有签名验签、身份认证等功能。

（8）移动端签名验签服务内容：支持SM2、SM3、SM4算法，针对移动端业务具有签名验签、身份认证等功能。

（9）服务器密码机

1）设备形态：标准2U设备，千兆电口≥4个；SFP插槽≥4个，扩展槽位≥1个；

至少包含7个USB KEY；

2）系统性能：

国密算法：

SM2 算法最大密钥生成速率≥18000对/秒

SM2 算法最大签名速率≥16000次/秒

SM2 算法最大验签速率≥10000次/秒

SM3 算法完整性校验最大吞吐率≥1200Mbps

SM4 算法加解密最大吞吐率≥1800Mbps

国际算法：

RSA 算法最大密钥生成速率≥160对/秒

1024 位 RSA 算法最大签名速率≥8000次/秒

1024 位 RSA 算法最大验签速率≥100000次/秒

SHA1 算法加解密最大吞吐率≥3000Mbps

SHA2 算法加解密最大吞吐率≥3000Mbps

DES 算法加解密最大吞吐率≥1000Mbps

3DES 算法加解密最大吞吐率≥600Mbps

AES 算法加解密最大吞吐率≥5000Mbps

3）支持三层密钥结构：即支持管理密钥、用户/设备/密钥加密密钥、会话密钥的三层管理

4）支持IP授权的白名单登录管理

5）支持设备日志的配置管理，可对配置日志、系统日志、业务日志进行审计，支持按日志类型、时间、权限级别、关键词等分类查询

6）支持审计日志的本地存储，并可发送到第三方日志服务器进行统一管理存储，且可支持日志的加密传输；

★7）设备具有国家密码局颁发商用密码产品认证证书。

（10）签名验签服务器

1）设备形态：标准2U设备，千兆电口≥4个；SFP插槽≥4个，扩展槽位≥1个；

至少包含7个USB KEY；

2）系统性能：

国密算法：

SM2 算法最大密钥生成速率≥18000对/秒

SM2 算法最大签名速率≥16000次/秒

SM2 算法最大验签速率≥10000次/秒

SM3 算法完整性校验最大吞吐率≥1200Mbps

SM4 算法加解密最大吞吐率≥1800Mbps

SM2 制作数字信封最大速率≥12000次/秒

SM2 拆解数字信封最大速率≥8000次/秒

国际算法：

1024 位 RSA 算法签名最大速率≥20000次/秒

1024 位 RSA 算法验签最大速率≥25000次/秒

RSA 算法制作数字信封最大速率≥9000次/秒

RSA 算法拆解数字信封最大速率≥5000次/秒

3）提供PKCS1、XML Sign、PKCS7 attach、PKCS7 detach 等多种格式的数字签名和数字签名验证功能；

4）实现基于数字证书的身份认证，可同时支持不同的自建CA和运营CA的证书验证，证书有效性支持CRL/OCSP等多种方式验证；

5）可同时配置多条证书链，可支持不同CA系统签发的数字证书的验证；

6）对数据进行加密传输，只有指定的接收者可以解密相应数据；

★7）设备具有国家密码局颁发商用密码产品认证证书。

（11）VPN加密机

1）设备形态：标准2U设备,内存≥16G,硬盘≥1T，千兆电口≥4个，千兆光口≥4个,冗余电源,扩展槽位≥1个,

2）系统性能：IPSEC国际算法吞吐率≥2Gbps：IPSEC国密算法吞吐率≥400Mbps：IPSEC VPN隧道数≥13000；SSL吞吐率≥2Gbps；SSL最大并发用户数≥8000；可管理的VPN接入用户数≥30000；

3）支持PKCS12、DER、PEM等多种证书认证方式；

4）支持网页转发、网络完全接入模式，支持FTP的网页化访问；

5）支持接入用户的会话管理功能，能够实时查看在线用户的登录地址、登录时间、在线时长、访问流量的大小，登录设备等多种信息；

6）支持访问控制规则配置，规则配置可基于源IP地址、目的IP地址、MAC地址、服务端口和协议、时间、用户、角色等；

★7）设备具有国家密码局颁发商用密码产品认证证书。

★8）产品符合国密局制定的《IPsec技术规范》和《SSL VPN技术规范》

（12）密码服务平台

1）设备形态：标准2U设备，千兆电口≥4个，SFP插槽≥4个，扩展槽位≥2个；

2）支持对服务器密码机、云服务器密码机等密码设备的密码资源统一管理调度，为被管理的业务系统及应用提供按需、高效、可弹性扩展的密码管理服务。

3）支持为标准API接口提供加密、解密、签名、验签、HMAC、随机数生成等密码服务；

4）支持数字证书认证服务接入管理；

5）支持通过负载均衡技术实现云内虚拟机对密码资源占用的动态分配。

★6）设备具有国家密码局颁发商用密码产品认证证书。

（13）数字证书

1）支持国密算法。

2）证书格式标准遵循x．509v3标准；

3）包含个人证书、设备证书、SSL证书。

（14）国密浏览器

1）支持页面解析、页面标签栏、页面地址栏、前进后退、页面刷新、网址收藏、证书集成、插件集成等浏览器功能。

2）支持国密证书导入功能，支持国密证书导出功能，支持国密证书删除功能。

3）支持多任务并行下载，提供下载管理界面。支持选择保存或直接打开下载文件。

4）国密安全功能。支持国密算法SM2SM3SM4，支持 SSL 链接功能，同时支持 SSL 单项及双向链接。

★5）产品具有国家密码管理局颁发的商密认证证书。

（15）智能密码钥匙（USBKey）

1）支持SM2SM4，RSA1024/2048

2）支持标准CA功能，配合自建CA和运营CA进行终端身份认证、私钥存储、应用加解密、电子签章、SSLVPN登录等

★3）产品具有国家密码管理局颁发的商密认证证书。

（16）国密门禁系统

1）国密门禁管理系统

★1.具备国家密码管理局认证证书。符合0036标准。

2.具有对门户出入控制、实时监控、保安防盗报警等多种功能；

3.支持门禁发卡管理。

4.支持门禁权限管理。

5.支持区域管理，支持时间管理。

6.支持考勤管理，支持记录查询，支持报警提示。

2）国密门禁日志审计系统

1.支持门禁进出记录数据完整性保护。

2.支持PIN码和口令双重保护。

3.支持日志采集，日志存储，日志检索，支持事件告警。

3）门禁控制器(双门)

可控制门数量：2门

可接入读卡器数量：2个

开门延时：≤0.8秒

用户卡注册数量：2万张

记录脱机存储数量：12万条

与读卡器最大联机距离：50米

与PC最大联机距离：100米

4）门禁密钥注入器

读卡时间：≤80ms

卡座寿命：10万次

整机功耗：≤0.5W

5）门禁发卡器

PSAM卡插槽：1个， 工作频率：13.56M/125KHz， 通信协议：ISO14443 ， 读卡时间：≤50ms， 卡座寿命：10万次， 整机功耗：≤0.5W

6）人脸识别读卡器

1.采用基于SM4的对称加解密技术实现门禁用户身份鉴别。

2.识别方式至少支持RFID+人脸/指纹 。

工作频率：13.56M， 读写距离：≤50mm， 读卡时间：≤50ms， 用户数：10000人， 指纹容量：10000枚， 面部容量：10000张， 记录容量：10万条， 显示屏：5寸TP彩屏， 通讯方式：TCP/IP，

7）CPU卡

技术规范：支持PBOC2.0， 工作频率：13.56MHz， 读写距离：≤5cm， 运行速度：最快848KBps， 数据容量：256K， 擦写次数：≥10万次 ， 使用时间：≥10年，

8）国密门禁密钥管理系统

1.支持对读卡器和用户CPU卡用户信息绑定及密钥初始化；

2.支持通过根密钥验证用户权限；

3.支持密钥管理记录查询；

4.支持密钥生成，密钥分发；

5.支持密钥管理，密钥更新；

（17）国密视频系统

1）基于国密算法的安全视频加密系统软件

1.保护用户重要及敏感图像不被非法窃取、篡改、拒绝非法用户采用伪造的设备侵入系统；

2.采用数据完整性保护算法，对会话协议和控制协议进行保护，防止非法用户的协议攻击。

★3.产品具备国家密码管理局认证证书。

2）40路16盘位国密硬盘录像机

千兆电口≥2个，USB2.0≥1个，USB3.0≥1个，RS485接口≥1个，RS232接口≥1个，HDMI接口≥1个，VGA接口≥1个,单电源,扩展槽位≥16个（含4块8T 256M SATA监控硬盘)，视频输入≥40路，

3）200万枪机 国密网络摄像机

★1、产品具备国密局证书，

2.支持国密算法模块；

（18）云服务器密码机

1）标准2U设备，千兆电口≥4个，SFP插槽≥4个，扩展槽位≥1个，单台最大可支持虚拟机数量≥4个。

2）支持对称算法：SM1、SM4，支持ECB、CBC模式。非对称算法：SM2；杂凑算法：SM3。

3）应用接口应包括但不限于GB/T 36322-2018 《信息安全技术 密码设备应用接口规范》、PKCS#11、JCE；

4）管理接口支持GM/T 0088云服务器密码机管理接口规范API（支持8个以上业务对接）；

5）支持设备访问的白名单配置；

6）支持虚拟密码机故障恢复；

★7）设备具有国家密码局颁发商用密码产品认证证书。

6．基础软件

（1）操作系统

Linux操作系统：64位操作系统，与所投物理服务器兼容，支持所投中间件及数据库部署。Linux操作系统（商业版）四级服务项目应包括主流操作系统。

Windows操作系统：64位操作系统，与所投物理服务器兼容，支持所投中间件及数据库部署。

（2）数据库

具备数据存储、访问控制、身份鉴别和数据备份恢复等功能。管理员及用户可通过图形化或命令行工具实现对数据库对象的管理；开发人员可通过标准化接口开发基于数据库的应用和软件。包含集群软件，数据迁移服务。

产品部署在服务器，以后台服务形式运行，数据库管理员及用户在管理主机上通过图形化管理工具或命令工具可实现对数据对象（表、视图、约束、索引、触发器、存储过程等）的配置管理；开发人员可通过标准化数据库访问接口，开发基于数据库的应用系统和软件产品。

兼容多种硬件体系，可运行于不同CPU架构的服务器设备。 

支持 多种操作系统平台，在不同操作系统和硬件平台之间移植时，应用程序无需修改。

支持多种开发语言：C/C++、Python、JAVA、.Net、Go、PHP、Node.js等。

单机单实例TPC-C性能测试，测试持续时间60分钟，测