招标文件
项目需求书
一、项目背景
天津教育数据中心和天津政务云承载天津市教育系统各类重要业务系统,其中天津教育数据中心机房内仍提供包括网络安全设备、服务器、存储、虚拟化平台等资源及防护保障部署在该机房内业务系统正常运行。天津政务云现部署业务系统均采用云主机和裸金属模式部署,涉及互联网内外网、政务外网和教育专网。鉴于天津教育数据中心仍在承载部分天津市教育系统,日常基础设施、基础环境、数据库、应用调试、网络安全策略调整配置、应用故障排查等仍需日常维护操作;天津政务云仅对上云业务系统提供资源及基础防护,对云主机、数据库、安全防护、应用调试、应用故障排查等需租户自行维护操作。同时每年天津教育系统均会根据政策要求新建业务系统,前期的技术沟通、上线前资源确认、网络策略沟通确认等工作,上线后整体交付后的系统也需做好维护。鉴于以上涵盖范围及服务内容,同时考虑到天津教育系统业务系统承载数据重要性、面向对象为学校、教师、家长、学生这类有针对性群体,业务系统故障造成社会影响面大,市教委对业务系统故障修复时效性要求较高等客观原因,遵照教育部关于《省级教育数据中心管理与运行维护指南(试行)》要求,参考结合前序合同服务内容,拟继续设立天津市教育管理信息系统应用与运行维护服务项目(2024年度)。
本项目为“天津市教育管理信息系统应用与运行维护服务项目(2024年度) ”。
本项目属于软件和信息技术服务业
二、技术需求
1.基础设施维护
现有天津教育数据中心服务器和存储设备如下表(后续因业务需求变更可能存在变化):
|
所在机房 |
序号 |
设备名称 |
品牌 |
型号 |
数量 |
用途 |
|
天津教育数据中心机房 |
1 |
服务器 |
HUAWEI |
Fusionserver RH5885 V3 |
3 |
用于安恒检测平台 |
|
2 |
服务器 |
H3C |
R4900 G2 |
5 |
2台用于RA 2台用于CA 1台为从LDAP服务器 |
|
|
3 |
服务器 |
HUAWEI |
HUAWEI RH5885H V3 H58H-03 |
39 |
虚拟化集群及备份服务器 |
|
|
1 |
存储机头 |
HUAWEI |
HUAWEI OceanStor 5800 v3 |
2 |
虚拟化集群、备份数据存储 |
|
|
2 |
硬盘阵列 |
HUAWEI |
HUAWEI DAE22435U4 |
8 |
虚拟化集群、备份数据存储 |
|
|
3 |
硬盘阵列 |
HUAWEI |
HUAWEI DAE22525U2 |
12 |
虚拟化集群、备份数据存储 |
|
|
4 |
备份一体机 |
数腾软件 |
BD-EDP-Q08004 |
1 |
虚拟化集群、备份数据存储 |
每天监控天津教育数据中心机房服务器运行状态、资源使用情况,包括监控记录CPU、内存、磁盘使用情况,排查异常进程等,发现问题及时处理。定期进行服务器安全性和性能检查,查验系统账号、端口开放情况、报警日志、安全策略和系统服务状态等,发现问题及时处理。定期对服务器系统数据进行备份,系统崩溃或需要恢复系统情况时,优先对安全策略设置做好备份,待系统恢复完成后,再恢复相应安全策略。
依据部署在天津教育数据中心机房业务系统建设需求合理配置存储设备、分配存储资源。定期监控存储设备运行状态、存储使用情况,包括监控存储阵列状态、磁盘I/O、错误报警等,发现问题及时处置。定期对存储设备进行安全性和性能检查,包括检查设备硬件、逻辑卷、内存交换区等,及时发现并协助更换有潜在故障的部件。
2.网络和信息安全设备维护
现有天津教育数据中心网络和安全设备如下表:
|
所在机房 |
序号 |
设备名称 |
品牌 |
型号 |
数量 |
用途 |
|
天津教育数据中心机房 |
1 |
接入交换机 |
HUAWEI |
HUAWEI S5700 Series |
3 |
接入交换机 |
|
2 |
汇聚交换机 |
H3C |
H3C S10508-V |
2 |
汇聚交换机 |
|
|
3 |
接入交换机 |
HUAWEI |
HUAWEI S6700-48-EI |
2 |
接入交换机 |
|
|
4 |
光纤交换机 |
Brocade |
Brocade 5100 |
2 |
虚拟化集群服务器与存储连接 |
|
|
5 |
接入交换机 |
HUAWEI |
S5720-28P-SI |
2 |
接入交换机 |
|
|
6 |
接入交换机 |
HUAWEI |
HUAWEI CE5810-48T4S-EI |
6 |
虚拟化集群接入交换机 |
|
|
7 |
接入交换机 |
HUAWEI |
HUAWEI S5700 |
4 |
虚拟化集群服务器与存储连接 |
|
|
8 |
接入交换机 |
HUAWEI |
HUAWEI S5710-52C-EI |
2 |
接入交换机 |
|
|
9 |
接入交换机 |
HUAWEI |
HUAWEI S5700 5700HB-2 |
1 |
接入交换机 |
|
|
10 |
光纤交换机 |
HUAWEI |
HUAWEI OceanStor SNS5192 |
2 |
虚拟化集群服务器与存储连接 |
|
|
11 |
网站安全监测平台管理中心 |
安恒 |
明鉴网站安全监测平台DAS-WSM 管理平台 |
1 |
网站安全监测平台管理中心 |
|
|
12 |
网站安全监测平台引擎 |
安恒 |
明鉴网站安全监测平台DAS-WSM-E3000 引擎 |
10 |
网站安全监测平台引擎 |
|
|
13 |
光纤分流交换机 |
迈普 |
My Power T5820 |
1 |
光纤分流交换机 |
|
|
14 |
web扫描 |
绿盟 |
NSFOCUS WVSS NX3 Series |
2 |
web应用漏洞扫描系统 |
|
|
15 |
数据库扫描 |
安华金和 |
DBS-X1000 |
2 |
数据库扫描系统 |
|
|
16 |
配置信息核查 |
绿盟 |
NSFOCUS BVS NX3 Series |
1 |
配置信息核查 |
|
|
17 |
WAF |
绿盟 |
NSFOCUS WAF NX5 Series |
2 |
Web应用防护系统 |
|
|
18 |
数据库审计系统 |
天融信 |
天融信数据库审计系统TA-DBV3 |
2 |
数据库审计系统 |
|
|
19 |
NTP网络时间服务器 |
西安同步电子 |
SYN2136 |
1 |
时间同步服务器 |
|
|
20 |
防火墙 |
天融信 |
NGFW4000-UF |
1 |
教委公文流转系统使用 |
|
|
21 |
木马监控 |
天融信 |
Top IDP 3000 |
1 |
木马监控系统 |
|
|
22 |
防火墙 |
绿盟 |
NF NX3-G4000L |
1 |
ca系统使用 |
|
|
23 |
密码机 |
渔翁信息 |
SJJ1115-B |
2 |
服务器密码机1台用于RA系统 1台用于CA系统 |
|
|
24 |
服务器 |
确信信息 |
SG4000-3 |
2 |
CA系统身份认证网关 |
|
|
25 |
服务器 |
确信信息 |
DSVS1000-3 |
2 |
CA系统签名验证服务器 |
|
|
26 |
服务器 |
确信信息 |
TSA2000-3 |
2 |
CA系统时间戳服务器 |
|
|
27 |
SSL VPN |
天融信 |
SJJ1209(TV-7000) |
2 |
远程运维 |
|
|
28 |
堡垒机 |
帕拉迪 |
PLDSEC SMC |
2 |
堡垒机 |
每天监控天津教育数据中心网络及安全设备运行状态,包括设备CPU、内存运行状态等,并记录准确状态数值。如果有异常情况,及时通知客户相关负责人,并配合查找出现该现象的原因。同时建立更加详细的设备维护档案,记录维护设备的历史维护信息等。
强化网络接入管理,合理分配IP地址,更新、维护IP地址记录,对发现IP地址改变、盗用、连接端口改变和非法外联等情况,应及时采取相应措施;制定网络和安全设备的访问控制、入侵检测、病毒防护等安全策略,安全策略须根据实际防护效果定期进行修改完善;实时监控设备运行状况、网络流量和用户行为,当发现网络阻塞或中断等问题时,及时组织处理;网络与安全设备配置应有详细的过程和内容记录。
天津政务云上运行业务系统,上线前对高中危漏洞进行查看修复,分配教育网IP地址,确定开放网络端口及内外网IP映射关系。确定互联网端与政务外网端数据通道及端口策略。
3. 机房环境维护
根据对天津教育数据中心机房基础设施运维服务对象的梳理和划分,对机房设备进行日常巡检查看,关注机房空调温湿度、消防设施压强,发现问题及时确认问题原因,提供相应解决方案。配合新设备上架、规划上架位置、连接相应线缆。
4. 应用系统维护
保证承载业务系统的操作系统,前端发布、中间件、数据库服务正常运行,保证数据完整性,协助应用系统升级、业务数据查询导出、系统间功能对接开放端口调试,业务系统功能模块及对外发布正常等。
应用系统范围包含但不仅限于目前现有天津教育系统业务系统,具体列表如下表:
|
序号 |
业务系统名称 |
|
1 |
全国中小学生学籍信息管理系统(天津市) |
|
2 |
全国学前教育管理信息系统 |
|
3 |
应用支撑服务平台 |
|
4 |
全国教师管理信息系统 |
|
5 |
全国学生资助管理信息系统 |
|
6 |
全国中等职业学校学生管理信息系统 |
|
7 |
全国中小学校舍信息管理系统 |
|
8 |
全国中等职业学校管理信息系统 |
|
9 |
全国教育管理信息系统数据交换共享平台 |
|
10 |
教育部基础信息数据库管理与服务系统 |
|
11 |
天津市教育管理公共服务平台 |
|
12 |
天津市普通高中综合素质评价信息管理平台 |
|
13 |
天津市教育信息化软件资源管理与服务平台 |
|
14 |
天津高等教育智慧教育平台 |
|
15 |
全国教育管理信息系统数据交换平台建设项目(省级部分) |
|
16 |
天津市初中综合素质评价信息管理平台 |
|
17 |
关键信息基础设施安全防护管理平台 |
|
18 |
天津市校舍管理服务中心 |
|
19 |
教委公文流转系统 |
|
20 |
天津市义务教育入学管理平台 |
|
21 |
天津市国际交流学生学籍管理系统 |
|
22 |
天津市“农校对接”-高校食堂大宗物资交易平台 |
|
23 |
天津教育督导工作管理系统 |
|
24 |
市属高校安全用电与能耗检测管理市级平台 |
|
25 |
市属高校学生食堂监控系统 |
|
26 |
天津市教育委员会职业技术教育中心 |
|
27 |
天津市外国语大学附属外国语学校 |
|
28 |
天津市幼儿师范学校 |
|
29 |
天津市实验小学 |
|
30 |
天津市电化教育馆 |
|
31 |
天津市瑞景中学 |
|
32 |
天津市天津中学 |
|
33 |
天津市中小学后勤管理服务中心 |
|
34 |
天津市实验中学 |
|
35 |
天津市新华中学 |
|
36 |
天津市耀华中学 |
|
37 |
天津市第一中学 |
|
38 |
资助中心 |
|
39 |
天津教育科学研究院 |
|
40 |
天津市校舍管理服务中心 |
|
41 |
天津市聋人学校 |
|
42 |
党校网站 |
|
43 |
天津教研网 |
|
44 |
天津市复兴中学 |
|
45 |
天津市幼儿师范学校附属幼儿园 |
|
46 |
天津市科研与学科工作网 |
|
47 |
天津语言文字网 |
|
48 |
天津市视力障碍学校 |
|
49 |
天津市南开中学 |
5. 信息资源维护
根据天津教育数据中心承载系统负载变化情况及时对虚拟化平台进行性能调优、优化资源分配与调度,提升系统性能及稳定性,保证系统 7×24 小时稳定运行。
做好对虚拟化平台的日常巡检,不定时查看平台运行状态和告警记录,并对 CPU、内存、磁盘和网络带宽利用率、虚拟机资源使用情况进行监测,对发现的故障和问题及时处置。
对天津教育数据中心和天津政务云上的各应用系统以及中间件进行安装部署、升级、迁移等应用变更管理工作。对应用系统运行状态进行检查,收集系统运行状态。对应用系统的运行状况的监测和报警形成记录并妥善保存。
对应用系统的角色、密码等安全操作进行管理,各类管理人员只能进行职责权限下的管理维护操作,不得越权访问。对于管理员及用户角色设置不少于8位密码,密码由字母、数字及符号组成,并确保所有设备和系统在投入使用之前都要修改或删除默认口令。
能够对应用系统中间件的运行状态进行定时巡检,提供对中间件的运行检查分析,评估系统状态,降低故障隐患。能够对中间件环境及人为因素进行风险分析,各端口定期进行健康、安全性、漏洞等方面的检查,分析中间件资源情况,确定性能瓶颈,进行性能调整和优化服务。能够定期检查备份介质的可用性、准确性。
依据天津教育数据中心和天津政务云上系统业务需求情况,实施数据库系统软件的安装部署和调试工作,只安装必须使用的服务组件,包括删除不必要的用户、组,配置日志功能,限制服务的运行权限等。数据库系统在安装完正式上线前,进行安全加固配置。应对数据库运行状态进行日常巡检和监测,日常巡检内容应包括数据库网络连通情况、磁盘空间使用、系统资源使用、数据库相关实例和后台进程、CPU、内存及I/O状态、错误报警及异常情况等。依据数据库数据量变化趋势和各类负载变化情况,及时进行性能调优,合理调整资源分配,保证数据库系统性能及稳定性。根据信息系统备份需求制定和执行数据备份操作等。配合手动对教委各业务系统开放共享数据导入市委网信办共享平台前置库。
6. 基础软件补丁更新维护服务
现有天津教育数据中心和天津政务云上涉及基础软件信息如下表(后续因业务需求变更可能存在变化):
|
序号 |
类型 |
品牌 |
数量(台) |
|
1 |
操作系统 |
CentOS |
115 |
|
2 |
Asianux |
239 |
|
|
3 |
RedHat |
2 |
|
|
4 |
NFSChina |
2 |
|
|
5 |
AlmaLinux |
74 |
|
|
6 |
Windows |
44 |
|
|
7 |
中间件 |
Weblogic |
183 |
|
8 |
数据库 |
Oracle |
30 |
|
9 |
SQL Server |
1 |
(1)Linux维保服务
定期检查Linux系统的配置健康情况,发现并排除Linux系统错误隐患,检查Linux系统空间的使用情况,并进行Linux系统空间的规划管理及配置变更。
监控Linux系统性能、运行状态、运行效率、并对Linux系统性能调优,调整。
(2)微软操作系统和数据库维保服务
定期检查微软操作系统和数据库的配置健康情况,发现并排除微软操作系统和数据库错误隐患,进行微软操作系统和数据库空间的规划管理及配置变更。
监控微软操作系统和数据库性能、运行状态、运行效率、并对微软操作系统和数据库性能调优,调整。
(3)Oracle数据库和weblogic中间件维保服务
提供新版本Oracle数据库的安装服务,并不作次数限制,同时保证现有Oracle数据库以及新安装的Oracle数据库享有原厂标准服务。
能够提供Oracle数据库和weblogic中间件最新的补丁集,并结合安全要求进行数据库和中间件综合评价后,对数据库和中间件进行补丁升级操作。
监控Oracle数据库性能、运行状态、运行效率、并对Oracle数据库性能调优,调整。
7.其他内容与服务
指派专人担任教育部子系统全国中小学生学籍信息管理系统呼叫中心客服,利用呼叫中心系统和网络服务平台,向天津各类用户提供电话和网络客户服务,受理天津用户的咨询和投诉,客服需以友好和蔼的态度,从用户角度积极提供帮助。服务采用首问负责制,首次受理用户请求的客服为该事件的责任人。客服需积极主动解答客户问题,处理客户请求,职责范围内不得推诿,职责范围外应积极提供帮助和建议。
受理客户反映的问题时,客服需对问题进行详细记录,包括时间、问题现象、位置、影响资产、影响范围、业务影响情况等关键分析信息。
客服在受理问题时,首先进行分类分级、分析和诊断,并尝试提供解决方案。若客服无法解决的,会立即将问题分配到相关技术人员进行支持。
事件得到解决后,客服会对事件单记录内容的完整性的进行确认。与用户确认事件是否得到解决,并将用户的意见记录在事件单中。并对于解决方案进行检查,如需要提交知识库,则向知识管理员提交申请,进入知识管理流程,关闭事件单。
在运维服务过程中遇到的特殊时间段,如:重大活动、会议,尤其是针对天津市教育系统的具体情况,在每年9月、2月开学季,以及中考、会考、高考等重要时间段内,需制定重保方案、成立专门的工作小组,安排工程师驻场值班维护,并保证项目经理手机24小时开机,随时接听电话,保证系统的稳定运行。
根据天津教育系统维护服务特点,制定系统、设备运行维护的应急响应策略。为天津教育数据中心和天津政务云维护的软硬件提供应急服务。通过完善的应急保障措施,维护软硬件系统,为系统环境的正常运行提供技术保障。
(1)应急预案的演练
为保证制定的应急预案在故障真正发生时能起到预期的作用,需加强对所制定的应急调度预案的宣传教育,定期组织相关人员进行应急演练,保证应急预案的有效实施,不断提高系统发生故障的应急处理能力。
(2)情况汇报和经验总结
在处理应急事件中,需及时进行情况汇报,并根据实际情况及时总结经验教训,不断完善相关应急处置预案。
教育部印发的《省级教育数据中心建设指南(印发稿)》指出,教育部数据中心、全国集中部署的国家教育管理信息系和中央级部署的国家教育管理信息系的运行维护工作由部级教育数据中心负责。省级教育数据中心、省级部署的国家信息系统和各省自建系统的运行维护工作由省级教育信息中心负责。按照“谁建设、谁运维”的原则,部省教育数据中心分别负责各自系统的运行维护工作。
全国集中部署、中央级部署、省级部署的国家教育管理信息系之间存在紧密联系,部省教育数据中心一体化运行维护管理体系需要建立“二级调度”、“二层运维” 的管理模式,实现部省两级教育数据中心联动,在运维服务过程中,包括如下方面:
运维培训与交流
积极参加部级教育数据中心组织的运行维护管理制度优化、运行维护管理经验交流等研讨活动。
积极参加部级教育数据中心组织的业务和技术培训,接受部级教育数据中心对运维工作的指导,积极提升自身技术和业务水平。
积极参加部级教育数据中心不定期组织的业务培训,按部级教育数据中心统一要求规范开展客户服务工作。
故障处理和通报
部市教育数据中心间建立和完善沟通协作机制,市级教育数据中心无法解决的问题及时上报,由部市两级教育数据中心间协同联动解决,对出现的重大和严重事件时,组织实施应急调度。
收到部级或其他省级教育数据中心转来的客户请求,市级教育数据中心客服应积极处理,并及时反馈。
市级教育数据中心在业务服务时段发生服务器宕机、存储系统失效、核心软件故障、生产数据损毁/丢失/泄露等重大故障,导致重要业务无法正常开展、影响大量用户时,应在故障发现 10 分钟内向部级教育数据中心报告。
市级教育数据中心在故障处理、割接市级、应急演练等运行维护工作中,需要部级教育数据中心给予技术支持和协助时,可向部级呼叫中心提交申请,由其统一调度相关技术资源,提供支持和协助。
在日常故障处理中,市级教育数据中心应积极响应部级教育数据中心要求,及时完成配合协助工作。
业务变更和沟通
市级教育数据中心在网络割接、服务器和存储计划停机、核心软件升级等重大变更实施前 24 小时前,可向部级教育数据中心报告变更实施事件、业务影响范围、风险等情况;
变更操作影响到部级或其他省级教育数据中心的,应把部级或其他省级教育数据中心加入到评审委员会中。
在系统上线/升级、灾备切换与演练等活动中,相关市级教育数据中心应指定专门的管理人员,组织本市运维人员按照部级教育数据中心要求,进行配合工作。
问题处置与协作
市级教育数据中心技术专家可积极参加部级或他省数据中心发起的重大故障处理、应急响应处置、问题根源分析、变更风险评估和运维知识评审等工作,并带领本市运维人员主动学习部级和他省的故障处理案例、运维经验知识,积极积累、总结运行维护经验知识,提交到综合运维管理系统中,在全国范围内共享。
原则上,市级教育数据中心中设备和系统的配置或操作由市级运维人员负责,部级教育数据中心中设备和系统的配置或操作由部级运维人员负责,不应越权交叉进行配置或操作,也不应假手厂商人员对应用系统或数据信息配置或操作。确实需要外单位人员配置或操作生产系统或数据的,应按照安全管理制度要求,在特定时间、地点和人员陪同下操作,并对操作过程和结果进行详细记录,以保证生产和数据安全。
协助完成天津教育系统现有业务系统等保测评、关键基础设施系统风险评估工作;协助完成教育部、公安部、天津市教育委员会、天津市数据发展中心等组织的攻防演练工作;协助做好教育部、市委网信办、大数据管理中心等进行的各类安全检查工作;全年重要时期的应急保障工作;配合完成每年的应急演练工作。
8. 人员要求
项目经理:考虑网络设备涉及华为和H3C品牌,绝大多数操作系统为Linux操作系统,设备在天津教育数据中心机房内的核心及重要作用及项目经理在项目中的核心领导作用,要求项目经理具有HCIE-Datacom、 H3CIE-Routing & Switching Plus - H3CIE-RS+、RED HAT CERTIFIED ENGINEER中的一个或多个认证
运维工程师:同时为保障业务系统安全稳定运行,及时发现及处理系统安全隐患,运维服务单位需提供具有CISAW信息安全保障人员认证证书的运维人员进行日常维护工作。
二线技术专家:考虑业务系统云主机均部署在天津教育数据中心虚拟化平台和政务云平台,为应对复杂故障事件自云平台至网络安全层面及业务系统基础环境层面整体排查处理,运维服务单位需提供具有HCIE-Cloud Computing认证的二线专家人员进行二线保障工作。
10.安全需求
本项目安全性参照《信息系统安全等级保护基本要求(GBT 22239-2019)》3级标准,依据《商用密码应用安全性评估管理办法(试行)》及《关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知》(中网办发文〔2021〕15号)等政策规定执行。
数据库备份安全:
数据库备份需采用全量备份和增量备份方式,做到每周至少一次全量,每天一次增量备份。
网络传输安全:
本项目包含的国家业务系统与教育部通过IPsecVPN传输。
密码安全:
在本项目包含的系统上实施“初始密码复杂化设置”、“密码结构复杂度校验”及“登陆次数限制”功能,以通过强制密码位数限制、密码复杂度限制的手段来保障用户自身的安全。
11.数据共享开放要求
系统数据共享开放须符合《天津市政务信息资源共享管理暂行办法》。
12.安全审查和保密要求
安全审查:按照《中华人民共和国网络安全法》等法律法规以及党政机关安全管理有关规定,落实国家网络安全等级保护、密码应用有关法律法规和标准规范的要求,同步开展网络安全审查有关工作。
保密要求:运维人员应每年签订《保密承诺书》,以及采购方要求的相关保密协议,并明确应承担法律责任。
供应商和运维人员在未经采购方认可的情况下,不得将任何采购方认为涉及数据安全的观点、数据、系统结构信息、测试结论以及测试记录传播、披露和使用;不得擅自修改任何程序和数据;运维厂商和运维人员保证严格遵守采购方的保密要求,并签订保密协议;保证对于采购方提供的资料(包括业务资料、技术资料、相关数据等),不得以任何形式向第三方传播;保证不向外(指采购人规定范围以外)泄漏任何与本项目相关的保密技术资料。保密期限不受本项目期限的限制,在本项目履行完毕后,运维厂商和运维人员继续承担保密义务。
收藏