DB11T 2169-2023 政务云平台建设技术要求

—2023政务云平台建设技术要求Technicalrequirementsforconstructionofgovernmentcloudplatform2023-12-25发布2024-04-01实施北京市市场监督管理局发布—2023I目次前言..................................................................................II1范围................................................................................12规范性引用文件......................................................................13术语和定义..........................................................................14缩略语..............................................................................25云服务商要求........................................................................36框架要求............................................................................37建设要求............................................................................78验收要求...........................................................................179监管要求...........................................................................18附录A（资料性）政务云平台服务技术指标..............................................20附录B（资料性）验收文档清单........................................................28附录C（资料性）政务云平台数据汇集（示例）..........................................30—2023II前言本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件由北京市经济和信息化局提出并归口。本文件由北京市经济和信息化局组织实施。本文件起草单位：北京市大数据中心、紫光股份有限公司、阿里云计算有限公司、太极计算机股份有限公司、北京安信天行科技有限公司、中国电子技术标准化研究院。本文件主要起草人：刘鹏、李佳、张琳、刘国伟、徐海琛、王岩、张颖、窦腾飞、崔建新、杨杰、宁振宇、籍志兵、朱向明、赵莹、万晓兰、金俊杰、丁明、唐道龙、尹斯、白强、丁冲、王惠琨、王璐、李巍、王忆柔、郑雅璐、陈青民、方莉莉、安亚鹏、王瑶瑶。—20231政务云平台建设技术要求1范围本文件规定了云服务商要求、政务云平台框架要求、建设要求、验收要求和监管要求。本文件适用于市级政务云管理单位、云服务商、云综合监管服务商及其他相关单位对政务云平台进行设计、建设、验收、监管等活动。区级政务云平台设计、建设等活动，可参照本文件。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239信息安全技术网络安全等级保护基本要求GB/T31168信息安全技术云计算服务安全能力要求GB/T34077.3基于云计算的电子政务公共平台管理规范第3部分：运行保障管理GB/T34078.3基于云计算的电子政务公共平台总体规范第3部分：服务管理GB/T34078.4基于云计算的电子政务公共平台总体规范第4部分：服务实施GB/T34080.1基于云计算的电子政务公共平台安全规范第1部分：总体要求GB/T34080.2基于云计算的电子政务公共平台安全规范第2部分：信息资源安全GB/T34080.3基于云计算的电子政务公共平台安全规范第3部分：服务安全GB/T34080.4基于云计算的电子政务公共平台安全规范第4部分：应用安全GB/T37738信息技术云计算云服务质量评价指标GB/T37972信息安全技术云计算服务运行监管框架GB/T39786信息安全技术信息系统密码应用基本要求GB50174数据中心设计规范GB50462数据中心基础设施施工及验收规范3术语和定义下列术语和定义适用于本文件。政务云平台governmentcloudplatform为北京市属行政事业单位提供云基础设施、支撑软件和信息安全等综合服务的资源平台。政务云管理单位governmentcloudmanagementunit依据职责负责政务云的运行管理的单位。政务云使用单位governmentclouduser政务云服务的使用方。—20232政务云服务商governmentcloudserviceprovider政务云服务的供应方。政务云综合监管服务商governmentcloudcomprehensivesupervisionserviceprovider受政务云管理单位委托，开展政务云运维监管、安全监管、应急管理和服务评价等工作的参与方。云管理平台cloudmanagementplatform管理云计算服务的控制台。4缩略语下列缩略语适用于本文件。API：应用程序接口（ApplicationProgrammingInterface）CPU：中央处理器（CentralProcessingUnit）DDoS：分布式拒绝服务（DistributedDenialofService）DNS：域名系统（DomainNameSystem）FTP：文件传输协议（FileTransferProtocol）HTTP：超文本传输协议（HyperTextTransferProtocol）HTTPS：超文本传输安全协议（HyperTextTransferProtocolSecure）IaaS：基础架构即服务（InfrastructureasaService）ID：身份标识号（IdentityDocument）IMAP：因特网消息访问协议（InternetMessageAccessProtocol）IOPS：每秒的读写次数（Input/OutputOperationsPerSecond）IP：互连网协议（InternetProtocol）IPSec：互联网安全协议（InternetProtocolSecurity）IPv6：互联网协议第6版（InternetProtocolversion6）MAC地址：媒体存取控制地址（MediaAccessControlAddress）PaaS：平台即服务（PlatformasaService）PM：物理机（PhysicalMachine）POP3：邮件协议版本3（PostOfficeProtocol-Version3）PUE数据中心消耗的所有能源与IT负载消耗的能源的比值（PowerUsageEffectiveness）SaaS：软件即服务（SoftwareasaService）SDK：软件开发工具包（SoftwareDevelopmentKit）SMTP：简单邮件传输协议（SimpleMailTransferProtocol）SSL：安全套接层（SecureSocketsLayer）SYSLOG：系统日志（Systemlog）S/N：序列号（SerialNumber）TCP：传输控制协议（TransmissionControlProtocol）UPS：不间断电源（UninterruptiblePowerSupply）VFW：虚拟防火墙（VirtualFireWall）VLB：虚拟负载均衡（VirtualLoadBalance）—20233VM：虚拟机（VirtualMachine）VPC：虚拟专有云（VirtualPrivateCloud）VPN：虚拟专用网络(VirtualPrivateNetwork)WAF：Web应用防护系统（WebApplicationFirewall）WEB：全球广域网（WorldWideWeb）5云服务商要求政务云服务商应满足如下要求：a)遵循GB/T31168中云计算服务安全能力要求；b)具备政务云平台建设和运营经验；c)具备本地化服务能力，设置专职项目经理、运维人员，项目成员应具备项目管理、网络、安全、虚拟化、数据库、操作系统等专业知识和技能；d)具备7×24小时应急响应能力。6框架要求总体框架6.1.1政务云总体框架如图1所示。图1总体框架6.1.2政务云服务商可跨机房提供统一的政务云服务，分别建设政务外网区和互联网区，并实现政务外网区和互联网区的隔离。各政务云服务商间各自独立建设并提供服务。6.1.3政务云综合监管服务商通过监管专用网络对政务云平台进行监管。—20234部署框架6.2.1各政务云服务商政务云平台逻辑部署框架如图2所示。图2部署框架6.2.2政务云平台部署应划分为政务外网区和互联网区，两区域间通过安全隔离，实现区域间的数据安全交换，通过安全防护体系进行统一管理。政务外网区和互联网区之间应隔离。内部业务区域为每个政务云使用单位划分不同的虚拟专有云（VPC）。技术框架6.3.1政务云平台技术框架如图3所示，由机房环境、基础设施层、支撑软件层及业务应用层组成，在运维、安全和运营体系的保障下，为政务云使用单位提供统一服务支撑。—20235注：图中实线部分对应本文件相关规定，虚线部分仅为表明政务云平台技术框架的系统组成。图3政务云平台技术框架6.3.2应按如下内容设计具体架构：a)机房环境。为政务云提供安全、合规、完整的基础环境，应包含供电系统、制冷系统、安防系统、智能监控系统等；b)基础设施层。应采用分布式云基础架构，遵循分层、分模块解耦、统一接口调用的建设原则，通过虚拟化技术将计算、存储和网络等硬件设备进行资源整合，为政务业务应用提供基础资源服务；c)支撑软件层。为各类政务业务应用的开发、测试、部署、运行和运维提供统一的支撑环境，利用云原生、微服务及敏捷开发等技术，为应用上云提供可靠的工具支撑，保障业务稳定运行和敏捷迭代，包括但不限于容器、微服务、数据库服务、中间件服务以及操作系统服务等，并应支持统一管理；d)业务应用层。为满足政务云使用单位业务需求，政务云平台可提供共性的业务应用服务，业务应用层应包含基础支撑类、公共服务类和专用业务类等应用：1)基础支撑类应用包括但不限于云桌面、电子邮件、视频会议、云盘服务等；2)公共服务类应用包括但不限于门户网站、即时通讯、数据治理工具等；3)专用业务类应用包括但不限于电子公文、电子签章、地理信息、舆情分析系统等。e)运维。为保障政务云运维工作的标准化与规范性，政务云运维体系应是包含运维服务流程管理、基础设施运行监控、云服务监控的综