《生态环境智慧监管平台应用支撑系统建设方案.docx》由会员分享,可在线阅读,更多相关《生态环境智慧监管平台应用支撑系统建设方案.docx(39页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、生态环境智慧监管平台应用支撑系统建设方案2)视频调度移动终端购置与安装在省级生态环境部门先行部署视频调度移动终端,以支撑全省一 体化的指挥调度体系构建和落地实施,包括4套省级指挥调度配套终 端设备以及13个驻市环境监测中心和13个专员办现场视频调度移动 终端各1套,总计30套。3)老旧服务器替换升级对已出现性能瓶颈,且已无法扩容升级的六台服务器进行替换升 级,通过虚拟化平台和资源重组的方式,逐步将老旧服务器中的系统 和数据进行备份并导出到新服务器资源池中,并将新服务器纳入现有 的本地云资源中,实现资源统一管理、统一服务。4)内外网存储扩容按照业务系统的实际需要、容量适度冗余原则,基于省生态环境
2、 厅现有内、外网虚拟化平台,利用SAS存储设备进行现有存储的容量 扩充,实现新增容量可用空间达48TB (内外网各24TB),以便于支撑 现有业务数据存储和未来一定时间内的互联网数据采集。5)机房空调系统改造目前,省生态环境厅设备机房提供精密空调冷源的空调主机共有 三台,为开利涡旋式风冷冷水机组。因设备机房特殊使用环境,空调 全年无停机运行。由于空调主管道为PPR管道且口径为delOO,空调 主管道和空调水泵流量过小,无法同时满足3台主机对水流量的要 求。导致空调主机现只能正常开启1、2号空调主机,如3号主机开 启则所有空调主机报水流故障。为保证设备房内空调运行更加稳定保险,本项目拟对现有空调
3、管 道进行改造。通过空调管道的改装,将有效解决3台主机同时运行水 流不足问题,达到同时启动3台主机并且每台空调主机都可以单独切 换,并通过加装的阀门实现调节各主机的水流量,通过管道上的压力 表可以直观看到空调运行压力、管道内是否有空气。如有空气,管道 上的自动排气阀可自动排气等功能,以保证空调主机正常运行。在空调系统进水管加设电子除垢仪,净化空调进水水质减少杂质 进入空调系统。在原有管道基础上重新制作空调主管道并更换水泵和 缓冲水箱。更换主管道,加大主管道口径增加水容量,连接到空调进 出水口。水泵更换为流量77m3/ho在供回水管道上加装阀门、压力 表、排气阀等必要阀门和仪表。安装完毕后,解决
4、3台主机同时运 行水流不足问题,可同时启动3台主机并且每台空调主机都可以单 独切换并通过加装的阀门调节各主机的水流量。通过管道上的压力表 可以直观看到空调运行压力、管道内是否有空气。如有空气,管道上 的自动排气阀可自动排气,以保证空调主机正常运行。6)网络安全设备更新为保障智慧监管平台的安全稳定运行,根据网络安全等级保护三 级要求,还需对IPS、WAF、日志审计、堡垒机、上网行为管理等网 络安全设备进行替换更新,将安全管控新设备融入现有网络安全资源 池中,同时按照省厅现有的网络安全管理制度和要求,优化并加强相 关网络安全管理策略,建立网络安全管理手段,确保网络空间资产安 全、可控的运行。四、技
5、术指标要求(一)应用支撑系统建设本项目软件部分必须按软件工程的实施规范进行,保证系统先 进、操作方便、维护简单、实施规范,具体要求如下:(1)标准规范要求:系统建设符合生态环境厅软件应用系统 建设技术规范(试行),业务数据按要求接入生态环境大数据平台(生 态环境数据资源中心),使用科学合理的运行管理机制作为系统建设 运行的保障条件。对于不按要求接入的系统一律不予验收。(2)系统设计要求:系统应采用组件化、微服务化的开发方式, 各模块之间相互独立,任何一个应用模块的损坏和更换均不能影响其 它模块的使用。对于存在已建系统的,需基于已有系统进行设计,确 保数据结构、系统架构、业务流程、系统界面等与已
6、建设的系统无缝 衔接,与已有技术成果、数据成果和已有数据标准等进行无缝集成及 整合。(3)功能设计要求:依据本项目的可行性研究报告和初 步设计报告,并经过充分调研,在了解相关政策要求和建设单位用 户的需求的基础上编制需求规格说明书和相关设计文档,系统的 功能必须满足用户所提出的需求和最新的相关政策要求。(4)安装部署要求:系统应按照要求部署在省政务云的互联网 区、电子政务外网区,部分有特殊要求的应用部署在生态环境业务专 网内。同时,根据省有关部门及关于信息安全的统一部署要求,支持 信创产品的开发、部署、实施、使用,系统应支持部署至省统一的信 息技术创新云或相关信创环境,确保系统在信创环境下可正
7、常运行。 部署于省政务云互联网区、电子政务外网区以及生态环境业务专网内 的系统应按实际需求实现数据交换和应用跨网穿透式访问。(5)安全设计要求:系统应按照国家三级等保要求,并采用国 密算法进行加密处理设计,确保信息安全,提升系统的安全防护水平。(6)系统性能设计要求:企业端及互联网公众端应用系统可满 足30000用户同时在线,满足3000并发用户,管理端应用可满足5000 用户同时在线,满足500并发用户;对于系统使用频率较高的功能点, 满足非高峰时段响应时间小于500毫秒,高峰时段响应时间小于1秒 要求;对于系统使用频率一般的功能点,满足非高峰时段响应时间小 于300毫秒,高峰时段响应时间小
8、于500毫秒要求;数据交换接口在 并发300次/秒的情况下响应时间不超过5秒。系统年平均故障时间 小于1天,平均故障修复时间小于1小时。(7)数据库设计要求:应使用统一要求的数据库,对于有集群 化、分布式部署要求的系统,应按要求使用相关技术进行部署。(8)系统实施要求:提供必要的建库、建表语句供环境数据资 源中心统一建库,做到数据统一归集;应根据应用的资源占用情况, 登录生态环境厅应用资源管理系统进行资源申请,并根据确认的系统 资源进行应用系统的部署;部署完成后,应将应用部署的实际情况在 应用资源管理系统中进行完善,经审核后纳入统一管理;系统应部署 在非操作系统所在的指定目录,系统桌面上不得存
9、放任何文件,如涉 及使用第三方软件,需经同意;数据库、数据表、数据、视图、函数 等均应通过脚本生成。(9)数据对接要求:本项目建设的系统需保证稳定、持续地与 现有相关系统对接,并按要求对相关历史数据进行迁移处理,保证数 据延续性和安全性;对不具备自动对接的部门、园区、企业,应提供 手工录入数据的功能,在具备条件后负责实现数据的自动接入。(10)系统集成要求:本项目建设的系统须按要求与现有的支撑 平台、业务系统、大数据平台等系统软件集成对接,充分运用已有的 信息资源,避免重复建设。(11)易用性要求:整体页面风格与已有系统一致,对于用户客 户端需要安装的插件等采用一键安装的集中打包方式进行,具备
10、完善 的联机帮助功能。(12)兼容性要求:操作系统兼容性(windows、麒麟等国产操 作系统)、浏览器兼容性(chrome、IE、360安全浏览器等)(13)按需求进行国产化软硬件环境适配。(14)本项目中建设的系统作为生态环境智慧监管平台所有应用 系统的支撑,应确保建设成果可被其他应用系统使用。(15)系统应提供数据导出、查询、打印、删除等重要操作的日 志记录功能,用户能够查询自己所做重要操作的记录,管理员可以查 询系统所有重要操作的记录。(二)相关配套设备技术指标要求本项目配套基础设施建设部分具体要求如下:1)企业监控一体机设备购置与安装企业监控一体机设备清单如下表:序 号设备名称参数单
11、位数量1企业端智能监控一体机1 .支持边缘计算的能力,不低于双 CPU,性能至少满足 CPU_I_5218-Xeon2. 3*2;2 .内存不低于128G DDR43 .配置有竞争力的GPU资源,算力FP16 不低于30 TFL0PS;4 .存储模式支持本地和云存储兼容的模 式,本地支持多磁盘阵列,至少支持 6*6TBo5 .配置采集板卡2套,支持RS485、 TCPIP、ProfiBus、Profinet S7 等串 口或以太网等相关通信协议,支持和西 门子、欧姆龙等PLC、DCS控制系统等无 缝对接,通过4G无线传输等技术实现 工况数据采集。套42园区端 智能监控 一体机1 .支持边缘计算
12、的能力,不低于双CPU,性能至少满足CPU_I_5218-Xeon2. 3*2;2 .内存不低于128G DDR4套2序号设备名称参数单位一数3 .配置有竞争力的GPU资源,算力FP16 不低于 150 TFL0PS;4 .存储模式支持本地和云存储兼容的模 式,本地支持多磁盘阵列,至少支持 6*6TBo5 .配置采集板卡2套,支持RS485、 TCPIP、ProfiBus、Profinet. S7 等串 口或以太网等相关通信协议,支持和西 门子、欧姆龙等主流PLC、DCS控制系统 等无缝对接,通过4G无线传输等技术 实现工况数据采集。3智能监控 一体机管 理软件系 统1.采集污染源数据可采集安
13、装在企业内部的数据采集 传输仪所监测的企业排放的水质、大气 以及用电等污染源数据。支持以任务列 表形式实时展示采集任务的运行状态, 包括但不限于:监测点总数、成功、正 在执行、未运行等。2、采集工况数据可采集试点企业产污设备、治污设 备的关键工况数据,并以4G通信标准将套6序号设备名称参数单位一数数据发送至一体机。可以展示和存储园区和企业的产污 设备或治污设备运行参数和状态,并记 录工作时长。3、视频接入支持接入企业或者园区重点监管区 域的监控视频数据,对所有的智能一体 机,实现对接入的视频在线播放的功能。4、人工智能算法分析对接入到企业端智能一体机的视频 部署人工智能算法,实现视频中的人员、
14、 车辆、车牌自动识别,截取进出站房或 者重点监管区域的人员或者车牌等重要 信息。对接入到园区智能一体机的视频部 署人工智能算法,分析,提取、识别视 频中的人员、车辆、车牌等监管要素, 截取重点监管区域的人员或者车牌等重 要信息。5、污染源数据存储与异常处理针对企业端智能一体机,可以展示、序号设备名称参数单位一数查询本企业的水质、大气以及用电等接 入的实时数据和历史数据,以短消息方 式对异常超限数据进行实时报警至企业 指定人员手机,对超限报警数据进行时 效追踪管理。6、污染源数据模型针对园区智能一体机,可以展示、 查询接入智能一体机的企业的水质、大 气以及用电等实时数据和历史数据,通 过建立数学
15、模型,形成趋势预测图,并 对限值限量数据测算、超量部分给出预 警提示。7、溯源分析园区端智能一体机同时具有溯源分 析的能力,在园区地图上展示接入企业 监测点的位置。可以看到该监测点监测 的污染源及其实际排放数据和指标。根 据实时数据,数据超限下引发报警机制 提醒相关人员处理。8、数据上传和平台对接上述存储的污染源数据、工况数据、序号设备名称参数单位一数视频人工智能分析的数据等相关数据, 可以根据管理需求上传或对接到指定的 平台或者系统。9、文件管理对系统中已采集的视频文件、数据 文件、日志文件进行集中管理,管理人 员可根据权限对文件进行删除、检索、 浏览、下载等操作。10、系统管理(1)用户管
16、理对系统用户进行集中管理,本项目 的用户包括:企业访客、企业管理人员 以及园区管理人员。(2)权限管理支持多级用户分级授权,防止跨部 门越权操作;用户权限通过部门(岗位) 绑定进行授权管理;用户仅可进行授权 范围内的系统操作。(3)日志管理提供系统日志管理功能,日志类型 包括但不限于:用户操作日志、存储日一、项目背景2二、项目概况2三、建设内容2(一)应用支撑系统建设2(1)云桌面系统升级3(2)统一高精度地图服务子系统建设3(3)应用开发资源包子系统建设4(4)安全管控服务子系统建设5(二)配套基础设施建设81)园区/企业监控一体机设备购置与安装82)视频调度移动终端购置与安装93)老旧服务
17、器替换升级94)内外网存储扩容95)机房空调系统改造96)网络安全设备更新10四、技术指标要求11(一)应用支撑系统建设11(二)相关配套设备技术指标要求131)企业监控一体机设备购置与安装142)视频调度移动终端购置与安装194)内外网存储扩容215)机房空调系统改造226)网络安全设备更新23序号设备名称参数单位一数志、监测点日志和报警日志。所有日志 支持访客、企业端、园区端三级根据权 限范围进行查阅。(4)磁盘容量监控提供磁盘容量监控功能,主动分析 磁盘使用效率,当磁盘容量不足时,能 够自动提醒用户对历史文件进行保存或 删除等操作。2)视频调度移动终端购置与安装视频调度移动终端设备清单如
18、下表:技术指标参数要求基本架构一体化智能终端,摄像头、触控显示屏(不低于9寸)、麦克风和音箱高度集成终端内置摄像头支持上下云台控制,并可以随触屏整体旋转内置高性能电池,在无外置供电的情况下可参加会议采用嵌入式操作系统,非PC架构,通过遥控器或触控屏幕进 行会议控制包括控制声音、图像、会议管理等,非键盘鼠标操 作,采用国产芯片协议标准视频编码:支持SVC分层编码技术。为保证音频效果,系统应支持宽频高保真语音技术,支持G. 71K G.722、OPUS音频编解码协议。音频接口具备一个3. 5mm音频输入接口,具备一个3. 5mm音频输出接口。网络接口具备RJ-45网络接口,支持2. 4G5G Wi
19、Fi无线接入,支持插 入运营商4G卡,实现4G网络接入。处理能力支持 1080P30fps 720P30fps 360P30fps 180P30fps 分辨率。支持双流内容分享,支持1080P高清双流,并可向下兼容共享PC的主要分辨率,如XGA、SXGA、WXGA等。网络 适应性支持在有线和无线网络互相切换时,视频业务自动恢复时间不超过30秒在网络丢包率50%的情况下,声音清楚连贯;丢包率80%时, 语义依然可理解。麦克风支持360。全向拾音,高保真智能降噪应用功能配置支持单位通讯录,支持分组,能够由平台统一推送,自动 更新。支持PC软件客户端通过网络传输的方式实现桌面、文件等内 容的共享,同
20、时抓取并分享内容播放的声音。具备会议录制功能,在会中可对正在召开的视频会议进行自主 的录制,并可将会议内容进行保存、点播。终端具备能够自主建立可加密的直播功能,直播建立者可通过 个人移动智能终端进行简易快捷的分享,并且对观众可设置收 看及文字互动的权限,实现直播的安全可控。在断网状态下终端可以进行本地录制,在网络恢复后文件可以 自动同步至云平台。支持同时发送和接收双流,即多会场同时发送双流,会场可根 据需要调看不同的辅流内容,分辨率达4K30fps。终端支持智能声源定位,可以根据声源自动跟踪发言人,屏幕 和摄像头自动旋转对准发言人。镜头要求集成专业级高清镜头,超过80水平视角,支持1080P分
21、辨率,自动对焦。支持手动控制旋转和远端控制旋转,实现土150视野覆盖,支持镜头单独垂直方向调整镜头具备物理开关,可根据需要自行关闭摄像头。兼容性与省厅现有小鱼易连视频会议系统兼容4)内外网存储扩容内外网存储扩容需求估算如下表:序号工程内容配套设备区域单位数量1存储扩容2. 4TBSAS 硬盘 10K 2. 5 及相关授权许可和其他 配件内网块122. 4TBSAS 硬盘 10K 2. 5 及相关授权许可和其他 配件外网块122服务可以平滑扩容至现有存套15)机房空调系统改造储集群中,扩容过程中业务不中断目前,省生态环境厅设备机房提供精密空调冷源的空调主机共有 三台,为开利涡旋式风冷冷水机组。因
22、设备机房特殊使用环境,空调 全年无停机运行。由于空调主管道为PPR管道且口径为delOO,空调 主管道和空调水泵流量过小,无法同时满足3台主机对水流量的要 求。导致空调主机现只能正常开启1、2号空调主机,如3号主机开 启则所有空调主机报水流故障。为保证设备房内空调运行更加稳定保险,本项目拟对现有空调管 道进行改造。通过空调管道的改装,将有效解决3台主机同时运行水 流不足问题,达到同时启动3台主机并且每台空调主机都可以单独切 换,并通过加装的阀门实现调节各主机的水流量,通过管道上的压力 表可以直观看到空调运行压力、管道内是否有空气。如有空气,管道 上的自动排气阀可自动排气等功能,以保证空调主机正
23、常运行。在空调系统进水管加设电子除垢仪,净化空调进水水质减少杂质 进入空调系统。在原有管道基础上重新制作空调主管道并更换水泵和 缓冲水箱。更换主管道,加大主管道口径增加水容量,连接到空调进 出水口。水泵更换为流量77m3/ho在供回水管道上加装阀门、压力 表、排气阀等必要阀门和仪表。安装完毕后,解决3台主机同时运行 水流不足问题,可同时启动3台主机并且每台空调主机都可以单独 切换并通过加装的阀门调节各主机的水流量。通过管道上的压力表可 以直观看到空调运行压力、管道内是否有空气。如有空气,管道上的自动排气阀可自动排气,以保证空调主机正常运行。6)网络安全设备更新网络安全设备更新清单如下表:IPS
24、 1台技术指标参数要求硬件平台产品为具有知识产权的多核硬件平台,提供多核并行操 作系统证书。扩展能力支持IT硬盘扩展,用于日志存储和APT防御扩展接口规格标准2U设备,双电源,扩展槽位工2个;接口:三4个千兆电口,三2个SFP插槽,三2个万兆光纤口;性能要求整机吞吐量叁16Gbps;在开启IPS的情况下,最大吞吐量不小于6Gbps0最大并发连接数三300万。设备包含三年特征库升级服务入侵防御 功能入侵防御事件库事件数量不少于4000条,系统应提供SQL注入攻击、XSS攻击的检测和防御功能,对Web服务 系统提供保护;提供自主知识产权证明文件支持无线攻击检测和防护功能扩展,可手工或自动识别 和区
25、分内部AP和外部AP,也可以手工或自动识别合法 终端,并基于此设定无线准入策略,通过射频信号阻止 非法AP、终端的接入。支持无线扫描、欺骗、DoS、破 解等常见无线网络攻击行为的检测、告警、阻断功能,同时支持多种类型流氓AP的检测与阻断。具备终端和服务器环境感知能力,通过主动扫描和扫描 结果导入获得终端环境情况。具备主动防御攻击的能力, 系统应支持双病毒引擎。部署方式支持路由模式,至少包括:静态路由、策略路由、ISP 和OSPF路由协议。内容防护支持Web过滤功能,支持黑白名单、关键字过滤、URL分类、Script Java Applet 等过滤。支持敏感信息防护功能,识别信息和文件中的关键字
26、、 身份证、手机号码、固定电话号码、银行卡、IP地址等 敏感信息,并支持文件指纹识别和白名单功能。高可用性支持软件Bypass功能,通过CPU和内存阈值实现软件Bypass的开启。支持重点资产和应用监控,当资产和应用出现异常时, 通过syslog和邮件进行告警,并可以记录日志。管理功能支持WEB登录图像验证码功能,防止暴力破解支持本地日志及SYSLOG日志发送,支持向至少3个 syslog服务器发送日志。支持声音报警,通过设置事件级别、入侵事件级别和病毒事件进行声音报警 WAF 1台技术指标指标参数设备基本标准2U机架式硬件平台,双电源;硬盘三2T,千兆电口要求三4个(支持2对电口 BYPAS
27、S),千兆光三4个,万兆光 口 22 个(1 组光 口 Bypass)性能应用层吞吐6Gbps,并发连接数e30万,新建连接数23万部署模式支持透明串接、反向代理、旁路镜像等多种部署模式部署,支持链路聚合保护对象支持ipv4/ipv6双协议栈HTTPS 防护支持HTTPS站点SSL算法自动探测功能。探测时可以设置指定站点及端口,可以显示探测结果攻击检测支持对跨站脚本(XSS)和注入式攻击的检测防护,支持防 护Session-Fixation攻击,防止提交过期会话进行攻击, 支持防护Java反序列化及基于Java的通用攻击,支持 XML防护,XML攻击行为包括XML DDoS客户端安 全防护支持
28、客户端安全防护,插入特殊的HTTP报头以保护客户 端免受某些攻击包括但不限于增加以下安全报头: X-Frame-Options (用于防护客户端免受 Clickjacking 攻击)、X-Content-Type-Options (以防止浏览器将文 件解释为内容类型声明以外的其他内容)、 X-XSS-Protect (用于当检测到XSS攻击时,指示浏览器 停止加载页面)、Content-Security-Policy (用于降低 浏览器上的XSS风险和数据注入攻击)日志审计1台第三方组 件漏洞防 护支持防护 Kuwebs、phpcms、TRS WCM、JBR-CMS、DeDeCMS 内容管理系
29、统等开源CMS漏洞,支持防护WEB服务器插 件漏洞,防止Apache Struts2漏洞机器学习支持设定学习的周期,域名信息,可信任的客户端IP, 不可信的客户端IP以及不学习的URL信息智能攻击 者锁定支持智能识别攻击者,对网站连接发起攻击的IP地址进 行自动锁定禁止访问被攻击的网站,可配置攻击者锁定 时间,可配置将攻击者直接加入网络黑名单CC防护功能支持根据细粒度条件对CC攻击进行检测和防护;匹配条 件由URL参数、请求头部字段、目的IP、请求方法、地 理位置组成;测量指标由请求速率、请求集中度、请求 离散度组成;客户端检测对象由IP、IP+URL、 IP+User_Agent等参数组成;
30、支持从请求头字段获取真实 源IP地址区域态势分析和阻断按地理区域对攻击次数等进行统计,并通过地图展示;支持在地图上对某一地理区域设置阻断此区域IP的访问技术指标指标参数工作模式独立完成审计日志采集,不依赖于设备或系统自身的日志系统;支持全IPv6及IPv4和IPv6双栈运行环境 标准2U硬件,千兆光口 24个,内存32GB磁盘4T*3raid5,冗余电源;硬件要求日志处理能力EPS29000/秒全功能开放资产授权许可数量2300个支持 Syslog、SNMP Trap、OPSec、FTP 协议日志收集支持使用代理(Agent)方式提取日志并收集;支持目前主流的网络安全设备、交换设备、路由设备、
31、操作 日志收集系统、应用系统等;支持常见的虚拟机环境日志收集,包括KVM、Xen、VMWareHyper-V 等。可以以日志等级进行过滤;具备安全评估模型,评估模型基于设备故障、认证登陆、攻 击威胁、可用性、系统脆弱性等纬度加权平均计算总体安全 指数。安全评估模型可以显示总体评分、历史评分趋势。安 全评估模型各项指标可钻取具体的评分扣分事件。内置非法 访问、可疑入侵、病毒爆发、设备异常、弱点针对等5大类 日志分析50子类的安全分析场景支持自定义条件的事件进行聚合;进行关联分析的规则可定制,支持通过资产、安全知识库、 弱点库三个维度分析事件是否存在威胁,并形成关联事件; 支持根据资产价值、资产漏
32、洞、针对漏洞的威胁事件三者进 行威胁的自动关联分析(三维关联),所有的三维关联算法堡垒机2台和准则以CVE、Bugtraq OWASP公开协议和标准为为基础。日志备份可设置日志存储备份策略。包括系统日志保存期(天)、磁盘使用率百分比;支持日志备份自动传送到远程服务器;日志查询支持B/S模式管理,支持SSL加密模式访问;支持按日期、时间、设备类型、日志类型、日志来源、威胁 值、源地址、目的地址、事件类型、时间范围、操作对象、 技术方式、技术动作、技术效果、攻击类型、地理城市等参 数进行过滤查询;支持亿级的日志里根据做任意的关键字及其它的检索条件, 在秒级里返回查询结果。应用性能监控(APM)支持
33、应用的性能监控数据库(mysql、oracle)、应用服务器 (weblogic、tomcat) web 服务器(apache)。通过在目标主机上安装Agent程序,支持监测目标主机的CPU利用率、 内存使用率、磁盘使用率、磁盘使用情况、流量等信息用户管理根据三权分立的原则和要求进行职、权分离,对系统本身进 行分角色定义,如管理员只负责完成设备的初始配置,规则 配置员只负责审计规则的建立,审计员只负责查看相关的审 计结果及告警内容;日志员只负责完成对系统本身的用户操 作日志管理。技术指标指标参数部署方式软硬件一体化产品,采用物理旁路模式部署,不影响一、项目背景生态环境厅拟深度融合科技监管手段与
34、非现场监管模式,实施生 态环境智慧监管平台建设工程,创新监管方式。通过强化区块链、大 数据、人工智能、物联网、5G等先进技术在生态环境治理监管方面 的应用,完善现有的各类生态环境风险线索采集渠道,构建生态环境 风险智慧分析、预警指挥调度、问题督查整改的闭环监管能力,提高 全省生态环境监管精准化水平,提升生态环境执法监管效能,推动生 态环境治理体系和治理能力现代化建设。二、项目概况生态环境智慧监管平台应用支撑系统及配套基础设施建设包括 云桌面升级、统一高精度地图服务、应用开发资源包、安全管控服务 等软件开发内容及企业智能监控一体机、视频调度移动终端、老旧服 务器替换、内网外存储扩容、机房空调系统
35、改造等硬件设施采购。本项目建设生态环境智慧监管平台应用支撑系统及配套基础设 施建设服务。三、建设内容从软、硬件两个方面的需求出发,建设应用支撑系统和配套基础 设施,为生态环境智慧监管平台提供统一应用支撑。(一)应用支撑系统建设建设应用支撑系统,为生态环境智慧监管平台以及相关业务系统 应用提供统一集中、技术先进高性能软件资源服务,解决传统烟囱式网络结构。管理结构B/S架构,采用HTTPS方式远程安全管理,无需安装 客户端。网络接口千兆设备,千兆业务电口三4个,千兆光口三4个终端数单台堡垒机支持链接终端数(服务器数)N1000台, 不限制功能。数据存储系统自带内部存储,存储空间不低于2T*2 (r
36、aidl);并发访问最大字符连接1000个,最大图型连接300个。身份认证主帐号登录堡垒机应支持本地静态密码认证LDAP认 证、RADIUS认证、证书认证等身份认证方式;短信认证支持与Get、Post、Soap发送方式的HTTP短信网关 平台进行联动,实现短信动态口令双因素认证机制, 如与阿里云短信服务、SendCloud联动。双因子认证堡垒机须内嵌动态令牌和USBkey认证引擎,可使用 动态令牌或USBkey进行双因子认证。本次配置不少 于100个动态令牌或USBkey目标设备分组展示用户登录堡垒机后可在首页分组显示该用户有权限 管理的目标设备,分组依据应支持按部门、按设备类 型、按业务类型
37、分组账号维护支持批量导入用户帐号信息;设备具备周期性分析账号不用统计,能够分析非常用账号并进行告警展示自动修改支持定期自动修改目标设备密码功能。从账号密码特权密码代填支持自动填写特权密码,从普通管理模式进入到特权模式实时监控支持实时监控通过SSH、SFTP、RDP、VNC、Telnet. FTP等协议的操作行为;对监控到的非法操作,可实 时手工切断。数据库运维支撑数据库直接运维代理,无需使用应用发布,可直接调用本地数据库工具运维浏览器运维功能可通过浏览器直接运维,无需调用本地客户端,实现 苹果电脑远程运维要求。IE或谷歌浏览器代填应用发布HTTP/HTTPS协议的 web设备,且可以直接代填账
38、号和密码。多网络运维设备需具备隧道独立网络接入功能,能够对接云端网络环境,实现云端运维内置VPN功台匕 目匕为实现远程运维环境需求,设备内需集成VPN功能, 实现堡垒机唯一的VPN接入环境上网行为管理1台技术指 标指标参数性能要 求网络层吞吐量三20 Gbps,应用层吞吐量8 Gbps, IPSec VPN性能三3. 5 Gbps,最大并发连接数2600万,每秒新建 连接数三20万,SSL VPN接入数N1500硬件要 求标准2U机柜型硬件平台,内置交流双电源,硬盘容量2TBHDD支持千兆电口 212个,千兆光口 212个,万兆光22个;部署模式支持网关模式、网桥模式、旁路模式;旁路部署支持直
39、接 加入2个以上物理接口,无需使用聚合接口;部署模式切 换无需重启设备IPV6 支持支持IPv6策略路由、0SPFv3、静态路由、IPv6隧道,包 括IPv6手工隧道、ISATAP、6to4等隧道模式;支持IPv6 网络下的 DHCPv6、DNSv6、SNMPv6 NTPv6、PPPoE 等基础 协议应用识 别支持自定义应用,包括但不限于数据包方向、协议、端口、 IP地址、目标域名、关键字识别等维度,数据包方向包括 任意、请求数据、响应数据,关键字匹配模式支持文本或 正则表达式;支持DNS域名学习模式,可引用数据包特征 中的目标域名或指定域名。识别与 告警支持智能识别模式和快速识别模式,在智能
40、识别模式下应 用引擎尽可能地用各种方式识别网络流量,在快速识别模 式下应用引擎将关闭部分智能分析功能以提高性能。支持针对搜索引擎、HTTP、网页内容进行关键字过滤并实 时生成日志记录,日志级别包括但不少于紧急、告警、严 重、通知、信息、调试、不记录等,方便管理员快速区分用户上网行为属性和定位日志级别。短信认证流量缓存短信认证需支持通用短信网关方式,通用短信网关支持 HTTP协议和SOAP协议两种通用短信网关。支持文件缓存,缓存文件形式不限于视频、APP等;设备 智能解析用户流量,针对域名或者文件请求,设备推送文 件至终端,帮助用户缓解互联网出口压力,实现文件下载 加速的效果。采用线路和通道流控
41、策略实现对应用、服务、 用户、地址等对象的流量控制系统间交互和协作困难问题,包括云桌面系统升级、统一高精度地图 服务子系统建设、应用开发资源包子系统建设、安全管控服务子系统 建设。(1)云桌面系统升级升级省生态环境系统现有的云桌面系统。基于云桌面现有的信息 系统用户身份认证、权限管理功能,按照实际业务需求,完善政府机 关单位用户、全省生态环境系统用户、园区用户的账号自主申请、审 批通过(退回)流程、及多层级权限管理功能,同时支持各个流程按 照实际业务需求,可上传必要的文件和证明材料。系统支持各级生态 环境部门自建业务系统在智慧监管平台的集成应用,实现各级应用注 册申请、审核发布等功能。同时,基
42、于云桌面现有的用户应用权限体系,完善新建的省生态 环境智慧监管平台应用系统及集成的智慧监测等相关业务应用系统 的权限管理功能,实现对智慧监管平台业务应用权限进行信息菜单式 管理,方便管理人员按照不同用户对象进行使用权限设置。系统支持 按照名单、行政区域、用户申请、系统访问权限开放等多种条件进行 授权。(2)统一高精度地图服务子系统建设建设统一高精度地图服务子系统。根据全省生态环境保护业务需 求,采购高精度地图、高精度航拍影像等地理信息服务。建立多源卫 星遥感影像、超高分辨率无人机影像、环保专题信息数据等各类基础 地理信息“数据池”,对各类现有地图、实时影像转换地图等进行融 合开发,实现基础数据
43、动态管理与更新,形成重点监管地域一张图; 针对全省骨干水系、各类排污口、环保关键敏感点等进行信息采集, 靶向分析,精准实现溯源信息问题管理、标注;按照实际需求,灵活 提取敏感区域关键属性信息,并能够对溯源成果进行统计与导出,便 于及时调度人员进行核实处理。系统提供标准接口,为省生态环境智 慧监管平台各应用系统提供统一的高精度地图服务。(3)应用开发资源包子系统建设基于分布式微服务架构,充分利用省政务云资源,建设应用开发 资源包子系统,提供软件开发资源管理功能和应用开发组件包等。应 用开发组件包需集成“互联网+绿色生态”工程(一期)项目已经建 设的统一服务支撑平台基础组件,优化组织架构管理组件、
44、通讯服务 组件、报表管理组件等现有组件服务功能,新建数据搜索智能服务、 智能客服等组件,并将各类组件进行融合集成,形成支撑生态环境智 慧监管平台的应用开发组件包,统一提供组件服务。1)数据搜索智能服务组件打造生态环境智慧监管平台数据搜索智能服务,利用搜索工具提 供环保内网搜索服务,并扩大数据搜集面和搜集渠道,打通与互联网 之间的数据搜索通道,提供互联网搜索服务。根据用户搜索条件,自 动检索符合条件的相关数据,经过一定的去重、分词、筛选、排序后, 反馈至生态环境内网用户进行查看。数据搜索智能服务组件包括智能搜索工具箱、电子政务外网(环保内网)搜索服务、互联网信息智能抓取服务。2)智能客服组件通过
45、购置基于人工智能、人机交互技术的智能客服组件工具,构 建省生态环境智慧监管智能客服能力,提供7*24小时全天候在线的 智能化问答服务。支持与人工客服系统快速集成,提供人工+及其的 全方位智能化服务体验。支持PC端、移动端等多渠道无缝接入。智 能客服组件工具主要功能包括客服机器人管理和知识中心两部分。智能客服组件包括客服机器人管理、知识中心等功能。(4)安全管控服务子系统建设建设安全管控服务子系统,为省生态环境智慧监管平台所有应用 系统及相关业务系统运行期的安全、高效运转提供服务,配合现有代 码安全扫描、环境安全检测等安全技术,从多角度保障省生态环境厅 现有网络及数据安全环境,包括数据安全管控服
46、务功能和应用与接口 安全管控服务功能。1)数据安全管控服务数据安全管控子系统在国家数据安全法和本项目中制定的生 态环境数据资源分级分类规范等要求指导下,基于数据底座的数据 资产,实现数据分类分级安全管理和控制,是生态环境智慧监管平台 数据安全防护引擎。系统能够对智慧监管数据的访问进行高效、精准 的解析和访问控制,对数据请求进行精准处理判断,实现智慧监管数 据集中管理,保证智慧监管数据访问安全。通过数据加密、数据脱敏、 数据安全审计等手段,保证智慧监管数据传输、存储、使用等安全。主要包括数据安全分类分级管理、数据安全管理以及数据安全网 关等功能。数据安全分类分级:数据分类分级是以国家数据安全法和本 项目中制定的生态环境数据资源分级分类规范等要求为指导,使 用数据底座中经过数据治理和分类分级后的数据,并结合数据服务功 能根据数据的敏感程度提供数据安全分类分级服务。数据分类分级包 括数据发现、数据安全分类、数据安全分级、数据安全标签等功能。数据安全管理:数据安全管理主要是在满足相关法律法规、政策 规范的基础上,结合智慧监管业务需求和数据