《信息技術應用創(chuàng)新 數(shù)字政務平臺技術要求》

ICS

CCS

團體標準

T/COSOCCXXXX—XXXX

信息技術應用創(chuàng)新數(shù)字政務平臺技術要求

Informationtechnologyapplicationinnovation—Technicalrequirmentsofdigital

governmentplatform

（征求意見稿）

（本草案完成時間：2023.11.24）

在提交反饋意見時，請將您知道的相關專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

中國基本建設優(yōu)化研究會發(fā)布

信息技術應用創(chuàng)新數(shù)字政務平臺技術要求

1范圍

本文件規(guī)定了數(shù)字政務平臺的總體架構、技術要求和信創(chuàng)體系建設技術要求。

本文件適用于數(shù)字政務平臺的規(guī)劃、建設、管理等活動。

2規(guī)范性引用文件

下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單）適用于本

文件。

GB/T9254.2信息技術設備、多媒體設備和接收機電磁兼容第2部分：抗擾度要求

GB/T15934電器附件電線組件和互連電線組件

GB17625.1電磁兼容限值第1部分：諧波電流發(fā)射限值（設備每相輸入電流≤16A）

GB18030信息技術中文編碼字符集

GB/T20272信息安全技術操作系統(tǒng)安全技術要求

GB/T25064信息安全技術公鑰基礎設施電子簽名格式規(guī)范

GB/T33476.3黨政機關電子公文格式規(guī)范第3部分：實施指南

GB/T36904電子證照標識規(guī)范

GB/T37092—2018信息安全技術密碼模塊安全要求

RFC4627Theapplication/jsonMediaTypeforJavaScriptObjectNotation(JSON)

3術語和定義

下列術語和定義適用于本文件。

數(shù)字政務平臺digitalgovernmentplatform

利用數(shù)字技術所構建，整合了政務各項服務和信息的多個業(yè)務系統(tǒng)或功能，提供在線服務、信息公

開、數(shù)據(jù)共享、智能決策、電子證照等服務，用以推動現(xiàn)代化治理和社會進步的政府服務平臺。

數(shù)字政務服務digitalgovernmentservice

政府利用信息技術和數(shù)字化手段提供給用戶滿足其應用需求的有形或無形的活動。

數(shù)字政務資源digitalgovernmentresource

數(shù)字政務平臺所涉及的計算服務器、網(wǎng)絡帶寬和地址、存儲設備等基礎設施要素,支撐軟件、信息

數(shù)據(jù)庫等軟件要素，及相應的虛擬化要素的總稱。

多用戶技術multi-tenanttechnology

支持大量用戶共享同一系統(tǒng)的軟硬件資源，每個用戶按需使用資源，能夠對資源進行個性化配置且

不影響其他用戶使用的云計算技術。

資源池resourcepool

一組物理資源或一組虛擬資源的集合,可以從池中獲取資源，也可將資源回收到池中。

注：資源包括物理機、虛擬機、虛擬網(wǎng)絡設備、物理網(wǎng)絡設備和IP地址等。

數(shù)字政務平臺模塊互通moduleinterconnectionandinterworkingofdigitalgovernment

1

各級數(shù)字政務平臺之間的傳輸網(wǎng)互連互通和IP網(wǎng)互連互通，以及業(yè)務系統(tǒng)的跨平臺、跨部門互聯(lián)。

信息安全技術服務informationsecuritytechnicalservice

基于數(shù)字政務平臺為政務部門開展業(yè)務應用提供信息安全的技術性保障服務。

電子證照electroniclicenseandcertificate

政府部門或相關機構通過數(shù)字化技術，將各類證照、證明、許可等官方文件的內容和信息轉化為電

子形式，并以數(shù)字化的方式進行存儲、傳輸和管理。

隱私計算privacy-preservingcomputation

在數(shù)字化環(huán)境中保護個人隱私的計算方法，旨在允許不同實體之間共享和處理數(shù)據(jù)，同時保持數(shù)據(jù)

的隱私性和安全性。

信息技術應用創(chuàng)新云innovationcloudforinformationtechnologyapplications

新一代國產(chǎn)化信息技術應用創(chuàng)新工程云計算平臺。

云資源池cloudresourcepool

包括云計算資源池、云存儲資源池、云網(wǎng)絡資源池、云安全資源池等在內的資源集合。

云計算技術cloudcomputingtechnology

通過網(wǎng)絡接入彈性可擴展的物理或虛擬ICT資源池，并可以以按需、自服務的方式對資源進行部

署和管理的技術體系。

云存儲資源池cloudstorageresourcepool

物理存儲資源或虛擬存儲資源的集合，可以從池中獲取資源，也可將資源回收到池中。

云網(wǎng)絡資源池cloudnetworkresourcepool

物理網(wǎng)絡資源或虛擬網(wǎng)絡資源的集合，可以從池中獲取資源，也可將資源回收到池中。

云安全資源池cloudsecurityresourcepool

物理安全資源或虛擬安全資源的集合，可以從池中獲取資源，也可將資源回收到池中。

多租戶multi-tenancy

通過對物理或虛擬資源的分配實現(xiàn)多個租戶以及他們的計算和數(shù)據(jù)彼此隔離訪問。

國密算法domesticcipheralgorithm

中華人民共和國國家密碼管理局認定的國產(chǎn)密碼算法。

4縮略語

下列縮略語適用于本文件。

ACL：訪問控制列表(AccessControlLists)

API：應用程序接口（ApplicationProgrammingInterface）

AZ：可用性區(qū)域（AvailabilityZone）

BGP-4：邊界網(wǎng)關協(xié)議4.0（BorderGatewayProtocol4.0）

CIFS：通用互聯(lián)網(wǎng)文件系統(tǒng)（CommonInternetFileSystem）

CPU：中央處理器（CentralProcessingUnit）

DHCP：動態(tài)主機配置協(xié)議（DynamicHostConfigurationProtocol）

ES：內嵌式存儲系統(tǒng)（EmbeddedStorage）

2

GPU：圖形處理器（GraphicsProcessingUnit）

IOPS：每秒輸入/輸出讀寫次數(shù)（Input/OutputOperationsPerSecond）

IPv6：互聯(lián)網(wǎng)協(xié)議第6版（InternetProtocolVersion6）

IS-IS：中間系統(tǒng)到中間系統(tǒng)(IntermediateSystem-to-IntermediateSystem）

JSON：JS對象簡譜（JavaScriptObjectNotation）

MIPS：單字長定點指令平均執(zhí)行速度（MillionInstructionsPerSecond）

NAT：網(wǎng)絡地址轉換（NetworkAddressTranslation）

NFS：網(wǎng)絡文件系統(tǒng)（NetworkFileSystem）

NVME：非易失性內存主機控制器接口規(guī)范（Non-volatileMemoryExpress）

OFD：開放版式文檔（OpenFixedLayoutDocument）

OGC：開放地理空間信息聯(lián)盟(OpenGeospatialConsortium)

OSPF：開放最短路徑優(yōu)先（OpenShortestPathFirst）

PCIE：外設部件互連標準（PeripheralComponentInterconnectExpress）

RAID：獨立磁盤冗余陣列（RedundantArrayofIndependentDisks）

RBAC：基于角色的訪問控制（Role-BasedAccessControl）

SDK：軟件開發(fā)工具包(SoftwareDevelopmentKit)

SLB：服務器負載均衡（ServerLoadBalancer）

SSL：安全套接層(SecureSocketsLayer)

TCM：可信密碼模塊（TrustedCryptographyModule）

TPCM：可信平臺控制模塊（trustedplatformcontrolmodule）

TPM2.0：可信平臺模塊2.0版本（TrustedPlatformModule2.0）

Vlan：虛擬局域網(wǎng)（VirtualLocalAreaNetwork）

VxLAN：虛擬可擴展局域網(wǎng)（VirtualExtensibleLocalAreaNetwork）

VPC：虛擬專用云（VirtualPrivateCloud）

VPN：虛擬專用網(wǎng)絡（VirtualPrivateNetwork）

XML：可擴展標記語言（ExtensibleMarkupLanguage)

5總體架構

數(shù)字政務平臺總體架構包括兩部分：信創(chuàng)體系和數(shù)字政務平臺，二者互相協(xié)同，信創(chuàng)體系和數(shù)字政

務平臺系統(tǒng)架構示意圖見圖1。其中信創(chuàng)體系包括信創(chuàng)硬件、信創(chuàng)軟件以及信創(chuàng)云系統(tǒng)，數(shù)字政務平臺

包括服務安全框架、服務實施框架、服務管理框架、服務資源框架、參與主體、服務保障框架和隱私計

算部分。

3

圖1信創(chuàng)體系和數(shù)字政務平臺系統(tǒng)架構示意圖

6數(shù)字政務平臺技術要求

數(shù)字政務平臺資源技術要求

6.1.1計算資源技術要求

數(shù)字政務平臺計算資源應符合下列要求：

a)提供裸服務主機的準備時間不超過24h；

b)支持系統(tǒng)映像添加虛擬機，從部署到交付運行的時間小于20min/臺；

c)支持光盤映像添加虛擬機，從部署到交付運行的時間小于1h/臺；

d)支持釋放虛擬機所使用的計算資源、資源重建和刪除虛擬機，并保持虛擬機的配置不變；

e)對主機計算資源進行每月監(jiān)測，如果實際監(jiān)測值超過計算資源總量的60%，應考慮增加相應的

計算資源。

6.1.2存儲資源技術要求

數(shù)字政務平臺存儲資源應符合下列要求：

a)對于集中式存儲環(huán)境，多種數(shù)據(jù)塊大小混合讀寫（順序、隨機、混合）的情況下，存儲系統(tǒng)的

IOPS（輸入/輸出操作每秒次數(shù)）不小于10萬，讀寫帶寬不低于10Gb/s，平均響應時間不超

過30ms；

b)對于分布式存儲環(huán)境，存儲系統(tǒng)的多節(jié)點并行恢復數(shù)據(jù)不小于1Tb/h，容量和性能隨節(jié)點增

加而線性增長，如24個節(jié)點存儲系統(tǒng)每秒操作數(shù)不少于300萬，平均響應時間不大于3ms，

節(jié)點擴容時間不大于1min/節(jié)點；

c)支持多種形式的存儲資源虛擬化，支持多種存儲協(xié)議融合，支持多種類型端口及協(xié)議，支持不

同存儲介質之間實現(xiàn)雙向動態(tài)遷移；

d)支持數(shù)據(jù)快照、恢復、備份、復制、鏡像、克隆、冗余、加密和簽名等數(shù)據(jù)保護功能；

e)對存儲系統(tǒng)進行每月監(jiān)測，如果實際監(jiān)測值超過存儲容量的50%，應增加存儲資源。

6.1.3網(wǎng)絡資源技術要求

4

數(shù)字政務平臺網(wǎng)絡資源應符合下列要求：

a)網(wǎng)絡層支持云計算技術的資源池動態(tài)調度，支持核心交換機虛擬集群技術、接入交換機堆疊技

術，支持核心交換機和接入交換機之間的鏈路捆綁，保證設備和鏈路冗余；

b)支持根據(jù)組織機構動態(tài)分配VPN服務接入數(shù)字政務平臺網(wǎng)絡，并對VPN服務進行監(jiān)管；

c)外部接入網(wǎng)絡帶寬速率應達到千兆鏈路帶寬，內部網(wǎng)絡帶寬速率應達到千兆鏈路帶寬或萬兆

以上；

d)內部網(wǎng)絡最大端到端延遲時間應小于100ms，內部網(wǎng)絡丟包率應小于0.5‰，防火墻吞吐量不

低于100Gb/s、交換機交換容量不低于16Tb/s、交換機包轉發(fā)率不低于9600Mpps；

e)出口鏈路帶寬應進行每月監(jiān)測，如果實際監(jiān)測值超過鏈路帶寬的70%，應考慮擴容。

6.1.4信息資源技術要求

數(shù)字政務平臺信息資源應符合下列要求：

a)支持信息資源的集中式部署和分布式部署，支持主流國產(chǎn)化數(shù)據(jù)庫的適配，可實現(xiàn)不同業(yè)務系

統(tǒng)間的數(shù)據(jù)交換（包括文件型數(shù)據(jù)和關系型數(shù)據(jù)），支持主流公文類型、二進制等格式文件的

適配；

b)支持多種類型數(shù)據(jù)之間的融合、疊加等，并提供二次開發(fā)接口；支持融合后的數(shù)據(jù)服務發(fā)布、

取消、撤回、刪除等功能，支持OGC標準服務接口；

c)數(shù)據(jù)交換服務適配器運行環(huán)境一次至少加載100個適配器實例，每次至少支持2000條記錄

交換和20M以內的公文交換；

d)數(shù)據(jù)交換服務適配器運行環(huán)境應至少支持50個并發(fā)數(shù)據(jù)交換服務，數(shù)據(jù)交換服務最少支持500

個并發(fā)數(shù)據(jù)交換；

e)交換監(jiān)控的日志查詢響應時間應不超過3s，交換服務、適配器運行環(huán)境的運行狀態(tài)響應時間

不超過15s。

數(shù)字政務平臺應用技術要求

6.2.1統(tǒng)一接入技術要求

數(shù)字政務平臺統(tǒng)一接入技術應符合下列要求：

a)接入接口應支持XML和JSON數(shù)據(jù)格式要求，XML格式應符合XML1.0第5版要求，JSON格式

應符合RFC4627要求；

b)支持JAVA、Python、C++、C#等主流的開發(fā)語言；

c)接入接口應支持SDK或API模式，支持WebService、Restful兩種接口風格，并提供詳細的接

口技術文檔；

d)業(yè)務應用系統(tǒng)應兼容HTML5標準規(guī)范的瀏覽器，移動端APP程序支持國產(chǎn)化操作系統(tǒng)。

6.2.2權限管理技術要求

數(shù)字政務平臺權限管理技術應符合下列要求：

a)根據(jù)用戶登錄名稱獲取該用戶具有訪問權限的應用列表或功能列表；

b)根據(jù)用戶登錄名稱和應用標識，驗證該用戶是否具有此應用或功能的訪問權限；

c)應基于ACL、RBAC等多種方式實現(xiàn)權限控制，權限控制顆粒度應到每一個功能點；

d)應基于角色、菜單實現(xiàn)用戶菜單級的授權管理，菜單權限可自由分配；

e)應根據(jù)業(yè)務需求，對業(yè)務數(shù)據(jù)進行分級分類管理，對業(yè)務數(shù)據(jù)權限進行控制。

6.2.3統(tǒng)一身份認證技術要求

用戶管理技術要求

數(shù)字政務平臺用戶管理技術應符合下列要求：

a)以實名制為基礎，對用戶信息進行整合，構建完整、統(tǒng)一、可信的用戶資源信息庫，可根據(jù)應

用需要進行數(shù)據(jù)同步，支持用戶集中管理和分級管理模式；

b)提供用戶憑證信息生命周期的管理，支持憑證的創(chuàng)建、注銷、修改、刪除等操作；

5

c)支持用戶分組管理模式，可基于組織機構或角色對用戶進行分組管理；

d)按照管理、操作、審計三權分立的設計原則，針對不同的管理要求設立相應的平臺管理員、應

用系統(tǒng)管理員和安全審計員三類管理角色。

認證管理技術要求

數(shù)字政務平臺認證管理技術應符合下列要求：

a)應實現(xiàn)多種登錄認證方式，支持高級別認證方式向下兼容低級別認證方式；

b)應根據(jù)據(jù)數(shù)字政務平臺的不同安全需求，制定不同的認證等級策略，如提供認證安全等級向下

兼容策略；

c)身份認證應支持口令認證、證書認證、令牌認證等認證方式，按GB/T25064中的規(guī)定設計數(shù)

字證書；

d)系統(tǒng)應具有可擴展性，可實現(xiàn)對動態(tài)口令、生物特征信息等其他組合認證方式的支持；

e)安全認證服務通過認證服務接口，實現(xiàn)對用戶身份的統(tǒng)一認證管理。

授權管理技術要求

數(shù)字政務平臺授權管理技術應符合下列要求：

a)應實現(xiàn)統(tǒng)一的訪問控制和權限管理，支持集中授權管理和分級授權管理模式，支持角色組管理

機制，實現(xiàn)對用戶的分組授權；

b)支持按需對數(shù)字政務平臺的授權進行安全策略配置，支持數(shù)字政務平臺的粗粒度授權和業(yè)務

角色級的細粒度授權；

c)支持分級授權管理模式，可基于組織機構完成數(shù)字政務平臺的分級授權管理；

d)支持業(yè)務操作和安全審計權的分離，確保統(tǒng)一認證管理系統(tǒng)的自身運行安全。

審批管理技術要求

數(shù)字政務平臺審批管理技術應符合下列要求：

a)應實現(xiàn)對用戶基本信息變更、業(yè)務應用操作和訪問控制授權等行為操作的電子化審批；

b)每一行為操作的審批記錄、審批時間、審批事項及審批人都應被詳細記錄；

c)支持審批記錄結果的分類查詢、綜合查詢、持久化存儲和統(tǒng)計分析，并定期形成報告；

d)關鍵的審批步驟應增加數(shù)字簽名，確保責任落實到人的要求。

6.2.4統(tǒng)一電子印章技術要求

數(shù)字政務平臺統(tǒng)一電子印章技術應符合下列要求：

a)電子印章數(shù)據(jù)結構應包括待電子簽章數(shù)據(jù)、電子印章所有者數(shù)字證書、簽名算法標識、簽名值、

時間戳等信息；

b)電子印章應用時應驗證數(shù)據(jù)格式、電子簽章簽名、所有者證書、簽章時間、原文雜湊、時間戳

等信息的正確性和有效性；

c)驗證比對過程失敗時應退出應用流程并返回驗證失敗原因，電子印章執(zhí)行更新、重簽發(fā)等操作

導致驗證比對失敗時，應重新制作電子印章；

d)簽章數(shù)據(jù)在OFD版本文件中使用時，應符合GB/T33476.3的規(guī)定。

6.2.5統(tǒng)一電子證照技術要求

數(shù)字政務平臺統(tǒng)一電子證照技術應符合下列要求：

a)可根據(jù)持證主體和證照類型檢索證照；持證主體是自然人時主要使用公民身份號碼，是法人或

其他組織時主要使用統(tǒng)一社會信用代碼；

b)檢索結果中應包含符合GB/T36904規(guī)定的電子證照標識；

c)電子證照獲取時可獲取該證照的多項元數(shù)據(jù)信息，可請求下載該證照的電子證照原件或加注

件，獲取證照信息或電子證照文件前應獲得持證主體直接或間接的授權；

d)支持對給定的證照元數(shù)據(jù)信息進行核對，支持進行真?zhèn)悟炞C及管理狀態(tài)核對。

6.2.6互聯(lián)互通技術要求

6

IP網(wǎng)間互聯(lián)互通技術要求

數(shù)字政務平臺IP網(wǎng)間互聯(lián)互通技術需符合下列要求：

a)外部路由協(xié)議宜采用BGP-4，內部路由協(xié)議宜采用OSPF或IS-IS，并提供良好的路由更新性

能，能正確而迅速地更新和交換路由；

b)應提供必要的網(wǎng)絡管理功能和運行監(jiān)控手段，如監(jiān)測、統(tǒng)計互聯(lián)鏈路的流量等；

c)應支持網(wǎng)絡節(jié)點的備份和節(jié)點之間的線路保護，提供網(wǎng)絡安全防范措施，保證網(wǎng)絡傳輸質量。

平臺系統(tǒng)互聯(lián)互通技術要求

數(shù)字政務平臺系統(tǒng)互聯(lián)互通技術應符合下列要求：

a)應分級分類采集數(shù)字政務平臺的運行狀態(tài)數(shù)據(jù)，支持向多級平臺自動上報運行狀態(tài)數(shù)據(jù)；

b)應實時監(jiān)測運行在數(shù)字政務平臺上業(yè)務應用和服務的運行狀況；

c)支持多個交換平臺之間的數(shù)據(jù)交換，支持最短路徑數(shù)據(jù)交換；

d)數(shù)據(jù)交換過程應采用認證機制、授權機制和訪問控制措施，應采用加密和完整性保護機制。

6.2.7行為審計技術要求

數(shù)字政務平臺行為審計技術應符合下列要求：

a)應在事前控制、過程監(jiān)督、事后追溯和閉環(huán)整改的機制下記錄、分析和檢查用戶行為和系統(tǒng)狀

況，判斷其是否符合預定的安全策略；

b)應通過分析和檢查發(fā)現(xiàn)系統(tǒng)存在的安全漏洞、潛在的安全威脅，并對可能造成的后果進行分析

和評估，根據(jù)審查結論進行整改；

c)應實時對業(yè)務審批操作、系統(tǒng)管理操作、用戶操作等行為進行記錄，記錄內容包括但不限于：

登錄IP地址、登錄用戶標識、行為分類、動作名稱、操作系統(tǒng)名稱、操作對象、操作結果等

信息；

d)應定期審計行為記錄內容，并形成數(shù)字政務平臺行為審計報告。

6.2.8安全計算技術要求

數(shù)字政務平臺安全計算技術應符合下列要求：

a)應支持硬件隔離機制，與不可信環(huán)境實現(xiàn)硬件隔離，硬件資源應隔離為安全資源和普通資源；

b)應支持可信應用間的調用執(zhí)行、可信應用之間的隔離，支持可信驗證機制，提供多線程、多進

程等計算能力；

c)應支持對安全計算內核和應用合法性的本地或遠程驗證，提供對通信通道傳輸數(shù)據(jù)的保密性

保護和完整性保護；

d)應支持對物理節(jié)點、服務調用、密鑰操作、數(shù)據(jù)操作進行訪問控制規(guī)則的安全策略配置；

e)應通過監(jiān)控分析發(fā)現(xiàn)異常問題，制定異常處置規(guī)則，快速修復異常并及時上報。

7信創(chuàng)體系建設技術要求

信創(chuàng)硬件系統(tǒng)技術要求

信創(chuàng)硬件系統(tǒng)技術要求見表1。

表1信創(chuàng)硬件系統(tǒng)技術要求

類別內容要求

CPU核心數(shù)量≥4核，主頻≥2.0GHz，應支持硬件虛擬化。

內存雙通道，內存頻率≥2666MHz，最大支持≥32GB。

SATA3.0接口數(shù)≥2個；

硬件要求存儲接口

M.2接口數(shù)≥1個，支持NVME協(xié)議。

顯卡插槽(不含一體

標準PCIE顯卡插槽數(shù)≥1個，位寬在x8及以上。

機）

7

表1信創(chuàng)硬件系統(tǒng)技術要求（續(xù)）

類別內容要求

USB接口數(shù)≥6個；

VGA接口數(shù)≥1個；

其他接口HDMI接口數(shù)≥1個；

千兆RJ45網(wǎng)口數(shù)≥1個；

音頻接口數(shù)≥1組。

擴展插槽(不含一體PCIE3.0x16擴展插槽數(shù)≥1個；

機）PCIE3.0x8擴展插槽數(shù)≥1個。

應符合GB/T9254.2的規(guī)定，在產(chǎn)品出廠文件中應標明選用的是A級或B級

無線電騷擾

所規(guī)定的無線電騷擾限值。

電磁兼容性

諧波電流應符合GB17625.1中對D類限值的要求。

抗擾度應符合GB/T9254.2的規(guī)定。

電池應具有過充電保護、過放電保護、過流保護、短路保護、過溫保護，在

電池保護過充電、過放電、過流，短路和過溫狀態(tài)下，電池不應出現(xiàn)爆炸、起火、冒

煙或者漏液等狀況。短路保護瞬時充電后，電池電壓應不小于標稱電壓。

產(chǎn)品電池的充放電循環(huán)次數(shù)應不小于500次。循環(huán)次數(shù)指當連續(xù)3次放電容

電池循環(huán)壽命

量低于其標稱容量的75%時記錄的充放電次數(shù)。

電池及電源對于交流供電的產(chǎn)品，應能在220V±22V，50Hz±1Hz條件下正常工

作；

對直流供電的產(chǎn)品，應能在直流電壓標稱值的(100±5）%的條件下正常工

電源適應能力

作；標稱值應在產(chǎn)品標準中規(guī)定，對于電源有特殊要求的單元應在產(chǎn)品標準

中加以說明；

電線組件應符合GB/T15934的規(guī)定。

信創(chuàng)軟件系統(tǒng)技術要求

7.2.1操作系統(tǒng)技術要求

操作系統(tǒng)具體應符合GB/T20272及下列要求：

a)應支持多種中文輸入法，支持國家標準字符集GB18030；

b)應提供圖形化軟件包升級工具，支持遠程和本地在線升級；

c)應支持安全可靠芯片(包括TCM、TPCM和TPM2.0）及其服務器整機。

7.2.2中間件技術要求

消息中間件技術要求

消息中間件具體應符合下列要求：

a)應支持跨平臺支持，例如32/64位ARM和X86平臺下運行；

b)應支持多種通訊鏈路和網(wǎng)絡環(huán)境方式且支持動態(tài)增加應用節(jié)點；

c)應支持集群和負載均衡功能；

d)應支持自定義消息隊列、自定義隊列字節(jié)長度和自定義隊列溢出行為方式；

e)應支持配置文件和傳輸數(shù)據(jù)的自動加解密處理，應支持加密算法位數(shù)配置；

f)應支持第三方安全接口。

應用服務器中間件技術要求

應用服務器中間件應符合下列要求：

a)支持多種主流數(shù)據(jù)庫系統(tǒng)；

b)應提供中文主控界面，支持國家標準字符集GB18030。

7.2.3數(shù)據(jù)庫技術要求

數(shù)據(jù)庫應符合下列要求：

a)支持安全標記的強制訪問控制；

8

b)支持自主可控加密算法和安全可靠芯片；

c)列存儲功能支持分段式壓縮技術和常用的壓縮算法；

d)列式表支持粗粒度智能索引；

e)要求數(shù)據(jù)庫支持功能、性能定制開發(fā)；

f)支持自主可控操作系統(tǒng)等操作系統(tǒng)，產(chǎn)品具有跨平臺的能力。

信創(chuàng)云系統(tǒng)技術要求

7.3.1云主機資源技術要求

云主機資源應符合下列要求：

a)物理主機CPU芯片和物理主機操作系統(tǒng)均需采用國產(chǎn)化芯片，支持在不同可用區(qū)（AZ）中創(chuàng)建

X86、ARM或其他MIPS物理主機的云主機；

b)使用X86、ARM主機時支持國產(chǎn)化GPU，可透傳或虛擬GPU，主機包括相關國產(chǎn)化CPU；

c)可調整CPU、內存、磁盤等配置，實現(xiàn)跨主機遷移和全生命周期管理；

d)創(chuàng)建云主機時可自動分配或指定IP地址，配置多塊輔助網(wǎng)卡及安全組；

e)支持回收站恢復云主機和設置回收站保存時間，支持云主機親和性或反親和性調度；

f)支持計算能力彈性伸縮和IPv6，同時，系統(tǒng)盤和數(shù)據(jù)盤支持分布式塊存儲。

7.3.2異構虛擬化云資源池技術要求

異構虛擬化云資源池應符合下列要求：

a)一套云平臺支持同時管理不同CPU架構的計算資源池；

b)云平臺支持選擇不同資源池創(chuàng)建不同CPU架構的云主機；

c)信創(chuàng)云支持按照不同CPU架構擴容計算節(jié)點服務器；

d)同CPU架構的云主機可以部署在同一個虛擬子網(wǎng)中；

e)支持計算節(jié)點和控制節(jié)點的動態(tài)擴容。

7.3.3云主機遷移技術要求

云主機遷移應符合下列要求：

a)支持在同一個計算資源池中部署不同CPU架構的兩種或多種物理主機；

b)支持云主機在同一個計算資源池的相同CPU架構不同品牌物理主機之間遷移。

7.3.4云存儲資源技術要求

云存儲資源應符合下列要求：

a)提供集中式或分布式架構云存儲，支持塊存儲、對象存儲、文件存儲，支持高可用部署方式和

彈性擴容，支持對象分塊上傳和數(shù)據(jù)遷移工具；

b)支持多副本或冗余校驗存儲機制，支持監(jiān)控集群容量、健康狀態(tài)、服務性能等；

c)應管理云硬盤全生命周期，創(chuàng)建、掛載、卸載、擴容、快照、屬性修改、標簽、分配至租戶；

d)控制臺應支持創(chuàng)建、刪除、回滾快照，配置自動快照策略，支持從快照創(chuàng)建云硬盤；

e)支持自動設置云硬盤容量對IOPS、帶寬的限速，支持云硬盤回收站，誤刪后恢復，批量操作；

f)提供嚴格訪問授權機制，支持SSL加密傳輸，提供多種安全配置、ACL控制和防盜鏈功能。

7.3.5云網(wǎng)絡資源技術要求

云網(wǎng)絡資源應符合下列要求：

a)提供軟件定義網(wǎng)絡框架，應實現(xiàn)網(wǎng)絡的可編程，方便用戶獲得靈活的網(wǎng)絡控制；

b)支持基于Vlan或VxLAN技術的云主機互通，實現(xiàn)多功能網(wǎng)絡使用場景；

c)支持多種網(wǎng)關（SLB、NAT、VPN等）和網(wǎng)絡配置（DHCP、ACL、路由表等）；

d)VPC內云主機和物理主機可共享NAT網(wǎng)關，支持VPC互聯(lián)，VPC支持子網(wǎng)劃分，分布式路由功

能，自定義地址池和安全組；

e)支持IPv6，彈性IP帶寬限速，負載均衡器支持IPv6地址綁定、跨AZ集群部署和會話同步；

f)應實時監(jiān)控彈性IP、NAT網(wǎng)關性能、負載均衡器性能指標，設置報警策略。

9

7.3.6容器云資源技術要求

容器云資源應符合下列要求：

a)托管集群監(jiān)控支持日志中心，日志對接ES、kafka等系統(tǒng)，支持實時監(jiān)控集群、節(jié)點、POD、

負載均衡性能，自定義告警規(guī)則和通知；

b)支持基于CPU、內存等指標的節(jié)點彈性伸縮，定時周期策略伸縮；

c)多云容器平臺可通過集群聯(lián)邦納管已有集群，實現(xiàn)統(tǒng)一管理，支持私有、公有鏡像倉庫，第三

方倉庫拉取鏡像，跨Region鏡像同步；

d)支持Helm模板管理，部署應用和實例管理；

e)支持應用重啟、停止、啟動、刪除，無狀態(tài)、有狀態(tài)部署，短時任務等操作；

f)支持不同類型的KubernetesService發(fā)布，集群內外訪問；

g)支持ConfigMap和Secret配置項，保存應用配置參數(shù)和敏感信息；支持Prometheus自定義

指標接入，關聯(lián)分析、指標聚合功能。

7.3.7裸金屬資源技術要求

裸金屬資源應符合下列要求：

a)支持全生命周期管理，包括創(chuàng)建、刪除、啟動、關閉、重裝系統(tǒng)等；

b)硬盤RAID配置支持多種RAID級別和文件系統(tǒng)掛載點；

c)支持自定義鏡像和批量創(chuàng)建裸金屬服務器；

d)網(wǎng)絡管理、安全組設置，支持VPC互聯(lián)；

e)支持裸金屬與云主機通信，使用NAT、專線、VPN、負載均衡等功能。

7.3.8多云管理平臺技術要求

多云管理平臺應符合下列要求：

a)統(tǒng)一多云資源管理，支持多個信創(chuàng)云平臺、數(shù)據(jù)中心的資源統(tǒng)一視圖和管理，包括虛擬資源、

云主機、云存儲和云網(wǎng)絡；

b)統(tǒng)一用戶管理，對接各信創(chuàng)云平臺的用戶體系，實現(xiàn)統(tǒng)一用戶的生命周期管理；

c)統(tǒng)一運維管理，支持對多個信創(chuàng)云平臺的物理主機和云主機的日常運維工作，包括文件操作、

指令記錄、運維策略等；

d)統(tǒng)一監(jiān)控管理，對多個信創(chuàng)云平臺的物理主機和云主機進行統(tǒng)一監(jiān)控和告警設置；

e)支持平臺容錯及高可用管理，支持高可用部署、容器化部署，并能自動恢復異常；

f)支持平臺安全管理，使用SM3或SM4算法進行哈希加密，支持國密HTTPS和國密CA證書。

7.3.9云安全資源技術要求

云安全資源應符合下列要求：

a)以實名制為基礎，確保用戶身份標識唯一性，支持多種身份鑒別措施，如密碼、短信驗證、Ukey

等，提供統(tǒng)一用戶和權限管理，限制管理員訪問權限；

b)應加固物理主機安全、收縮網(wǎng)絡暴露面，支持彈性云防護，建設統(tǒng)一安全接入邊界；

c)應隔離虛擬資源，實現(xiàn)物理主機與云主機隔離，并加固云主機操作系統(tǒng)安全；

d)應實現(xiàn)云租戶隔離，自定義網(wǎng)絡和訪問控制，支持