各县(市、区)人民政府,盐城经济技术开发区、盐南高新区管委会,市各委、办、局,市各直属单位:
《盐城市政务“一朵云”建设方案》已经市政府常务会审议通过,现印发给你们,请认真贯彻落实。
盐城市人民政府办公室
2024年2月3日
盐城市政务“一朵云”建设方案
为强化全市政务云资源统筹共建,提升政务云服务能级和安全保障能力,根据《国务院关于加强数字政府建设的指导意见》(国发〔2022〕14号)、《国务院办公厅关于印发全国一体化政务大数据体系建设指南的通知》(国办函〔2022〕102号)、《省政府关于加快统筹推进数字政府高质量建设的实施意见》(苏政发〔2022〕44号)、《江苏省政务“一朵云”建设总体方案》(苏政办发〔2023〕36号)等文件要求,制定本方案。
一、总体要求
(一)指导思想
以习近平新时代中国特色社会主义思想为指导,全面贯彻党的二十大精神,深入贯彻习近平总书记关于网络强国的重要思想和对江苏工作重要讲话重要指示精神,认真落实党中央、国务院决策部署,遵循江苏省政务“一朵云”建设总体方案的要求,全面构建布局合理、运营规范、运维专业、智能集约、共享共用、安全可控的政务“一朵云”发展新格局,提升政务云能效,全面满足政府数字化转型需求。
(二)基本原则
科学统筹。坚持系统思维,树立全市政务“一朵云”思想,加强政务云顶层设计和市级统筹,建立全市协同联动工作机制。优化整合各地各部门已建政务云,建设多云管理平台,提升市政务云一体化支撑能力和管理服务水平,夯实数字政府算力基座。
合理集约。坚持需求导向,按照存量逐步迁移、增量集中统建的策略,推进全市政务云建设。各级部门单位非涉密业务应用系统基于市政务“一朵云”开发建设、部署运行、迭代升级,实现政务信息基础设施集约节约、精准精细、共建共享、高效服务。
管运分离。坚持分工协作,将市政务“一朵云”管理职能和建设运维职能进行分离。政府主管部门统筹监管运营,建设实施单位开展专业化运维,全面提高市政务“一朵云”的管理水平和服务质效。
安全自主。坚持安全底线,统筹发展与安全,充分利用具备自主创新、迭代发展的国产化技术产品。建立健全多层次、全方位政务云安全保障体系,确保政务云自主可控、安全可靠。
合作开放。坚持面向市场,鼓励国内主流云厂商、拥有自主创新技术产品的企业和科研机构,积极参与市政务“一朵云”建设,积极运用云计算、大数据、人工智能、物联网等技术,全面提升市政务“一朵云”服务能力,营造全面、开放、创新的良好生态。
(三)主要目标
到2027年底,智能集约、便捷高效、融合创新、共享共用、安全可控、高效服务的全市政务“一朵云”体系全面建成。云资源规模满足需求,云技术应用先进成熟,云服务种类丰富多样,云安全体系自主可控,云使用效能显著提高。建成15万核vCPU、智能算力150 PFlops、30PB块存储、45 PB文件存储,自主创新软硬件占比达到100%,县(市、区)上云率100%,多云管理平台纳管率100%。
二、总体架构
基于我市政务云前期建设成果,按照国家和省关于统筹数据中心合理布局要求,采用“1+2+N”的总体布局,统筹建设全市政务“一朵云”,“1+2+N”包括一个市级骨干节点,两个容灾备份节点,“N”个边缘节点。
基础层。包括市政务云骨干节点数据中心、容灾备份数据中心、边缘节点数据中心以及电子政务外网、互联网,支撑全市政务对计算、存储、网络等基础资源需求。
平台层。包括云容器、数据库、大数据、微服务、物联网、区块链、隐私计算、分布式缓存、人工智能与大模型、应用运维、政务aPaaS等应用支撑能力。为全市政务提供运算平台与解决方案服务。
应用层。承载各类政务业务系统,建设共性能力平台以及城市驾驶舱等服务类型平台,推动各领域应用平台数据融合、业务连通,强化多级联动,多业务协同管理。
管理规范。包括市政务“一朵云”服务模式、运营管理规范、上云标准规范、信创建设规范、运维职责等。为全市政务“一朵云”统筹管理提供有力支撑。
安全保障。包括安全技术体系、安全运营管理体系、安全合规监管体系、信创安全、密码安全等安全保障体系建设,提升全市政务信息安全管理、防御和运维能力,保障关键信息基础设施安全运行和可信可控。
三、建设内容
按照总体规划布局要求,依托全市已建政务云数据中心和绿色数据中心,按照国家A级数据中心标准或绿色低碳等级4A级标准建设以下内容:
(一)云管平台
建立一体化异构多云管理平台,集中纳管全市政务“一朵云”“1+2+N”各节点,对市政务“一朵云”所有云服务进行统一纳管。通过资源集中、信息共享和业务协同,强化对多云服务的即时状态和运行趋势的分析评估,实现全市政务“一朵云”资源可视可查、可管可控。对接省政务云管理平台,实时向上推送全市政务“一朵云”运行数据。
(二)基础层能力建设
1.骨干节点。“一个骨干节点”,基于我市政务云前期建设成果,充分依托已建数据中心基础设施,建设通用算力资源池、专属算力资源池、全栈专属资源池和异构算力资源池。通用算力资源池提供全市各级部门和单位共享使用的通用算力资源;专属算力资源池具备计算资源、存储资源物理隔离能力,满足数据隔离、高性能计算等需求;全栈专属资源池满足有独立用云需求单位的信息化建设的安全要求,构建全栈专属云基础设施;异构算力资源池提供国产化异构算力,为业务提供智能算力、高性能算力等多元算力资源。
2.灾备节点。“两个灾备节点”,即异地数据备份中心和同城双活中心,其中异地数据备份中心设立在距离我市直线距离超200公里以上的省内其他地市,同城双活中心在盐城市现有数据中心选点建设。
3.边缘节点。“N个边缘节点”,根据实际业务需求,经过市级主管部门审批后,县(市、区)可适当建设边缘计算节点,满足实时性较高的应用场景需求,统一纳入市级政务云统筹管理。
(三)平台层能力建设
通过分布式计算、存算分离、深度学习、流式计算等技术构建平台层能力,提供云容器、数据库、大数据、区块链、隐私计算、大模型、物联网等。云容器提供政务应用标准化部署、资源弹性管理,应用系统的全生命周期管理,实现应用快速上线和升级,降低运维管理成本,增强业务服务的精细化跟踪运维能力。数据库提供满足各部门使用需求的关系型数据库、非关系型数据库以及国产化数据库,在数据库层面上实现统一建设、统一管理、统一服务。大数据服务提供满足大数据应用的基础支撑、数据挖掘和可视化展示等功能,满足包括数据仓库构建、实时流式数据处理、离线数据处理、数据分析与探索挖掘等场景。区块链、隐私计算等应用支撑服务,帮助业务系统快速构建、部署和迭代、实现业务系统的灵活开发与集成。大模型服务提供智能化的计算能力、分析能力、数字服务。物联网服务提供城市物联网设备的统一接入和管理服务,实现城市物联网相关智慧应用的快速构建。
(四)应用层能力建设
利用统一身份认证、人工智能、地理信息处理、物联感知、视频共享等技术,按需提供数据服务、商业智能(BI)、智能消息、协同办公、融合通信等能力。实现数字资产的统一建设、统一调配、统一管理,公共资源与财政资金的高效节约利用。数据服务提供数据目录、数据接口、数据标签和主题数据等服务类型,支撑业务应用系统以服务形式调用数据能力。商业智能(BI)提供可视化、智能算法、即席分析和智能报表等服务,支撑政府业务数据分析与决策。智能消息服务提供视频短信、通信解析、短信通知、验证码等服务,满足各类短信类业务需求和城市宣传需求。协同办公提供消息通讯、音视频会议、电子审批、智能客服、云桌面等服务,满足政府智能化办公需求。
四、管理规范
按照“应上尽上、应迁尽迁”的原则,各级部门单位非涉密业务应用系统基于全市政务“一朵云”部署。新增非涉密业务应用系统全部上云用云,存量非涉密业务应用系统以“先易后难、先简后繁”的方式,整合集成后安全有序迁移上云。在充分利用自建存量云资源基础上,县(市、区)不再扩容升级云资源,外租云资源到期后不再续租。
(一)职责分工
市大数据管理局统筹负责全市政务“一朵云”建设的总体工作。市大数据管理中心负责市本级各部门和单位云资源分配、优化和核算等日常管理工作,对边缘节点建设进行统一审核和备案。市大数据集团作为安全责任主体,市场化建运全市政务“一朵云”。各县(市、区)大数据管理部门负责本级政务云资源日常管理。各级云资源使用部门,做好所属业务系统的上云需求规划、迁移部署、日常维护、安全管理和应急保障等工作。市委网信办、市公安局指导上云部门开展应用系统安全相关工作,市党信办指导上云部门落实应用系统信创改造要求,市密码局指导上云部门落实应用系统密码应用要求。
(二)分类管理
根据不同单位的业务需求和安全规范,对上云系统进行分类管理。上云系统一般统一部署至通用算力资源池,不同单位间采用虚拟网络技术进行隔离,相关安全服务共用共享。对数据安全和计算性能有较高要求的系统,经本级主管部门审批同意后可使用专属资源池部署,物理底层独占,上层能力共享。对资源需求极大且高度定制化的系统,经市级主管部门审批同意后可使用专属云平台部署,专属云平台管理节点被统一云管平台纳管且管理体系与公共区域一致。对实时计算要求较高的系统,需提供必要性证明材料,经市级主管部门同意后,可在靠近应用侧统筹建设边缘节点。
(三)结构优化
遵循集约化建设原则,强化系统上云管理,制定标准化上云方案,持续优化云资源结构。所有新建非涉密政务信息化系统,均需参考云服务目录进行部署资源规划设计,对所需云资源、云网络、云存储、安全及关联策略等进行评估规划,按照资源申请最小规格原则,对上云业务系统合理预估资源使用的规格和数量,针对特定的突发状态、大流量业务处理需要更多资源的情况,充分利用云弹性伸缩特性或者容器化部署方式,基于监控、告警周期性自动扩展资源,提高资源利用率、避免浪费。存量系统逐步基于云上能力进行优化。
五、安全体系
严格执行《中华人民共和国网络安全法》《中华人民共和国密码法》《关键信息基础设施安全保护条例》《信息安全技术—网络安全等级保护基本要求》《商用密码应用安全性评估管理办法》《云计算服务安全评估办法》等相关国家法律法规和标准规范要求,对纳入统一管理的新增和存量云资源加强安全合规评估,确保全市政务“一朵云”建设符合国家信息安全等级保护、密码应用安全评估和云计算服务安全标准。
(一)通用安全
1.平台安全。落实信息系统等级保护安全设计技术要求,从安全计算环境、安全区域边界、安全通信网络和安全管理中心四个方面落实安全保护技术要求,建立起以计算环境安全为基础,以区域边界安全、通信网络安全为保障,以安全管理中心为核心的信息安全整体保障体系。建成后的安全保障体系要符合国家等级保护标准,能够为市政务“一朵云”稳定运行提供有力保障。
2.租户安全。建设政务云租户安全资源池,提供网络安全、主机安全、应用安全、数据安全多维度专业安全产品,具备日志审计、风险漏洞预警、恶意代码防范、数据库审计、入侵检测与防御等安全能力。能够通过安全态势感知平台对整网安全数据集中分析,为上云单位提供立体、全面的安全防护。
(二)密码安全
1.平台密码建设。市政务“一朵云”密码建设应符合密码相关法律与行业相关政策要求,统筹系统密码应用,与业务系统统一设计,同步规划、同步建设、同步运行密码保障系统并定期进行评估。密码建设应采用符合国家密码管理部门核准的密码产品、许可的密码服务,具备最新商用密码产品型号证书。
2.租户密码服务。建设密码服务资源池,提供基于云上原生的密码安全实例服务,包含协同签名服务、动态令牌认证服务、签名验签服务、数据加解密服务、数据库加密服务、文件加密服务、SSL VPN服务、电子签章服务、时间戳服务、密钥管理服务,具备动态扩容、故障漂移等能力,可以对多节点的密码资源进行统一管理和调度,可以通过不同平台间的级联管理,实现跨节点部署的所有密码资源的统一管理、统一调度和统一监控。
(三)容灾备份
1.本地镜像。提供租户级别的容灾备份服务能力,为上云单位的业务系统数据、云主机镜像文件、快照等提供备份。提供主流的备份数据格式,根据上云单位申请的备份类型、备份时间、备份策略、备份容量等参数提供相应的容灾备份能力,支持自定义的备份策略。
2.同城容灾。建设近距离双活数据中心,利用网络层、主机层及应用的负载均衡技术,实现业务系统在生产中心和双活中心并行工作和负载分担。生产中心的数据从业务层面同步复制到同城双活中心,出现异常时,双活中心自动接管生产中心业务,上云单位对前端业务无感知,业务不中断。
3.异地备份。建设远距离灾备数据中心,对市政务“一朵云”的数据进行异地远程复制和保存,当主业务中心发生故障时,异地灾备中心可以用备份数据进行业务的恢复,避免区域性的灾难导致业务无法恢复。
六、保障措施
(一)强化组织领导
在“数字盐城”建设领导小组的领导下,建立全市政务“一朵云”建设协同工作机制,加强顶层设计、组织推进、统筹协调和监督指导等工作,协调解决政务云建设中的重大问题。
(二)健全制度规范
制定出台《盐城市政务云平台管理办法》,强化对全市非涉密应用上云用云的统筹管理,细化云资源申请、审批、测试、开通、优化、回收等过程的管理。
(三)加强资金保障
各级政府加强资金保障,加大投入力度,快速提升市政务云供给能力和安全运行水平,强化审计监管,切实保障资金合规高效使用,推动全市政务“一朵云”持续健康发展。
(四)严格考核监督
建立健全综合性评价机制,由市大数据管理局对全市政务“一朵云”服务质量和全市各部门上云用云情况进行考核评价。市委网信办、市公安局对上云单位安全等保工作进行考核评价,市党信办对上云单位信创改造工作进行考核评价,市密码局对上云单位落实密码应用工作进行考核评价。