市级新型智慧城市建设项目需求设计说明书

语言	格式	评分
中文（简体）	.docx	3
概览
第 1 页, 共 150 市级新型智慧城市建设项目需求设计说明书第 2 页, 共 150 项目要求第一章项目总体概况 1.1 项目名称 xx 市新型智慧城市建设重点项目 1.2 项目背景为深入贯彻《中华人民共和国国民经济和社会发展第十四个五年规划和 2 035 年远景目标纲要》关于加快建设数字社会、数字政府、智慧城市的要求，落实省委省政府《关于加快推进新型智慧城市建设的指导意见》和市委市政府《关于贯彻落实市委六届十二次全会精神加快建设“五个 xx”的实施意见》等文件精神，xx 市拟加快推动我市新型智慧城市建设工作，提升社会治理、公共服务、产业转型领域数字化水平，为实现“五个 xx”建设目标提档提速。 1.3 项目建设目标以习近平总书记关于智慧城市建设的重要论述为指引，紧扣数字中国发展脉搏，根据中共 xx 市委办公室、xx 市人民政府办公室《关于加快推进 xx 市新型智慧城市项目建设的工作方案》（xx 办【2021】25 号），打造“能感知、会思考、可进化、有温度”的城市智能体和推进我市产业数字化转型的创新中心，以科学化、数字化、信息化手段为抓手，坚持问题导向、需求导向，建设政务云、城市数字平台、智慧城市运营中心、可视化、一网统管、一网通办、一码通城、统一服务门户、安全等基础“构件”，连通各领域、各层级，构建全市“一盘棋” 格局，全面整合信息资源，补齐短板弱项，筑牢安全底线，提高财政资金使用效益，提升城市治理能力、民生服务能力，牵引 xx 数字化转型有序发展，为加快建设“五个 xx”提供强有力的智慧化支撑。第 3 页, 共 150 第二章项目建设需求 2.1 项目总体建设需求 xx 市新型智慧城市建设总体需求包括：政务云建设需求、数字平台建设需求、智慧城市运营中心建设需求、可视化建设需求、一网统管应用系统建设需求、一网通办应用系统建设需求、一码通城应用系统建设需求、统一服务门户建设需求、信息安全建设需求、智慧城市运维需求、智慧城市支撑服务需求。 2.2 政务云建设需求依托市电子政务外网，建设 xx 市政务云 IaaS 和 PaaS 平台，实现全市电子政务基础设施的统一规划、统一建设、统一安全、统一管理、统一运维、统一应用，为市电子政务应用系统和各委办局信息系统建设提供统一的机房环境、网络资源、存储资源、计算资源、安全保障和运维服务。云平台建成后，市级各政府部门开展信息化工作所需硬件资源统一向云平台申请，实行按需分配，弹性服务。整体按照分区分域的理念进行建设，通过网闸、防火墙等安全设备进行安全区域划分，形成互联网区、电子政务外网区和安全服务区三大区域，部署内容如下：（1）政务外网区：部署管理节点、计算节点、存储节点、网络节点、安全设备、带外管理等，支撑政务外网业务应用；（2）互联区：部署管理节点、计算节点、存储节点、网络节点、安全设备、带外管理等，支撑面向互联网的业务应用；（3）安全服务区：部署 DDOS、IDS、网流分析等设备，对互联网进出流量进行安全防护。 2.2.1 政务云平台 IaaS 服务需求云平台管理节点需支持集群部署，可平滑升级扩展，提供自服务门户便于云使用单位申请、管理云资源，提供完善的 IaaS 服务。需制定完善的安全运维管理体系，提供面向租户的安全服务能力，满足 xx 市新型智慧城市建设的应用第 4 页, 共 150 需求。政务云平台 IaaS 服需求务包括：弹性云主机服务、云硬盘服务、对象第 5 页, 共 150 存储服务、镜像服务、容器服务、虚拟私有云服务、VPC 对等连接、弹性 IP 服务、NAT 服务、弹性负载均衡服务、VPN 服务、专线服务、云解析服务、云备份服务、数据库服务、短信服务等。 2.2.2 政务云平台 PaaS 服务需求 2.2.2.1 大数据平台服务需求建设大数据基础服务平台，提供可靠、安全、易用的大数据处理服务，委办局用户可以按需部署大数据服务以实现政务应用的大数据处理需求，例如：数据提取、处理、分析、报表展示、用户画像、机器学习等大数据应用，能够快速构建海量数据信息处理系统，通过对海量信息数据实时与非实时的分析挖掘，实现大数据融合的价值分析和价值挖掘，以提高政府在大数据背景下的核心竞争力。大数据平台提供大容量数据的存储和分析能力，支持多租户，满足委办局业务隔离等安全需求；提供数据仓库的部署，支持高并发的查询及海量数据分析能力，包括离线处理、实时处理、交互查询、实时检索等场景，提供 Hadoop、Hi ve、Spark、HBase、Kafka、Flink、Elasticsearch 等大数据组件。 2.2.2.2 联接中枢需求建设统一的联接中枢平台，简化平台和应用之间的连接和复杂度，向上支持智慧城市上层应用开发及服务调用，降低应用使用新技术的成本和难度，满足业务需求快速变化。联接中枢平台支撑各应用系统、平台之间基于 API 的服务接口对接，基于消息队列的集成，以及应用之间各类异构数据源的数据集成均通过联接中枢统一提供。数据集成要求：需支持多种数据源（文本、消息、API、关系型数据和非关系型数据等）之间的灵活、快速、无侵入式的数据集成。如 Oracle、MySQL、 SQLServer、Kafka、Hive、文本文件、消息、API、RabbitMQ、PostgreSQL、Act iveMQ 等读取和写入；支持自定义及自动映射两种方式关联数据源字段与目标数据源字段；支持定时、实时同步，支持全量、增量同步。消息集成要求：需支持消息的发布与订阅、支持消息广播并提供消息队列第 6 页, 共 150 的管理及公网访问；支持消息队列多协议接入，支持 HTTP Restful API 和客户端接入，提供管理控制台及管理 API，支持 java、python 等多语言 SDK；支持消息持久化，多副本存储机制，可选择副本间消息同步、异步复制，数据同步或异步落盘等多种方式；需提供细粒度监控视图，按不同的业务需求，自定义监控告警；支持消息查询，通过指定时间和位置，查询具体消息的内容。应用集成要求：需面向上层应用提供统一的 HTTP 标准协议接口来集成 API，实现 HTTPS 统一访问。需支持 API 注册、授权、测试的全生命周期管理，同时提供密钥管理、访问控制功能，并提供外部接口允许第三方系统接入；需提供 API 策略路由能力，支持根据不同的 Header、Query 来定制 API 接口的后端；需支持 API 编排，支持通过脚本，完成服务的编排封装；支持秒级 API 流控，针对不同的业务等级、用户等级，可实施 API 级别的精细流控，保护集成业务的稳定运行；支持 API 的监控统计和分析；安全认证，支持 app key&app Secret 对应用进行认证，用户可编写自定义脚本对接第三方认证；支持 API 的在线调试。 2.2.2.3 应用支撑平台需求 2.2.2.3.1 快速应用开发平台建设快速应用开发平台，为各应用软件提供统一的容器、微服务应用开发和运行平台，助力开发者敏捷创新，通过复用资产，可快速组装扩展应用，为政府快速上线应用场景提供平台支持。基于标准化运行环境和工具，提升应用上线、运行效率： 1、基于 Docker 和 Kubernetes，提供容器应用一致的运行环境，简化容器的创建和维护，进一步提升资源利用率和应用秒级启动、弹性伸缩等能力。 2、提供运行态基础框架，支持元数据集中管理和集群内自动同步，统一的配置中心，支持集群部署和滚动升级。根据会话标志进行路由,自动负载均衡。支持物联网上报事件分发，根据租户/事件名/事件 ID 自动路由和分发处理。 3、支持租户与用户管理。支持租户自注册，根据租户名和邮箱注册租户, 租户名全局唯一。支持冻结/解冻租户和用户，系统管理员可以指定租户和用户进行冻结,禁止其登录;也可以解冻已冻结的用户,恢复正常状态。支持租户的用户第 7 页, 共 150 管理，租户管理员可以在本租户中创建用户,修改用户信息,或删除用户。支持用户密码管理，修改用户密码, 重置用户密码, 密码规则配置,密码最大允许输错次数以及锁定时间。 4、支持用户权限管理，每个用户分配一个权限设置,支持配置多级别权限：应用页面访问/对象/字段/脚本/流/API 以及系统管理权限；作为权限设置的补充,还支持为特定用户额外分配权限集。支持业务权限管理，用户可以分配多个业务自定义权限,用于控制访问自定义接口访问。 2.2.2.3.2 统一身份认证建设统一身份认证管理平台，打通信息孤岛，实现用户单点登录，对现有主要应用系统的账号、认证、授权和用户行为审计统一入口管理，达到“统一身份、统一应用、统一认证、统一权限、统一审计”，从而全面保障信息安全，有效提升内控管理水平，实现信息化业务向全流程无纸化、高效统一、安全可靠、合法合规方向发展。需支持统一的、集中的用户电子身份管理，结合用户入职、兼职、调岗、借调、离职等不同业务场景实现用户账号的全生命周期管理；支持维护用户名、密码、姓名、电话、邮箱等基本属性信息，并可根据需要增加用户自定义属性；针对各类用户可进行分类及管理。需支持统一的、集中的机构管理，支持机构的新增、修改、删除、查看等基本操作；支持多组织机构树，支持机构属性自定义，不同机构树上的机构可配置不同的属性。需支持 OAuth、SAML、CAS、Restful 等标准认证协议，为应用系统提供接口服务和集成能力，实现单点登录。需支持登录名配置、失败多次锁定、密码到期提醒、强制修改密码、会话有效期管理、会话数量管理和赋能策略。需为用户提供统一的登录入口，登录入口可支持多语言、界面 UI 自定义，集中展示有权限访问的应用列表，默认展示最近访问应用和常用应用列表。用户只需要登录一次就可以访问所有有权限访问的应用系统，既支持 B/ S 应用、C/S 应用和移动端应用单点登录，还支持跨域、跨浏览器之间的单点第 8 页, 共 150 登第 9 页, 共 150 录。 2.2.2.3.3 区块链平台区块链技术平台主要包括区块链系统部署、智能合约管理、区块链安全管理等功能模块。平台采用联盟链技术，满足分布式账本、去中心化、不可篡改、全程留痕、可以追溯、集体维护、公开透明等技术特点，支持高性能共识协议算法、国密算法、分布式账本数据的冷热分离机制等要求，完成资源目录与电子证照的区块链应用支撑。  基于容器部署和管理区块链组件：支持通过 k8s 来创建和管理区块链的 orderer 和 peer 等节点  组织管理：支持链上组织做扩容、添加等操作，便于适配业务扩展  通道管理：支持通道上节点的加入、查看等操作  成员管理：支持联盟链成员的管理，包括查看，邀请，查看拓扑等操作  通知管理：可查看和处理由联盟方发起的邀请信息。  权限管理：支持细粒度策略和角色，自动化注册细粒度策略和角色。如果系统策略无法满足授权要求，管理员可以根据各服务支持的授权项，创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。  运维管理：支持对区块链组件，包括底层资源，orderer 容器，peer 容器的运维能力，可以查看组件日志，资源消耗、指标监控、告警等  支持区块链组织证书下载、SDK 配置文件下载等能力：易于业务对接和使用区块链  性能增强能力：支持区块链系统 E2E 达到 10000TPS 的交易性能  智能合约管理：支持智能合约的安装，部署，实例化，升级等操作  提供区块链浏览器：支持查看区块链区块和交易等详细信息和统计信息，便于业务分析  支持区块链实例创建过程的详细记录：支持对区块链实例创建过程的详细记录  支持通过接口管理区块链资源：开放管理接口方便用户调用第 10 页, 共 15 2.2.2.4 人工智能平台需求人工智能平台将作为 xx 市新型智慧城市的人工智能能力中心，支撑城市治理、政务服务等业务场景。一、AI 开发运营平台需求提供一站式 AI 开发运营平台，提供模型管理、AI 设备管理、AI 分析推理能力，并且面向政府提供 AI 运营能力。二、AI 引擎能力需求 1、提供智慧城市 AI 感知引擎，提供视频感知、证照识别、语音处理、自然语言处理的 AI 能力。支持城市视频感知能力，提供支持对视频中人、车、物、行为的 AI 识别等能力，能够城市治理、应急管理等场景需求。支持证照识别能力，支持识别政务各类型文件信息，提取文件类型关键字，与系统预置文件类型进行匹配，调用该文件类型对应的文字识别服务提取信息。支持语音处理能力，通过实时访问和调用 API 获取语音交互结果。支持通过语音识别功能，将口述音频、普通话语音文件识别成可编辑的文本；支持通过语音合成功能将文本转换成逼真的语音。支持自然语言处理能力，向各类智慧城市应用提供的用于文本分析及挖掘的能力。自然语言处理技术支持与业务相结合，训练基于业务的模型；在政务热线场景下，支持基于工单内容进行工单挖掘能力。 2、提供智慧城市机器人引擎，提供流程机器人、问答机器人、外呼机器人的 AI 能力。流程机器人提供自动化、智能化和低代码的基础能力，提供流程机器人的设计、运行、管理能力，提供在不同系统之间实现数据的录入、提取和验证等操作，支持与平台其他能力结合后实现流程自动化。问答机器人支持单轮 FAQ 问答、多轮对话技能支撑智慧城市应用构建、发布和管理政务热线智能客服、智能助手等智能咨询系统。外呼机器人提供回访、外呼能力等电话渠道服务百姓的场景，并且支持政第 11 页, 共 15 务呼叫中心平台进行对接，实现外呼机器人的能力。第 12 页, 共 15 3、提供智慧城市知识计算引擎，支持图引擎能力，对以关系为基础的图结构数据进行分布式、大规模的查询、分析的能力，支持高并发秒级实时查询，提供丰富的图算法库，满足智慧城市应用需求。 2.2.2.5 物联网平台需求面对全域全场景的感知终端和感知数据接入，需要建设一套统一开放的满足海量数据采集、汇聚、分析的服务体系，支撑泛在连接、弹性供给、高效配置的物联网平台。物联网平台向上通过应用接口组件，共享数据服务，快速为各应用共享交换数据；向下实现各类终端协议标准化，物联终端模型的标准化，为新型智慧城市建设提供坚实的数据标准基础。物联网平台需提供物联网设备统一接入、管理的能力，可以支持 COAP、 MQTT(S)、HTTP（S）等物联网通信协议。提供丰富的 Restful API，通过 API 将数据以及设备管理的能力开放给物联网应用，使物联网应用能快速、低成本的构建。同时提供物理模型以及云端编解码插件的能力，支持物联网数据的标准化、格式化，支持各种物联设备的数据汇聚、融合和协同，解决物联网各子系统烟囱式发展以及数据孤岛问题。 2.2.2.6 视频云平台需求本着集约共享的原则，建设视频云平台，实现城市视频资源联通共享，获取已经建设、可共享的视频资源，为人工智能平台和智慧应用提供视频资源调用，同时和融合指挥系统结合，更好地提供智慧城市视频类服务。视频云平台部署在政务云上，系统功能可靠、稳定、完整，能充分利用现有的设备和数据，需具备完善的系统管理、安全、数据更新与维护机制及信息分类与编码体系。平台设计需秉承模块化、框架化、集群化、服务化的设计理念，提高系统的可靠性、可扩展性和可维护性，满足不同系统对接整合、兼容应用和可持续发展的需要。 2.2.3 政务云安全服务需求 2.2.3.1 平台安全建设需求第 13 页, 共 15 整网划分为管理服务区、网络服务区、安全服务区以及计算和存储 POD，第 14 页, 共 15 配置策略禁止租户虚机访问平台管理面。管理和网络两个区域通过混合墙进行访问控制。安全服务区部署流量检测(NDR)和 IDS 设备，在混合墙及互联网出口进行分光，复制流量到 NDR 和 IDS 设备进行检测。部署 DDOS 流量清洗对流量进行检测和清洗，部署信安设备对开放业务进行管控。在管理区部署主机防护软件，针对平台侧虚拟机进行漏洞扫描和安全加固。 2.2.3.1.1 核心设备及链路冗余需求需要采用冗余双链路措施。在交换中心网核心交换机和防火墙设备和互联互通链路上采用冗余双链路措施，提升因单台设备或单条链路故障自动处理能力，政务云平台可提供 24 小时不间断服务。 2.2.3.1.2 入侵检测与边界防御需求政务云平台的网络边界，与党政机关政务外网互联互通，因此需要考虑到应对网络攻击的安全措施。需要配置入侵检测系统。需要在重要的网络边界处和重要网段配置入侵检测。需要配置安全管理平台。鉴于重要的网段分部在不同的物理和逻辑网段，所以应配置一个安全管理平台，集中分析管理分布在不同地点的网络入侵检测系统。需要配置防火墙。防火墙作为网络边界设备，放置在不同网络出入口上，控制各级网络用户之间的相互访问，规划网络的信息流向。 2.2.3.1.3 平台主机安全服务需求需要对平台主机进行安全加固，使用主机安全防护功能防止对平台服务器的恶意攻击，阻止恶意程序在业务主机上的执行。另外从等保合规的角度来说，等级保护要求 “应能够检测恶意代码感染及在虚拟机间蔓延的情况，并提出告警”，因此需要提供主机防病毒安全防护功能。 2.2.3.1.4 平台 Web 应用防火墙需求需要提供 Web 应用防火墙服务，防护 Web 通用攻击，如 SQL 注入、文件注入、命令注入、配置注入、LDAP 注入、跨站脚本等，以及协议规范性检查，如通过 HTTP 协议规范性检查可以实现 Web 主动防御功能。第 10 页, 共 150 2.2.3.2 云安全服务建设需求提供下列政务云安全服务，满足平台和应用系统等保 2.0 三级标准要求。 2.2.3.2.1 堡垒机服务随着政府业务部门不断将自身业务迁移到云计算平台，云计算平台的安全性就越来越受到关注，运维安全就是云计算政府最为担心的问题之一，所有服务器和应用都托管在云端，如果运维云主机的 SSH（TCP 22 端口）、远程桌面 RDP（TCP 3389 端口）直接暴露在 Internet 上，RDP、SSH 等协议漏洞利用、账号密码被暴力破解的风险较高，一旦被破解，企业的核心机密数据、政府数据可能就外泄，可能带来巨大的损失。运维、开发、第三方维护人员都共用 root、 administrator 等高权限账号，容易出现越权操作、敏感数据泄漏，出现事情之后也难以定位到责任人。提供云堡垒机服务作为政府运维的唯一入口，运维连接资产都必须经过堡垒机的统一身份管理，对整个操作过程实现全程的审计记录。通过堡垒机进行运维账号管理、权限(运维对象)管理、授权管理和审计管理 4A 等功能，实现细粒度访问控制管