王斌
摘要:在國家“十三五”計劃背景下,推動基于互聯(lián)網(wǎng)的公共服務(wù)模式創(chuàng)新,推進(jìn)基于云計算的信息服務(wù)公共平臺建設(shè),增強(qiáng)公共產(chǎn)品供給能力,逐步實現(xiàn)政務(wù)服務(wù)一網(wǎng)通辦和一網(wǎng)統(tǒng)管。政務(wù)云平臺已成為各數(shù)字政府的重點建設(shè)項目,本文對大型政務(wù)云平臺的架構(gòu)體系進(jìn)行了研究,闡述了政務(wù)云平臺技術(shù)、網(wǎng)絡(luò)和安全的發(fā)展路線。
關(guān)鍵詞:云計算;政務(wù)服務(wù);體系架構(gòu)
一、背景
以加強(qiáng)互聯(lián)網(wǎng)政務(wù)信息數(shù)據(jù)服務(wù)平臺和便民服務(wù)平臺建設(shè)為契機(jī),以提高現(xiàn)有電子政務(wù)基礎(chǔ)設(shè)施利用效率,促進(jìn)電子政務(wù)集約化發(fā)展為主要目的,參照《關(guān)于印發(fā)政務(wù)信息資源共享管理暫行辦法的通知》、《關(guān)于印發(fā)“十三五”國家信息化規(guī)劃的通知》等相關(guān)要求,各級政府計劃啟動政務(wù)云平臺的建設(shè)。
按照政府系統(tǒng)信息交互、資源共享、業(yè)務(wù)協(xié)同、資源復(fù)用、節(jié)能環(huán)保等要求,采用云計算等先進(jìn)信息技術(shù),對數(shù)據(jù)中心進(jìn)行總體規(guī)劃,實現(xiàn)統(tǒng)一建設(shè)標(biāo)準(zhǔn)、統(tǒng)一基礎(chǔ)平臺、統(tǒng)一安全防護(hù)、統(tǒng)一運行管理,為創(chuàng)新社會管理模式,建設(shè)服務(wù)型政府提供支撐和保障。
二、政務(wù)云平臺架構(gòu)設(shè)計
國家高度重視以云計算為代表的新一代信息產(chǎn)業(yè)發(fā)展,發(fā)布了《關(guān)于促進(jìn)云計算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見》等政策措施。在政府積極引導(dǎo)和企業(yè)戰(zhàn)略布局等推動下,經(jīng)過社會各界共同努力,云計算已逐漸被市場認(rèn)可和接受。云計算引發(fā)了軟件開發(fā)部署模式的創(chuàng)新,成為承載數(shù)字政府的關(guān)鍵基礎(chǔ)設(shè)施,并為大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新興領(lǐng)域的發(fā)展提供基礎(chǔ)支撐,推動網(wǎng)絡(luò)強(qiáng)國、數(shù)字中國、智能社會戰(zhàn)略的關(guān)鍵基礎(chǔ)設(shè)施。
2.1主流云平臺技術(shù)路線
1.傳統(tǒng)路線:虛擬機(jī)
這是已經(jīng)被廣泛應(yīng)用的技術(shù)路線,從AWS到國內(nèi)的阿里云,使用者得到的最小單位是虛擬機(jī),需要追加和擴(kuò)展的資源實際上是整個虛擬機(jī)的資源。但每一個虛擬機(jī)資源都受到物理機(jī)最大資源的限制。
2.輕量級路線:容器云
隨著Docker的出現(xiàn),容器云開始出現(xiàn),容器云是以應(yīng)用可以簡單理解為一個或一組程序。在容器云上以應(yīng)用為最基本單位進(jìn)行資源(CPU、內(nèi)存、硬盤)的分配,相對于虛擬機(jī)云,容器云資源分割粒度進(jìn)一步精細(xì)化。
3.中間線路:容器+mini kernel
這條線路是容器中之間不再共享內(nèi)核,而是為每一個容器提供一個獨立的內(nèi)核。Intel推出的clear Linux項目,就是這種線路的代表。中間路線是前面兩條路線的融合,未來容器云路線極有可能向此條路線發(fā)展。
三條技術(shù)路線,代表著三個時代,虛擬機(jī)路線是最早出現(xiàn)且成熟的,因為它符合了技術(shù)人員的使用習(xí)慣,方便過渡。容器云是目前發(fā)展最快的路線,因為它把資源分割粒度做到最小,且使用傳統(tǒng)的運維工作提升效率。未來有可能是容器+mini kernel路線的天下,更高、更便捷、更安全,永遠(yuǎn)是追求的目標(biāo)。國內(nèi)政務(wù)云正處于第一路線向第二路線過渡的過程,與公有云不通,安全、穩(wěn)定是政務(wù)云更看重的特性。
2.2政務(wù)云平臺體系架構(gòu)
當(dāng)前政務(wù)系統(tǒng)內(nèi)常見的網(wǎng)絡(luò)接入類型有:互聯(lián)網(wǎng)、政務(wù)外網(wǎng)、業(yè)務(wù)專網(wǎng)等?;ヂ?lián)網(wǎng)適合部署公共服務(wù)類業(yè)務(wù),為大眾提供訪問服務(wù);政務(wù)外網(wǎng)適合政府內(nèi)部非涉密業(yè)務(wù),國家、省、市、縣垂直互聯(lián);業(yè)務(wù)專網(wǎng)適合“十二金”等專用業(yè)務(wù)。按照《電子信息系統(tǒng)機(jī)房設(shè)計規(guī)范》(GB50174-2008)B級標(biāo)準(zhǔn)建設(shè)數(shù)據(jù)中心機(jī)房、按照《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T22239-2019)等級保護(hù)三級標(biāo)準(zhǔn)建設(shè)政務(wù)云平臺。
政務(wù)云平臺基于網(wǎng)絡(luò)而建設(shè),可以部署互聯(lián)網(wǎng)區(qū)、政務(wù)外網(wǎng)區(qū)、業(yè)務(wù)專網(wǎng)區(qū),在某些特殊的需求下,比如要求機(jī)房和物理設(shè)備獨立部署的情況,云平臺也可以獨立部署。
無論基于哪種網(wǎng)絡(luò),云平臺通用的網(wǎng)絡(luò)劃分大體相同,以基于政務(wù)外網(wǎng)云平臺為例,包含如下區(qū)域
1.邊界接入?yún)^(qū)
通過雙鏈路上聯(lián)至政務(wù)外網(wǎng)實現(xiàn)與各地市政務(wù)系統(tǒng)以及省直單位政務(wù)系統(tǒng)的數(shù)據(jù)交互。通過雙鏈路上聯(lián)政務(wù)外網(wǎng)和業(yè)務(wù)專網(wǎng),政務(wù)云訪問互聯(lián)網(wǎng)提供統(tǒng)一出口,提供互聯(lián)網(wǎng)業(yè)務(wù)訪問能力。
2.安全訪問控制區(qū)
部署與外網(wǎng)進(jìn)行數(shù)據(jù)交互的安全隔離設(shè)備,確保數(shù)據(jù)訪問安全。在政務(wù)外網(wǎng)出口部署等級保護(hù)三級安全設(shè)備等確保進(jìn)入數(shù)據(jù)流量的安全性,之后數(shù)據(jù)流量進(jìn)入到核心交換區(qū)進(jìn)行轉(zhuǎn)發(fā)。
3.核心區(qū)
網(wǎng)絡(luò)核心區(qū)是整個網(wǎng)絡(luò)的流量匯集地,來自外部網(wǎng)絡(luò)以及服務(wù)器集群的流量全部要經(jīng)過網(wǎng)絡(luò)核心區(qū)。網(wǎng)絡(luò)和數(shù)據(jù)庫審計系統(tǒng)連接核心交換機(jī)對網(wǎng)絡(luò)及數(shù)據(jù)庫流量做日志審計。部署安全隔離防火墻用于外網(wǎng)與專網(wǎng)數(shù)據(jù)交換。
4.門戶管理區(qū)
部署云管理平臺、網(wǎng)絡(luò)管理平臺、虛擬化管理平臺等管理服務(wù)器,通過對云管理平臺、網(wǎng)絡(luò)管理平臺、虛擬化管理平臺等軟件的部署,實現(xiàn)對底層資源的合理管控,保障業(yè)務(wù)運行的可靠性、可用性,合理的分配資源,通過自動化的運維管理,提升運維管理效率。
5.安全管理區(qū)
部署漏洞掃描系統(tǒng)、堡壘機(jī)、防病毒服務(wù)器、安全SOC管理平臺提供云平臺的安全管理服務(wù)。
6.業(yè)務(wù)區(qū)
將計算存儲節(jié)點和磁盤陣列組合在一起,作為云平臺的計算存儲一體化資源池。在資源池中,通過安裝虛擬化軟件,使計算資源能以云主機(jī)(虛擬機(jī))的方式被不同的應(yīng)用和不同用戶使用。資源池按設(shè)備用途細(xì)分為計算存儲虛擬化資源池區(qū)、高性能物理服務(wù)器/數(shù)據(jù)備份區(qū)、托管服務(wù)器區(qū)以及門戶管理區(qū)和安全管理區(qū)。
三、政務(wù)云平臺安全架構(gòu)設(shè)計
政務(wù)云平臺需要滿足等保三級安全要求,從安全域的角度,可以分為安全計算域、安全管理域、安全網(wǎng)絡(luò)域和終端接入域。安全計算域是相同安全保護(hù)等級的物理主機(jī)/服務(wù)器的集合,安全網(wǎng)絡(luò)域是由通信網(wǎng)絡(luò)和接入網(wǎng)絡(luò)構(gòu)成。安全管理域是對整體云計算中安全事件收集與管控報警的系統(tǒng)平臺。終端接入域是安全生產(chǎn)監(jiān)管信息系統(tǒng)最終用戶的集合。各安全域之間通過邊界防護(hù)設(shè)備進(jìn)行相應(yīng)的隔離,在各安全域內(nèi)部,根據(jù)地理位置、功能和重要程度又劃分為不同的安全區(qū)域,各區(qū)域之間通過ACL進(jìn)行相應(yīng)的隔離。
四、結(jié)語
隨著“數(shù)字政府”進(jìn)程的大力推進(jìn),政務(wù)云也逐漸從虛擬化向容器演進(jìn),從基礎(chǔ)架構(gòu)向平臺服務(wù)演進(jìn),云計算正成為大數(shù)據(jù)、物聯(lián)網(wǎng)、5G等創(chuàng)新業(yè)務(wù)的基礎(chǔ)平臺。
參考文獻(xiàn)
[1]GB50174-2008,電子信息系統(tǒng)機(jī)房設(shè)計規(guī)范[S],北京:中國計劃出版社,2008
[2]GB/T22239-2019,信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求[S],公安部信息安全等級保護(hù)評估中心,2019