關(guān)于大型政務(wù)云平臺架構(gòu)體系的研究

王斌

摘要：在國家“十三五”計劃背景下，推動基于互聯(lián)網(wǎng)的公共服務(wù)模式創(chuàng)新，推進(jìn)基于云計算的信息服務(wù)公共平臺建設(shè)，增強(qiáng)公共產(chǎn)品供給能力，逐步實現(xiàn)政務(wù)服務(wù)一網(wǎng)通辦和一網(wǎng)統(tǒng)管。政務(wù)云平臺已成為各數(shù)字政府的重點建設(shè)項目，本文對大型政務(wù)云平臺的架構(gòu)體系進(jìn)行了研究，闡述了政務(wù)云平臺技術(shù)、網(wǎng)絡(luò)和安全的發(fā)展路線。

關(guān)鍵詞：云計算;政務(wù)服務(wù);體系架構(gòu)

一、背景

以加強(qiáng)互聯(lián)網(wǎng)政務(wù)信息數(shù)據(jù)服務(wù)平臺和便民服務(wù)平臺建設(shè)為契機(jī)，以提高現(xiàn)有電子政務(wù)基礎(chǔ)設(shè)施利用效率，促進(jìn)電子政務(wù)集約化發(fā)展為主要目的，參照《關(guān)于印發(fā)政務(wù)信息資源共享管理暫行辦法的通知》、《關(guān)于印發(fā)“十三五”國家信息化規(guī)劃的通知》等相關(guān)要求，各級政府計劃啟動政務(wù)云平臺的建設(shè)。

按照政府系統(tǒng)信息交互、資源共享、業(yè)務(wù)協(xié)同、資源復(fù)用、節(jié)能環(huán)保等要求，采用云計算等先進(jìn)信息技術(shù)，對數(shù)據(jù)中心進(jìn)行總體規(guī)劃，實現(xiàn)統(tǒng)一建設(shè)標(biāo)準(zhǔn)、統(tǒng)一基礎(chǔ)平臺、統(tǒng)一安全防護(hù)、統(tǒng)一運行管理，為創(chuàng)新社會管理模式，建設(shè)服務(wù)型政府提供支撐和保障。

二、政務(wù)云平臺架構(gòu)設(shè)計

國家高度重視以云計算為代表的新一代信息產(chǎn)業(yè)發(fā)展，發(fā)布了《關(guān)于促進(jìn)云計算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見》等政策措施。在政府積極引導(dǎo)和企業(yè)戰(zhàn)略布局等推動下，經(jīng)過社會各界共同努力，云計算已逐漸被市場認(rèn)可和接受。云計算引發(fā)了軟件開發(fā)部署模式的創(chuàng)新，成為承載數(shù)字政府的關(guān)鍵基礎(chǔ)設(shè)施，并為大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新興領(lǐng)域的發(fā)展提供基礎(chǔ)支撐，推動網(wǎng)絡(luò)強(qiáng)國、數(shù)字中國、智能社會戰(zhàn)略的關(guān)鍵基礎(chǔ)設(shè)施。

2.1主流云平臺技術(shù)路線

1.傳統(tǒng)路線：虛擬機(jī)

這是已經(jīng)被廣泛應(yīng)用的技術(shù)路線，從AWS到國內(nèi)的阿里云，使用者得到的最小單位是虛擬機(jī)，需要追加和擴(kuò)展的資源實際上是整個虛擬機(jī)的資源。但每一個虛擬機(jī)資源都受到物理機(jī)最大資源的限制。

2.輕量級路線：容器云

隨著Docker的出現(xiàn)，容器云開始出現(xiàn)，容器云是以應(yīng)用可以簡單理解為一個或一組程序。在容器云上以應(yīng)用為最基本單位進(jìn)行資源（CPU、內(nèi)存、硬盤）的分配，相對于虛擬機(jī)云，容器云資源分割粒度進(jìn)一步精細(xì)化。

3.中間線路：容器+mini kernel

這條線路是容器中之間不再共享內(nèi)核，而是為每一個容器提供一個獨立的內(nèi)核。Intel推出的clear Linux項目，就是這種線路的代表。中間路線是前面兩條路線的融合，未來容器云路線極有可能向此條路線發(fā)展。

三條技術(shù)路線，代表著三個時代，虛擬機(jī)路線是最早出現(xiàn)且成熟的，因為它符合了技術(shù)人員的使用習(xí)慣，方便過渡。容器云是目前發(fā)展最快的路線，因為它把資源分割粒度做到最小，且使用傳統(tǒng)的運維工作提升效率。未來有可能是容器+mini kernel路線的天下，更高、更便捷、更安全，永遠(yuǎn)是追求的目標(biāo)。國內(nèi)政務(wù)云正處于第一路線向第二路線過渡的過程，與公有云不通，安全、穩(wěn)定是政務(wù)云更看重的特性。

2.2政務(wù)云平臺體系架構(gòu)

當(dāng)前政務(wù)系統(tǒng)內(nèi)常見的網(wǎng)絡(luò)接入類型有：互聯(lián)網(wǎng)、政務(wù)外網(wǎng)、業(yè)務(wù)專網(wǎng)等?；ヂ?lián)網(wǎng)適合部署公共服務(wù)類業(yè)務(wù)，為大眾提供訪問服務(wù);政務(wù)外網(wǎng)適合政府內(nèi)部非涉密業(yè)務(wù)，國家、省、市、縣垂直互聯(lián);業(yè)務(wù)專網(wǎng)適合“十二金”等專用業(yè)務(wù)。按照《電子信息系統(tǒng)機(jī)房設(shè)計規(guī)范》（GB50174-2008）B級標(biāo)準(zhǔn)建設(shè)數(shù)據(jù)中心機(jī)房、按照《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T22239-2019）等級保護(hù)三級標(biāo)準(zhǔn)建設(shè)政務(wù)云平臺。

政務(wù)云平臺基于網(wǎng)絡(luò)而建設(shè)，可以部署互聯(lián)網(wǎng)區(qū)、政務(wù)外網(wǎng)區(qū)、業(yè)務(wù)專網(wǎng)區(qū)，在某些特殊的需求下，比如要求機(jī)房和物理設(shè)備獨立部署的情況，云平臺也可以獨立部署。

無論基于哪種網(wǎng)絡(luò)，云平臺通用的網(wǎng)絡(luò)劃分大體相同，以基于政務(wù)外網(wǎng)云平臺為例，包含如下區(qū)域

1.邊界接入?yún)^(qū)

通過雙鏈路上聯(lián)至政務(wù)外網(wǎng)實現(xiàn)與各地市政務(wù)系統(tǒng)以及省直單位政務(wù)系統(tǒng)的數(shù)據(jù)交互。通過雙鏈路上聯(lián)政務(wù)外網(wǎng)和業(yè)務(wù)專網(wǎng)，政務(wù)云訪問互聯(lián)網(wǎng)提供統(tǒng)一出口，提供互聯(lián)網(wǎng)業(yè)務(wù)訪問能力。

2.安全訪問控制區(qū)

部署與外網(wǎng)進(jìn)行數(shù)據(jù)交互的安全隔離設(shè)備，確保數(shù)據(jù)訪問安全。在政務(wù)外網(wǎng)出口部署等級保護(hù)三級安全設(shè)備等確保進(jìn)入數(shù)據(jù)流量的安全性，之后數(shù)據(jù)流量進(jìn)入到核心交換區(qū)進(jìn)行轉(zhuǎn)發(fā)。

3.核心區(qū)

網(wǎng)絡(luò)核心區(qū)是整個網(wǎng)絡(luò)的流量匯集地，來自外部網(wǎng)絡(luò)以及服務(wù)器集群的流量全部要經(jīng)過網(wǎng)絡(luò)核心區(qū)。網(wǎng)絡(luò)和數(shù)據(jù)庫審計系統(tǒng)連接核心交換機(jī)對網(wǎng)絡(luò)及數(shù)據(jù)庫流量做日志審計。部署安全隔離防火墻用于外網(wǎng)與專網(wǎng)數(shù)據(jù)交換。

4.門戶管理區(qū)

部署云管理平臺、網(wǎng)絡(luò)管理平臺、虛擬化管理平臺等管理服務(wù)器，通過對云管理平臺、網(wǎng)絡(luò)管理平臺、虛擬化管理平臺等軟件的部署，實現(xiàn)對底層資源的合理管控，保障業(yè)務(wù)運行的可靠性、可用性，合理的分配資源，通過自動化的運維管理，提升運維管理效率。

5.安全管理區(qū)

部署漏洞掃描系統(tǒng)、堡壘機(jī)、防病毒服務(wù)器、安全SOC管理平臺提供云平臺的安全管理服務(wù)。

6.業(yè)務(wù)區(qū)

將計算存儲節(jié)點和磁盤陣列組合在一起，作為云平臺的計算存儲一體化資源池。在資源池中，通過安裝虛擬化軟件，使計算資源能以云主機(jī)（虛擬機(jī)）的方式被不同的應(yīng)用和不同用戶使用。資源池按設(shè)備用途細(xì)分為計算存儲虛擬化資源池區(qū)、高性能物理服務(wù)器/數(shù)據(jù)備份區(qū)、托管服務(wù)器區(qū)以及門戶管理區(qū)和安全管理區(qū)。

三、政務(wù)云平臺安全架構(gòu)設(shè)計

政務(wù)云平臺需要滿足等保三級安全要求，從安全域的角度，可以分為安全計算域、安全管理域、安全網(wǎng)絡(luò)域和終端接入域。安全計算域是相同安全保護(hù)等級的物理主機(jī)/服務(wù)器的集合，安全網(wǎng)絡(luò)域是由通信網(wǎng)絡(luò)和接入網(wǎng)絡(luò)構(gòu)成。安全管理域是對整體云計算中安全事件收集與管控報警的系統(tǒng)平臺。終端接入域是安全生產(chǎn)監(jiān)管信息系統(tǒng)最終用戶的集合。各安全域之間通過邊界防護(hù)設(shè)備進(jìn)行相應(yīng)的隔離，在各安全域內(nèi)部，根據(jù)地理位置、功能和重要程度又劃分為不同的安全區(qū)域，各區(qū)域之間通過ACL進(jìn)行相應(yīng)的隔離。

四、結(jié)語

隨著“數(shù)字政府”進(jìn)程的大力推進(jìn)，政務(wù)云也逐漸從虛擬化向容器演進(jìn)，從基礎(chǔ)架構(gòu)向平臺服務(wù)演進(jìn)，云計算正成為大數(shù)據(jù)、物聯(lián)網(wǎng)、5G等創(chuàng)新業(yè)務(wù)的基礎(chǔ)平臺。

參考文獻(xiàn)

[1]GB50174-2008，電子信息系統(tǒng)機(jī)房設(shè)計規(guī)范[S]，北京：中國計劃出版社，2008

[2]GB/T22239-2019，信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求[S]，公安部信息安全等級保護(hù)評估中心，2019