海委門戶網(wǎng)站后臺系統(tǒng)IPv6改造與國產(chǎn)化應(yīng)用

王嬌怡，黃 銳，史濱媛

（水利部海河水利委員會，天津 300170）

1 背景

互聯(lián)網(wǎng)協(xié)議第六版（Internet Protocol Version 6，以下簡稱IPv6）是替代現(xiàn)行互聯(lián)網(wǎng)協(xié)議第四版（Internet Protocol Version 4，以下簡稱IPv4）的下一代互聯(lián)網(wǎng)協(xié)議。2017年11月，中辦、國辦印發(fā)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計劃》，明確了我國加快推進(jìn)IPv6規(guī)模部署的總體目標(biāo)、路線圖、時間表和重點任務(wù)[1]。為貫徹落實黨中央、國務(wù)院關(guān)于建設(shè)網(wǎng)絡(luò)強(qiáng)國的戰(zhàn)略部署，按照水利部相關(guān)工作的統(tǒng)一安排，海委于2019 年初啟動了海委網(wǎng)絡(luò)安全能力提升與IPv6 網(wǎng)絡(luò)設(shè)備改造項目建設(shè)，開展了海委門戶網(wǎng)站IPv6 的改造工作，經(jīng)過1 a 多的努力，海委門戶網(wǎng)站順利完成IPv6升級改造。升級改造后的海委門戶網(wǎng)站能夠在IPv6 網(wǎng)絡(luò)環(huán)境下穩(wěn)定運行，實現(xiàn)了網(wǎng)站的IPv6/IPv4 雙棧訪問，并適配國產(chǎn)化終端，增強(qiáng)了網(wǎng)絡(luò)安全防御能力，提升了網(wǎng)站性能和工作效率。

2 技術(shù)原理及特點

2.1 J2EE B/S主程序開發(fā)架構(gòu)

系統(tǒng)采用SOA 可擴(kuò)展系統(tǒng)路線和J2EE B/S 多層分布式應(yīng)用體系架構(gòu)，它的主體應(yīng)用是基于J2EE企業(yè)級應(yīng)用開發(fā)框架，并且獨立于操作系統(tǒng)和數(shù)據(jù)庫平臺。系統(tǒng)安全穩(wěn)定，支持本地標(biāo)準(zhǔn)化，具有完全的可移植性、良好的擴(kuò)展性和穩(wěn)定性等特點，且應(yīng)用門檻低，普通服務(wù)器即可滿足系統(tǒng)運行要求[2]。

2.2 IPv6技術(shù)

2020 年3 月23 日，工業(yè)和信息化部發(fā)布《關(guān)于開展2020 年IPv6 端到端貫通能力提升專項行動的通知》，要求到2020 年末IPv6 活躍連接數(shù)達(dá)到11.5億[3]。

IPv6 具有更大更廣闊的地址空間。相比IPv4IP地址長度32、最大地址個數(shù)232，IPv6 的IP 地址長度是128、最大地址個數(shù)是2128。與32位的地址空間相比，IPv6的地址空間增加了232～2128。IPv6對IPv4的最大革新之處在于服務(wù)質(zhì)量（Quality of Service，QoS），對各類多媒體信息根據(jù)緊急性以及服務(wù)類別確定數(shù)據(jù)包優(yōu)先級[4]。除此之外，IPv6 采用必選的互聯(lián)網(wǎng)安全協(xié)議（Internet Protocol Security，IPsec），很好地保證了網(wǎng)絡(luò)通信的安全性。

2.3 國產(chǎn)化環(huán)境應(yīng)用

隨著國產(chǎn)化環(huán)境的日益成熟，我國對自主、安全、可控的需求日益強(qiáng)烈。本技術(shù)均采用了可跨平臺的應(yīng)用軟件及中間件進(jìn)行網(wǎng)站整體構(gòu)建。代碼語言部分同樣采用了可跨平臺的語言進(jìn)行編寫。同時，結(jié)合IPv6 網(wǎng)絡(luò)協(xié)議，進(jìn)一步加強(qiáng)了網(wǎng)站的整體安全性。由于政府網(wǎng)站7×24 h 的運行需求，采用國產(chǎn)化環(huán)境的低功耗高效率的芯片不僅進(jìn)一步節(jié)省了能源成本，還提高了能源的轉(zhuǎn)化效率。

IPv6 改造能夠適配基于國產(chǎn)化的軟硬件基礎(chǔ)環(huán)境，針對信創(chuàng)工程產(chǎn)品的優(yōu)點，從多方面實施優(yōu)化，以增加系統(tǒng)響應(yīng)的時間并且提升響應(yīng)時間的保持能力。

（1）基礎(chǔ)配置?；A(chǔ)配置優(yōu)化主要包括Web 應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器和Java虛擬機(jī)等配置優(yōu)化，通過優(yōu)化基礎(chǔ)配置，提升國產(chǎn)化基礎(chǔ)軟硬件環(huán)境對Web信息系統(tǒng)的支撐能力。

（2）數(shù)據(jù)庫設(shè)計針對國產(chǎn)數(shù)據(jù)庫管理系統(tǒng)，采用分區(qū)、物化視圖和非關(guān)系型數(shù)據(jù)庫等方法，優(yōu)化系統(tǒng)數(shù)據(jù)庫設(shè)計，提升系統(tǒng)數(shù)據(jù)查詢和存儲性能。改造升級后的后臺信息發(fā)布系統(tǒng)可適配信創(chuàng)相關(guān)的基礎(chǔ)硬件環(huán)境，包括主流的芯片、操作系統(tǒng)、數(shù)據(jù)庫、中間件和瀏覽器等，支持的信創(chuàng)工程產(chǎn)品如下：芯片包括龍芯、飛騰、鯤鵬、兆芯、海光；操作系統(tǒng)包括中標(biāo)麒麟、銀河麒麟、統(tǒng)一OS、中科方德；數(shù)據(jù)庫包括達(dá)夢、人大金倉、神舟通用；中間件包括東方通、金蝶；瀏覽器主要應(yīng)用火狐。

2.4 大規(guī)模集群部署模式

系統(tǒng)能夠支持集群式架構(gòu)的內(nèi)容發(fā)布管理平臺，并且有效解決內(nèi)容管理應(yīng)用建設(shè)所存在的可用性、穩(wěn)定性等諸多問題。系統(tǒng)采用高可用的監(jiān)控手段，有效地增強(qiáng)集群的可維護(hù)性[5]。系統(tǒng)不依賴于任何應(yīng)用服務(wù)器，采用高效、穩(wěn)定的信息及內(nèi)存同步機(jī)制，通過自身內(nèi)部實現(xiàn)通信和會話復(fù)制機(jī)制，有效降低項目建設(shè)成本。

2.5 AJAX交互引擎

在技術(shù)架構(gòu)問題上進(jìn)行了廣泛深入的自主創(chuàng)新。以提供更加易用的交互功能為目標(biāo)，系統(tǒng)更好地支撐了Web2.0 式的服務(wù)擴(kuò)展，并自主研發(fā)了AJAX交互引擎。

3 改造適配情況

3.1 主站支撐程序

3.1.1 內(nèi)容管理平臺功能升級改造

在保證原有后臺信息發(fā)布系統(tǒng)穩(wěn)定運行的前提下，內(nèi)容管理部分針對IPv6 環(huán)境做出相應(yīng)的變化，由于IPv6 采用的地址與IPv4 有較大區(qū)別，所以在網(wǎng)絡(luò)通信過程中不可避免地產(chǎn)生了不兼容的情況。改造后內(nèi)容管理功能適配IPv6 網(wǎng)絡(luò)環(huán)境，使原有的TRS內(nèi)容管理功能在IPv6的網(wǎng)絡(luò)環(huán)境下可以正常穩(wěn)定的運行。

3.1.2 數(shù)據(jù)庫適配改造

在IPv6 的網(wǎng)絡(luò)環(huán)境下，后臺管理程序與數(shù)據(jù)庫的交互發(fā)生了變化，導(dǎo)致有些數(shù)據(jù)庫查詢語句失效，為確保程序穩(wěn)定運行，針對數(shù)據(jù)庫語句做出了相應(yīng)的改造。改造后的數(shù)據(jù)庫語句適配IPv6 網(wǎng)絡(luò)環(huán)境，并作為主站發(fā)布的數(shù)據(jù)支撐穩(wěn)定運行。

3.1.3 后臺管理終端適配改造

針對主流瀏覽器進(jìn)行兼容性適配調(diào)整，改造后的后臺管理終端可以兼容主流瀏覽器及國產(chǎn)瀏覽器。本次改造后的主站支撐程序可以部署運行在國產(chǎn)操作系統(tǒng)上，并保證主要功能的完整性。

3.2 動態(tài)交互支撐程序

動態(tài)交互支撐程序是支撐海委政務(wù)門戶網(wǎng)站交互欄目更新的統(tǒng)一平臺，具備管理并發(fā)布海委門戶網(wǎng)站政務(wù)服務(wù)的功能，主要功能包括全站檢索、依申請公開、公眾咨詢、流域雨水情及氣象云圖展示、信訪信箱、行政許可公示、在線訪談、數(shù)據(jù)接口發(fā)布與管理、后臺管理等功能。針對IPv6 的網(wǎng)絡(luò)環(huán)境與硬件環(huán)境，數(shù)據(jù)庫語句層面需要做出相應(yīng)改動，即針對顯示終端做出相應(yīng)改動。

動態(tài)交互支撐程序適配基于IPv4 和IPv6 雙棧協(xié)議的網(wǎng)絡(luò)環(huán)境，海委門戶網(wǎng)站已通過國家IPv6 發(fā)展監(jiān)測平臺監(jiān)測；適配國產(chǎn)終端，部署于國產(chǎn)服務(wù)器、中間件、數(shù)據(jù)庫環(huán)境。對接海委統(tǒng)一身份認(rèn)證，滿足網(wǎng)絡(luò)安全等級保護(hù)2.0要求；采用Java相關(guān)技術(shù)進(jìn)行開發(fā)，對上述模塊進(jìn)行改造升級，同時針對整體程序功能進(jìn)行設(shè)計規(guī)劃?，F(xiàn)存程序管理模式較分散，各功能模塊耦合度雖然較低但在實際業(yè)務(wù)運作上存在諸多不便。該程序?qū)⒏鞴δ苣K進(jìn)行集中統(tǒng)一管理，解決現(xiàn)存程序管理模式較分散的問題，實現(xiàn)業(yè)務(wù)運作后臺統(tǒng)一辦理。

升級改造后的海委門戶網(wǎng)站動態(tài)交互支撐程序是為海委門戶網(wǎng)站交互類欄目開發(fā)適配基于IPv4和IPv6 雙棧協(xié)議的網(wǎng)絡(luò)環(huán)境，同時適配國產(chǎn)終端的支撐平臺。其面向公眾的在線服務(wù)業(yè)務(wù)可以通過采用IPv6 的網(wǎng)絡(luò)設(shè)備進(jìn)行訪問，動態(tài)交互支撐程序后臺管理端能夠達(dá)到“維護(hù)過程簡單、快捷，應(yīng)用管理統(tǒng)一”的效果，從而變相提升工作效率，提高網(wǎng)站對外政務(wù)服務(wù)效率。同時，相對提升海委門戶網(wǎng)站對外政務(wù)服務(wù)功能的安全性，保證海委門戶網(wǎng)站政務(wù)服務(wù)功能運行的穩(wěn)定性。其具體性能指標(biāo)如下：頁面加載速度≤5 s；后臺交互加載速度≤3 s；動態(tài)交互系統(tǒng)管理后臺具備可拓展性；系統(tǒng)管理后臺7×24 h穩(wěn)定運行。

3.3 系統(tǒng)集成

3.3.1 系統(tǒng)功能與數(shù)據(jù)存儲集成

針對現(xiàn)有海委門戶網(wǎng)站的系統(tǒng)功能與數(shù)據(jù)存儲情況，集成工作主要包括以下方面。

（1）主站支撐程序集約化管理。對主站支撐程序進(jìn)行集約化管理。對海委門戶網(wǎng)站及下屬4個局的站點采用主站支撐程序進(jìn)行集中管理。

（2）主站支撐程序與動態(tài)交互支撐程序進(jìn)行低耦合集成。動態(tài)交互支撐程序采用接口的方式提供服務(wù)，采用網(wǎng)站發(fā)布靜態(tài)頁面通過AJAX 方式訪問動態(tài)交互支撐程序的接口，獲取數(shù)據(jù)并展示在網(wǎng)站上，實現(xiàn)主站支撐程序發(fā)布頁面、動態(tài)交互支撐程序提供數(shù)據(jù)服務(wù)接口的集成模式。

（3）主站支撐程序與動態(tài)交互支撐程序數(shù)據(jù)存儲源集成。目前，主站支撐程序與動態(tài)交互支撐程序數(shù)據(jù)存儲分為兩個數(shù)據(jù)庫，本項目對目前網(wǎng)站所產(chǎn)生的數(shù)據(jù)進(jìn)行整合與遷移，將目前主站支撐程序與動態(tài)交互支撐程序遷移至統(tǒng)一數(shù)據(jù)庫中進(jìn)行管理。針對程序?qū)用娌捎貌煌瑢嵗M(jìn)行訪問，保證數(shù)據(jù)安全。

3.3.2 集成部署與調(diào)試

根據(jù)海委信息化建設(shè)和管理要求，海委網(wǎng)站采取DMZ 區(qū)和業(yè)務(wù)應(yīng)用區(qū)分區(qū)部署。其中，網(wǎng)站后臺和數(shù)據(jù)庫部署在業(yè)務(wù)應(yīng)用區(qū)，網(wǎng)站靜態(tài)頁面部署在DMZ 區(qū)。區(qū)域服務(wù)器之間，采用接口轉(zhuǎn)發(fā)程序進(jìn)行數(shù)據(jù)傳輸。后臺服務(wù)器通過單向SFTP 文件傳輸模式進(jìn)行靜態(tài)頁面?zhèn)鬏?。該方案充分考慮網(wǎng)站運行的可控性和網(wǎng)絡(luò)安全防御能力。

4 解決的具體問題

4.1 對海委門戶網(wǎng)站應(yīng)用程序進(jìn)行適配IPv6 網(wǎng)絡(luò)環(huán)境改造

針對海委門戶網(wǎng)站主站支撐程序及動態(tài)交互支撐程序進(jìn)行IPv6 改造，同時針對海委門戶網(wǎng)站進(jìn)行功能性升級。按照國家IPv6 有關(guān)要求和安全等級保護(hù)2.0的要求，結(jié)合海委門戶網(wǎng)站運行過程中產(chǎn)生的相關(guān)需求等實際情況，對網(wǎng)站發(fā)布程序、動態(tài)交互程序、中間件、數(shù)據(jù)庫等軟件或應(yīng)用程序進(jìn)行IPv6網(wǎng)絡(luò)改造、應(yīng)用軟件安全升級和功能性提升。改造海委政務(wù)門戶運行所涉及的全部應(yīng)用程序使其適配基于IPv4 和IPv6 雙棧協(xié)議的網(wǎng)絡(luò)環(huán)境并穩(wěn)定運行，達(dá)到提升海委門戶網(wǎng)站功能的目的。

4.2 改造升級了后臺信息發(fā)布系統(tǒng)功能模塊

4.2.1 執(zhí)行多站點管理

為了更方便地進(jìn)行信息交流和共享、資源統(tǒng)一管理，TRS WCM 的多個站點管理模式解決了各子網(wǎng)站的信息發(fā)布問題，多個站點可以獨立管理，擁有自己的模板、頻道、用戶，支持不同的站點向不同的目標(biāo)Web 服務(wù)器分發(fā)，不同的站點可以按照自己的計劃進(jìn)行發(fā)布，支持虛擬主機(jī)方式的內(nèi)容分發(fā)。

4.2.2 多級欄目（頻道）管理

系統(tǒng)采用樹型結(jié)構(gòu)分級組織頻道，這樣的組織方便管理，也可以清晰地表現(xiàn)每個頻道的所在層次。

頻道分普通頻道、頭條信息資源、圖片信息資源、鏈接頻道等5種類型，不同類型的頻道所執(zhí)行操作也不同，其應(yīng)用特點亦不同。

4.2.3 可視化內(nèi)容采編

通過所見即所得的方式編輯文檔的正文，并可自動生成HTML 格式文檔；通過站點和頻道文檔管理頁面可以管理文檔列表，同時支持?jǐn)U展字段，可以利用擴(kuò)展字段支持系統(tǒng)中沒有提供的字段或者文檔屬性。

4.2.4 內(nèi)容發(fā)布管理

系統(tǒng)中的內(nèi)容可以被指定在特定的時間內(nèi)發(fā)布，可以通過系統(tǒng)的時間調(diào)度實現(xiàn)在指定的時間內(nèi)發(fā)布數(shù)據(jù)。

系統(tǒng)提供發(fā)布前預(yù)覽功能，無論是圖文混排的文檔，還是嵌入流媒體、相關(guān)文章、多附件的復(fù)合文檔，都可以在正式發(fā)送到Web 服務(wù)器以前，預(yù)先瀏覽發(fā)布后的效果，可以準(zhǔn)確感知真實的效果。系統(tǒng)提供站點預(yù)覽、頻道預(yù)覽以及頁面預(yù)覽多種功能。

4.2.5 權(quán)限管理

權(quán)限管理的使用對象為各級系統(tǒng)管理員，實現(xiàn)對網(wǎng)站各級各類用戶進(jìn)行管理，分配其使用權(quán)限，管理后臺功能及其他系統(tǒng)級身份安全設(shè)置。同時，能夠按照組織機(jī)構(gòu)進(jìn)行分級權(quán)限管理，能夠?qū)τ脩暨M(jìn)行明晰的矩陣式權(quán)限管理。

4.3 更新改造了動態(tài)交互支撐程序

動態(tài)交互支撐程序采用Java 相關(guān)技術(shù)進(jìn)行開發(fā)，對在線訪談、依申請公開、行政許可公示、公眾咨詢等模塊進(jìn)行改造升級，同時針對整體程序功能進(jìn)行設(shè)計規(guī)劃，將各功能模塊進(jìn)行集中統(tǒng)一管理，解決了現(xiàn)存程序管理模式較分散的問題，實現(xiàn)業(yè)務(wù)運作后臺統(tǒng)一辦理。

4.4 對相關(guān)應(yīng)用程序適配國產(chǎn)化環(huán)境

國產(chǎn)化環(huán)境涉及從中央處理器CPU、操作系統(tǒng)、數(shù)據(jù)庫、中間件、安全產(chǎn)品、服務(wù)器到計算機(jī)終端、打印機(jī)等諸多產(chǎn)品。國產(chǎn)化替代升級是一個規(guī)模龐大的系統(tǒng)性工程，能夠形成穩(wěn)定的可復(fù)制、可推廣的環(huán)境，是不斷推進(jìn)國產(chǎn)化替代的一個重要前提。在環(huán)境構(gòu)建的過程中，技術(shù)路線選擇是最為核心的環(huán)節(jié)。該環(huán)節(jié)涉及國產(chǎn)化的桌面計算機(jī)技術(shù)對Windows 操作系統(tǒng)以及Intel 架構(gòu)和CPU 體系的整體替代。推廣應(yīng)用國產(chǎn)化環(huán)境，有助于我國網(wǎng)絡(luò)安全與信息化逐步實現(xiàn)獨立自主、安全可信的目標(biāo)。

5 結(jié)論

海委門戶網(wǎng)站IPv6 改造與國產(chǎn)化應(yīng)用技術(shù)采用SOA 可擴(kuò)展系統(tǒng)路線和J2EE B/S 多層分布式應(yīng)用體系架構(gòu)，通過IPv6 技術(shù)應(yīng)用，達(dá)到了國家對政府外網(wǎng)網(wǎng)站系統(tǒng)全面支持IPv6 的要求，豐富了政務(wù)門戶網(wǎng)站IPv6 應(yīng)用管理經(jīng)驗，改善了水利行業(yè)門戶網(wǎng)站IPv6 升級改造經(jīng)驗不足的問題。改造后，所有IPv4和IPv6終端用戶均可通過“www.hwcc.gov.cn”正常訪問海委門戶網(wǎng)站。IPv4 與IPv6 雙棧技術(shù)的應(yīng)用，提升了用戶的包容性和訪問的便利度。同時，該應(yīng)用支持國產(chǎn)化設(shè)備，產(chǎn)品可適配信創(chuàng)相關(guān)的基礎(chǔ)硬件環(huán)境，包括主流的芯片、操作系統(tǒng)、數(shù)據(jù)庫、中間件和瀏覽器等。IPv6 提供更多的IP 地址，能夠充分滿足移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)對地址的需求，可從根本上解決IP 地址短缺問題，國產(chǎn)化設(shè)備改造應(yīng)用也將從本質(zhì)上解決網(wǎng)站后臺的安全問題。