王斌

摘要：在國(guó)家“十三五”計(jì)劃背景下，推動(dòng)基于互聯(lián)網(wǎng)的公共服務(wù)模式創(chuàng)新，推進(jìn)基于云計(jì)算的信息服務(wù)公共平臺(tái)建設(shè)，增強(qiáng)公共產(chǎn)品供給能力，逐步實(shí)現(xiàn)政務(wù)服務(wù)一網(wǎng)通辦和一網(wǎng)統(tǒng)管。政務(wù)云平臺(tái)已成為各數(shù)字政府的重點(diǎn)建設(shè)項(xiàng)目，本文對(duì)大型政務(wù)云平臺(tái)的架構(gòu)體系進(jìn)行了研究，闡述了政務(wù)云平臺(tái)技術(shù)、網(wǎng)絡(luò)和安全的發(fā)展路線。

關(guān)鍵詞：云計(jì)算;政務(wù)服務(wù);體系架構(gòu)

一、背景

以加強(qiáng)互聯(lián)網(wǎng)政務(wù)信息數(shù)據(jù)服務(wù)平臺(tái)和便民服務(wù)平臺(tái)建設(shè)為契機(jī)，以提高現(xiàn)有電子政務(wù)基礎(chǔ)設(shè)施利用效率，促進(jìn)電子政務(wù)集約化發(fā)展為主要目的，參照《關(guān)于印發(fā)政務(wù)信息資源共享管理暫行辦法的通知》、《關(guān)于印發(fā)“十三五”國(guó)家信息化規(guī)劃的通知》等相關(guān)要求，各級(jí)政府計(jì)劃啟動(dòng)政務(wù)云平臺(tái)的建設(shè)。

按照政府系統(tǒng)信息交互、資源共享、業(yè)務(wù)協(xié)同、資源復(fù)用、節(jié)能環(huán)保等要求，采用云計(jì)算等先進(jìn)信息技術(shù)，對(duì)數(shù)據(jù)中心進(jìn)行總體規(guī)劃，實(shí)現(xiàn)統(tǒng)一建設(shè)標(biāo)準(zhǔn)、統(tǒng)一基礎(chǔ)平臺(tái)、統(tǒng)一安全防護(hù)、統(tǒng)一運(yùn)行管理，為創(chuàng)新社會(huì)管理模式，建設(shè)服務(wù)型政府提供支撐和保障。

二、政務(wù)云平臺(tái)架構(gòu)設(shè)計(jì)

國(guó)家高度重視以云計(jì)算為代表的新一代信息產(chǎn)業(yè)發(fā)展，發(fā)布了《關(guān)于促進(jìn)云計(jì)算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見(jiàn)》等政策措施。在政府積極引導(dǎo)和企業(yè)戰(zhàn)略布局等推動(dòng)下，經(jīng)過(guò)社會(huì)各界共同努力，云計(jì)算已逐漸被市場(chǎng)認(rèn)可和接受。云計(jì)算引發(fā)了軟件開(kāi)發(fā)部署模式的創(chuàng)新，成為承載數(shù)字政府的關(guān)鍵基礎(chǔ)設(shè)施，并為大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新興領(lǐng)域的發(fā)展提供基礎(chǔ)支撐，推動(dòng)網(wǎng)絡(luò)強(qiáng)國(guó)、數(shù)字中國(guó)、智能社會(huì)戰(zhàn)略的關(guān)鍵基礎(chǔ)設(shè)施。

2.1主流云平臺(tái)技術(shù)路線

1.傳統(tǒng)路線：虛擬機(jī)

這是已經(jīng)被廣泛應(yīng)用的技術(shù)路線，從AWS到國(guó)內(nèi)的阿里云，使用者得到的最小單位是虛擬機(jī)，需要追加和擴(kuò)展的資源實(shí)際上是整個(gè)虛擬機(jī)的資源。但每一個(gè)虛擬機(jī)資源都受到物理機(jī)最大資源的限制。

2.輕量級(jí)路線：容器云

隨著Docker的出現(xiàn)，容器云開(kāi)始出現(xiàn)，容器云是以應(yīng)用可以簡(jiǎn)單理解為一個(gè)或一組程序。在容器云上以應(yīng)用為最基本單位進(jìn)行資源（CPU、內(nèi)存、硬盤）的分配，相對(duì)于虛擬機(jī)云，容器云資源分割粒度進(jìn)一步精細(xì)化。

3.中間線路：容器+mini kernel

這條線路是容器中之間不再共享內(nèi)核，而是為每一個(gè)容器提供一個(gè)獨(dú)立的內(nèi)核。Intel推出的clear Linux項(xiàng)目，就是這種線路的代表。中間路線是前面兩條路線的融合，未來(lái)容器云路線極有可能向此條路線發(fā)展。

三條技術(shù)路線，代表著三個(gè)時(shí)代，虛擬機(jī)路線是最早出現(xiàn)且成熟的，因?yàn)樗狭思夹g(shù)人員的使用習(xí)慣，方便過(guò)渡。容器云是目前發(fā)展最快的路線，因?yàn)樗奄Y源分割粒度做到最小，且使用傳統(tǒng)的運(yùn)維工作提升效率。未來(lái)有可能是容器+mini kernel路線的天下，更高、更便捷、更安全，永遠(yuǎn)是追求的目標(biāo)。國(guó)內(nèi)政務(wù)云正處于第一路線向第二路線過(guò)渡的過(guò)程，與公有云不通，安全、穩(wěn)定是政務(wù)云更看重的特性。

2.2政務(wù)云平臺(tái)體系架構(gòu)

當(dāng)前政務(wù)系統(tǒng)內(nèi)常見(jiàn)的網(wǎng)絡(luò)接入類型有：互聯(lián)網(wǎng)、政務(wù)外網(wǎng)、業(yè)務(wù)專網(wǎng)等?；ヂ?lián)網(wǎng)適合部署公共服務(wù)類業(yè)務(wù)，為大眾提供訪問(wèn)服務(wù);政務(wù)外網(wǎng)適合政府內(nèi)部非涉密業(yè)務(wù)，國(guó)家、省、市、縣垂直互聯(lián);業(yè)務(wù)專網(wǎng)適合“十二金”等專用業(yè)務(wù)。按照《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》（GB50174-2008）B級(jí)標(biāo)準(zhǔn)建設(shè)數(shù)據(jù)中心機(jī)房、按照《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)建設(shè)政務(wù)云平臺(tái)。

政務(wù)云平臺(tái)基于網(wǎng)絡(luò)而建設(shè)，可以部署互聯(lián)網(wǎng)區(qū)、政務(wù)外網(wǎng)區(qū)、業(yè)務(wù)專網(wǎng)區(qū)，在某些特殊的需求下，比如要求機(jī)房和物理設(shè)備獨(dú)立部署的情況，云平臺(tái)也可以獨(dú)立部署。

無(wú)論基于哪種網(wǎng)絡(luò)，云平臺(tái)通用的網(wǎng)絡(luò)劃分大體相同，以基于政務(wù)外網(wǎng)云平臺(tái)為例，包含如下區(qū)域

1.邊界接入?yún)^(qū)

通過(guò)雙鏈路上聯(lián)至政務(wù)外網(wǎng)實(shí)現(xiàn)與各地市政務(wù)系統(tǒng)以及省直單位政務(wù)系統(tǒng)的數(shù)據(jù)交互。通過(guò)雙鏈路上聯(lián)政務(wù)外網(wǎng)和業(yè)務(wù)專網(wǎng)，政務(wù)云訪問(wèn)互聯(lián)網(wǎng)提供統(tǒng)一出口，提供互聯(lián)網(wǎng)業(yè)務(wù)訪問(wèn)能力。

2.安全訪問(wèn)控制區(qū)

部署與外網(wǎng)進(jìn)行數(shù)據(jù)交互的安全隔離設(shè)備，確保數(shù)據(jù)訪問(wèn)安全。在政務(wù)外網(wǎng)出口部署等級(jí)保護(hù)三級(jí)安全設(shè)備等確保進(jìn)入數(shù)據(jù)流量的安全性，之后數(shù)據(jù)流量進(jìn)入到核心交換區(qū)進(jìn)行轉(zhuǎn)發(fā)。

3.核心區(qū)

網(wǎng)絡(luò)核心區(qū)是整個(gè)網(wǎng)絡(luò)的流量匯集地，來(lái)自外部網(wǎng)絡(luò)以及服務(wù)器集群的流量全部要經(jīng)過(guò)網(wǎng)絡(luò)核心區(qū)。網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)連接核心交換機(jī)對(duì)網(wǎng)絡(luò)及數(shù)據(jù)庫(kù)流量做日志審計(jì)。部署安全隔離防火墻用于外網(wǎng)與專網(wǎng)數(shù)據(jù)交換。

4.門戶管理區(qū)

部署云管理平臺(tái)、網(wǎng)絡(luò)管理平臺(tái)、虛擬化管理平臺(tái)等管理服務(wù)器，通過(guò)對(duì)云管理平臺(tái)、網(wǎng)絡(luò)管理平臺(tái)、虛擬化管理平臺(tái)等軟件的部署，實(shí)現(xiàn)對(duì)底層資源的合理管控，保障業(yè)務(wù)運(yùn)行的可靠性、可用性，合理的分配資源，通過(guò)自動(dòng)化的運(yùn)維管理，提升運(yùn)維管理效率。

5.安全管理區(qū)

部署漏洞掃描系統(tǒng)、堡壘機(jī)、防病毒服務(wù)器、安全SOC管理平臺(tái)提供云平臺(tái)的安全管理服務(wù)。

6.業(yè)務(wù)區(qū)

將計(jì)算存儲(chǔ)節(jié)點(diǎn)和磁盤陣列組合在一起，作為云平臺(tái)的計(jì)算存儲(chǔ)一體化資源池。在資源池中，通過(guò)安裝虛擬化軟件，使計(jì)算資源能以云主機(jī)（虛擬機(jī)）的方式被不同的應(yīng)用和不同用戶使用。資源池按設(shè)備用途細(xì)分為計(jì)算存儲(chǔ)虛擬化資源池區(qū)、高性能物理服務(wù)器/數(shù)據(jù)備份區(qū)、托管服務(wù)器區(qū)以及門戶管理區(qū)和安全管理區(qū)。

三、政務(wù)云平臺(tái)安全架構(gòu)設(shè)計(jì)

政務(wù)云平臺(tái)需要滿足等保三級(jí)安全要求，從安全域的角度，可以分為安全計(jì)算域、安全管理域、安全網(wǎng)絡(luò)域和終端接入域。安全計(jì)算域是相同安全保護(hù)等級(jí)的物理主機(jī)/服務(wù)器的集合，安全網(wǎng)絡(luò)域是由通信網(wǎng)絡(luò)和接入網(wǎng)絡(luò)構(gòu)成。安全管理域是對(duì)整體云計(jì)算中安全事件收集與管控報(bào)警的系統(tǒng)平臺(tái)。終端接入域是安全生產(chǎn)監(jiān)管信息系統(tǒng)最終用戶的集合。各安全域之間通過(guò)邊界防護(hù)設(shè)備進(jìn)行相應(yīng)的隔離，在各安全域內(nèi)部，根據(jù)地理位置、功能和重要程度又劃分為不同的安全區(qū)域，各區(qū)域之間通過(guò)ACL進(jìn)行相應(yīng)的隔離。

四、結(jié)語(yǔ)

隨著“數(shù)字政府”進(jìn)程的大力推進(jìn)，政務(wù)云也逐漸從虛擬化向容器演進(jìn)，從基礎(chǔ)架構(gòu)向平臺(tái)服務(wù)演進(jìn)，云計(jì)算正成為大數(shù)據(jù)、物聯(lián)網(wǎng)、5G等創(chuàng)新業(yè)務(wù)的基礎(chǔ)平臺(tái)。

參考文獻(xiàn)

[1]GB50174-2008，電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范[S]，北京：中國(guó)計(jì)劃出版社，2008

[2]GB/T22239-2019，信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求[S]，公安部信息安全等級(jí)保護(hù)評(píng)估中心，2019