北京中水科水電科技開發(fā)有限公司 滿運(yùn)濤 劉德龍

2014年2月中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，習(xí)總書記親自擔(dān)任組長，標(biāo)志著網(wǎng)絡(luò)安全和信息化已上升為國家戰(zhàn)略。2018年7月13日習(xí)總書記在中央財(cái)經(jīng)委員會(huì)第二次會(huì)議強(qiáng)調(diào)，關(guān)鍵核心技術(shù)是國之重器，對推動(dòng)我國經(jīng)濟(jì)高質(zhì)量發(fā)展、保障國家安全都具有十分重要的意義，必須切實(shí)提高我國關(guān)鍵核心技術(shù)創(chuàng)新能力，把科技發(fā)展主動(dòng)權(quán)牢牢掌握在自己手里，為我國發(fā)展提供有力科技保障。

中國自主可控國產(chǎn)化的路徑即是歷史的必然，保衛(wèi)信息安全刻不容緩。2013年斯諾登曝光美國“棱鏡計(jì)劃”，美國政府可隨意調(diào)取科技IT 界八大巨頭數(shù)據(jù)，監(jiān)控全球信息。貿(mào)易摩擦中，美國利用國內(nèi)法律法規(guī)對華為等中國科技公司供應(yīng)鏈的隨意限制，顯示了科技霸權(quán)主義的威脅，以及國際科技跨國公司并不能擺脫本國政府的控制。發(fā)展底層國產(chǎn)自主可控芯片與基礎(chǔ)軟硬件，是保衛(wèi)中國信息安全和產(chǎn)業(yè)安全的根本保障。隨著全社會(huì)由IT 時(shí)代步入DT時(shí)代，大數(shù)據(jù)驅(qū)動(dòng)人工智能成為各行各業(yè)的發(fā)展動(dòng)力，保衛(wèi)自主信息安全刻不容緩。

1 國產(chǎn)化替代的現(xiàn)狀及必要性

1.1 建設(shè)內(nèi)容

水利規(guī)劃計(jì)劃管理系統(tǒng)是水利項(xiàng)目及統(tǒng)計(jì)管理系統(tǒng)子系統(tǒng)之一，主要是為全國水利規(guī)劃工作提供信息化支撐。系統(tǒng)功能主要針對水利規(guī)劃計(jì)劃管理工作各方面的業(yè)務(wù)需求，包括水利規(guī)劃管理、前期工作管理、投資計(jì)劃管理、綜合統(tǒng)計(jì)管理、水利改革管理等。用戶包括水利部規(guī)計(jì)司、水利部其他相關(guān)司局、水利部直屬單位、各流域機(jī)構(gòu)、各省級水行政主管部門。

水利規(guī)劃計(jì)劃管理系統(tǒng)建設(shè)過程中安全保密問題至關(guān)重要，按照中央提出重要信息系統(tǒng)要全面實(shí)現(xiàn)國產(chǎn)化代替的新要求，完成系統(tǒng)適配遷移工作。在確保系統(tǒng)連續(xù)、穩(wěn)定運(yùn)行以及數(shù)據(jù)的完整性、安全性、準(zhǔn)確性的前提下，逐步完成對系統(tǒng)的安全可靠適配和遷移，包括操作系統(tǒng)適配、數(shù)據(jù)庫適配、中間件適配、系統(tǒng)功能適配、瀏覽器適配、操作系統(tǒng)遷移、數(shù)據(jù)庫系統(tǒng)遷移、數(shù)據(jù)遷移、應(yīng)用遷移和驗(yàn)證測試等。把現(xiàn)有系統(tǒng)數(shù)據(jù)遷移到國產(chǎn)化平臺(tái)。

1.2 國產(chǎn)化替代的技術(shù)基礎(chǔ)

我國面臨的安全挑戰(zhàn)仍然嚴(yán)峻，而根源就是核心技術(shù)、系統(tǒng)和設(shè)備沒有實(shí)現(xiàn)“自主可控”，仍然受制于人。面對其他國家的技術(shù)封禁并非無路可走，國產(chǎn)化替代就是最佳辦法。而且并非沒有這個(gè)實(shí)力，北斗衛(wèi)星導(dǎo)航系統(tǒng)的成功就是最好的證明。北斗衛(wèi)星導(dǎo)航系統(tǒng)是我國自主研制的、繼美國GPS、俄羅斯GLONASS 之后第三個(gè)成熟的全球衛(wèi)星導(dǎo)航系統(tǒng)，也是聯(lián)合國衛(wèi)星導(dǎo)航委員會(huì)認(rèn)定的供應(yīng)系統(tǒng)之一。從覆蓋范圍來看北斗衛(wèi)星導(dǎo)航系統(tǒng)已能與其它全球衛(wèi)星導(dǎo)航系統(tǒng)平起平坐了，它代表了我國追求自主可控的堅(jiān)韌和決心[1]。

1.3 國產(chǎn)化技術(shù)現(xiàn)狀

同行間在良性競爭的同時(shí)也需要深度合作、達(dá)成雙贏，避免出現(xiàn)惡性競爭，給行業(yè)圈造成混亂和損害。而在涉足多個(gè)領(lǐng)域方面，WPS 的產(chǎn)品鏈就十分值得借鑒。小巧精致的外表擁有多個(gè)拓展產(chǎn)品：云服務(wù)、金服、H5、稻殼搜搜、詞霸等，同時(shí)擁有云辦公的WPS 企業(yè)版。相對應(yīng)的，操作系統(tǒng)也可細(xì)分到企業(yè)辦公、服務(wù)器、嵌入式等專業(yè)領(lǐng)域版本堆砌而成的生態(tài)圈子，各種各樣的產(chǎn)品因應(yīng)不同需求給予用戶選擇，化繁為簡，統(tǒng)一而精致。

1.4 軟件國產(chǎn)化的意義

中央國家機(jī)關(guān)集中采購軟件項(xiàng)目是由中央國家機(jī)關(guān)政府采購中心組織的協(xié)議采購項(xiàng)目，是中國政府采購領(lǐng)域級別最高、覆蓋面最廣的采購項(xiàng)目之一。在多年前的政府采購中，賽門鐵克、卡巴斯基等國外安全軟件都榜上有名，但后來的政府采購名單中國外安全軟件廠商幾乎全軍覆沒。在幾年前中央國家機(jī)關(guān)政府采購中心公布的殺毒軟件類產(chǎn)品采購名單中，360、金山、冠群金辰、江民科技和瑞星5個(gè)國產(chǎn)品牌入選，而國外安全軟件企業(yè)賽門鐵克和卡巴斯基則“名落孫山”[2]。

全球各個(gè)國家已將信息安全建設(shè)投入上升為國家安全軍備競爭，中國對信息安全保障的重視程度也達(dá)到前所未有的高度，于2013年11月12日成立國家安全委員會(huì)。于此同時(shí)中國企業(yè)界也發(fā)動(dòng)了“去IOE”(IBM 是服務(wù)器提供商，Oracle 是數(shù)據(jù)庫軟件提供商，EMC 則是存儲(chǔ)設(shè)備提供商)運(yùn)動(dòng)。

1.5 國產(chǎn)化技術(shù)現(xiàn)狀

賽迪電子信息產(chǎn)業(yè)研究中心調(diào)查數(shù)據(jù)顯示：在提示“棱鏡門”事件對行業(yè)用戶信息安全影響的調(diào)查中，發(fā)現(xiàn)行業(yè)用戶安全意識(shí)明顯提高，76.0%的用戶認(rèn)為在使用國外殺毒軟件產(chǎn)品時(shí)存在安全隱患，57.5%的用戶認(rèn)為選擇國產(chǎn)殺毒軟件產(chǎn)品非常必要。另一方面，近年來愈來愈多的行業(yè)用戶對一些國產(chǎn)品牌的信任度正在不斷的增強(qiáng)。之前在國內(nèi)政府機(jī)構(gòu)、大型行業(yè)和大型企業(yè)等使用的付費(fèi)安全軟件中，賽門鐵克、卡巴斯基等國外企業(yè)占據(jù)了接近70%的市場份額，而在“棱鏡門”事件后，選擇360、瑞星、江民、啟明星辰等國產(chǎn)企業(yè)安全產(chǎn)品的政府和大企業(yè)迅速增加[3]。安全重于泰山，時(shí)下中國采購決策正發(fā)生一些方向性的變化，中國政府已經(jīng)要求在網(wǎng)絡(luò)設(shè)備、服務(wù)器、操作系統(tǒng)、存儲(chǔ)系統(tǒng)等領(lǐng)域盡量使用國產(chǎn)品牌。

2 系統(tǒng)遷移和部署

原有業(yè)務(wù)系統(tǒng)遷移至自主可控環(huán)境，應(yīng)遵循頂層統(tǒng)籌規(guī)劃、優(yōu)先適配驗(yàn)證、確保業(yè)務(wù)完整、保證數(shù)據(jù)一致等原則，重保核心業(yè)務(wù)，合法、合規(guī)完成系統(tǒng)遷移部署。系統(tǒng)遷移前明確信息化現(xiàn)狀和替代需求，完成業(yè)務(wù)優(yōu)化重組，完成信息資源規(guī)劃和數(shù)據(jù)庫的設(shè)計(jì)，完成應(yīng)用架構(gòu)的重構(gòu)，完成基礎(chǔ)設(shè)施方案設(shè)計(jì)，形成成熟可行的業(yè)務(wù)架構(gòu)、技術(shù)架構(gòu)、數(shù)據(jù)架構(gòu)、網(wǎng)絡(luò)架構(gòu)、遷移計(jì)劃、職責(zé)分工和風(fēng)險(xiǎn)應(yīng)對措施，在日常政務(wù)活動(dòng)及業(yè)務(wù)開展基本不受影響的前提下穩(wěn)步完成替代遷移工作。在遷移前優(yōu)先進(jìn)行適配驗(yàn)證工作，將問題暴露在遷移之前，及時(shí)對可能的風(fēng)險(xiǎn)進(jìn)行定位、分析、攻克，同時(shí)優(yōu)化系統(tǒng)瓶頸，減少不必要的干擾因素，穩(wěn)步科學(xué)遷移。遷移過程由業(yè)務(wù)部門主導(dǎo)，確保遷移完成后業(yè)務(wù)功能完整、業(yè)務(wù)性能穩(wěn)定[4]。

系統(tǒng)遷移和部署流程如下：搭建測試環(huán)境（準(zhǔn)備中間件、數(shù)據(jù)庫、瀏覽器等相關(guān)軟件，確定軟件版本）-遷移系統(tǒng)原碼（配置負(fù)載均衡、修改代碼）-單點(diǎn)集成-增加用戶同步功能-更新到正式環(huán)境。

2.1 替代遷移實(shí)施方案

規(guī)劃階段。理清替代遷移范圍、設(shè)定替代遷移目標(biāo)，評估自主可控的基礎(chǔ)環(huán)境，分析系統(tǒng)關(guān)聯(lián)性，分析替代遷移風(fēng)險(xiǎn)，制定相對完善的遷移策略；設(shè)計(jì)階段。根據(jù)遷移策略制定遷移實(shí)施方案，包括基礎(chǔ)環(huán)境勘察、制定備份方案、準(zhǔn)備遷移工具、確定割接方案，針對風(fēng)險(xiǎn)分析結(jié)果制定風(fēng)險(xiǎn)應(yīng)對計(jì)劃，準(zhǔn)備遷移技術(shù)方案，包括物理機(jī)至虛機(jī)遷移技術(shù)、虛機(jī)至虛機(jī)遷移技術(shù)、人工部署技術(shù)等。

實(shí)施階段。根據(jù)設(shè)計(jì)的遷移實(shí)施方案準(zhǔn)備遷移環(huán)境；對應(yīng)用系統(tǒng)、安全產(chǎn)品等軟硬件設(shè)備進(jìn)行適配驗(yàn)證測試，確定自主可控技術(shù)環(huán)境下的兼容性測試、功能摸底、性能瓶頸分析、故障定位、干擾因素判斷等；選取輕量級業(yè)務(wù)系統(tǒng)或局部核心業(yè)務(wù)系統(tǒng)進(jìn)行遷移演練，全面驗(yàn)證演練結(jié)果；遷移完成后，面向服務(wù)器和計(jì)算機(jī)設(shè)備，操作系統(tǒng)、數(shù)據(jù)庫、中間件等基礎(chǔ)軟件以及業(yè)務(wù)軟件進(jìn)行性能、穩(wěn)定性、兼容性、易用性等方面的測試優(yōu)化。

運(yùn)行階段。保持遷移后對系統(tǒng)進(jìn)行狀態(tài)監(jiān)控，進(jìn)行各級災(zāi)備建設(shè)，建立或完善應(yīng)急預(yù)案，為系統(tǒng)的持續(xù)良好運(yùn)行提供保障；為替代遷移后的新系統(tǒng)提供運(yùn)維集成、配置管理、智能運(yùn)維、統(tǒng)一監(jiān)管等方面的運(yùn)行維護(hù)工作。

2.2 系統(tǒng)適配

操作系統(tǒng)適配。目前環(huán)境下的規(guī)計(jì)系統(tǒng)服務(wù)器操作系統(tǒng)采用銀河麒麟操作系統(tǒng)（替代原Windows操作系統(tǒng)）。銀河麒麟（Kylin）操作系統(tǒng)具有高安全、高可靠、高可用、跨平臺(tái)、中文化（具有強(qiáng)大的中文處理能力）的特點(diǎn)，且銀河麒麟系統(tǒng)兼容Linux系統(tǒng)，所以從性能上將比Windows 有所提高。系統(tǒng)基于Windows 操作系統(tǒng)特性研發(fā)，需針對國產(chǎn)操作系統(tǒng)進(jìn)行適配。國產(chǎn)操作系統(tǒng)一般基于Linux內(nèi)核開發(fā)，硬件平臺(tái)一般基于x86（或兼容x86）、ARM、Alpha 等。

數(shù)據(jù)庫適配。目前環(huán)境下的規(guī)計(jì)系統(tǒng)后臺(tái)采用的數(shù)據(jù)庫為達(dá)夢數(shù)據(jù)庫（替代原oracle 數(shù)據(jù)庫），是達(dá)夢公司推出的具有完全自主知識(shí)產(chǎn)權(quán)的高性能數(shù)據(jù)庫管理系統(tǒng)，具有高可用性、高性能、高安全性、高易用性，能夠滿足大、中型企業(yè)以及金融、電信等核心業(yè)務(wù)系統(tǒng)的需要。同時(shí)DM8融合了分布式、彈性計(jì)算與云計(jì)算的優(yōu)勢，對靈活性、易用性、可靠性、高安全性等方面進(jìn)行了大規(guī)模改進(jìn)，多樣化架構(gòu)充分滿足不同場景需求，支持超大規(guī)模并發(fā)事務(wù)處理和事務(wù)—分析混合型業(yè)務(wù)處理，動(dòng)態(tài)分配計(jì)算資源，實(shí)現(xiàn)更精細(xì)化的資源利用，更低成本的投入，是理想的企業(yè)級數(shù)據(jù)管理與分析服務(wù)平臺(tái)。

中間件適配。目前環(huán)境下的規(guī)計(jì)系統(tǒng)涉及的中間件主要包括HTTP 服務(wù)器、應(yīng)用服務(wù)中間件等。HTTP 服務(wù)器使用的是開源的Nginx，應(yīng)用服務(wù)中間件采用中創(chuàng)商用中間件（InforSuite）來作為啟動(dòng)項(xiàng)目的Web 應(yīng)用服務(wù)器。系統(tǒng)使用了InforSuite的部分高級功能，如數(shù)據(jù)庫連接池、EJB、部署計(jì)劃等；瀏覽器適配。目前環(huán)境下的規(guī)計(jì)系統(tǒng)采用的瀏覽器為奇安信瀏覽器（替代原IE 瀏覽器），是一款面向管理者、使用者、開發(fā)者、運(yùn)維人員推出的安全、可信、全平臺(tái)、支持集中管理的自主品牌瀏覽器。正常使用瀏覽器的過程中對瀏覽器的配置過程無感知，可正常使用業(yè)務(wù)系統(tǒng)，大大提高業(yè)務(wù)的使用體驗(yàn)和員工的工作效率。

2.3 遷移部署

為確保線上系統(tǒng)穩(wěn)定連續(xù)的為業(yè)務(wù)工作提供支撐，系統(tǒng)遷移采用逐步遷移的方式：操作系統(tǒng)遷移。在新的國產(chǎn)操作系統(tǒng)上部署應(yīng)用系統(tǒng)運(yùn)行環(huán)境，包括JDK 等，編寫對應(yīng)的運(yùn)維腳本；數(shù)據(jù)庫系統(tǒng)遷移。在操作系統(tǒng)中安裝新的國產(chǎn)數(shù)據(jù)庫系統(tǒng)，并按系統(tǒng)要求進(jìn)行數(shù)據(jù)庫配置，包括用戶創(chuàng)建、授權(quán)、數(shù)據(jù)表空間或Schema 創(chuàng)建。最后在數(shù)據(jù)庫系統(tǒng)中創(chuàng)建系統(tǒng)所需的數(shù)據(jù)表、視圖、存儲(chǔ)過程、函數(shù)等；中間件遷移。在新的國產(chǎn)操作系統(tǒng)上部署基于開源的可控中間件（如中創(chuàng)中間件），調(diào)試設(shè)置相關(guān)配置參數(shù)；應(yīng)用遷移。將系統(tǒng)應(yīng)用部署到服務(wù)中間件中，調(diào)試設(shè)置相關(guān)運(yùn)行參數(shù)，使系統(tǒng)能滿足相關(guān)性能要求；數(shù)據(jù)遷移。將舊數(shù)據(jù)庫中的數(shù)據(jù)統(tǒng)一遷移至新數(shù)據(jù)庫系統(tǒng)。由于數(shù)據(jù)庫系統(tǒng)不同，無法使用數(shù)據(jù)庫自帶的工具進(jìn)行數(shù)據(jù)遷移，需結(jié)合使用第三方工具和定制開發(fā)相關(guān)工具進(jìn)行數(shù)據(jù)庫遷移。遷移完成后，保障核心業(yè)務(wù)數(shù)據(jù)及其他相關(guān)數(shù)據(jù)的連續(xù)性、完整性以及一致性。系統(tǒng)內(nèi)部，系統(tǒng)與系統(tǒng)之間的數(shù)據(jù)平滑銜接，同時(shí)保留歷時(shí)數(shù)據(jù)。

3 結(jié)語

在這個(gè)挑戰(zhàn)與機(jī)遇并存、充滿各種不確定性的時(shí)代中，“國產(chǎn)化替代”和“自主可控”肩負(fù)著極其重要的歷史使命。水利規(guī)劃計(jì)劃管理系統(tǒng)適配遷移工作的完成，把現(xiàn)有系統(tǒng)數(shù)據(jù)遷移到國產(chǎn)化平臺(tái)。從保障信息安全的角度來看，由操作系統(tǒng)、數(shù)據(jù)庫、中間件等共同組成的基礎(chǔ)軟件必須采用具備自主知識(shí)產(chǎn)權(quán)的產(chǎn)品與技術(shù)，才能確保信息系統(tǒng)的自主可控性。國產(chǎn)化替代和自主可控的進(jìn)程是漫長且艱巨的，但必須堅(jiān)持這么做。只有建立一個(gè)涵蓋信息安全方方面面的立體防護(hù)體系，實(shí)現(xiàn)整體的IT 系統(tǒng)自主可控，才能真正保障國家信息安全。