李凌

?

中小城市工業(yè)云的設(shè)計模式

李凌

（中國聯(lián)合網(wǎng)絡(luò)通信集團云數(shù)據(jù)公司陜西分公司，陜西西安 710075）

結(jié)合當(dāng)前我國中小城市信息化發(fā)展的現(xiàn)狀和特點，圍繞打造中小城市工業(yè)云這個重要議題，提出了工業(yè)云設(shè)計方面的最新模式，包括中小城市工業(yè)云的系統(tǒng)架構(gòu)、功能配備、服務(wù)能力、云安全等方面。闡述了中小城市工業(yè)云設(shè)計的基本原則、主要內(nèi)容、技術(shù)路徑、參考指標(biāo)和系統(tǒng)界面等，以供相關(guān)方面參考和借鑒。

城市；工業(yè)云；設(shè)計；研究

1 引言

當(dāng)今世界正在進入云數(shù)據(jù)時代，云計算和大數(shù)據(jù)正在改變著城市所有的工業(yè)生產(chǎn)和商業(yè)活動。工業(yè)云正是大數(shù)據(jù)時代，利用工業(yè)軟件和云計算的結(jié)合產(chǎn)生的一種專門服務(wù)于制造業(yè)的新型IT服務(wù)生態(tài)鏈系統(tǒng)，是城市現(xiàn)代化進程的必然趨勢和顯著標(biāo)志。

中小城市已成為中國經(jīng)濟社會發(fā)展的重要支撐，是我國行政區(qū)體系中重要的戰(zhàn)略節(jié)點，在改革發(fā)展中具有十分重要的地位和作用。目前我國中小城市數(shù)量眾多，幅員遼闊，聚集了龐大的人口、資源、產(chǎn)業(yè)、環(huán)境等發(fā)展要素，是我國工業(yè)產(chǎn)業(yè)的重要基礎(chǔ)力量。但中小城市普遍存在著信息化程度不高、云計算和大數(shù)據(jù)等普及應(yīng)用不夠、信息技術(shù)專業(yè)人才不足等問題。中小城市工業(yè)云的應(yīng)用和發(fā)展將大大促進工業(yè)化和信息化的深度融合，提升中小城市的工業(yè)企業(yè)尤其是中小微企業(yè)的市場競爭能力和創(chuàng)新能力，甚至催生出大量新的生產(chǎn)性服務(wù)業(yè)的產(chǎn)業(yè)業(yè)態(tài)，加速中小城市整個產(chǎn)業(yè)的升級轉(zhuǎn)型發(fā)展。

中小城市的工業(yè)云建設(shè)，其中最為重要的環(huán)節(jié)就是項目設(shè)計。本文旨在通過典型的工業(yè)云設(shè)計方案的描述，為中小城市工業(yè)云建設(shè)提供一個典型模式，供具體項目開展設(shè)計工作時提供參考。

2 云平臺系統(tǒng)架構(gòu)設(shè)計思路

2.1 整體思路

云計算是一種新型的計算資源利用模式。它將計算任務(wù)分布在大量計算機構(gòu)成的資源池上，使各種應(yīng)用系統(tǒng)能夠根據(jù)需要獲取計算力、存儲空間和信息服務(wù)。按照服務(wù)實現(xiàn)的程度，目前云計算主要有IaaS、PaaS、SaaS 3種業(yè)務(wù)模式。

工業(yè)云平臺管理系統(tǒng)需要以面向工業(yè)服務(wù)為思想，運用云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等信息技術(shù)，對政府資源、工業(yè)廠礦資源、金融資本、人才智庫、大眾創(chuàng)新進行深度整合，實現(xiàn)不同硬件平臺虛擬化系統(tǒng)的統(tǒng)一調(diào)用、管理、監(jiān)控界面；需要根據(jù)業(yè)務(wù)目標(biāo)進行符合自身特點的云服務(wù)支撐管理平臺建設(shè)；需要提供圖形化的工作界面，使用戶更好地使用云中的動態(tài)資源池，使管理方更好地管理動態(tài)資源，以實現(xiàn)業(yè)務(wù)的快速開通。

中小城市工業(yè)云平臺建設(shè)是一項復(fù)雜的系統(tǒng)工程，其實施和應(yīng)用也是一個漸進的、分步的過程。一般而言，首先實現(xiàn)IaaS服務(wù)，并提供PaaS層接口及對第三方控件、模塊的支持，后續(xù)工程根據(jù)應(yīng)用的實際需求與第三方合作，完善云平臺PaaS層、SaaS層服務(wù)功能，逐步實現(xiàn)PaaS和SaaS層服務(wù)。

中小城市市工業(yè)云平臺建設(shè)實體架構(gòu)宜采用三橫三縱組成，包含三橫（能力主體一縱）：基礎(chǔ)設(shè)施服務(wù)層、平臺服務(wù)層、軟件服務(wù)層，縱貫三橫的云管理體系以及云保障體系，推動中小城市市政府在工業(yè)領(lǐng)域的統(tǒng)籌規(guī)劃、合理建設(shè)、精準(zhǔn)管理等方面實現(xiàn)科學(xué)可持續(xù)性發(fā)展，最終實現(xiàn)中小城市的“四化”——工業(yè)管理信息化、政府服務(wù)標(biāo)準(zhǔn)化、資源調(diào)配智能化、大數(shù)據(jù)管理云化。

2.2 設(shè)計原則

（1）標(biāo)準(zhǔn)化

工業(yè)云平臺設(shè)計以標(biāo)準(zhǔn)規(guī)范為準(zhǔn)繩，構(gòu)筑一個開放聚合的信息化技術(shù)服務(wù)平臺，提供應(yīng)用服務(wù)、平臺服務(wù)、基礎(chǔ)設(shè)施服務(wù)三大服務(wù)能力。方案的設(shè)計應(yīng)采用標(biāo)準(zhǔn)技術(shù)與協(xié)議，以便在面對多設(shè)備供應(yīng)商、多工業(yè)服務(wù)對象的場景下，能夠保證良好的系統(tǒng)兼容性、服務(wù)產(chǎn)品通用性、功能多樣性、技術(shù)先進性和未來可拓展性。

（2）高可靠

為保證云平臺核心業(yè)務(wù)的不中斷運行，在網(wǎng)絡(luò)整體設(shè)計和設(shè)備配置上宜設(shè)計雙備份。在網(wǎng)絡(luò)連接上消除單點故障，提供關(guān)鍵設(shè)備的故障切換。關(guān)鍵設(shè)備之間的物理鏈路采用雙路冗余連接，按照負載均衡方式或雙活方式工作。關(guān)鍵主機可采用雙路網(wǎng)卡來增加可靠性。全冗余的方式使系統(tǒng)達到99.999%的電信級可靠性。要求網(wǎng)絡(luò)具有設(shè)備/鏈中故障毫秒級的保護倒換能力。

（3）虛擬化

虛擬資源池化是網(wǎng)絡(luò)發(fā)展的重要趨勢，將大大提高資源利用率、降低運營成本。應(yīng)有效開展服務(wù)器、存儲器的虛擬資源池化技術(shù)建設(shè)，網(wǎng)絡(luò)設(shè)備的虛擬化也應(yīng)進行設(shè)計實現(xiàn)。服務(wù)器、存儲器、網(wǎng)絡(luò)及安全設(shè)備應(yīng)具備虛擬化功能。

（4）高性能

隨著整個云計算業(yè)務(wù)的開展，業(yè)務(wù)都分布在各個服務(wù)器上，流量模型從縱向流量轉(zhuǎn)換成復(fù)雜的多維度混合的方式，整個系統(tǒng)具有較高的吞吐能力和處理能力，系統(tǒng)各層均不存在阻塞，具備對突發(fā)流量的承受能力。

（5）易用性

系統(tǒng)應(yīng)具備良好的易用性。簡化系統(tǒng)結(jié)構(gòu)，降低維護量。具有良好擴展性，網(wǎng)絡(luò)建設(shè)完畢并網(wǎng)后應(yīng)可以進行大規(guī)模改造，服務(wù)器集群、軟件功能模塊應(yīng)可以不斷擴展。

2.3 整體架構(gòu)

如前所述，為了實現(xiàn)工業(yè)云平臺對中小城市工業(yè)系統(tǒng)的統(tǒng)籌管理和資源共享，整體架構(gòu)包含內(nèi)部和外部兩大部分。內(nèi)部系統(tǒng)實現(xiàn)平臺核心的業(yè)務(wù)處理、資源匯聚池、數(shù)據(jù)交互等，外部系統(tǒng)主要是外部接口，與不同工業(yè)企業(yè)、不同信息平臺、不同網(wǎng)絡(luò)系統(tǒng)的各類現(xiàn)有平臺對接和整合，體現(xiàn)強勢的兼容性，同時還需與工業(yè)管理部門政務(wù)系統(tǒng)打通。在網(wǎng)絡(luò)寬帶設(shè)施上，充分利用光纖寬帶專線、移動互聯(lián)網(wǎng)，實現(xiàn)對外互聯(lián)互通，保障數(shù)據(jù)傳輸?shù)臅惩ā９I(yè)云典型拓撲結(jié)構(gòu)如圖1所示。

2.4 功能模塊

整個中小城市工業(yè)云分為三大功能模塊，具體如下。

（1）管理模塊

管理模塊是整個工業(yè)云平臺的基礎(chǔ)，主要是實現(xiàn)工業(yè)云平臺運行單位對整個云平臺的管理，維持平臺良好運行，包括操作系統(tǒng)、運營管理、維護管理。

（2）服務(wù)模塊

服務(wù)模塊是整個工業(yè)云平臺的能力體現(xiàn)，承載著平臺對接入用戶的各類服務(wù)功能，從云結(jié)構(gòu)上看，主要含主機服務(wù)、存儲服務(wù)、網(wǎng)絡(luò)服務(wù)、負載均衡服務(wù)等。

（3）安全模塊

安全模塊是整個工業(yè)云平臺的保障手段，工業(yè)云的安全問題事關(guān)重大，一旦出現(xiàn)安全事故，將給工業(yè)行業(yè)帶來不必要的損失。

3 云平臺管理模塊設(shè)計

中小城市工業(yè)云平臺一般依托當(dāng)?shù)仉娦胚\營商的數(shù)據(jù)中心機房，構(gòu)建起支撐工業(yè)云的資源池/數(shù)據(jù)庫集群以及大數(shù)據(jù)分析平臺，利用虛擬化技術(shù)將主機資源、網(wǎng)絡(luò)資源和存儲資源進行池化，按需分配相關(guān)資源，為工業(yè)體系提供基礎(chǔ)類和擴展類云服務(wù)，實現(xiàn)計算、存儲、網(wǎng)絡(luò)、安全、備份等各類資源管理、產(chǎn)業(yè)調(diào)度、應(yīng)用支撐等功能。并保障政府部門的各類系統(tǒng)在工業(yè)云平臺上穩(wěn)定運行。

3.1 操作系統(tǒng)

云平臺操作系統(tǒng)是支撐整個云服務(wù)、實現(xiàn)相關(guān)功能的關(guān)鍵環(huán)節(jié)，同時向終端用戶提供圖形化的統(tǒng)一操作界面。典型的操作系統(tǒng)架構(gòu)和登錄操作界面如圖2、圖3所示。

（1）統(tǒng)一對外服務(wù)門戶

統(tǒng)一對外服務(wù)門戶為最終客戶呈現(xiàn)各種發(fā)布的電子政務(wù)應(yīng)用產(chǎn)品，并包含各產(chǎn)品的應(yīng)用介紹、資費介紹、業(yè)務(wù)受理流程介紹等內(nèi)容；同時門戶還具有在線訂購、搜索、網(wǎng)站地圖、新聞資訊、在線幫助等功能。

（2）用戶中心模塊

用戶中心模塊實現(xiàn)用戶概覽、客戶信息修改、用戶信息修改訂單列表及詳情、操作日志清單等功能。具體可提供客戶注冊、基本信息修改、忘記密碼、訂單查詢、賬單和詳單管理、操作日志查詢、發(fā)票管理、余額管理等功能。

（3）控制臺模塊

控制臺面向用戶提供所有資源的自助申請、配置、監(jiān)控等管理功能。這些資源包括彈性云主機（虛擬機）、彈性塊存儲（虛擬磁盤）、對象存儲、關(guān)系型數(shù)據(jù)庫實例、網(wǎng)絡(luò)接入（包含帶寬及IP地址）等各項資源。向用戶提供對這些資源進行各種操作控制，如申請、綁定、配置、釋放等。面向大數(shù)據(jù)服務(wù)的管理控制臺，允許用戶自助調(diào)度及編排大數(shù)據(jù)任務(wù)。

（4）在線客戶服務(wù)模塊

在線客服模塊提供客戶在線界面，支持客戶在線提交投訴、在線咨詢，支持管理員在線處理投訴、答復(fù)咨詢，并支持座席處理服務(wù)工單、統(tǒng)計分析客服數(shù)據(jù)。支持在線訪問、電子郵件訪問、手機短信訪問、微信訪問等方式。

3.2 運營管理

工業(yè)云平臺主要是實現(xiàn)客戶管理、服務(wù)管理、計量管理、訂單管理等運營管理相關(guān)功能。管理員可以自定義不同的界面風(fēng)格和主頁功能，支持系統(tǒng)拓撲的圖形化顯示，支持圖形化的數(shù)據(jù)配置。運營維護管理架構(gòu)如圖4所示。

（1）操作管理

操作管理主要是針對運營管理平臺的操作，包括部門瀏覽、角色權(quán)限、資源權(quán)限。部門瀏覽：通過3A系統(tǒng)中的部門、機構(gòu)管理進行同步。角色權(quán)限：為管理員在3A上創(chuàng)建的客戶經(jīng)理角色賦權(quán)，主要是操作運營平臺不同菜單的權(quán)限。

（2）客戶管理

支持客戶自行填寫注冊信息的門戶功能，注冊信息包括姓名、登錄賬號、密碼、手機號碼、聯(lián)系方式（短信、E-mail賬號）、客戶廠商、客戶主要聯(lián)系人、客戶地址等信息。同時允許客戶自主選擇和創(chuàng)建業(yè)務(wù)、修改和增刪業(yè)務(wù)、選擇和綁定相關(guān)資源等。

（3）訂單管理

訂單管理功能可以處理客戶的訂單，并提供訂單的服務(wù)實例操作功能。運營管理員對客戶的訂購請求進行審批，審批過程可通過開關(guān)設(shè)置為自動審批或人工審批，審批結(jié)果自動通過電子郵件或短信等形式通知客戶，審批通過后訂購請求通過資源模板進行實例化，生成客戶所訂購的資源，并通過電子郵件或短信等形式將資源信息（如IP地址、管理員口令等）通知客戶。

（4）賬單管理

客戶賬單是在每個月底出上一月的記錄，客戶經(jīng)理通過輸入登錄賬號、開始時間和結(jié)束時間進行賬單查詢，客戶經(jīng)理無權(quán)查詢不屬于自己的客戶的賬單信息。

3.3 系統(tǒng)維護

系統(tǒng)維護，是維護平臺日常運轉(zhuǎn)的重要手段，通過可視化、圖形化操作界面，實現(xiàn)對云平臺運轉(zhuǎn)狀況監(jiān)測、風(fēng)險預(yù)警、故障管理、性能管理、系統(tǒng)監(jiān)控、統(tǒng)計分析等運維功能。整體架構(gòu)如圖5所示。

3.3.1 監(jiān)控管理

可以根據(jù)各種視圖進行各類資源的監(jiān)控和管理，具體如圖6所示。

3.3.2 系統(tǒng)管理

可以通過統(tǒng)一管理界面對云管理平臺各個子系統(tǒng)進行管理，具體如圖7所示。

3.3.3 資源管理

資源池管理系統(tǒng)提供的資源視圖包括云視圖、綜合視圖。

（1）云視圖

資源池管理系統(tǒng)提供的云視圖從邏輯上將整個資源池劃分為基礎(chǔ)架構(gòu)層、資源層與應(yīng)用層，展示云中的所有資源。

（2）綜合視圖

資源池管理系統(tǒng)中的綜合視圖分別從物理地域和業(yè)務(wù)使用的角度對系統(tǒng)中的資源進行拓撲，展示多數(shù)據(jù)中心、機房、機層中設(shè)備的位置和運行狀況。

3.3.4 監(jiān)控管理

云管控平臺提供對數(shù)據(jù)中心的計算、存儲、網(wǎng)絡(luò)等資源的實時監(jiān)控。通過實時將采集到的數(shù)據(jù)同步展示在資源管理平臺的展現(xiàn)層中，并且存儲到數(shù)據(jù)中心，以便于管理人員掌握任意時間內(nèi)的運行狀況。同時對資源池、安全域的資源容量狀況進行管理和分類統(tǒng)計，如果容量接近于飽和，會發(fā)出報警。資源狀況管理會定期和在資源狀況發(fā)生變化時，將資源池資源狀況信息上報至云管控平臺。

4 云平臺服務(wù)模塊設(shè)計

4.1 云主機服務(wù)

云主機服務(wù)允許用戶自由選擇不同標(biāo)準(zhǔn)、規(guī)格的云主機，用戶可根據(jù)需要選擇操作系統(tǒng)種類、vCPU數(shù)量、內(nèi)存容量、系統(tǒng)盤容量，實現(xiàn)對云主機的靈活定制和動態(tài)創(chuàng)建；用戶可以通過Web控制臺對云主機進行創(chuàng)建、開機、關(guān)機、重啟、續(xù)訂、退訂等操作；允許用戶根據(jù)需要彈性擴展云主機的內(nèi)存和系統(tǒng)盤容量；用戶可實時查看vCPU使用率、內(nèi)存使用率、磁盤讀寫、網(wǎng)絡(luò)流量等云主機重點性能指標(biāo)情況。

云主機可達到的技術(shù)指標(biāo)見表1。

表1 云主機的技術(shù)指標(biāo)

4.2 云存儲服務(wù)

針對不同應(yīng)用對存儲性能的需求，云平臺將提供兩種存儲服務(wù)：分布式存儲服務(wù)，可采用先進的分布式對象存儲設(shè)計，同時整合文件存儲、塊存儲和對象存儲3種技術(shù)，為各種不同類型的客戶應(yīng)用提供適合其需求的存儲服務(wù)；高性能存儲服務(wù)，一般采用FC存儲，通過光纖線鏈接組建成SAN，適用于時延要求非常嚴(yán)格的高端應(yīng)用。在實際選擇中可以根據(jù)業(yè)務(wù)提出存儲資源的需求后，需要對設(shè)備的IOPS（input/output operations per second）、存儲容量、存儲帶寬進行計算。存儲產(chǎn)品的選擇通常是根據(jù)存儲性能指標(biāo)即IOPS值，進行選型。

4.3 云網(wǎng)絡(luò)服務(wù)

云網(wǎng)絡(luò)服務(wù)是通過各種網(wǎng)絡(luò)虛擬化技術(shù)，在多租戶環(huán)境下提供給每個租戶獨立的網(wǎng)絡(luò)環(huán)境。云平臺的網(wǎng)絡(luò)服務(wù)是一個可以被用戶創(chuàng)建的對象，類似物理環(huán)境中的交換機，但可以擁有無限個動態(tài)可創(chuàng)建和銷毀的虛擬端口。支持虛擬路由、虛擬交換機和彈性IP地址，用戶可自定義虛擬主機的網(wǎng)絡(luò)拓撲和IP地址。

4.4 負載均衡服務(wù)

負載均衡服務(wù)是云平臺的一項基礎(chǔ)云服務(wù)。負載均衡服務(wù)包括鏈路負載均衡服務(wù)、服務(wù)器負載服務(wù)和彈性負載均衡服務(wù)。

鏈路負載均衡服務(wù)將多條互聯(lián)網(wǎng)線路進行虛擬化處理，保障用戶仍以最好的線路訪問內(nèi)外部資源。任意一條ISP線路中斷，都不會對服務(wù)造成任何影響。通過鏈路負載均衡器可實現(xiàn)ISP接入線路的無縫擴展。

服務(wù)器負載均衡服務(wù)就是對一組服務(wù)器提供負載均衡業(yè)務(wù)。服務(wù)器負載均衡分為四層（L4）服務(wù)器負載均衡和七層（L7）服務(wù)器負載均衡兩種。支持加權(quán)輪詢（weighted round robin）、加權(quán)最小連接數(shù)調(diào)度（weighted least-connection scheduling）等流量分發(fā)策略。

云彈性負載均衡器是將業(yè)務(wù)訪問流量分發(fā)到多臺后端主機上的服務(wù)，可對虛擬主機提供TCP和HTTP的負載均衡服務(wù)，提供多種轉(zhuǎn)發(fā)規(guī)則，支持Web服務(wù)、中間件、數(shù)據(jù)庫以及其他各種網(wǎng)絡(luò)服務(wù)，滿足不同業(yè)務(wù)場景的要求。

負載均衡可達到的技術(shù)指標(biāo)見表2。

表2 負載均衡可達到的技術(shù)指標(biāo)

5 云平臺安全模塊設(shè)計

中小城市云平臺的云安全問題應(yīng)引起足夠的重視，以下是安全模塊的設(shè)計方案，包含十大安全設(shè)施，以實現(xiàn)云平臺的多層次、多手段的安全保護。

（1）虛擬安全網(wǎng)關(guān)

云計算的核心特征是網(wǎng)絡(luò)設(shè)施虛擬化、共享化。因此云平臺的安全問題，就離不開與虛擬設(shè)備保持一致的虛擬安全網(wǎng)關(guān)。虛擬安全網(wǎng)關(guān)的設(shè)計基于成熟的安全操作系統(tǒng)TOS（TencentOS），可以為用戶提供所有的TOS硬件網(wǎng)關(guān)產(chǎn)品安全功能，包括訪問控制、攻擊防御、病毒防御、應(yīng)用控制、身份認證、日志審計等，同時對系統(tǒng)進行深度優(yōu)化和改造以減少開啟各安全引擎后帶來的性能降低，保證用戶網(wǎng)絡(luò)的安全性。

此解決方案是將TOS系統(tǒng)軟件作為一個虛擬機來運行，通過對vSwitch的配置調(diào)整，將需要進行安全檢查的流量指向虛擬安全網(wǎng)關(guān)來完成相應(yīng)的安全檢查和流量監(jiān)控審計等；并針對VMware的虛擬網(wǎng)卡驅(qū)動進行優(yōu)化，使TOS系統(tǒng)在虛擬化平臺上依然具有硬件防火墻的性能。

虛擬安全網(wǎng)關(guān)可實現(xiàn)整個云平臺的設(shè)備集中監(jiān)控、業(yè)務(wù)集中安全審查、訪問集中認證授權(quán)，與傳統(tǒng)分離式安全網(wǎng)關(guān)相比，具有不可替代的一方面。

（2）VPN安全接入

云平臺會對非授權(quán)設(shè)備私自接入平臺進行排查，并通過端口控制來準(zhǔn)確定位位置，并依據(jù)云平臺安全管理機制對非授權(quán)接入設(shè)備的通信進行有效阻斷。

云平臺通過云內(nèi)提供的SSL VPN集中器為遠程VPN撥入終端用戶提供SSL VPN通道，實現(xiàn)對內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)的訪問控制。

（3）入侵防御系統(tǒng)

入侵檢測系統(tǒng)可監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP地址碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；當(dāng)檢測到攻擊行為時，記錄攻擊源IP地址、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警。

通過在網(wǎng)絡(luò)邊界部署入侵防護系統(tǒng)實現(xiàn)對網(wǎng)絡(luò)攻擊的防范；為安全管理中心提供重要的安全事件數(shù)據(jù)，為整體的安全態(tài)勢分析和安全事件的事后取證和定位提供重要依據(jù)。

（4）數(shù)據(jù)庫安全

云平臺通過在內(nèi)部及外部的應(yīng)用系統(tǒng)上，部署專門的日志審計服務(wù)器和數(shù)據(jù)庫審計服務(wù)器，為應(yīng)用系統(tǒng)提供覆蓋到每個用戶的數(shù)據(jù)庫安全審計功能，保證公眾用戶或一般內(nèi)網(wǎng)用戶（信任用戶）無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄。

（5）堡壘機

網(wǎng)絡(luò)審計系統(tǒng)是安全管理體系的重要組成部分，部署在單位的內(nèi)部網(wǎng)絡(luò)中，用于保護單位內(nèi)部資源和網(wǎng)絡(luò)的安全性。

網(wǎng)絡(luò)審計系統(tǒng)應(yīng)用了目前先進的技術(shù)作為支持，針對企業(yè)內(nèi)部核心服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用進行保護，對此類資產(chǎn)的常用訪問方式是進行監(jiān)控和審計，例如對字符終端、圖形終端等訪問方式進行監(jiān)控和審計，實現(xiàn)對用戶行為的控制、追蹤、判定，滿足工業(yè)云網(wǎng)絡(luò)對安全性的要求。

（6）防火墻

通過在門戶網(wǎng)站網(wǎng)絡(luò)各個節(jié)點執(zhí)行隔離和訪問控制措施，將大大提升計算環(huán)境的安全性，有效防范非法的訪問。采用防火墻實現(xiàn)基于數(shù)據(jù)分組的源地址、目的地址、通信協(xié)議、端口、流量、用戶、通信時間等信息，執(zhí)行嚴(yán)格的訪問控制。

（7）網(wǎng)關(guān)

網(wǎng)關(guān)采用雙機熱備份的方式，部署于托管云域與私有云域的邊界連接處，并按照信息系統(tǒng)的業(yè)務(wù)類別、安全等級因素，劃分為不同的安全域。然后將不同的安全域進行有效隔離，按照各自不同的等級保護要求，分別為各安全域提供安全保護措施。網(wǎng)關(guān)可以有針對性地實現(xiàn)所需要的安全控制、防病毒、抗拒絕服務(wù)攻擊。

（8）網(wǎng)頁防篡改系統(tǒng)

鑒于工業(yè)云平臺系統(tǒng)需要向?qū)Ρ姸嘤脩籼峁﹣碜怨娀ヂ?lián)網(wǎng)的Web訪問服務(wù)，自然帶來很多的不安全隱患。為了保障Web系統(tǒng)的安全性，需要部署主頁防篡改系統(tǒng)，實現(xiàn)對發(fā)布網(wǎng)站的實時監(jiān)控，一旦發(fā)現(xiàn)網(wǎng)站內(nèi)容被非法更改，可立即恢復(fù)。該系統(tǒng)有必要部署在門戶網(wǎng)站及所有的Web應(yīng)用系統(tǒng)上。

（9）漏洞掃描系統(tǒng)

目前市面上有一些新型的漏洞掃描系統(tǒng)，包括應(yīng)用檢測、漏洞掃描、弱點識別、風(fēng)險分析、綜合評估的脆弱性掃描與管理評估產(chǎn)品。漏洞掃描系統(tǒng)不但可分析和指出有關(guān)網(wǎng)絡(luò)的安全漏洞及被測系統(tǒng)的薄弱環(huán)節(jié)，給出詳細的檢測報告，并針對檢測到的網(wǎng)絡(luò)安全隱患給出相應(yīng)的修補措施和安全建議。漏洞掃描系統(tǒng)為提高內(nèi)部網(wǎng)絡(luò)安全防護性能和抗破壞能力，檢測評估已運行網(wǎng)絡(luò)的安全性能，為網(wǎng)絡(luò)系統(tǒng)管理員提供實時安全建議提供一種有效實用的脆弱性評估工具。

（10）災(zāi)備軟件系統(tǒng)

典型的容災(zāi)備份軟件系統(tǒng)共分為3部分：工作機（worknode）模塊、災(zāi)備機（backnode）模塊、控制機（ctrcenter）模塊。工作機指的是用戶的生產(chǎn)機，即常說的源端（source）；災(zāi)備機指的是存放災(zāi)備數(shù)據(jù)的遠程服務(wù)器，即常說的目標(biāo)端（target）；控制機則指的是災(zāi)備軟件系統(tǒng)的控制平臺所屬的服務(wù)器，在控制機上部署完災(zāi)備軟件的控制模塊后，由于災(zāi)備軟件的控制模塊是通過Web界面實現(xiàn)配置和管理的，所以任何一臺主機只要能通過瀏覽器連接到控制機，則可進行相關(guān)的災(zāi)備管理工作，從而保障整個系統(tǒng)的可靠性。

6 結(jié)束語

本文闡述了十大安全防護措施，針對病毒、木馬、黑客攻擊、信息泄露、軟件漏洞、系統(tǒng)崩潰等潛在風(fēng)險，建立了一個安全可靠的平臺保障體系和風(fēng)險防范機制，從而提高中小城市云平臺的安全度。

本文是在綜合多個中小城市工業(yè)云平臺設(shè)計和建設(shè)方案的基礎(chǔ)上，結(jié)合筆者的實際學(xué)習(xí)和工作經(jīng)驗，針對中小城市，嘗試提出的一種基于新技術(shù)的、典型的云平臺設(shè)計模式。本文提供的云平臺整體架構(gòu)，是基于共性的基本結(jié)構(gòu)，平臺搭建和功能模塊也體現(xiàn)了通適性和基礎(chǔ)性。

隨著中小城市工業(yè)云建設(shè)的興起，云平臺設(shè)計的理論尚不多見，本文的設(shè)計模式研究填補了這一空白，將會對平臺設(shè)計工作起到指導(dǎo)作用。各地云平臺的設(shè)計者可借鑒本文的模式研究，設(shè)計出適用于當(dāng)?shù)厍闆r的云平臺。在后續(xù)應(yīng)用實踐中主要發(fā)揮的作用有如下幾點。

一是基于本文幾大功能模塊的設(shè)計，可衍生出各類專項服務(wù)型的子平臺，例如管理云、數(shù)據(jù)云、商務(wù)云、知識云、物聯(lián)云等，可服務(wù)于不同的產(chǎn)業(yè)用戶對象。

二是采用本文云平臺安全模塊的設(shè)計，可進一步加強云平臺的安全防護能力，保障平臺的網(wǎng)絡(luò)和信息安全，有效降低風(fēng)險系數(shù)。

三是本文相關(guān)參數(shù)和界面的設(shè)計，為相關(guān)方面提供了一個可參照的實例，減少了設(shè)計中非標(biāo)準(zhǔn)、非格式化問題。

四是大量設(shè)計細節(jié)，體現(xiàn)了整體和局部、面和點的結(jié)合，對具體工作將大有裨益。

另一方面，由于各地實際情況各異，本文研究成果在實際應(yīng)用過程中，還有待完善和拓展的空間。在本研究成果的后續(xù)部署實施過程中，建議注意如下幾點。

一是注重業(yè)務(wù)創(chuàng)新和技術(shù)創(chuàng)新。任何一種模式和方法論不是一成不變的，實際應(yīng)用過程中，創(chuàng)新永遠是需要的。隨著新信息技術(shù)、新硬件設(shè)備和軟件工具的不斷出現(xiàn)，云平臺的設(shè)計也需與時俱進、不斷創(chuàng)新。

二是注重因地而異，體現(xiàn)本地特色。我國中小城市數(shù)量眾多、發(fā)展水平參差不齊，工業(yè)制造方面也各有側(cè)重、發(fā)展方向各有秋千，如資源礦產(chǎn)型、輕工業(yè)型、重工業(yè)型、貿(mào)易加工型等，云平臺的設(shè)計也應(yīng)在本研究的基礎(chǔ)上有所差異。

三是注重平臺的可拓展性，適應(yīng)新型工業(yè)發(fā)展。各地工業(yè)尤其是高科技制造業(yè)發(fā)展較快，智能制造、工業(yè)互聯(lián)網(wǎng)、3D打印等新興領(lǐng)域發(fā)展迅猛，工業(yè)云平臺的設(shè)計需對此有超前考慮，在框架搭建和軟硬件設(shè)置方面宜留有拓展空間和接口，以便增強適應(yīng)性和開放性。

最后，愿與廣大業(yè)內(nèi)同仁一道，共同探討，不斷學(xué)習(xí)提高，為我國工業(yè)云平臺的發(fā)展做出自身的貢獻。

[1] 工業(yè)和信息化部. 云計算綜合標(biāo)準(zhǔn)化體系建設(shè)指南[EB/OL]. (2015-11-09)[2017?04?05]. http://www.miit.gov.cn/n1146295/ n1652858/n1652930/n3757022/c4414407/content.html.

Ministry of Industry and Information Technology. A guide to the construction of integrated standardization system for cloud computing[EB/OL].(2015?11?09)[2017?04?05].http://www.miit.gov.cn/n1146295/n1652858/n1652930/n3757022/c4414407/content.html.

[2] 王鵬. 走近云計算[M]. 北京: 人民郵電出版社, 2009.

WANG P. Cloud computing[M]. Beijing: Posts&Telecom Press, 2009.

[3] 顧炯炯. 云計算架構(gòu)技術(shù)與實踐[M]. 北京: 清華大學(xué)出版社, 2014.

GU J J. Cloud computing architecture technology and practice[M]. Beijing: Tsinghua University Press, 2014.

[4] 曾宇, 王潔, 吳錫興, 等. 工業(yè)云計算平臺的研究與實踐[J]. 中國機械工程, 2012, 23(1):69-74.

ZENG Y, WANG J, WU X X, et al. Research and practice of industrial cloud computing platform[J].China Mechanical Engineering, 2012, 23(1):69-74.

[5] 劉鵬. 云計算（第二版）[M]. 北京: 電子工業(yè)出版社, 2011.

LIU P. Cloud computing(second edition) [M]. Beijing: Publishing House of Electronics Industry, 2011.

[6] 牛繼賓. 一個云管理平臺的架構(gòu)與功能設(shè)計經(jīng)驗談[EB/OL]. (2017?01?02)[2017?04?05]. http://www.infoq.com/cn/articles/ cloud-manage-platform-arch-and-function.

NIU J B. Discussion on the architecture and function design of a cloud management platform[EB/OL]. (2017?01?02) [2017-04-05]. http://www.infoq.com/cn/articles/cloud-manage- platform-arch-and-function.

[7] 顧戎, 王瑞雪, 李晨, 等. 云數(shù)據(jù)中心SDN/NFV組網(wǎng)方案、測試及問題分析[J]. 電信科學(xué), 2016, 32(1): 126-130.

GU R, WANG R X, LI C, et al. Analysis on network scheme and resolution test of SDN/NFV technology co-deployed in cloud datacenter [J]. Telecommunications Science, 2016, 32(1): 126-130.

[8] 劉明輝, 張尼, 張云勇, 等. 云環(huán)境下的敏感數(shù)據(jù)保護技術(shù)研究[J]. 電信科學(xué), 2014, 30(11): 2-8.

LIU M H, ZHANG N, ZHANG Y Y, et al. Research on sensitive data protection technology on cloud computing[J]. Telecommunications Science, 2014, 30(11): 2-8.

[9] 趙輝, 丁鳴, 程青松, 等. SDN與NFV技術(shù)在云數(shù)據(jù)中心的規(guī)模應(yīng)用[J]. 電信科學(xué), 2016, 32(1): 144-151.

ZHAO H, DING M, CHENG Q S, et al. Application of SDN and NFV technology in the cloud data center [J]. Telecommunications Science, 2016, 32(1): 144-151.

Design pattern of industrial cloudin small-medium cities

LI Ling

Shaanxi Branch of China United Network Communication Group Cloud Data Company, Xi’an 710075, China

Combined with the current status and characteristics of the development of information technology in small-medium cities in China and arrounding the important topic of industrial cloud development in small-medium cities, the latest models of industrial cloud design was put forward, including the system architecture, function equipment, service ability and cloud security of industrial cloud in small-medium cities. The basic principles, the main contents, the technical route, the reference index and the business interface of the industrial cloud design in small-medium cities was expounded, providing some reference and guidance for people involved.

city, industrial cloud, design, research

TP393

A

10.11959/j.issn.1000-0801.2017115

2017?04?05；

2017?04?30

李凌（1975?），女，中國聯(lián)合網(wǎng)絡(luò)通信集團云數(shù)據(jù)公司陜西分公司負責(zé)人，主要從事基于中國聯(lián)通基礎(chǔ)設(shè)施的云業(yè)務(wù)、大數(shù)據(jù)、IDC業(yè)務(wù)等的建設(shè)運營、市場拓展和客戶服務(wù)方面的工作。