易堅(jiān)

摘 要：本文從互聯(lián)網(wǎng)網(wǎng)站群的系統(tǒng)架構(gòu)、系統(tǒng)功能以及系統(tǒng)實(shí)現(xiàn)三個(gè)方面詳細(xì)地介紹了武漢鐵路局互聯(lián)網(wǎng)網(wǎng)站群技術(shù)平臺(tái)。該平臺(tái)的建設(shè)能夠確保鐵路互聯(lián)網(wǎng)網(wǎng)站（應(yīng)用）安全穩(wěn)定運(yùn)行。

關(guān)鍵詞：互聯(lián)網(wǎng)網(wǎng)站群;網(wǎng)絡(luò)安全;武漢鐵路局

中圖分類號(hào)：TD235.33 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-2064（2019）03-0003-02

1 概述

根據(jù)中國(guó)鐵路總公司的工作要求，武漢鐵路局對(duì)建設(shè)互聯(lián)網(wǎng)網(wǎng)站群技術(shù)平臺(tái)進(jìn)行了工作布置，要求互聯(lián)網(wǎng)網(wǎng)站群技術(shù)平臺(tái)必須滿足業(yè)務(wù)應(yīng)用和安全運(yùn)行要求，實(shí)現(xiàn)鐵路局范圍內(nèi)中小網(wǎng)站（應(yīng)用）集中部署、統(tǒng)一管理，保障互聯(lián)網(wǎng)網(wǎng)站（應(yīng)用）安全穩(wěn)定運(yùn)行。

武漢鐵路局互聯(lián)網(wǎng)網(wǎng)站群技術(shù)平臺(tái)包括網(wǎng)絡(luò)平臺(tái)建設(shè)、基礎(chǔ)設(shè)施服務(wù)層建設(shè)、平臺(tái)服務(wù)層建設(shè)、軟件服務(wù)層建設(shè)、運(yùn)維管理體系建設(shè)以及既有互聯(lián)網(wǎng)網(wǎng)站遷移。平臺(tái)建設(shè)利用既有信息機(jī)房，并充分利用既有外部服務(wù)網(wǎng)和既有硬件資源，大大節(jié)省了工程投資。

2 互聯(lián)網(wǎng)網(wǎng)站群總體架構(gòu)

網(wǎng)絡(luò)接入為系統(tǒng)用戶以及系統(tǒng)間交互提供互聯(lián)網(wǎng)接入環(huán)境，為系統(tǒng)平臺(tái)硬件提供網(wǎng)絡(luò)接入環(huán)境，同時(shí)還為遠(yuǎn)程維護(hù)提供網(wǎng)絡(luò)接入環(huán)境。計(jì)算資源是以X86服務(wù)器為基礎(chǔ)的計(jì)算資源池，可以分為虛擬化資源池和物理服務(wù)器資源池兩部分。存儲(chǔ)資源池是將存儲(chǔ)設(shè)備進(jìn)行池化，將不同的物理設(shè)備統(tǒng)一進(jìn)行存儲(chǔ)管理，為數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用服務(wù)器上的相關(guān)網(wǎng)站應(yīng)用文件及數(shù)據(jù)庫(kù)數(shù)據(jù)備份提供存儲(chǔ)服務(wù)。網(wǎng)站群總體架構(gòu)如圖1所示。

系統(tǒng)邏輯架構(gòu)包含基礎(chǔ)設(shè)施服務(wù)層、平臺(tái)服務(wù)層、軟件服務(wù)層、用戶訪問(wèn)層、安全管理體系、運(yùn)維管理體系等六個(gè)層面。

3 互聯(lián)網(wǎng)網(wǎng)站群應(yīng)用總體設(shè)計(jì)（見(jiàn)圖2）

（1）基礎(chǔ)環(huán)境：核心運(yùn)行環(huán)境主要是網(wǎng)絡(luò)環(huán)境、硬件服務(wù)器（如應(yīng)用服務(wù)器、Web服務(wù)器等）以及應(yīng)用運(yùn)行所需的操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)等核心基礎(chǔ)軟件等。（2）數(shù)據(jù)支撐環(huán)境：提供對(duì)網(wǎng)站群前端服務(wù)所需的后臺(tái)數(shù)據(jù)支撐，包括各種關(guān)系數(shù)據(jù)庫(kù)、目錄資源、全文數(shù)據(jù)庫(kù)、文件系統(tǒng)資源等等。（3）應(yīng)用支撐環(huán)境：在軟硬件基礎(chǔ)環(huán)境和數(shù)據(jù)環(huán)境之上，建立和部署包括網(wǎng)站群內(nèi)容管理系統(tǒng)、資源中心、站群管控中心、站群管理、全文檢索系統(tǒng)、工作流引擎、一體化發(fā)布等一系列應(yīng)用服務(wù)系統(tǒng)，為門戶網(wǎng)站群的前端各類服務(wù)提供應(yīng)用支撐。（4）門戶服務(wù)層：依靠應(yīng)用支撐環(huán)境中的各種應(yīng)用，在門戶網(wǎng)站中組織和提供各種信息服務(wù)、互動(dòng)服務(wù)、組件調(diào)用服務(wù)、用戶服務(wù)等等。（5）表現(xiàn)層：在表現(xiàn)層最終形成以鐵路局為核心的網(wǎng)站群信息表現(xiàn)、信息服務(wù)與信息互動(dòng)。（6）信息安全保障體系：安全體系建設(shè)遵循等級(jí)保護(hù)三級(jí)技術(shù)規(guī)范，主要在應(yīng)用安全、網(wǎng)絡(luò)安全、邊界安全、安全審計(jì)、安全綜合監(jiān)控、安全管理等方面采取必要措施，達(dá)到安全管理和安全防護(hù)能力顯著增強(qiáng)，抵御攻擊、篡改、破壞能力顯著提升。

4 互聯(lián)網(wǎng)網(wǎng)站群系統(tǒng)功能

4.1 內(nèi)容管理和發(fā)布服務(wù)

網(wǎng)站門戶作為企業(yè)對(duì)外門戶界面，應(yīng)承擔(dān)企業(yè)應(yīng)用系統(tǒng)對(duì)社會(huì)公眾信息的發(fā)布的角色，各應(yīng)用系統(tǒng)需對(duì)外發(fā)布的常規(guī)內(nèi)容，原則上應(yīng)由網(wǎng)站門戶統(tǒng)一發(fā)布。

網(wǎng)站應(yīng)用系統(tǒng)應(yīng)建設(shè)與各應(yīng)用系統(tǒng)的數(shù)據(jù)集成和交換渠道，實(shí)現(xiàn)發(fā)布內(nèi)容的暢通、快速和安全地交換。

4.2 互聯(lián)網(wǎng)公共服務(wù)平臺(tái)建設(shè)

網(wǎng)站群系統(tǒng)除作為企業(yè)內(nèi)容發(fā)布的統(tǒng)一門戶外，通過(guò)網(wǎng)站群系統(tǒng)互聯(lián)網(wǎng)服務(wù)資源中心建設(shè)，進(jìn)一步能夠作為路局面向社會(huì)公眾和企業(yè)的公共服務(wù)平臺(tái)?；ヂ?lián)網(wǎng)公共服務(wù)平臺(tái)的建設(shè)內(nèi)容主要有互聯(lián)網(wǎng)公共服務(wù)資源中心建設(shè)、數(shù)據(jù)交換和動(dòng)態(tài)訪問(wèn)、互聯(lián)網(wǎng)+技術(shù)和應(yīng)用模式、身份管理和認(rèn)證?？赏ㄟ^(guò)網(wǎng)站門戶與應(yīng)用系統(tǒng)的深層整合，在網(wǎng)站門戶向用戶提供辦事材料的提交、辦理進(jìn)度的查詢或辦事結(jié)果的展示等。對(duì)于需要直接面向網(wǎng)絡(luò)用戶的企業(yè)應(yīng)用系統(tǒng)，可通過(guò)業(yè)務(wù)內(nèi)容的梳理，通過(guò)網(wǎng)站門戶向用戶提供業(yè)務(wù)辦事的訪問(wèn)入口和指南。

5 互聯(lián)網(wǎng)網(wǎng)站群技術(shù)方案

既有互聯(lián)網(wǎng)接入?yún)^(qū)通過(guò)升級(jí)改造，建設(shè)成為生產(chǎn)用互聯(lián)網(wǎng)接入?yún)^(qū)，為鐵路局互聯(lián)網(wǎng)網(wǎng)站（應(yīng)用）提供互聯(lián)網(wǎng)接入服務(wù)，滿足互聯(lián)網(wǎng)用戶“由外到內(nèi)”的訪問(wèn)需求。網(wǎng)站群系統(tǒng)使用該互聯(lián)網(wǎng)接入資源，并根據(jù)網(wǎng)絡(luò)帶寬及設(shè)備性能需求，對(duì)不能滿足需求的鏈路與設(shè)備進(jìn)行升級(jí)、更換。對(duì)既有防火墻進(jìn)行升級(jí)、更換，選用具備流量控制、入侵防御、防病毒功能的下一代防火墻，以精細(xì)化控制各信息系統(tǒng)互聯(lián)網(wǎng)帶寬使用，并強(qiáng)化互聯(lián)網(wǎng)出口安全。

新建辦公用互聯(lián)網(wǎng)接入?yún)^(qū)，配置出口防火墻、鏈路均衡器等設(shè)備，為內(nèi)部人員使用外網(wǎng)辦公終端訪問(wèn)互聯(lián)網(wǎng)提供訪問(wèn)通道，及滿足內(nèi)部人員“由內(nèi)到外”的訪問(wèn)需求。將生產(chǎn)訪問(wèn)互聯(lián)網(wǎng)與辦公上網(wǎng)訪問(wèn)互聯(lián)網(wǎng)的數(shù)據(jù)分離，減少相互影響。同時(shí)應(yīng)逐步建設(shè)改造辦公終端接入?yún)^(qū)，使其具備辦公終端網(wǎng)絡(luò)集中接入能力，并與其他區(qū)域有清晰的網(wǎng)絡(luò)邊界。

在對(duì)外服務(wù)區(qū)中劃分兩個(gè)安全域，分別為不同類型網(wǎng)站和應(yīng)用提供網(wǎng)絡(luò)接入環(huán)境。同時(shí)既有信息系統(tǒng)根據(jù)分類逐步遷移至相應(yīng)安全域。

新增運(yùn)維管理區(qū)，堡壘機(jī)、VPN等設(shè)備應(yīng)部署于該區(qū)域。

5.1 網(wǎng)絡(luò)平臺(tái)技術(shù)方案

網(wǎng)站群技術(shù)平臺(tái)將互聯(lián)網(wǎng)外部服務(wù)網(wǎng)分為多個(gè)網(wǎng)絡(luò)區(qū)域，包括互聯(lián)網(wǎng)接入?yún)^(qū)、外部服務(wù)網(wǎng)核心區(qū)、對(duì)外服務(wù)區(qū)、運(yùn)維管理區(qū)，滿足不同業(yè)務(wù)接入需要。

互聯(lián)網(wǎng)接入?yún)^(qū)主要由兩條不同運(yùn)營(yíng)商互聯(lián)網(wǎng)專線，以及互聯(lián)網(wǎng)出口防火墻、鏈路負(fù)載均衡器等設(shè)備組成。該區(qū)域?yàn)橥獠糠?wù)網(wǎng)各應(yīng)用系統(tǒng)提供互聯(lián)網(wǎng)訪問(wèn)通道。

外部服務(wù)網(wǎng)核心由核心防火墻、核心交換機(jī)組成，負(fù)責(zé)各區(qū)域問(wèn)數(shù)據(jù)訪間控制與數(shù)據(jù)轉(zhuǎn)發(fā)。

對(duì)外服務(wù)區(qū)為業(yè)務(wù)應(yīng)用提供網(wǎng)絡(luò)接入環(huán)境，由交換機(jī)級(jí)聯(lián)組成，上聯(lián)核心防火墻，由核心防火墻進(jìn)一步劃分為多個(gè)安全域，實(shí)現(xiàn)各區(qū)域訪問(wèn)控制。

改造方案具體為：（1）改造互聯(lián)網(wǎng)接入?yún)^(qū)：為互聯(lián)網(wǎng)網(wǎng)站和互聯(lián)網(wǎng)應(yīng)用提供互聯(lián)網(wǎng)通道。武漢鐵路局現(xiàn)有兩條互聯(lián)網(wǎng)接入通道，分屬中國(guó)移動(dòng)和中國(guó)電信運(yùn)營(yíng)商，帶寬暫時(shí)滿足需求，暫不擴(kuò)容;出口防火墻利舊使用;更新鏈路均衡器。（2）新建外網(wǎng)核心區(qū)：負(fù)責(zé)實(shí)現(xiàn)網(wǎng)站群技術(shù)平臺(tái)分區(qū)分域管理和各區(qū)域間網(wǎng)絡(luò)安全防護(hù)，實(shí)現(xiàn)平臺(tái)內(nèi)部數(shù)據(jù)高速、安全、可靠交換。根據(jù)方案要求，新設(shè)核心防火墻和核心交換機(jī)。核心交換機(jī)負(fù)責(zé)隔離對(duì)外服務(wù)區(qū)、運(yùn)維管理區(qū)、網(wǎng)絡(luò)安全平臺(tái)，實(shí)現(xiàn)三個(gè)區(qū)域間數(shù)據(jù)訪問(wèn)控制。核心防火墻負(fù)責(zé)這三個(gè)區(qū)與互聯(lián)網(wǎng)的數(shù)據(jù)訪問(wèn)控制與流量清洗。（3）新建對(duì)外服務(wù)區(qū)：用于集中部署互聯(lián)網(wǎng)網(wǎng)站和互聯(lián)網(wǎng)應(yīng)用。接入交換機(jī)利舊使用;為實(shí)現(xiàn)流量控制、入侵防御等功能，新設(shè)Web應(yīng)用防火墻。（4）新建運(yùn)維管理區(qū)：滿足各單位對(duì)所轄網(wǎng)站運(yùn)維管理的需要。接入交換機(jī)利舊使用;新設(shè)VPN網(wǎng)關(guān)和堡壘機(jī)。

5.2 基礎(chǔ)設(shè)施服務(wù)層技術(shù)方案

基礎(chǔ)設(shè)施主要為網(wǎng)站群技術(shù)平臺(tái)集中部署的互聯(lián)網(wǎng)網(wǎng)站和互聯(lián)網(wǎng)應(yīng)用提供計(jì)算資源、存儲(chǔ)資源、安全防護(hù)資源等，通過(guò)VMWare虛擬化軟件進(jìn)行池化。

改造方案具體為：（1）新建虛擬資源池：用于提供互聯(lián)網(wǎng)網(wǎng)站應(yīng)用服務(wù)器虛擬機(jī)、日志審計(jì)系統(tǒng)等運(yùn)維管理軟件部署等。為滿足使用需要，需新設(shè)數(shù)據(jù)庫(kù)服務(wù)器，Web應(yīng)用服務(wù)器;為部署日志審計(jì)、防篡改、漏洞掃描、主機(jī)入侵防護(hù)、網(wǎng)站群內(nèi)容管理、身份認(rèn)證、搜索服務(wù)等軟件需新設(shè)機(jī)架式服務(wù)器，安全事件檢測(cè)服務(wù)器利舊使用。（2）新建集中式存儲(chǔ)資源池：為連接集中式存儲(chǔ)的計(jì)算節(jié)點(diǎn)和數(shù)據(jù)庫(kù)提供存儲(chǔ)資源，新設(shè)存儲(chǔ)設(shè)備。（3）虛擬化軟件VMWare利舊，暫不新購(gòu)許可證。

5.3 平臺(tái)服務(wù)層技術(shù)方案

平臺(tái)服務(wù)層主要為集中部署的互聯(lián)網(wǎng)網(wǎng)站和互聯(lián)網(wǎng)應(yīng)用提供中間件、數(shù)據(jù)庫(kù)等資源的按需調(diào)配。

（1）操作系統(tǒng)服務(wù)：使用開(kāi)源軟件Linux操作系統(tǒng)。（2）中間件服務(wù)：選擇開(kāi)源軟件tomcat+apache作為網(wǎng)站群中間件產(chǎn)品，部署在計(jì)算資源池的虛擬機(jī)中，為應(yīng)用服務(wù)器提供標(biāo)準(zhǔn)中間件配置服務(wù)。（3）數(shù)據(jù)庫(kù)服務(wù)：選擇開(kāi)源軟件MySQL數(shù)據(jù)庫(kù)產(chǎn)品，部署數(shù)據(jù)庫(kù)集群。（4）負(fù)載均衡服務(wù)器：采用硬件負(fù)載均衡器，本次設(shè)計(jì)利舊使用調(diào)度樓信息機(jī)房既有負(fù)載均衡器。（5）數(shù)據(jù)備份服務(wù)：為提高網(wǎng)站群技術(shù)平臺(tái)的可用性和可靠性，新增數(shù)據(jù)備份軟件。

5.4 軟件服務(wù)層技術(shù)方案

根據(jù)總公司總體方案，需新設(shè)并部署互聯(lián)網(wǎng)網(wǎng)站群內(nèi)容管理系統(tǒng)、用戶身份系統(tǒng)、網(wǎng)站搜索服務(wù)系統(tǒng)等軟件。

5.5 運(yùn)維管理體系技術(shù)方案

新設(shè)并部署配套的日志審計(jì)、防篡改、漏洞掃描、安全事件監(jiān)測(cè)、主機(jī)入侵防護(hù)等軟件系統(tǒng)，實(shí)現(xiàn)對(duì)網(wǎng)站群技術(shù)平臺(tái)的管理和監(jiān)控。

5.6 既有互聯(lián)網(wǎng)網(wǎng)站遷移方案

將武漢局既有網(wǎng)站全部遷移并納入鐵路局互聯(lián)網(wǎng)網(wǎng)站群技術(shù)平臺(tái)，實(shí)現(xiàn)統(tǒng)一管理。

6 結(jié)語(yǔ)

本次在武漢鐵路局建設(shè)互聯(lián)網(wǎng)網(wǎng)站群技術(shù)平臺(tái)，為鐵路局范圍內(nèi)的中小規(guī)?；ヂ?lián)網(wǎng)網(wǎng)站（應(yīng)用）提供集中統(tǒng)一的平臺(tái)服務(wù)，充分發(fā)揮互聯(lián)網(wǎng)效應(yīng)，通過(guò)互聯(lián)網(wǎng)網(wǎng)站（應(yīng)用）不斷拓寬客貨營(yíng)銷渠道，不斷提升客戶服務(wù)水平。實(shí)現(xiàn)互聯(lián)網(wǎng)網(wǎng)站（應(yīng)用）集中部署、統(tǒng)一防護(hù)、共享資源、統(tǒng)一運(yùn)維，做到互聯(lián)網(wǎng)網(wǎng)站（應(yīng)用）建設(shè)標(biāo)準(zhǔn)化水平顯著提高，安全管理和安全防護(hù)能力顯著增強(qiáng)，抵御攻擊、篡改、破壞能力顯著提升，確保鐵路互聯(lián)網(wǎng)網(wǎng)站（應(yīng)用）安全穩(wěn)定運(yùn)行。