王斌

摘要：在國家“十三五”計劃背景下，推動基于互聯(lián)網(wǎng)的公共服務模式創(chuàng)新，推進基于云計算的信息服務公共平臺建設，增強公共產(chǎn)品供給能力，逐步實現(xiàn)政務服務一網(wǎng)通辦和一網(wǎng)統(tǒng)管。政務云平臺已成為各數(shù)字政府的重點建設項目，本文對大型政務云平臺的架構體系進行了研究，闡述了政務云平臺技術、網(wǎng)絡和安全的發(fā)展路線。

關鍵詞：云計算;政務服務;體系架構

一、背景

以加強互聯(lián)網(wǎng)政務信息數(shù)據(jù)服務平臺和便民服務平臺建設為契機，以提高現(xiàn)有電子政務基礎設施利用效率，促進電子政務集約化發(fā)展為主要目的，參照《關于印發(fā)政務信息資源共享管理暫行辦法的通知》、《關于印發(fā)“十三五”國家信息化規(guī)劃的通知》等相關要求，各級政府計劃啟動政務云平臺的建設。

按照政府系統(tǒng)信息交互、資源共享、業(yè)務協(xié)同、資源復用、節(jié)能環(huán)保等要求，采用云計算等先進信息技術，對數(shù)據(jù)中心進行總體規(guī)劃，實現(xiàn)統(tǒng)一建設標準、統(tǒng)一基礎平臺、統(tǒng)一安全防護、統(tǒng)一運行管理，為創(chuàng)新社會管理模式，建設服務型政府提供支撐和保障。

二、政務云平臺架構設計

國家高度重視以云計算為代表的新一代信息產(chǎn)業(yè)發(fā)展，發(fā)布了《關于促進云計算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見》等政策措施。在政府積極引導和企業(yè)戰(zhàn)略布局等推動下，經(jīng)過社會各界共同努力，云計算已逐漸被市場認可和接受。云計算引發(fā)了軟件開發(fā)部署模式的創(chuàng)新，成為承載數(shù)字政府的關鍵基礎設施，并為大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新興領域的發(fā)展提供基礎支撐，推動網(wǎng)絡強國、數(shù)字中國、智能社會戰(zhàn)略的關鍵基礎設施。

2.1主流云平臺技術路線

1.傳統(tǒng)路線：虛擬機

這是已經(jīng)被廣泛應用的技術路線，從AWS到國內(nèi)的阿里云，使用者得到的最小單位是虛擬機，需要追加和擴展的資源實際上是整個虛擬機的資源。但每一個虛擬機資源都受到物理機最大資源的限制。

2.輕量級路線：容器云

隨著Docker的出現(xiàn)，容器云開始出現(xiàn)，容器云是以應用可以簡單理解為一個或一組程序。在容器云上以應用為最基本單位進行資源（CPU、內(nèi)存、硬盤）的分配，相對于虛擬機云，容器云資源分割粒度進一步精細化。

3.中間線路：容器+mini kernel

這條線路是容器中之間不再共享內(nèi)核，而是為每一個容器提供一個獨立的內(nèi)核。Intel推出的clear Linux項目，就是這種線路的代表。中間路線是前面兩條路線的融合，未來容器云路線極有可能向此條路線發(fā)展。

三條技術路線，代表著三個時代，虛擬機路線是最早出現(xiàn)且成熟的，因為它符合了技術人員的使用習慣，方便過渡。容器云是目前發(fā)展最快的路線，因為它把資源分割粒度做到最小，且使用傳統(tǒng)的運維工作提升效率。未來有可能是容器+mini kernel路線的天下，更高、更便捷、更安全，永遠是追求的目標。國內(nèi)政務云正處于第一路線向第二路線過渡的過程，與公有云不通，安全、穩(wěn)定是政務云更看重的特性。

2.2政務云平臺體系架構

當前政務系統(tǒng)內(nèi)常見的網(wǎng)絡接入類型有：互聯(lián)網(wǎng)、政務外網(wǎng)、業(yè)務專網(wǎng)等?；ヂ?lián)網(wǎng)適合部署公共服務類業(yè)務，為大眾提供訪問服務;政務外網(wǎng)適合政府內(nèi)部非涉密業(yè)務，國家、省、市、縣垂直互聯(lián);業(yè)務專網(wǎng)適合“十二金”等專用業(yè)務。按照《電子信息系統(tǒng)機房設計規(guī)范》（GB50174-2008）B級標準建設數(shù)據(jù)中心機房、按照《信息安全技術 網(wǎng)絡安全等級保護基本要求》（GB/T22239-2019）等級保護三級標準建設政務云平臺。

政務云平臺基于網(wǎng)絡而建設，可以部署互聯(lián)網(wǎng)區(qū)、政務外網(wǎng)區(qū)、業(yè)務專網(wǎng)區(qū)，在某些特殊的需求下，比如要求機房和物理設備獨立部署的情況，云平臺也可以獨立部署。

無論基于哪種網(wǎng)絡，云平臺通用的網(wǎng)絡劃分大體相同，以基于政務外網(wǎng)云平臺為例，包含如下區(qū)域

1.邊界接入?yún)^(qū)

通過雙鏈路上聯(lián)至政務外網(wǎng)實現(xiàn)與各地市政務系統(tǒng)以及省直單位政務系統(tǒng)的數(shù)據(jù)交互。通過雙鏈路上聯(lián)政務外網(wǎng)和業(yè)務專網(wǎng)，政務云訪問互聯(lián)網(wǎng)提供統(tǒng)一出口，提供互聯(lián)網(wǎng)業(yè)務訪問能力。

2.安全訪問控制區(qū)

部署與外網(wǎng)進行數(shù)據(jù)交互的安全隔離設備，確保數(shù)據(jù)訪問安全。在政務外網(wǎng)出口部署等級保護三級安全設備等確保進入數(shù)據(jù)流量的安全性，之后數(shù)據(jù)流量進入到核心交換區(qū)進行轉發(fā)。

3.核心區(qū)

網(wǎng)絡核心區(qū)是整個網(wǎng)絡的流量匯集地，來自外部網(wǎng)絡以及服務器集群的流量全部要經(jīng)過網(wǎng)絡核心區(qū)。網(wǎng)絡和數(shù)據(jù)庫審計系統(tǒng)連接核心交換機對網(wǎng)絡及數(shù)據(jù)庫流量做日志審計。部署安全隔離防火墻用于外網(wǎng)與專網(wǎng)數(shù)據(jù)交換。

4.門戶管理區(qū)

部署云管理平臺、網(wǎng)絡管理平臺、虛擬化管理平臺等管理服務器，通過對云管理平臺、網(wǎng)絡管理平臺、虛擬化管理平臺等軟件的部署，實現(xiàn)對底層資源的合理管控，保障業(yè)務運行的可靠性、可用性，合理的分配資源，通過自動化的運維管理，提升運維管理效率。

5.安全管理區(qū)

部署漏洞掃描系統(tǒng)、堡壘機、防病毒服務器、安全SOC管理平臺提供云平臺的安全管理服務。

6.業(yè)務區(qū)

將計算存儲節(jié)點和磁盤陣列組合在一起，作為云平臺的計算存儲一體化資源池。在資源池中，通過安裝虛擬化軟件，使計算資源能以云主機（虛擬機）的方式被不同的應用和不同用戶使用。資源池按設備用途細分為計算存儲虛擬化資源池區(qū)、高性能物理服務器/數(shù)據(jù)備份區(qū)、托管服務器區(qū)以及門戶管理區(qū)和安全管理區(qū)。

三、政務云平臺安全架構設計

政務云平臺需要滿足等保三級安全要求，從安全域的角度，可以分為安全計算域、安全管理域、安全網(wǎng)絡域和終端接入域。安全計算域是相同安全保護等級的物理主機/服務器的集合，安全網(wǎng)絡域是由通信網(wǎng)絡和接入網(wǎng)絡構成。安全管理域是對整體云計算中安全事件收集與管控報警的系統(tǒng)平臺。終端接入域是安全生產(chǎn)監(jiān)管信息系統(tǒng)最終用戶的集合。各安全域之間通過邊界防護設備進行相應的隔離，在各安全域內(nèi)部，根據(jù)地理位置、功能和重要程度又劃分為不同的安全區(qū)域，各區(qū)域之間通過ACL進行相應的隔離。

四、結語

隨著“數(shù)字政府”進程的大力推進，政務云也逐漸從虛擬化向容器演進，從基礎架構向平臺服務演進，云計算正成為大數(shù)據(jù)、物聯(lián)網(wǎng)、5G等創(chuàng)新業(yè)務的基礎平臺。

參考文獻

[1]GB50174-2008，電子信息系統(tǒng)機房設計規(guī)范[S]，北京：中國計劃出版社，2008

[2]GB/T22239-2019，信息安全技術 網(wǎng)絡安全等級保護基本要求[S]，公安部信息安全等級保護評估中心，2019