關于大型政務云平臺架構體系的研究

王斌

摘要：在國家“十三五”計劃背景下，推動基于互聯網的公共服務模式創新，推進基于云計算的信息服務公共平臺建設，增強公共產品供給能力，逐步實現政務服務一網通辦和一網統管。政務云平臺已成為各數字政府的重點建設項目，本文對大型政務云平臺的架構體系進行了研究，闡述了政務云平臺技術、網絡和安全的發展路線。

關鍵詞：云計算;政務服務;體系架構

一、背景

以加強互聯網政務信息數據服務平臺和便民服務平臺建設為契機，以提高現有電子政務基礎設施利用效率，促進電子政務集約化發展為主要目的，參照《關于印發政務信息資源共享管理暫行辦法的通知》、《關于印發“十三五”國家信息化規劃的通知》等相關要求，各級政府計劃啟動政務云平臺的建設。

按照政府系統信息交互、資源共享、業務協同、資源復用、節能環保等要求，采用云計算等先進信息技術，對數據中心進行總體規劃，實現統一建設標準、統一基礎平臺、統一安全防護、統一運行管理，為創新社會管理模式，建設服務型政府提供支撐和保障。

二、政務云平臺架構設計

國家高度重視以云計算為代表的新一代信息產業發展，發布了《關于促進云計算創新發展培育信息產業新業態的意見》等政策措施。在政府積極引導和企業戰略布局等推動下，經過社會各界共同努力，云計算已逐漸被市場認可和接受。云計算引發了軟件開發部署模式的創新，成為承載數字政府的關鍵基礎設施，并為大數據、物聯網、人工智能等新興領域的發展提供基礎支撐，推動網絡強國、數字中國、智能社會戰略的關鍵基礎設施。

2.1主流云平臺技術路線

1.傳統路線：虛擬機

這是已經被廣泛應用的技術路線，從AWS到國內的阿里云，使用者得到的最小單位是虛擬機，需要追加和擴展的資源實際上是整個虛擬機的資源。但每一個虛擬機資源都受到物理機最大資源的限制。

2.輕量級路線：容器云

隨著Docker的出現，容器云開始出現，容器云是以應用可以簡單理解為一個或一組程序。在容器云上以應用為最基本單位進行資源（CPU、內存、硬盤）的分配，相對于虛擬機云，容器云資源分割粒度進一步精細化。

3.中間線路：容器+mini kernel

這條線路是容器中之間不再共享內核，而是為每一個容器提供一個獨立的內核。Intel推出的clear Linux項目，就是這種線路的代表。中間路線是前面兩條路線的融合，未來容器云路線極有可能向此條路線發展。

三條技術路線，代表著三個時代，虛擬機路線是最早出現且成熟的，因為它符合了技術人員的使用習慣，方便過渡。容器云是目前發展最快的路線，因為它把資源分割粒度做到最小，且使用傳統的運維工作提升效率。未來有可能是容器+mini kernel路線的天下，更高、更便捷、更安全，永遠是追求的目標。國內政務云正處于第一路線向第二路線過渡的過程，與公有云不通，安全、穩定是政務云更看重的特性。

2.2政務云平臺體系架構

當前政務系統內常見的網絡接入類型有：互聯網、政務外網、業務專網等。互聯網適合部署公共服務類業務，為大眾提供訪問服務;政務外網適合政府內部非涉密業務，國家、省、市、縣垂直互聯;業務專網適合“十二金”等專用業務。按照《電子信息系統機房設計規范》（GB50174-2008）B級標準建設數據中心機房、按照《信息安全技術 網絡安全等級保護基本要求》（GB/T22239-2019）等級保護三級標準建設政務云平臺。

政務云平臺基于網絡而建設，可以部署互聯網區、政務外網區、業務專網區，在某些特殊的需求下，比如要求機房和物理設備獨立部署的情況，云平臺也可以獨立部署。

無論基于哪種網絡，云平臺通用的網絡劃分大體相同，以基于政務外網云平臺為例，包含如下區域

1.邊界接入區

通過雙鏈路上聯至政務外網實現與各地市政務系統以及省直單位政務系統的數據交互。通過雙鏈路上聯政務外網和業務專網，政務云訪問互聯網提供統一出口，提供互聯網業務訪問能力。

2.安全訪問控制區

部署與外網進行數據交互的安全隔離設備，確保數據訪問安全。在政務外網出口部署等級保護三級安全設備等確保進入數據流量的安全性，之后數據流量進入到核心交換區進行轉發。

3.核心區

網絡核心區是整個網絡的流量匯集地，來自外部網絡以及服務器集群的流量全部要經過網絡核心區。網絡和數據庫審計系統連接核心交換機對網絡及數據庫流量做日志審計。部署安全隔離防火墻用于外網與專網數據交換。

4.門戶管理區

部署云管理平臺、網絡管理平臺、虛擬化管理平臺等管理服務器，通過對云管理平臺、網絡管理平臺、虛擬化管理平臺等軟件的部署，實現對底層資源的合理管控，保障業務運行的可靠性、可用性，合理的分配資源，通過自動化的運維管理，提升運維管理效率。

5.安全管理區

部署漏洞掃描系統、堡壘機、防病毒服務器、安全SOC管理平臺提供云平臺的安全管理服務。

6.業務區

將計算存儲節點和磁盤陣列組合在一起，作為云平臺的計算存儲一體化資源池。在資源池中，通過安裝虛擬化軟件，使計算資源能以云主機（虛擬機）的方式被不同的應用和不同用戶使用。資源池按設備用途細分為計算存儲虛擬化資源池區、高性能物理服務器/數據備份區、托管服務器區以及門戶管理區和安全管理區。

三、政務云平臺安全架構設計

政務云平臺需要滿足等保三級安全要求，從安全域的角度，可以分為安全計算域、安全管理域、安全網絡域和終端接入域。安全計算域是相同安全保護等級的物理主機/服務器的集合，安全網絡域是由通信網絡和接入網絡構成。安全管理域是對整體云計算中安全事件收集與管控報警的系統平臺。終端接入域是安全生產監管信息系統最終用戶的集合。各安全域之間通過邊界防護設備進行相應的隔離，在各安全域內部，根據地理位置、功能和重要程度又劃分為不同的安全區域，各區域之間通過ACL進行相應的隔離。

四、結語

隨著“數字政府”進程的大力推進，政務云也逐漸從虛擬化向容器演進，從基礎架構向平臺服務演進，云計算正成為大數據、物聯網、5G等創新業務的基礎平臺。

參考文獻

[1]GB50174-2008，電子信息系統機房設計規范[S]，北京：中國計劃出版社，2008

[2]GB/T22239-2019，信息安全技術 網絡安全等級保護基本要求[S]，公安部信息安全等級保護評估中心，2019