政府信息化發展中政務云的建設模式構建

尚丹

（天津市大數據管理中心 天津市 300221）

政務云依托云數據中心，結合云計算技術的特點，將人口、法人、自然資源和地理空間信息、宏觀經濟四大信息庫用數據連接起來。構建政務云不僅有助于各個電子政務應用的鏈接和互操作，還有助于節省建設成本。隨著云計算產業和整個市場的快速發展，國內政府機構的云計算應用正在成倍增長，一些機構已經開始積極考慮使用云計算來滿足其公共服務和電子政務需求。

1 政務云相關概述

1.1 政務云

政務云是基于云計算技術的技術平臺，可以有效優化政府機構的行政管理和服務功能，有效提高政府流程的效率和政府機構的服務水平。

1.2 政務云服務

單一的政務云服務，包括虛擬主機、軟件和安全，將提供集中共享的基本安全和共同支持服務，為各部門的政府信息系統提供服務支持、運行保障和維護。具體服務包括：

（1）政務云資源服務分為兩種基本類型：第一種是基礎資源服務，是指計算資源、網絡、基礎軟件支持、云視頻等類型的通用服務；第二種是靈活定制的高級資源服務，如計算資源、容器、微服務、人工智能、云數據庫等。

（2）在政務云的資源服務安全方面，基于政務云平臺的底層環境已達到同等級別的安全標準，并進一步增加流量監測等安全服務[1]。

2 政務云平臺設計要求

2.1 資源應用要求

政務云平臺不僅提供計算、安全和存儲能力，還提供資源支持，支持PaaS 智能應用。由于可擴展性和性能問題，許多為該行業設計的商業軟件都不使用SOA體系結構。政務云云數據中心應該能夠為不同租戶提供充分的資源隔離、自動調度、QoS 和SLA 保證、實時監控和核算，并能夠提供此類功能。

2.2.1 互聯網用戶

為了實現無病毒的政務云，必須使用最嚴格的安全措施保護其免受來自互聯網的各種攻擊。

2.2.2 政府部門的私人用戶政府部門的私人用戶包括移動用戶、家庭用戶和辦公網絡用戶，因此需要在邊緣層面進行安全保護。

2.2.3 資源管理要求

資源管理提供各種計算資源的集中管理和分配，包括添加和刪除物理機以及創建和刪除虛擬機。資源管理要求包括將所有類型的X86 服務器整合到現有網絡中，并實施基于Xen 架構的開源虛擬化軟件。

2.2.4 服務性能要求

服務運行要求包括用戶管理、服務目錄管理、任務管理和用戶自助服務門戶。

2.2.5 統一運維要求

統一運維要求主要有四個方面：資源監控、統一管理、報警管理和性能統計。

（1）資源監控。政務云資源的整體監測指標必須符合國家規范的指標集要求，不能直接監測的指標應通過云平臺在目標系統中實時采集，以監測設備和負載狀態并提供報警功能。

（2）統一管理。不同子系統、不同設備的監測數據應統一采集、統一監測、統一顯示，以方便不同操作。

（3）報警管理。報警確認和清除、手動清除報警、誤報檢測、報警級別更新、報警說明編輯、報警經驗編輯、報警幫助顯示、報警屏蔽、報警通知、報警轉入工作指令、報警級別覆蓋、報警導出。

2.2.6 系統管理要求

云資源池管理系統應提供中文的人機界面（GUI），以便操作人員能夠有效地管理云計算平臺；GUI 應具有密碼保護功能，未經授權的人員無法進入該系統。系統管理員可以查看、創建和刪除操作員，跟蹤和監控他們的狀態；通過GUI，可以執行云計算平臺的大部分日常工作，配置系統的所有功能模塊和外圍應用，查看日志，訪問統計數據，生成報告，管理用戶和資源。

2.2.7 系統接口要求

資源池管理系統應提供與資源池系統、網管系統、4A及資源池管理系統以外的其他系統的接口協調功能。

2.3 政務云建設必要性

當前政務信息化發展面臨著數據資源分散、發展不足、開放共享不夠等挑戰。通過政務云構建統一的平臺，可以支持各部門政務信息系統的快速發展，促進各部門之間的互聯、互動和業務合作，提高政府工作效率，并有效克服以下困難[2]。

2.3.1 政府數據量越來越大，需要擴大基礎設施

隨著硬件技術的進步和數字技術在政府部門的普及，政府數據量不斷增長，相應的對數據采集的準確性和頻率的要求也越來越高，政府部門的軟硬件數據中心環境普遍要進行升級，如不采用云服務模式，沿用以前的方法，數據中心的建設和擴建將耗資巨大。

2.3.2 跨部門協作將成為常態

復雜的問題對跨部門合作提出了很高的要求，隨著體制改革，建立健全跨部門合作機制，逐步實現“幾個部門，一個政府”的目標，建立定期交流機制。

3 政務云建設效益分析

3.1 經濟效益

在統一的建設、管理、運營和維護制度下，政務云平臺可以實現對各政府機構的計算機資源、存儲資源、服務支持、安全等服務的統一管理，提高財政資源的使用效率，降低分布式系統的初始運營和維護成本。

3.2 社會效益

該平臺將整合提供計算、存儲和安全服務，并為政府信息系統的運行和維護提供保障；增強基礎設施服務和安全保護能力；促進機構間數據共享和交換；促進所有信息資源的整合；在滿足各機構業務需求的同時，進一步挖掘信息資源的政務價值。同時，有望為打造信息化、高效化、服務化的公共服務奠定基礎，助推智慧城市建設的新方式[3]。

4 政務云的技術原則和用戶架構的實現

4.1 政務云的技術原則

4.1.1 政務云中的分布式文件系統

分布式文件系統具有本地文件系統的所有特征，但也必須管理系統中所有計算機的文件資源。使用DFS，同一網絡中不同計算機上的用戶可以在共享文件夾中共享文件，這些文件夾可以被很好地組織起來，形成一個獨立的、有邏輯的、分層次的共享文件系統。

4.1.2 云存儲技術

云存儲指的是一種服務，可以應用于由不同類型的存儲設備組成的網絡，采用聚類的方法。用戶可以通過完全透明的、合法的和可訪問的網絡連接到云存儲，而不必擔心內部配置。

4.2 以用戶為中心的政務云架構

政務云的整體架構如圖1 所示。

圖1：基于用戶的政務云的架構

IaaS 層整合了服務器、存儲和網絡，并將虛擬抽象技術應用于服務器和存儲設備，以邏輯地管理相關的基礎設施。虛擬服務器采用虛擬管理、負載均衡和集群等技術，實現虛擬服務器之間的完全隔離；PaaS 層將各種基于平臺的API 集成到表現層；中間件的作用，如ESB，使中間層可以連接和管理獨立的應用程序。中間件的作用，如ESB，允許中間層連接和管理獨立的應用程序，表現層的API 服務使用SOA 技術將政府軟件的獨立功能組合成SOA 服務，然后作為服務總線提供給用戶。這一層可以為相關政府機構提供通用OA、政務服務、政府服務等應用軟件[4]。

5 政務云建設方案

假設初始硬件規模CPU 為1000 個物理核（含20臺物理服務器），虛擬化資源池中互聯網與政務外網的比例為2:1，生產存儲容量為1PB，備份存儲容量為1PB。

5.1 網絡資源設計

以單個數據中心為單位的政務云網絡分為互聯網區、公共外網區、云管理區、數據安全共享區和存儲區。

互聯網區通過高速連接與互聯網骨干網相連，政府外網區提供政府外網服務，根據服務類型，分為普通區和專用業務區。政府外網區通過高速鏈路與政府外網相連，為相關部門對政府外網和互聯網的業務訪問需求服務。安全數據交換區為政務外網和互聯網區域之間提供安全可控的數據交換。數據存儲區主要用于存儲服務器連接。此外，云管理區和安全交換區為安全、運營和維護、災難恢復和審計提供統一的管理和保護系統。管理層和操作層在政治云平臺內完全分離，并通過獨立的交換機聯網，以確保平臺的可靠性，避免不同網絡之間的競爭和導致的擁堵，并有效提高網絡性能 ，確保網絡不超載。

5.2 計算資源的設計

一般來說，計算資源的配置應根據實際業務需求來計算，在政務云方案中，CPU 被配置為1 個虛擬2或1 個虛擬3，其中CPU 與內存的比例通常為1：4。一個典型的計算節點虛擬化服務器是一個2 路模型，有10 個核心和256GB 內存（8x32GB 內存）。在部署的早期階段，政府互聯網和外網區的服務器數量通常是2:1 的物理服務器比例，使用2 路模型，有10 個內核和512GB 內存（16x32GB 內存）。虛擬化服務器包括兩個10GE 光口作為存儲網絡接口，接入SAN 交換機，用于存儲、政府間業務交流的業務數據接入網絡、接入政府系統、虛擬機管理、虛擬機熱遷移等以及虛擬化管理。兩個10GE 光口需要配置成提供聯網的業務/帶外管理網絡接口，五個或更多的網絡接口作為1GE 電口，帶外管理接口用于服務器的帶外管理。物理服務器應至少有五個網絡接口：兩個10GE 光口作為業務/互聯網管理網絡接口，連接業務數據訪問網絡和虛擬化管理網絡，州際業務交換包括訪問政府系統。兩個16GBFC 光口作為存儲區域網絡接口，連接計算節點和FCSAN 交換機，以滿足靈活的存儲擴展性和性能要求。存儲區域網絡接口。

計算資源使用基于KVM 的虛擬化軟件進行虛擬化，該軟件具有基本的虛擬化功能，提供服務器、存儲和網絡虛擬化，以及與OpenStack 頂層的接口。物理集群可以將多臺服務器劃分為資源集群，并支持虛擬機的熱遷移和HA 功能，如果需要，物理集群可以被設計為包含多個資源集群。每個區的虛擬化服務器可以由多個虛擬化集群組成，以實現集群的高資源可用性。在這種情況下，每個區的物理機資源將被配置在一個大的邏輯服務器集群內。

5.3 存儲資源的設計

根據業務需求，每個區的存儲資源池應分為物理機存儲資源池、虛擬機存儲資源池、開發測試存儲資源池和備份存儲資源池。管理外網區和互聯網區的存儲資源池在物理上是相互分離的。同一區域內的物理機和虛擬機的存儲資源池共享FCSAN/IPSAN 存儲。兩個區的開發和測試存儲資源池和備份存儲資源池可以共享內置的FCSAN+NAS 存儲，使用FCSAN 進行開發和測試存儲服務，使用NAS 進行備份存儲服務。生產存儲包括256GB 的緩存和1PB 的自由容量，備份和測試存儲包括64GB 的緩存和1PB 的自由容量，兩者一起管理[5]。

5.4 開發與測試區的設計

開發測試區主要用于軟件和硬件調試前的功能和性能測試，該區域的設計主要遵循以下幾點。

（1）測試區能與生產系統有效隔離，保證生產運行不受測試系統的影響。

（2）測試環境的要求可以更好地模擬生產環境。

（3）一旦測試完成，系統可以快速轉移到生產環境。

（4）測試環境平臺可以更好地支持迭代式軟件開發，提高開發人員的效率，因為它有更大的快照和恢復能力。

開發和測試資源池同時提供了虛擬機和物理機。虛擬服務器為雙10 核機型，內存256GB（8x32GB 內存），物理服務器為雙10 核機型，內存512GB（16x32GB 內存）。

5.5 信息安全程序

電子政務云的整體信息安全架構由兩部分組成：安全技術系統和安全管理系統。

安全技術系統是安全架構的主要支柱。內部和外部的網絡設備、具有不同功能的網絡設備和具有不同安全等級的應用系統設備根據其功能和安全等級被放置在各個區域。在關鍵區域安裝電子門禁系統進行控制，并部署報警系統和監控預警系統。在機房建筑中安裝了防雷裝置，在光伏轉換器中安裝了用于進入帶有光纖模塊的信號路徑的防雷裝置。在關鍵設備上安裝了RJ45 避雷器，以防止感應雷電的破壞，同時，必須安裝自動防火系統，機房和相關工作區域必須配備和加固防火建筑材料。

安裝防水檢測設備，使用精密空調，與電廠協調，鋪設冗余或平行電源線，安裝合適的EMC 柜。

信息安全架構提供三維安全功能，如網絡周邊訪問控制、病毒過濾、攻擊預防、入侵預防、防止未經授權的訪問和內部和外部網絡之間的安全通信，以及基于云的電子政務應用和內部網絡和計算機安全。在訪問控制方面，安全域在政務云平臺和相關部門的應用系統之間共享。安全域邊界的訪問控制包括系統之間和系統內安全域邊界之間的訪問控制，訪問控制主要通過防火墻進行。在安全管理和審計方面，網絡設備的運行狀態、網絡流量（如異常流量）、安全事件、系統日志和用戶行為都由政務云平臺根據記錄的數據和審計報告進行集中管理、關聯和分析。此外，該架構為系統驗證的記錄提供有效保護，以避免意外刪除、修改或覆蓋等風險操作。賬戶管理、系統認證、用戶認證和審計系統（系統4A）對所有用戶的賬戶管理、系統認證、用戶認證和審計進行管理。數據庫審計系統提供專業的數據庫安全審計服務，可以根據不同的數據庫日志結構全面還原交易內容，返回詳細的交易結果，使所有的訪問和安全交易可見。這提高了敏感用戶數據的安全性，防止數據丟失和被篡改。

網絡層和應用層主要通過IPS/IDS 設備進行實時保護，防止網絡攻擊的滲透。對于惡意軟件的保護，在網絡邊緣部署網絡防病毒設備，以檢測和隔離進入云平臺的網絡流量中的惡意代碼，在安全管理中心（位于云管理區）部署主機防病毒系統，以防止政務云平臺和各種系統的惡意代碼。

5.6 云管理平臺解決方案

云管理和服務交付平臺解決方案的管理軟件分為兩層：資源層和服務層。

資源層軟件主要是管理資源信息（如收集硬件信息），并向服務層提供資源信息，用于編制操作、發布和一般運維分析。

服務層軟件包括操作以及運營和維護。運營軟件將資源協調成可以管理和提供給租戶的服務，為管理者提供一個單一的運營平臺。

5.7 關于節約的建議

高部署和低部署系統的主要區別如下：

（1）云管理平臺：高配方式使用兩套云管理平臺軟件（物理分區），而低配方式使用一套云管理平臺軟件（邏輯分區）。

（2）開發和測試區：在高分布方式下，部署一套開發和測試區，開發和測試存儲與備份存儲共享。在低分布方式中，不提供開發和測試區域[6]。

（3）安全領域：高分配方案中的安全功能配置齊全，性能高，低分配方案中的安全功能充足。

（4）政務外網與互聯網之間的數據交換區：在高分配方案中，政務外網與互聯網區域之間有若干網絡閘門；在低分配方案中，沒有網絡閘門。

6 結束語

總之，隨著政府部門信息化的逐步發展，有必要開發一個完美的政治云模式，以滿足政府部門的實際業務需求。在此過程中，需要結合政府部門的信息化現狀，明確所提供的IT 服務內容，實施以SaaS 模式為核心、包含PaaS 模式的理想的政務云建設，從而取得以下成果，為提高政府部門效率奠定基礎。