关于大型政务云平台架构体系的研究

王斌

摘要：在国家“十三五”计划背景下，推动基于互联网的公共服务模式创新，推进基于云计算的信息服务公共平台建设，增强公共产品供给能力，逐步实现政務服务一网通办和一网统管。政务云平台已成为各数字政府的重点建设项目，本文对大型政务云平台的架构体系进行了研究，阐述了政务云平台技术、网络和安全的发展路线。

关键词：云计算;政务服务;体系架构

一、背景

以加强互联网政务信息数据服务平台和便民服务平台建设为契机，以提高现有电子政务基础设施利用效率，促进电子政务集约化发展为主要目的，参照《关于印发政务信息资源共享管理暂行办法的通知》、《关于印发“十三五”国家信息化规划的通知》等相关要求，各级政府计划启动政务云平台的建设。

按照政府系统信息交互、资源共享、业务协同、资源复用、节能环保等要求，采用云计算等先进信息技术，对数据中心进行总体规划，实现统一建设标准、统一基础平台、统一安全防护、统一运行管理，为创新社会管理模式，建设服务型政府提供支撑和保障。

二、政务云平台架构设计

国家高度重视以云计算为代表的新一代信息产业发展，发布了《关于促进云计算创新发展培育信息产业新业态的意见》等政策措施。在政府积极引导和企业战略布局等推动下，经过社会各界共同努力，云计算已逐渐被市场认可和接受。云计算引发了软件开发部署模式的创新，成为承载数字政府的关键基础设施，并为大数据、物联网、人工智能等新兴领域的发展提供基础支撑，推动网络强国、数字中国、智能社会战略的关键基础设施。

2.1主流云平台技术路线

1.传统路线：虚拟机

这是已经被广泛应用的技术路线，从AWS到国内的阿里云，使用者得到的最小单位是虚拟机，需要追加和扩展的资源实际上是整个虚拟机的资源。但每一个虚拟机资源都受到物理机最大资源的限制。

2.轻量级路线：容器云

随着Docker的出现，容器云开始出现，容器云是以应用可以简单理解为一个或一组程序。在容器云上以应用为最基本单位进行资源（CPU、内存、硬盘）的分配，相对于虚拟机云，容器云资源分割粒度进一步精细化。

3.中间线路：容器+mini kernel

这条线路是容器中之间不再共享内核，而是为每一个容器提供一个独立的内核。Intel推出的clear Linux项目，就是这种线路的代表。中间路线是前面两条路线的融合，未来容器云路线极有可能向此条路线发展。

三条技术路线，代表着三个时代，虚拟机路线是最早出现且成熟的，因为它符合了技术人员的使用习惯，方便过渡。容器云是目前发展最快的路线，因为它把资源分割粒度做到最小，且使用传统的运维工作提升效率。未来有可能是容器+mini kernel路线的天下，更高、更便捷、更安全，永远是追求的目标。国内政务云正处于第一路线向第二路线过渡的过程，与公有云不通，安全、稳定是政务云更看重的特性。

2.2政务云平台体系架构

当前政务系统内常见的网络接入类型有：互联网、政务外网、业务专网等。互联网适合部署公共服务类业务，为大众提供访问服务;政务外网适合政府内部非涉密业务，国家、省、市、县垂直互联;业务专网适合“十二金”等专用业务。按照《电子信息系统机房设计规范》（GB50174-2008）B级标准建设数据中心机房、按照《信息安全技术 网络安全等级保护基本要求》（GB/T22239-2019）等级保护三级标准建设政务云平台。

政务云平台基于网络而建设，可以部署互联网区、政务外网区、业务专网区，在某些特殊的需求下，比如要求机房和物理设备独立部署的情况，云平台也可以独立部署。

无论基于哪种网络，云平台通用的网络划分大体相同，以基于政务外网云平台为例，包含如下区域

1.边界接入区

通过双链路上联至政务外网实现与各地市政务系统以及省直单位政务系统的数据交互。通过双链路上联政务外网和业务专网，政务云访问互联网提供统一出口，提供互联网业务访问能力。

2.安全访问控制区

部署与外网进行数据交互的安全隔离设备，确保数据访问安全。在政务外网出口部署等级保护三级安全设备等确保进入数据流量的安全性，之后数据流量进入到核心交换区进行转发。

3.核心区

网络核心区是整个网络的流量汇集地，来自外部网络以及服务器集群的流量全部要经过网络核心区。网络和数据库审计系统连接核心交换机对网络及数据库流量做日志审计。部署安全隔离防火墙用于外网与专网数据交换。

4.门户管理区

部署云管理平台、网络管理平台、虚拟化管理平台等管理服务器，通过对云管理平台、网络管理平台、虚拟化管理平台等软件的部署，实现对底层资源的合理管控，保障业务运行的可靠性、可用性，合理的分配资源，通过自动化的运维管理，提升运维管理效率。

5.安全管理区

部署漏洞扫描系统、堡垒机、防病毒服务器、安全SOC管理平台提供云平台的安全管理服务。

6.业务区

将计算存储节点和磁盘阵列组合在一起，作为云平台的计算存储一体化资源池。在资源池中，通过安装虚拟化软件，使计算资源能以云主机（虚拟机）的方式被不同的应用和不同用户使用。资源池按设备用途细分为计算存储虚拟化资源池区、高性能物理服务器/数据备份区、托管服务器区以及门户管理区和安全管理区。

三、政务云平台安全架构设计

政务云平台需要满足等保三级安全要求，从安全域的角度，可以分为安全计算域、安全管理域、安全网络域和终端接入域。安全计算域是相同安全保护等级的物理主机/服务器的集合，安全网络域是由通信网络和接入网络构成。安全管理域是对整体云计算中安全事件收集与管控报警的系统平台。终端接入域是安全生产监管信息系统最终用户的集合。各安全域之间通过边界防护设备进行相应的隔离，在各安全域内部，根据地理位置、功能和重要程度又划分为不同的安全区域，各区域之间通过ACL进行相应的隔离。

四、结语

随着“数字政府”进程的大力推进，政务云也逐渐从虚拟化向容器演进，从基础架构向平台服务演进，云计算正成为大数据、物联网、5G等创新业务的基础平台。

参考文献

[1]GB50174-2008，电子信息系统机房设计规范[S]，北京：中国计划出版社，2008

[2]GB/T22239-2019，信息安全技术 网络安全等级保护基本要求[S]，公安部信息安全等级保护评估中心，2019