政府信息化发展中政务云的建设模式构建

尚丹

（天津市大数据管理中心 天津市 300221）

政务云依托云数据中心，结合云计算技术的特点，将人口、法人、自然资源和地理空间信息、宏观经济四大信息库用数据连接起来。构建政务云不仅有助于各个电子政务应用的链接和互操作，还有助于节省建设成本。随着云计算产业和整个市场的快速发展，国内政府机构的云计算应用正在成倍增长，一些机构已经开始积极考虑使用云计算来满足其公共服务和电子政务需求。

1 政务云相关概述

1.1 政务云

政务云是基于云计算技术的技术平台，可以有效优化政府机构的行政管理和服务功能，有效提高政府流程的效率和政府机构的服务水平。

1.2 政务云服务

单一的政务云服务，包括虚拟主机、软件和安全，将提供集中共享的基本安全和共同支持服务，为各部门的政府信息系统提供服务支持、运行保障和维护。具体服务包括：

（1）政务云资源服务分为两种基本类型：第一种是基础资源服务，是指计算资源、网络、基础软件支持、云视频等类型的通用服务；第二种是灵活定制的高级资源服务，如计算资源、容器、微服务、人工智能、云数据库等。

（2）在政务云的资源服务安全方面，基于政务云平台的底层环境已达到同等级别的安全标准，并进一步增加流量监测等安全服务[1]。

2 政务云平台设计要求

2.1 资源应用要求

政务云平台不仅提供计算、安全和存储能力，还提供资源支持，支持PaaS 智能应用。由于可扩展性和性能问题，许多为该行业设计的商业软件都不使用SOA体系结构。政务云云数据中心应该能够为不同租户提供充分的资源隔离、自动调度、QoS 和SLA 保证、实时监控和核算，并能够提供此类功能。

2.2.1 互联网用户

为了实现无病毒的政务云，必须使用最严格的安全措施保护其免受来自互联网的各种攻击。

2.2.2 政府部门的私人用户政府部门的私人用户包括移动用户、家庭用户和办公网络用户，因此需要在边缘层面进行安全保护。

2.2.3 资源管理要求

资源管理提供各种计算资源的集中管理和分配，包括添加和删除物理机以及创建和删除虚拟机。资源管理要求包括将所有类型的X86 服务器整合到现有网络中，并实施基于Xen 架构的开源虚拟化软件。

2.2.4 服务性能要求

服务运行要求包括用户管理、服务目录管理、任务管理和用户自助服务门户。

2.2.5 统一运维要求

统一运维要求主要有四个方面：资源监控、统一管理、报警管理和性能统计。

（1）资源监控。政务云资源的整体监测指标必须符合国家规范的指标集要求，不能直接监测的指标应通过云平台在目标系统中实时采集，以监测设备和负载状态并提供报警功能。

（2）统一管理。不同子系统、不同设备的监测数据应统一采集、统一监测、统一显示，以方便不同操作。

（3）报警管理。报警确认和清除、手动清除报警、误报检测、报警级别更新、报警说明编辑、报警经验编辑、报警帮助显示、报警屏蔽、报警通知、报警转入工作指令、报警级别覆盖、报警导出。

2.2.6 系统管理要求

云资源池管理系统应提供中文的人机界面（GUI），以便操作人员能够有效地管理云计算平台；GUI 应具有密码保护功能，未经授权的人员无法进入该系统。系统管理员可以查看、创建和删除操作员，跟踪和监控他们的状态；通过GUI，可以执行云计算平台的大部分日常工作，配置系统的所有功能模块和外围应用，查看日志，访问统计数据，生成报告，管理用户和资源。

2.2.7 系统接口要求

资源池管理系统应提供与资源池系统、网管系统、4A及资源池管理系统以外的其他系统的接口协调功能。

2.3 政务云建设必要性

当前政务信息化发展面临着数据资源分散、发展不足、开放共享不够等挑战。通过政务云构建统一的平台，可以支持各部门政务信息系统的快速发展，促进各部门之间的互联、互动和业务合作，提高政府工作效率，并有效克服以下困难[2]。

2.3.1 政府数据量越来越大，需要扩大基础设施

随着硬件技术的进步和数字技术在政府部门的普及，政府数据量不断增长，相应的对数据采集的准确性和频率的要求也越来越高，政府部门的软硬件数据中心环境普遍要进行升级，如不采用云服务模式，沿用以前的方法，数据中心的建设和扩建将耗资巨大。

2.3.2 跨部门协作将成为常态

复杂的问题对跨部门合作提出了很高的要求，随着体制改革，建立健全跨部门合作机制，逐步实现“几个部门，一个政府”的目标，建立定期交流机制。

3 政务云建设效益分析

3.1 经济效益

在统一的建设、管理、运营和维护制度下，政务云平台可以实现对各政府机构的计算机资源、存储资源、服务支持、安全等服务的统一管理，提高财政资源的使用效率，降低分布式系统的初始运营和维护成本。

3.2 社会效益

该平台将整合提供计算、存储和安全服务，并为政府信息系统的运行和维护提供保障；增强基础设施服务和安全保护能力；促进机构间数据共享和交换；促进所有信息资源的整合；在满足各机构业务需求的同时，进一步挖掘信息资源的政务价值。同时，有望为打造信息化、高效化、服务化的公共服务奠定基础，助推智慧城市建设的新方式[3]。

4 政务云的技术原则和用户架构的实现

4.1 政务云的技术原则

4.1.1 政务云中的分布式文件系统

分布式文件系统具有本地文件系统的所有特征，但也必须管理系统中所有计算机的文件资源。使用DFS，同一网络中不同计算机上的用户可以在共享文件夹中共享文件，这些文件夹可以被很好地组织起来，形成一个独立的、有逻辑的、分层次的共享文件系统。

4.1.2 云存储技术

云存储指的是一种服务，可以应用于由不同类型的存储设备组成的网络，采用聚类的方法。用户可以通过完全透明的、合法的和可访问的网络连接到云存储，而不必担心内部配置。

4.2 以用户为中心的政务云架构

政务云的整体架构如图1 所示。

图1：基于用户的政务云的架构

IaaS 层整合了服务器、存储和网络，并将虚拟抽象技术应用于服务器和存储设备，以逻辑地管理相关的基础设施。虚拟服务器采用虚拟管理、负载均衡和集群等技术，实现虚拟服务器之间的完全隔离；PaaS 层将各种基于平台的API 集成到表现层；中间件的作用，如ESB，使中间层可以连接和管理独立的应用程序。中间件的作用，如ESB，允许中间层连接和管理独立的应用程序，表现层的API 服务使用SOA 技术将政府软件的独立功能组合成SOA 服务，然后作为服务总线提供给用户。这一层可以为相关政府机构提供通用OA、政务服务、政府服务等应用软件[4]。

5 政务云建设方案

假设初始硬件规模CPU 为1000 个物理核（含20台物理服务器），虚拟化资源池中互联网与政务外网的比例为2:1，生产存储容量为1PB，备份存储容量为1PB。

5.1 网络资源设计

以单个数据中心为单位的政务云网络分为互联网区、公共外网区、云管理区、数据安全共享区和存储区。

互联网区通过高速连接与互联网骨干网相连，政府外网区提供政府外网服务，根据服务类型，分为普通区和专用业务区。政府外网区通过高速链路与政府外网相连，为相关部门对政府外网和互联网的业务访问需求服务。安全数据交换区为政务外网和互联网区域之间提供安全可控的数据交换。数据存储区主要用于存储服务器连接。此外，云管理区和安全交换区为安全、运营和维护、灾难恢复和审计提供统一的管理和保护系统。管理层和操作层在政治云平台内完全分离，并通过独立的交换机联网，以确保平台的可靠性，避免不同网络之间的竞争和导致的拥堵，并有效提高网络性能 ，确保网络不超载。

5.2 计算资源的设计

一般来说，计算资源的配置应根据实际业务需求来计算，在政务云方案中，CPU 被配置为1 个虚拟2或1 个虚拟3，其中CPU 与内存的比例通常为1：4。一个典型的计算节点虚拟化服务器是一个2 路模型，有10 个核心和256GB 内存（8x32GB 内存）。在部署的早期阶段，政府互联网和外网区的服务器数量通常是2:1 的物理服务器比例，使用2 路模型，有10 个内核和512GB 内存（16x32GB 内存）。虚拟化服务器包括两个10GE 光口作为存储网络接口，接入SAN 交换机，用于存储、政府间业务交流的业务数据接入网络、接入政府系统、虚拟机管理、虚拟机热迁移等以及虚拟化管理。两个10GE 光口需要配置成提供联网的业务/带外管理网络接口，五个或更多的网络接口作为1GE 电口，带外管理接口用于服务器的带外管理。物理服务器应至少有五个网络接口：两个10GE 光口作为业务/互联网管理网络接口，连接业务数据访问网络和虚拟化管理网络，州际业务交换包括访问政府系统。两个16GBFC 光口作为存储区域网络接口，连接计算节点和FCSAN 交换机，以满足灵活的存储扩展性和性能要求。存储区域网络接口。

计算资源使用基于KVM 的虚拟化软件进行虚拟化，该软件具有基本的虚拟化功能，提供服务器、存储和网络虚拟化，以及与OpenStack 顶层的接口。物理集群可以将多台服务器划分为资源集群，并支持虚拟机的热迁移和HA 功能，如果需要，物理集群可以被设计为包含多个资源集群。每个区的虚拟化服务器可以由多个虚拟化集群组成，以实现集群的高资源可用性。在这种情况下，每个区的物理机资源将被配置在一个大的逻辑服务器集群内。

5.3 存储资源的设计

根据业务需求，每个区的存储资源池应分为物理机存储资源池、虚拟机存储资源池、开发测试存储资源池和备份存储资源池。管理外网区和互联网区的存储资源池在物理上是相互分离的。同一区域内的物理机和虚拟机的存储资源池共享FCSAN/IPSAN 存储。两个区的开发和测试存储资源池和备份存储资源池可以共享内置的FCSAN+NAS 存储，使用FCSAN 进行开发和测试存储服务，使用NAS 进行备份存储服务。生产存储包括256GB 的缓存和1PB 的自由容量，备份和测试存储包括64GB 的缓存和1PB 的自由容量，两者一起管理[5]。

5.4 开发与测试区的设计

开发测试区主要用于软件和硬件调试前的功能和性能测试，该区域的设计主要遵循以下几点。

（1）测试区能与生产系统有效隔离，保证生产运行不受测试系统的影响。

（2）测试环境的要求可以更好地模拟生产环境。

（3）一旦测试完成，系统可以快速转移到生产环境。

（4）测试环境平台可以更好地支持迭代式软件开发，提高开发人员的效率，因为它有更大的快照和恢复能力。

开发和测试资源池同时提供了虚拟机和物理机。虚拟服务器为双10 核机型，内存256GB（8x32GB 内存），物理服务器为双10 核机型，内存512GB（16x32GB 内存）。

5.5 信息安全程序

电子政务云的整体信息安全架构由两部分组成：安全技术系统和安全管理系统。

安全技术系统是安全架构的主要支柱。内部和外部的网络设备、具有不同功能的网络设备和具有不同安全等级的应用系统设备根据其功能和安全等级被放置在各个区域。在关键区域安装电子门禁系统进行控制，并部署报警系统和监控预警系统。在机房建筑中安装了防雷装置，在光伏转换器中安装了用于进入带有光纤模块的信号路径的防雷装置。在关键设备上安装了RJ45 避雷器，以防止感应雷电的破坏，同时，必须安装自动防火系统，机房和相关工作区域必须配备和加固防火建筑材料。

安装防水检测设备，使用精密空调，与电厂协调，铺设冗余或平行电源线，安装合适的EMC 柜。

信息安全架构提供三维安全功能，如网络周边访问控制、病毒过滤、攻击预防、入侵预防、防止未经授权的访问和内部和外部网络之间的安全通信，以及基于云的电子政务应用和内部网络和计算机安全。在访问控制方面，安全域在政务云平台和相关部门的应用系统之间共享。安全域边界的访问控制包括系统之间和系统内安全域边界之间的访问控制，访问控制主要通过防火墙进行。在安全管理和审计方面，网络设备的运行状态、网络流量（如异常流量）、安全事件、系统日志和用户行为都由政务云平台根据记录的数据和审计报告进行集中管理、关联和分析。此外，该架构为系统验证的记录提供有效保护，以避免意外删除、修改或覆盖等风险操作。账户管理、系统认证、用户认证和审计系统（系统4A）对所有用户的账户管理、系统认证、用户认证和审计进行管理。数据库审计系统提供专业的数据库安全审计服务，可以根据不同的数据库日志结构全面还原交易内容，返回详细的交易结果，使所有的访问和安全交易可见。这提高了敏感用户数据的安全性，防止数据丢失和被篡改。

网络层和应用层主要通过IPS/IDS 设备进行实时保护，防止网络攻击的渗透。对于恶意软件的保护，在网络边缘部署网络防病毒设备，以检测和隔离进入云平台的网络流量中的恶意代码，在安全管理中心（位于云管理区）部署主机防病毒系统，以防止政务云平台和各种系统的恶意代码。

5.6 云管理平台解决方案

云管理和服务交付平台解决方案的管理软件分为两层：资源层和服务层。

资源层软件主要是管理资源信息（如收集硬件信息），并向服务层提供资源信息，用于编制操作、发布和一般运维分析。

服务层软件包括操作以及运营和维护。运营软件将资源协调成可以管理和提供给租户的服务，为管理者提供一个单一的运营平台。

5.7 关于节约的建议

高部署和低部署系统的主要区别如下：

（1）云管理平台：高配方式使用两套云管理平台软件（物理分区），而低配方式使用一套云管理平台软件（逻辑分区）。

（2）开发和测试区：在高分布方式下，部署一套开发和测试区，开发和测试存储与备份存储共享。在低分布方式中，不提供开发和测试区域[6]。

（3）安全领域：高分配方案中的安全功能配置齐全，性能高，低分配方案中的安全功能充足。

（4）政务外网与互联网之间的数据交换区：在高分配方案中，政务外网与互联网区域之间有若干网络闸门；在低分配方案中，没有网络闸门。

6 结束语

总之，随着政府部门信息化的逐步发展，有必要开发一个完美的政治云模式，以满足政府部门的实际业务需求。在此过程中，需要结合政府部门的信息化现状，明确所提供的IT 服务内容，实施以SaaS 模式为核心、包含PaaS 模式的理想的政务云建设，从而取得以下成果，为提高政府部门效率奠定基础。