寧庭勇 熊婕 胡永波

(云賽智聯(lián)股份有限公司，上海 200233)

0 引言

特大型的城市數(shù)據(jù)集中度高，政府各部門應(yīng)用系統(tǒng)數(shù)量多，一般生產(chǎn)環(huán)境都租用運(yùn)營商建設(shè)的政務(wù)云，而且重要系統(tǒng)會部署在多個(gè)數(shù)據(jù)中心，以實(shí)現(xiàn)應(yīng)用級系統(tǒng)容災(zāi)。由于超大型城市政務(wù)云服務(wù)由多個(gè)運(yùn)營商分別提供，應(yīng)用系統(tǒng)的同城和異地?cái)?shù)據(jù)級災(zāi)難備份業(yè)務(wù)面臨各種問題，很難集中、有效、集約化地開展工作。特大型城市的政府公共數(shù)據(jù)量相對巨大(上百PB級)，因此由政府自建數(shù)據(jù)中心，對政務(wù)信息系統(tǒng)做統(tǒng)一的數(shù)據(jù)級災(zāi)難備份成為可能。

電子政務(wù)與金融、煙草等行業(yè)不同，由于分管部門覆蓋面大，專業(yè)領(lǐng)域廣，涉及到的信息系統(tǒng)數(shù)據(jù)敏感度高，因此數(shù)據(jù)級災(zāi)備數(shù)據(jù)中心網(wǎng)絡(luò)的設(shè)計(jì)有其自身特色。本文將結(jié)合政務(wù)行業(yè)特點(diǎn)，重點(diǎn)闡述政務(wù)領(lǐng)域數(shù)據(jù)級災(zāi)備數(shù)據(jù)中心的網(wǎng)絡(luò)建設(shè)，對國內(nèi)大型城市政府災(zāi)難備份中心網(wǎng)絡(luò)建設(shè)提出可供參考的方案[1]。

1 政務(wù)領(lǐng)域?yàn)?zāi)備特點(diǎn)

1.1 災(zāi)備網(wǎng)絡(luò)邊界

政務(wù)領(lǐng)域存在多個(gè)網(wǎng)絡(luò)邊界，有面向互聯(lián)網(wǎng)為民眾和企業(yè)提供以辦事為主的“一網(wǎng)通辦”類型的應(yīng)用，也有跨政府部門之間運(yùn)行于政務(wù)外網(wǎng)的“一網(wǎng)統(tǒng)管”類型的應(yīng)用，還有運(yùn)行于政務(wù)內(nèi)網(wǎng)的關(guān)鍵應(yīng)用。不同的網(wǎng)絡(luò)邊界，安全等級與運(yùn)行的系統(tǒng)的數(shù)量差距很大，本文所指的災(zāi)難備份中心是為運(yùn)行在互聯(lián)網(wǎng)和政務(wù)外網(wǎng)上的電子政務(wù)信息系統(tǒng)提供災(zāi)難備份服務(wù)的數(shù)據(jù)中心[2]。

1.2 災(zāi)備中心定位

國內(nèi)政務(wù)領(lǐng)域的信息化已逐步轉(zhuǎn)化為以采購運(yùn)營商云服務(wù)為主的模式，當(dāng)前政務(wù)部門主要的應(yīng)用基本都已經(jīng)遷移上云，利用云服務(wù)的彈性和容災(zāi)優(yōu)勢，已基本能夠保證信息系統(tǒng)面臨常規(guī)災(zāi)難(如系統(tǒng)異常、網(wǎng)絡(luò)中斷、電力中斷等)時(shí)的穩(wěn)定運(yùn)行。

隨著政務(wù)信息系統(tǒng)的云化、集中化部署及大量巨系統(tǒng)的出現(xiàn)，政務(wù)領(lǐng)域所產(chǎn)生的公共數(shù)據(jù)正在急劇增加，隨著政府對數(shù)據(jù)資產(chǎn)的重視程度越來越高，如何提高數(shù)據(jù)的可用性和安全性顯得越來越重要。因此，除了業(yè)務(wù)和數(shù)據(jù)日常運(yùn)行在租用的運(yùn)營商云服務(wù)上之外，在發(fā)生更高不可控風(fēng)險(xiǎn)(如地震、海嘯、戰(zhàn)爭等)情況下，也要有其他措施保證政府的關(guān)鍵核心數(shù)據(jù)以及公共數(shù)據(jù)資源的安全，這是特大型城市提高抗風(fēng)險(xiǎn)等級和體現(xiàn)城市運(yùn)行韌性的關(guān)鍵能力。

1.3 災(zāi)備體系架構(gòu)

特大型城市政府需要考慮以“兩地三中心”的模式建設(shè)政務(wù)信息系統(tǒng)災(zāi)備體系[3-4]。其中，“兩地”是指本地及異地；“三中心”是指生產(chǎn)中心、同城災(zāi)備中心、異地災(zāi)備中心。

(1)生產(chǎn)中心：是電子政務(wù)信息系統(tǒng)所部署的數(shù)據(jù)中心，承擔(dān)該信息系統(tǒng)的生產(chǎn)運(yùn)行，同時(shí)在生產(chǎn)中心內(nèi)可實(shí)現(xiàn)備份。

(2)同城災(zāi)備中心：是政府機(jī)構(gòu)為提高本地信息資源的安全性，面向多部門、多類系統(tǒng)、多種業(yè)務(wù)統(tǒng)一建設(shè)的災(zāi)備中心。

(3)異地災(zāi)備中心：是指由于數(shù)據(jù)集中會帶來風(fēng)險(xiǎn)集中、城市區(qū)域內(nèi)大量信息系統(tǒng)的災(zāi)備服務(wù)終止，并由此可能造成較嚴(yán)重的后果，因此選擇與同城災(zāi)備中心相距一定距離的數(shù)據(jù)中心作為異地災(zāi)備中心，用以防范地震、海嘯、戰(zhàn)爭等不可控的城市級災(zāi)難。

超大型城市存在多個(gè)運(yùn)營商分別運(yùn)行多個(gè)雙數(shù)據(jù)中心政務(wù)云資源的情況，不同部門的業(yè)務(wù)系統(tǒng)分別部署在不同的政務(wù)云上，政務(wù)云內(nèi)由運(yùn)營商分別提供云內(nèi)的本地備份服務(wù)和跨數(shù)據(jù)中心的應(yīng)用容災(zāi)方案，這些都應(yīng)歸屬為生產(chǎn)中心。政府應(yīng)考慮建設(shè)提供統(tǒng)一數(shù)據(jù)級災(zāi)難備份服務(wù)的同城災(zāi)備中心和異地災(zāi)備中心[5]，將城市級的公共數(shù)據(jù)和政務(wù)信息系統(tǒng)的關(guān)鍵數(shù)據(jù)進(jìn)行異地備份、中長期電子歸檔和防災(zāi)保護(hù)。

2 政務(wù)信息系統(tǒng)災(zāi)備中心網(wǎng)絡(luò)服務(wù)模型

政務(wù)信息系統(tǒng)災(zāi)備中心網(wǎng)絡(luò)服務(wù)是使用云服務(wù)技術(shù)，提供能夠滿足政務(wù)行業(yè)城市級災(zāi)備業(yè)務(wù)發(fā)展要求、安全可控的關(guān)鍵基礎(chǔ)設(shè)施的服務(wù)(見圖1)。

政務(wù)信息系統(tǒng)災(zāi)備中心的網(wǎng)絡(luò)模型分三層[6]，分別為部署在各政務(wù)云數(shù)據(jù)中心內(nèi)的災(zāi)備前置接入服務(wù)層，部署在災(zāi)備中心內(nèi)的網(wǎng)絡(luò)擴(kuò)展服務(wù)層和網(wǎng)絡(luò)服務(wù)層。政務(wù)信息系統(tǒng)災(zāi)備中心網(wǎng)絡(luò)建成后，其作為政府統(tǒng)一提供數(shù)據(jù)級災(zāi)備的節(jié)點(diǎn)，需要持續(xù)性地進(jìn)行數(shù)據(jù)備份業(yè)務(wù)的運(yùn)行工作，重點(diǎn)考慮提供面向全市市區(qū)兩級多個(gè)政務(wù)云上災(zāi)難備份數(shù)據(jù)定時(shí)和實(shí)時(shí)的連續(xù)性數(shù)據(jù)傳輸保障能力[7]。

圖1 網(wǎng)絡(luò)服務(wù)模型

2.1 災(zāi)備前置接入服務(wù)層

災(zāi)備前置接入服務(wù)層要滿足從電子政務(wù)云數(shù)據(jù)中心的生產(chǎn)環(huán)境中取得備份數(shù)據(jù)的需要，不僅要從政務(wù)云的不同網(wǎng)絡(luò)區(qū)域內(nèi)按照備份策略取得備份數(shù)據(jù)，而且也需要使用備份數(shù)據(jù)用到的業(yè)務(wù)部門的密碼對數(shù)據(jù)進(jìn)行加密，其次還要通過虛擬專用網(wǎng)絡(luò)(Virtual Private Network ，VPN)接入技術(shù)打通政務(wù)云數(shù)據(jù)中心到災(zāi)備中心的災(zāi)備傳輸加密網(wǎng)絡(luò)，滿足災(zāi)備中心數(shù)據(jù)級災(zāi)備業(yè)務(wù)管理系統(tǒng)的數(shù)據(jù)加密、打包、調(diào)度和存儲需求。

2.2 網(wǎng)絡(luò)擴(kuò)展服務(wù)層

災(zāi)備中心網(wǎng)絡(luò)擴(kuò)展服務(wù)層要滿足全市政務(wù)云上與災(zāi)備中心政務(wù)外網(wǎng)連接的擴(kuò)展服務(wù)需求，要提供政務(wù)外網(wǎng)上統(tǒng)一的域名解析服務(wù)，以保證全網(wǎng)地址訪問的統(tǒng)一；要提供VPN接入和安全套接字協(xié)議(Secure Sockets Layer，SSL)加速的能力，以保證全市多個(gè)政務(wù)云的災(zāi)備數(shù)據(jù)快速、安全、有效地傳遞到災(zāi)備中心；要滿足全網(wǎng)多數(shù)據(jù)中心到災(zāi)備中心網(wǎng)絡(luò)傳輸?shù)木W(wǎng)絡(luò)負(fù)載均衡[8]。

2.3 網(wǎng)絡(luò)服務(wù)層

災(zāi)備中心網(wǎng)絡(luò)服務(wù)層要滿足數(shù)據(jù)備份傳輸需要，且具備災(zāi)難備份數(shù)據(jù)保障的功能。在電子政務(wù)外網(wǎng)上要建設(shè)多個(gè)生產(chǎn)數(shù)據(jù)中心和災(zāi)備中心連接的高速數(shù)據(jù)通道，重點(diǎn)用于備份數(shù)據(jù)的傳輸，核心以保障同城(異地)數(shù)據(jù)級備份為主，用以提高城市公共數(shù)據(jù)的可用性。

(1)災(zāi)備中心網(wǎng)絡(luò)服務(wù)要構(gòu)建面向符合災(zāi)難備份等級需求的應(yīng)用系統(tǒng)數(shù)據(jù)級災(zāi)備服務(wù)，提供全市統(tǒng)一的災(zāi)難備份網(wǎng)絡(luò)接入服務(wù)。災(zāi)備中心內(nèi)部也需要有高性能的網(wǎng)絡(luò)傳輸和恢復(fù)能力，為租戶短時(shí)間傳輸和恢復(fù)備份文件提供保障。

(2)災(zāi)備中心網(wǎng)絡(luò)服務(wù)也要根據(jù)政府災(zāi)難備份分類分級要求，進(jìn)行安全域、層次化、功能化的網(wǎng)絡(luò)區(qū)域劃分，為不同的計(jì)算資源和存儲資源提供專用的內(nèi)部網(wǎng)絡(luò)高性能接入，從而構(gòu)建出滿足技術(shù)和業(yè)務(wù)需求、具有一定先進(jìn)性的災(zāi)備數(shù)據(jù)中心。

由上可見，災(zāi)備中心需要構(gòu)建完善的災(zāi)備中心網(wǎng)絡(luò)安全技術(shù)體系，利用主動與被動防御相結(jié)合的安全技術(shù)[9]，形成網(wǎng)絡(luò)邊界、內(nèi)部網(wǎng)絡(luò)到系統(tǒng)的整體縱深防御體系；需要擁有信息加密、入侵檢測與防范、病毒掃描防范、主機(jī)系統(tǒng)加固、訪問控制、身份認(rèn)證和安全審計(jì)等功能；還需要部署統(tǒng)一集中的網(wǎng)絡(luò)和安全管理子系統(tǒng)，對整個(gè)災(zāi)備中心運(yùn)行的網(wǎng)絡(luò)、安全和系統(tǒng)狀況進(jìn)行統(tǒng)一的管理和監(jiān)控，將災(zāi)備中心的安全風(fēng)險(xiǎn)和事件進(jìn)行統(tǒng)一的收集和管理，依托運(yùn)維管理子系統(tǒng)將人、事、物、操作等進(jìn)行高效的調(diào)度和組合，以形成完善的運(yùn)行維護(hù)體系和應(yīng)急響應(yīng)機(jī)制。

3 政務(wù)信息系統(tǒng)災(zāi)備中心網(wǎng)絡(luò)區(qū)域劃分

政務(wù)信息系統(tǒng)災(zāi)備中心網(wǎng)絡(luò)在區(qū)域功能上分為災(zāi)備管理區(qū)、災(zāi)備業(yè)務(wù)區(qū)、災(zāi)備演練區(qū)、政務(wù)外網(wǎng)接入?yún)^(qū)、開發(fā)區(qū)/測試區(qū)、業(yè)務(wù)接入?yún)^(qū)、核心交換區(qū)等[1](見圖2)。

災(zāi)備管理區(qū)主要部署災(zāi)備云管系統(tǒng)、密碼管理平臺、災(zāi)備統(tǒng)一管理平臺等；災(zāi)備業(yè)務(wù)區(qū)以租戶網(wǎng)絡(luò)邏輯隔離的形式形成數(shù)據(jù)級災(zāi)備業(yè)務(wù)存放單元，存放加密災(zāi)備數(shù)據(jù)；災(zāi)備演練區(qū)用以創(chuàng)建邏輯隔離且封閉的數(shù)據(jù)恢復(fù)和演練網(wǎng)絡(luò)，并對加密存放的災(zāi)備數(shù)據(jù)提供解密服務(wù)；政務(wù)外網(wǎng)接入?yún)^(qū)為所有租戶訪問災(zāi)備中心業(yè)務(wù)系統(tǒng)提供網(wǎng)絡(luò)接入能力，并在該區(qū)域部署災(zāi)備中心門戶和用戶災(zāi)備業(yè)務(wù)管理系統(tǒng)；開發(fā)區(qū)/測試區(qū)為整體平臺維護(hù)和功能驗(yàn)證提供單獨(dú)區(qū)域；業(yè)務(wù)接入?yún)^(qū)是與各政務(wù)云上數(shù)據(jù)中心災(zāi)備前置區(qū)進(jìn)行高速安全連接的區(qū)域；核心交換區(qū)與所有網(wǎng)絡(luò)區(qū)分連接，保證整個(gè)災(zāi)備中心內(nèi)部的高速互聯(lián)[10]。

4 數(shù)據(jù)級災(zāi)備業(yè)務(wù)網(wǎng)絡(luò)

災(zāi)備業(yè)務(wù)網(wǎng)絡(luò)分為政務(wù)云側(cè)災(zāi)備前置備份區(qū)、災(zāi)備中心側(cè)災(zāi)備業(yè)務(wù)區(qū)和災(zāi)備演練區(qū)(見圖3)。

每個(gè)政務(wù)云數(shù)據(jù)中心側(cè)建設(shè)災(zāi)備前置備份區(qū)，通過防火墻邏輯隔離互聯(lián)網(wǎng)和政務(wù)外網(wǎng)區(qū)，通過部署裸金屬、虛擬化、備份作業(yè)軟件、加密設(shè)備以及調(diào)度、匯聚工具，實(shí)現(xiàn)將各數(shù)據(jù)中心前置區(qū)的加密備份文件通過統(tǒng)一的調(diào)度策略復(fù)制到災(zāi)備中心側(cè)的災(zāi)備業(yè)務(wù)區(qū)。

災(zāi)備中心側(cè)建設(shè)災(zāi)備業(yè)務(wù)區(qū)，主要是為災(zāi)備用戶以部門為單位分配災(zāi)備數(shù)據(jù)存儲云資源和虛擬機(jī)，并通過災(zāi)備業(yè)務(wù)管理子系統(tǒng)將傳輸?shù)綖?zāi)備中心的加密數(shù)據(jù)按照數(shù)據(jù)所對應(yīng)的業(yè)務(wù)系統(tǒng)和所屬的委辦存儲到相應(yīng)的邏輯租戶中。

圖2 災(zāi)備中心網(wǎng)絡(luò)體系結(jié)構(gòu)

圖3 災(zāi)備中心數(shù)據(jù)級災(zāi)備業(yè)務(wù)網(wǎng)絡(luò)[2,11]

災(zāi)備中心側(cè)建設(shè)災(zāi)備演練區(qū)，主要是用于進(jìn)行災(zāi)備數(shù)據(jù)恢復(fù)和災(zāi)備數(shù)據(jù)演練[12]。用戶通過部署在災(zāi)備數(shù)據(jù)演練區(qū)的加密設(shè)備進(jìn)行數(shù)據(jù)解密，并在恢復(fù)演練區(qū)驗(yàn)證災(zāi)備數(shù)據(jù)。

5 災(zāi)備中心網(wǎng)絡(luò)建設(shè)關(guān)鍵點(diǎn)

5.1 網(wǎng)絡(luò)可靠性

災(zāi)備中心網(wǎng)絡(luò)的關(guān)鍵線路包括災(zāi)備中心內(nèi)部骨干網(wǎng)絡(luò)、災(zāi)備業(yè)務(wù)備份作業(yè)線路和政務(wù)網(wǎng)外聯(lián)線路3種[3-4]。災(zāi)備作業(yè)針對每個(gè)政務(wù)云數(shù)據(jù)中心提供2條冗余專用備份線路，政務(wù)外網(wǎng)外聯(lián)接口同樣為外聯(lián)業(yè)務(wù)系統(tǒng)提供2條冗余政務(wù)外網(wǎng)線路。災(zāi)備業(yè)務(wù)線路采用從政務(wù)外網(wǎng)每個(gè)接入機(jī)房10 Gbit/s萬兆光纖接入方式，全市多個(gè)政務(wù)云數(shù)據(jù)中心接入到政務(wù)外網(wǎng)接入機(jī)房，災(zāi)備中心使用2個(gè)外網(wǎng)接入點(diǎn)共40 Gbit/s專用備份帶寬從就近兩個(gè)接入機(jī)房連接到災(zāi)備中心。

災(zāi)備中心網(wǎng)絡(luò)設(shè)備全部采用國產(chǎn)中高檔交換機(jī)，核心交換設(shè)備不僅配置冗余電源，還規(guī)劃配有冗余的光纖接入模塊，同時(shí)，對災(zāi)備業(yè)務(wù)區(qū)等關(guān)鍵區(qū)域，全部采用雙路設(shè)備設(shè)計(jì)，進(jìn)一步保證整個(gè)網(wǎng)絡(luò)的可靠性。

5.2 網(wǎng)絡(luò)擴(kuò)展性

以兩條光纖線路接入、連接每個(gè)政務(wù)云數(shù)據(jù)中心，平均每條線路的速率為萬兆，災(zāi)備中心接入總帶寬保證雙路40 Gbit/s負(fù)載均衡接入，可滿足全市每年120 PB的災(zāi)備數(shù)據(jù)吞吐量。如在實(shí)際業(yè)務(wù)應(yīng)用中單個(gè)數(shù)據(jù)中心持續(xù)網(wǎng)絡(luò)流量超過8 Gbit/s，則可按照預(yù)案再增加災(zāi)備業(yè)務(wù)線路的數(shù)量和帶寬。

災(zāi)備中心網(wǎng)絡(luò)以安全域進(jìn)行分區(qū)[12]，按照云平臺邏輯隔離和子網(wǎng)設(shè)計(jì)分隔的設(shè)計(jì)思想，所有數(shù)據(jù)級災(zāi)備文件按其安全等級可部署在相應(yīng)的邏輯租戶內(nèi)，所有系統(tǒng)通過SDN和公私有地址轉(zhuǎn)換接入，可充分適配今后災(zāi)備業(yè)務(wù)的各種復(fù)雜網(wǎng)絡(luò)配置需求，網(wǎng)絡(luò)分區(qū)和配置規(guī)劃具有很強(qiáng)的業(yè)務(wù)擴(kuò)展能力。

6 結(jié)束語

隨著政府?dāng)?shù)字化轉(zhuǎn)型的不斷深入，各級政務(wù)部門對電子政務(wù)信息系統(tǒng)的依賴也越來越強(qiáng)[13]，與此同時(shí)“城市海量數(shù)據(jù)資源”“數(shù)字孿生城市”的建設(shè)，電子政務(wù)應(yīng)用邏輯和物理的集中，也使得局部風(fēng)險(xiǎn)的發(fā)生可能帶來大范圍的影響。因此，從城市級數(shù)據(jù)安全、系統(tǒng)連續(xù)性等角度出發(fā)，國家急需在電子政務(wù)領(lǐng)域形成縱深防御的多元化安全應(yīng)對格局，筑牢信息安全的最后一道防線。政務(wù)領(lǐng)域的災(zāi)備業(yè)務(wù)網(wǎng)絡(luò)設(shè)計(jì)有其自身特點(diǎn)，特別是災(zāi)備體系架構(gòu)、網(wǎng)絡(luò)服務(wù)模型和災(zāi)備業(yè)務(wù)網(wǎng)絡(luò)的設(shè)計(jì)在特大型城市建設(shè)災(zāi)備網(wǎng)絡(luò)時(shí)有其相似性，因此可以在建設(shè)超大型城市電子政務(wù)的災(zāi)備中心項(xiàng)目時(shí)予以參考。