基于企業(yè)移動(dòng)平臺(tái)的綜合信息架構(gòu)設(shè)計(jì)與應(yīng)用

王燃++肖浩

摘 要：隨著海南核電各類信息化項(xiàng)目如火如荼的建設(shè)和陸續(xù)投入生產(chǎn)運(yùn)行，從原來(lái)的紙質(zhì)化管理到依托系統(tǒng)平臺(tái)的業(yè)務(wù)過(guò)程信息化和依托數(shù)據(jù)與服務(wù)實(shí)現(xiàn)多客戶終端的展現(xiàn)和利用，使海南核電的應(yīng)用系統(tǒng)架構(gòu)的規(guī)劃整體上往更開(kāi)放、耦合性更低的方向發(fā)展，伴隨著整個(gè)過(guò)程也有著對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)和信息安全等的深度融合。本文以海南核電信息化進(jìn)程中的信息系統(tǒng)架構(gòu)的設(shè)計(jì)演化過(guò)程為基礎(chǔ)，提煉了在當(dāng)前移動(dòng)開(kāi)發(fā)大形勢(shì)下對(duì)于企業(yè)移動(dòng)應(yīng)用安全、移動(dòng)應(yīng)用架構(gòu)和系統(tǒng)規(guī)劃方面的主要制約問(wèn)題和架構(gòu)設(shè)計(jì)管理要求。

關(guān)鍵詞：企業(yè)信息化 移動(dòng)應(yīng)用 信息安全 服務(wù)化

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2017）10（a）-0013-02

經(jīng)過(guò)8年的發(fā)展和建設(shè)，海南核電已經(jīng)邁入到了在運(yùn)電廠的行列，上線的應(yīng)用系統(tǒng)數(shù)量多如牛毛，如何管理好這些信息化項(xiàng)目，使之更好地持久地更安全地為核電廠的生產(chǎn)和經(jīng)營(yíng)服務(wù)，是我們一直在研究的一項(xiàng)重大課題，具體而言，就是在已有的資源條件下，研究采用何種架構(gòu)和治理方式對(duì)其進(jìn)行管理。

1 系統(tǒng)架構(gòu)的演變

隨著管理片區(qū)和生產(chǎn)片區(qū)各類應(yīng)用系統(tǒng)陸續(xù)投用，信息項(xiàng)目數(shù)量的動(dòng)態(tài)增長(zhǎng)并相繼暴露出一些問(wèn)題，主要體現(xiàn)在：（1）數(shù)據(jù)備份工作量逐漸增大，此處的數(shù)據(jù)包括數(shù)據(jù)庫(kù)數(shù)據(jù)和實(shí)體文件數(shù)據(jù)。（2）對(duì)于服務(wù)器的監(jiān)控非常不便利，因?qū)哟蝿澐植磺逦鷮?dǎo)致問(wèn)題診斷過(guò)程缺乏規(guī)范且低效。（3）人員職責(zé)權(quán)限邊界不明，突發(fā)運(yùn)維事件時(shí)運(yùn)維人員要檢查的范圍較大，處理時(shí)如產(chǎn)生環(huán)境配置變更可能會(huì)影響到其他系統(tǒng)的運(yùn)行。（4）應(yīng)用系統(tǒng)缺乏自動(dòng)監(jiān)控或者高可用機(jī)制，宕機(jī)之后系統(tǒng)立即陷入癱瘓。此時(shí)我們?cè)谶M(jìn)行設(shè)計(jì)時(shí)，主要考慮以下因素。

（1）可擴(kuò)展性接入。

（2）過(guò)程可管理和追溯。

（3）運(yùn)維工作便于開(kāi)展。

（4）提高硬件資源的利用率。

（5）核心服務(wù)高可用。

規(guī)范化的設(shè)計(jì)和管理后帶來(lái)的效果是立竿見(jiàn)影的，對(duì)于新接入的系統(tǒng)在數(shù)據(jù)庫(kù)實(shí)例、實(shí)體文件存儲(chǔ)、應(yīng)用服務(wù)器部署和管理、系統(tǒng)監(jiān)控層面都能夠做到有效管控，權(quán)責(zé)基本分明。為提高操作系統(tǒng)層面的可管理性和硬件的可維護(hù)性，采用虛擬化手段對(duì)服務(wù)器進(jìn)行處理，主要的提升體現(xiàn)在：（1）通過(guò)虛擬機(jī)備份的方式解決了絕大部分的數(shù)據(jù)和系統(tǒng)級(jí)備份問(wèn)題。（2）提高了系統(tǒng)資源分配的彈性，提高了資源分配的利用率。（3）提供了一個(gè)上層的監(jiān)控平臺(tái)，可以實(shí)時(shí)監(jiān)控虛擬機(jī)狀態(tài)。但是，應(yīng)用系統(tǒng)的邏輯架構(gòu)不變。

隨著HNPC微信綜合服務(wù)平臺(tái)開(kāi)始建設(shè)，應(yīng)用服務(wù)器和騰訊服務(wù)器之間產(chǎn)生了通訊需求，緊接其后需解決內(nèi)外網(wǎng)數(shù)據(jù)同步問(wèn)題；此外，因微信項(xiàng)目所部署的云服務(wù)器缺乏系統(tǒng)的安全防范措施，抵御外部攻擊能力較弱，存在敏感數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。為保障系統(tǒng)數(shù)據(jù)實(shí)時(shí)同步和數(shù)據(jù)安全，我們重新設(shè)計(jì)了新的應(yīng)用系統(tǒng)部署架構(gòu)。經(jīng)進(jìn)一步論證和研究，新架構(gòu)通過(guò)使用WAF（網(wǎng)絡(luò)應(yīng)用防火墻）和IPS入侵防御系統(tǒng)，將WAF作為應(yīng)用與外界交互的唯一接口，由其來(lái)進(jìn)行請(qǐng)求的反向代理和轉(zhuǎn)發(fā)，控制過(guò)濾掉非法和不安全的請(qǐng)求，使用WAF后，外部請(qǐng)求一個(gè)唯一的公網(wǎng)IP地址，經(jīng)過(guò)WAF的代理轉(zhuǎn)發(fā)，安全的進(jìn)入并定位到內(nèi)網(wǎng)服務(wù)器的指定主機(jī)，減少了內(nèi)部站點(diǎn)對(duì)外的發(fā)布，減少了公網(wǎng)地址在傳統(tǒng)防火墻中，一對(duì)一使用IP地址的浪費(fèi)；其次在操作系統(tǒng)層級(jí)和應(yīng)用層級(jí)進(jìn)行安全的掃描，包括操作系統(tǒng)漏洞、網(wǎng)絡(luò)設(shè)備漏洞、WEB服務(wù)器漏洞、數(shù)據(jù)庫(kù)服務(wù)器漏洞等，將結(jié)果推送告知系統(tǒng)運(yùn)維人員進(jìn)行漏洞的修復(fù)，保障應(yīng)用系統(tǒng)和數(shù)據(jù)服務(wù)所在的環(huán)境安全。

2 企業(yè)級(jí)移動(dòng)應(yīng)用平臺(tái)

業(yè)務(wù)信息系統(tǒng)的全面集成和多終端訪問(wèn)和移動(dòng)應(yīng)用的中間件集成運(yùn)行環(huán)境和移動(dòng)信息安全體系建設(shè)，又對(duì)總體架構(gòu)提出了新的挑戰(zhàn)，啟動(dòng)集移動(dòng)應(yīng)用、移動(dòng)管理、移動(dòng)開(kāi)發(fā)于一體的移動(dòng)應(yīng)用平臺(tái)的規(guī)劃設(shè)計(jì)和實(shí)現(xiàn)，形成完善的移動(dòng)應(yīng)用規(guī)劃和標(biāo)準(zhǔn)體系勢(shì)在必行。平臺(tái)的整個(gè)網(wǎng)絡(luò)架構(gòu)分為三大部分：Internet、DMZ和內(nèi)網(wǎng)區(qū)域，移動(dòng)終端通過(guò)VPN撥號(hào)訪問(wèn)內(nèi)網(wǎng)的Mplus服務(wù)器，保證數(shù)據(jù)傳輸及訪問(wèn)控制的安全性，移動(dòng)終端經(jīng)過(guò)公網(wǎng)防火墻訪問(wèn)處于DMZ區(qū)的負(fù)載均衡服務(wù)器，再經(jīng)過(guò)DMZ區(qū)與內(nèi)網(wǎng)之間的防火墻，判斷ACL，若符合控制規(guī)范，將有權(quán)限下載Mplus服務(wù)端上存放的客戶端軟件并使用。

移動(dòng)平臺(tái)對(duì)接入平臺(tái)的設(shè)備進(jìn)行全周期管控，包括設(shè)備認(rèn)證、設(shè)備策略、設(shè)備規(guī)則、設(shè)備注銷四個(gè)階段。設(shè)備接入平臺(tái)需要通過(guò)用戶登錄認(rèn)證、設(shè)備注冊(cè)激活、審核接入3個(gè)環(huán)境；對(duì)于接入平臺(tái)可以提供各種安全策略進(jìn)行組合配置，如：密碼策略、安全策略、限制策略；設(shè)備在接入平臺(tái)后由管理配置規(guī)則進(jìn)行監(jiān)控，規(guī)則包括：是否破解、是否在指定區(qū)域使用等；接入平臺(tái)的設(shè)備丟失或置換后可通過(guò)平臺(tái)對(duì)設(shè)備進(jìn)行遠(yuǎn)程鎖定、擦除公司數(shù)據(jù)、恢復(fù)出廠設(shè)置等。

移動(dòng)平臺(tái)采用沙箱機(jī)制將數(shù)據(jù)置于安全沙箱之中，從安全隔離、安全訪問(wèn)、數(shù)據(jù)加密、數(shù)據(jù)擦除4個(gè)方面保證數(shù)據(jù)的安全性。平臺(tái)在移動(dòng)端開(kāi)辟一個(gè)安全工作區(qū)域，存儲(chǔ)公司應(yīng)用、文檔、郵件、消息等公司數(shù)據(jù)，個(gè)人數(shù)據(jù)完全隔離在沙箱之外；除開(kāi)發(fā)平臺(tái)以外，沙箱內(nèi)部數(shù)據(jù)不能被任何程序訪問(wèn)和讀取，除非得到移動(dòng)平臺(tái)的許可，外部數(shù)據(jù)不允許隨意放置到安全沙箱；沙箱采用AES 256位加密算法且只能被移動(dòng)平臺(tái)解密并識(shí)別，確保公司數(shù)據(jù)存儲(chǔ)安全；設(shè)備丟失后進(jìn)行設(shè)備注銷，沙箱內(nèi)的數(shù)據(jù)將會(huì)被全部清除。

移動(dòng)平臺(tái)采用多種形式和維度對(duì)用戶設(shè)備進(jìn)行統(tǒng)計(jì)和審計(jì)。具體包括：可查詢用戶接入平臺(tái)設(shè)備數(shù)據(jù)、每臺(tái)設(shè)備的違規(guī)情況；可查看設(shè)備所屬用戶、設(shè)備是否違規(guī)、設(shè)備狀態(tài)（是否破解、是否脫離管控）等；查看應(yīng)用的用戶使用情況；通過(guò)自定義用戶事件上傳用戶具體模塊、功能的操作使用記錄；查看接入平臺(tái)的設(shè)備型號(hào)情況；可查看接入平臺(tái)的操作系統(tǒng)情況。

服務(wù)器部署在內(nèi)網(wǎng)DMZ區(qū)，通過(guò)反向代理服務(wù)器與外網(wǎng)進(jìn)行數(shù)據(jù)交互。應(yīng)用數(shù)據(jù)傳輸采用SSL協(xié)議進(jìn)行數(shù)據(jù)加密傳輸。從外網(wǎng)入口的請(qǐng)求將通過(guò)負(fù)載均衡器進(jìn)行負(fù)載分發(fā)。

通過(guò)以上的管理和技術(shù)上的管控措施，移動(dòng)平臺(tái)將基本符合相關(guān)安全要求，為后續(xù)的應(yīng)用開(kāi)發(fā)以及推廣使用奠定基礎(chǔ)。

3 結(jié)語(yǔ)

為提高信息資源的利用效率和標(biāo)準(zhǔn)化程度，需將現(xiàn)有核心業(yè)務(wù)系統(tǒng)的服務(wù)化，可基于SOAP協(xié)議進(jìn)行WebService API的設(shè)計(jì)，遵循指定的服務(wù)契約進(jìn)行調(diào)用，幾乎不需要對(duì)服務(wù)進(jìn)行任何改造；采用異步方式利用服務(wù)端本身的請(qǐng)求隊(duì)列緩沖機(jī)制，使客戶端和服務(wù)端并發(fā)工作，提高了系統(tǒng)的吞吐效率。微信應(yīng)用與公眾服務(wù)平臺(tái)進(jìn)行前端入口進(jìn)行集成，可以通過(guò)后臺(tái)配置直接關(guān)聯(lián)而不直接去騰訊的微信服務(wù)器通訊，提高效率的同時(shí)簡(jiǎn)化了接入步驟；企業(yè)級(jí)移動(dòng)平臺(tái)應(yīng)用采用輕應(yīng)用方式進(jìn)行開(kāi)發(fā)，基于通用平臺(tái)去實(shí)施并基于目標(biāo)平臺(tái)去打包，保證一套代碼能夠生成適用于多個(gè)環(huán)境的移動(dòng)應(yīng)用。

移動(dòng)信息化項(xiàng)目在企業(yè)信息化實(shí)施過(guò)程中是一個(gè)非常重要的環(huán)節(jié)，但其架構(gòu)的演變是連續(xù)的，我們?cè)趥鹘y(tǒng)Web項(xiàng)目實(shí)施階段建設(shè)的許多基礎(chǔ)設(shè)施均可加以改造為我所用，本文通過(guò)設(shè)計(jì)打造一個(gè)完整安全的應(yīng)用運(yùn)行時(shí)環(huán)境，為后續(xù)系統(tǒng)的安全接入進(jìn)行了完整設(shè)計(jì)，也為后續(xù)項(xiàng)目的接入制定了規(guī)范并指明了方向。

參考文獻(xiàn)

[1] 葛遜.移動(dòng)互聯(lián)網(wǎng)安全管理新趨勢(shì)[J].互聯(lián)網(wǎng)天地， 2011（11）：28.

[2] 閆文婧.我國(guó)大型企業(yè)信息化及信息管理[J].河南科技， 2015（15）：26-27.

[3] 信息化，中小企業(yè)成長(zhǎng)必經(jīng)之路[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2009（19）：74-75.endprint