易堅

摘 要：本文從互聯(lián)網(wǎng)網(wǎng)站群的系統(tǒng)架構(gòu)、系統(tǒng)功能以及系統(tǒng)實現(xiàn)三個方面詳細地介紹了武漢鐵路局互聯(lián)網(wǎng)網(wǎng)站群技術(shù)平臺。該平臺的建設(shè)能夠確保鐵路互聯(lián)網(wǎng)網(wǎng)站（應(yīng)用）安全穩(wěn)定運行。

關(guān)鍵詞：互聯(lián)網(wǎng)網(wǎng)站群;網(wǎng)絡(luò)安全;武漢鐵路局

中圖分類號：TD235.33 文獻標識碼：A 文章編號：1671-2064（2019）03-0003-02

1 概述

根據(jù)中國鐵路總公司的工作要求，武漢鐵路局對建設(shè)互聯(lián)網(wǎng)網(wǎng)站群技術(shù)平臺進行了工作布置，要求互聯(lián)網(wǎng)網(wǎng)站群技術(shù)平臺必須滿足業(yè)務(wù)應(yīng)用和安全運行要求，實現(xiàn)鐵路局范圍內(nèi)中小網(wǎng)站（應(yīng)用）集中部署、統(tǒng)一管理，保障互聯(lián)網(wǎng)網(wǎng)站（應(yīng)用）安全穩(wěn)定運行。

武漢鐵路局互聯(lián)網(wǎng)網(wǎng)站群技術(shù)平臺包括網(wǎng)絡(luò)平臺建設(shè)、基礎(chǔ)設(shè)施服務(wù)層建設(shè)、平臺服務(wù)層建設(shè)、軟件服務(wù)層建設(shè)、運維管理體系建設(shè)以及既有互聯(lián)網(wǎng)網(wǎng)站遷移。平臺建設(shè)利用既有信息機房，并充分利用既有外部服務(wù)網(wǎng)和既有硬件資源，大大節(jié)省了工程投資。

2 互聯(lián)網(wǎng)網(wǎng)站群總體架構(gòu)

網(wǎng)絡(luò)接入為系統(tǒng)用戶以及系統(tǒng)間交互提供互聯(lián)網(wǎng)接入環(huán)境，為系統(tǒng)平臺硬件提供網(wǎng)絡(luò)接入環(huán)境，同時還為遠程維護提供網(wǎng)絡(luò)接入環(huán)境。計算資源是以X86服務(wù)器為基礎(chǔ)的計算資源池，可以分為虛擬化資源池和物理服務(wù)器資源池兩部分。存儲資源池是將存儲設(shè)備進行池化，將不同的物理設(shè)備統(tǒng)一進行存儲管理，為數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器上的相關(guān)網(wǎng)站應(yīng)用文件及數(shù)據(jù)庫數(shù)據(jù)備份提供存儲服務(wù)。網(wǎng)站群總體架構(gòu)如圖1所示。

系統(tǒng)邏輯架構(gòu)包含基礎(chǔ)設(shè)施服務(wù)層、平臺服務(wù)層、軟件服務(wù)層、用戶訪問層、安全管理體系、運維管理體系等六個層面。

3 互聯(lián)網(wǎng)網(wǎng)站群應(yīng)用總體設(shè)計（見圖2）

（1）基礎(chǔ)環(huán)境：核心運行環(huán)境主要是網(wǎng)絡(luò)環(huán)境、硬件服務(wù)器（如應(yīng)用服務(wù)器、Web服務(wù)器等）以及應(yīng)用運行所需的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等核心基礎(chǔ)軟件等。（2）數(shù)據(jù)支撐環(huán)境：提供對網(wǎng)站群前端服務(wù)所需的后臺數(shù)據(jù)支撐，包括各種關(guān)系數(shù)據(jù)庫、目錄資源、全文數(shù)據(jù)庫、文件系統(tǒng)資源等等。（3）應(yīng)用支撐環(huán)境：在軟硬件基礎(chǔ)環(huán)境和數(shù)據(jù)環(huán)境之上，建立和部署包括網(wǎng)站群內(nèi)容管理系統(tǒng)、資源中心、站群管控中心、站群管理、全文檢索系統(tǒng)、工作流引擎、一體化發(fā)布等一系列應(yīng)用服務(wù)系統(tǒng)，為門戶網(wǎng)站群的前端各類服務(wù)提供應(yīng)用支撐。（4）門戶服務(wù)層：依靠應(yīng)用支撐環(huán)境中的各種應(yīng)用，在門戶網(wǎng)站中組織和提供各種信息服務(wù)、互動服務(wù)、組件調(diào)用服務(wù)、用戶服務(wù)等等。（5）表現(xiàn)層：在表現(xiàn)層最終形成以鐵路局為核心的網(wǎng)站群信息表現(xiàn)、信息服務(wù)與信息互動。（6）信息安全保障體系：安全體系建設(shè)遵循等級保護三級技術(shù)規(guī)范，主要在應(yīng)用安全、網(wǎng)絡(luò)安全、邊界安全、安全審計、安全綜合監(jiān)控、安全管理等方面采取必要措施，達到安全管理和安全防護能力顯著增強，抵御攻擊、篡改、破壞能力顯著提升。

4 互聯(lián)網(wǎng)網(wǎng)站群系統(tǒng)功能

4.1 內(nèi)容管理和發(fā)布服務(wù)

網(wǎng)站門戶作為企業(yè)對外門戶界面，應(yīng)承擔企業(yè)應(yīng)用系統(tǒng)對社會公眾信息的發(fā)布的角色，各應(yīng)用系統(tǒng)需對外發(fā)布的常規(guī)內(nèi)容，原則上應(yīng)由網(wǎng)站門戶統(tǒng)一發(fā)布。

網(wǎng)站應(yīng)用系統(tǒng)應(yīng)建設(shè)與各應(yīng)用系統(tǒng)的數(shù)據(jù)集成和交換渠道，實現(xiàn)發(fā)布內(nèi)容的暢通、快速和安全地交換。

4.2 互聯(lián)網(wǎng)公共服務(wù)平臺建設(shè)

網(wǎng)站群系統(tǒng)除作為企業(yè)內(nèi)容發(fā)布的統(tǒng)一門戶外，通過網(wǎng)站群系統(tǒng)互聯(lián)網(wǎng)服務(wù)資源中心建設(shè)，進一步能夠作為路局面向社會公眾和企業(yè)的公共服務(wù)平臺?；ヂ?lián)網(wǎng)公共服務(wù)平臺的建設(shè)內(nèi)容主要有互聯(lián)網(wǎng)公共服務(wù)資源中心建設(shè)、數(shù)據(jù)交換和動態(tài)訪問、互聯(lián)網(wǎng)+技術(shù)和應(yīng)用模式、身份管理和認證?？赏ㄟ^網(wǎng)站門戶與應(yīng)用系統(tǒng)的深層整合，在網(wǎng)站門戶向用戶提供辦事材料的提交、辦理進度的查詢或辦事結(jié)果的展示等。對于需要直接面向網(wǎng)絡(luò)用戶的企業(yè)應(yīng)用系統(tǒng)，可通過業(yè)務(wù)內(nèi)容的梳理，通過網(wǎng)站門戶向用戶提供業(yè)務(wù)辦事的訪問入口和指南。

5 互聯(lián)網(wǎng)網(wǎng)站群技術(shù)方案

既有互聯(lián)網(wǎng)接入?yún)^(qū)通過升級改造，建設(shè)成為生產(chǎn)用互聯(lián)網(wǎng)接入?yún)^(qū)，為鐵路局互聯(lián)網(wǎng)網(wǎng)站（應(yīng)用）提供互聯(lián)網(wǎng)接入服務(wù)，滿足互聯(lián)網(wǎng)用戶“由外到內(nèi)”的訪問需求。網(wǎng)站群系統(tǒng)使用該互聯(lián)網(wǎng)接入資源，并根據(jù)網(wǎng)絡(luò)帶寬及設(shè)備性能需求，對不能滿足需求的鏈路與設(shè)備進行升級、更換。對既有防火墻進行升級、更換，選用具備流量控制、入侵防御、防病毒功能的下一代防火墻，以精細化控制各信息系統(tǒng)互聯(lián)網(wǎng)帶寬使用，并強化互聯(lián)網(wǎng)出口安全。

新建辦公用互聯(lián)網(wǎng)接入?yún)^(qū)，配置出口防火墻、鏈路均衡器等設(shè)備，為內(nèi)部人員使用外網(wǎng)辦公終端訪問互聯(lián)網(wǎng)提供訪問通道，及滿足內(nèi)部人員“由內(nèi)到外”的訪問需求。將生產(chǎn)訪問互聯(lián)網(wǎng)與辦公上網(wǎng)訪問互聯(lián)網(wǎng)的數(shù)據(jù)分離，減少相互影響。同時應(yīng)逐步建設(shè)改造辦公終端接入?yún)^(qū)，使其具備辦公終端網(wǎng)絡(luò)集中接入能力，并與其他區(qū)域有清晰的網(wǎng)絡(luò)邊界。

在對外服務(wù)區(qū)中劃分兩個安全域，分別為不同類型網(wǎng)站和應(yīng)用提供網(wǎng)絡(luò)接入環(huán)境。同時既有信息系統(tǒng)根據(jù)分類逐步遷移至相應(yīng)安全域。

新增運維管理區(qū)，堡壘機、VPN等設(shè)備應(yīng)部署于該區(qū)域。

5.1 網(wǎng)絡(luò)平臺技術(shù)方案

網(wǎng)站群技術(shù)平臺將互聯(lián)網(wǎng)外部服務(wù)網(wǎng)分為多個網(wǎng)絡(luò)區(qū)域，包括互聯(lián)網(wǎng)接入?yún)^(qū)、外部服務(wù)網(wǎng)核心區(qū)、對外服務(wù)區(qū)、運維管理區(qū)，滿足不同業(yè)務(wù)接入需要。

互聯(lián)網(wǎng)接入?yún)^(qū)主要由兩條不同運營商互聯(lián)網(wǎng)專線，以及互聯(lián)網(wǎng)出口防火墻、鏈路負載均衡器等設(shè)備組成。該區(qū)域為外部服務(wù)網(wǎng)各應(yīng)用系統(tǒng)提供互聯(lián)網(wǎng)訪問通道。

外部服務(wù)網(wǎng)核心由核心防火墻、核心交換機組成，負責各區(qū)域問數(shù)據(jù)訪間控制與數(shù)據(jù)轉(zhuǎn)發(fā)。

對外服務(wù)區(qū)為業(yè)務(wù)應(yīng)用提供網(wǎng)絡(luò)接入環(huán)境，由交換機級聯(lián)組成，上聯(lián)核心防火墻，由核心防火墻進一步劃分為多個安全域，實現(xiàn)各區(qū)域訪問控制。

改造方案具體為：（1）改造互聯(lián)網(wǎng)接入?yún)^(qū)：為互聯(lián)網(wǎng)網(wǎng)站和互聯(lián)網(wǎng)應(yīng)用提供互聯(lián)網(wǎng)通道。武漢鐵路局現(xiàn)有兩條互聯(lián)網(wǎng)接入通道，分屬中國移動和中國電信運營商，帶寬暫時滿足需求，暫不擴容;出口防火墻利舊使用;更新鏈路均衡器。（2）新建外網(wǎng)核心區(qū)：負責實現(xiàn)網(wǎng)站群技術(shù)平臺分區(qū)分域管理和各區(qū)域間網(wǎng)絡(luò)安全防護，實現(xiàn)平臺內(nèi)部數(shù)據(jù)高速、安全、可靠交換。根據(jù)方案要求，新設(shè)核心防火墻和核心交換機。核心交換機負責隔離對外服務(wù)區(qū)、運維管理區(qū)、網(wǎng)絡(luò)安全平臺，實現(xiàn)三個區(qū)域間數(shù)據(jù)訪問控制。核心防火墻負責這三個區(qū)與互聯(lián)網(wǎng)的數(shù)據(jù)訪問控制與流量清洗。（3）新建對外服務(wù)區(qū)：用于集中部署互聯(lián)網(wǎng)網(wǎng)站和互聯(lián)網(wǎng)應(yīng)用。接入交換機利舊使用;為實現(xiàn)流量控制、入侵防御等功能，新設(shè)Web應(yīng)用防火墻。（4）新建運維管理區(qū)：滿足各單位對所轄網(wǎng)站運維管理的需要。接入交換機利舊使用;新設(shè)VPN網(wǎng)關(guān)和堡壘機。

5.2 基礎(chǔ)設(shè)施服務(wù)層技術(shù)方案

基礎(chǔ)設(shè)施主要為網(wǎng)站群技術(shù)平臺集中部署的互聯(lián)網(wǎng)網(wǎng)站和互聯(lián)網(wǎng)應(yīng)用提供計算資源、存儲資源、安全防護資源等，通過VMWare虛擬化軟件進行池化。

改造方案具體為：（1）新建虛擬資源池：用于提供互聯(lián)網(wǎng)網(wǎng)站應(yīng)用服務(wù)器虛擬機、日志審計系統(tǒng)等運維管理軟件部署等。為滿足使用需要，需新設(shè)數(shù)據(jù)庫服務(wù)器，Web應(yīng)用服務(wù)器;為部署日志審計、防篡改、漏洞掃描、主機入侵防護、網(wǎng)站群內(nèi)容管理、身份認證、搜索服務(wù)等軟件需新設(shè)機架式服務(wù)器，安全事件檢測服務(wù)器利舊使用。（2）新建集中式存儲資源池：為連接集中式存儲的計算節(jié)點和數(shù)據(jù)庫提供存儲資源，新設(shè)存儲設(shè)備。（3）虛擬化軟件VMWare利舊，暫不新購許可證。

5.3 平臺服務(wù)層技術(shù)方案

平臺服務(wù)層主要為集中部署的互聯(lián)網(wǎng)網(wǎng)站和互聯(lián)網(wǎng)應(yīng)用提供中間件、數(shù)據(jù)庫等資源的按需調(diào)配。

（1）操作系統(tǒng)服務(wù)：使用開源軟件Linux操作系統(tǒng)。（2）中間件服務(wù)：選擇開源軟件tomcat+apache作為網(wǎng)站群中間件產(chǎn)品，部署在計算資源池的虛擬機中，為應(yīng)用服務(wù)器提供標準中間件配置服務(wù)。（3）數(shù)據(jù)庫服務(wù)：選擇開源軟件MySQL數(shù)據(jù)庫產(chǎn)品，部署數(shù)據(jù)庫集群。（4）負載均衡服務(wù)器：采用硬件負載均衡器，本次設(shè)計利舊使用調(diào)度樓信息機房既有負載均衡器。（5）數(shù)據(jù)備份服務(wù)：為提高網(wǎng)站群技術(shù)平臺的可用性和可靠性，新增數(shù)據(jù)備份軟件。

5.4 軟件服務(wù)層技術(shù)方案

根據(jù)總公司總體方案，需新設(shè)并部署互聯(lián)網(wǎng)網(wǎng)站群內(nèi)容管理系統(tǒng)、用戶身份系統(tǒng)、網(wǎng)站搜索服務(wù)系統(tǒng)等軟件。

5.5 運維管理體系技術(shù)方案

新設(shè)并部署配套的日志審計、防篡改、漏洞掃描、安全事件監(jiān)測、主機入侵防護等軟件系統(tǒng)，實現(xiàn)對網(wǎng)站群技術(shù)平臺的管理和監(jiān)控。

5.6 既有互聯(lián)網(wǎng)網(wǎng)站遷移方案

將武漢局既有網(wǎng)站全部遷移并納入鐵路局互聯(lián)網(wǎng)網(wǎng)站群技術(shù)平臺，實現(xiàn)統(tǒng)一管理。

6 結(jié)語

本次在武漢鐵路局建設(shè)互聯(lián)網(wǎng)網(wǎng)站群技術(shù)平臺，為鐵路局范圍內(nèi)的中小規(guī)?；ヂ?lián)網(wǎng)網(wǎng)站（應(yīng)用）提供集中統(tǒng)一的平臺服務(wù)，充分發(fā)揮互聯(lián)網(wǎng)效應(yīng)，通過互聯(lián)網(wǎng)網(wǎng)站（應(yīng)用）不斷拓寬客貨營銷渠道，不斷提升客戶服務(wù)水平。實現(xiàn)互聯(lián)網(wǎng)網(wǎng)站（應(yīng)用）集中部署、統(tǒng)一防護、共享資源、統(tǒng)一運維，做到互聯(lián)網(wǎng)網(wǎng)站（應(yīng)用）建設(shè)標準化水平顯著提高，安全管理和安全防護能力顯著增強，抵御攻擊、篡改、破壞能力顯著提升，確保鐵路互聯(lián)網(wǎng)網(wǎng)站（應(yīng)用）安全穩(wěn)定運行。