海南核電移動信息化基礎架構改進與應用

肖 浩 王 創

?

海南核電移動信息化基礎架構改進與應用

肖 浩 王 創

海南核電有限公司，海南 昌江 572733

隨著海南核電工程項目的不斷推進，各類信息化項目都在如火如荼的建設或是已經投入生產運行，從原本的紙質審批、紙質歸檔到依托系統平臺的功能實現業務過程信息化，再到依托數據與服務實現多客戶終端的展現和利用，海南核電的應用系統架構的規劃整體上朝著更為開放、耦合性更低的方向發展，伴隨著整個過程也有著對于計算機網絡和信息安全等問題的考量，而正是這一系列架構層面的改進，給我們的信息資源的利用帶來了更大契機。旨在闡述在海南核電信息化進程中為實現移動應用接入規范化，信息資源利用率最大化，核電廠信息安全風險最小化的目標，信息系統架構的演化以及當前在移動開發大形勢下海南核電對于移動應用安全、應用架構和系統規劃方面一些探索。

企業信息化；移動應用；信息安全；服務化

1 概述

應用系統架構是在特定的歷史條件下產生的，是由系統復雜性的不斷提升和信息系統管理的需要之間的矛盾催生出來的產物，與應用系統架構相關的內容應該包括企業業務流程、數據、應用的功能、服務器和網絡、安全設備等。

經過8年的發展和建設，海南核電已經邁入到了在運電廠的行列，上線的應用系統系統數量多如牛毛，如何管理好這些信息化項目，使之更好地持久地更安全地為電廠的生產和經營服務，是我們一直在研究的一項重大課題，抽象地說來，在已有的資源條件下，采用何種架構和治理方式對其進行管理。

企業的信息化在不同的歷史階段適合的應用架構體系應該是不同的，企業的不斷發展，業務的不斷豐富，數據量的不斷積累，網絡劃分不斷細化，安全等級不斷明晰，自然而然地推動著應用系統的架構的逐步演化，使之能承載核心業務的運轉。

2 系統架構的演變

從2008年第一個信息化應用內部主頁Home和OutLook郵件系統上線開始，管理片區和生產片區各類應用系統陸續投用，隨著信息項目數量的動態增長也相繼暴露出一些問題，主要體現在：（1）數據備份工作量逐漸增大，此處的數據包括數據庫數據和實體文件數據；（2）對于服務器的監控非常不便利，因層次劃分不清晰導致問題診斷過程缺乏規范且低效。（3）人員職責權限邊界不明，突發運維事件時運維人員要檢查的范圍較大，處理時如產生環境配置變更可能會影響到其他系統的運行。（4）應用系統缺乏自動監控或者高可用機制，宕機之后系統立即陷入癱瘓。因這類應用大多是傳統的客戶端/服務器應用和瀏覽器/服務器應用，此時我們在進行設計時，主要考慮以下因素：[1]

可擴展性接入。

過程可管理和追溯。

運維工作便于開展。

提高硬件資源的利用率。

核心服務高可用。

在此階段，我們的應用系統邏輯架構模型如圖1所示。

圖1 應用系統邏輯架構模型

規范化的設計和管理后帶來的效果是立竿見影的，對于新接入的系統在數據庫實例、實體文件存儲、應用服務器部署和管理、系統監控層面都能夠做到有效管控，權責基本分明。后續為提高操作系統層面的可管理性和硬件的可維護性，采用了虛擬化手段對服務器進行處理，主要的提升體現在：（1）通過虛擬機備份的方式解決了絕大部分的數據和系統級備份問題；（2） 提高了系統資源分配的彈性，提高了資源分配的利用率；（3）提供了一個上層的監控平臺，可以實時監控虛擬機狀態。但是，應用系統的邏輯架構不變，還是如圖1所示的這種方式。

2015年，海南核電上線了微信綜合服務平臺，正式開啟了移動信息化建設，當時在研項目包括微信訂餐和微信訂車應用也會有接入的需求，因為應用服務器和騰訊的服務器有通訊的需求，系統研發上線之時條件不足以保證微信應用放置在內網的絕對安全，相關的管理體系亦不健全。將微信訂車的服務暫時部署在了外部云服務器上，應用部署架構如圖2所示。

圖2 微信應用架構圖

微信應用上線之后，緊接其后需要解決的是數據同步問題，海南核電的內網和互聯網在邏輯上是隔離的，當有新員工入職或者離職時，微信訂車應用中人員數據實時進行同步很難實現。此外，因微信訂車項目所部署的服務器也缺乏基本的安全防范措施，對于黑客攻擊的防御能力非常之有限，而從圖2中可以看到，人員數據和訂座記錄數據都屬于較為敏感數據，一旦泄漏出去，后果非常嚴重。為了保障系統數據的實時同步和同步過去的數據的安全，我們擬將服務遷回至內網中，并重新規劃新的應用系統部署架構。

我們系統的架構進行改造的直接原因是數據存放的服務器本身不安全且數據的同步不通暢，那么如果將服務器遷移進內網，首先保證了數據同步是沒有問題的，但是消息通訊的安全又如何保障呢？顯然的，通訊過程最好使用HTTS協議，采用SSL加密的方式進行應用層數據的傳輸；其次，將應用服務器遷移到內網后，確保外網中并不存放任何敏感數據源；[2]再次，從客戶端所在的外部網絡于應用服務器通訊的接入點應該是被監控和采用一定的策略控制起來的，對于進入內網和離開內網的報文的安全性是需要保證的；最后就是系統本身需要非常健康，減少漏洞和降低漏洞被利用進行攻擊的風險。

圖3 微信應用改進架構圖

經過進一步的論證和研究，采用的架構如圖3所示，通過使用WAF（網絡應用防火墻）和IPS入侵防御系統，將WAF作為應用與外界交互的唯一接口，由其來進行請求的反向代理和轉發，控制過濾掉非法和不安全的，使用WAF后，外部請求一個唯一的公網IP地址，經過WAF的代理轉發，安全的進入并定位到內網服務器的指定主機，減少了內部站點對外的發布，減少了公網地址在傳統防火墻中，一對一使用IP地址的浪費；其次在操作系統層級和應用層級進行安全的掃描，包括操作系統漏洞、網絡設備漏洞、WEB服務器漏洞、數據庫服務器漏洞等，將結果推送告知系統運維人員進行漏洞的修復，保障應用系統和數據服務所在的環境安全。系統改造后，這個漏洞掃描工作是需要定期進行了，健康報告也是需要定期出具。數據安全對于移動應用的建設而言具有一票否決權，也是移動應用實施時應首要考慮的問題。

3 移動應用接入

目前，我們規劃的移動應用包括兩類，一類是手機端APP，一類是微信應用，為了提高信息資源的利用效率，需將現有核心業務系統的服務化，對服務的報文進行設計，范圍包括人員、各應用系統相關工作項等。我們基于WCF的協議進行WebService API的設計，后續不管開發任何系統，包括Web系統、手機App、微信應用，只要需要使用到這些WebService API，都可以直接通過Http的方式遵循指定的服務契約進行調用，幾乎不需要對服務進行任何改造，極大提高的代碼的可重用性；使用異步方式，利用服務端本身的請求隊列緩沖機制，使客戶端和服務端并發工作，提高了系統的吞吐效率。業務過程服務化實際上為移動應用的接入制定了標準，如人員信息的同步和任務的獲取等，這些服務獨立于應用且是全局唯一的，所以我們在統一接口的情況下，服務接口的內部維護和實現方式的變更對于應用是透明的，它們只關心對于何種輸入將產生何種輸出。在此架構下，傳統的Web應用實際上只需要在此應用對應的專門服務器所對應的資源和完全個性化的領域業務功能模塊，數據請求的方式跟移動應用一致，也是訪問這些Web服務接口。對于微信應用而言，顯然是需要跟我們的公眾服務平臺進行前端入口的集成，可以通過后臺配置的方式直接關聯；考慮到人員對于指定公眾服務號的openId的唯一性，對于人員的認證和身份識別也走專門Web服務接口去包裝而不直接去騰訊的微信服務器通訊，提高了效率，簡化了接入步驟。[3]一般情況下，移動App采用Hybrid模式進行開發，基于通用平臺去實施和之后再基于目標的平臺去打包，保證一套代碼能夠生成適用于多個環境的移動App，當然這也是有條件的，對于性能和響應速度有較高要求的應用需要另作處理，需要基于指定平臺的操作系統走原生開發的路線。

4 總結與展望

移動信息化項目在企業信息化實施過程中也是一個非常重要的環節，但它也不是孤立的，我們在傳統Web項目實施階段建設的許多基礎設施均可加以改造為我所用，我們通過通勤車安全乘坐公共微信平臺等的實施已經邁出了寶貴的一步，我們打造了一個完整的安全的應用運行時環境，也為后續系統的安全接入進行了完整的設計，為后續項目的接入制定了規范并指明了方向。服務化確實是一個趨勢，將所有公共化服務抽取出來統一進行管理，不單單是對傳統的Web應用而言接入更為方便，移動手機端應用也可以請求這些Web服務獲取數據；不管前端采用何種架構、如何變化，后端服務的整體合理規劃，打造更為完善而通用化的服務環境和多種形式的客戶端展現一直是我們努力的方向。

[1]葛遜. 移動互聯網安全管理新趨勢[J]. 互聯網天地，2011（11）：12.

[2]閆文婧. 我國大型企業信息化及信息管理[J]. 河南科技，2015（15）：222.

[3]信息化，中小企業成長必經之路[J]. 軟件世界， 2010（2）：29.

Infrastructure improvement and application of HNPC informatization

Xiaohao Wangchaung

Hainan nuclear power Co., LTD.

With the advancement of HNPC project， all kinds of information projects are under construction or have been put into production operation，from the original paper filing to the examination and approval by relying on the process realization of the information system platform business，to the data from the service implementation terminal display and use of more customers，the system architecture of the application of planning are also going through evolution， as a whole toward a more open， lower coupling in the direction of development， with the whole process is also for the computer network and information security considerations， and it is a series of improvement on the level of architecture， has brought a bigger opportunity for the use of information resources.The purpose of this paper is to expound the process of informatization to realize mobile applications access standardization， information to maximize resource utilization， nuclear power plant information security risk minimization，and the evolution of the information system architecture and the current in mobile development situation of HNPC for mobile application security， application architecture and system planning.

Enterprise Information，Mobile Application，Information Security，Web Service

TP311.52

A

1009-6434(2016)09-0072-03

肖浩（1989—），男，漢族，湖南籍，計算機科學與技術專業碩士研究生，海南核電有限公司工程師職稱，工學碩士學位，從事應用系統研發和運維工作，軟件架構和移動信息化方向。