財政專有云服務探索

◎文/李研碩 苗 偉

一、背景和現狀

（一）背景

天津市財政局的信息化工作自上世紀90年代起步，經過近30年的發展，現已形成由天津市財政局生產中心（以下簡稱市局生產中心）、天津市津南數據中心 （以下簡稱津南數據中心）和薊州區應急備份中心組成的兩地三中心的信息化基礎架構，擁有各類設備9000余臺套，承載了財政及原地稅全部核心業務。同時為了給財政業務提供更好的擴展能力，天津市財政局還租用了濱海電子政務云和市電子政務云資源實現了部分業務系統的部署。

多年來，天津市財政局與地稅局合署辦公，財政地稅業務所需信息化資源一直統籌考慮。2018年6月15日，按照國家相關規定，國家稅務總局天津市稅務局正式成立，天津市財政部門與稅務部門正式分離。機構改革后，財稅數據中心和薊州區應急備份中心房產歸屬于稅務局，但財政與原地稅的核心業務仍然在天津市財稅數據中心核心機房和市局生產中心機房中運行。

2019年，財政部印發了《財政部關于印發〈財政信息化三年重點工作規劃〉的通知》（財辦 〔2019〕34 號），對全國財政預算管理一體化系統建設、集中化部署、財政大數據以及財政專有云的建設進行了統一規劃。要求中央和省級財政部門，采用 “1+N”方式，共同建設財政專有云平臺，滿足財政部和省級業務應用上云需求。

為全面落實財政部相關工作要求，經市委網信辦評審，天津市財政局租用了財政經濟分析中心IDC服務，準備將現有財政設備和應用遷移至該中心，并依托市電子政務云資源，建設天津市財政專有云平臺，為財政業務應用提供計算、存儲、網絡、安全、容災及相關維護服務。

（二）現狀

近年來，天津市財政局多數設備采購項目為稅務項目，財政獨立使用的設備不論是資源方面還是使用年限方面均已接近飽和，無法獨立支撐財政核心業務一體化系統及其他財政應用系統的需求。

從計算資源方面看，現有計算存儲設備主要包括PC服務器、小型機等。其中非稅收入收繳管理系統、國庫集中支付系統、國庫支付電子化系統等核心業務系統的數據庫集群均部署于小型機上，這些小型機大多數采購于2010年左右，其性能、穩定性以及維護成本均不再適應新的業務需求；現有PC服務器300余臺，其中財政項目采購設備90余臺，能夠適用于云服務環境的設備20臺，其它服務器均瀕臨淘汰。從總體上講，現有計算存儲資源已經接近飽和，無法繼續支撐后續新的業務需求。

從網絡安全方面看，天津市財政局已建成了涵蓋全市各直屬單位及區財政局的財政縱向網絡、連通全市1200余家市級預算單位、大部分銀行和其他橫向聯網單位的財政橫向網絡。隨著財政業務和信息化技術的不斷發展，網絡安全變得愈發重要。天津市財政局不斷進行網絡安全加固，但由于建設年代早以及場地的限制等多種因素，某些層面無法完全達到相關規定的要求。

從容災方面看，天津市財政局利用津南數據中心和市局生產中心建立了以存儲底層數據遠程復制技術為主的容災系統，實現了財政核心應用系統的異地容災，同時利用薊州應急備份中心實現了數據的異地備份。但由于機構改革現有容災環境及架構需要重新調整。

二、面臨的問題

一是資源使用問題，天津市財政局信息化建設一直本著統籌規劃，統一建設的原則開展。信息化資源，特別是計算存儲資源一直是財政與地稅共同使用，在使用虛擬化技術后，這一特點尤為突出，現天津市財政局已建成內網、外網和專網三個虛擬化資源池，共包括各類虛擬化服務器100余臺，其中大部分設備至今使用年限已經超過8年。2018年，稅務整個體制改革后，大部分設備根據項目屬性劃歸稅務所有，可以為財政部門獨立使用的信息化資源主要包括2路服務器20臺，SAN存儲兩臺以及少量旁路部署的網絡安全設備。共可提供CPU400余核，內存5.25T左右，存儲空間140T左右。目前，天津市財政局共有業務系統及各類管理系統80余個，綜合現有業務系統的實際需要和已知新增業務需求，保障應用系統正常運行共計需要CPU 3202核，內存 10.25T，存儲空間415T。

二是動態擴展需求，天津市財政局現有財政業務數量較多，為各項業務提供支撐的信息化資源，包括主機、存儲、網絡、安全等，數量更為龐大。目前，系統對于各類資源的分配，仍然使用的是建設初期大致估算，使用過程中手動增加的方式。但是對于業務突發高峰等突發性事件的快速響應和事件之后的資源回收，缺少自動化手段。一方面導致對突發事件的響應不及時，致使用戶體驗變差，另一方面也導致資源回收滯后，致使資源浪費。

三是整體遷移問題，由于現有津南數據中心房產歸市稅務局所有，因此需要按照財政部要求在財政經濟分析中心建設財政專有云平臺，以便將現有信息化資源進行整合遷移。

四是網絡安全需求，天津市財政局機房分布于市局、津南、薊州、濱海新區等多地，雖然采用了大量的技術手段加以保障，但復雜的網絡安全架構，也導致故障點隨之增多，不利于統一管理，更不利于財政業務的穩定運行。

三、解決方案

天津財政專有云，是財政部以“云計算”理念分階段、分層次推動全國財政云平臺建設的一個重要組成部分。通過天津財政專有云的建設，可以逐步推進天津市乃至全國財政信息化系統云化應用的進程，提高需求響應速度和應用部署效率，提升財政信息化集約化水平，為天津市財政核心業務系統化系統建設、集中化部署和財政大數據應用等工作提供堅實的信息化基礎新支撐。

（一）總體目標

1.基于天津市電子政務云構建天津市財政局財政專有云平臺。

2.建設符合工信部《基于云計算的電子政務公共平臺頂層設計指南》《信息安全技術 云計算服務安全指南》《信息安全技術 云計算服務安全能力要求》等國家及行業標準、規范的政務云平臺。

3.提供云服務支撐能力，滿足業務應用服務需求；發展云平臺PaaS層服務功能，提高PaaS層與第三方控件、模塊對接能力；發展云平臺SaaS層服務能力，可支持提供共性應用軟件服務和行業應用軟件服務。

4.建設基于數據分析的云安全管理體系和運維管理體系，為云上應用系統穩定持續運行提供全面支撐。

5.建設統一完善的云服務監管體系，實現云服務（含安全服務）的集中可視化監控。

6.提供安全、可靠、高效的容災方案，實現關鍵核心系統的容災實施，并定期進行演練。

（二）建設原則

1.標準化

財政專有云平臺應符合國家及行業標準、規范，標準規范包括但不限于國家工信部 《基于云計算的電子政務公共平臺頂層設計指南》《信息安全技術云計算服務安全指南》（GB/T31167-2014）《信息安全技術云計算服務安全能力要求》（GB/T31168-2014）。

2.可移植性及開放性

財政專有云平臺應適應財政業務系統類型多樣、結構復雜的特點，在體系架構、設備選型、軟件配置、數據交互等方面需兼容各種主流的應用系統環境，保障業務系統及數據遷移的可移植性。同時，平臺提供開放的技術接口，滿足各應用系統基于平臺的二次開發需求。

3.安全性

財政專有云平臺作為各項應用的承載體，應嚴格按照國家及行業安全標準規范設計建設，遵照各級保密法律法規，采取切實有效的措施，確保系統安全穩定運行。

4.先進性

財政專有云平臺應采用先進、成熟可靠的技術搭建，優先選擇具有自主知識產權且具有成功案例的軟硬件產品，為平臺后續長期、安全、穩定的運行提供基礎。

5.可擴展性

云服務商在搭建云平臺時，應充分考慮未來信息化發展趨勢，系統的總體設計采用層次化、組件化設計，為今后平臺擴展留有空間。

6.易用性

云平臺應操作簡單、使用方便、可集中管理和易于維護。

（三）總體架構

財政專有云服務體系整體分為五層結構、兩個體系，其總體邏輯架構設計如圖1所示：

五層結構分別是：基礎設施層、資源抽象層、資源服務層、云管理層、業務應用層。輔以兩個體系，即信息安全保障體系和運行管理體系，對云數據中心的運行提供支撐。

1.五層結構設計

（1）基礎設施層設計

基礎設施層包括機房運行環境以及計算、存儲、網絡、安全等設備。機房的部署按照分區設計，主要分為虛擬化應用資源池、數據庫區、統一運維管理區、網絡設備區和安全管理區等區域。

（2）資源抽象層設計

資源抽象層通過虛擬化技術，負責對底層硬件資源進行抽象，對底層硬件故障進行屏蔽，統一調度計算、存儲、網絡、安全資源池。

（3）資源服務層設計

資源服務層將虛擬化后的計算、存儲、網絡、安全等資源以服務的形式提供給用戶，包括網絡服務、存儲服務、VPC服務、彈性主機、資源編排、負載均衡、安全服務等。

（4）云管理層設計

實現以云計算環境為管理對象的綜合型管理系統，包括云服務的提供和運營、云基礎設施的維護以及云用戶的管理，具備資源管理、調度管理、自動化部署、策略管理、計量管理、監控管理、權限管理等功能。

（5）業務應用層設計

云服務的最終目標是為最上層的業務應用層提供服務，用于運行財政的各類業務應用。

圖1 云計算總體邏輯架構

2.兩個體系設計

（1）信息安全保障體系

信息安全保障體系應貫穿云計算體系的各層面各環節，以《網絡安全法》為指導，以財政專有云計算體系環境的具體安全要求為核心，從安全技術體系、安全管理體系、關鍵系統的保障體系幾大層面入手，利用防火墻、IPS、 抗 DDOS、VPN、IDS 等技術和設備，形成安全防御、安全管理、身份認證、安全域管理、傳輸加密、鑒權授權等安全能力，參考國家、財政部及天津市的各項規范制度，設計信息安全保障體系。

（2）運行管理體系

根據財政業務特點，通過整合云管理平臺、網絡管理平臺、SDN控制器、虛擬化管理功能，實現各方面的管理功能，提供運行管理、網絡管理、系統管理等功能，并開放相關的開發接口，實現與用戶現有流程管理、配置管理、問題管理等運行維護管理系統的相互協同，集中管理云計算資源，保障系統健康運行。

（四）網絡安全架構

1.總體拓撲架構設計

財政專有云網絡環境主要分為業務專網和業務外網（互聯網）兩個分區（其中業務專網包括業務內網、縱向聯網區和橫向聯網區）。兩個主要分區通過安全隔離與信息交互系統（以下簡稱網閘）實現區域間的隔離，以滿足不同的應用部署環境需求。

2.業務專網設計

（1）業務專網整體架構

業務專網分區承載專網相關業務，其總體規劃遵循區域化、層次化和模塊化的設計理念，提高承載業務系統的可擴展性、安全性和可管理能力。

按照系統邏輯分區及安全隔離要求，業務專網分為業務內網核心交換區、虛擬化應用資源池區、數據庫區、區縣應用區、安全管理區、統一運維管理區等，各區域內部再根據用戶實際業務需求劃分子區域。在網絡出口方面，通過縱向聯網區連接上下級財政部門，通過橫向聯網區連接各市級預算單位、銀行、企業等。

（2）業務專網網絡設計

業務專網網絡整體采用核心層、接入層的二層網絡架構，以利于網絡的擴展和維護。網絡分層簡要概述如下：

①網絡核心交換區

網絡核心交換區是業務專網的流量轉發總核心，實現外部網絡與各資源池分區的流量轉發以及節點內集群間流量轉發。核心交換機選用高性能、高可靠性的核心級交換設備，同時采用雙機虛擬化部署，支持SDN技術，實現虛擬網絡與硬件解耦，結合云管理平臺實現業務高速轉發和調度。

由于整網服務器、存儲、網絡、安全等設備眾多，需要一套完整的帶外管理網絡，單獨部署帶外管理核心交換機。帶外管理網絡是一套獨立的管理網，單獨為每個資源池部署帶外管理接入交換機，接入交換機再匯總到單獨的帶外管理核心交換設備之上。

核心交換區旁掛區縣應用區的兩臺核心交換機用于連接區縣業務擴展應用。核心交換區還通過網閘與財政業務外網（互聯網區）相連，即進行兩張網絡的物理隔離。

②網絡接入區

接入層由多種接入交換機組成，向下連接各類計算集群（虛擬化應用資源池、數據庫區、安全管理區、統一運維管理區等），將集群內流量控制在接入層內，向上與核心交換設備相連。

接入交換區針對各類計算集群分別配置運維管理交換機 （帶外管理接入交換機），向上與帶外管理核心交換機相連。

③業務專網出口

業務專網出口分為縱向聯網區和橫向聯網區。

在縱向聯網區內，兩臺核心交換機虛擬化后，通過多業務安全網關與縱向網絡接入設備相連，成為財政部、寬帶城域網（含區縣、市局）環網的一個重要節點。

在橫向聯網區，核心交換區通過網閘設備或防火墻隔離后，與橫向聯網區的核心交換機相連，并在此處部署一個單獨的應用前置區（含應用前置服務器），應用前置區通過專用的路由器經防火墻、 防毒墻、IPS、抗DooS等安全設備防護后與電子政務外網、VPDN、專線（人民銀行、商業銀行、企業等）連接。

（3）業務專網虛擬化應用資源池設計

虛擬化應用資源池提供服務器虛擬化功能，是整個云計算平臺承載業務的基礎。支持將物理服務器虛擬化為虛擬機，提供給不同業務使用，提高服務器資源的整體利用率。

在業務專網部署若干臺2路物理服務器并配套虛擬化軟件形成虛擬化資源池，服務器均采用雙萬兆光口上行連接虛擬化萬兆接入交換機，雙萬兆光口上行連接虛擬化萬兆管理接入交換機，雙千兆電口連接虛擬化運維交換機。具體組網示例如圖2：

在虛擬化計算資源池中，一般物理服務器與云主機的整合比平均不超過1∶5、單臺物理服務器上所有云主機vCPU之和不超過物理機總內核的1.5倍、單臺物理服務器上所有云主機內存之和不超過物理內存 （通常再考慮預留20%內存給物理機運行虛擬化操作系統）。虛擬化應用資源池服務器的主頻、內存都應具備高性能、可拓展、高可用等特性。

圖2 虛擬化應用資源池服務器組網

3.業務外網設計

（1）業務外網整體架構

業務外網承載財政業務外網相關業務。其按照系統邏輯分區及安全隔離需求，分別由業務外網核心交換區、虛擬化應用資源池、數據庫區、安全管理區、統一運維管理區組成。業務外網區網絡具有不同運營商的多個互聯網出口。整套環境采用云計算虛擬化相關技術搭建。

（2）業務外網（互聯網區）網絡設計

與業務內網類似，業務外網作為數據中心的基礎設施，其高可用性直接影響到業務系統的可用性，需要采用高可靠的產品和技術，保障容錯能力和糾錯能力。同時應按照端到端訪問安全、網絡L2-L7層安全兩個維度對安全體系進行設計規劃，確保網絡安全。業務外網（互聯網區）網絡整體采用核心層、接入層的二層網絡架構。網絡分層簡要概述如下：

①網絡核心交換區

網絡核心交換區是業務外網（互聯網區）的流量轉發總核心，實現外部網絡與各資源池分區的流量轉發以及節點內集群間流量轉發。核心交換機選用高性能、高可靠性的核心級交換設備，同時采用雙機虛擬化部署，支持SDN技術，實現虛擬網絡與硬件解耦，結合云管理平臺實現業務高速轉發和調度。

同時，由于整網服務器、存儲、網絡、安全等設備眾多，需要一套完整的帶外管理網絡，所以還需部署帶外管理核心交換機。帶外管理網絡是一套獨立的管理網，單獨為每個資源池都部署帶外管理接入交換機，接入交換機再匯總到單獨的帶外管理核心交換設備之上。

核心交換區還通過網閘與業務內網相連，形成物理安全隔離。

②網絡接入交換區

接入層由多種接入交換機組成，向下連接各類計算集群（虛擬化資源池區、數據庫區、安全管理區、統一運維管理區等），將集群內流量控制在接入層內，向上與核心交換設備相連。

此外，分別配置運維管理交換機 （帶外管理接入交換機），向上與帶外管理核心交換機相連。

③業務外網（互聯網區）出口

為了方便公眾和企事業單位訪問業務外網，同時支持IPV4和IPV6協議，支持不同運營商的多個互聯網出口。

在核心交換區前端，通過兩套安全防護設備或兩臺多業務安全網關隔離后，部署兩臺鏈路負載均衡器，再與多家運營商的出口路由器相連。

（3）業務外網（互聯網區）虛擬化應用資源池設計

在業務外網部署若干臺2路物理服務器配套虛擬化軟件做虛擬化資源池，服務器均采用雙萬兆光口上行連接虛擬化萬兆接入交換機，雙萬兆光口上行連接虛擬化萬兆管理接入交換機，雙千兆電口連接虛擬化運維交換機。具體組網示例如圖3：

圖3 虛擬化資源池服務器組網

計算資源池的設計與業務專網類似，在此不再贅述。

計算資源池通過負載均衡的部署，支持動態資源擴展能力。通過云平臺提供獲取方式簡單高效、處理能力彈性可伸縮的計算服務，支持根據用戶需求的硬件配置、操作系統和網絡配置，創建一臺或多臺云主機，在云平臺中，彈性云主機可以支持靈活定義服務規格，支持基于負載的水平擴展，具備云主機全生命周期的管控。并能夠通過監控引擎實時獲取服務器的運行狀態，當監控程序發現資源使用達到特定的閾值時，將觸發云主機相應的伸縮任務。

（4）業務外網（互聯網區）數據庫區設計

業務外網數據庫區提供基于外網的相關數據庫類應用服務，是整個云計算平臺承載數據庫相關業務的基礎設施。

數據庫區向各級別用戶提供數據庫資源自動化交付、數據庫生命周期管理、賬號管理、表空間管理、備份恢復管理等功能。同時，數據庫管理平臺還提供運維管理功能，如集群資源配置、監控、報表、數據庫變更、遷移等功能。

財政外網業務需針對大量用戶，對高性能關系型數據庫和非結構化數據的應用需求都較高，因此對存儲容量和讀寫速度要求高。數據庫區資源以滿足高I/O數據庫需求的物理資源為主，包括物理服務器和高性能存儲陣列。

規劃在業務外網 （互聯網區）部署4臺4路高性能物理服務器，并配套FC交換機和FC存儲陣列作為數據庫區。服務器均采用雙萬兆光口上行連接數據庫萬兆接入交換機，雙千兆電口連接虛擬化運維交換機，下行連接FC光纖交換機，FC光纖交換機直接與FC存儲相連。具體組網示例如圖4：

4.安全管理

（1）網絡安全

①防火墻

云計算環境的設計方案要求實現分域保護，縱深防御機制。在業務內網和業務外網等安全域的網絡邊界處設置防火墻提供訪問控制，在允許資源互相訪問的情況下，保護核心關鍵資產，有效地防止由網絡入口處進行的各種破壞性的對網絡的攻擊和非法訪問行為。

圖4 數據庫區組網

②入侵防御系統（IPS）

利用入侵防御系統提供云計算環境下的云安全邊界的安全防護，對各虛擬應用環境間及外部訪問虛擬化應用的數據流進行深度檢測，精確、實時地識別并阻斷或限制黑客、蠕蟲、病毒、木馬、DoS/DDoS、掃描、間諜軟件、協議異常等異常行為，并提供帶寬管理和URL過濾功能。

③防毒墻

在各系統網絡邊界設置防毒墻，按照“層層設防、集中控制、預防為主、防殺結合”的策略，建設統一的、覆蓋全網的、立體的、集中控制的網絡防病毒體系。

④抗DDoS設備

在橫向聯網區及業務外網出口邊界部署抗DDoS設備，迅速識別并攔截DDoS攻擊。

⑤安全隔離與信息交互系統

業務內網與業務外網的邊界需配置有安全隔離與信息交互系統，業務內網與縱向聯網區和橫向聯網區的邊界可以根據用戶需要部署，以實現對不同網絡分區進行安全隔離。

（2）虛擬化安全

①虛擬化服務器安全

針對虛擬機的安全需求，部署虛擬化服務器深度安全防護系統，提供覆蓋虛擬機和云服務器以及虛擬桌面的全方位的服務器安全平臺，確保服務器、應用程序和數據的安全。可以提供防惡意軟件、IDS/IPS、虛擬補丁、防火墻在內的安全模塊或模塊組合，定制專署的無代理安全防護。

②虛擬機系統安全加固

財政專有云平臺要求支持強制訪問控制功能，用以控制虛擬主機之間的互相訪問和訪問的類型。提供針對虛擬機及虛擬化操作系統的操作系統安全加固系統，用以解決虛擬主機操作系統安全問題。部署虛擬化防火墻實現虛擬主機之間的訪問控制。

③虛擬化入侵檢測分析

財政專有云環境中應具有完善的入侵檢測功能，對于虛擬化層的安全威脅，能夠提供智能分析功能，實現虛擬化環境下流經虛擬交換機流量的威脅檢測與智能分析，可以直觀的展示一段時間內虛擬化環境的安全態勢，為決策者做出安全建設決策提供依據。

（3）數據安全

財政專有云平臺應為用戶提供數據庫審計服務，可以對數據庫操作進行細粒度審計的合規性管理，對數據庫遭受到的風險行為進行告警。實時監測并智能地分析、還原各種數據庫操作過程，對數據庫系統漏洞、登錄帳號、登錄工具和數據操作過程進行跟蹤，及時發現對數據庫系統的異常使用，提供專業化審計報表。