鐵路局集團公司辦公系統國產化替代遷移方案研究

付曉丹，史韶旭，栗繼房，楊鑫浩

（1. 中國鐵道科學研究院集團有限公司 電子計算技術研究所，北京 100081；2. 中國鐵路鄭州局集團有限公司 科技和信息化部，鄭州 450052；3. 華北電力大學 控制與計算機工程學院，北京 102206）

在貿易紛爭頻現的大背景下，信息行業國產化及網絡安全自主可控需求凸顯，國產化替代工作勢在必行[1-2]。我國信息技術產業在核心芯片、基礎硬件、操作系統、中間件、數據服務器等領域實現國產化替代，才能從根本上解決國家信息安全的核心問題[3-4]。

鐵路關鍵信息基礎設施承載著國家基礎數據、重要政務數據及公民個人信息，一旦遭到破壞，會對國家安全、經濟穩定和公眾安全造成嚴重影響。但現階段中國國家鐵路集團有限公司（簡稱：國鐵集團）的辦公（OA，Office Automation）系統大多在X86架構體系下運行，尚不能高效、穩定的運行在國產基礎軟硬件環境中，數據的安全性沒有保障，系統的安全性能、運維響應時限不能快速變化，制約了協同管理效能的提升。

本文以中國鐵路鄭州局集團有限公司（簡稱：鄭州局集團公司）的OA系統作為國產化替代試點，基于鄭州局集團公司OA系統現狀，確定其對軟硬件及終端適配的需求，形成選型思路，制訂替代方案，設計數據遷移步驟和方法，為下一步鐵路核心信息系統國產化替代奠定基礎。

1 OA系統國產化替代現狀及需求

1.1 OA系統現狀

在國產化替代之前，鄭州局集團公司OA系統主要包括鄭州局集團公司門戶網站、電子公文子系統、電子郵件子系統3個部分。國產化替代構建了鄭州局集團公司雙活數據中心，鄭州局集團公司現OA系統拓撲結構如圖1所示。

圖1 OA 系統拓撲結構

（1）鄭州局集團公司使用專網式網絡環境，基于B/S架構運行，用戶類型分為外部用戶（互聯網用戶）、內部用戶（國鐵集團用戶、鄭州局集團公司用戶、車站用戶等）。

（2）OA系統服務器使用虛擬機部署，集中部署在鄭州局集團公司數據中心，操作系統版本為Windows Server 2003、Windows Server 2008R2，使用Microsoft?.NET開發，沒有使用中間件，系統數據庫為Oracle 11g。整體系統國產化硬件使用率高于80%。

1.2 國產化替代總體需求

（1）鄭州局集團公司OA系統國產化替代工作需滿足安全技術路線。原有OA系統歷史數據需要無縫遷移至新系統，要確保數據的安全性、完整性，保障系統的安全、合規。

（2）鄭州局集團公司OA系統國產化替代工作需嚴謹靈活、規范安全，實現收發文一體化流轉，電子郵件應用便捷、高效和門戶網站的安全、易用。

（3）鄭州局集團公司在多年的信息化過程中建設了多個信息系統，這些系統大多是從單業務需求出發，缺少系統關聯設計，用戶應用不便。國產化替代工作需要打破信息系統間的空間壁壘，將OA系統作為統一入口，實現業務的高效組織和溝通，通過與不同專業性系統的集成和銜接，實現“端到端”的業務辦理和數據整合，快速響應業務部門需求。

2 實施方案

2.1 技術路線

國產化替代升級是一項龐大的系統工程，形成穩定、可復制、可推廣的環境是推進國產化替代的前提，在環境構建過程中，技術路線的選擇是核心環節[5-6]。選擇的技術路線需具有良好的發展前景、生態可拓展性、技術發展性，同時具備良好的穩定性和高可靠性。因此應選擇適配程度深、穩定性好的技術路線，避免信息系統的兼容性和運行效率問題。在設備穩定的前提下，充分利用原有的信息化建設成果，確保項目建設方案使用主流技術路線，并擁有良好生態，具備產業發展連續性。

鄭州局集團公司OA系統國產化替代選擇CPU+OS的技術路線，根據“技術先進、自主可控”的原則，充分考慮知識產權自主、技術先進、穩定性好、生態繁榮、可持續發展的要素，選擇指令集架構、芯片設計、研制等方面擁有自主知識產權的產品。通過第三方權威機構進行技術架構分析，對功能、性能、可靠性等方面進行測試[7-8]，從測試結果中選擇技術先進、可靠性高的技術路線。集成商、上下游廠商的適配情況是檢驗技術路線的產品生態的重要標準[9-10]。試點項目實踐是檢驗技術路線的比較好的方式，通過項目的實際使用效果，進行對比分析，選擇性能高、用戶體驗好的產品。

2.2 數據遷移方案

為實現改造前后系統數據的銜接，達到數據的完整統一，消除因數據不連貫對決策、監督的效率及準確性的影響，需要對歷史數據進行有效遷移。數據遷移方案主要包括數據遷移工作步驟、數據遷移手段、數據遷移工具、一致性和正確性保障措施與遷移方法驗證的設計。數據遷移流程如圖2所示。

圖2 數據遷移流程

數據遷移前，待遷移的數據需要進行清洗，以保證老系統數據滿足新系統的業務邏輯和數據格式標準。數據遷移時，采用工具遷移+手工錄入相結合的方式，將原系統中的歷史數據平滑遷移到新系統中，數據遷移內容包括：（1）組織模型、節點權限等基礎數據；（2）表單流程數據；（3）公文流程與正文數據；（4）電子郵件數據；（5）門戶網站數據。

2.3 實施流程

國產化替代遷移實施流程主要分為規劃、設計、實施、運行4個階段，如圖3所示。

圖3 國產化替代實施流程

（1）規劃階段主要根據OA系統的現狀、業務現狀、替代需求，編制建設實施方案和國產化改造的總體方案，包括應用架構的重構、數據架構、網絡架構、遷移方案、職責分工、風險應急措施等。

（2）設計階段根據總體方案要求，確定軟硬件需求、技術路線，進行設備選型、適配測試，完成軟硬件的設計、開發、仿真環境下的聯調聯試和系統優化。

（3）實施階段按照實施方案進行系統部署，在日常業務開展基本不受影響的前提下，穩步完成數據遷移、系統替代工作，確保遷移后業務功能完整、業務性能穩定，保障核心業務數據及其他相關數據的連續性、完整性和一致性。

（4）系統運行階段主要進行狀態監控、容災管理、運行維護等工作。

3 智慧OA系統

3.1 總體架構

本文搭建智慧OA系統以適配國產化的軟硬件。該系統基于J2EE技術路線，適配主流安全軟硬件基礎環境，采用國產數據庫進行數據加密存儲；提供可視化配置和安全管理能力，具有高性能、高可用、高安全、高可靠等特點；業務應用涵蓋電子公文、門戶網站、電子郵件，滿足便捷、高效的辦公需求。系統總體架構如圖4所示。

圖4 系統總體架構

3.1.1 展現層

支持國產化安全終端訪問，滿足應用一體化開發、發布，具備多終端自適應能力。

3.1.2 業務應用層

（1）電子公文子系統通過與公文交換系統、電子簽章系統、檔案系統集成，提供合規、安全的收文、發文、歸檔應用，可按需求進行業務定制，滿足便捷、高效的公文辦理需求。

（2）門戶網站提供豐富的組件定義功能，支持多元的應用場景，結合靈活的通欄布局與豐富的模板庫，通過界面拖拽的方式快速定制門戶頁面，構建多層級、多維度的個性化門戶。

（3）電子郵件子系統基于國產操作系統進行系統級優化，采用安全、優化的核心服務和數據傳輸方式，支持郵件服務器數據加密存儲和基于證書的郵件簽名和加密，全方位保障郵件安全。

3.1.3 支撐服務

支撐服務面向管理用戶提供可視化配置管理和安全管理能力，包括基礎支撐服務、應用集成、系統安全、系統管理、網信環境適配等。

（1）應用集成方面，具備統一身份認證能力，支持與隱寫溯源、公文交換、檔案管理、密級標識等第三方系統進行集成，可與CA（Certification Authority）證書等信任服務體系進行對接。

（2）系統安全方面，滿足體系化安全設計，提供身份鑒別、授權管理、訪問控制、數據加密、日志審計等體系化安全措施。

（3）基礎支撐服務方面，管理用戶可借助實體設計、對象設計、表單設計、流程設計實現業務的快速配置。

（4）系統管理為用戶提供系統基礎信息的維護功能，可實現對用戶、角色、機構、崗位及常用系統配置的維護。

3.1.4 數據層

采用國產數據庫進行數據存儲，支持對密級、用戶簽章、密碼等關鍵敏感數據的加密存儲。

3.1.5 基礎設施

通過對主流國產操作系統、安全設備、網絡設備、存儲設備等適配驗證及測試，構建主流安全基礎軟硬件環境。

3.2 技術架構

該系統采用微服務架構、集群部署、容器化部署、持續集成交付、安全環境適配和應用組件/服務封裝技術來完成對系統設計開發，技術架構如圖5所示。

圖5 技術架構

基于J2EE技術路線，微服務架構，技術先進，滿足先進性、可靠性、開放性等核心要求；支持傳統集群應用部署架構，滿足多種場景需求；支持容器化、輕量級部署，保障資源管理和彈性擴容的便捷性；開發運維管理工具化，降低了開發、集成、發布和管理難度。

4 結束語

鐵路信息系統的自主可控，是國家安全戰略的重要一環。本文以鄭州局集團公司OA系統為試點，進行國產化替代的遷移方案研究，分析了鄭州局集團公司OA系統國產化替代的現狀和需求；給出了國產化替代的技術路線、數據遷移方案和實施流程；闡述了國產化后的智慧OA系統的總體架構和技術架構。為鐵路系統在國產化環境下的平滑替代提供技術支撐，為下一步鐵路核心信息系統國產化替代奠定基礎、提供參考。