水利規劃計劃管理系統國產化替代的設計與實現

北京中水科水電科技開發有限公司 滿運濤 劉德龍

2014年2月中央網絡安全和信息化領導小組成立，習總書記親自擔任組長，標志著網絡安全和信息化已上升為國家戰略。2018年7月13日習總書記在中央財經委員會第二次會議強調，關鍵核心技術是國之重器，對推動我國經濟高質量發展、保障國家安全都具有十分重要的意義，必須切實提高我國關鍵核心技術創新能力，把科技發展主動權牢牢掌握在自己手里，為我國發展提供有力科技保障。

中國自主可控國產化的路徑即是歷史的必然，保衛信息安全刻不容緩。2013年斯諾登曝光美國“棱鏡計劃”，美國政府可隨意調取科技IT 界八大巨頭數據，監控全球信息。貿易摩擦中，美國利用國內法律法規對華為等中國科技公司供應鏈的隨意限制，顯示了科技霸權主義的威脅，以及國際科技跨國公司并不能擺脫本國政府的控制。發展底層國產自主可控芯片與基礎軟硬件，是保衛中國信息安全和產業安全的根本保障。隨著全社會由IT 時代步入DT時代，大數據驅動人工智能成為各行各業的發展動力，保衛自主信息安全刻不容緩。

1 國產化替代的現狀及必要性

1.1 建設內容

水利規劃計劃管理系統是水利項目及統計管理系統子系統之一，主要是為全國水利規劃工作提供信息化支撐。系統功能主要針對水利規劃計劃管理工作各方面的業務需求，包括水利規劃管理、前期工作管理、投資計劃管理、綜合統計管理、水利改革管理等。用戶包括水利部規計司、水利部其他相關司局、水利部直屬單位、各流域機構、各省級水行政主管部門。

水利規劃計劃管理系統建設過程中安全保密問題至關重要，按照中央提出重要信息系統要全面實現國產化代替的新要求，完成系統適配遷移工作。在確保系統連續、穩定運行以及數據的完整性、安全性、準確性的前提下，逐步完成對系統的安全可靠適配和遷移，包括操作系統適配、數據庫適配、中間件適配、系統功能適配、瀏覽器適配、操作系統遷移、數據庫系統遷移、數據遷移、應用遷移和驗證測試等。把現有系統數據遷移到國產化平臺。

1.2 國產化替代的技術基礎

我國面臨的安全挑戰仍然嚴峻，而根源就是核心技術、系統和設備沒有實現“自主可控”，仍然受制于人。面對其他國家的技術封禁并非無路可走，國產化替代就是最佳辦法。而且并非沒有這個實力，北斗衛星導航系統的成功就是最好的證明。北斗衛星導航系統是我國自主研制的、繼美國GPS、俄羅斯GLONASS 之后第三個成熟的全球衛星導航系統，也是聯合國衛星導航委員會認定的供應系統之一。從覆蓋范圍來看北斗衛星導航系統已能與其它全球衛星導航系統平起平坐了，它代表了我國追求自主可控的堅韌和決心[1]。

1.3 國產化技術現狀

同行間在良性競爭的同時也需要深度合作、達成雙贏，避免出現惡性競爭，給行業圈造成混亂和損害。而在涉足多個領域方面，WPS 的產品鏈就十分值得借鑒。小巧精致的外表擁有多個拓展產品：云服務、金服、H5、稻殼搜搜、詞霸等，同時擁有云辦公的WPS 企業版。相對應的，操作系統也可細分到企業辦公、服務器、嵌入式等專業領域版本堆砌而成的生態圈子，各種各樣的產品因應不同需求給予用戶選擇，化繁為簡，統一而精致。

1.4 軟件國產化的意義

中央國家機關集中采購軟件項目是由中央國家機關政府采購中心組織的協議采購項目，是中國政府采購領域級別最高、覆蓋面最廣的采購項目之一。在多年前的政府采購中，賽門鐵克、卡巴斯基等國外安全軟件都榜上有名，但后來的政府采購名單中國外安全軟件廠商幾乎全軍覆沒。在幾年前中央國家機關政府采購中心公布的殺毒軟件類產品采購名單中，360、金山、冠群金辰、江民科技和瑞星5個國產品牌入選，而國外安全軟件企業賽門鐵克和卡巴斯基則“名落孫山”[2]。

全球各個國家已將信息安全建設投入上升為國家安全軍備競爭，中國對信息安全保障的重視程度也達到前所未有的高度，于2013年11月12日成立國家安全委員會。于此同時中國企業界也發動了“去IOE”(IBM 是服務器提供商，Oracle 是數據庫軟件提供商，EMC 則是存儲設備提供商)運動。

1.5 國產化技術現狀

賽迪電子信息產業研究中心調查數據顯示：在提示“棱鏡門”事件對行業用戶信息安全影響的調查中，發現行業用戶安全意識明顯提高，76.0%的用戶認為在使用國外殺毒軟件產品時存在安全隱患，57.5%的用戶認為選擇國產殺毒軟件產品非常必要。另一方面，近年來愈來愈多的行業用戶對一些國產品牌的信任度正在不斷的增強。之前在國內政府機構、大型行業和大型企業等使用的付費安全軟件中，賽門鐵克、卡巴斯基等國外企業占據了接近70%的市場份額，而在“棱鏡門”事件后，選擇360、瑞星、江民、啟明星辰等國產企業安全產品的政府和大企業迅速增加[3]。安全重于泰山，時下中國采購決策正發生一些方向性的變化，中國政府已經要求在網絡設備、服務器、操作系統、存儲系統等領域盡量使用國產品牌。

2 系統遷移和部署

原有業務系統遷移至自主可控環境，應遵循頂層統籌規劃、優先適配驗證、確保業務完整、保證數據一致等原則，重保核心業務，合法、合規完成系統遷移部署。系統遷移前明確信息化現狀和替代需求，完成業務優化重組，完成信息資源規劃和數據庫的設計，完成應用架構的重構，完成基礎設施方案設計，形成成熟可行的業務架構、技術架構、數據架構、網絡架構、遷移計劃、職責分工和風險應對措施，在日常政務活動及業務開展基本不受影響的前提下穩步完成替代遷移工作。在遷移前優先進行適配驗證工作，將問題暴露在遷移之前，及時對可能的風險進行定位、分析、攻克，同時優化系統瓶頸，減少不必要的干擾因素，穩步科學遷移。遷移過程由業務部門主導，確保遷移完成后業務功能完整、業務性能穩定[4]。

系統遷移和部署流程如下：搭建測試環境（準備中間件、數據庫、瀏覽器等相關軟件，確定軟件版本）-遷移系統原碼（配置負載均衡、修改代碼）-單點集成-增加用戶同步功能-更新到正式環境。

2.1 替代遷移實施方案

規劃階段。理清替代遷移范圍、設定替代遷移目標，評估自主可控的基礎環境，分析系統關聯性，分析替代遷移風險，制定相對完善的遷移策略；設計階段。根據遷移策略制定遷移實施方案，包括基礎環境勘察、制定備份方案、準備遷移工具、確定割接方案，針對風險分析結果制定風險應對計劃，準備遷移技術方案，包括物理機至虛機遷移技術、虛機至虛機遷移技術、人工部署技術等。

實施階段。根據設計的遷移實施方案準備遷移環境；對應用系統、安全產品等軟硬件設備進行適配驗證測試，確定自主可控技術環境下的兼容性測試、功能摸底、性能瓶頸分析、故障定位、干擾因素判斷等；選取輕量級業務系統或局部核心業務系統進行遷移演練，全面驗證演練結果；遷移完成后，面向服務器和計算機設備，操作系統、數據庫、中間件等基礎軟件以及業務軟件進行性能、穩定性、兼容性、易用性等方面的測試優化。

運行階段。保持遷移后對系統進行狀態監控，進行各級災備建設，建立或完善應急預案，為系統的持續良好運行提供保障；為替代遷移后的新系統提供運維集成、配置管理、智能運維、統一監管等方面的運行維護工作。

2.2 系統適配

操作系統適配。目前環境下的規計系統服務器操作系統采用銀河麒麟操作系統（替代原Windows操作系統）。銀河麒麟（Kylin）操作系統具有高安全、高可靠、高可用、跨平臺、中文化（具有強大的中文處理能力）的特點，且銀河麒麟系統兼容Linux系統，所以從性能上將比Windows 有所提高。系統基于Windows 操作系統特性研發，需針對國產操作系統進行適配。國產操作系統一般基于Linux內核開發，硬件平臺一般基于x86（或兼容x86）、ARM、Alpha 等。

數據庫適配。目前環境下的規計系統后臺采用的數據庫為達夢數據庫（替代原oracle 數據庫），是達夢公司推出的具有完全自主知識產權的高性能數據庫管理系統，具有高可用性、高性能、高安全性、高易用性，能夠滿足大、中型企業以及金融、電信等核心業務系統的需要。同時DM8融合了分布式、彈性計算與云計算的優勢，對靈活性、易用性、可靠性、高安全性等方面進行了大規模改進，多樣化架構充分滿足不同場景需求，支持超大規模并發事務處理和事務—分析混合型業務處理，動態分配計算資源，實現更精細化的資源利用，更低成本的投入，是理想的企業級數據管理與分析服務平臺。

中間件適配。目前環境下的規計系統涉及的中間件主要包括HTTP 服務器、應用服務中間件等。HTTP 服務器使用的是開源的Nginx，應用服務中間件采用中創商用中間件（InforSuite）來作為啟動項目的Web 應用服務器。系統使用了InforSuite的部分高級功能，如數據庫連接池、EJB、部署計劃等；瀏覽器適配。目前環境下的規計系統采用的瀏覽器為奇安信瀏覽器（替代原IE 瀏覽器），是一款面向管理者、使用者、開發者、運維人員推出的安全、可信、全平臺、支持集中管理的自主品牌瀏覽器。正常使用瀏覽器的過程中對瀏覽器的配置過程無感知，可正常使用業務系統，大大提高業務的使用體驗和員工的工作效率。

2.3 遷移部署

為確保線上系統穩定連續的為業務工作提供支撐，系統遷移采用逐步遷移的方式：操作系統遷移。在新的國產操作系統上部署應用系統運行環境，包括JDK 等，編寫對應的運維腳本；數據庫系統遷移。在操作系統中安裝新的國產數據庫系統，并按系統要求進行數據庫配置，包括用戶創建、授權、數據表空間或Schema 創建。最后在數據庫系統中創建系統所需的數據表、視圖、存儲過程、函數等；中間件遷移。在新的國產操作系統上部署基于開源的可控中間件（如中創中間件），調試設置相關配置參數；應用遷移。將系統應用部署到服務中間件中，調試設置相關運行參數，使系統能滿足相關性能要求；數據遷移。將舊數據庫中的數據統一遷移至新數據庫系統。由于數據庫系統不同，無法使用數據庫自帶的工具進行數據遷移，需結合使用第三方工具和定制開發相關工具進行數據庫遷移。遷移完成后，保障核心業務數據及其他相關數據的連續性、完整性以及一致性。系統內部，系統與系統之間的數據平滑銜接，同時保留歷時數據。

3 結語

在這個挑戰與機遇并存、充滿各種不確定性的時代中，“國產化替代”和“自主可控”肩負著極其重要的歷史使命。水利規劃計劃管理系統適配遷移工作的完成，把現有系統數據遷移到國產化平臺。從保障信息安全的角度來看，由操作系統、數據庫、中間件等共同組成的基礎軟件必須采用具備自主知識產權的產品與技術，才能確保信息系統的自主可控性。國產化替代和自主可控的進程是漫長且艱巨的，但必須堅持這么做。只有建立一個涵蓋信息安全方方面面的立體防護體系，實現整體的IT 系統自主可控，才能真正保障國家信息安全。