易坚
摘 要:本文从互联网网站群的系统架构、系统功能以及系统实现三个方面详细地介绍了武汉铁路局互联网网站群技术平台。该平台的建设能够确保铁路互联网网站(应用)安全稳定运行。
关键词:互联网网站群;网络安全;武汉铁路局
中图分类号:TD235.33 文献标识码:A 文章编号:1671-2064(2019)03-0003-02
1 概述
根据中国铁路总公司的工作要求,武汉铁路局对建设互联网网站群技术平台进行了工作布置,要求互联网网站群技术平台必须满足业务应用和安全运行要求,实现铁路局范围内中小网站(应用)集中部署、统一管理,保障互联网网站(应用)安全稳定运行。
武汉铁路局互联网网站群技术平台包括网络平台建设、基础设施服务层建设、平台服务层建设、软件服务层建设、运维管理体系建设以及既有互联网网站迁移。平台建设利用既有信息机房,并充分利用既有外部服务网和既有硬件资源,大大节省了工程投资。
2 互联网网站群总体架构
网络接入为系统用户以及系统间交互提供互联网接入环境,为系统平台硬件提供网络接入环境,同时还为远程维护提供网络接入环境。计算资源是以X86服务器为基础的计算资源池,可以分为虚拟化资源池和物理服务器资源池两部分。存储资源池是将存储设备进行池化,将不同的物理设备统一进行存储管理,为数据库服务器、应用服务器上的相关网站应用文件及数据库数据备份提供存储服务。网站群总体架构如图1所示。
系统逻辑架构包含基础设施服务层、平台服务层、软件服务层、用户访问层、安全管理体系、运维管理体系等六个层面。
3 互联网网站群应用总体设计(见图2)
(1)基础环境:核心运行环境主要是网络环境、硬件服务器(如应用服务器、Web服务器等)以及应用运行所需的操作系统、数据库系统等核心基础软件等。(2)数据支撑环境:提供对网站群前端服务所需的后台数据支撑,包括各种关系数据库、目录资源、全文数据库、文件系统资源等等。(3)应用支撑环境:在软硬件基础环境和数据环境之上,建立和部署包括网站群内容管理系统、资源中心、站群管控中心、站群管理、全文检索系统、工作流引擎、一体化发布等一系列应用服务系统,为门户网站群的前端各类服务提供应用支撑。(4)门户服务层:依靠应用支撑环境中的各种应用,在门户网站中组织和提供各种信息服务、互动服务、组件调用服务、用户服务等等。(5)表现层:在表现层最终形成以铁路局为核心的网站群信息表现、信息服务与信息互动。(6)信息安全保障体系:安全体系建设遵循等级保护三级技术规范,主要在应用安全、网络安全、边界安全、安全审计、安全综合监控、安全管理等方面采取必要措施,达到安全管理和安全防护能力显著增强,抵御攻击、篡改、破坏能力显著提升。
4 互联网网站群系统功能
4.1 内容管理和发布服务
网站门户作为企业对外门户界面,应承担企业应用系统对社会公众信息的发布的角色,各应用系统需对外发布的常规内容,原则上应由网站门户统一发布。
网站应用系统应建设与各应用系统的数据集成和交换渠道,实现发布内容的畅通、快速和安全地交换。
4.2 互联网公共服务平台建设
网站群系统除作为企业内容发布的统一门户外,通过网站群系统互联网服务资源中心建设,进一步能够作为路局面向社会公众和企业的公共服务平台。互联网公共服务平台的建设内容主要有互联网公共服务资源中心建设、数据交换和动态访问、互联网+技术和应用模式、身份管理和认证。可通过网站门户与应用系统的深层整合,在网站门户向用户提供办事材料的提交、办理进度的查询或办事结果的展示等。对于需要直接面向网络用户的企业应用系统,可通过业务内容的梳理,通过网站门户向用户提供业务办事的访问入口和指南。
5 互联网网站群技术方案
既有互联网接入区通过升级改造,建设成为生产用互联网接入区,为铁路局互联网网站(应用)提供互联网接入服务,满足互联网用户“由外到内”的访问需求。网站群系统使用该互联网接入资源,并根据网络带宽及设备性能需求,对不能满足需求的链路与设备进行升级、更换。对既有防火墙进行升级、更换,选用具备流量控制、入侵防御、防病毒功能的下一代防火墙,以精细化控制各信息系统互联网带宽使用,并强化互联网出口安全。
新建办公用互联网接入区,配置出口防火墙、链路均衡器等设备,为内部人员使用外网办公终端访问互联网提供访问通道,及满足内部人员“由内到外”的访问需求。将生产访问互联网与办公上网访问互联网的数据分离,减少相互影响。同时应逐步建设改造办公终端接入区,使其具备办公终端网络集中接入能力,并与其他区域有清晰的网络边界。
在对外服务区中划分两个安全域,分别为不同类型网站和应用提供网络接入环境。同时既有信息系统根据分类逐步迁移至相应安全域。
新增运维管理区,堡垒机、VPN等设备应部署于该区域。
5.1 网络平台技术方案
网站群技术平台将互联网外部服务网分為多个网络区域,包括互联网接入区、外部服务网核心区、对外服务区、运维管理区,满足不同业务接入需要。
互联网接入区主要由两条不同运营商互联网专线,以及互联网出口防火墙、链路负载均衡器等设备组成。该区域为外部服务网各应用系统提供互联网访问通道。
外部服务网核心由核心防火墙、核心交换机组成,负责各区域问数据访间控制与数据转发。
对外服务区为业务应用提供网络接入环境,由交换机级联组成,上联核心防火墙,由核心防火墙进一步划分为多个安全域,实现各区域访问控制。
改造方案具体为:(1)改造互联网接入区:为互联网网站和互联网应用提供互联网通道。武汉铁路局现有两条互联网接入通道,分属中国移动和中国电信运营商,带宽暂时满足需求,暂不扩容;出口防火墙利旧使用;更新链路均衡器。(2)新建外网核心区:负责实现网站群技术平台分区分域管理和各区域间网络安全防护,实现平台内部数据高速、安全、可靠交换。根据方案要求,新设核心防火墙和核心交换机。核心交换机负责隔离对外服务区、运维管理区、网络安全平台,实现三个区域间数据访问控制。核心防火墙负责这三个区与互联网的数据访问控制与流量清洗。(3)新建对外服务区:用于集中部署互联网网站和互联网应用。接入交换机利旧使用;为实现流量控制、入侵防御等功能,新设Web应用防火墙。(4)新建运维管理区:满足各单位对所辖网站运维管理的需要。接入交换机利旧使用;新设VPN网关和堡垒机。
5.2 基础设施服务层技术方案
基础设施主要为网站群技术平台集中部署的互联网网站和互联网应用提供计算资源、存储资源、安全防护资源等,通过VMWare虚拟化软件进行池化。
改造方案具体为:(1)新建虚拟资源池:用于提供互联网网站应用服务器虚拟机、日志审計系统等运维管理软件部署等。为满足使用需要,需新设数据库服务器,Web应用服务器;为部署日志审计、防篡改、漏洞扫描、主机入侵防护、网站群内容管理、身份认证、搜索服务等软件需新设机架式服务器,安全事件检测服务器利旧使用。(2)新建集中式存储资源池:为连接集中式存储的计算节点和数据库提供存储资源,新设存储设备。(3)虚拟化软件VMWare利旧,暂不新购许可证。
5.3 平台服务层技术方案
平台服务层主要为集中部署的互联网网站和互联网应用提供中间件、数据库等资源的按需调配。
(1)操作系统服务:使用开源软件Linux操作系统。(2)中间件服务:选择开源软件tomcat+apache作为网站群中间件产品,部署在计算资源池的虚拟机中,为应用服务器提供标准中间件配置服务。(3)数据库服务:选择开源软件MySQL数据库产品,部署数据库集群。(4)负载均衡服务器:采用硬件负载均衡器,本次设计利旧使用调度楼信息机房既有负载均衡器。(5)数据备份服务:为提高网站群技术平台的可用性和可靠性,新增数据备份软件。
5.4 软件服务层技术方案
根据总公司总体方案,需新设并部署互联网网站群内容管理系统、用户身份系统、网站搜索服务系统等软件。
5.5 运维管理体系技术方案
新设并部署配套的日志审计、防篡改、漏洞扫描、安全事件监测、主机入侵防护等软件系统,实现对网站群技术平台的管理和监控。
5.6 既有互联网网站迁移方案
将武汉局既有网站全部迁移并纳入铁路局互联网网站群技术平台,实现统一管理。
6 结语
本次在武汉铁路局建设互联网网站群技术平台,为铁路局范围内的中小规模互联网网站(应用)提供集中统一的平台服务,充分发挥互联网效应,通过互联网网站(应用)不断拓宽客货营销渠道,不断提升客户服务水平。实现互联网网站(应用)集中部署、统一防护、共享资源、统一运维,做到互联网网站(应用)建设标准化水平显著提高,安全管理和安全防护能力显著增强,抵御攻击、篡改、破坏能力显著提升,确保铁路互联网网站(应用)安全稳定运行。