基于政务云的中小型数据中心方案研究

◆张先哲 马 晓

（1.河南牧业经济学院 信息工程学院 河南 450044；2.中国烟草总公司职工进修学院 河南 450007）

传统的数据中心如文献[1]提到的，是业务系统最主要的信息化支撑环境，主要以设备为中心，在初始阶段资源利用率不高，而且随着信息化应用的不断深化其响应能力不断下降，同时也需要较高的人力进行运维。随着文献[2，3]提到的云计算的普及，很多企事业单位利用公有云技术构建数据中心，既降低了建设、运维成本，也提高了资源弹性和利用率，但是也存在一定的网络安全隐患和数据泄露风险。而政务云平台服务是云服务商专门为政府、企事业单位专门提供的云服务，遵循更高的网络安全标准，基于政务云平台构建的数据中心可以较好地解决资源弹性分配、网络安全等问题。

1 数据中心建设模式分析

对于中小型企事业单位来说，数据中心建设模式多种多样，可以按照利用云技术构建私有云数据中心，也可以完全利用一般公有云构建自己的数据中心，还可以建设基于政务云平台的数据中心。

1.1 私有云数据中心

私有云数据中心主要是利用公有云技术、管理和服务模式来构建数据中心，该方案也是以设备为中心，需要大量采购服务器、网络安全、存储、交换机等设备，同时利用云技术对硬件设备进行云化，相比较传统数据中心来说，按照成熟的公有云模式可以更快地构建基础架构，设备的资源利用率有较大提高，依托云资源池，可以在几分钟内甚至数秒内实现应用的快速部署与资源分配，后期运维成本大大降低。该方案共用公有云技术，具有公有云的大部分优势，而且对于存有敏感数据的企事业单位来说可以实现业务系统和数据等资源的本地化部署，具有自主可控性高、业务应用响应性能快的优点，具有较高的网络安全性。

但是该方案建设成本较高，而且对建设规模有一定要求。建设成本包括硬件成本、云软件成本等。对于省级政府单位、大型企事业来说有建设的必要性，但是对中小型企事业单位来说前期建设成本、后期运维成本及硬件生命周期更换成本都较高，性价比不高。

1.2 利用公有云构建数据中心

该方案是利用公有云资源来构建数据中心。现在的公有云服务类型已经十分丰富，完全满足数据中心建设的要求。利用公有云服务资源可以很快地构建合适的数据中心，具有构建快、建设和运维成本低，缺点是所有业务系统和数据都部署在公有云上，可能会导致基础资源不可控、技术体系不可控、业务应用响应相对较慢，存在网络安全风险等问题。

1.3 建设基于政务云的数据中心

本文所指的政务云是一个专门为政务行业量身定制、符合国家政务安全合规、中央网信办云计算网络安全审查（增强级）的云计算服务，符合文献[4，5]所指的国家标准，如GB/T 31168-2014《信息安全技术云计算服务安全能力要求》增强级安全要求，是通过云计算服务安全评估的云平台（中央网信办2019 年11 月19日发布），属于国家安全基础设施，可以承载非涉密的敏感信息和重要政务业务。

政务云与普通的公共云区别在于，其机房位于完全物理隔离的专属高规格物理集群，所有数据存储相关的数据都在政务云专属机房内，这样确保在各个层面上用户数据无法出此机房。

该方案无须自建机房，无须担忧物理环境的运营管理，无须增加大量运营人员，无论是机房、资源还是数据库等，同样也无须每年花费经费来通过各类合规认证，更无须担忧为新技术而不断投入的人力和资金，适合存有敏感数据的中小型企事业单位。

2 建设架构

主要是利用政务云的资源建立的专有云，原数据中心通过专线或VPN 线路与政务云连通，利用政务云和本地机房双重的服务资源，可以提供更加可靠、强大的数据服务。具体架构如图1：

图1 具体架构

2.1 硬件层

硬件层由政务云平台和本地数据中心组成，本地数据中心通过专线或者VPN 线路安全连接至政务云。

在线路选择主要考虑成本和应用类型的要求。专线主要用于业务系统数据量较大，对数据传输安全性要求较高的场景，但专线通常费用较高。利用VPN 通道传输安全性也有保证，成本相对较低，它占用企事业单位原有的互联网出口带宽，满足数据量较小的业务场景。

通过专线或VPN 将政务云平台和本地数据中心连接后，可以将政务云平台作为本地数据中心的“后花园”，专属于本地数据中心，可以实现资源灵活扩展。

在网络安全防护方面，该方案可以复用政务云和本地双重的网络安全防护。一个完整的安全架构包括：网络流量监测与分析、防DDoS 攻击、带宽管理、防火墙、防病毒、入侵检测、上网行为审计、堡垒机、Web 漏洞检测、安全日志审计、主机防护系统、系统应用审计等。从“安全、适度、可控”的来讲，一般无须采购所有安全措施，可以结合自身网络安全状况，合理购买网络安全设备或服务，云上云下形成一个整体互补的网络安全防护体系，既减少成本又达到了网络安全防护目的。网络安全架构图如图2：

2.2 中间层

政务云平台继承了公有云平台的PaaS 的优势，可以提供各种数据能力、业务能力服务。在这种架构下可以充分利用大数据管理服务、大数据计算、大数据商业智能服务和大数据应用服务等数据能力服务，并选择适合的协同服务、区块链服务、视频服务、验真服务、AI 服务、智慧城市服务等业务能力服务。

通过逐步云化本地数据和业务，利用政务云的技术、产品、运维等方面的优势提供的一些能力，可以快速、低成本开发，或者解决开发的一些瓶颈。就安全性来说，应用政务云的PaaS 服务能方便地实现安全性措施与管理，一是因为PaaS 包括了一个安全性和访问的控制套件用于部署安全和访问管理，该套件在应用程序和数据库服务中都是一致的。可让管理员用一种有组织的方法来设置权限。二是提供更加标准化和更易于维护地用于应用程序连接和工作流程的工具，可以方便控制所有系统、应用程序和数据库中的权限分配。

2.3 应用层

全面利用政务云平台IaaS 的“可重复使用”的优点，借助政务云完善的软件服务生态圈，能为企事业单位提供更快、更优的具有高度可复制的“标准化”的解决方案。

3 结束语

本文对比了数据中心三种建设模式，提出了建设基于政务云平台的数据中心的方案，指出该方案在经济性、网络安全方面的优点，该方案适用于存有敏感数据的中小型企事业单位，可以为其提供更加安全可靠的数据中心建设方案，同时发挥云的优势，减少硬件运维的压力，将信息化建设的重点放在业务能力提升方面。