基于企业移动平台的综合信息架构设计与应用.docVIP

基于企业移动平台的综合信息架构设计与应用 王燃 肖浩 海南核电有限公司 X 关注成功！ 加关注后您将方便地在 我的关注中得到本文献的被引频次变化的通知！ 新浪微博 腾讯微博 人人网 开心网 豆瓣网 网易微博 摘????要： 随着海南核电各类信息化项目如火如荼的建设和陆续投入生产运行, 从原来的纸质化管理到依托系统平台的业务过程信息化和依托数据与服务实现多客户终端的展现和利用, 使海南核电的应用系统架构的规划整体上往更开放、耦合性更低的方向发展, 伴随着整个过程也有着对于计算机网络和信息安全等的深度融合。本文以海南核电信息化进程中的信息系统架构的设计演化过程为基础, 提炼了在当前移动开发大形势下对于企业移动应用安全、移动应用架构和系统规划方面的主要制约问题和架构设计管理要求。 关键词： 企业信息化; 移动应用; 信息安全; 服务化; 作者简介：王燃 (1979, 9—) , 男, 汉族, 江苏徐州人, 本科, 工程师, 研究方向:移动信息化架构。 经过8年的发展和建设, 海南核电已经迈入到了在运电厂的行列, 上线的应用系统数量多如牛毛, 如何管理好这些信息化项目, 使之更好地持久地更安全地为核电厂的生产和经营服务, 是我们一直在研究的一项重大课题, 具体而言, 就是在已有的资源条件下, 研究采用何种架构和治理方式对其进行管理。 1 系统架构的演变 随着管理片区和生产片区各类应用系统陆续投用, 信息项目数量的动态增长并相继暴露出一些问题, 主要体现在: (1) 数据备份工作量逐渐增大, 此处的数据包括数据库数据和实体文件数据。 (2) 对于服务器的监控非常不便利, 因层次划分不清晰导致问题诊断过程缺乏规范且低效。 (3) 人员职责权限边界不明, 突发运维事件时运维人员要检查的范围较大, 处理时如产生环境配置变更可能会影响到其他系统的运行。 (4) 应用系统缺乏自动监控或者高可用机制, 宕机之后系统立即陷入瘫痪。此时我们在进行设计时, 主要考虑以下因素。 (1) 可扩展性接入。 (2) 过程可管理和追溯。 (3) 运维工作便于开展。 (4) 提高硬件资源的利用率。 (5) 核心服务高可用。 规范化的设计和管理后带来的效果是立竿见影的, 对于新接入的系统在数据库实例、实体文件存储、应用服务器部署和管理、系统监控层面都能够做到有效管控, 权责基本分明。为提高操作系统层面的可管理性和硬件的可维护性, 采用虚拟化手段对服务器进行处理, 主要的提升体现在: (1) 通过虚拟机备份的方式解决了绝大部分的数据和系统级备份问题。 (2) 提高了系统资源分配的弹性, 提高了资源分配的利用率。 (3) 提供了一个上层的监控平台, 可以实时监控虚拟机状态。但是, 应用系统的逻辑架构不变。 随着HNPC微信综合服务平台开始建设, 应用服务器和腾讯服务器之间产生了通讯需求, 紧接其后需解决内外网数据同步问题;此外, 因微信项目所部署的云服务器缺乏系统的安全防范措施, 抵御外部攻击能力较弱, 存在敏感数据泄漏的风险。为保障系统数据实时同步和数据安全, 我们重新设计了新的应用系统部署架构。经进一步论证和研究, 新架构通过使用WAF (网络应用防火墙) 和IPS入侵防御系统, 将WAF作为应用与外界交互的唯一接口, 由其来进行请求的反向代理和转发, 控制过滤掉非法和不安全的请求, 使用WAF后, 外部请求一个唯一的公网IP地址, 经过WAF的代理转发, 安全的进入并定位到内网服务器的指定主机, 减少了内部站点对外的发布, 减少了公网地址在传统防火墙中, 一对一使用IP地址的浪费;其次在操作系统层级和应用层级进行安全的扫描, 包括操作系统漏洞、网络设备漏洞、WEB服务器漏洞、数据库服务器漏洞等, 将结果推送告知系统运维人员进行漏洞的修复, 保障应用系统和数据服务所在的环境安全。 2 企业级移动应用平台 业务信息系统的全面集成和多终端访问和移动应用的中间件集成运行环境和移动信息安全体系建设, 又对总体架构提出了新的挑战, 启动集移动应用、移动管理、移动开发于一体的移动应用平台的规划设计和实现, 形成完善的移动应用规划和标准体系势在必行。平台的整个网络架构分为三大部分:Internet、DMZ和内网区域, 移动终端通过V PN拨号访问内网的Mplus服务器, 保证数据传输及访问控制的安全性, 移动终端经过公网防火墙访问处于DMZ区的负载均衡服务器, 再经过DMZ区与内网之间的防火墙, 判断ACL, 若符合控制规范, 将有权限下载Mplus服务端上存放的客户端软件并使用。 移动平台对接入平台的设备进行全周期管控, 包括设备认证、设备策略、设备规则、设备注销四个阶段。设备接入平台需要通过用户登录认证、设备注册激活、审核接入3个环境;对于接入平台可以