论核电移动信息化基础架构改进与应用

论核电移动信息化基础架构改进与应用

摘要本文以国核廉江核电工程项目作为研究对象，从工程总承包角度出发，探讨核电移动信息化基础架构与改进，实现核电工程建设移动应用接入规范化，更大的信息资源利用率，降低工程建设过程中的信息安全风险。文章内容涉及移动信息系统架构演化以及核电应用安全、应用架构和系统规划。希望本文的研究能够为读者提供有益参考。

关键词基础架构；移动应用；信息安全

前言

应用系统架构的产生，是系统不断提升的复杂性与信息系统发展需要之间的矛盾而催生的产物，在这个系统架构内包含企业业务流程、数据、应用功能、服务器、网络以及安全设备等。经过几年的发展与建设，国核廉江核电工程项目已上线了以NuPower系统为主的应用系统，对于如何管理这些信息化应用系统，使核电工程建设过程的数据能安全交互，其关键在于采用哪种架构与治理方式进行管理。

1 信息化基础架构的演变

2016年国核廉江项目部成立，项目部信息化上线的第一批信息化应用，门户系统和Outlook邮件系统，随着NuPower系统的部署，这些应用系统数量在动态增长下，暴露了以下几个问题：①随着工作量的增大，要记录的数据也随之增多，加大了数据备份的工作量。②因层次划分不清晰，以及诊断过程不规范、低效，为服务器监控带来诸多不便。③其中一个系统在发生环境配置变更的情况下，还会影响其他系统运行。④缺乏自动监控的应用系统以及高可用机制，在发生宕机之后系统立刻陷入瘫痪。发生问题的应用主要集中在传统的客户端、服务器应用和浏览器。因此在进行架构设计时，要注意是否支持可扩展性接入，过程是否可管理和追溯，是否便于运维工作开展[1]。

加强基础架构规范化设计，能为服务器的管理带来立竿见影的效果，在这一架构下实体文件存储、应用服务器部署和管理、系统监控层都做好有效管控，同时在这架构下明确各工作人员的权责。此外，服务器采用虚拟化处理，具体体现在：①利用虚拟机备份，解决数据备份和系统级备份问题；②提高资源分配的弹性，实现更高的资源分配利用率；③加设上層监控平台，以此实时监控虚拟机运行状态。

需要特别注明的是，应用系统逻辑架构不变，便于任何架构和治理方式对其进行管理。

2 信息化基础架构改进以及应用

2.1 解决数据不同步问题

为推动廉江核电工程项目移动信息化建设，以及对微信小程序的需求，应用服务器与腾讯服务器有通讯需求，此应用系统在研发上线时由于不能保证微信应用置于内网的绝对安全，加之相应管理体系不健全，所以将微信订车服务部署在外部云服务器。

在微信应用上线后，首要解决的问题是数据同步问题，因国核廉江核电工程项目部内网与互联网物理上呈现隔离状态，因此不能将微信小程序数据进行实时同步。此外，微信小程序部署服务器并未做好安全防范措施，对于黑客攻击的抵御能力有限。带来的直接后果是，微信小程序数据不设防，这些数据泄露出去会造成非常严重的后果。为解决数据实时同步，拟将服务器迁回内网并重新规划部署架构。

之所以将系统架构进行改造，是为了解决数据实时同步以及信息安全问题，但是将服务器迁回内网，只是解决了数据实时同步问题，对于通信安全仍没有行之有效的保障措施。采用HTTS协议并以SSL加密的方式进行应用层数据传输；将应用服务器迁回内网后，则不能在服务器中存放敏感数据；采取相应的监控和管理策略，对客户端所在的外部网络与服务器通讯接入点进行管理，同时要保证内网报文的安全性；最后是对系统漏洞进行修复，尽最大限度降低系统漏洞和被攻击的风险，始终保持系统健康状态[2]。

2.2 解决内网与互联网连接的安全问题

经过大量的论证和研究发现，使用WAF和IPS入侵防御系统，将WAF作为防御系统与外界交互的唯一接口，再次接口进行请求反向代理和转发，如此能够过滤掉非法和高风险性数据。使用WAF，外部请求只能通过唯一的公网IP经过WAF代理转发，实现安全定位内网服务器主机，由此减少内部站点对外发布，避免一对一使用IP的浪费。对系统操作层、应用层进行安全扫描，通过此项操作能够发现操作系统、网络设备、数据库服务器等系统的漏洞，然后将发现的漏洞信息推送给服务器运维人员，从而保障服务器在发现漏洞时及时进行修复，确保应用系统与数据服务的环境安全。需要特别注意的是，经过上述系统改造后，需要对安全扫描工具进行定期维护和升级，并且将扫描结果制成服务器的健康报告。数据安全是移动应用建设的第一前提，任何影响其安全的建议都要经过多轮验证和研究后才能施行。

2.3 移动应用接入

廉江核电工程项目对于移动应用的规划，主要有两类：一是基于手机为代表的移动终端APP，另一类是微信应用。将核心业务系统服务化之后，这两类移动应用能够有效提高信息资源利用高效率。基于WCF协议进行WebServiceAPI设计，以此为设计开发基础，后期对Web系统、手机APP，能够直接以Http进行调用，无需对服务进行任何改造，同时提高代码的利用率；通过异步方式，以服务端的请求队列缓冲机制，实现客户端与服务端并发，从而提高系统的吞吐效率。

业务过程服务化实质视为移动应用制定接入标准，方便人员信息同步和任务获取，这些服务独立于应用之外，因此在统一接口的情况下，接口内部维护以及实现方式变更在应用内是透明的。在此架构下，常规的Web应用只需在专门的服务器安装个性化的业务功能模块，确保数据请求与移动应用一致。

对于微信应用，集成公众服务平台的前端入口，通过后台配置的方式直接关联，对于人员人证和身份识别走专门的Web服务接口，以此简化网络接入步骤。

3 结束语

移动信息化对于核电工程项目来说是最为重要的环节之一，但是这个环节并非孤立的，通过Web项目在各基础设施进行改造，能够开发出更加安全且满足人们需要的功能。服务化是基础架构的发展趋势，通过前端、后端服务的整体规划，实现通用化的服务环境和多种形式客户端。

参考文献

[1] 全胜跃.在企业信息化背景下经济信息管理专业模块化课程体系改革思考[J].劳动保障世界，2017，（32）：75.

[2] 董祺.中国企业信息化创新之路有多远？——基于电子信息企业面板数据的实证研究[J].管理世界，2013，（07）：123-129，171.