集團企業資訊化規劃之技術架構規劃報告與實施方案WORD

來源網絡旨在交流學習，如有侵權，聯系速删，更多參考公衆号：優享智庫

建設目标

技術架構規劃總體目标：在股份公司總體技術架構的架構内，為電氣化集團建立一個具備高可用、高安全、高性能、易管理的資訊化技術支撐環境，承接并確定上層應用架構規劃成果的落地實作，助力集團公司資訊化水準的躍升，推進業務應用深度內建，打造堅實可靠的資訊化基礎支撐環境，同時保障業務操作處理的連續性和時效性。

資訊化技術架構藍圖

從應用系統的技術架構、應用系統的管理架構、資料中心、機房環境管理、災備和資訊安全角度進行集團公司技術架構的設計。下圖是集團公司技術架構的整體藍圖。

集團公司技術架構藍圖

資訊系統應用技術架構

SOA和微服務架構

（一）SOA架構

SOA 将應用程式的子產品化元件通過定義明确的接口和契約聯系起來，接口是采用中立的方式進行定義的，獨立于某種語言、硬體和作業系統，通常通過網絡通信來完成，但是并不局限于某種網絡協定，可以是底層的TCP/IP，可以是應用層的HTTP ，也可以是消息隊列協定，甚至可以是約定的某種資料庫存儲形式。這使得各種各樣的系統中的子產品化元件可以一種統一和通用的方式進行互動。

SOA架構邏輯

（1）服務層是SOA的基礎，可以直接被不同的應用所調用，進而有效控制系統的人為依賴性。

（2）在設計過程中，各種元件的開發、部署形式都可以引用SOA的思想，以原子服務、組合服務的方式建構業務模型，在業務流程編排、符合應用階段，原子服務（模型）被不同的流程和子產品所調用，服務之間通過簡單、精确定義接口進行通訊，而不涉及底層程式設計接口和通訊模型。

（二）微服務架構

微服務架構倡導将軟體應用設計成多個可獨立開發、可配置、可運作和可維護的子服務，子服務之間通過良好的接口定義通信機制， HTTP協定有跨語言、跨異構系統的優點，當然，也可以通過底層的二進制協定、消息隊列協定等進行互動。這些服務不需要中心化的統一管理，每個服務的功能可自治，并且可以由不同的語言、系統和平台實作。

微服務架構

總之，SOA架構模式是為了保證現有資訊系統的正常使用，在資訊系統正常使用的情況下，繼續沿用原來的架構進行更新，并且采用SOA資料總線的模式進行資料接口的開發和維護。微服務架構是一種繼承性、可維護性更高的架構方式，對于全新開發的資訊系統，建議采用微服務架構的方式，以保證系統具有更高的靈活性和适應性。考慮到股份公司技術架構要求，是以建議集團公司采用“SOA和微服務”相結合的技術架構方式，如下圖所示：

分布式技術架構

私有雲平台架構規劃

私有雲平台是用于支撐業務應用運作的基礎環境和載體，包括機房、伺服器、網絡、存儲等實體裝置和配套的管理平台。技術穩定、可靠運作的能力，直接影響業務應用的高效順暢運作。一般性的資訊化技術的存放環境是在傳統機房或者資料中心。

根據私有雲平台需要提供的業務支撐能力，需要按照一定的等級要求規劃私有雲平台架構。按照私有雲平台技術标準要求，推薦集團公司的私有雲平台級别為T3（可并行維護級），要求可以在不關閉計算機硬體裝置的情況下進行計劃性維護，允許支撐系統裝置任何計劃性的動作而不會導緻機房裝置的任何服務中斷。

私有雲平台架構

• 集團公司雲管理平台建設規劃

建設私有雲是集團化企業IT發展的趨勢，多數企業從舊系統架構向雲服務轉變過程中代價較高過程較長， 集團公司應利用資訊化重新規劃建設的契機，以雲為标準，建立雲計算和雲服務的領先優勢。

基于雲的網絡拓撲結構

1）雲計算模式選擇：由于集團目前應用系統部署在租賃的私有雲架構上面，建議選擇基于IaaS、PaaS的雲服務傳遞模型作為架構規劃的模式：

雲服務傳遞模型

2）雲架構概念模型：集團公司雲服務管理中心對覆寫容災中心和各下屬子公司前置環境雲服務進行全面管理。

3）集團公司雲中心架構：建立基于虛拟平台的雲服務環境，同時部署服務門戶、服務總線統一管理雲服務資源。

• 計算中心作為雲服務的核心資源中心、營運監控中心和服務管理中心；
• 計算中心雲環境主要支援行業共享系統的運作，兼顧為行業使用者提供基礎設施服務；
• 資源總線應支援對雲環境和傳統環境的綜合管理。

雲服務中心架構

4）集團私有雲搭建步驟：建設企業的私有雲，就要求企業把自己的資料共享中心建構成一個高可擴充性、超大規模、高可用性、成本低廉的資料共享中心。通話虛拟化、網格計算、自動化管理等雲計算技術，逐漸把企業内部的資料共享中心建設成面向企業内部系統的具有公共雲平台特性的雲計算平台。

第一步：根據業務目标設定雲計算目标

同業務人員、開發人員溝通對雲計算業務目标的讨論，制定清晰的業務目标，比如需要支援哪些業務、業務流轉效率提升目标、業務提供方式如何進行改變等；

第二步：定位私有雲環境的工作負載

評估目前的工作負載，以确定哪些适用于私有雲的此快照将用于設定針對私有雲的總工作負載百分比的長期目标。在短期内，它還将用于識别初始雲部署的工作負載。

第三步：采用企業基礎設施的投資組合，計算資源虛拟化

絕大多數私有雲都基于虛拟機(VM)的部署，利用虛拟軟體對伺服器虛拟化，作為私有雲的基礎；

私有雲并不簡單等同于虛拟化加上易用的虛拟機部署平台。它還在包含網絡在内的各層面實作了靈活性，需要利用軟體定義網絡(SDN)對網絡進行虛拟化；

存儲是另一項需要高度可擴充性的層級。對存儲虛拟化，需要在軟體中監控各項操作，便能順利使用額外的存儲。

第四步：選擇合适的私有雲雲端管理軟體

單純彙總內建上述元件并不能構成私有雲，你還需要有雲端的管理産品。今天主流的軟體供應商都有其雲端方案，但是并不是所有産品都可以讓你運作在内部的私有雲上。例如，Microsoft Azure僅可用作公有雲。而OpenStack、Oracle Cloud和VMware Integrated OpenStack等則允許你在個人站點上運作私有雲上的産品。

第五步：實施管理

在内部部署私有雲解決方案，并對部署後的方案進行驗證。同時，需要培養内部的私有雲IT管理人員，需要具備有關存儲和網絡，以及雲平台本身的專業知識。

災備體系

根據《中華人民共和國網絡安全法》中規定需要對重要系統和資料庫進行容災備份。另外國家《資訊系統安全等級保護基本要求》（GB/T 22239-2008）三級要求中有關災備的要求：

• 應提供異地資料備份功能，利用通信網絡将關鍵資料定時批量傳送至備用場地；
• 應根據資料備份的需要對某些媒體實行異地存儲，存儲地的環境要求和管理方法應與本地相同；

資訊安全

資訊安全規劃及政策

從資訊安全管理角度，集團公司需要做到以下幾個方面：

• 安全政策考慮到随着業務的發展，日益嚴重的安全形勢，建議集團公司将等保三級作為企業資訊安全的中期目标，進而在指定安全政策，相關制度的時候，可以高屋建瓴，為日後資訊安全建設起到先導作用。根據國家等保三級要求，梳理現有安全規範，制定符合企業的安全規範并形成文檔。根據安全規範，梳理現有安全流程使之符合安全規範，針對缺失流程進行建設補充。與資訊安全相關的操作，需要符合安全流程，對不符合流程的現象應及時發現，并對責任人進行獎懲。
• 安全組織集團公司要設定系統管理者、網絡管理者和安全管理者等職責，并配備一定的人員。對相關員工進行資訊安全意識教育訓練、管理教育訓練、資訊安全流程制度教育訓練、技術教育訓練。建立安全事件響應機制。
• 安全建設與運作建設集團公司資訊安全綜合管理系統，為集團及下屬各機關提供常态化的資訊安全管理工具。安全運作維護，強調安全審計建設（安管中心、資料庫審計、運維審計）。重點加強安全監控和響應機制，安全日志審計與分析機制的建設工作。充分依托内外部技術力量，通過自評估和檢查評估互相結合形式，定期進行資訊安全風險評估，評估内容包括資産評估、威脅評估、弱點評估和風險評估。
• 安全管理中心建立合理的日志稽核機制，通過日志發現非法通路與入侵。根據實際情況，定期進行漏洞掃描，該掃描工作可自己完成也可外包。逐漸完善現有系統的安全評測，根據評測結果進行資訊安全建設。制定突發安全事件的應急處理流程，定期進行安全演練。
• 安全基礎設施根據國家标準，建立合适的機房環境，如防水、防潮、防雷擊、防靜電、不間斷電源等。對不同的裝置進行分區域防止，部署合理的監控等裝置。對每個使用者所通路的各個資訊系統資源目錄進行梳理，進行統一管理，做到授權清晰可追溯。
• 終端安全時刻關注國内國際安全形勢，針對突發病毒、木馬做出應急處理。對通路使用者的終端安全性進行識别，如果不符合要求，及時通過身份驗證也進行隔離。對媒體進行分級、分類存儲，專人專管；并對過程進行記錄、定期進行盤點。對所有終端進行資産識别管理，做到購買、使用、維修、報廢的全記錄。
• 網絡安全對已有安全域進行梳理、調整，保證邊界條件的有效性。逐漸建構入侵檢測的軟硬體投入。通過現有審計日志，及時發現非授權使用者的通路與滲透，保證資訊安全。
• 主機安全啟用系統審計，管理者定期對審計日志進行處理，盡量及時發現非法通路與入侵。所有的主機安裝上防病毒軟體，保持病毒庫的及時更新。對資料庫漏洞進行掃描，修複。及時更新作業系統更新檔。
• 資料安全制定合理的備份周期，定期進行備份，對備份後的資料進行妥善保管，并定期進行恢複測試。對資料進行加密，防止資料洩露。合理制定各種資料的生命周期，根據生命周期，對資料進行歸檔處理。