装备试验数据管理平台自主可控建设方法研究∗
2019-03-01
(92493部队 葫芦岛 125000)
1 引言
当前,信息系统的开发大多数基于Win+Intel基础架构,即 Windows(Linux)+SQLServer(Oracle)+IIS(Apache)[1],对国外的软硬件系统存在长期的强依赖性,除了传统意义上的由漏洞所引发的信息安全问题外,还存在信息平台的非自主可控所带来的各种未知威胁[7],信息系统的安全性可靠性得不到根本保障。
在军事信息系统领域采用自主可控软硬件是保障军事信息安全的重要手段和必然趋势。装备试验数据管理平台作为试验数据资源共享、重用、重组的综合管理平台,主要用于对试验数据的采集、存储管理和分析挖掘。系统的安全性、可靠性、稳定性至关重要,自主可控建设需求已经显得越来越迫切。
本文针对现有自主可控软硬件平台发展现状,对装备试验数据管理平台自主可控建设方法进行了研究,明确了装备试验数据管理平台自主可控建设的思路、原则和实施路线,为装备试验数据管理平台自主可控建设提供了基本遵循。
2 自主可控软硬件发展现状
近年来,在国家“863”计划和“核高基”[2]等重大科技专项的带动和推动下,核心元器件、高性能芯片、基础软硬件迅速发展,初步具备自主可控软硬件替代的能力。
2.1 自主可控硬件发展现状
在自主可控硬件领域,服务器整机设备主要以浪潮、曙光、长城、迈普为代表,网络设备以仰联、华为为代表,存储设备以飞骥、曙光为代表。国产中央处理器芯片主要有龙芯系列、飞腾系列和申威系列等[8,10],申威系列处理器采用自主 RISC 指令集,其第三代处理器SW1600已经成功运用到神威蓝光超级计算机上。龙芯系列处理器基于MIPS架构,已成功在北斗卫星上得到应用。飞腾系列处理器基于SPARC架构,可应用于大规模数据数据库等关键系统,同时在高性能计算领域,已达到业界主流水平。基于国产核心器件的网络设备主要以银河风云、仰联信通为代表,已形成了从低端路由交换设备到高端路由交换设备等完整的产品系列,基本具备替代思科等国外网络设备的能力[3]。
2.2 自主可控基础软件发展现状
操作系统以中标麒麟操作系统为代表,该平台是目前国内安全级别最高的操作系统,它已经通过公安部计算机信息系统安全产品质量检测检查中心第4级结构化保护级检测,以及中国人民解放军信息安全测评中心军用B+级安全认证[6],具有高安全、高性能、高可靠、部署灵活的特点,支持多种国产CPU和国产基础软件,已成功应用于国防、政府等众多领域,可为装备试验数据管理平台提供安全的运行环境。数据库以达梦、南大通用、神通、人大金仓等为代表,基本解决了关系数据库管理系统和数据管理监控中心中数据处理的关键技术,基本具备替代ORACLE等大型通用关系型数据库[4],虽然在通用数据库技术积累不足还处于追赶者的位置,但在面向大数据处理的新型数据库方面,国内产品和国外产品已处于同一水平[5],能够为试验数据管理信息系统建设提供自主、安全、可靠的数据服务和数据管理支持。中间件主要代表有中创、金蝶、东方通等,基础软件厂商主要以普华基础软件、中科方德、普世科技等为代表。
3 装备试验数据管理平台自主可控建设需求描述
3.1 应用描述
试验数据管理应用主要包括数据采集、数据存储管理和数据分析挖掘三个部分,数据采集部分,主要完成试验任务开展过程中产生的结构化数据、非结构化数据的采集和数据质量的管理等,数据存储管理主要是实现结构化数据和非结构化数据管理,具备续存扩展管理功能,实现试验任务剧增后海量数据的存储。数据分析挖掘主要为用户进行数据资源分析挖掘提供必要的手段支持,挖掘有用信息,并利用仪表盘、驾驶舱等多样化的数据可视化手段,从多个维度对试验相关信息进行展示,提高试验综合效益。
3.2 硬件架构描述
在装备试验数据管理平台硬件使用云平台结构,通过采用服务器虚拟化、存储虚拟化、网络虚拟化、SDN等技术,对底层硬件设施进行虚拟化,形成资源池,并通过云管理平台实现对底层资源的统一管理和调度,实现资源高度整合,保障信息安全,另外,采用云管理可以提高硬件资源利用率、节约能耗,便于平台的运营维护和升级改造。硬件架构如图1所示。
图1 试验数据管理平台自主可控建设硬件架构
3.3 总体架构描述
在自主可控建设阶段,从满足试验数据管理的需求出发,通过选用国产化的软硬件平台实现数据管理平台部署,从而提高系统安全性及可靠性。根据试验数据管理信息系统自主可控建设需求,基础硬件平台采用国产化服务器、终端、存储设备、网络设备和外设,为试验数据采集、处理、应用和展现提供运行稳定、安全可靠的基础支撑环境。基础软件包括国产服务器操作系统、桌面操作系统、数据库管理系统、中间件和办公软件等。标准规范体系主要内容是建立一套标准、统一的运行体系;信息安全体系基于自主可控技术,采用立足于自主可控关键基础软硬件的安全产品,运用自主可控防火墙、数据库审计等技术为试验数据管理平台提供安全保障。总体架构如图2所示。
4 装备试验数据管理平台自主可控建设实施路线
试验数据管理平台自主可控建设从系统功能实现、现有技术支撑、信息安全保障等多个维度综合考虑,严格按照自主可控的一体化、平台化的理念和思路进行建设实施。
4.1 设计思路
试验数据管理平台的基础设施主要由国产服务器、存储备份、终端及外设等基础软硬件设备构成。自主可控软硬件系统集成必然存在选用、适配、验证、优化等环节,必须针对基础软硬件及相关系统进行整体集成适配优化,保证基础软硬件以系统化的形态稳定运行。另外,在建设之初,需要以整体规划和顶层设计为核心,实现业务协同、数据共享。
图2 试验数据管理平台自主可控建设总体架构
4.2 设计原则
1)自主可控原则
试验数据管理信息平台建设应立足于现有自主可控基础软硬件环境和应用支撑软件基础,结合自主可控的安全防护手段实现试验数据信息安全。
2)安全可靠原则
遵从国家、军队相关标准规范,科学、规范地开展应用支撑及应用系统建设工作。平台应选用高集成、可靠性高的设备,保证平台长时间高效稳定的运行,利用软硬件冗余技术,采用备份策略,提高平台的可靠性,防止平台因硬件设备故障或某软件功能不完善造成的损失。
3)可扩展性原则
平台的可扩展性包括功能扩展、集成扩展。功能扩展要求平台功能应根据试验数据管理实际需要,支持快速定制新的功能模块,并易于管理和维护,并提供接口,可与作战数据管理应用系统、试验档案数据管理应用系统等进行有效的衔接。
4)可维护性原则
在可维护性方面,平台具备错误收集机制,提供日志追溯,依靠完备的文档资料,进行异常分析、排查,保证平台的可靠运行和故障的及时监控处理,同时也减少维护的成本。
5)兼容性原则
可兼容自主可控环境和非自主可控环境;支持自主可控和非自主可控客户端的访问;支持自主可控服务器与非自主可控服务器的集群。
6)经济性原则
管理平台建设应坚持集约化建设的原则,节约成本、杜绝浪费,最大限度提升投资利用率。
4.3 自主可控建设主要工作
考虑到现阶段自主可控软硬件在性能方面的差异,通过引入云计算架构,一方面可以实现资源的高效利用,另一方面可以保障军事信息的安全。依托目前自主可控软硬件及云计算架构核心技术,可以实现高可靠、低成本管理平台的快速部署。
图3 自主可控建设主体工作
自主可控建设主要包含软硬件替代、网路系统重构、软硬件适配优化、安全体系建设等方面,如图3所示。
1)开展基础软硬件选型及可靠性测试
考虑到现阶段自主可控软硬件发展的现状及试验数据管理平台的实际,在建设之初,采用自主可控软硬件平台与主流商用软硬件平台混合的架构。根据装备试验数据管理平台的功能需求,采用市场上主流的软硬件平台及传统IT架构进行系统的开发和部署。根据试验数据管理平台应用需求和平台指标要求,设计两种实验环境方案,一种基于现有主流通用软硬件平台,另一种基于全国产化自主可控软硬件平台,选用具有自主产权的CPU、操作系统、数据库和中间件,以《军用CPU测试方法》(GJB322A-1998)和《军用计算机通用规范》(GJB7704-2012)为测试依据,建立软硬件兼容测试评估模型,从整体上对比两种实验方案的效果,验证国产化软硬件在试验数据管理平台中应用的可行性,逐步实现应用系统的迁移和底层硬件的国产化替代。
2)开展基础软硬件适配及可靠性验证
针对自主可控软硬件替代,开展自主可控基础软硬件适配验证技术研究,主要包括:
(1)自主可控终端整机系统、服务器整机系统的性能、稳定性的适配验证;
(2)数据库、中间件、办公软件等基础软件与终端整机系统、服务器整机系统在稳定性、可靠性、兼容性等方面的适配验证;
(3)打印机、扫描仪等外设与终端整机的适配验证。
3)开展云管理平台和SDN网络的适配验证
开展对基于飞腾处理器的麒麟云管理平台功能和性能方面的适配验证,主要包括:
(1)资源调度方面,主要是通过采用增加CPU、增大存储、动态增加虚拟机等方式验证其纵向扩展和横向扩展的能力;
(2)计算能力方面,通过运行Qt编译基准测试、π小数点后N位计算时间以及大文件传输时间等方式验证其计算水平;
(3)安全管理方面,主要是验证系统负载及防火墙吞吐量、报文转发率、最大并发连接数、每秒新建连接数及转发时延等性能,并对系统平均无故障时间、网络接口数、加密速度等VPN系统的性能指标进行测试验证;
(4)SDN网络方面,主要是验证SDN网络服务系统对麒麟云虚拟网络资源整合管理能力。
4)开展基础软硬件性能调节优化
(1)编译优化。针对国产CPU指令集、cache管理模式、调度模式等特点对编译系统进行优化处理,最大限度发挥自主可控硬件性能潜力。
(2)应用软件优化。基于国产CPU进行应用软件迁移或重新开发,对应用软件架构、流程算法进行优化,发掘出最优的系统配置参数和软件自身配置选项[9,11]。以飞腾编译系统为例,飞腾编译系统支持OpenMP应用程序接口规范,为用户提供基于共享存储的、可增长的并行程序开发环境,支持MPI+OpenMP等混合编程模型,使应用软件的设计更好地匹配系统硬件体系结构特性。
5 结语
随着自主可控信息技术产业的发展以及军队领域自主可控软硬件推进工作的不断深入,自主可控建设已成为保障国家军事信息安全的必经之路和重要战略手段,装备试验数据管理平台实现全自主可控建设必须从平台设计之初就要充分考虑基础软硬件版本、组织模式的统一和集中的验证测试调优服务,不断提升和加强技术储备支撑能力,为装备试验领域数据管理平台规模化的自主可控应用推广提供坚强技术保障。
