积极探索国产化替代建设
全力护航财政信息安全
(吉林省财政厅)
习近平总书记说:“没有网络安全就没有国家安全,没有信息化就没有现代化”。在信息化发展迅猛的今天,网络安全形势日益严峻,网络安全事件层出不穷,坚持自主可控、保障信息安全已经提升至国家战略层面。我省积极响应国家政策要求,在财政领域率先开展自主可控产品的研究和应用工作,通过先行先试、探索开拓,成功迈出财政领域国产化替代工作的重要一步,为推动和促进国产基础软硬件与财政业务的融合贡献了自己的力量。
一、依托“核高基”专项,开启国产化替代之路
目前,我国电子政务领域基础软硬件平台大多依托国外产品或国外核心技术,自主和安全可控存在先天不足,网络安全风险和隐患较大。特别是2013年“棱镜计划”及引发的一系列国际安全危机事件曝光,已充分证明依托国外产品构建的关键信息系统严重威胁我国经济运行安全和国家战略安全,在重点行业、关键领域使用自主可控、安全可信的信息化基础设施成为信息安全的新要求。2012年,我省联合北京用友政务软件有限公司,向国家工信部申报了“基于安全可靠基础软硬件的国库集中支付事务处理应用研究与示范工程项目”,该项目为核心电子器件、高端通用芯片及基础软件产品(简称“核高基”)重大科技专项,于2013年获得国家批准立项。项目旨在财政核心业务领域内,在确保信息系统运行安全、稳定、快捷的前提下,使用国产基础软硬件替代现行国外基础软硬件产品,以此推动国产基础软硬件在财政领域的逐步应用。自该项目启动以来,我省高度重视,在厅领导和各级部门的大力支持下,目前已完成多个品牌的国产基础软硬件适配工作,初步搭建了可实际应用的较为完整的国产化技术环境;以纳入课题安排的国库集中支付业务为起点,相继完成预算指标、公务卡、工资、动态监控和报表等财政核心业务系统的迁移工作,基本形成基于国产设备的覆盖财政核心业务的软件包,并在此基础上积极研究和推动国产基础软硬件升级换代,整体提升国产基础软硬件技术成熟度,提升基础软硬件厂商的技术集成和服务支撑能力。
二、积极探索,稳步推进各项工作进程
在财政领域开展国产基础软硬件替代工作,是一次有益的尝试和开拓,我省坚持总体规划,积极探索,历经设计、研发、测试、迁移、试点和应用等阶段,逐步推进工作进程,较好完成了各项工作任务。
(一)实验室设计研发解决技术难题。本阶段主要完成技术研发工作,项目承建单位根据项目建设要求,相继开展了以下工作:对基础软硬件国产化替代建设相关技术进行适配、调整和优化;组织相关基础软硬件厂商进行联合攻关,对各项参数、产品核心程序进行优化调整,选出最优配置;比照国产基础软硬件的要求,对业务应用软件进行优化,确保业务应用软件能够在国产基础软硬件上稳定可靠运行;在北京建立了专门的自主可控高性能实验室,对研发完成的产品进行仿真测试,消除产品中各项不匹配参数。最终,本阶段成功搭建全国产的测试平台、x86测试平台两套试验环境,并在预置1500万笔授权支付业务数据量的前提下,在200并发用户连续施压30分钟的场景下,授权支付录入业务能够达到接近72Tps(每秒处理的事务数)的成绩,测试指标远远超越实际性能需求,并接近在国外产品的测试记录,初步验证了国产化环境对业务应用系统的支撑能力。
(二)试点实施进行有效验证。2014年,我省启动国产化替代建设试点工作,按照“先易后难、稳步实施”的方针,制定了市、县、省三级实施方案,主要考虑到地级市数据量相对较小、且系统用户数量适中,先从市级开始应用,集中发现问题予以优化,再通过县级试点进行验证,多次调优验证后,最后在涉及面较广、数据量较大、风险较高的省本级试点运行,以此将国产化基础软硬件的替代风险降低到最小。
基于前期的周密准备,2014年5月份四平市试点工作率先启动,在不到两个月时间内,试点单位采用两台国产服务器、一台国产存储设备搭建运行环境,将操作系统、数据库、中间件等产品全部换做国产基础软硬件产品,预算指标、计划支付、工资、公务卡、资金监控和报表等业务应用系统整体迁移至国产化环境,所有业务数据也从原国外数据库迁移到国产数据库,原有基于国外基础软硬件的环境停止运行。随后,梅河口市试点工作于2014年8月启动,在业务范围上,增加总账模块,进一步提升系统复杂性。在市县两级试点工作中,国产化环境稳定运行,业务应用正常开展,系统响应和稳定性都较理想,国产化环境的应用得到有效验证。
(三)应用阶段不断完善和优化。以四平市为例,基于国产化环境的业务应用系统上线应用以后,需及时跟踪系统运行情况,排查系统运行问题,持续对软硬件进行优化完善,保证国产化基础环境的支撑能力和对财政业务处理的可靠及时响应。一是在国产化环境部署应用综合运维管理系统,实现对自主可控基础软硬件运行情况的跟踪,对系统软硬件的异常活动进行监控。二是经受不同业务阶段的压力考验,检测各项技术指标是否满足财政业务实际应用,及时消除影响业务运行、出现错误的内容,截至2015年4月份,四平市基于国产化环境的业务应用系统经历了日常业务、年终结算和年度初始化的考验,并按需调整和优化了国产化技术环境。三是通过试验高可靠架构、优化基础软硬件匹配参数等,对国产化硬件环境进行升级完善,进一步提升基础软硬件的性能。
三、用事实说话,取得初步研究成果
通过对重点国产基础软硬件产品进行测试和验证,我省已取得一定研究成果,也积累了一些国产化替代工作经验。
(一)硬件服务器。从测试阶段起,选用曙光和浪潮的8路服务器(属于x86序列产品),这两个产品属于国产服务器的高端、高性能产品,对国产基础软件的兼容性均不存在问题,服务器性能比较稳定。后期我省一直使用浪潮8路服务器产品构建基础环境。经试点和应用证明,该国产硬件服务器对于市、县级业务应用属于高配,服务器资源利用率小于10%。
(二)基础软件。在技术预研阶段,对多款国产基础软件做了兼容性适配测试,具体包括:操作系统(中标麒麟、中科方德),中间件(东方通、中创),数据库(达梦、神舟),初步验证了国产化国库集中支付系统能够适配国产基础软件。在实地应用示范阶段,我们在四平市的国库集中支付生产应用环境中成功实现了与中标麒麟操作系统、东方通中间件、达梦数据库国产基础软件组合的适配和平稳运行。在梅河口市的国库集中支付生产应用环境中成功实现了与中标麒麟操作系统、中创中间件、达梦数据库国产基础软件组合的适配和平稳运行。通过实际生产环境应用验证了国产基础软件的功能、性能和稳定性。
(三)国产数据库改造。为适应财政业务系统特点,我们对数据库进行适应性、兼容性和性能改造,对数据库的优化器进行重写,目前已成功完成一项数据库产品(达梦)的落地应用。经过多次数据库调优和改造,国产数据库产品的能力得到较大的提升,能够满足实际应用的需求。
(四)中间件改造。我省的业务应用软件主要是基于SOA(面向服务的体系结构)架构,以OSGI(面向Java的动态模型系统)为核心实现软件模块的热插拔、动态替换和动态加载等。进行国产中间件产品替代,需要先进行兼容性和适应性测试,再根据测试结果形成适合财政业务适用的技术参数。首先要做好产品选型工作,要求送测的中间件产品必须符合J2EE认证,具有广泛的适应性。从实际情况看,目前国产中间件产品均已通过J2EE认证,产品门槛没有较大差异。其次,根据测试情况需对中间件的性能和不兼容点进行修正,提升产品的性能。总体上说,国产中间件产品兼容性和适应性都不存在大的问题,改造工作量不大,在试点中,先后成功应用了东方通Tongweb和山东中创inforsuite as中间件产品。
(五)应用软件改造。因我省核高基课题设置的目标并没有局限于满足实际应用上,而是要达到高性能和高可靠性,课题设置的性能指标是关键事务处理模块达到每秒处理300笔业务的指标,该指标远远高出省级、市县级财政的实际需求范围,完全可以满足各级财政部门每年800-1500万笔业务的要求,因此改造难度较大。在改造过程中我们发现,基于国产化环境构建高性能应用系统的关键和核心是对应用程序进行改造,需要根据国产数据库的特点,对软件的核心存储过程、视图、程序中所使用的SQL语句进行了大量重写,排查完善不兼容、低性能程序模块,对数据库表的索引结构进行完善、调整和重置,改造工作量大,且需要配合硬件系统调整持续改造。因此需要应用软件厂商的持续投入和不断积累,并不能一蹴而就、一劳永逸。
(六)数据迁移。国产基础软硬件替代后,需要根据国产数据库的兼容性对财政业务数据进行迁移和转换,我省国产化替代试点工作涉及多个财政业务系统,应用程序及数据版本存在一定跨度,必须将数据脉络梳理清晰后再迁移到国产化环境。从试点经验看,对数据的转换、梳理、核对和验证工作占据了替代工作的大部分时间。在迁移过程中,我们也认识到,新旧系统的数据兼容,是保证数据升级成功的关键。数据的表达形式依设计人员不同存在差异,差异的大小直接决定数据整理工作的难度和工作量。如果两个系统设计风格迥异,完全无共同之处,数据迁移工作会比较艰难。
四、砥砺前行,积累宝贵经验
我省的国产化替代建设工作,没有现成的经验可循,过程并非一帆风顺,每个阶段都会遇到一些困难和问题。在困难面前,唯有坚持团结协作、迎难而上,才能破冰前行。现将工作难点及对策梳理如下,希望对开展国产化替代工作形成有益借鉴。
(一)系统可靠性方面。在试点初期,试点单位配置的服务器为两台浪潮TS850设备,一台用作数据库,一台用作应用服务器。两台服务器配置均很高,性能上也完全满足业务需要,实际业务需求对服务器造成的压力不大,因此对系统架构未做具体要求。随着试点的推进和业务应用不断深入,特别是在四平市应用的数据库服务器背板及硬盘曾一度损坏,我们认识到冗余架构对于提升系统可靠性的重要性。对此,我省迅速组织技术力量对试点单位的系统架构进行改造,通过增加数据库服务器和应用服务器的数量,构建冗余架构(应用服务器双节点冗余、数据库服务器双机热备),进一步提升了系统的可靠性。
(二)应用软件优化方面。在试点单位使用过程中,我省发现基于国产基础软硬件的应用软件在个别功能上性能较差,如支付系统的授权支付额度通知单打印、工资系统的月结等,等待时间较长,经组织技术人员会诊后确定,一是由于支持国产化环境的应用软件研发成功时间不长,原来按照国外基础软硬件方式编写的程序未来得及进行彻底优化,运行到国产基础软硬件上后性能有所下降。二是国产数据库对从国外数据库(ORACLE)改造过来的数据应用整体运行效率不高。针对问题症结所在,我们组织对有关应用程序进一步优化,并对业务流程进行简化,通过降低应用软件的复杂度促使系统性能提升和改进。
(三)应用系统衔接问题。因目前国产化改造只包括支付系统、预算指标、公务卡、工资、动态监控和报表,其他财政业务管理系统仍运行在原有环境上,在实际业务处理中,遇到了不同环境上的系统交互和衔接问题。如在四平市应用中,因国外、国产数据库结构不同,基于国外数据库的总账系统、门户系统等,无法读取基于国产数据库的支付系统数据,带来了数据不一致、不同步问题。对此,我们采取了不同解决方法,一是将国产数据库中的数据同步一份到国外数据库(ORACLE)中,供总账系统调用。二是对原门户系统进行国产化改造,解决了上述问题。
(四)技术支持方面。目前,国产基础软硬件尚在起步阶段,各软件开发商对国产产品的了解不多、熟识度不够,跟进情况不同,国产化方面技术人员十分有限,无论是研发改造还是技术支持上都有所不足。在技术支持方面,常因问题定位不准而产生误判,影响了问题的解决时效。对此,我们充分借助“核高基”重大科技专项课题建设的契机,以课题承建厂商为依托,把基础软硬件厂商整合起来,形成统一的技术支持团队,统一问题的出口和入口,集中力量解决问题,缓解了因技术不熟悉而带来的压力,提高了解决问题的时效性和有效性。
(五)国产芯片服务器测试方面。在课题中,我们接触到的国产CPU芯片服务器有两款。一是浪潮公司使用飞腾1000CPU的服务器产品,在国产化环境测试过程中该服务器出现经常性死机、停止服务等问题,无法支撑财政国库系统稳定可靠的运行,且该服务器性能较低,对国库集中支付业务常用功能如计划录入、审核等响应较慢,难以支持多用户并发操作,经浪潮公司硬件工程师现场对硬件设备进行调整后,仍无法达到国库集中支付系统稳定运行要求,故后期停止了在此设备上的技术攻关工作。二是浪潮公司使用龙芯3B的服务器产品,我们在该服务器上采用国产中间件及数据库构建全国产化环境,以国库集中支付系统为例进行功能和性能测试,测试结果为单台数据库服务器可以稳定支撑5个并发数,以四平市试点的业务数据进行测算,5个并发数基本上可以满足我省县级国库集中支付应用需要。
(六)高性能攻关测试方面。为了满足课题高性能课题指标的要求,在前期技术预研成果的基础上,我们选择了对JDK匹配较好的中创inforsuite as中间件产品构建实验平台的中间件服务器,其他产品沿用原有技术产品,以优化后的国库集中支付系统为应用软件,于2015年底在实验室进行了课题指标的高并发测试。在预置300万支付业务数据量,采用200并发用户的条件下,对于指标内的用款计划录入、用款计划审核、直接支付申请录入、直接支付申请审核、授权支付申请录入、授权支付申请审核六个功能进行测试,测试结果如下(时间单位:秒):
用款计划支付录入TPS:275.43
|
90%业务响应时间:3.404
|
用款计划申请审核TPS:317.04
|
90%业务响应时间:3.533
|
直接支付申请录入TPS:281.99
|
90%业务响应时间:3.931
|
直接支付申请审核TPS:285.4
|
90%业务响应时间:4.647
|
授权支付申请录入TPS:289.68
|
90%业务响应时间:3.25
|
授权支付申请审核TPS:331.57
|
90%业务响应时间:4.105
|
从上面提供的测试结果可以看出,在2015年中,系统性能取得了重大的突破,已经达到或接近了课题设置的300tps的性能指标值,课题高性能研究任务基本达成。
五、把握机遇,促进国产化替代工作科学发展
从当前的国家政策和形势要求看,国产化替代是方向,也是必经之路,财政部门作为国家经济重要支柱,应推动国产化替代工作向纵深发展。总结我省在国产化替代工作的经验和做法,对在财政部门国产基础软硬件替代工作,提出如下建议:一是强化国产化替代工作意识。通过本次核高基项目建设实施,我们对国产基础软硬件有了更加清晰的认识,实践证明,国产基础软硬件完全可以胜任并满足财政业务需求,财政部门要坚定不移地从思想上改变对国外信息技术产品的依赖性,坚持走国产化替代的道路。二是力促国产化替代工作科学可行。国产基础软硬件替代虽是必行之路,但不能操之过急、一蹴而就,整个工作是一项系统性工程,不能简单的拿来就用。要加强统筹规划,细致做好前期产品选型和测试工作,科学制定替代工作方案,根据实际情况分阶段、分步骤、分产品逐步开展替代实施,以确保系统应用的稳定性和可靠性为前提,充分考虑软硬件的兼容性、数据的容灾和备份等各因素,并认真做好技术的积累和储备。三是加强组织协调沟通。开展国产化基础软硬件的替代工作,打破了原有较为稳定的应用模式,会对当前工作带来一定冲击,要加强前期宣传和工作中的沟通协调,争取各方的支持与谅解。与此同时,面对多个基础软硬件服务厂商,需制定和采取有效措施,提高组织协调能力,确保应用效果,有效解决问题。更要本着推进国产化进程的初衷,及时将对国产软硬件产品的使用需求,以及使过程中遇到的困难和出现的典型问题反馈给厂商和服务商,以应用需求倒逼技术创新,促进国产基础软硬件产品和技术的进步与成长。
目前,我省正在积极筹备省本级支付系统国产化替代试点工作,加快省级支付业务相关系统的版本升级,争取年内完成省本级支付系统国产化替代工作。