李毓尧 丁杰 许久晨
摘要:随着国产自主可控基础软硬件的快速发展和逐步成熟,基于自主可控平台的信息系统也逐步在政企单位得到越来越多的应用。然而,仍有大量基于非自主可控平台建设的信息系统面临着自主可控适配改造的工作。文章通过对某大型企业网上报销系统的自主可控适配改造工作进行分析和研究,总结信息系统自主可控改造过程中的经验教训和改进分析,为信息系统自主可控改造适配工作提供借鉴和参考。
关键词:网上报销系统;自主可控;改造实践
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2024)09-0047-03
开放科学(资源服务)标识码(OSID)
0 引言
自主可控是保障网络安全、信息安全的前提。从IT基础设施、基础软件到应用软件的全面自主可控,形成自有开放生态,是解决在信息化关键领域“卡脖子”和保障网络信息安全的重要前提。现有信息系统中大量使用的进口计算机软硬件产品,都可能存在尚未发现的内置后门和潜在漏洞,从而成为失泄密乃至信息系统正常运行的重大安全隐患[1]。然而,现有系统在自主可控和性能方面存在一定的局限性和不足。通过开展信息系统自主可控改造适配工作,保障企业报销业务的正常运转,增强系统安全性与可靠性迫在眉睫。
1 系统现状分析
大型企业网上报销系统是当今企业财务管理中必不可少的一部分,它的自主可控性和数据安全性对企业的正常运营至关重要。对于现有系统的现状进行分析,识别出可能存在的问题和不足,是实现系统开展自主可控适配改造的基础和前提。
1.1 系统部署环境分析
系统由多台Windows服务器部署,服务器采用Intel处理器,应用为前后端分离部署,中间件为Tomcat 9.0,数据库为Oracle 19C。根据自主可控相关产品调研,企业一致决定采购国产化软硬件,包括服务器采用鲲鹏920处理器、银河麒麟V10操作系统,中间件为东方通的TongWeb7.0.9,数据库采用企业统一部署在数据中心的达梦DM8数据库集群。
1.2 系统功能分析
网上报销系统实现出差申请、审核审批、预订行程、免票出行、费用报销、月结支付全生态周期管控,总体功能架构如图1所示。
系统达到了费用成本控制的目的,实现了“免垫付、免发票、易报销”的一站式消费报销流程。采用光学字符识别(OCR) 技术,通过拍照、扫描等光学输入方式,能够自动识别、录入、存储发票信息于企业发票信息库中,并将待验证的发票上传至税务系统查验发票真伪,从而减少了人工参与和手工录入的差错。系统还实现了对个人或特定群体的差旅行为分析、财务分析,可辅助企业决策,以及对各部门(单位)差旅消费情况的分析,有助于指导次年编制年度差旅预算,并可有针对性地制定降低成本措施。
1.3 系统技术架构分析
系统总体架构说明如图2所示。
网上报销系统采用微服务架构,系统架构采用了Spring Cloud微服务,前端采用了MVVM架构设计模式,后端采用了SpringBoot技术体系。以基础和核算服务为支撑,对外通过网关以HTTPS协议暴露接口。系统建设了商旅业务应用,包括商旅出行申请、商旅预定、行程管理、费用报销、商旅订单对公月结、财务核算、商旅主题分析等模块。此外,系统支持移动端和PC端多平台使用,并集成了文件管理系统、税务系统、财务系统、综合信息门户、人力资源系统以及iOCR服务。
系统通过自主可控调研,在硬件环境和软件环境方面都产生了较大的改变。具体内容如表1所示。
在硬件环境方面,评估系统所需的硬件资源(如服务器、存储设备、网络设备等)与现在硬件环境的兼容性方面,东方通的产品可以与多种硬件平台无缝集成,支持多种处理器架构和外设。这些优势可以使得东方通能够在各种硬件环境下稳定运行,为用户提供可靠、高效的解决方案。
在软件环境方面,中间件和支撑软件近年来国产中间件也取得了显着的突破和发展。提供了丰富的功能和特性以满足不同用户的需求。在具体的技术实现和性能方面,国产中间件更注重性价比和易用性。数据库由Oracle数据库替换为达梦数据库,虽然达梦数据库与Oracle数据库之间的兼容性较高,但存在特有的字段类型和函数。在迁移之前,须提前优化SQL语句及调整字段类型以满足达梦数据库的要求。
2 系统改造步骤
改造步骤主要包括功能改造、服务器部署、中间件替换、数据库迁移、外部接口集成、系统测试及上线切换等工作。
2.1 功能改造
基于平台整合业务完成的补丁包,全部进行自主可控适配,包括应用代码层面及数据库层面,适配完成后在相关系统原版本基础上进行更新。
2.1.1 功能代码调整
对代码中的实体部分SQL语法差异进行修正,主要是引用东方通TongWeb、达梦8数据库的相关依赖,将本地包替换为官方包,并对业务程序的实体文件进行同步调整。
2.1.2 报表适配调整
由于报表本身支持自主可控改造,只须引入国产数据库Jar包至配置库中,并修改数据库配置文件,相关代码调整为适配国产数据库路径。完成后对报表工程文件进行单独适配,集中替换支持国产数据库的SQL语法,不支持的函数、存储过程等内容则单独优化、修改写法,保证报表性能一致。
2.2 服务器部署
部署内容包括麒麟操作系统、TongWeb中间件、达梦数据库等,其中数据库、中间件为压缩包,需要先进行解压,然后通过命令行执行相关SH文件,并测试是否安装成功。
2.3 中间件替换
国产中间件技术水平也较为成熟,通过屏蔽硬件、操作系统、网络和数据库,能够高效地实现客户机与应用层之间通信[2]。根据评估结果,选择一个更加安全可靠的中间件来替代原有的中间件。
中间件替换步骤如下:
1) 评估和选择中间件:通过对已有中间件的功能、性能、安全性等方面进行评估,确定需要替换的中间件。在选择替代中间件时,须考虑其与现有系统的兼容性和稳定性。
2) 配置更新:在将新的中间件引入系统中之前,需要将原有系统中的数据迁移到新的中间件中。这一过程需要保证数据的完整性和准确性,并确保迁移过程的安全。
2.4 数据库迁移
数据库使用容器云平台部署。容器云平台运用容器、微服务等技术,基于自主可控服务器,统一管理底层计算资源,按需开设多个应用容器,提供轻量化的应用软件运行虚拟环境,实现硬件资源虚拟化、综合使用和容器的按需扩展、负载均衡能力,提高系统运行效率和可靠性[3]。
数据库迁移步骤如下:
1) 进行数据转移和迁移。在迁移过程中,确保数据的完整性和一致性。为了确保数据的准确性,应使用专业的数据迁移工具,例如达梦数据库迁移工具DTS。
2) 在迁移过程中,需要确保系统能够正常运行,并且对外部用户的影响要尽量降到最低。可以采用渐进迁移的方式,将数据分批次迁移,以减少系统的停机时间和用户的影响。
3) 进行数据迁移后的验证和测试。在完成数据库迁移后,需要对新的数据库进行验证和测试。
2.5 外部接口集成
通过与其他相关系统进行接口集成,实现数据的共享和交互,为用户提供更便捷、高效的报销服务。根据企业的需求和现有系统的架构,确定需要集成的外部接口,并定义其数据格式、通信方式以及安全要求。在进行接口定义和规范制定时,需要考虑到系统的可拓展性和兼容性,确保接口的稳定和可靠性。外部接口集成涉及多个系统和模块之间的数据流动和通信,存在着一定的风险和挑战。为了确保集成的顺利进行,需要进行系统和接口的监控和管理,使系统能够对接口进行配置和调度,根据实际情况进行接口的启用和禁用,提高系统的运行效率和灵活性。
2.6 系统测试
在系统测试阶段,需要明确测试的目标和范围,制定相应的测试计划和用例。测试计划包括测试的时间、地点、人员和资源等安排,而测试用例则定义了每个功能模块的测试步骤和预期结果。在功能测试方面,将对系统的各项功能进行逐一测试。例如,对于报销申请功能,将验证用户能够正确填写报销信息、上传附件,并能够提交申请。
除了功能测试,系统测试还包括性能测试和安全测试。性能测试是为了验证系统在压力情况下的性能表现,例如,多用户同时访问系统时系统的响应时间和负载能力。安全测试则是验证安装在系统内的保护机制能否在实际应用中对系统进行保护,使之不被非法入侵,不受各种因素的干扰。例如,使用性能测试工具来模拟多用户同时访问系统的场景,并监测系统的性能指标;使用自动化测试工具来执行大量重复性的测试用例,提高测试效率。
2.7 上线切换
系统完成适配后,根据系统的差异点输出上线切换方案,并按照以下运营规则投运:
1) 第一阶段作为应急备用环境投入使用,待正式环境发生故障时直接切换,可以支持大部分业务场景正常使用。
2) 第二阶段作为生产环境投入使用,可以支持所有业务场景正常使用,性能与原生产环境版本无明显差距,做到所有业务功能与原生产环境版本对齐,做到切换后用户无感知。
3 系统应用改进分析
在系统自主可控环境改造过程中,从系统性能和系统安全角度进行改进分析。
3.1 系统性能提升
3.1.1 扩大堆内存提升加载速度
中间件运行依赖Java虚拟机(Java Virtual Machine,JVM) ,当JVM堆内存使用达到一定程度,由JVM提供的垃圾回收线程将启动执行清理操作,该操作主要用于清理缓存中不再使用的Java对象,避免内存溢出[4]。经分析,JVM的默认内存过小,最大值仅为256M,Java进程98%的时间在进行垃圾回收,导致服务资源过少,时常宕机。因此,对JVM进行设置,最大内存扩至2 048M,可解决加载问题,提高性能。
3.1.2 优化SQL加快查询速度
针对查询语句进行优化。优化时,应尽量避免全表扫描,首先应考虑在Where及Order by涉及的列上建立索引。当然,索引并不是越多越好,索引固然可以提高相应的Select的效率,但同时也降低了Insert及Update的效率,一个表的索引数最好不要超过6个,若太多则应考虑一些不常使用到的列上建的索引是否有必要。
3.1.3 定期硬件维护防止服务器宕机
服务器硬件设备对于服务器的性能和稳定性是至关重要的,因此定期维护是必不可少的。定期维护是指每隔一段时间对服务器的内存、硬盘、电源、风扇等硬件设备的检查和维护,确保它们的工作正常,不会因为硬件故障导致服务器宕机。
3.2 系统安全提升
3.2.1 IPv4/IPv6双栈稳固内网安全
设备能够同时支持IPv4和IPv6两种协议,它们既可以与只支持IPv4的其他节点通信,也可以与只支持IPv6的其他节点通信。这有助于保证网络的连续性和服务的稳定性,直到所有服务器迁移至IPv6网段。
3.2.2 安装G01防止外部入侵
政府网站综合防护系统,简称“网防G01”,是首款专门针对政府网站及服务器等关键信息基础资源进行综合防护的产品,可对服务器进行安全防护[5]。服务器安装该软件后,可对操作系统、Web中间件和Web业务系统和网站进行多重防护,持续对应用服务器上的流量与行为进行监控。同时可以管理被防护服务器,进行防护策略配置、安全巡检、防护目标管理、攻击监测日志查看、系统资源监控等操作。
4 总结
通过对现有系统的现状进行评估,提出了系统自主可控改造的步骤方法,并对每个步骤进行了阐述。在改造过程中,重点关注了系统性能和安全性的提升。通过实践发现,改造后的系统在处理报销事务时更加高效,能够大大减少处理时间并提升用户体验。该方法为企业提供了一个可行的信息系统自主可控改造解决方案。未来的研究可以进一步完善系统的功能和性能,并探索更多的措施来进一步提升系统的性能与安全。
参考文献:
[1] 万俊伟,赵辉,鲍忠贵,等.自主可控信息技术发展现状与应用分析[J].飞行器测控学报,2015,34(4):318-324.
[2] 李敏,夏红霞,赵顺东.中间件技术及其发展趋势[J].软件导刊,2007,6(3):3-5.
[3] 袁忠良.容器云计算平台关键技术研究[D].南京:南京大学,2017:34-35.
[4] 孙文俊,党玲,李祥.基于自主可控平台的信息系统性能优化研究[J].现代计算机,2023,29(4):75-79.
[5] “网防G01”打造政府网站的坚固堡垒:政府网站综合防护系统技术研究与实战应用[J].警察技术,2017(2):3.
【通联编辑:谢媛媛】
