內政部營建署 — 著手打造 SDS 架構

內政部營建署資訊室代理主任黃國瑞(中)與資訊團隊

在考量專案費用使用效率、擺脫商業軟體束縛的思維下,營建署全球資訊網在2003年進行時,一口氣採用多種開源軟體。該專案不僅如期完成,資訊室更進一步以開源軟體建構資安防護架構,有效保護重要資料的安全,取得 ISO 27001 標準與 CNS27001 雙驗證證書,開啟營建署長期使用開源軟體的風氣。

運用開源軟體成果豐碩

有別於多數政府機關網站僅支援I E 瀏覽器,內政部營建署全球資訊網無論是以Chrome、Safari 等軟體瀏覽,均能使用到非常完整的網站頁面,亦能正常瀏覽網站中的多種影片內容,讓人不禁佩服程式設計師的功力。而維繫該平台穩定運作的關鍵,並非公務人員熟悉的 Windows 作業系統、MS SQL 資料庫等商用軟體,而是 Linux、MongoDB 等免費開源軟體,正足以證明開源軟體功能非常完善,更可支撐商業應用服務的穩定運作。內政部營建署資訊室代理主任黃國瑞說,開源軟體有商用軟體不及的自由度,能夠免去被特定軟體束縛的風險,同時降低資訊專案的建置成本。在推動台灣發展開源軟體的風氣下,建議公務機關在軟體專案招標時,只需明定應用服務主機的功能,不要限制協力廠商使用的軟體種類,將有助於催生更多開源人才誕生。

以 Linux 取代 Oracle Solaris 擺脫軟體束縛惡夢

由內政部營建司改制成立的營建署,是台灣國土資源規劃、利用與管理之中央主管機關,署內共有墾丁、玉山、陽明山、太魯閣、雪霸、金門、海洋及台江等 8 個國家公園管理處及城鄉發展分署等 9個所屬機關,期望為民眾營造優質、便捷、安全及永續發展的生活環境。尤其迎合台灣整體環境發展需求,該署更承辦內政部區域計畫委員會、都市計畫委員會、國家公園計畫委員會、建築師懲戒覆審委員會、建築技術審議委員會、加速取得公共設施保留地協調督導委員會等多達 14 個任務編組委員會之行政業務。

進入公職服務後便開始接觸開源軟體的黃國瑞,擁有非常豐富的應用程式開發及資訊管理經驗,在2003 年到內政部營建署資訊室任職後,隨即面臨營建署全球資訊網主機設備老舊,硬體設備使用年限將屆的問題,在考量建置成本與日後長期發展下,黃國瑞毅然決定捨棄舊有 Solaris架構,將應用程式轉移到無需付費的 Linux 平台。

黃國瑞解釋,當時資訊室有兩個選擇,使用開源的 Linux 平台之外,還有微軟的 Windows2000。只是當時 Windows 2000 穩定性不佳,且應用軟體需要做比較多調整,整體效能也難以預估,而 Linux 平台與 Solaris 架構相容度較高,系統轉換難度較低,所以決定朝此方向發展,並著手整理所需的開源軟體種類,也開啟營建署走向使用開源的風氣。

多套開源軟體相互搭配 營建署全球資訊網改版成功

在資訊室規劃中,營建署全球資訊網需滿足不同地區民眾的連線需求,因此架構設計需考量大量連線需求及未來擴充性,所以該專案使用的開源軟體種類也相當多樣化。在作業系統方面使用CentOS、Ubuntu Server LTS,網頁及應用伺服器軟體則以 Apache、Nginx 為主,資料庫軟體則使用 MariaDB、MongoDB,網頁安全軟體使用 ModSecurity 等等。至於代理及反向代理伺服器軟體部分,亦依照不同用途使用 Squid、Varnish 等,DNS 伺服軟體則為 BIND,開發工具自然是成熟的 PHP。

資訊室會同時使用多套功能相仿的開源軟體,主要考量到確保應用服務的穩定度及特殊需求,以 MariaDB 為例,即是由開源軟體社群維護的MySQL 分支版本,具備 API、命令列均相同的特性,是取代 MySQL 的最佳軟體。至於MongoDB是文件導向的資料庫,適合用於儲存大量文件資料。其他如資料庫軟體 PostgreSQL適用於 GIS 系統、應用伺服軟體 Tomcat 及Wild_y 則使用於 JAVA 開發之系統。

黃國瑞解釋,在作業系統部分,我們沒有使用多數人耳熟的 RedHat Linux,主要是考量到系統後續更新的穩定度。CentOS、Ubuntu Server LTS 是針對商業環境設計的版本,所以系統維護時間通常長達 5 年以上,有專業團隊會定時提供漏洞修補服務,能把企業營運風險降至最低。除營建署全球資訊網之外,全國建築管理資訊系統亦是採用開源軟體建置,多年來該系統服務穩定度亦相當卓越。

保護應用服務安全 仰賴開源軟體協助

隨著世界各地持續爆發規模不一的資安威脅事件,營建署資訊室在建置營建署全球資訊網之餘,也沒有忘記打造資安防護架構的重要性。在添購硬體式的資安設備之外,資訊室也引進多套資安開源軟體,如屬網路管理軟體的 Cacti、OpenNMS,網路安全管理軟體的 Secur ity Onion、弱點掃描軟體-OpenVAS、防火牆及VPN軟體-pfSense、防毒軟體-ClamAV、HIDS-OSSEC等等,安裝在各個應用服務主機上,讓整體資安架構更為完善。

黃國瑞指出,市面上有很多資安軟體都有功能相仿的開源軟體可選擇,或許操作介面尚有待改進,但在功能上卻完全不遜色,甚至有商用軟體不及的穩定性與彈性。以 OpenVAS 弱點掃描軟體為例,即可讓資訊人員了解既有資訊架構尚且存在哪些弱點,作為後續改進的參考。至於系統高可用性軟體-PCS、DRBD、Keepalived 等,則能讓應用服務維持 24 小時穩定運作,不用擔心因硬體設備故障造成服務停擺的問題。

由於營建署擁有龐大數位資料,為讓寶貴資料獲得妥善管理,進而創造出更多附加價值,資訊室正著手尋找合適的開源軟體,期望打造符合軟體定義規範的新世代資料儲存平台(Software De ned Storage,SDS),藉此降低大量資料的保存成本,同時為擴大資料應用奠定良好根基。

本文同步刊登於:https://www.ithome.com.tw/pr/117341