马彪彪 甘彤 姜少波
(1.中国电子科技集团公司第三十八研究所 安徽省合肥市 230088)
(2.安徽省公共安全应急信息技术重点实验室 安徽省合肥市 230088)
随着我国城镇化进程的加快和城市的快速扩张,多头建设、信息孤岛问题亟待解决。智慧城市是运用大数据、云计算、物联网等新一代信息技术建设的资源功能高度集中的复杂系统,可以消除信息孤岛,是未来城市信息化发展的方向。网络是连接智慧城市各个节点的高速公路,是智慧城市建设的基础,决定着智慧城市建设的成败。
智慧城市的各类摄像头、传感器、服务器、交换机被部署在城市的各个角落,采集大量的监测数据,通过网络将城市现实活动汇集成时间空间信息,或集中统一存储,或进行大数据分析,形成多级联动、态势感知。所以,网络是智慧城市系统得以实施、测试、运转的前提。应综合项目预算、融网策略、地理条件、点位分布等因素科学设计网络建设总体规划。
(1)提前搭建智慧城市最小网络,验证网络总体规划、组网方式、VLAN 划分、IP 规划、路由策略的可行性。避免实际组网时因需大量排查设备配置和运营商链路交叉问题而耽误时间。
(2)网络建设应优先于智慧城市其它子系统提前建设,特别是骨干网的搭建一般要提前2-3 周,以方便各应用子系统组网测试;
(3)在智慧城市建设初期先组建全网通网络,待各应用子系统雏形初显后再配置网络安全设备安全策略,避免因网络安全问题影响建设进度。
(4)绘制网络拓扑图,如骨干网络拓扑图、某分支网络拓扑图、某接入点原建网络拓扑图、某接入点改造后网络拓扑图等, 标明网络类型、设备型号、端口号、IP 段等重要信息并根据实际施工情况做必要更新,方便后续问题排查。
(5)综合经费预算、环境条件和保密级别,确定使用公有云还是私有云,若使用私有云,私有云地理位置是建设在政府机关还是运营商托管机房。
智慧城市各个信息点互联互通是物联网技术的一种体现形式。视频监控作为物联网最早,最重要的突破口,在车牌识别、身份识别、周界防范等领域应用已十分成熟,发挥着重要作用。因此,视频监控一直是智慧城市建设中最重要的前端节点。除此之外,还有其它非监控传感器节点、网络融合点、云储存节点、云计算节点、指挥中心节点、分控中心节点等。
(1)根据智慧城市规模和网络节点分布,一般采用局部网络自建并向运营商链路汇聚的方式,以解决各节点组网和远距离传输问题。
(2)选择当地市场占有率较高的运营商参与组网,以获得较广的网络节点接入、稳定的节点网络带宽和坚实的技术支持;
图1:某智慧城市网络架构图
图2:某园区融合点网络架构图
(3)网络节点VLAN 划分、IP 分配应充分考虑冗余,避免在智慧城市建设过程中因更改设备IP 段带来的重复性工作。
科学的网络架构是智慧城市各子系统能够正常运转、联动的关键。本节介绍一种典型的智慧城市网络架构和某园区融合点网络架构。
图3:机柜布置图
(1)骨干网主要由新建智慧专网、公安视频专网、电子政务外网、各职能部门原建网络、互联网、社会横向接入网等融合组成。根据实际应用需求和网络安全考虑,确定融合网络接入点和可达点。
(2)综合考虑地理空间、网络规模、带宽压力、运维方便、业务部门诉求等因素,除交通设备外,所有核心网络设备和核心业务设备均托管在运营商IDC(互联网数据中心)机房。
(3)公安视频专网因保密程度高,以“专网专机专人”方式接入指挥中心,其它前端网络如新建智慧专网、各职能部门原建网络、社会横向接入网等根据保密级别以专线或非专线形式接入核心路由,相关数据分级向上汇聚。
(4)交通部门因设备数量多、数据吞吐量大、业务复杂、对设备故障容忍度低等特点,应其要求,相关云存储和应用设备直接建设在交警办公大楼。
(5)在核心路由器和核心交换机之间、指挥中心和核心交换机之间分别建设安全网关,阻止前端和指挥中心对后端核心服务器的非法入侵。
(1)园区网络架构主要由公安网、智慧城市专网、电子政务外网、互联网、园区安防网融合组成,因保密级别不同,公安网、智慧城市专网、互联网在物理上隔离。
(2)网络采用模块化设计,由接入层、汇聚层、核心层三层架构组成,每一层都有各自独立且特定的功能,便于定位问题、简化拓扑和后期扩展,安全性、可靠性和可管理性较高。
(3)设备选型上不追求高端,受条件限制,核心千兆交换无法满足带宽要求,采用链路聚合技术,将多个物理端口绑定为一个逻辑端口,既增加冗余又增大带宽。
(4)因历史原因导致的服务器组或其它IP 不便修改的设备,采用路由打通的方式,以避免修改IP 对业务带来影响。
无论是自建局域网还是互联网,网络安全都是网络建设的头等大事。政府部门更是如此。基于人脸识别技术的嫌疑人追逃、基于电子警察和卡口系统的高清人车图片、基于地理信息系统的实时车辆轨迹、基于智能监控系统的企业监测数据等涉及个人隐私或敏感信息的数据泄漏都会给当事人或政府带来难以预知的严重后果。
(1)适当增加网络安全设备预算,增加部署安全网关、防火墙、设备准入、日志审计等设备。安全设备要重点保护后台核心服务器安全,阻止来自客户端或前端的非法攻击。
(2)严格设置防火墙、路由和端口隔离策略,控制设备准入及对网络资源的访问。根据用户级别设定安全访问机制,级别不同或无交叉业务的席位或设备不能互访。
(3)通过大联网、大集成和大平台技术,为智慧城市提供统一的安全平台,实现统一入口、统一认证、统一资源、统一功能、统一权限、统一日志和分级授权。
(4)根据政府体制机制调整,数据资源局应承担网络安全的主体责任,制定可行的指挥中心管理人员、坐席人员和维保人员工作纪律,禁止拍照和录像,从源头掐断信息泄露的发生。
网络施工应遵循先模拟后实际、先验证后实施、先机房后链路、先骨干后分支的策略,为子系统和平台的测试和应用提供支撑。
(1)取电先行。取电往往是点位施工中最耗时的环节,要历经开户、踩点、评估、施工等过程。没有供电,网络无从谈起,要给国家电网预留充足的时间。
(2)尽早踩点。前端点位往往类别复杂、分布广泛,要遵循先易后难的策略,提前踩点,现场留痕,详细标记点位名称、经纬度、相对位置、接入点等重要信息和运营商对接,避免重复踩点。
(3)后台设备往往数量众多、规格类似、不易区分,机房施工前要贴铭牌,注明服务器名称、用途、规格、机柜号、机柜位置、IP 地址、网口号、功率等信息,方便施工人员施工和走线。
(4)要组织对运营商建设的骨干网络和重要分支网络实时带宽的验收,经验表明,很多无法预知的问题都是因为运营商实时带宽不足导致。
未来的智慧城市,信息化基础设置集约统一建设将成为趋势。超高清视频、超大数据吞吐、超快速度响应需求将呈爆炸性增长,高速、稳定、可扩展的基础网络将为智慧城市这一庞大的“系统的系统”提供坚实的业务支撑。上述方法已在某智慧城市网络建设中进行了实践,取得了良好效果,具有一定的示范意义。