冯 毅
(国能珠海港务有限公司,广东 珠海 519090)
随着信息技术和物联网技术的快速发展,智慧港口成为现代港口建设的重要方向。港口经济的高质量发展需要高水平的智慧港口建设作为支撑,利用先进的信息技术和物联网技术来提升港口运作效率与管理水平,从而提高核心竞争力,促进产业转型升级,实现数字化、智能化以及可持续发展的智慧港口。
智慧港口的各个子系统应该能高度集成,实现数据的共享和交互,避免数据孤岛,提高整体的运行效率和决策能力。
智慧港口需要实时采集和处理海量的数据,包括船舶位置、货物状态以及设备运行情况等。因此,信息系统需要具备高度的实时性和准确性,能及时反映港口的实际情况,以支持运营决策与应急处理。
智慧港口的信息系统与网络设备能够与现有设备进行兼容,适应未来的技术和业务发展需求,后续具备网络升级改造与系统性能扩展的能力。
网络安全风险日益剧增,网络安全防护设施应能有效甄别可疑对象,抵御外部攻击,保护港口的生产系统、运营数据以及敏感信息不受到恶意攻击和泄露。同时,信息系统应具备完善的容错性和可恢复性,以确保港口运营的连续性与稳定性[1]。
公司网络架构总体呈扁平化设计,采用树形的2层拓扑结构,接入交换机直接上联核心交换机;满足等保二级标准,划分安全区域,区域边界根据重要性部署防火墙;IP 电话与非办公区单独组网,与办公网物理隔离;办公网与工业控制网采用双向网闸进行物理隔离;按照功能划分为服务器虚拟化区、5G 调度集群区、办公区以及生产控制区等[2]。
为保障网络运行的可靠性和稳定性,避免单点故障的风险,核心层网络设备均采用双设备、双电源、双引擎的冗余配置。
核心交换机采用层叠样式表(Cascading Style Sheet,CSS)堆叠技术,将多台交换机通过堆叠线连接在一起,从逻辑上变成一台交换设备进行管理和配置,作为一个整体参与数据转发,提高可靠性、扩展带宽、扩展端口数量。
防火墙采用虚拟路由冗余协议(Virtual Router Redundancy Protocol,VRRP)及华为冗余协议(Huawei Redundancy Protocol,HRP)实现主备备份模式的双机热备,其中一台设备作为主设备,另外一台作为备份设备。主设备处理所有业务,并将产生的会话信息传送到备份设备进行备份;备份设备不处理业务,只做备份。当主设备故障时,备份设备接替主设备处理业务,从而保证新发起的会话能正常建立,当前正在进行的会话也不会中断。
路由器运用中间系统到中间系统(Intermediate System to Intermediate System,IS-IS)协议、开放式最短路径优先(Open Shortest Path First,OSPF)协议、边界网关协议(Border Gateway Protocol,BGP)及VRRP协议,实现2 台路由器双机冷备,出现单点故障时可立即将备用路由器接入到集团广域网恢复网络。公司主路由器与集团边界路由器做IS-IS 配置建立邻接关系后,将广域网的路由表引入到公司局域网的OSPF网络中,同时主路由器与公司核心交换机做OSPF 配置建立邻接关系,实现公司局域网与集团广域网路由双向可达。
港口企业的业务特点是户外面积较大,作业场所及办公地点分散,在园区内各个楼宇及户外场所要合理配置网络接入点。每栋楼宇建筑的第一层可以放置一条光缆直连中心机房,楼宇的每层楼设计一个弱电间放置楼层交换机及网线配线架,方便布线接入楼层办公室,同时楼层交换机汇聚至一楼交换机。另外,根据户外场地的大小可以每隔500 m 左右合理设置户外光纤箱,箱内放置光缆直连中心机房。同时需要注意户外设备的接电问题,就近接电容易出现跳闸等供电不稳定情况,在规划设计阶段应考虑在园区内合理配置若干信息化专用的供电配电箱,配电箱电缆直连变电所[3]。
在传统的服务器架构中,每个服务器通常只运行一个操作系统和应用程序,导致服务器群体庞大、资源利用率低以及物理设备的浪费。因此可以采购若干台高性能服务器,通过服务器虚拟化技术实现服务器资源整合,让中央处理器(Central Processing Unit,CPU)、内存、磁盘等硬件变成可以动态管理的资源池。用户在Web 端就可以根据系统需求灵活设置服务器配置,快速生成服务器虚拟机,从而减少物理服务器的安装空间,最大化利用服务器资源,简化服务器的维护管理。
解决户外场景的无线网络是港口码头信息化建设的难点,Z 公司采用的是5G 专网及Wi-Fi 6 相结合的解决方案。一方面,在室内部署Wi-Fi 6 无线局域网,Wi-Fi 的覆盖范围容易受港机设备、钢结构转接塔等环境因素的影响,难以实现户外园区全覆盖,同时Wi-Fi6 具有速度快、延时低、容量大的特点,用户体验速率最高可达到1 Gb/s。另一方面,在室外搭建5G 混合专网,以5G 切片技术为基础,通过无线和核心网网元的灵活定制,构建一张增强带宽、低时延、数据不出园区的室外基础连接网络。
5G 调度集群是在5G 混合专网基础上的5G 信息化应用,也是原有800 MHz 数字集群系统与5G 专网的应用融合。通过eSIP 中继网关,5G 宽带多媒体集群终端与800 MHz 窄带数字集群终端实现对讲组呼和语音单呼互联互通,可以实现窄带语音系统向宽带融合系统的业务平滑过渡,设备充分利旧。同时,通过5G 切片技术和虚拟专用网络(Virtual Private Network,VPN)专线,可将离开港区专网环境的5G 专用对讲终端通过公网安全接入部署在内网的5G 融合调度系统,实现公网和专网的融合应用。
华为的eSight 平台是面向企业的一体化融合运维管理解决方案,可实现交换机、路由器、网络无线局域网(Wireless Local Area Network,WLAN)、防火墙、视频监控、服务器、存储设备以及服务器操作系统和虚拟资源的统一管理,为企业在线测试(In-Circuit Test,ICT)设备提供集中化管理、可视化监控、智能化分析等功能,有效帮助企业提高运维效率、降低运维成本、提升资源使用率,实现网络通信可视、可管、可控,有效保障企业ICT 系统稳定运行[4]。
网际协议版本4(Internet Protocol version 4,IPv4最大的缺点在于网络地址池不足,未来将无法满足大型广域网的网络资源需求。Z 公司目前已完成动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)、域名系统(Domain Name System,DNS)应用的IPv4/IPv6 双栈改造,实现终端可访问IPv6 资源。双栈改造首先需要完成DNS 改造,在DNS 服务器上设置集团或运营商指定的IPv6 DNS 转发地址,实现IPv6 域名的解析;其次需要完成DHCP 改造,在DHCP 服务器的IPv6 目录内新增作用域,按照集团分配的IPv6 地址池设置IP 段;最后需要在交换机网关地址上配置DHCPv6 中继,实现终端用户IPv6 地址的自动获取。
随着数字化和信息化程度的不断提高,网络安全面临的威胁也越来越复杂、隐蔽,黑客、病毒、木马等攻击手段不断升级和变异,给网络安全带来巨大的挑战。总体而言,港口码头面临的网络安全威胁主要包括数据泄露类(个人信息、生产数据)、黑客攻击类以及恶意软件类(勒索软件、病毒木马、僵尸网络)。
4.2.1 预防性
网络系统的设计规划应从预防性的角度全过程、全方位、多层次考虑网络安全建设,从人防、物防、技防等方面提前部署预防性策略,最大限度地将信息安全威胁拒之门外,充分保障内网数据信息的安全,为企业的稳定生产运营提供基础保障。
4.2.2 及时性
网络安全风险无处不在,需要有技术措施第一时间识别危险,有针对性地处置问题,最大限度地减少网络安全风险对办公网络、生产运营的影响。
4.2.3 可追溯性
网络规划设计中部署的安全防护设备应具备审计功能,详细记录网络流量活动及操作过程,可以快速定位攻击来源,有效阻断攻击行为,在事件处置完毕后有条件对事件进行回顾梳理,查找问题根源,为进一步加固网络安全提供依据。
4.3.1 防火墙
防火墙的功能主要在于及时发现并处理网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对网络安全中的各项操作实施记录与检测,以确保网络运行的安全性。在实际运用中,防火墙充当着门卫安保的角色,应优先在内网边界部署边界防火墙,如广域网边界、互联网边界以及工业控制网边界,同时还可以考虑在服务器虚拟化集群等重点保护区域边界部署防火墙,这样可以有效管控进出流量,及时阻隔危险因素。
4.3.2 入侵防御系统
入侵防御系统(Intrusion Prevention System,IPS)是为保障计算机系统安全而设计的,通过收集和分析网络行为、安全日志等其他网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略和被攻击的迹象。一旦发现可疑活动,IPS 会采取预先定义的响应措施,如阻断特定IP 地址、关闭漏洞或发出警报通知安全管理员。此外,IPS 是防火墙的合理补充,充当着内网巡逻警卫的角色,能够预防内网的横向攻击,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力。
4.3.3 网 闸
工业控制网络中系统漏洞多、网络安全防护水平低的现象普遍存在,系统瘫痪对生产运营的危害最大,因此成为黑客攻击的主要目标。部署网闸可以使工业控制网络与外界不存在通信的物理连接、逻辑连接及信息传输协议,不存在依据协议进行的信息交换,而只有以数据文件形式进行的无协议摆渡。网闸从物理上隔离、阻断对内网具有潜在攻击的一切网络连接,使外部攻击者无法直接入侵、攻击或破坏内网,保障内部主机的安全[5]。
4.3.4 终端安全准入系统
终端安全准入系统是一种基于网络安全技术的系统,其主要作用是制定终端准入规则,对接入网络的终端设备进行实时监察和管理,阻断不明身份的终端接入,以保证网络安全和信息安全。该系统能够通过网络安全性评测和验证,对设备的身份、合法性、完整性等进行全方位的安全检查,从而有效识别和防范网络攻击事件与信息泄露事件。
网络规划与信息化系统应用是智慧港口建设的基础和关键。通过合理的规划建设,可以实现港口内各系统、设备及服务的高效通信与协作,提高运作效率和管理水平。未来将会有更多基于5G 通信、大数据、自动化技术的信息化应用支持智能化、自动化的智慧港口发展。