珠海市城乡规划建设一体化信息平台网络设计研究
2015-01-01李伟
李 伟
(珠海市城乡规划编审与信息中心 广东 519000)
0 引言
随着国家行政体制改革的不断深入,“四化”同步发展已经是当前党和国家工作的重中之重。为此,以信息化促进政府行政效能的提高和行政监管力度的提升,是发展的必然。而今的信息化已经不仅仅是电子化、数字化,信息化发展的重点是网络基础资源、数据资源、业务信息的再整合与重构,为多业务的协同和多手段的监管、科学的决策支持提供基础环境。
珠海市住规建局作为全市城乡规划、建筑市场管理、城市更新、住房保障和房地产市场管理五大领域的业务主管部门,于2014年启动住房城乡规划建设一体化信息平台建设工作,整合并改造现有的业务系统,开发以工程全生命周期(BIM)为核心的规划、建设、房产业务协同、住房保障监管的一体化信息平台,为管理服务和决策支持提供更为有效的手段,促进城乡规划建设管理水平与服务效率的提升。
为加快推进一体化信息平台建设,满足其基础网络环境要求,迫切需要以现有规划建设网络平台为基础,重构“市局-规划分局-规划所”三级网络体系,本研究基于一体化信息平台建设对网络环境的实际需求,坚持全面性、系统性、兼容性和拓展性原则,提出实现“市局-规划分局-规划所”三级联动的一体化网络体系的解决思路和策略。
1 现状情况分析
1.1 业务现状
珠海市住规建局集城乡规划、建设、房产和住房保障多种业务于一身,全局设办公室、政策法规科、住房保障科、规划编制管理科、建设用地规划管理科、建筑工程规划管理科、建筑市场监管科等22个内设机构,香洲分局、金湾分局、斗门分局、高新区分局、高栏港分局、万山分局、保税区等7个规划分局,城乡规划编审与信息中心、规划设计研究院、建设工程质量监督检测站等11个直属单位。
珠海市住建局经过多年的信息化建设,信息化建设基础雄厚,建有互联网、电子政务网等两大网络,实现了市局、各分局及直属单位的网络互联;建设并投入使用涉及规划、建设、房产、住保在内的住房和城乡规划建设信息网、住房和城乡规划建设管理信息系统、网上报建系统、城乡规划管理空间信息数据库系统、电子报批系统、规划编制管理系统、规划方案动态支持系统、商品房预销(售)系统、住房保障信息系统、建设业务管理系统、招标业务管理系统;建有完善的空间数据资源体系,形成了各比例尺的基础地形图、遥感影像图、城市总体规划图、控制性详细规划图、修建性详细规划图等多种空间数据资源,为局内的管理提升和监管决策起到了重要的作用。
1.2 网络架构现状
图1 网络架构拓扑图
市局与局属规划分局(市、县/区、镇、所)规划信息网络平台于2011年年底已建成投入使用,实现市局、局属规划分局应用点之间信息传递的互联互通,已初步完成基础网络平台搭建,基本满足了图形数据的传输、共享及各业务系统信息化建设的需求。
目前重要网络设备有核心交换机cisco4503,作为网络核心数据交换;在网络边界使用两台防火墙确保内部数据传输安全及为其他分支机构提供VPN链路,安全访问内部资源。
1.3 现状问题分析
根据市局的网络设备现状以及业务情况,能够看出现市局内网络存在如下几个主要问题:
(1)市局内部所有的交换机都处于同一个VLAN,因此广播域过大,网络安全性得不到可靠保障,在广播域中一旦有一台PC中毒,影响范围大。
(2)在规划分局与市局对接线路上存在较大安全隐患,由于目前规划分局与市局通过交换机设备直连,相当于处于同一大网内,当前市局连接了7个分局,每个分局的网络情况各不相同,且独立维护,如果某一规划分局出现网络攻击情况,将会直接影响到各个分局的业务运行。
(3)市局内所有的设备均采用单机部署的方案,对全网业务影响风险最大的故障点存在于市核心交换和出口防火墙,如果市核心交换机设备出现故障,将影响到市局全网业务,如果出口防火墙出现故障,不仅影响到市局业务,还将直接影响所有下属单位对市局业务系统的访问;因此,单点故障风险使市局系统的可靠性和稳定性得不到保障。
(4)在整个市局的网络中,对所有的链路均未有双链路保护考虑,如果出现链路故障,容易导致业务中断。
2 网络体系设计
图2 网络架构拓扑设计图
结合一体化信息管理平台实际业务需求,在充分利用原有网络设备的基础上,本网络设计采用星形结构,利用网络(光纤)链路的方式组网,组建符合信息安全法规的IPSec虚拟专用网(Virtua1 Private Network)。
(1)对于市局内部的广播域控制,采用不同楼层划分不同VLAN的方式,控制不必要的广播扩散,一方面提高网络带宽利用率,减少资源浪费,另一方面增加安全性,缩小因为局部意外中毒所影响的范围。
(2)对于各分局的网络隔离,在不影响现有网络架构的基础上,出于“重点资产重点防范”的原则,进行安全的防范。在市局城域网网络出口部署一台VPN防火墙和一台三层交换机,通过防火墙逻辑隔离及控制的功能,针对内网重要服务器的访问进行控制,依据市住规建局网络系统即定的安全策略,从而有效的保障了市局内网区域的边界安全,确保该区域内的重要信息资产被授权、合法地进行访问,同时利用防火墙的VPN功能,与其它规划分局建立VPN IPSec加密隧道连接,保护数据安全。
在城域网市局与规划分局网络对接过程中,7个规划分局各布署一台VPN防火墙设备及各一台三层交换机,主要解决广播风暴,广播域及广播病毒的发生及双路由问题,建立市局与规划分局的 IPSec数据加密隧道,确保市局数据安全,解决 7个规划分局与市局、互联网的访问。
(3)针对网络设备单点故障风险。采用市核心交换机、出口防火墙的双机保护方案,避免单点故障。
(4)针对现网链路的单点风险,采用局内接入交换机、出口Internet网络以及市局与分局Internet网络的双链路保护的方式解决。
3 网络安全与互联设计
3.1 网络部署策略
(1)在珠海市住房和城乡规划建设局城域网网络出口部署一台VPN防火墙和一台三层交换机,通过防火墙逻辑隔离及控制的功能,针对内网重要服务器的访问进行控制,依据珠海市住房和城乡规划建设局网络系统即定的安全策略,从而有效的保障了市规建局内网区域的边界安全,确保该区域内的重要信息资产被授权、合法地进行访问,同时利用防火墙的VPN功能,与其它分局建立VPN IPSec加密隧道连接,共享资源。
(2)在城域网市局与分局网络对接过程中,7个分局各部署一台VPN防火墙设备及各一台三层交换机,主要解决广播风暴,广播域及广播病毒的发生及双路由问题,建立市局与分局的IPSec数据加密隧道,确保市局数据安全,解决了7个分局与市局、互联网的访问。
3.2 实施步骤
根据上述部署策略,首先,各分局布署一台网御安全防火墙,实现与市局IPSec安全对接;其次,各分局布署一台华为S3700三层交换机,实现各分局与Intenret、市局数据交换双网关问题;最后,市局布署一台网御安全防火墙,实现与分局IPSec安全对接;
(1)根据分局现有业务数据量决定在各分局布署一台中等性能安全防火墙,实现与市局IPSec安全对接;每个分局独立网段也有效阻隔了整网广播风暴的问题;
(2)各分局布署一台三层交换机,实现各分局与Intenret、市局数据交换双网关问题;由于各分局下属单位均有自己的网络互联网出口,为了最大程度上减少对各单位现有网络架构的影响,专门部署一台三层交换机处理出口双网关的问题;
(3)根据市局现有业务数据量在市局布署一台高性能安全防火墙,实现与分局IPSec安全对接。
4 结论
重构后的“市局-规划分局-规划所”三级网络体系,有效的解决了原网络架构中存在的各种日常管理难题,清晰的网络分层设计思路为珠海市城乡规划建设一体化信息平台的上线奠定了坚实的网络环境基础,实现了业务数据上下交互,业务系统纵向互联。本研究对已有一定网络基础环境条件的企事业单位基于为大数据、大平台、大整合背景下的信息化发展提供了现实典范,具有一定的现实指导意义。
[1]陈真,戴喜媚,乔泽源,刘海春.大数据、大平台、大整合背景下的城乡统筹规划建设一体化应用平台研究与实践.2000.