珠海市城鄉(xiāng)規(guī)劃建設一體化信息平臺網(wǎng)絡設計研究

李 偉

（珠海市城鄉(xiāng)規(guī)劃編審與信息中心 廣東 519000）

0 引言

隨著國家行政體制改革的不斷深入，“四化”同步發(fā)展已經(jīng)是當前黨和國家工作的重中之重。為此，以信息化促進政府行政效能的提高和行政監(jiān)管力度的提升，是發(fā)展的必然。而今的信息化已經(jīng)不僅僅是電子化、數(shù)字化，信息化發(fā)展的重點是網(wǎng)絡基礎資源、數(shù)據(jù)資源、業(yè)務信息的再整合與重構(gòu)，為多業(yè)務的協(xié)同和多手段的監(jiān)管、科學的決策支持提供基礎環(huán)境。

珠海市住規(guī)建局作為全市城鄉(xiāng)規(guī)劃、建筑市場管理、城市更新、住房保障和房地產(chǎn)市場管理五大領域的業(yè)務主管部門，于2014年啟動住房城鄉(xiāng)規(guī)劃建設一體化信息平臺建設工作，整合并改造現(xiàn)有的業(yè)務系統(tǒng)，開發(fā)以工程全生命周期（BIM）為核心的規(guī)劃、建設、房產(chǎn)業(yè)務協(xié)同、住房保障監(jiān)管的一體化信息平臺，為管理服務和決策支持提供更為有效的手段，促進城鄉(xiāng)規(guī)劃建設管理水平與服務效率的提升。

為加快推進一體化信息平臺建設，滿足其基礎網(wǎng)絡環(huán)境要求，迫切需要以現(xiàn)有規(guī)劃建設網(wǎng)絡平臺為基礎，重構(gòu)“市局-規(guī)劃分局-規(guī)劃所”三級網(wǎng)絡體系，本研究基于一體化信息平臺建設對網(wǎng)絡環(huán)境的實際需求，堅持全面性、系統(tǒng)性、兼容性和拓展性原則，提出實現(xiàn)“市局-規(guī)劃分局-規(guī)劃所”三級聯(lián)動的一體化網(wǎng)絡體系的解決思路和策略。

1 現(xiàn)狀情況分析

1.1 業(yè)務現(xiàn)狀

珠海市住規(guī)建局集城鄉(xiāng)規(guī)劃、建設、房產(chǎn)和住房保障多種業(yè)務于一身，全局設辦公室、政策法規(guī)科、住房保障科、規(guī)劃編制管理科、建設用地規(guī)劃管理科、建筑工程規(guī)劃管理科、建筑市場監(jiān)管科等22個內(nèi)設機構(gòu)，香洲分局、金灣分局、斗門分局、高新區(qū)分局、高欄港分局、萬山分局、保稅區(qū)等7個規(guī)劃分局，城鄉(xiāng)規(guī)劃編審與信息中心、規(guī)劃設計研究院、建設工程質(zhì)量監(jiān)督檢測站等11個直屬單位。

珠海市住建局經(jīng)過多年的信息化建設，信息化建設基礎雄厚，建有互聯(lián)網(wǎng)、電子政務網(wǎng)等兩大網(wǎng)絡，實現(xiàn)了市局、各分局及直屬單位的網(wǎng)絡互聯(lián)；建設并投入使用涉及規(guī)劃、建設、房產(chǎn)、住保在內(nèi)的住房和城鄉(xiāng)規(guī)劃建設信息網(wǎng)、住房和城鄉(xiāng)規(guī)劃建設管理信息系統(tǒng)、網(wǎng)上報建系統(tǒng)、城鄉(xiāng)規(guī)劃管理空間信息數(shù)據(jù)庫系統(tǒng)、電子報批系統(tǒng)、規(guī)劃編制管理系統(tǒng)、規(guī)劃方案動態(tài)支持系統(tǒng)、商品房預銷（售）系統(tǒng)、住房保障信息系統(tǒng)、建設業(yè)務管理系統(tǒng)、招標業(yè)務管理系統(tǒng)；建有完善的空間數(shù)據(jù)資源體系，形成了各比例尺的基礎地形圖、遙感影像圖、城市總體規(guī)劃圖、控制性詳細規(guī)劃圖、修建性詳細規(guī)劃圖等多種空間數(shù)據(jù)資源，為局內(nèi)的管理提升和監(jiān)管決策起到了重要的作用。

1.2 網(wǎng)絡架構(gòu)現(xiàn)狀

圖1 網(wǎng)絡架構(gòu)拓撲圖

市局與局屬規(guī)劃分局（市、縣/區(qū)、鎮(zhèn)、所）規(guī)劃信息網(wǎng)絡平臺于2011年年底已建成投入使用，實現(xiàn)市局、局屬規(guī)劃分局應用點之間信息傳遞的互聯(lián)互通，已初步完成基礎網(wǎng)絡平臺搭建，基本滿足了圖形數(shù)據(jù)的傳輸、共享及各業(yè)務系統(tǒng)信息化建設的需求。

目前重要網(wǎng)絡設備有核心交換機cisco4503，作為網(wǎng)絡核心數(shù)據(jù)交換；在網(wǎng)絡邊界使用兩臺防火墻確保內(nèi)部數(shù)據(jù)傳輸安全及為其他分支機構(gòu)提供VPN鏈路，安全訪問內(nèi)部資源。

1.3 現(xiàn)狀問題分析

根據(jù)市局的網(wǎng)絡設備現(xiàn)狀以及業(yè)務情況，能夠看出現(xiàn)市局內(nèi)網(wǎng)絡存在如下幾個主要問題：

（1）市局內(nèi)部所有的交換機都處于同一個VLAN，因此廣播域過大，網(wǎng)絡安全性得不到可靠保障，在廣播域中一旦有一臺PC中毒，影響范圍大。

（2）在規(guī)劃分局與市局對接線路上存在較大安全隱患，由于目前規(guī)劃分局與市局通過交換機設備直連，相當于處于同一大網(wǎng)內(nèi)，當前市局連接了7個分局，每個分局的網(wǎng)絡情況各不相同，且獨立維護，如果某一規(guī)劃分局出現(xiàn)網(wǎng)絡攻擊情況，將會直接影響到各個分局的業(yè)務運行。

（3）市局內(nèi)所有的設備均采用單機部署的方案，對全網(wǎng)業(yè)務影響風險最大的故障點存在于市核心交換和出口防火墻，如果市核心交換機設備出現(xiàn)故障，將影響到市局全網(wǎng)業(yè)務，如果出口防火墻出現(xiàn)故障，不僅影響到市局業(yè)務，還將直接影響所有下屬單位對市局業(yè)務系統(tǒng)的訪問；因此，單點故障風險使市局系統(tǒng)的可靠性和穩(wěn)定性得不到保障。

（4）在整個市局的網(wǎng)絡中，對所有的鏈路均未有雙鏈路保護考慮，如果出現(xiàn)鏈路故障，容易導致業(yè)務中斷。

2 網(wǎng)絡體系設計

圖2 網(wǎng)絡架構(gòu)拓撲設計圖

結(jié)合一體化信息管理平臺實際業(yè)務需求，在充分利用原有網(wǎng)絡設備的基礎上，本網(wǎng)絡設計采用星形結(jié)構(gòu)，利用網(wǎng)絡（光纖）鏈路的方式組網(wǎng)，組建符合信息安全法規(guī)的IPSec虛擬專用網(wǎng)（Virtua1 Private Network）。

（1）對于市局內(nèi)部的廣播域控制，采用不同樓層劃分不同VLAN的方式，控制不必要的廣播擴散，一方面提高網(wǎng)絡帶寬利用率，減少資源浪費，另一方面增加安全性，縮小因為局部意外中毒所影響的范圍。

（2）對于各分局的網(wǎng)絡隔離，在不影響現(xiàn)有網(wǎng)絡架構(gòu)的基礎上，出于“重點資產(chǎn)重點防范”的原則，進行安全的防范。在市局城域網(wǎng)網(wǎng)絡出口部署一臺VPN防火墻和一臺三層交換機，通過防火墻邏輯隔離及控制的功能，針對內(nèi)網(wǎng)重要服務器的訪問進行控制，依據(jù)市住規(guī)建局網(wǎng)絡系統(tǒng)即定的安全策略，從而有效的保障了市局內(nèi)網(wǎng)區(qū)域的邊界安全，確保該區(qū)域內(nèi)的重要信息資產(chǎn)被授權(quán)、合法地進行訪問，同時利用防火墻的VPN功能，與其它規(guī)劃分局建立VPN IPSec加密隧道連接，保護數(shù)據(jù)安全。

在城域網(wǎng)市局與規(guī)劃分局網(wǎng)絡對接過程中，7個規(guī)劃分局各布署一臺VPN防火墻設備及各一臺三層交換機，主要解決廣播風暴，廣播域及廣播病毒的發(fā)生及雙路由問題，建立市局與規(guī)劃分局的 IPSec數(shù)據(jù)加密隧道，確保市局數(shù)據(jù)安全，解決 7個規(guī)劃分局與市局、互聯(lián)網(wǎng)的訪問。

（3）針對網(wǎng)絡設備單點故障風險。采用市核心交換機、出口防火墻的雙機保護方案，避免單點故障。

（4）針對現(xiàn)網(wǎng)鏈路的單點風險，采用局內(nèi)接入交換機、出口Internet網(wǎng)絡以及市局與分局Internet網(wǎng)絡的雙鏈路保護的方式解決。

3 網(wǎng)絡安全與互聯(lián)設計

3.1 網(wǎng)絡部署策略

（1）在珠海市住房和城鄉(xiāng)規(guī)劃建設局城域網(wǎng)網(wǎng)絡出口部署一臺VPN防火墻和一臺三層交換機，通過防火墻邏輯隔離及控制的功能，針對內(nèi)網(wǎng)重要服務器的訪問進行控制，依據(jù)珠海市住房和城鄉(xiāng)規(guī)劃建設局網(wǎng)絡系統(tǒng)即定的安全策略，從而有效的保障了市規(guī)建局內(nèi)網(wǎng)區(qū)域的邊界安全，確保該區(qū)域內(nèi)的重要信息資產(chǎn)被授權(quán)、合法地進行訪問，同時利用防火墻的VPN功能，與其它分局建立VPN IPSec加密隧道連接，共享資源。

（2）在城域網(wǎng)市局與分局網(wǎng)絡對接過程中，7個分局各部署一臺VPN防火墻設備及各一臺三層交換機，主要解決廣播風暴，廣播域及廣播病毒的發(fā)生及雙路由問題，建立市局與分局的IPSec數(shù)據(jù)加密隧道，確保市局數(shù)據(jù)安全，解決了7個分局與市局、互聯(lián)網(wǎng)的訪問。

3.2 實施步驟

根據(jù)上述部署策略，首先，各分局布署一臺網(wǎng)御安全防火墻，實現(xiàn)與市局IPSec安全對接；其次，各分局布署一臺華為S3700三層交換機，實現(xiàn)各分局與Intenret、市局數(shù)據(jù)交換雙網(wǎng)關問題；最后，市局布署一臺網(wǎng)御安全防火墻，實現(xiàn)與分局IPSec安全對接；

（1）根據(jù)分局現(xiàn)有業(yè)務數(shù)據(jù)量決定在各分局布署一臺中等性能安全防火墻，實現(xiàn)與市局IPSec安全對接；每個分局獨立網(wǎng)段也有效阻隔了整網(wǎng)廣播風暴的問題；

（2）各分局布署一臺三層交換機，實現(xiàn)各分局與Intenret、市局數(shù)據(jù)交換雙網(wǎng)關問題；由于各分局下屬單位均有自己的網(wǎng)絡互聯(lián)網(wǎng)出口，為了最大程度上減少對各單位現(xiàn)有網(wǎng)絡架構(gòu)的影響，專門部署一臺三層交換機處理出口雙網(wǎng)關的問題；

（3）根據(jù)市局現(xiàn)有業(yè)務數(shù)據(jù)量在市局布署一臺高性能安全防火墻，實現(xiàn)與分局IPSec安全對接。

4 結(jié)論

重構(gòu)后的“市局-規(guī)劃分局-規(guī)劃所”三級網(wǎng)絡體系，有效的解決了原網(wǎng)絡架構(gòu)中存在的各種日常管理難題，清晰的網(wǎng)絡分層設計思路為珠海市城鄉(xiāng)規(guī)劃建設一體化信息平臺的上線奠定了堅實的網(wǎng)絡環(huán)境基礎，實現(xiàn)了業(yè)務數(shù)據(jù)上下交互，業(yè)務系統(tǒng)縱向互聯(lián)。本研究對已有一定網(wǎng)絡基礎環(huán)境條件的企事業(yè)單位基于為大數(shù)據(jù)、大平臺、大整合背景下的信息化發(fā)展提供了現(xiàn)實典范，具有一定的現(xiàn)實指導意義。

[1]陳真，戴喜媚，喬澤源，劉海春.大數(shù)據(jù)、大平臺、大整合背景下的城鄉(xiāng)統(tǒng)籌規(guī)劃建設一體化應用平臺研究與實踐.2000.