珠海市城鄉規劃建設一體化信息平臺網絡設計研究

李 偉

（珠海市城鄉規劃編審與信息中心 廣東 519000）

0 引言

隨著國家行政體制改革的不斷深入，“四化”同步發展已經是當前黨和國家工作的重中之重。為此，以信息化促進政府行政效能的提高和行政監管力度的提升，是發展的必然。而今的信息化已經不僅僅是電子化、數字化，信息化發展的重點是網絡基礎資源、數據資源、業務信息的再整合與重構，為多業務的協同和多手段的監管、科學的決策支持提供基礎環境。

珠海市住規建局作為全市城鄉規劃、建筑市場管理、城市更新、住房保障和房地產市場管理五大領域的業務主管部門，于2014年啟動住房城鄉規劃建設一體化信息平臺建設工作，整合并改造現有的業務系統，開發以工程全生命周期（BIM）為核心的規劃、建設、房產業務協同、住房保障監管的一體化信息平臺，為管理服務和決策支持提供更為有效的手段，促進城鄉規劃建設管理水平與服務效率的提升。

為加快推進一體化信息平臺建設，滿足其基礎網絡環境要求，迫切需要以現有規劃建設網絡平臺為基礎，重構“市局-規劃分局-規劃所”三級網絡體系，本研究基于一體化信息平臺建設對網絡環境的實際需求，堅持全面性、系統性、兼容性和拓展性原則，提出實現“市局-規劃分局-規劃所”三級聯動的一體化網絡體系的解決思路和策略。

1 現狀情況分析

1.1 業務現狀

珠海市住規建局集城鄉規劃、建設、房產和住房保障多種業務于一身，全局設辦公室、政策法規科、住房保障科、規劃編制管理科、建設用地規劃管理科、建筑工程規劃管理科、建筑市場監管科等22個內設機構，香洲分局、金灣分局、斗門分局、高新區分局、高欄港分局、萬山分局、保稅區等7個規劃分局，城鄉規劃編審與信息中心、規劃設計研究院、建設工程質量監督檢測站等11個直屬單位。

珠海市住建局經過多年的信息化建設，信息化建設基礎雄厚，建有互聯網、電子政務網等兩大網絡，實現了市局、各分局及直屬單位的網絡互聯；建設并投入使用涉及規劃、建設、房產、住保在內的住房和城鄉規劃建設信息網、住房和城鄉規劃建設管理信息系統、網上報建系統、城鄉規劃管理空間信息數據庫系統、電子報批系統、規劃編制管理系統、規劃方案動態支持系統、商品房預銷（售）系統、住房保障信息系統、建設業務管理系統、招標業務管理系統；建有完善的空間數據資源體系，形成了各比例尺的基礎地形圖、遙感影像圖、城市總體規劃圖、控制性詳細規劃圖、修建性詳細規劃圖等多種空間數據資源，為局內的管理提升和監管決策起到了重要的作用。

1.2 網絡架構現狀

圖1 網絡架構拓撲圖

市局與局屬規劃分局（市、縣/區、鎮、所）規劃信息網絡平臺于2011年年底已建成投入使用，實現市局、局屬規劃分局應用點之間信息傳遞的互聯互通，已初步完成基礎網絡平臺搭建，基本滿足了圖形數據的傳輸、共享及各業務系統信息化建設的需求。

目前重要網絡設備有核心交換機cisco4503，作為網絡核心數據交換；在網絡邊界使用兩臺防火墻確保內部數據傳輸安全及為其他分支機構提供VPN鏈路，安全訪問內部資源。

1.3 現狀問題分析

根據市局的網絡設備現狀以及業務情況，能夠看出現市局內網絡存在如下幾個主要問題：

（1）市局內部所有的交換機都處于同一個VLAN，因此廣播域過大，網絡安全性得不到可靠保障，在廣播域中一旦有一臺PC中毒，影響范圍大。

（2）在規劃分局與市局對接線路上存在較大安全隱患，由于目前規劃分局與市局通過交換機設備直連，相當于處于同一大網內，當前市局連接了7個分局，每個分局的網絡情況各不相同，且獨立維護，如果某一規劃分局出現網絡攻擊情況，將會直接影響到各個分局的業務運行。

（3）市局內所有的設備均采用單機部署的方案，對全網業務影響風險最大的故障點存在于市核心交換和出口防火墻，如果市核心交換機設備出現故障，將影響到市局全網業務，如果出口防火墻出現故障，不僅影響到市局業務，還將直接影響所有下屬單位對市局業務系統的訪問；因此，單點故障風險使市局系統的可靠性和穩定性得不到保障。

（4）在整個市局的網絡中，對所有的鏈路均未有雙鏈路保護考慮，如果出現鏈路故障，容易導致業務中斷。

2 網絡體系設計

圖2 網絡架構拓撲設計圖

結合一體化信息管理平臺實際業務需求，在充分利用原有網絡設備的基礎上，本網絡設計采用星形結構，利用網絡（光纖）鏈路的方式組網，組建符合信息安全法規的IPSec虛擬專用網（Virtua1 Private Network）。

（1）對于市局內部的廣播域控制，采用不同樓層劃分不同VLAN的方式，控制不必要的廣播擴散，一方面提高網絡帶寬利用率，減少資源浪費，另一方面增加安全性，縮小因為局部意外中毒所影響的范圍。

（2）對于各分局的網絡隔離，在不影響現有網絡架構的基礎上，出于“重點資產重點防范”的原則，進行安全的防范。在市局城域網網絡出口部署一臺VPN防火墻和一臺三層交換機，通過防火墻邏輯隔離及控制的功能，針對內網重要服務器的訪問進行控制，依據市住規建局網絡系統即定的安全策略，從而有效的保障了市局內網區域的邊界安全，確保該區域內的重要信息資產被授權、合法地進行訪問，同時利用防火墻的VPN功能，與其它規劃分局建立VPN IPSec加密隧道連接，保護數據安全。

在城域網市局與規劃分局網絡對接過程中，7個規劃分局各布署一臺VPN防火墻設備及各一臺三層交換機，主要解決廣播風暴，廣播域及廣播病毒的發生及雙路由問題，建立市局與規劃分局的 IPSec數據加密隧道，確保市局數據安全，解決 7個規劃分局與市局、互聯網的訪問。

（3）針對網絡設備單點故障風險。采用市核心交換機、出口防火墻的雙機保護方案，避免單點故障。

（4）針對現網鏈路的單點風險，采用局內接入交換機、出口Internet網絡以及市局與分局Internet網絡的雙鏈路保護的方式解決。

3 網絡安全與互聯設計

3.1 網絡部署策略

（1）在珠海市住房和城鄉規劃建設局城域網網絡出口部署一臺VPN防火墻和一臺三層交換機，通過防火墻邏輯隔離及控制的功能，針對內網重要服務器的訪問進行控制，依據珠海市住房和城鄉規劃建設局網絡系統即定的安全策略，從而有效的保障了市規建局內網區域的邊界安全，確保該區域內的重要信息資產被授權、合法地進行訪問，同時利用防火墻的VPN功能，與其它分局建立VPN IPSec加密隧道連接，共享資源。

（2）在城域網市局與分局網絡對接過程中，7個分局各部署一臺VPN防火墻設備及各一臺三層交換機，主要解決廣播風暴，廣播域及廣播病毒的發生及雙路由問題，建立市局與分局的IPSec數據加密隧道，確保市局數據安全，解決了7個分局與市局、互聯網的訪問。

3.2 實施步驟

根據上述部署策略，首先，各分局布署一臺網御安全防火墻，實現與市局IPSec安全對接；其次，各分局布署一臺華為S3700三層交換機，實現各分局與Intenret、市局數據交換雙網關問題；最后，市局布署一臺網御安全防火墻，實現與分局IPSec安全對接；

（1）根據分局現有業務數據量決定在各分局布署一臺中等性能安全防火墻，實現與市局IPSec安全對接；每個分局獨立網段也有效阻隔了整網廣播風暴的問題；

（2）各分局布署一臺三層交換機，實現各分局與Intenret、市局數據交換雙網關問題；由于各分局下屬單位均有自己的網絡互聯網出口，為了最大程度上減少對各單位現有網絡架構的影響，專門部署一臺三層交換機處理出口雙網關的問題；

（3）根據市局現有業務數據量在市局布署一臺高性能安全防火墻，實現與分局IPSec安全對接。

4 結論

重構后的“市局-規劃分局-規劃所”三級網絡體系，有效的解決了原網絡架構中存在的各種日常管理難題，清晰的網絡分層設計思路為珠海市城鄉規劃建設一體化信息平臺的上線奠定了堅實的網絡環境基礎，實現了業務數據上下交互，業務系統縱向互聯。本研究對已有一定網絡基礎環境條件的企事業單位基于為大數據、大平臺、大整合背景下的信息化發展提供了現實典范，具有一定的現實指導意義。

[1]陳真，戴喜媚，喬澤源，劉海春.大數據、大平臺、大整合背景下的城鄉統籌規劃建設一體化應用平臺研究與實踐.2000.