馮 毅

（國能珠海港務(wù)有限公司，廣東 珠海 519090）

0 引 言

隨著信息技術(shù)和物聯(lián)網(wǎng)技術(shù)的快速發(fā)展，智慧港口成為現(xiàn)代港口建設(shè)的重要方向。港口經(jīng)濟(jì)的高質(zhì)量發(fā)展需要高水平的智慧港口建設(shè)作為支撐，利用先進(jìn)的信息技術(shù)和物聯(lián)網(wǎng)技術(shù)來提升港口運作效率與管理水平，從而提高核心競爭力，促進(jìn)產(chǎn)業(yè)轉(zhuǎn)型升級，實現(xiàn)數(shù)字化、智能化以及可持續(xù)發(fā)展的智慧港口。

1 智慧港口規(guī)劃總體目標(biāo)

1.1 高度集成化

智慧港口的各個子系統(tǒng)應(yīng)該能高度集成，實現(xiàn)數(shù)據(jù)的共享和交互，避免數(shù)據(jù)孤島，提高整體的運行效率和決策能力。

1.2 實時性和準(zhǔn)確性

智慧港口需要實時采集和處理海量的數(shù)據(jù)，包括船舶位置、貨物狀態(tài)以及設(shè)備運行情況等。因此，信息系統(tǒng)需要具備高度的實時性和準(zhǔn)確性，能及時反映港口的實際情況，以支持運營決策與應(yīng)急處理。

1.3 可擴(kuò)展性和靈活性

智慧港口的信息系統(tǒng)與網(wǎng)絡(luò)設(shè)備能夠與現(xiàn)有設(shè)備進(jìn)行兼容，適應(yīng)未來的技術(shù)和業(yè)務(wù)發(fā)展需求，后續(xù)具備網(wǎng)絡(luò)升級改造與系統(tǒng)性能擴(kuò)展的能力。

1.4 安全性和可靠性

網(wǎng)絡(luò)安全風(fēng)險日益劇增，網(wǎng)絡(luò)安全防護(hù)設(shè)施應(yīng)能有效甄別可疑對象，抵御外部攻擊，保護(hù)港口的生產(chǎn)系統(tǒng)、運營數(shù)據(jù)以及敏感信息不受到惡意攻擊和泄露。同時，信息系統(tǒng)應(yīng)具備完善的容錯性和可恢復(fù)性，以確保港口運營的連續(xù)性與穩(wěn)定性[1]。

2 網(wǎng)絡(luò)規(guī)劃與設(shè)計

2.1 網(wǎng)絡(luò)拓?fù)湓O(shè)計與結(jié)構(gòu)劃分

公司網(wǎng)絡(luò)架構(gòu)總體呈扁平化設(shè)計，采用樹形的2層拓?fù)浣Y(jié)構(gòu)，接入交換機(jī)直接上聯(lián)核心交換機(jī)；滿足等保二級標(biāo)準(zhǔn)，劃分安全區(qū)域，區(qū)域邊界根據(jù)重要性部署防火墻；IP 電話與非辦公區(qū)單獨組網(wǎng)，與辦公網(wǎng)物理隔離；辦公網(wǎng)與工業(yè)控制網(wǎng)采用雙向網(wǎng)閘進(jìn)行物理隔離；按照功能劃分為服務(wù)器虛擬化區(qū)、5G 調(diào)度集群區(qū)、辦公區(qū)以及生產(chǎn)控制區(qū)等[2]。

2.2 核心層

為保障網(wǎng)絡(luò)運行的可靠性和穩(wěn)定性，避免單點故障的風(fēng)險，核心層網(wǎng)絡(luò)設(shè)備均采用雙設(shè)備、雙電源、雙引擎的冗余配置。

核心交換機(jī)采用層疊樣式表（Cascading Style Sheet，CSS）堆疊技術(shù)，將多臺交換機(jī)通過堆疊線連接在一起，從邏輯上變成一臺交換設(shè)備進(jìn)行管理和配置，作為一個整體參與數(shù)據(jù)轉(zhuǎn)發(fā)，提高可靠性、擴(kuò)展帶寬、擴(kuò)展端口數(shù)量。

防火墻采用虛擬路由冗余協(xié)議（Virtual Router Redundancy Protocol，VRRP）及華為冗余協(xié)議（Huawei Redundancy Protocol，HRP）實現(xiàn)主備備份模式的雙機(jī)熱備，其中一臺設(shè)備作為主設(shè)備，另外一臺作為備份設(shè)備。主設(shè)備處理所有業(yè)務(wù)，并將產(chǎn)生的會話信息傳送到備份設(shè)備進(jìn)行備份；備份設(shè)備不處理業(yè)務(wù)，只做備份。當(dāng)主設(shè)備故障時，備份設(shè)備接替主設(shè)備處理業(yè)務(wù)，從而保證新發(fā)起的會話能正常建立，當(dāng)前正在進(jìn)行的會話也不會中斷。

路由器運用中間系統(tǒng)到中間系統(tǒng)（Intermediate System to Intermediate System，IS-IS）協(xié)議、開放式最短路徑優(yōu)先（Open Shortest Path First，OSPF）協(xié)議、邊界網(wǎng)關(guān)協(xié)議（Border Gateway Protocol，BGP）及VRRP協(xié)議，實現(xiàn)2 臺路由器雙機(jī)冷備，出現(xiàn)單點故障時可立即將備用路由器接入到集團(tuán)廣域網(wǎng)恢復(fù)網(wǎng)絡(luò)。公司主路由器與集團(tuán)邊界路由器做IS-IS 配置建立鄰接關(guān)系后，將廣域網(wǎng)的路由表引入到公司局域網(wǎng)的OSPF網(wǎng)絡(luò)中，同時主路由器與公司核心交換機(jī)做OSPF 配置建立鄰接關(guān)系，實現(xiàn)公司局域網(wǎng)與集團(tuán)廣域網(wǎng)路由雙向可達(dá)。

2.3 接入層

港口企業(yè)的業(yè)務(wù)特點是戶外面積較大，作業(yè)場所及辦公地點分散，在園區(qū)內(nèi)各個樓宇及戶外場所要合理配置網(wǎng)絡(luò)接入點。每棟樓宇建筑的第一層可以放置一條光纜直連中心機(jī)房，樓宇的每層樓設(shè)計一個弱電間放置樓層交換機(jī)及網(wǎng)線配線架，方便布線接入樓層辦公室，同時樓層交換機(jī)匯聚至一樓交換機(jī)。另外，根據(jù)戶外場地的大小可以每隔500 m 左右合理設(shè)置戶外光纖箱，箱內(nèi)放置光纜直連中心機(jī)房。同時需要注意戶外設(shè)備的接電問題，就近接電容易出現(xiàn)跳閘等供電不穩(wěn)定情況，在規(guī)劃設(shè)計階段應(yīng)考慮在園區(qū)內(nèi)合理配置若干信息化專用的供電配電箱，配電箱電纜直連變電所[3]。

3 智慧港口信息化系統(tǒng)建設(shè)

3.1 服務(wù)器虛擬化

在傳統(tǒng)的服務(wù)器架構(gòu)中，每個服務(wù)器通常只運行一個操作系統(tǒng)和應(yīng)用程序，導(dǎo)致服務(wù)器群體龐大、資源利用率低以及物理設(shè)備的浪費。因此可以采購若干臺高性能服務(wù)器，通過服務(wù)器虛擬化技術(shù)實現(xiàn)服務(wù)器資源整合，讓中央處理器（Central Processing Unit，CPU）、內(nèi)存、磁盤等硬件變成可以動態(tài)管理的資源池。用戶在Web 端就可以根據(jù)系統(tǒng)需求靈活設(shè)置服務(wù)器配置，快速生成服務(wù)器虛擬機(jī)，從而減少物理服務(wù)器的安裝空間，最大化利用服務(wù)器資源，簡化服務(wù)器的維護(hù)管理。

3.2 5G 混合專網(wǎng)及Wi-Fi6 無線網(wǎng)絡(luò)覆蓋

解決戶外場景的無線網(wǎng)絡(luò)是港口碼頭信息化建設(shè)的難點，Z 公司采用的是5G 專網(wǎng)及Wi-Fi 6 相結(jié)合的解決方案。一方面，在室內(nèi)部署Wi-Fi 6 無線局域網(wǎng)，Wi-Fi 的覆蓋范圍容易受港機(jī)設(shè)備、鋼結(jié)構(gòu)轉(zhuǎn)接塔等環(huán)境因素的影響，難以實現(xiàn)戶外園區(qū)全覆蓋，同時Wi-Fi6 具有速度快、延時低、容量大的特點，用戶體驗速率最高可達(dá)到1 Gb/s。另一方面，在室外搭建5G 混合專網(wǎng)，以5G 切片技術(shù)為基礎(chǔ)，通過無線和核心網(wǎng)網(wǎng)元的靈活定制，構(gòu)建一張增強(qiáng)帶寬、低時延、數(shù)據(jù)不出園區(qū)的室外基礎(chǔ)連接網(wǎng)絡(luò)。

3.3 5G 調(diào)度集群

5G 調(diào)度集群是在5G 混合專網(wǎng)基礎(chǔ)上的5G 信息化應(yīng)用，也是原有800 MHz 數(shù)字集群系統(tǒng)與5G 專網(wǎng)的應(yīng)用融合。通過eSIP 中繼網(wǎng)關(guān)，5G 寬帶多媒體集群終端與800 MHz 窄帶數(shù)字集群終端實現(xiàn)對講組呼和語音單呼互聯(lián)互通，可以實現(xiàn)窄帶語音系統(tǒng)向?qū)拵诤舷到y(tǒng)的業(yè)務(wù)平滑過渡，設(shè)備充分利舊。同時，通過5G 切片技術(shù)和虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）專線，可將離開港區(qū)專網(wǎng)環(huán)境的5G 專用對講終端通過公網(wǎng)安全接入部署在內(nèi)網(wǎng)的5G 融合調(diào)度系統(tǒng)，實現(xiàn)公網(wǎng)和專網(wǎng)的融合應(yīng)用。

3.4 智慧網(wǎng)管平臺

華為的eSight 平臺是面向企業(yè)的一體化融合運維管理解決方案，可實現(xiàn)交換機(jī)、路由器、網(wǎng)絡(luò)無線局域網(wǎng)（Wireless Local Area Network，WLAN）、防火墻、視頻監(jiān)控、服務(wù)器、存儲設(shè)備以及服務(wù)器操作系統(tǒng)和虛擬資源的統(tǒng)一管理，為企業(yè)在線測試（In-Circuit Test，ICT）設(shè)備提供集中化管理、可視化監(jiān)控、智能化分析等功能，有效幫助企業(yè)提高運維效率、降低運維成本、提升資源使用率，實現(xiàn)網(wǎng)絡(luò)通信可視、可管、可控，有效保障企業(yè)ICT 系統(tǒng)穩(wěn)定運行[4]。

3.5 IPv6 網(wǎng)絡(luò)部署

網(wǎng)際協(xié)議版本4（Internet Protocol version 4，IPv4最大的缺點在于網(wǎng)絡(luò)地址池不足，未來將無法滿足大型廣域網(wǎng)的網(wǎng)絡(luò)資源需求。Z 公司目前已完成動態(tài)主機(jī)配置協(xié)議（Dynamic Host Configuration Protocol，DHCP）、域名系統(tǒng)（Domain Name System，DNS）應(yīng)用的IPv4/IPv6 雙棧改造，實現(xiàn)終端可訪問IPv6 資源。雙棧改造首先需要完成DNS 改造，在DNS 服務(wù)器上設(shè)置集團(tuán)或運營商指定的IPv6 DNS 轉(zhuǎn)發(fā)地址，實現(xiàn)IPv6 域名的解析；其次需要完成DHCP 改造，在DHCP 服務(wù)器的IPv6 目錄內(nèi)新增作用域，按照集團(tuán)分配的IPv6 地址池設(shè)置IP 段；最后需要在交換機(jī)網(wǎng)關(guān)地址上配置DHCPv6 中繼，實現(xiàn)終端用戶IPv6 地址的自動獲取。

4 網(wǎng)絡(luò)安全建設(shè)

4.1 信息安全威脅現(xiàn)狀

隨著數(shù)字化和信息化程度的不斷提高，網(wǎng)絡(luò)安全面臨的威脅也越來越復(fù)雜、隱蔽，黑客、病毒、木馬等攻擊手段不斷升級和變異，給網(wǎng)絡(luò)安全帶來巨大的挑戰(zhàn)。總體而言，港口碼頭面臨的網(wǎng)絡(luò)安全威脅主要包括數(shù)據(jù)泄露類（個人信息、生產(chǎn)數(shù)據(jù)）、黑客攻擊類以及惡意軟件類（勒索軟件、病毒木馬、僵尸網(wǎng)絡(luò)）。

4.2 網(wǎng)絡(luò)安全設(shè)計要求

4.2.1 預(yù)防性

網(wǎng)絡(luò)系統(tǒng)的設(shè)計規(guī)劃應(yīng)從預(yù)防性的角度全過程、全方位、多層次考慮網(wǎng)絡(luò)安全建設(shè)，從人防、物防、技防等方面提前部署預(yù)防性策略，最大限度地將信息安全威脅拒之門外，充分保障內(nèi)網(wǎng)數(shù)據(jù)信息的安全，為企業(yè)的穩(wěn)定生產(chǎn)運營提供基礎(chǔ)保障。

4.2.2 及時性

網(wǎng)絡(luò)安全風(fēng)險無處不在，需要有技術(shù)措施第一時間識別危險，有針對性地處置問題，最大限度地減少網(wǎng)絡(luò)安全風(fēng)險對辦公網(wǎng)絡(luò)、生產(chǎn)運營的影響。

4.2.3 可追溯性

網(wǎng)絡(luò)規(guī)劃設(shè)計中部署的安全防護(hù)設(shè)備應(yīng)具備審計功能，詳細(xì)記錄網(wǎng)絡(luò)流量活動及操作過程，可以快速定位攻擊來源，有效阻斷攻擊行為，在事件處置完畢后有條件對事件進(jìn)行回顧梳理，查找問題根源，為進(jìn)一步加固網(wǎng)絡(luò)安全提供依據(jù)。

4.3 網(wǎng)絡(luò)安全防護(hù)措施

4.3.1 防火墻

防火墻的功能主要在于及時發(fā)現(xiàn)并處理網(wǎng)絡(luò)運行時可能存在的安全風(fēng)險、數(shù)據(jù)傳輸?shù)葐栴}，其中處理措施包括隔離與保護(hù)，同時可對網(wǎng)絡(luò)安全中的各項操作實施記錄與檢測，以確保網(wǎng)絡(luò)運行的安全性。在實際運用中，防火墻充當(dāng)著門衛(wèi)安保的角色，應(yīng)優(yōu)先在內(nèi)網(wǎng)邊界部署邊界防火墻，如廣域網(wǎng)邊界、互聯(lián)網(wǎng)邊界以及工業(yè)控制網(wǎng)邊界，同時還可以考慮在服務(wù)器虛擬化集群等重點保護(hù)區(qū)域邊界部署防火墻，這樣可以有效管控進(jìn)出流量，及時阻隔危險因素。

4.3.2 入侵防御系統(tǒng)

入侵防御系統(tǒng)（Intrusion Prevention System，IPS）是為保障計算機(jī)系統(tǒng)安全而設(shè)計的，通過收集和分析網(wǎng)絡(luò)行為、安全日志等其他網(wǎng)絡(luò)上可以獲得的信息以及計算機(jī)系統(tǒng)中若干關(guān)鍵點的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略和被攻擊的跡象。一旦發(fā)現(xiàn)可疑活動，IPS 會采取預(yù)先定義的響應(yīng)措施，如阻斷特定IP 地址、關(guān)閉漏洞或發(fā)出警報通知安全管理員。此外，IPS 是防火墻的合理補(bǔ)充，充當(dāng)著內(nèi)網(wǎng)巡邏警衛(wèi)的角色，能夠預(yù)防內(nèi)網(wǎng)的橫向攻擊，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力。

4.3.3 網(wǎng) 閘

工業(yè)控制網(wǎng)絡(luò)中系統(tǒng)漏洞多、網(wǎng)絡(luò)安全防護(hù)水平低的現(xiàn)象普遍存在，系統(tǒng)癱瘓對生產(chǎn)運營的危害最大，因此成為黑客攻擊的主要目標(biāo)。部署網(wǎng)閘可以使工業(yè)控制網(wǎng)絡(luò)與外界不存在通信的物理連接、邏輯連接及信息傳輸協(xié)議，不存在依據(jù)協(xié)議進(jìn)行的信息交換，而只有以數(shù)據(jù)文件形式進(jìn)行的無協(xié)議擺渡。網(wǎng)閘從物理上隔離、阻斷對內(nèi)網(wǎng)具有潛在攻擊的一切網(wǎng)絡(luò)連接，使外部攻擊者無法直接入侵、攻擊或破壞內(nèi)網(wǎng)，保障內(nèi)部主機(jī)的安全[5]。

4.3.4 終端安全準(zhǔn)入系統(tǒng)

終端安全準(zhǔn)入系統(tǒng)是一種基于網(wǎng)絡(luò)安全技術(shù)的系統(tǒng)，其主要作用是制定終端準(zhǔn)入規(guī)則，對接入網(wǎng)絡(luò)的終端設(shè)備進(jìn)行實時監(jiān)察和管理，阻斷不明身份的終端接入，以保證網(wǎng)絡(luò)安全和信息安全。該系統(tǒng)能夠通過網(wǎng)絡(luò)安全性評測和驗證，對設(shè)備的身份、合法性、完整性等進(jìn)行全方位的安全檢查，從而有效識別和防范網(wǎng)絡(luò)攻擊事件與信息泄露事件。

5 結(jié) 論

網(wǎng)絡(luò)規(guī)劃與信息化系統(tǒng)應(yīng)用是智慧港口建設(shè)的基礎(chǔ)和關(guān)鍵。通過合理的規(guī)劃建設(shè)，可以實現(xiàn)港口內(nèi)各系統(tǒng)、設(shè)備及服務(wù)的高效通信與協(xié)作，提高運作效率和管理水平。未來將會有更多基于5G 通信、大數(shù)據(jù)、自動化技術(shù)的信息化應(yīng)用支持智能化、自動化的智慧港口發(fā)展。