魯峰

（上海地鐵維護保障有限公司物資和后勤分公司，上海 200232）

1 概述

1.1 智慧基地

隨著5G、物聯(lián)網(wǎng)、大數(shù)據(jù)、云計算等技術(shù)的快速發(fā)展，智慧園區(qū)的概念在國內(nèi)不斷推廣。軌道交通車輛基地作為軌道交通車輛停放、檢查、維修的專門場所，主要具備車輛供給、維修養(yǎng)護、物資倉儲、生活文娛四大核心功能，是一種特殊的園區(qū)。智慧基地是智慧園區(qū)在軌道交通行業(yè)的深化應(yīng)用，利用新技術(shù)構(gòu)建智能運維系統(tǒng)，對基地中各種資源進行感知和監(jiān)測，對基地各類數(shù)據(jù)資源進行整合，繼而分析并響應(yīng)基地的需求。

1.2 云計算技術(shù)

云平臺的平行處理能力和強大的計算及存儲能力可以很好地提升智慧基地運維系統(tǒng)內(nèi)各個系統(tǒng)的集成度與安全性，實現(xiàn)基地的智慧運營。云計算基礎(chǔ)設(shè)施的架構(gòu)可分為三類：公有云、私有云和混合云。

（1）公有云是第三方云服務(wù)商在互聯(lián)網(wǎng)上提供的云資源，通常也由云服務(wù)商維護，根據(jù)用戶的使用場景需求可以靈活配置和收費，用戶通過網(wǎng)絡(luò)獲得云端提供的各類服務(wù)。

（2）私有云是將云基礎(chǔ)設(shè)施與軟硬件資源建立在本地，完全針對企業(yè)內(nèi)部單獨部署，各種應(yīng)用服務(wù)一般僅供內(nèi)部成員使用，如各部門間共享數(shù)據(jù)中心的資源，因此能可靠控制數(shù)據(jù)、服務(wù)的安全和質(zhì)量。

（3）混合云是公有云和私有云兩種服務(wù)方式的結(jié)合，利用了兩者的優(yōu)勢，在此模式下，私有云和公有云相互獨立又相互聯(lián)系，重要的業(yè)務(wù)數(shù)據(jù)可在私有云中存儲、計算，外部非機密數(shù)據(jù)可使用公有云服務(wù)暫存，并及時同步至私有云。

1.3 智慧基地建設(shè)需求

（1）有序整合生產(chǎn)資源，提升基地應(yīng)急響應(yīng)能力，提升便捷服務(wù)，實現(xiàn)一體化集成管理和系統(tǒng)聯(lián)動。

（2）通過智慧基地綜合管理平臺，實現(xiàn)各系統(tǒng)間資源共享、信息交互、業(yè)務(wù)融合，打破既有系統(tǒng)的數(shù)據(jù)孤島問題。

（3）隨著運營網(wǎng)絡(luò)規(guī)模的擴大，車輛保有量和基地數(shù)量不斷增加且分布分散，亟須加強基地管理建設(shè)，優(yōu)化管理手段和模式，實現(xiàn)基地作業(yè)管理的智能化、系統(tǒng)化、網(wǎng)絡(luò)化。

2 系統(tǒng)平臺方案

2.1 系統(tǒng)功能設(shè)計

從智慧基地的建設(shè)需求出發(fā)，結(jié)合云計算技術(shù)，構(gòu)建基于云平臺的智慧基地系統(tǒng)，包含智能監(jiān)測、園區(qū)資源、園區(qū)環(huán)境、維修管理、園區(qū)秩序、園區(qū)服務(wù)、智慧餐飲七大子系統(tǒng)，系統(tǒng)功能架構(gòu)如圖1所示。

圖1 系統(tǒng)功能模塊

（1）智能監(jiān)測：通過新增智能傳感器、無線傳輸模塊，運用物聯(lián)網(wǎng)、大數(shù)據(jù)、可視化手段等實現(xiàn)對基地整體環(huán)境的實時狀態(tài)和未來態(tài)勢把控。

（2）園區(qū)資源：管理基地水、電、天然氣的使用；管理基地內(nèi)部員工宿舍的使用情況；管理基地日常證件、許可、報告等資料。

（3）園區(qū)環(huán)境：實時監(jiān)測基地內(nèi)部的排污及排煙情況，實現(xiàn)數(shù)據(jù)匯總、報告生成及報表自動上傳。

（4）維修管理：管理基地內(nèi)機電類設(shè)備，涵蓋設(shè)備資產(chǎn)、設(shè)備履歷、設(shè)備狀態(tài)監(jiān)控、設(shè)備告警以及設(shè)備全生命周期大數(shù)據(jù)分析等內(nèi)容。

（5）園區(qū)秩序：由安防管理、人員管理及車輛管理組成，實現(xiàn)安保巡更管理、安保應(yīng)急聯(lián)動、人員和車輛出入管理及數(shù)據(jù)統(tǒng)計分析。

（6）園區(qū)服務(wù)：整合基地各類信息資源，對內(nèi)部員工和外來訪客進行統(tǒng)一的信息發(fā)布和查詢，支持移動端數(shù)據(jù)服務(wù)。

（7）智慧餐飲：建立更加智能化、信息化的膳食管理系統(tǒng)，全面覆蓋采購、經(jīng)營、食品安全及供應(yīng)商的監(jiān)管。

2.2 混合云部署方案

智慧基地的智能監(jiān)測子系統(tǒng)中布置了多樣且分散的物聯(lián)網(wǎng)監(jiān)測設(shè)備，園區(qū)秩序、維修管理子系統(tǒng)需要開放部分對外服務(wù)，如訪客預(yù)約和出入口管理、外部施工管理等。因此，在智慧基地的建設(shè)中，面臨海量數(shù)據(jù)儲存、數(shù)據(jù)采集分散、內(nèi)外部數(shù)據(jù)交互等需求。

混合云模式既具備公有云快速部署、節(jié)省成本、高可用性、高可擴展性的優(yōu)點，又具備私有云高安全性的特點，可保障自身高敏感數(shù)據(jù)的安全。因此，搭建基于混合云架構(gòu)的智慧基地系統(tǒng)平臺，根據(jù)數(shù)據(jù)的機密等級和業(yè)務(wù)性質(zhì)劃分數(shù)據(jù)的存儲方式，可以很好地解決智慧基地建設(shè)中數(shù)據(jù)儲存和傳輸中面臨的問題。基于混合云架構(gòu)的軌道交通智慧基地系統(tǒng)的拓撲結(jié)構(gòu)圖如圖2所示。

圖2 系統(tǒng)拓撲結(jié)構(gòu)

在軌道交通智慧基地混合云架構(gòu)中管理網(wǎng)私有云和公有云中分別存儲不同業(yè)務(wù)性質(zhì)的數(shù)據(jù)。

（1）內(nèi)部員工數(shù)據(jù)較固定可以批量管理；控制類數(shù)據(jù)涉及安全，保密性高；內(nèi)部設(shè)施設(shè)備管理數(shù)據(jù)僅供集團內(nèi)部統(tǒng)計分析，不對外提供服務(wù)。諸如此類數(shù)據(jù)都適合存放在內(nèi)網(wǎng)，禁止公網(wǎng)訪問。因此，將這些內(nèi)部核心數(shù)據(jù)存儲在私有云，由軌道交通數(shù)據(jù)中心統(tǒng)一進行與外網(wǎng)的訪問控制，只開放部分必要的服務(wù)和端口，對訪問的IP 做限制，對服務(wù)做鑒權(quán)，既便于數(shù)據(jù)統(tǒng)一管理，又能提升內(nèi)部數(shù)據(jù)的安全性。

（2）外部訪客及車輛數(shù)據(jù)通過第三方程序錄入，必須經(jīng)過公網(wǎng)；新建設(shè)施設(shè)備監(jiān)測傳感器分布分散，重新敷設(shè)電纜經(jīng)濟性不高；一些新建基地接入私有云難度高。因此，這類非敏感數(shù)據(jù)和對外提供的服務(wù)部署在公有云，外部用戶的數(shù)據(jù)操作直接在公網(wǎng)上調(diào)用服務(wù)。

2.3 信息安全管理機制

如何正確有效地實現(xiàn)公有云和私有云服務(wù)的切換、融合，實現(xiàn)內(nèi)部數(shù)據(jù)中心與公有云之間的數(shù)據(jù)連接是混合云架構(gòu)信息安全的關(guān)鍵問題。

2.3.1 數(shù)據(jù)存儲安全

主要采用分類存儲和數(shù)據(jù)加密來保護數(shù)據(jù)存儲安全。將內(nèi)部核心數(shù)據(jù)存儲在基地內(nèi)部構(gòu)建的私有云之上，受基地內(nèi)部管理控制，管理者可以自主選用合適的加密方式來保護數(shù)據(jù)安全，相對公有云數(shù)據(jù)保密性更高，能很好地保障核心業(yè)務(wù)數(shù)據(jù)的安全；非安全相關(guān)數(shù)據(jù)部署在公有云，可以通過在線數(shù)據(jù)備份、異地容災(zāi)建設(shè)、定期進行數(shù)據(jù)恢復(fù)和其他技術(shù)手段實現(xiàn)數(shù)據(jù)精細化管理。

2.3.2 數(shù)據(jù)傳輸安全

傳輸層安全主要涉及私有云和用戶設(shè)備、公有云和用戶設(shè)備、私有云和公共云之間的通信。為了更好對外提供服務(wù)，同時又有效保護私有云機密數(shù)據(jù)的安全，將內(nèi)部網(wǎng)絡(luò)中需要對外開放的服務(wù)器和內(nèi)部網(wǎng)絡(luò)設(shè)備隔離開，在智慧基地建設(shè)中采用了隔離區(qū)（DemilitarizedZone，DMZ）的方式。

圖3 數(shù)據(jù)分類存儲

DMZ 區(qū)位于內(nèi)、外部防火墻之間，是內(nèi)網(wǎng)安全系統(tǒng)與互聯(lián)網(wǎng)非安全系統(tǒng)之間的緩沖區(qū)。允許外部訪問的服務(wù)器單獨連接到DMZ 區(qū)，外部防火墻用于抵御外部網(wǎng)絡(luò)攻擊，內(nèi)部防火墻管理DMZ 區(qū)對基地內(nèi)部網(wǎng)絡(luò)的訪問。相較一般防火墻設(shè)置，DMZ 區(qū)對來自外網(wǎng)的惡意攻擊又增加了一道防御，存儲內(nèi)部機密數(shù)據(jù)的私有云系統(tǒng)不至于直接暴露給外部網(wǎng)絡(luò)。外網(wǎng)訪問者只可以訪問DMZ 區(qū)中的服務(wù)，即使DMZ 區(qū)中服務(wù)器受到破壞，也不會影響基地私有云中的數(shù)據(jù)，因此，可以更加有效地保護私有云內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)。

此外，私有云和公有云之間傳輸?shù)臄?shù)據(jù)為加密數(shù)據(jù)，通過HTTPS 等安全通信協(xié)議、SSL/TLS 等安全加密協(xié)議保證傳輸安全；通過VPN/IPSec，VPN/MPLS 等安全連接方式保證網(wǎng)絡(luò)連接的可靠性；通過安全組、防火墻、IPD/IDS 等保證邊界安全，同時對各類進出網(wǎng)絡(luò)行為進行安全審計；對通信網(wǎng)絡(luò)流量進行實時監(jiān)控，針對DDoS、Web 攻擊進行防御，實現(xiàn)對流量型攻擊和應(yīng)用層攻擊的全面防護。

2.4 系統(tǒng)優(yōu)化方案

在數(shù)字經(jīng)濟的大趨勢下，邊緣計算、容器、云網(wǎng)深度融合等新技術(shù)為混合云的發(fā)展提供了更多可能。例如，網(wǎng)絡(luò)云化改造，提供靈活的入云專線，引入人工智能模型，實現(xiàn)云資源動態(tài)分配、網(wǎng)絡(luò)流量智能調(diào)優(yōu)、云網(wǎng)故障的快速識別和自我修復(fù)。相關(guān)新技術(shù)在軌道交通領(lǐng)域的應(yīng)用將推動智慧基地混合云建設(shè)的進一步優(yōu)化。此外，利用5G 技術(shù)高速率、大容量、低時延以及核心網(wǎng)全面云化的特點，也能大幅提升數(shù)據(jù)傳輸效率和系統(tǒng)服務(wù)質(zhì)量。

2.5 系統(tǒng)功能特點

2.5.1 平臺化

系統(tǒng)應(yīng)用平臺化，對軌道交通基地的共性功能進行統(tǒng)一規(guī)劃、統(tǒng)一治理，一個云平臺管理多個基地，實現(xiàn)數(shù)據(jù)、業(yè)務(wù)共享，賦能數(shù)據(jù)分析。

2.5.2 應(yīng)用模塊化

采用微服務(wù)架構(gòu)，對智慧基地的軟件系統(tǒng)進行抽象和設(shè)計，系統(tǒng)應(yīng)用模塊化，可以自由組合，能快速支持新業(yè)務(wù)開展，根據(jù)不同的建設(shè)需要，搭建適用于不同規(guī)模、不同業(yè)務(wù)功能、不同領(lǐng)域的智慧基地綜合管理平臺。

2.5.3 高可擴展性

系統(tǒng)所需的云資源可以根據(jù)應(yīng)用的需要調(diào)整和動態(tài)伸縮，公有云強大的計算和存儲能力可以支撐基地及基地內(nèi)設(shè)備、用戶、應(yīng)用數(shù)量大規(guī)模增長的需要。

3 結(jié)語

軌道交通作為關(guān)系國計民生的城市基礎(chǔ)服務(wù)設(shè)施，正處于數(shù)字化轉(zhuǎn)型的關(guān)鍵時期，混合云技術(shù)在其他行業(yè)的成熟應(yīng)用，為其在軌道交通智慧基地的建設(shè)與應(yīng)用提供了新的思路和方法。本文在梳理軌道交通智慧基地建設(shè)需求的基礎(chǔ)上，結(jié)合混合云技術(shù)特點和優(yōu)勢，開創(chuàng)性地提出利用混合云架構(gòu)搭建城軌智慧基地系統(tǒng)平臺的方案，并在此基礎(chǔ)上闡述了云平臺業(yè)務(wù)功能架構(gòu)、數(shù)據(jù)分類存儲方案、安全管理機制等，助推城軌智慧基地的數(shù)字化和智能化轉(zhuǎn)型升級。但與傳統(tǒng)園區(qū)相比，軌道交通基地具有線網(wǎng)結(jié)構(gòu)復(fù)雜、業(yè)務(wù)板塊多樣化、基地規(guī)模大、數(shù)量多且布置分散等特點，因此，智慧基地的建設(shè)難度較傳統(tǒng)園區(qū)更大。本文雖提出了初步可實施的建設(shè)方案，但相關(guān)的實踐仍處于探索階段。軌道交通智慧基地建設(shè)的逐步完善，還需要行業(yè)內(nèi)產(chǎn)學(xué)研用各機構(gòu)不斷加深研究，并結(jié)合其他行業(yè)優(yōu)秀經(jīng)驗，不斷突破進取。