馮 毅

（國能珠海港務有限公司，廣東 珠海 519090）

0 引 言

隨著信息技術(shù)和物聯(lián)網(wǎng)技術(shù)的快速發(fā)展，智慧港口成為現(xiàn)代港口建設的重要方向。港口經(jīng)濟的高質(zhì)量發(fā)展需要高水平的智慧港口建設作為支撐，利用先進的信息技術(shù)和物聯(lián)網(wǎng)技術(shù)來提升港口運作效率與管理水平，從而提高核心競爭力，促進產(chǎn)業(yè)轉(zhuǎn)型升級，實現(xiàn)數(shù)字化、智能化以及可持續(xù)發(fā)展的智慧港口。

1 智慧港口規(guī)劃總體目標

1.1 高度集成化

智慧港口的各個子系統(tǒng)應該能高度集成，實現(xiàn)數(shù)據(jù)的共享和交互，避免數(shù)據(jù)孤島，提高整體的運行效率和決策能力。

1.2 實時性和準確性

智慧港口需要實時采集和處理海量的數(shù)據(jù)，包括船舶位置、貨物狀態(tài)以及設備運行情況等。因此，信息系統(tǒng)需要具備高度的實時性和準確性，能及時反映港口的實際情況，以支持運營決策與應急處理。

1.3 可擴展性和靈活性

智慧港口的信息系統(tǒng)與網(wǎng)絡設備能夠與現(xiàn)有設備進行兼容，適應未來的技術(shù)和業(yè)務發(fā)展需求，后續(xù)具備網(wǎng)絡升級改造與系統(tǒng)性能擴展的能力。

1.4 安全性和可靠性

網(wǎng)絡安全風險日益劇增，網(wǎng)絡安全防護設施應能有效甄別可疑對象，抵御外部攻擊，保護港口的生產(chǎn)系統(tǒng)、運營數(shù)據(jù)以及敏感信息不受到惡意攻擊和泄露。同時，信息系統(tǒng)應具備完善的容錯性和可恢復性，以確保港口運營的連續(xù)性與穩(wěn)定性[1]。

2 網(wǎng)絡規(guī)劃與設計

2.1 網(wǎng)絡拓撲設計與結(jié)構(gòu)劃分

公司網(wǎng)絡架構(gòu)總體呈扁平化設計，采用樹形的2層拓撲結(jié)構(gòu)，接入交換機直接上聯(lián)核心交換機；滿足等保二級標準，劃分安全區(qū)域，區(qū)域邊界根據(jù)重要性部署防火墻；IP 電話與非辦公區(qū)單獨組網(wǎng)，與辦公網(wǎng)物理隔離；辦公網(wǎng)與工業(yè)控制網(wǎng)采用雙向網(wǎng)閘進行物理隔離；按照功能劃分為服務器虛擬化區(qū)、5G 調(diào)度集群區(qū)、辦公區(qū)以及生產(chǎn)控制區(qū)等[2]。

2.2 核心層

為保障網(wǎng)絡運行的可靠性和穩(wěn)定性，避免單點故障的風險，核心層網(wǎng)絡設備均采用雙設備、雙電源、雙引擎的冗余配置。

核心交換機采用層疊樣式表（Cascading Style Sheet，CSS）堆疊技術(shù)，將多臺交換機通過堆疊線連接在一起，從邏輯上變成一臺交換設備進行管理和配置，作為一個整體參與數(shù)據(jù)轉(zhuǎn)發(fā)，提高可靠性、擴展帶寬、擴展端口數(shù)量。

防火墻采用虛擬路由冗余協(xié)議（Virtual Router Redundancy Protocol，VRRP）及華為冗余協(xié)議（Huawei Redundancy Protocol，HRP）實現(xiàn)主備備份模式的雙機熱備，其中一臺設備作為主設備，另外一臺作為備份設備。主設備處理所有業(yè)務，并將產(chǎn)生的會話信息傳送到備份設備進行備份；備份設備不處理業(yè)務，只做備份。當主設備故障時，備份設備接替主設備處理業(yè)務，從而保證新發(fā)起的會話能正常建立，當前正在進行的會話也不會中斷。

路由器運用中間系統(tǒng)到中間系統(tǒng)（Intermediate System to Intermediate System，IS-IS）協(xié)議、開放式最短路徑優(yōu)先（Open Shortest Path First，OSPF）協(xié)議、邊界網(wǎng)關協(xié)議（Border Gateway Protocol，BGP）及VRRP協(xié)議，實現(xiàn)2 臺路由器雙機冷備，出現(xiàn)單點故障時可立即將備用路由器接入到集團廣域網(wǎng)恢復網(wǎng)絡。公司主路由器與集團邊界路由器做IS-IS 配置建立鄰接關系后，將廣域網(wǎng)的路由表引入到公司局域網(wǎng)的OSPF網(wǎng)絡中，同時主路由器與公司核心交換機做OSPF 配置建立鄰接關系，實現(xiàn)公司局域網(wǎng)與集團廣域網(wǎng)路由雙向可達。

2.3 接入層

港口企業(yè)的業(yè)務特點是戶外面積較大，作業(yè)場所及辦公地點分散，在園區(qū)內(nèi)各個樓宇及戶外場所要合理配置網(wǎng)絡接入點。每棟樓宇建筑的第一層可以放置一條光纜直連中心機房，樓宇的每層樓設計一個弱電間放置樓層交換機及網(wǎng)線配線架，方便布線接入樓層辦公室，同時樓層交換機匯聚至一樓交換機。另外，根據(jù)戶外場地的大小可以每隔500 m 左右合理設置戶外光纖箱，箱內(nèi)放置光纜直連中心機房。同時需要注意戶外設備的接電問題，就近接電容易出現(xiàn)跳閘等供電不穩(wěn)定情況，在規(guī)劃設計階段應考慮在園區(qū)內(nèi)合理配置若干信息化專用的供電配電箱，配電箱電纜直連變電所[3]。

3 智慧港口信息化系統(tǒng)建設

3.1 服務器虛擬化

在傳統(tǒng)的服務器架構(gòu)中，每個服務器通常只運行一個操作系統(tǒng)和應用程序，導致服務器群體龐大、資源利用率低以及物理設備的浪費。因此可以采購若干臺高性能服務器，通過服務器虛擬化技術(shù)實現(xiàn)服務器資源整合，讓中央處理器（Central Processing Unit，CPU）、內(nèi)存、磁盤等硬件變成可以動態(tài)管理的資源池。用戶在Web 端就可以根據(jù)系統(tǒng)需求靈活設置服務器配置，快速生成服務器虛擬機，從而減少物理服務器的安裝空間，最大化利用服務器資源，簡化服務器的維護管理。

3.2 5G 混合專網(wǎng)及Wi-Fi6 無線網(wǎng)絡覆蓋

解決戶外場景的無線網(wǎng)絡是港口碼頭信息化建設的難點，Z 公司采用的是5G 專網(wǎng)及Wi-Fi 6 相結(jié)合的解決方案。一方面，在室內(nèi)部署Wi-Fi 6 無線局域網(wǎng)，Wi-Fi 的覆蓋范圍容易受港機設備、鋼結(jié)構(gòu)轉(zhuǎn)接塔等環(huán)境因素的影響，難以實現(xiàn)戶外園區(qū)全覆蓋，同時Wi-Fi6 具有速度快、延時低、容量大的特點，用戶體驗速率最高可達到1 Gb/s。另一方面，在室外搭建5G 混合專網(wǎng)，以5G 切片技術(shù)為基礎，通過無線和核心網(wǎng)網(wǎng)元的靈活定制，構(gòu)建一張增強帶寬、低時延、數(shù)據(jù)不出園區(qū)的室外基礎連接網(wǎng)絡。

3.3 5G 調(diào)度集群

5G 調(diào)度集群是在5G 混合專網(wǎng)基礎上的5G 信息化應用，也是原有800 MHz 數(shù)字集群系統(tǒng)與5G 專網(wǎng)的應用融合。通過eSIP 中繼網(wǎng)關，5G 寬帶多媒體集群終端與800 MHz 窄帶數(shù)字集群終端實現(xiàn)對講組呼和語音單呼互聯(lián)互通，可以實現(xiàn)窄帶語音系統(tǒng)向?qū)拵诤舷到y(tǒng)的業(yè)務平滑過渡，設備充分利舊。同時，通過5G 切片技術(shù)和虛擬專用網(wǎng)絡（Virtual Private Network，VPN）專線，可將離開港區(qū)專網(wǎng)環(huán)境的5G 專用對講終端通過公網(wǎng)安全接入部署在內(nèi)網(wǎng)的5G 融合調(diào)度系統(tǒng)，實現(xiàn)公網(wǎng)和專網(wǎng)的融合應用。

3.4 智慧網(wǎng)管平臺

華為的eSight 平臺是面向企業(yè)的一體化融合運維管理解決方案，可實現(xiàn)交換機、路由器、網(wǎng)絡無線局域網(wǎng)（Wireless Local Area Network，WLAN）、防火墻、視頻監(jiān)控、服務器、存儲設備以及服務器操作系統(tǒng)和虛擬資源的統(tǒng)一管理，為企業(yè)在線測試（In-Circuit Test，ICT）設備提供集中化管理、可視化監(jiān)控、智能化分析等功能，有效幫助企業(yè)提高運維效率、降低運維成本、提升資源使用率，實現(xiàn)網(wǎng)絡通信可視、可管、可控，有效保障企業(yè)ICT 系統(tǒng)穩(wěn)定運行[4]。

3.5 IPv6 網(wǎng)絡部署

網(wǎng)際協(xié)議版本4（Internet Protocol version 4，IPv4最大的缺點在于網(wǎng)絡地址池不足，未來將無法滿足大型廣域網(wǎng)的網(wǎng)絡資源需求。Z 公司目前已完成動態(tài)主機配置協(xié)議（Dynamic Host Configuration Protocol，DHCP）、域名系統(tǒng)（Domain Name System，DNS）應用的IPv4/IPv6 雙棧改造，實現(xiàn)終端可訪問IPv6 資源。雙棧改造首先需要完成DNS 改造，在DNS 服務器上設置集團或運營商指定的IPv6 DNS 轉(zhuǎn)發(fā)地址，實現(xiàn)IPv6 域名的解析；其次需要完成DHCP 改造，在DHCP 服務器的IPv6 目錄內(nèi)新增作用域，按照集團分配的IPv6 地址池設置IP 段；最后需要在交換機網(wǎng)關地址上配置DHCPv6 中繼，實現(xiàn)終端用戶IPv6 地址的自動獲取。

4 網(wǎng)絡安全建設

4.1 信息安全威脅現(xiàn)狀

隨著數(shù)字化和信息化程度的不斷提高，網(wǎng)絡安全面臨的威脅也越來越復雜、隱蔽，黑客、病毒、木馬等攻擊手段不斷升級和變異，給網(wǎng)絡安全帶來巨大的挑戰(zhàn)?？傮w而言，港口碼頭面臨的網(wǎng)絡安全威脅主要包括數(shù)據(jù)泄露類（個人信息、生產(chǎn)數(shù)據(jù)）、黑客攻擊類以及惡意軟件類（勒索軟件、病毒木馬、僵尸網(wǎng)絡）。

4.2 網(wǎng)絡安全設計要求

4.2.1 預防性

網(wǎng)絡系統(tǒng)的設計規(guī)劃應從預防性的角度全過程、全方位、多層次考慮網(wǎng)絡安全建設，從人防、物防、技防等方面提前部署預防性策略，最大限度地將信息安全威脅拒之門外，充分保障內(nèi)網(wǎng)數(shù)據(jù)信息的安全，為企業(yè)的穩(wěn)定生產(chǎn)運營提供基礎保障。

4.2.2 及時性

網(wǎng)絡安全風險無處不在，需要有技術(shù)措施第一時間識別危險，有針對性地處置問題，最大限度地減少網(wǎng)絡安全風險對辦公網(wǎng)絡、生產(chǎn)運營的影響。

4.2.3 可追溯性

網(wǎng)絡規(guī)劃設計中部署的安全防護設備應具備審計功能，詳細記錄網(wǎng)絡流量活動及操作過程，可以快速定位攻擊來源，有效阻斷攻擊行為，在事件處置完畢后有條件對事件進行回顧梳理，查找問題根源，為進一步加固網(wǎng)絡安全提供依據(jù)。

4.3 網(wǎng)絡安全防護措施

4.3.1 防火墻

防火墻的功能主要在于及時發(fā)現(xiàn)并處理網(wǎng)絡運行時可能存在的安全風險、數(shù)據(jù)傳輸?shù)葐栴}，其中處理措施包括隔離與保護，同時可對網(wǎng)絡安全中的各項操作實施記錄與檢測，以確保網(wǎng)絡運行的安全性。在實際運用中，防火墻充當著門衛(wèi)安保的角色，應優(yōu)先在內(nèi)網(wǎng)邊界部署邊界防火墻，如廣域網(wǎng)邊界、互聯(lián)網(wǎng)邊界以及工業(yè)控制網(wǎng)邊界，同時還可以考慮在服務器虛擬化集群等重點保護區(qū)域邊界部署防火墻，這樣可以有效管控進出流量，及時阻隔危險因素。

4.3.2 入侵防御系統(tǒng)

入侵防御系統(tǒng)（Intrusion Prevention System，IPS）是為保障計算機系統(tǒng)安全而設計的，通過收集和分析網(wǎng)絡行為、安全日志等其他網(wǎng)絡上可以獲得的信息以及計算機系統(tǒng)中若干關鍵點的信息，檢查網(wǎng)絡或系統(tǒng)中是否存在違反安全策略和被攻擊的跡象。一旦發(fā)現(xiàn)可疑活動，IPS 會采取預先定義的響應措施，如阻斷特定IP 地址、關閉漏洞或發(fā)出警報通知安全管理員。此外，IPS 是防火墻的合理補充，充當著內(nèi)網(wǎng)巡邏警衛(wèi)的角色，能夠預防內(nèi)網(wǎng)的橫向攻擊，幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力。

4.3.3 網(wǎng) 閘

工業(yè)控制網(wǎng)絡中系統(tǒng)漏洞多、網(wǎng)絡安全防護水平低的現(xiàn)象普遍存在，系統(tǒng)癱瘓對生產(chǎn)運營的危害最大，因此成為黑客攻擊的主要目標。部署網(wǎng)閘可以使工業(yè)控制網(wǎng)絡與外界不存在通信的物理連接、邏輯連接及信息傳輸協(xié)議，不存在依據(jù)協(xié)議進行的信息交換，而只有以數(shù)據(jù)文件形式進行的無協(xié)議擺渡。網(wǎng)閘從物理上隔離、阻斷對內(nèi)網(wǎng)具有潛在攻擊的一切網(wǎng)絡連接，使外部攻擊者無法直接入侵、攻擊或破壞內(nèi)網(wǎng)，保障內(nèi)部主機的安全[5]。

4.3.4 終端安全準入系統(tǒng)

終端安全準入系統(tǒng)是一種基于網(wǎng)絡安全技術(shù)的系統(tǒng)，其主要作用是制定終端準入規(guī)則，對接入網(wǎng)絡的終端設備進行實時監(jiān)察和管理，阻斷不明身份的終端接入，以保證網(wǎng)絡安全和信息安全。該系統(tǒng)能夠通過網(wǎng)絡安全性評測和驗證，對設備的身份、合法性、完整性等進行全方位的安全檢查，從而有效識別和防范網(wǎng)絡攻擊事件與信息泄露事件。

5 結(jié) 論

網(wǎng)絡規(guī)劃與信息化系統(tǒng)應用是智慧港口建設的基礎和關鍵。通過合理的規(guī)劃建設，可以實現(xiàn)港口內(nèi)各系統(tǒng)、設備及服務的高效通信與協(xié)作，提高運作效率和管理水平。未來將會有更多基于5G 通信、大數(shù)據(jù)、自動化技術(shù)的信息化應用支持智能化、自動化的智慧港口發(fā)展。