文章來源：[eNet硅谷動力] 

一、數字化城管：51個試點和1個“首例”

城市管理是城市建設、運轉和發展中的永恒主題。伴隨中國經濟社會的高速發展和信息化技術的廣泛應用，中國已經有相當一批大中型城市開始了從傳統型城市管理轉變為數字化城市管理的進程。

從2005年7月起，國家建設部先后確定了25個省、市、自治區的51個數字化城市管理試點城市和試點城區，如今大都已經通過驗收正式運行，與此同時，還有一批試點外的城市或城區也先后建成了各自的數字城管系統，使全國的數字化城市管理進程向前跨進了一大步。這其中，天津市根據特大型城市的特點和提升城市管理的技術水平與運行效率的要求，從2009年起采用“兩級監督、一級指揮”的模式同時構建市區兩級數字化城管平臺，在全國特大城市中尚屬首例，因而引起了廣泛的關注。

在天津市數字化城管系統的建設中，由于涉及到業務網絡與天津市政務專網（內網）的關聯，涉及無線網絡的接入，涉及到各級指揮中心、監督中心、城管基層、政府相關部門以及社會用戶的網絡訪問，網絡安全的規劃和部署就成為整個網絡平臺項目的重中之重。

國內電子政務安全領域的專家楊乃濱在論述電子政務安全對策時，特別強調了產品采購環節規避各種安全隱患和技術風險的問題。他明確建議，“在選擇安全產品時，應盡量選擇我國自主知識產權的產品。這類產品具有自主知識產權的源代碼，安全性較高，而且有利于廠家對產品的升級與維護。”同時，他還強調了安全產品技術先進性和系統處理速度的重要性。或許正是因為天津市數字化城管項目需求方對網絡安全問題的高度重視，對網絡安全策略部署和技術水平的嚴格要求，銳捷網絡作為自主創新型的國內網絡解決方案供應商才得以脫穎而出，為國內首例特大城市兩級數字化城管平臺提供網絡安全設備和基礎網絡設備，參與和見證了高安全的天津市數字化城管系統平臺建設的成功。

二、會診天津：理解城市特點 把握項目需求

明確理解和把握項目需求是提供相關產品和解決方案的基礎和前提。天津市數字化城管系統建設用到的網絡環境主要包括業務網絡、無線網絡兩部分。其中，業務網絡依托天津市政務專網建設，實現城市管理監督中心（市級）、各區監督指揮中心、（市、區）二級城市管理相關部門間的網絡互聯。無線網絡單獨建設，采用專線接入市數字化城市管理中心。

天津市數字化城管系統業務網絡規模龐大，從一級平臺到二級平臺，覆蓋天津市從中心城區到濱海城區到市郊區縣的全部市政管理區域。銳捷認為，網絡的建設同樣需要考慮當前的需求和可預見的未來需求。對內部的網絡使用者而言，業務網系統同樣是一個支持數據、語音、視頻等綜合業務傳輸平臺。從內部數據交換的角度，整個網絡平臺是要建立一套整合數據、語音和圖像等多業務的端到端、以IP 為基礎的統一的一體化網絡安全平臺，支持多協議、多業務、安全策略、流量管理、服務質量管理、資源管理。整網還要具有可靠性、堅固性、良好的擴展能力、強大的管理能力以及擁塞控制和服務質量保證等一系列良好的特性。

業務網是否安全和穩定不僅直接關系到城管體系的正常運作，而且關系到內網安全和城管部門與政府其它職能部門的信息共享和工作協同。因此，作為此次數字城管項目重要的網絡平臺，該網絡系統的設計需要以高安全、高穩定、高可靠、高性能和高可用性為目標，建立基礎網絡平臺、信息安全平臺、機密通信平臺、信息交換平臺、安全管理平臺、應用系統平臺等基礎設施。這也是銳捷網絡必須面對和解決的問題。
 

三、解決問題：針對兩級平臺 部署安全網絡

針對系統對基礎網絡設備和網絡安全設備提出的要求，銳捷給出了相應的解決方案。

首先是一級（市級）平臺的部署（參看拓撲圖）。核心網絡設備應包括中心核心防火墻、下聯業務防火墻、各核心服務區域防火墻、安全管理平臺、防毒墻、路由交換機、負載均衡設備等。由于網絡設備是整個系統的核心設備，所以必須選擇高性能、高可靠性的產品型號。核心網絡設備要采用雙備設計。

在網絡的出口采用千兆級防火墻配合防毒墻的配置模式，保證了在政務網出口以及中國移動出口的網絡安全。防火墻采用銳捷千兆級防火墻RG-1600T，吞吐量5Gbps，具有強大的狀態監測和識別能力，防火墻采用雙機熱備模式保證出口高可靠性。通過兩臺銳捷網絡基于十萬兆平臺的高性能RG-S8606核心路由交換機，通過千兆鏈路互聯服務器交換機RG-S7606，構建平臺系統的雙核心網絡系統，為平臺提供一個強勁的數據傳輸中心，確保各種數據傳輸的高性能和高穩定性。

在內部辦公坐席區采用千兆級RG-1600S防火墻，再配合SMP安全管理平臺對坐席區PC進行全面安全防護。防火墻采用多安全區域體系，每個接口對應一個獨立的安全區域，在不同網絡區域之間進行互聯時，全部通信都受到防火墻的監控，通過防火墻的安全策略可以將所聯區域設置成相應的保護級別，以保證關鍵系統的安全。同時，防火墻與SMP配合進行內網安全監控，以全面實現用戶、主機、網絡3個層面的立體安全管理，實現完善的身份認證管理體系、windows補丁強制更新、三重立體的ARP防御體系、嚴格的軟件管理等。

除了一級平臺，在二級平臺（區縣平臺）的網絡安全性也必須給予足夠的重視和有效的支撐。具體的部署是，每個區縣配置了兩臺RG-WALL 1600S防火墻設備，其中一臺防火墻主要實現與市級平臺的高速安全互聯，保證業務流量實時傳輸到市中心；另一臺防火墻主要作為IPsec VPN接入，滿足更向下的三級平臺和移動辦公人員接入，可以通過互聯網直接安全撥入業務網絡，通過IPsec VPN隧道技術，保證接入點的信息私密性與安全性。（區級平臺典型拓撲圖見下）

為了切實保障二級平臺的網絡安全性能，銳捷的網絡安全設備覆蓋了包括南開區、河東區、河北區、海泰產業園區、西青區、東麗區、津南區、紅橋區等8個二級平臺區域，后續若干區縣平臺的建設也將采用銳捷的相應設備。

四、小結：本次出擊效果和未來無限責任

天津市數字化城市管理系統是天津市重要的信息化建設項目，也是中國數字城管尤其是特大城市數字化城管的成功案例。

該系統的總體技術框架包括五個層面：基礎設施層、基礎數據層、業務邏輯層、業務應用層、用戶表示層。銳捷提供的網絡安全設備和基礎網絡設備，支持整網2000人同時在線訪問，為整個市級數據中心了提供高安全、高穩定、高可靠、高性能的數據傳輸平臺。

值得特別說明的是，銳捷在實施方案中根據應用數據安全級別，分別部署了內置安全特性的出口專用防火墻、重要服務器群專用防火墻、GSN全局安全網絡，為城管數據中心提供主動式的安全防護管理，抵御網絡攻擊，將遭遇網絡攻擊的風險降至一個合理范圍；同時，考慮到內網安全防護管理，對重要服務器群實行專業安全防護，全面杜絕DoS攻擊對服務器群正常應用的影響確保服務器群不間斷為業務提供網絡服務。

如何打造省市級大型數字城管網絡安全平臺？銳捷網絡用自主創新的產品和因需定制的解決方案做出了一個漂亮的回答。銳捷也相信，自己有責任和能力，為更多城市數字城管平臺和行業信息化項目添磚加瓦、保駕護航。