第1页 / 共111页
第2页 / 共111页
第3页 / 共111页
第4页 / 共111页
第5页 / 共111页
第6页 / 共111页
第7页 / 共111页
第8页 / 共111页
智慧城轨信息技术架构和信息安全规范第2部分-技术架构.pdf
目 次
前 言
引 言
智慧城轨信息技术架构及信息安全规范第2部分技术架构
范围
规范性引用文件
术语、定义和缩略语
术语和定义
缩略语
一般规定
智慧城轨信息技术架构应采用云计算平台架构,按照各应用系统总体需求和信息安全的要求,为各应用系统提供相应等级的服务。
智慧城轨信息技术架构应按各应用系统的总体需求,为安全生产网、内部管理网、外部服务网三个域分配计算、存储、网络等资源池,并通过带外管理网对三个域的资源进行统一管理。
安全生产网、内部管理网、外部服务网三个网都有域内的数据平台,各应用系统应向数据平台提供共享数据,不同网间的数据平台的信息交换通过安全信息通道进行,原则上高安全级别的应用系统可直接向低安全级别的数据平台传输或抓取数据,低安全级别的数据需通过安全隔离的策略与高安全级别数据平台进行数据交换并对数据使用过程进行详细记录。
智慧城轨信息技术架构应实现与既有云化部署应用系统的融合迁移,应按融合迁移的进程,预留既有虚拟化平台与新建云平台资源融合以及非云平台信息系统迁移到云平台的条件和资源。
数据中心应遵循近期建设规模与远期发展规划协调一致的原则,按照模块化的建设思路,宜根据不同业务进行设备平面布置。
本规范若无特殊说明,所有云平台和云计算节点均指私有云。
技术总体架构
云计算平台
云计算平台架构
架构总体要求
应满足业界通用虚拟化、弹性计算、高等级安全、跨地理位置分布、大规模性、一致性等要求,并针对性满足智慧城轨信息系统对云计算平台架构的要求。
应按照GB/T 20988制定安全防护措施,满足各业务系统等保安全的需求,支持智慧城轨信息技术架构达到4级以上的灾难恢复等级。
应支持多种虚拟化技术,应能兼容主流厂商的多种异构设备,应根据业务系统对云平台需求,选择通用的、绿色节能的服务器、存储和网络设备。
应对不同厂商的计算、存储、网络等资源池和不同虚拟化技术的平台以及主、备数据中心的资源进行统一调度和管理,并支持虚拟化及裸金属管理。
应在保证技术先进性和应用系统稳定性的原则下,采用当前主流成熟技术和体系架构。
应具有扩展性和开放性,软硬件产品可根据业务需要无损升级和扩展。云计算平台应采用分层和模块化技术,软件组件能够解耦,并开放接口,保证应用系统能够平滑迁移。
应具有自主可控性,在保证技术先进性和产品成熟的前提下,宜优先考虑国内具备自主知识产权的产品。
云计算平台逻辑架构
云计算平台包括IaaS层、PaaS层和SaaS层,其逻辑架构见图1。
IaaS层宜由逻辑化/池化后的计算、存储、网络、安全等软硬件资源池及封装后的多种IaaS服务组成,这些资源可直接被云服务用户使用,也可组合支撑更复杂的业务场景, 用户可在IaaS服务基础上部署和运行包括操作系统和各种应用软件。
PaaS层应为客户提供部署、管理和运行应用程序的环境和服务,应提供应用框架、中间件及相应的部署和管控等能力,同时PaaS还应提供代码管理、编译打包、发布部署、持续集成和持续交付等开发运维一体化服务。
SaaS层主要包括安全生产、内部管理和外部服务,云服务提供商宜结合智慧城轨云业务场景提供应用类服务。
基础设施即服务(IaaS)
虚拟化的基础资源
IaaS 服务
平台即服务(PaaS)
PaaS应提供数据库服务、大数据服务、中间件服务,也可为内部管理网、外部服务网提供容器服务和微服务。
数据库服务
大数据服务
中间件服务
通用组件服务
其他服务
软件即服务(SaaS)
SaaS层为用户提供工具型和管理型的应用。应满足移动化应用,提供即时通讯、服务消息推送、LBS签到等服务功能,应整合各类数据支撑智慧城轨大数据运营分析系统。
云计算平台部署
数据中心级云计算平台
数据中心级云计算平台应包含云管理平台、资源管理平台、虚拟化或容器等组件,支持智慧城轨云服务保障和云服务编排。
数据中心级云计算平台应能够实现下列功能:
数据中心级云计算平台部署应遵循下列原则:
站段云节点
站段云节点通过站段网络与数据中心云计算平台进行数据信息交换,站段云节点应包含虚拟化或容器组件。
站段云节点部署应遵循下列原则:
云计算平台管理
IaaS管理
云计算平台可监控并查看云计算平台上虚拟机和物理机的运行状态,采集虚拟机和物理机的CPU利用率、内存利用率、网络IO、硬盘IO和硬盘利用率,对采集到的数据,以曲线图、直方图等图形方式展现,为管理员进行优化决策提供依据,对这些指标设计门限值,超过一定门限的给予告警提示信息,对IaaS层的优化给予建议。
云计算平台可监控并查看各个组件服务的运行状态;
云计算平台可依据基础硬件资源的部署整合形成多级资源池,各类型资源池向上提供开放管理接口接入到资源池管理平台,由资源池管理平台完成该数据中心内所有基础设施资源的集中管理、调度、运营、监控。
云计算平台应实现对各类资源的调度、编排、弹性伸缩等能力,提供对多数据中心的统一监控能力,包括监控、告警、日志等的管理。
云计算平台应支持用户自定义条件查询日志,并可按条件查询日志统计情况,查询条件包括但不限于时间段/分钟/小时/天。
云计算平台对IaaS层云计算资源进行统一管理,功能包括:
云计算平台可支持计费管理,支持多维度的资源成本统计,以统计报表等形式进行展示。
PaaS管理
宜构建统一云管理平台,整合云服务管理、资源管理、运维管理等功能,为IT运维、虚拟化资源及云服务的统一管控提供技术支撑。
应兼顾既有IT环境,可采用松耦合的云管理平台,将虚拟化资源、物理机等既有IT资源环境进行纳管。
构建开发运维一体化环境,持续集成、持续交付和在线的灰度升级。
SaaS管理
SaaS管理应遵循业界通用云计算及容器计算中的标准范式,实现应用的自动化部署及跨机器运行的统一管理。应考虑应用上线管理、软件服务生命周期管理、数据隐私安全管理等传统管理机制。
运维管理
云计算平台的运维管理主要包括告警管理、容量管理、性能管理、拓扑管理、报表管理、监控管理、角色管理、门户管理等。
告警管理功能包括:
容量管理功能包括:
性能管理功能包括:
拓扑管理功能包括:
报表管理功能包括:
监控管理功能包括:
门户管理功能包括:
知识库管理
应根据默认值和历史值预判,提供资源分配决策。
应根据历史项目构建实例库及实例经验模板,辅助项目上线。
应支持多种资源调度策略,根据应用特点及属性等进行资源匹配。
应根据历史问题进行故障统计和问题分析,可为优化云平台相关部署策略提供辅助决策。
数据平台
总体要求
数据平台架构应满足下列要求:
数据平台应满足下列信息安全的要求:
数据平台应提供高效的传输引擎,负责完成具体的数据传输任务,并提供与数据传输有关的功能组件,包括但不限于高速传输协议、任务调度组件、资源索引服务、文件处理组件、传输控制接口、操作和管理接口等。
数据平台应提供多种数据传输方式,包括但不限于socket方式、ftp/文件共享服务器方式、数据库共享数据方式、message方式等
各业务系统应根据数据平台的数据共享、数据规范、数据传输的要求,将业务系统中宜共享的数据传输至数据平台集中存储;其余数据由各系统分散保留各自存储。
数据平台架构
数据规范
数据规范用于规范数据平台内部数据,相关应用系统内部是否采用相关数据规范由系统自行决定。
数据规范应满足下列要求:
元数据规范
数据元规范
数据采集
数据来源
数据平台应采集来自智慧城轨内部、外部的各类数据资源,包括:来源于安全生产网、内部管理网、外部服务网中各业务系统的数据,第三方数据平台提供的数据,以及从互联网采集的数据等。
数据平台的数据来源包括但不限于运营生产系统、运营管理系统、企业管理系统、建设管理系统,各业务系统共享的基础数据参照附录A的规定。
采集策略
数据接入
应支持多种数据源的接入。数据平台应能够支持多种数据源接入适配能力,能够平滑迁移不同来源的数据,以实现海量异构数据资源的整合。
应支持多种数据类型的接入。数据平台支持的数据类型应包括结构化数据、半结构化数据、非结构化数据、流式数据等。
应支持多种数据抽取方式。针对不同数据源,数据平台应采用相应的数据抽取形式,以满足不同数据的采集需求。应支持对数据进行全量抽取和增量抽取,以保证数据能够及时同步与更新。更新频度可自定义配置,以满足数据抽取时效性要求。
数据处理
进入数据平台的数据必须是经过标准化处理后的数据,且宜在数据源头、采集过程中进行处理。
数据平台宜引入数据预处理,对数据的组织、数据的表达形式、数据的位置等进行一些前置处理,以提升数据质量,使得后继数据处理、分析、可视化过程更加容易、有效。数据预处理宜包括数据清理、数据集成、数据归约与数据转换等。
数据平台应提供统一的数据资源调度与服务功能对外提供数据处理与访问。
数据平台应提供多种数据处理技术框架,包括但不限于:批处理计算框架、分布式内存计算框架、分布式流计算框架、实时计算框架、准实时计算框架、中文分词处理框架等。
采集要求
宜通过大数据集成系统支持多源、异构、海量数据的高效集成,实现数据的获取、清洗、转换、装载,为数据平台的数据仓库建设提供能力支持。
数据平台应提供统一监控体系对数据采集的全流程进行监控,包括数据源状态的监控、数据抽取任务的执行状态、数据抽取作业的资源占用情况、数据存储的完整性等。
针对不同的数据源应使用不同的采集工具,根据选择的数据源的类型,平台能够自动为数据源分配不同的采集工具进行抽取,最大化对数据源的抽取效率。
采集数据时,宜采用多线程方式并行进行作业,以达到高性能的工作方式。
平台支持多种数据源,应包括Oracle、MySQL、DB2、SQL Server、PostgreSQL等大部分主流关系型数据库,还应支持Hadoop平台的Hive等。
数据存储
数据平台需提供混合存储能力,应支持结构化、非结构化、半结构化数据的存储,支持对原始数据文件的分布式存储,支持文本、键值对、对象等多种数据特征的数据存储,满足复杂数据源类型的存储需求。
存储策略
数据平台应按照预定的数据采集策略,对不同数据源的数据类型进行分别存储。
数据平台应采用混合存储技术架构,RDB数据库宜用于存储业务数据,MPP数据库宜用于存储海量结构化数据及专题分析数据,Hadoop平台宜存储用于分析挖掘的海量结构化与非结构化数据,其他情况应根据数据的作用、特性、应用场景选择最有效的存储方式进行存储。
存储分区
数据存储逻辑上宜分为临时交换区、历史数据区以及大数据仓库区。
临时交换区位于各业务系统的前置机交换区,分布在生产网、内部管理网、外部服务网中,用于同步业务系统中的各类数据,存储方式宜与生产库保持一致,交换方式应包括定时同步、实时推送。宜由生产方制定数据同步、推送策略,主动将数据推送至前置机,以此保证生产库的性能、安全性不受外界影响。
历史数据区宜用于历史数据的存储与归档,历史数据区宜采用混合存储架构。应满足下列功能:
大数据仓库区应以面向数据服务、业务应用为目标,实时同步临时交换区的数据,将来自多种数据源中的相关数据进行提取、融合、梳理,整合成一个数据集,此数据集宜是独立的和灵活的实体,可随数据源的变化进行重组、调整和更新。大数据仓库区宜采用混合存储架构。
分级存储
分层存储
存储技术
存储要求
数据服务
数据平台的各类数据宜以接口的方式对外提供服务,上层应用、第三方系统通过数据服务接口访问平台的数据,以实现平台数据资源的透明化访问。
数据服务接口
数据服务要求
数据分析与挖掘
支持数据实时查询与分析,支持多种过滤、聚合和查询等类。
支持与搜索引擎配合,进行搜索分析与图形化展现。
提供“开箱即用”的算法引擎。
数据可视化展现
支持多种异构数据源,包括SQL Server、Mysql、PostgreSQL、MongoDB、ORACLE等。
提供对关系型数据库、NoSQL数据库联合访问大数据的服务,通过标准SQL界面话查询分析接口进行各种查询和分析。
支持可视化自定义报表,可通过拖拉拽的方式将可视化的查询组合成用户自定义的报表,并可进行分享、保存、打印等。
数据交换
宜通过数据平台的共享交换模块建设为智慧城轨各业务部门提供交换服务、共享服务、应用服务以及目录服务,实现运营生产网、内部管理网、外部服务网中各业务系统数据的交换共享,并为重点业务应用提供跨地区、跨部门的数据共享交换支撑。
数据共享交换模块的功能应符合下列要求:
数据共享
数据共享是数据平台的核心与基础,用于存储生产网、内部管理网、外部服务网中业务系统的数据,为各上层应用提供基础数据共享服务,为各专题库提供基础数据支撑。
数据共享模块在设计上应尽量贴近源头数据,宜与各生产系统源头保持一致,并实现数据准实时更新,以提高数据的鲜活性。
数据共享模块技术架构宜基于MPP数据库+RDB数据库的架构,以增强对大数据的支撑能力。
智慧城轨业务系统之间的数据交换宜采用多种数据共享模式并符合下列规定:
数据资源目录子系统
数据资源目录子系统应向用户提供目录内容查询检索服务,并符合下列规定:
资源目录编目应符合下列规定:
资源目录注册
资源目录管理
共享业务管理
数据资源服务
数据资源交换子系统
数据交换系统是数据共享交换的核心部分,面向多个部门的公共需求,为多个端交换节点提供一致的信息资源的交换系统。支持结构化数据和非结构化数据的交换,也支持实时和非实时数据的交互,并采用多种方法保证共享数据的有效性、准确性、一致性和完整性。
数据交互系统基于目录服务和数据服务利用灵活可配的数据交互策略,对海量的数据进行采集,通过对数据进行比对、清洗、过滤、安全处理,然后分发给业务部门使用。
数据交换系统应具备数据同步统计功能、平台运行情况监控的能力。
数据交换中控
数据交换网关
数据交换服务
数据整合服务
数据质量服务
数据交换监控
数据安全
应具有完备的访问控制与服务授权,实现用户、数据、通信层的多级控制,以及基于服务接口的授权管理,用户只能在权限范围内进行操作。
应制定严格的审批流程,以保证平台数据的受控流出。
应进行严格的权限控制,以保证用户仅能获取授权数据。
应保存完整的数据操作日志,支持细粒度的服务调用审计。
应提供新型的交换模式,通过服务接口实现应用与数据的隔离,加强数据安全管控,以保证敏感信息不被泄漏。
应进行数据加密传输,防止数据传输过程上被截获,支持传输级的保密性、消息完整性和客户身份验证。
共享数据
平台部署与运维
应提供平台整体集群和资源的图形化监控和管理功能,包括但不限于集群管理、自动伸缩和故障迁移、自动化运维、日志分析、权限管理等。
提供界面化的集群和资源监控功能,支持能够提供集中式统一管理控制台,能够进行集群管理与资源监控,应具有集群运行状态实时监控和实时报警等能力。
支持大数据服务开箱即用,支持Hadoop组件包括hadoop,spark,hive等一键部署。
数据平台支持高可用和弹性扩展,能够自动响应,将服务迁移到正常运行的主机上,业务不中断不停机。
网络
总体架构
网络划分
根据应用、管理及安全防护等级的不同,信息系统网络划分为安全生产网、内部管理网、外部服务网。各业务系统根据其业务属性分别部署在安全生产网、内部管理网、外部服务网中,见图2所示。
安全生产网主要用于安全生产及管控、运输指挥、应急指挥调度业务相关系统的数据通信及数据共享。与行车安全密切相关信号系统安全网可设置独立专网。
内部管理网主要用于企业管理、运营管理、建设管理、资源管理等企业信息化相关业务系统的数据通信及数据共享。
外部服务网主要用于门户网站等相关面向外部或公众的业务系统的数据通信及数据共享。
网络构成
应由数据中心网络,骨干传输网络、站段局域网、车地无线通信网络、车载网络五部分组成。
数据中心网络、站段局域网应划分为安全生产网、内部管理网,外部服务网。
内部管理网与外部服务网之间应采用相应级别的强隔离技术;安全生产网与内部管理网之间应采用逻辑隔离技术;智慧城轨与Internet的信息交互应统一由外部服务网出口,应部署网络边界防护、入侵防御检测、WEB应用防护、DDOS流量清洗等安全措施。
车地无线通信网络网根据业务承载需要,可采用LTE\WLAN等技术。
车载网应满足抗震、电磁兼容性要求,若同时存在安全生产和外部服务业务,应独立部署。
应构建独立的带外管理网,统一管理安全生产网、内部管理网、外部服务网。
网络要求
数据中心网络
网络宜按照核心层、接入层二层结构设计。
SDN控制器应基于开源架构,支持与业界主流云计算平台对接,支持VMware、KVM、Hyper-V等业界多种虚拟化平台对接。在SDN控制器界面支持基于租户、业务链和终端组的应用网络拓扑以图形方式展示。
应提供标准的接口供第三方软件调用,应满足用户对设备开放性和灵活性的要求。
应支持主流Fabric技术,应支持VxLAN二层功能和三层功能,能够支持不同VxLAN的隔离。
应支持通过标准协议实现隧道自动建立。
应支持虚拟机智能感知,虚拟机可按照网络策略自动部署和大范围快速迁移。
应支持横向和纵向虚拟化,支持一虚多和多虚一技术,支持一虚多和多虚一技术组合使用。
应支持二层多链路技术,能够在多台设备间基于多条二层链路进行负载均衡和冗余保护,实现业务的二层多路径同时转发;在二层多路径域内,能够支持三层网关的双活或者多活,以同时实现三层流量的多路径转发。
应支持链路和节点故障BFD检测,并在检测到故障时能够执行预先设定的动作进行保护切换。
数据中心网络设备主控、监控、交换、电源等关键板卡冗余热备,具备热插拔能力,应支持ISSU不间断升级,支持前后风道散热。
骨干传输网络
骨干传输网络宜按照线网骨干层和线路骨干层二级架构设计;宜采用环网结构,支持单环、相切环、相交环等多种拓扑结构。
线网骨干层传输系统应提供不少于100Gb/s速率的线路带宽。线路骨干层传输系统宜提供40Gb/s速率的线路带宽,并具备扩展至100Gb/s及以上速率的能力。
安全生产网、内部管理网、外部服务网可共用线路和线网骨干传输网络。线路骨干网和线网骨干网应通过TDM等时隙或波段隔离技术,对安全生产业务、内部管理业务和外部服务业务进行相应级别的强隔离。
在OCC控制中心、车辆段应设置骨干层传输节点,用于各线路数据统一上传至云数据平台。
在车站、车辆段、停车场、OCC控制中心宜设置线路传输节点,用于各车站安全生产业务上传到控制中心。
骨干传输网应具备TDM业务及以太网业务的能力,应至少支持E1\FE\GE\10GE等类型业务接口。
骨干网络采用的设备应具有模块化结构,应能进行扩容、升级和重新配置。
骨干网络应支持物理层、同步以太时钟同步,实现端到端的时钟同步,满足各应用系统时间同步要求。骨干网络应支持1588V2时间同步协议。
传输环网中任何节点和链路的故障倒换时间在50ms以内,切换时应不影响正常使用。
传输环网设备应支持关键板卡冗余备份,单一节点设备的失效,应不影响其它站点正常通信。
骨干传输网络的端到端时延应不大于250ms。骨干网络的传输时延抖动上限值应不大于50ms。以太网业务丢包率上限值应不大于1×10-3。
站段局域网络
根据用户分布及规模,站段局域网可按汇聚层、接入层分层设置;网络路由交换、保护倒换等协议采用国际标准协议和接口,严禁采用私有协议。
安全生产网汇聚网络设备应支持横向和纵向虚拟化,支持一虚多和多虚一技术,支持不同速率接口划分到同一个虚拟网络设备。
ISCS、ATS、AFC等系统站段接入网采用双网冗余,可根据承载业务实际情况,采用星型或环型组网。
门禁系统车站接入网应构建二层环网,二层环网通过标准协议收敛,链路或节点故障情况下的收敛时间不大于50ms。
视频监控系统、乘客信息系统、门禁等系统可根据需要经由交换机汇聚后接入车站汇聚交换机,或直接通过光口接入到汇聚交换机。
公务和专用电话系统网关、分机、调度台、值班操作台等由接入层交换机汇聚后接入车站汇聚交换机。
站段内部管理网设置应符合下列要求:
站段外部服务网设置应符合下列要求:
车地无线通信网络
安全生产网车地无线通信系统承载CBTC信号业务、列车紧急文本下发业务、列车运行状态监测业务、车载IMS、车载PIS、集群调度等业务。系统制式应符合下列规定:
外部服务网宜设置独立WLAN车地无线网络;车地WLAN无线网络不应影响生产运营。
LTE-M车地无线网络建设应符合T/CAMET040061、T/CAMET040062、T/CAMET040063、T/CAMET040064和T/CAMET040065的规定;
WLAN车地无线网络应支持802.11ac和802.11ax等标准。
车载网络
车载网络建设应采用M12接口,抗电磁干扰能力满足GB/T 24338.4和GB/T 24338.5的相关规定;抗振动抗冲击设计满足GB/T 21563标准要求。
车载网络应预留专有通道,传输涉及到行车安全的IMS信息和PIS信息。
列车内部宜设置独立的车载WLAN,应满足IEEE 802.11ac和IEEE 802.11ax等的相关规定,满足乘客上网需求;车厢WLAN无线网络部署前应做好抗干扰测试,不影响生产运营。
网络管理
网络管理系统应采用中文界面,界面应简明、直观、图形化,网管系统应支持Windows或者Linux操作系统。
网管应提供基于标准协议的北向端口,可与上层网管或第三方互连互通。
网管系统应该能支持Web界面统一管理。管理员可在任意维护终端上通过WEB界面的方式进行集中管理。
网管系统应提供故障管理、配置管理、性能管理、QoS管理、安全管理、日志管理等功能。
IP地址规划
IP地址规划原则
IP地址的规划需要遵循下列原则:
IP地址规划分配管理
应依据网络区域划分原则,结合线网结构与系统平台架构,按照路网级和线路级的业务管控关系对IP地址网段进行统筹分配,IP地址的划分参见附录B。
线网级和线路级系统设备应分别采用RFC1918规定保留的B类私有地址段和A类私有地址段。
线路级设备与路网级设备间应采用路网级系统设备IP地址分配原则进行互联互通
网络区域间系统设备接口互联宜采用安全级别较低的系统设备IP地址分配原则进行配置。
多线共用的场段和站点按其接入网的所属线路进行IP地址分配。
安全生产网路网级系统设备宜按照综合监控、车辆智能运维、线网运营指挥中心、专用电话、门禁、地面PIS终端、AFC系统等功能应用进行部署分配。
内部管理网路网级系统设备宜采用私有IP地址段,按照运营管理、企业管理、建设管理、资源经营管理等四类应用进行部署分配。
对外服务网的系统设备宜采用私有IP地址段,按照乘客服务、智慧出行、智慧商务、物流管理、视频监控、公务电话、互联网票务、PIS车地无线及车载的应用类型进行分配。
管理网的系统设备宜采用私有IP地址段,按照的系统功能类型进行分配。
内部管理网线路级系统设备宜采用私有IP地址段,并按照其所属线路和组织机构予以分配。
安全生产网线路级系统设备和终端宜采用私有IP地址段。
信号专网线路级系统及其所属终端应按照所属线路和系统,并采用私有IP地址段予以分配。
数据中心及环境要求
数据中心
宜设置城轨数据中心,并采用同城异地模式至少设立一个数据灾备中心,数据中心之间宜采用大带宽、低时延的网络通道,实现各数据中心数据的实时同步。
数据中心服务器设备、存储设备、网络设备、安全设备、机柜(架)、电源供电、温湿度控制、防火设施、智能化系统等应满足系统运行管理、人员操作和安全、设备和物料运输、设备散热、安装维护、大修更换、技术改造等。
数据中心内的计算资源池、网络资源池、存储资源池以及云管理平台等模块应采用冗余部署。
数据中心环境要求
机房等环境要求应符合GB50174-2017中A级标准的规定。
供电应符合GB50052的规定。
防静电设计应符合GB50611的有关规定。
防雷和接地应满足人身安全及电子信息系统正常运行的要求,并应符合GB50057和GB50343的有关规定。
主机房和辅助区内的温度、湿度等环境要求应符合国家标准GB 50174、GB 50019和GB50189的有关规定。
建筑灭火器的设置应符合GB50140的有关规定。
智能化系统
应设置总控中心、环境和设备监控系统、安全防范系统、火灾自动报警系统、数据中心基础设施管理等智能化系统。
智能化系统由集中管理层、本地监控层、监控设备层构成,并符合下列规定:
运维体系
运维管理体系应符合GB/T 24405.1和GB/T 24405.2的规定。云化数据中心的运维应兼顾传统数据中心的运维方式和工具,遵循ITIL服务体系框架,对IT服务流程进行平台化管理。
云计算平台应配置专业的运维信息系统,为了减少运维人员的操作复杂度, BIOS支持中文界面,宜采用配置管理库,采用集中部署、云化部署对云和非云信息进行实时监测,实现运维的可视化、智能化。
为避免运维人员误操作导致整个平台不可用,宜同时建设带内管理与带外管理系统。
应根据运营维护需要设置维护机构,宜采用集中管理、综合维修的模式,维护机构设置可参照附录C。
运维机构应配置运维经理、技术主管、质量安全主管、运营团队、维护团队和质量安全团队,可根据实际系统配置增加灾备系统运营人员,在确保系统安全的前提下提高运营维护的效率。
运维机构应对云计算平台的运维进行全方位、全过程的规划、组织、控制和协调,并整体考虑云计算平台系统团队培训,确保人员能力满足运维需求
运维机构宜包括硬件维护团队、云计算平台软件维护团队和软件运维测试团队,分别负责云计算平台的硬件、云计算平台软件(包括大数据平台软件)和既有各专业软件维护及新软件上线前的测试。
运维流程不仅应满足云计算平台及数据中心自身的特点,还应兼顾使用者、管理者和审计的需求。通过运维流程规范运维人员的工作,减少系统运行、升级、变更带来的风险。维护流程可参照附录C。
运维机构宜设置管理类制度,满足对运维体系文件、配置变更、信息安全、人员、安全、供应商等进行管理的需求
运维机构宜设置质量类制度,满足系统、设备及环境巡检、安全操作、设备清洁及保养、系统计划维护、软件升级管理、系统报警信息记录及检查、系统设备功能及相关业务测试、系统各种报警受理、排查、解决记录等质量需求。
运维机构宜设置服务类制度,满足新系统、新业务开通、系统更新、改造、配合及运维交接、系统维护指导及培训、会议管理、应对突发重大事件、基础技术资料核查、重大活动及节假日运维保障等服务类活动的需求。
应对运维事件进行分级,对不同级别的事件应有不同的处理时间和解决时间要求,并采用不同的跟踪和升级方法。
运维机构宜配备基本的日常必要工具和满足等级保护要求的必要工具,各部门应对设备供应商提供的管理配置工具建立台账,报信息安全管理职能部门备案。管理配置工具应安装在专门的网管终端上,不得擅自修改。应防止软件丢失、扩散和病毒侵害。
(规范性附录) 基础数据
主要基础数据编码
数据唯一标识编码规范
地理位置编码规范
运营公司编码规范
线路编码规范
车站编码规范
可用系统编码规范
资产信息编码规范
人员信息编码规范
主要基础数据
自动售检票系统
视频监控系统
视频
设备
视频分析
人脸
订阅
信号系统
列车信息
站场状态
运行图信息
报警信息
车辆网络控制与诊断系统
车辆状态及诊断信息
门禁系统
基础性信息
业务系统核心维护信息
设备产生信息
乘客信息服务系统
综合监控系统(ISCS)
FAS设备
BAS设备
PSCADA设备
智能电表设备
指标数据集
自动售检票系统
视频监控系统
信号系统
门禁系统
乘客信息服务系统
综合监控系统
(资料性附录) IP地址划分
每个VLAN宜分配1个C类地址, VLAN号宜与对应C类IP地址的x.x.x.x/24中第三段一致。
安全生产网路网级系统设备宜采用172.16.0.0/16至172.21.0.0/16的六个B类网段,按照综合监控、车辆智能运维、线网运营指挥中心、专用电话、门禁系统、PIS系统、AFC系统等功能应用进行部署分配。
内部管理网路网级系统设备宜采用172.22..0/16至172.23.0.0/16的两个B类网段,按照运营管理、企业管理、建设管理、资源经营管理等四类应用进行部署分配。
外部服务网的系统设备宜采用172.24.1.0/24至172.29.254.0/24的六个B类网段,按照乘客服务、智慧出行、智慧商务、物流管理、视频监控、公务电话、互联网票务、PIS车地无线及车载等应用类型进行分配。
管理网的系统设备宜采用172.30.0.0/24的B类网段,按照的系统应用类型进行分配。
内部管理网线路级系统设备宜采用10.1.1.0/24至10.50.254.0/24的C类网段,并按照其所属线路和组织机构,分别在第二位和第三位予以分配。
安全生产网线路级系统设备和终端宜采用10.101.1.0/24至10.150.254.0/24的C类网段,并按照其所属线路和系统,分别在第二位和第三位予以分配。
信号专网线路级系统及其所属终端应按照所属线路和系统,并采用10.201.1.0/24至10.250.254.0/24的C类网段予以分配。
(资料性附录) 运维流程及制度
组织结构
人员安排
运维经理
技术主管
质量安全主管
运营团队
维护团队
硬件维护团队可设立中心维护组和线路维护组,每个组根据维护区域的大小配置若干名硬件设备巡检工程师,职责可包括下列内容:
云计算平台软件维护团队可设立云计算平台维护组和大数据中心维护组。
云计算平台软件维护测试团队可包含若干软件测试工程师,职责可包含下列内容:
质量安全团队
质量安全团队设置若干质量安全管理工程师,接受质量安全主管的领导,职责可包括下列内容:
运维流程
运维管理总流程
日常监控流程
问题处理流程
数据质量改进流程
可急预案流程
故障处理流程
软件割接上线流程
硬件设备扩容流程
需求变更流程
运维制度
管理类制度
运维体系文件管理制度:可含文件目录管理制度、文件命名制度,文件建立及提交制度、文件更新制度、文件变更制度、文件废除制度等。
配置变更管理制度:可含配置数据修改风险评估、配置变更汇总等方面。
信息安全管理制度:可含运营管理操作规程、变更方案管理、安全状态监控、安全事件处理和可急预案、安全检查和持续改进、第三方安全评测等。
资产管理制度:可含设备及系统台账、运维计划、故障维修、设备更换、采购、备品备件管理、库房管理等。
人员管理制度;可含岗位职责表、奖惩条例、员工卡管理制度、人员聘用制度等,其中对于被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核,有犯罪前科的不得进入智慧城轨信息安全管理职能部门工作。
安全管理制度:可含安全责任落实、设备区域可急事件处理、安全隐患排查、可急预案管理及演练、可急预案执行、安全区域出入管理、安全施工管理等。
供可商管理制度:供可商提供的产品和服务可确保能正常生产和运营,并在产品价格、质量、服务等方面提供合理优化与提升。供可商管理指标包含质量指标、成本指标、安全指标、按时交货率指标、服务指标、技术指标、后评估。
质量类制度
系统、设备及环境巡检制度:巡检范围可包含系统运营所涉及的所有地方,对系统、设备及环境的巡检计划和检查内容可满足运营需求,且详实、可操作。
安全操作制度:包含软件安全操作、硬件安全操作等。
设备清洁及保养制度:包含专用维护工具使用存放、硬件系统检测及维护维修、硬件及专用机房清洁服务、备品备件使用等。
系统计划维护制度;维护计划包含云计算平台、大数据等系统,系统维护不能影响系统的正常运行,例行维护计划可先审批后执行。
软件升级管理制度:软件升级包含云计算平台、大数据等系统,系统升级不能影响系统的正常运行,软件升级前需提供软件测试报告、升级方案(可含可急预案)、升级计划、光盘等交付物,待计划审批后方可执行。
系统报警信息记录及检查制度:系统报信息记录详细全面,不能有遗漏;
系统设备功能及相关业务测试制度:功能及相关业务测试具备周全的计划和完整的方案,需明确测试的项目及需要达到的目标,并满足系统运营要求。
系统各种报警受理、排查、解决及记录制度:系统报警受理满足7*24小时,报警受理率达到100%,响可时间不可超过5分钟;需迅速完成报警分析、排查及定位;现场处理需提供备件先行及应急情况处置等;系统设备完好率不可低于99%;可定期对运维设备的故障情况进行汇总分析,并有完善解决措施,逐步减少设备故障率。
服务类制度
新系统、新业务开通制度:在确保系统安全运行的前提下实现新系统及新业务的开通,开通前可提供系统/业务测试报告、系统运行风险评估及可急处理方案等,新系统、新业务开通需先审批后执行,并且满足运营单位的相关条例。
系统更新、改造、配合及运维交接制度:需满足运营单位相关要求及规范,交接文件全面真实的反映所存在的问题,记录的信息不可有遗漏。;
系统维护指导及培训制度:需满足运营单位相关要求及规范,维护指导及培训满足运营单位要求,不可有遗漏。
会议管理制度:满足运营单位相关要求及规范。
应对突发重大事件相关制度:可编制完备的设备设施应急预案,预案应先审核批准后实施,并定期进行演练,总结并完善。对突发事件应迅速响可,快速执行,减少损失,处置完毕后,迅速开展恢复工作。
基础技术资料核查制度:每年可进行不少于一次的基础技术资料核审。
重大活动及节假日运维保障制度:满足运营单位的要求和规范。
事件级别定义
事件级别定义至少宜包含四级。
符合下列情况的事件为一级事件:对业务有至关重要的影响(包括即将发生和已发生):系统完全丧失了服务功能,工作无法再继续进行。主要指可用系统及IT基础设施完全不可用,或系统丢失数据且无法恢复、业务数据批量出错。
符合下列情况的事件为二级事件:对业务有严重的影响(包括即将发生和已发生):系统已经丧失了或可能导致丧失重要的服务功能,或系统丢失了业务数据且可以恢复。
符合下列情况的事件为三级事件:对业务有较小的影响(包括即将发生和已发生):系统丧失了较少的服务功能或丢失了较少的资源,系统正常但业务功能慢或个别用户某些业务功能不能使用。
符合下列情况的事件可为四级事件:对业务没有影响,用户工作正常,没有因为该事件的存在而妨碍其工作。
根据运维事件的发展和对业务造成的影响,低级别事件可升级为高级别事件。
不同级别的事件可有不同的处理时间和解决时间要求,采用不同的跟踪和升级方法。
维护工具配备
维护工具包括硬件维护工具和维护工具软件,维护工具软件又包括设备供可商配套提供的管理配置工具软件和因维护管理需要另行采购的维护工具软件。
可配备基本的日常必要工具,如数字万用表、网络分析仪、网络端接工具等,对于与数据中心光、电缆方面的融、接工作可有其他维护工区完成。
数据中心根据安全等级保护要求,可配备数据刻录机、大容量备份磁盘、DDS和LTO类磁带、数据恢复软件以和系统恢复软件。
各部门可对设备供可商提供的管理配置工具建立台账,报信息安全管理职能部门备案。
管理配置工具可安装在专门的网管终端上,不得擅自修改。可防止软件丢失、扩散和病毒侵害。
参 考 文 献
____________________________
[在此处键入]
ICS 45.020
中 国 城 市 轨 道 交 通 协 会 团 体 标 准
T/CAMET 标准号—2018
智慧城轨信息技术架构及信息安全规范
第 2 部分:技术架构
Specification for technical architectureand information security
of smart metro information system
Part 2:Technical architecture
(送审稿)
XXXX-XX-XX 发布
XXXX-XX-XX 实施
中 国 城 市 轨 道 交 通 协 会 发 布
T/CAMET 标准号—2018
目 次
前言
................................................................................ II
引言
................................................................................ IV
1 范围
............................................................................... 6
2 规范性引用文件
..................................................................... 6
3 术语、定义和缩略语
................................................................. 7
4 一般规定
........................................................................... 9
5 技术总体架构
....................................................................... 9
6 云计算平台
........................................................................ 10
7 数据平台
.......................................................................... 19
8 网络
.............................................................................. 29
9 数据中心及环境要求
................................................................ 34
10 运维体系
......................................................................... 35
附 录 A (规范性附录)基础数据
.................................................... 37
附 录 B (资料性附录) IP地址划分
................................................... 96
附 录 C (资料性附录) 运维流程及制度
............................................... 97
参考文献
........................................................................... 109
I
T/CAMET 标准号—2018
前
言
T/ CAMETXXXXX—2017《智慧城轨信息技术架构及信息安全规范》分为三个部分:
——第 1 部分:总体需求;
——第 2 部分:技术架构;
——第 3 部分:信息安全;
本部分是 T/ CAMETXXXXX 的第 2 部分。
本部分按照 GB/T 1.1-2009 给出的规则起草。
本部分由中国城市轨道交通协会提出并归口。
本部分起草单位:中国城市交通协会专家与学术委员会、华为技术有限公司、上海申通地铁集团有
限公司、新华三集团、东软集团股份有限公司、烽火通信科技股份有限公司、北京城建设计发展集团股
份有限公司、武汉地铁集团有限公司 、呼和浩特城市轨道交通建设管理有限公司、深圳市地铁集团有
限公司、中铁第四勘察设计院集团有限公司、中铁第一勘察设计院集团有限公司、武汉智慧地铁科技有
限公司、九次方大数据信息集团有限公司、交控科技股份有限公司、上海电气泰雷兹交通自动化系统有
限公司、上海富欣智能交通控制有限公司、南京熊猫信息产业有限公司、方正国际软件(北京)有限公
司、广州广电运通金融电子股份有限公司、北京和利时系统工程有限公司、上海宝信软件股份有限公司、
苏州华启智能科技有限公司、上海鸣啸信息科技股份有限公司、北京冠华天视数码科技有限公司、北京
市警视达机电设备研究所有限公司、达实智能股份有限公司、安朗杰安防技术(中国)有限公司、昆明
塔迪兰电信设备有限公司、海能达通信股份有限公司、中兴通讯股份有限公司、北京中兴高达通信技术
有限公司、成都鼎桥通信技术有限公司、无锡华云数据技术服务有限公司、广州擎云计算机科技有限公
司、上海华虹(集团)有限公司、苏州高新有轨电车有限公司
本部分主要起草人:李中浩、邢智明、张健、宋兰兰、黄天印、褚文斌、吴超、谢海洋、程华云、
何晶、洪婷、杨烨、黄曼全、王彪、王皓、李致兴、周训宙、许峰、简锐锋、高翔、张晴、张鹏、谢清、
宋维、智艳利、崔岩、彭勇、郝杉、刘波、秦旭东、滕晓峰、宋利敏、谭子毅、缪怀宇、刘伟、陈钢、
郑小龙、褚丽、蔡文涛、吴耀、吴晓华、赵旭彤、李志明、卢广志、谢文迪、黄立伟、么方、宋小莉、
II
王雪光、李海峰、李成、吴巍枫、张威、沈光亮、吴庆佺、张全明、鲁玉春、李勤超、徐皞、赵华、朱
松、代云华、赵敏杰、戴华、汪博峰、樊家明、陈先伟
T/CAMET 标准号—2018
III
T/CAMET 标准号—2018
引 言
随着国民经济的持续、快速、健康发展,新型城镇化战略的积极、稳妥、有序推进,我国城市轨道
交通跨入蓬勃发展的黄金机遇期。截至 2017 年 7 月,全国共有 58 个城市的轨道交通建设规划获得批复,
规划总里程达 9000 多公里。城市轨道交通高速化、密集化、多样化、网络化和智能化的特征日益显现。
当前,世界各国广泛采用以信息化促进城市轨道交通发展的战略,信息化已覆盖城市轨道交通的建
设、运营、管理、安全、服务等各个领域。我国强力推进“互联网+城市轨道交通”战略,信息化建设
也已进入到大规模开发和应用阶段。云计算、大数据等信息技术在城市轨道交通行业逐渐得到应用,自
动化、信息化和智能化已成为城市轨道交通发展的必然趋势。
为充分吸收、借鉴国内外信息技术,进一步规范城市轨道交通信息系统,弥补信息化规范缺失,创
新信息化体系建设,强化信息系统安全。工业和信息化部委托中国城市轨道协会,研究编制《智慧城轨
信息技术架构及信息安全规范》(以下简称:IT 架构规范)。
在编制《IT 架构规范》的过程中,遵循的总体要求、适用范围和实现目标如下:
1. 以两个“适应”体现《IT 架构规范》的总体要求。即:
适应当前城市轨道交通发展的态势,满足工程建设规模化,融资方式多样化,线网布局网络化,运
输制式多元化,运营方式智能化,支撑技术信息化的特点,助力城市轨道交通快速发展。
适应当前信息技术发展的趋势,创新 IT 总体架构,搭建云计算平台,挖掘大数据潜值,提升应用
水平,整合通信网络,强化信息安全,健全标准规范,使城市轨道交通信息化居于世界领先地位。
2.以两个“全覆盖”体现《IT 架构规范》适用范围。即:
全覆盖城市轨道交通体系的地铁、轻轨、单轨、有轨电车、磁悬浮以及市域铁路等运输制式,作为
指导各种运输制式信息化的技术标准。
全覆盖城市轨道交通体系的建设、运营、管理、安全、服务等各个领域,为全行业、全系统的信息
化进行统筹规划奠定技术基础。
3. 以助力智慧城市轨道交通发展体现《IT 架构规范》实现目标。即:
要在科学、先进、适用、安全的原则指导下,按轨道交通专业的特点和信息技术发展的趋势,编制
IV
《IT 架构规范》,为既有信息系统功能创新、系统升级,为研发具有智慧运营、智慧服务、智慧管理的
信息系统,为全面实现智慧城市轨道交通提供重要的技术支撑。
T/CAMET 标准号—2018
V
T/CAMET 标准号—2018
智慧城轨信息技术架构及信息安全规范第 2 部分技术架构
1 范围
T/CAMET标准号的本部分规定了智慧城轨信息系统的云计算平台架构、数据平台架构、
网络架构、物理基础设施的环境要求及运维体系。
本标准适用于城市轨道交通体系下的地铁、市域快轨、轻轨、单轨、磁悬浮等多种运输
制式的信息系统的规划设计、工程建设、运营管理和运行维护。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本
适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 14946 全国干部、人事管理系统指标体系与数据结构
GB/T 20988 信息安全技术信息系统灾难恢复规范
GB/T 21563 轨道交通机车车辆设备冲击和振动试验
GB/T 24338.4 轨道交通电磁兼容第 3-2 部分:机车车辆设备
GB/T 24338.5 轨道交通电磁兼容第 4 部分:信号和通信设备的发射与抗扰度
GB/T2659 世界各国和地区名称代码
GB/T2260 中华人民共和国行政区划代码
GB/T 33173 资产管理管理体系要求
GB/T 33174 资产管理管理体系 GB/T 33173 应用指南
GB 50019 采暖通风与空气调节设计规范
GB50052 供配电系统设计规范
GB50057 建筑物防雷设计规范
GB50140 建筑灭火器配置设计规范
GB5017 数据中心设计规范
GB 50189 公共建筑节能设计标准
GB50343 建筑物电子信息系统防雷技术规范
GB50611 电子工程防静电设计规范
GA/T 1221 中华人民共和国公共安全行业标准户籍管理信息数据项
CZJS/T********** 市域快轨交通技术规范
T/CAMET040061 城市轨道交通车地综合通信系统(LTE-M)总体规范
T/CAMET040062 城市轨道交通车地综合通信系统(LTE-M)接口规范
T/CAMET040063 城市轨道交通车地综合通信系统(LTE-M)设备技术规范
T/CAMET040064 城市轨道交通车地综合通信系统(LTE-M)测试规范
T/CAMET040065 城市轨道交通车地综合通信系统(LTE-M)设计、工程规范
IEEE 802.11ac 信息技术.系统间通讯和信息交换.局域网和城域网.专门要求.第 11 部分:
无线局域网媒介访问控制(MAC)和物理层(PHY)规范.修改件4:6 GHz 以下频带中运行高通量
的增强功能(Information technology. Telecommunications and information exchange between
systems Local and metropolitan area networks-Specific requirements. Part 11:Wireless LAN
6
T/CAMET 标准号—2018
Medium Access Control (MAC) and Physical Layer (PHY) Specifications Amendment
4:Enhancements for Very HighThroughput for Operation in Bands below 6 GHz)
IEEE 802.11ax 信息技术.系统间通讯和信息交换.局域网和城域网.专门要求.第 11 部分:
无线局域网媒介访问控制(MAC)和物理层(PHY)规范.修改件:高效无线局域网的增强功能
(Information technology.Telecommunications and information exchange between systems local
and metropolitan area networks.Specific requirements.Part 11: Wireless LAN Medium Access
Control (MAC) and Physical Layer (PHY) Specifications Amendment: Enhancements for High
Efficiency WLAN)
3 术语、定义和缩略语
3.1 术语和定义
下列术语和定义适用于本文件。
3.1.1
数据元data element
通过定义、标识、表示以及允许值等一系列属性描述的数据单元。在特定的语意环境中
被认定为是不可再分的最小的数据单元。
3.1.2
数据项data item
具有独立含义的最小标识单位。
3.1.3
数据类data category
描述同一对象(业务环节)的相关数据元素的集合。
3.1.4
数据子类data sub-category
数据类所描述的业务环节如可以再分解成若干相对独立的对象,则相对独立对象的相关
数据元素的集合称为数据子类。
3.1.5
数据集date set
本规范描述的所有数据元素的集合。
3.1.6
标识identifier
分配给数据元素的唯一的标识。
3.1.7
约束性binding character
数据元素需特别表示的规则。
7
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
