公安警务云白皮书.docx

公安警务云白皮书.docx

《公安警务云白皮书.docx》由会员分享，可在线阅读，更多相关《公安警务云白皮书.docx（20页珍藏版）》请在冰豆网上搜索。

公安警务云白皮书

公安警务云白皮书

一．前言

二．公安行业信息化总体要求

三．公安行业信息化现状

3.1计算机现状

3.2存储现状

3.3网络现状

3.4数据现状

3.5应用现状

3.6安全现状

3.7运维现状

四．公安信息化面临的挑战

4.1业务系统扩容、新建项目多，建设周期长

4.2资源利用率不高

4.3海量数据存储、处理、共享、分析能力不够

4.4运维保障支撑能力有限

4.5安全隐患增加

4.6警务预测能力不强

4.7惠民信息服务项目不多

五．公安信息化需求分析

5.1计算需求分析

5.2存储需求分析

5.3网络需求分析

5.4大数据分析需求分析

5.5安全需求分析

5.6数据整合需求分析

5.7运维管理需求分析

六．公安信息化总体方案

七．公安警务云基础架构解决方案

7.1公安警务云架构图：

7.2警务云基础架构设计理念

7.2.1计算（资源池）节点设计理念

7.2.2数据库服务器/内存数据库服务器设计理念（物理独立服务器，不在资源池里）

7.2.3Unix小型机迁移到x86服务器理念（物理独立服务器，不在资源池里）

7.2.4存储节点设计理念

7.2.5网络设计理念

7.2.6大数据基础架构设计理念

7.2.7虚拟化云管理平台设计理念

7.3警务云基础架构设计方案

7.4警务云最佳实践

7.5附录（XX公司系统现行应用不完全统计）

一．前言

目前，云计算已经成为互联网时代信息基础设施与应用服务模式的重要存在形态和新一代信息技术集约化发展的必然趋势。

随着公安信息化进程的强力推进，采用云计算、物联网、移动互联网和大数据等信息技术，建立全新、高效的信息技术（IT）资源运行管理服务体系，全方位服务应急指挥、侦查破案、治安防控、社会管理、惠民服务等各项公安工作，实现“信息警务”、“智慧警务”，已成为公安行业科技信息化未来发展方向，同时这也将成为构建各地“省”，“市”级“警务云”，“政务云”和“智慧城市”的重要组成部分。

二．公安行业信息化总体要求

2012年，公安部发布《关于贯彻落实〈全国公安装备建设“十二五”规划〉指挥信通装备建设项目的工作意见》，明确将云计算建设工作纳入信息化建设整体规划。

2014年4月22日，公安部科技信息化局网传下发了《关于下发<全国公安装备建设“十二五”规划>—指挥通信装备建设项目指导意见的通知》明确提出应用云计算技术完成对部省市三级公安信息中心改造，通过建设云平台建立全新、高效的信息技术资源运行管理服务模式的工作目标等。

2014年7月，公安部科技信息化局下发了《公安信息资源服务平台建设任务书》，提出以云计算、大数据处理等信息技术为核心建设公安信息资源服务平台，明确规定平台运行环境应充分运用包括虚拟化、分布式运算在内的云计算技术，确保基础运算、存储资源有良好的稳定性与可扩充性。

副省级城市和地级市公安机关应按照任务书要求，在省厅的指导下结合本地实际开展平台建设，并实现与省级平台对接。

三．公安行业信息化现状

3.1计算机现状

绝大部分采用x86工业标准服务器（IBM，HP，DELL,浪潮，，华为等），少部分关键应用采用小型机（IBM，HP为主）。

半数以上的设备已经过了厂商的保修期。

宕机风险高，修复时间长。

建设期为“一应用一机器”的做法，整体部署和实施过程周期较长，机器负载较轻，利用率低下，没有采用虚拟化云技术。

3.2存储现状

绝大部分采用国外品牌的集中式存储，以IBM，EMC，日历等为主。

但是以华为为首的国产品牌异军突起，在新项目中屡屡中标。

3.3网络现状

专网，涉密网，保密网。

网络安全等级保护。

公安专用三级千兆网络为主体，个别地区部分新建万兆网络。

3.4数据现状

建设期为”一应用一机器一数据库“，没有统一的规划，多种数据库品牌并存，数据不能互联互通。

没有数据共享，分析，预测能力。

3.5应用现状

由于没有统一的规划，不同时期，不同开发商开发的应用，整合难度大

3.6安全现状

建立公安专网，建立了预防监管系统、安全边界接入系统和网络防病毒系统等，建立了内控审计等安全措施。

关键应用采用双机热备技术，但利用率低下。

3.7运维现状

运维人才缺乏，运维手段落后，不能满足新形势的要求

四．公安信息化面临的挑战

4.1业务系统扩容、新建项目多，建设周期长。

传统的建设采用“一应用一系统”的做法，每个业务系统的新建或升级均需经过立项审批、政府采购、合同签订、设备供货、安装调试、系统部署等复杂的环节，面临各种不确定因素，整体过程周期较长，大大降低了系统的部署效率，严重制约着公安信息化的高效发展。

4.2资源利用率不高。

“烟囱式”的建设模式，导致服务器等设备CPU、内存等资源利用效率不高，使用未达到饱和，如CPU使用率一般不超过15%。

同时，各类公安业务系统接连上线，在设备利用率不高的情况下，反而因设备数量不断增加导致机房面积不断扩大，基础配套设施、电力等能源消耗成几何倍数增长，信息化建设投资性价比整体不高。

4.3海量数据存储、处理、共享、分析能力不够。

数据存储呈现爆炸式的增长，已无法解决海量数据的高效、安全存储，传统技术架构难以支撑对海量数据的查询比对和有效共享，数据处理、信息检索、数据共享效率逐步降低，不支持对海量数据的深度分析，无法完全实现对政府及业务警种的数据共享支撑，海量数据的价值没有得到有效挖掘。

4.4运维保障支撑能力有限。

受资金和原有建设模式的限制，绝大部分系统的服务器等都缺乏基于应用的备份机制，硬件一旦发生故障需要维修时，应用系统都要进行停机，传统技术所提供的安全、稳定、可靠运行的支撑力有限，还要承担数据丢失的风险。

4.5安全隐患增加。

应用部署、数据存储、网络架构越来越复杂，管理越来越分散，导致各层面安全隐患不断增加，安全问题已经成为发展过程中迫切需要解决的关键问题。

4.6警务预测能力不强。

受资金、技术、人才以及信息化应用意识、水平等因素的影响，在海量数据处理、挖掘分析等方面的能力不强，开展“预测警务”应用有限，离“智慧警务”的要求还有一定差距。

4.7惠民信息服务项目不多。

互联网虽已做出一些惠民信息服务的探索，但目前还存在着提供的服务内容不多、服务方式单一等突出问题。

五．公安信息化需求分析

5.1计算需求分析

1.建立x86服务器资源池，建立虚拟化云计算平台。

2.计算资源可以线性扩展，灵活调度。

3.每个计算单位的计算能力大小基本一致（避免单位的计算能力不一致，造成迁移风险）

4.X86物理机到虚拟机平台的迁移

5.小型机到虚拟化平台的迁移

5.2存储需求分析

1.建立存储资源池，灵活调度。

2.存储资源池可以线性扩展

3.容灾，备份功能

5.3网络需求分析

1.符合云计算，大数据要求的网络结构

2.建立三网分离，三网独立网络资源：

计算节点的数据网络，虚拟化迁移网络，管理网络的分离。

3.网路链路的冗余。

4.网络资源可以线性扩展。

5.4大数据分析需求分析

1.采用x86服务器，加上内置大容量硬盘，建立大数据资源池。

2.建立Hadoop架构的大数据平台

3.建立非结构化数据的采集，抽取，存储，分析，展现平台。

5.5安全需求分析

1.物理设备的安全

2.虚拟化云平台的安全

3.应用的安全

5.6数据整合需求分析

1.建立统一规范的基础数据库平台

2.各老旧的数据库的数据迁移，转换功能，

3.统一数据格式，完善落实数据管理和运维机制

5.7运维管理需求分析

建设完备的运维服务管理系统，整合机房基础设施、网络、系统、安全、应用以及虚拟化资源等各类运维监测内容，综合监控、统一运维和对外服务，实现统一展现、统一告警、统一流程处理和自动化运维管理。

运维服务管理系统应实现对云计算中心机房、云计算分中心机房和公安专网全网资源的统一运维、自动监控、故障预警处置等信息化管理。

六．公安信息化总体方案

采用云计算、物联网、移动互联网和大数据等信息技术，建立全新、高效的信息技术（IT）资源运行管理服务体系，

总体架构为“四横两纵”结构，其中四横为基础设施服务、平台服务、数据服务和软件服务四层服务架构，两纵为云管理和云保障两大体系。

具体逻辑架构图见图

1.基础设施服务层包括机房动力与环境、计算资源池、存储资源池、网络资源池，为上层服务提供云计算基础支撑服务。

2.平台服务层是在云计算环境中建立运行、测试、开发、培训等环境，为数据服务层以及应用服务层的开发、测试、运行提供平台支撑服务。

3.数据服务层引入大数据技术，在数据归集整合的基础上，提供数据共享、分析、挖掘，为上层应用提供数据支撑服务。

4.软件服务层将所有迁移到云计算中心的各警种业务应用进行发布，并根据新的业务需求，基于平台服务和数据服务开发新的应用，供全警使用。

云主体由四个服务层自下而上共同构成，提供包括软硬件、平台、数据以及应用服务。

5.云管理体系由云管理和云运维管理等内容构成，确保资源交付的敏捷性和灵活性，提升资源的使用效率；提供全网资源的统一运维、自动监控、故障预警处置等信息化管理。

6.云保障体系由云安全、云标准和云机制等内容构成，保障云平台的安全稳定运行。

七．公安警务云基础架构解决方案

7.1公安警务云架构图：

7.1.1.感知层

数据输入：

摄像监控，警用终端，北斗，无人机，监听，交通道口，RFID

7.1.2.IaaS

服务器，存储，网路，虚拟化，云平台，物理机/虚拟机管理

7.1.3.DaaS

人口/法人基础数据库，地理基础数据库，视频/音频/图片数据

7.1.4.PaaS

数据服务总线（ESB），操作数据存储（ODS）,中间件，工作流

7.1.5.SaaS

各应用系统：

交警/治安/户籍/情报分析/指挥/监狱/

7.1.6.接入层

公安内网，公安专网，外网（惠民工程）

7.1.7.安全/管理

物理设备的安全/管理，数据安全/管理，应用安全/管理，云安全/管理

7.2警务云基础架构设计理念

7.2.1计算（资源池）节点设计理念

●按服务器体积/高度分：

1U高度，2U高度，4U高度，8U高度

●按服务器处理器类型分：

Intel处理器（95%的市场分额），其他处理器（小余5%的市场份额）

Intel处理器是主流，建议选用Intel处理器

目前主流产品：

2路处理器：

Intel2600v3系列，

4路处理器：

Intel4600v2,4800v2系列，

8路处理器：

Intel8800v2系列

2015年下半年推出4路Intel4600v3,4800v3,8800v3

2016年会推出2路处理器：

Intel2600v4系列，

●按处理器个数来分：

1路，2路，4路，8路

2路服务器适合计算类场景

4路，8路服务器适合大吞吐量的应用场景

云平台资源池采用2路处理器。

●计算资源池建议采用体积小，节能，可管理，宜维护的机型

（1U服务器由于体积小，散热和扩展性较差）

●计算资源中的部件相互可以通用（如内存，硬盘，板卡等）

部分计算资源可以扩展到图像快速处理。

我们建议选用

●2U，2颗处理器的机型，采用更多核数的处理器（12核或18核），较大的内存（64GB或96GB），300GB*2，RAID1，2口8GBFC卡连接SAN存储，2口千兆网卡走数据，2口千兆网卡走虚拟化迁移，1口千兆网口走硬件管理，冗余电源，带安全芯片。

●可以扩展支持图像快速处理卡.

7.2.2数据库服务器/内存数据库服务器设计理念（物理独立服务器，不在资源池里）

●采用高性能，高可靠性服务器，如4路e7-4800v2处理器

●采用物理服务器，不使用虚拟化软件

●服务器内部部件冗余设计，亚健康报警

●支持大内存容量设计

●支持FlashDIMM

7.2.3Unix小型机迁移到x86服务器理念（物理独立服务器，不在资源池里）

小型机是采用RISC技术的处理器，运行Unix操作系统，目前IBM小型机采用PowerCPU,HP小型机采用Intel安腾处理器，国产浪潮小型机采用Intel安腾处理器。

IBMPower小型机有着较高的声誉和市场份额，IBMPower芯片目前也走向开放，有国产的Power芯片的小型机了。

由于Oracle放弃支持intel安腾芯片，所以安腾架构的小型机在走向衰落。

●小型机到x86服务器的迁移

Unix操作系统可以迁移到Linux,Oracle/IBMDB2数据库可以迁移到Linux,同时中间件也可以迁移到Linux，应用厂商，如SAP，金蝶，用友等也可以迁移到Linux。

Linux平台的稳定性也和Unix平台相同，见下图:

●x86服务器的选型

X86服务器中的堡垒机型：

采用4颗Intele7-4850v2处理器，256GB内存，96个内存插槽，8块300GB15KSAS硬盘，RAID5容错，带1GB缓存，4口千兆网卡，1口千兆管理口，冗余电源。

7.2.4存储节点设计理念

技术选型表

NAS

FC-SAN

IP-SAN

大数据存储

特点

成本较低，性能也较低，易部署，支持长距离、跨平台的共享文件服务器，可满足对访问性能要求不高的平台存放非系统类文件，例如大容量的音视频、办公文件资料、邮件备份文件、虚机镜像文件等。

高成本、高性能、高可靠性的块存储，满足核心平台的虚机文件系统和数据存储需求，一般配置SAS盘，性能要求不高的可配置SATA盘。

成本较低，性能和稳定性中等的块存储，满足非核心平台（例如一般应用平台）虚机文件系统和数据库存储需求。

以HadoopHDFS/HBase为代表的大数据存储系统，主要适合存储大文件（以G甚至T为单位的文件），文件存储的节点同时也是计算的节点（计算靠近数据），适合与作为大数据分析数据的存储。

系统架构

局域网+服务器+集中存储

服务器+FC交换机+集中存储

服务器+以太网交换机+集中存储

服务器+互联网络

应用场景

云资源池

大数据平台

鉴于对数据的安全性和可靠性要求高，经过综合分析，建议采用集中存储，采用FC-SAN方式，大数据平台的数据采用硬盘扩展能力较强的X86架构服务器，使用自身所带硬盘存储。

●RAID1，RAID10，还是RAID5，6

特点

冗余性

性能

成本

RAID0

数据分散写到不同的硬盘上

—

+++

+++

RAID1

数据同时写二份

++++

++

-

RAID10

数据同时分散写二份

++++

+++

-

RAID5

一个校验位

++

++

++

RAID6

二个校验位

+++

+

++

RAID0没有冗余性，RAID1，10成本高，容量利用率低，RAID6由于二个校验位，性能差，使用RAID5是一个平衡的选择。

我们推荐使用RAID5，RAID5有一个校验位，可以冗余一块硬盘损坏。

同时在RAID5以外，额外增加一块硬盘作为热备份硬盘，一旦某一块硬盘损坏，热备份硬盘自动rebuild（重构），修复数据。

●关于存储性能

存储的硬盘有SSD固态硬盘，SAS15K2.5英寸硬盘，SAS10K2.5英寸硬盘和NLSATA7.2K3.5英寸的硬盘。

他们的性能如下表：

SSD

SAS15K

SAS10K

SATA7.2K

IOPS性能

3，500

200

150

100

100块硬盘

20,000

15,000

10,000

为了性能和价格的平衡，建议配置总容量的5%为SSD硬盘，900GBSAS10K硬盘，如果预算有限，只能采用2TB，3TB或4TB的SATA硬盘。

比较高端的存储都有自动读写数据分层的功能，即把经常使用的数据存放在存储的缓存上，次常使用的数据存放在SSD高速硬盘上。

比较高端的存储都有“重复数据删除的功能”，把相同内容的数据存放一份拷贝，提高性能和提高硬盘的使用效率。

●集中存储硬盘优化：

一个存储机头可以带120个以上的硬盘，120个硬盘如何划分？

我们采用9块硬盘为一组（9块硬盘，8块硬盘容量存放数据，1块硬盘容量校验）,共108块硬盘，另外增加5块SSD固态硬盘作为加速,提供性能。

2块硬盘作为热备份。

如果采用900GBSAS10K2.5英寸的硬盘，一个集中存储提供86TB的容量。

7.2.5网络设计理念

目前的网络有千兆电口，千兆光口，万兆电口，万兆光口，四万兆口

千兆电口

千兆光口

万兆电口

万兆光口

传输速度

好

好

较好

较好

传输距离

短

长

短

长

价格

低

高

高

较高

1）计算资源端（即服务器端为千兆电口）

2）资源设备管理端为千兆电口

3）接入交换机上联端口为万兆光口

4）汇聚交换机/核心交换机为万兆光口

5）核心交换机为高速万兆光口

●按网段来分

整个云计算中心的内网接入层采用千兆电口网络，分成三个独立的网段

1.数据网络：

千兆电口网络交换机，万兆上联口，服务器2口千兆网卡，绑定，冗余。

2.虚拟化云平台数据迁移网络：

千兆电口网络交换机，万兆上联口，服务器2口千兆网卡，绑定，冗余。

3.管理网络：

千兆电口网络交换机，千兆上联口，服务器1口千兆网卡。

●按网络层次来分

接入层交换机：

千兆电口，上联万兆光口

汇聚层交换机：

万兆光口，上联万兆光口

核心交换机：

万兆光口（与其他数据中心互联）

7.2.6大数据基础架构设计理念

大数据服务器需要大容量硬盘，目前最大硬盘容量是4TB3.5英寸的硬盘。

同时大数据服务器对处理器和内存没有特别的要求，一般来讲，1块硬盘需要对应1个处理器核，1块硬盘对应4GB或5GB内存。

采用E5-Intel2600v3,2路8核处理器，64GB内存，2个300GB10KSAS硬盘做引导，RAID1数据保护，12块4TBSATA7.2K3.5英寸硬盘存放大数据，2口千兆网卡，1口千兆管理口，冗余电源，带安全芯片。

服务器内部12块数据硬盘没有RAID保护，数据直接写到硬盘上，为了数据安全可靠，一份数据写三份拷贝到三台服务器上。

交通卡口大数据分析

7.2.7虚拟化云管理平台设计理念

7.2.7.1虚拟化设计理念

建议采用商用vmware产品，vSphere,vCenter

vmware虚拟化产品占据了80%以上的市场份额，由于产品稳定可靠，产品线丰富，被用户广泛接受，vmware的资料和培训在市场上也流行，人才资源丰富。

开源虚拟化虽然发展快，有采购成本的优势，但是对用户使用和运维提出了更高的要求。

目前开源虚拟化在互联网行业使用广泛，但在商业用户中应用和成功案例少。

7.2.7.2云管理平台设计理念

云管理平台是基于开源OpenStack优化的产品，其中优化了硬件兼容性和可用性。

◆风格的界面（用户客户定制化界面）

◆优化网络交换机的驱动和用户体验

◆优化VNX存储的驱动和用户体验

◆增加了对硬件的快速部署功能

◆增加了对IBMPower小型机的云管理功能（企业版有此功能）

◆增加的计量功能

◆增加了对systemxM5,x6,Flex等硬件产品的硬件感知功能，能实时感知这些硬件的运行状况，如有亚健康状态运行，可以出发虚拟机迁移。

7.3警务云基础架构设计方案

一般普通配置

高级配置

计算节点

RD450,x3550M5

RD650,x3650M5

数据库

RQ940

X3850x6,x3950x6

Unix迁移x86

X3850x6

X3950x6

大数据

RD650

X3650M5

存储

VNX5400

VNX5600

网络

网络交换机

网络交换机

虚拟化

VmwarevSphere

VmwarevSphere

云管理平台

OpenStack基础版

OpenStack企业版

7.4警务云最佳实践

根据我国的地域和人口分布结构，道路里程和机动车保有量来分析，

城市

人口（万）

道路里程（万公里）

机动车保有量

北京

2150

1.9

550

上海

2500

1.2

300

广州

1300

0.57

280

深圳

1100

0.63

300

南京

820

0.78

200

杭州

890

1.6

250

长沙

850

200

郑州

920

1.2

280

石家庄

1300

0.64

140

沈阳

830

165

西安

850

0.17

215

昆明

730

0.14

180

●每500万人口的警务云（100个以上的应用模块）需要

⏹计算资源200台（2路8核），3200核以上，

⏹存储资源500T以上

●每500万人口的警务大数据需要

⏹计算资源100台（2路8核），1600核以上

⏹存储资源5000T以上

●每100万机动车保有量需要视频监控服务器

⏹100台

●选用高核数，大内存容量的服务器

⏹增加虚拟机的数量，减少物理机机器数量

⏹节省软件许可的费用

⏹节能：

每台2U服务器占地约0.3平方米，耗电600W（运行+制冷）

●以上数据推理实践经验来自长沙警务云设计

⏹目前XX公司系统有330套各类型号的服务器

◆平均CPU利用率20%以下

⏹视频监控系统有200台服务器

7.5附录（XX公司系统现行应用不完全统计）

所属部门

所属应用系统

警令部

信息安全内控管理与审计系统

IT运维管理系统

一机两用监控系统

违规行为监管系统

杀毒软件服务器

公安信息通信网终端安全服务助手

天网工程视频管控系统

警令部

警综平台

区域协作平台系统

情报平台

移动警务

XX公司市公安局PGIS平台

网技支队

网吧审计系统

本地网站管控系统

非经营性上网场所审计系统

刑侦支队

LIMS实验室信息管理系统

现场勘查系统

指纹系统

治安支队

旅馆业治安管理信息系统

治安支队

娱乐服务业治安管理信息系统

汽车租赁业治安管理信息系统

大型活动保卫治安管理信息系统

水域治安管理信息系统

二手手机业治安管理信息系统

印刷业治安管理信息系统

机动车拆解治安管理信息系统

治安支队

机动车修理治安管理信息系统

典当寄卖业治安管理信息系统

印章业治安管理信息系统

二手手机业治安管理信息系统

交警支队

通行证系统

电视监控录入系统

电子警察数据导入系统

收费系统

标清电子警察

交警支队

高清电子警察

驾考预录系统

科目一考试系统

智能交通管理平台系统

SCATS智能信号控制系统

综合告知系统

电动自行车及行人管理系统

驾考预录系统

交警支队

XX公司交警支队统一管控系统

公交分局

打击防范扒窃犯罪工作系统

扒窃违法人员信息系统

公共交通社会治安信息管理系统