22 KiB

Raw Blame History

项目总体设计

总体架构

湖北省山洪灾害监测预报预警"四预"系统采用面向服务的架构模型，建立"基础支撑层-数据支撑层-业务支撑层-业务应用层"的分布式体系架构。总体架构图如下：

{width="5.925694444444445in" height="4.220138888888889in"}

1.基础支撑层：包括感知设备、传输网络、基础资源三部分，其中：

感知设备主要包括需要对接雨量站、水位站、图像站、末端预警站、测雨雷达站等。

传输网络是数据传输的承载环境，包括水利专网和互联网。

基础资源通过省省政务云水利专区提供系统运行所需要的计算资源，存储资源、安全资源和资源调度服务。

2.数据支撑层：整合多来源数据信息，建设汇聚库、主题库、基础库、共享库、专题库，对各类基础数据、地理空间数据、监测预报数据及其他外部共享数据等进行集成、存储、处理、共享；

3.业务支撑层：包括算法模型和应用支撑两部分，其中：

算法模型部分涵盖本次升级的小流域分布式水文模型，新增简化淹没范围与水深分析模型，以及对前期项目建设完成的算法模型的复用。

应用支撑部分涵盖支撑系统运行的GIS引擎、微服务管理、数据支撑平台、短信网关，及本次新增建设的模型管理服务。

业务应用层：基于各类支撑平台，结合山洪相关业务，建设山洪灾害"四预"系统，并面向不同用户的需求，提供多样化信息服务，实现对各类山洪相关数据的便捷信息查询、立体信息展示及高效数据分析。

网络架构

根据云平台整体架构规划，网络接入包括互联网接入区、政务外网接入区，每个接入区的业务处理网络彼此做了隔离，以保证安全性。如下图所示。本项目主要业务系统部署在政务外网及专网区，通过专线接入湖北省水利厅，互联网区和政务外网及专网区区域之间通过安全隔离区彼此隔离。网络架构如下：

{width="5.922916666666667in" height="2.525in"}

一、政务外网及专网区

政务外网及专网区内部具体分区功能如下：

1.接入区：提供专线接入湖北省水利厅专网，主要是通过路由器或链路负载均衡设备对外部流量进行引流，将流量接入数据中心内部，同时考虑安全，接入区对内部分区之间需通过防火墙做隔离，并对外设置安全策略。

2. 核心交换区：主要功能是完成各功能分区之间数据流量的高速交换，是接入侧纵向流量与内部服务功能分区间横向流量的交汇点。作为整个平台的汇聚，考虑安全性，对业务数据、存储数据、管理数据分别采用不同设备进行汇聚。

3. 运维区：主要提供远程运维接入服务。

4. 管理区域：提供数据中心整体的管理功能，包括云平台、云管平台、运维管理、安全管理几大部分，提供云服务支持、日常运维、运营保障的功能，以及漏洞扫描、安全审计等安全部署。

5. 计算区（云资源区）：按不同需求对外提供云计算服务，主要部署服务器，结合虚拟化技术，对外提供不同类型的虚拟机资源。

6. 存储及本地备份区域：部署存储及备份设备，服务器资源通过高性能IP/FC交换机与存储相连。同时根据业务需求对于重要数据做本地备份。

7. 灾备区域：通过网络互通，提供远程的数据容灾与备份功能。

二、互联网区

互联网具体分区功能如下：

1.接入区：提供电信、联通、移动三网互联网带宽接入，主要是通过路由器或链路负载均衡设备对外部流量进行引流，将流量接入数据中心内部，同时考虑安全，接入区对内部分区之间需通过防火墙做隔离，并对外设置安全策略。

3. 运维区：主要提供远程运维接入服务。

5. 计算区（云资源区）：按不同需求对外提供云计算服务，主要部署服务器，结合虚拟化技术，对外提供不同类型的虚拟机资源。

6. 存储及本地备份区域：部署存储及备份设备，服务器资源通过高性能IP/FC交换机与存储相连。同时根据业务需求对于重要数据做本地备份。

三、安全隔离区

同时增加了安全隔离区，实现互联网区与政务外网及专网区之间的隔离，保证跨区域数据交互的安全。

部署架构

前端服务器在单独的VPC（虚拟网络区域）并分配弹性IP，用户通过互联网直接访问，使用集群技术实现负载分担和高可用。按照等保三级的要求，部署WAF、防DDOS、IPS等安全服务，对前端服务器进行安全保护，采用容器化部署，实现前端服务器的弹性伸缩。

后端服务器在单独的VPC，不分配弹性IP，后端服务器和前端服务器通过内部IP地址进行交互。按照等保三级的要求，部署云防火墙与前端服务器虚拟网络进行安全隔离，采用白名单的方式进行安全控制，采用容器化部署，实现后端服务器的弹性伸缩。

数据引擎服务器满足107个重点小流域风险隐患排查数据、空间地理数据，新增34个县站点接入数据、调查评价数据等新增数据的存储需求。

本期项目建设申请的云资源都部署在水利专区政务外网及专网区。

6c3265844bfd26fe30a41158a76e7f3 — **图4.3-1 部署架构图**

数据架构

数据架构是对整个数据生命周期中数据的处理、存贮、转换、整合、分布制定的策略、模型、流程以及支持这些策略、模型、流程的技术架构方案，可以消除信息孤岛，建立一个统一和共享的数据基础平台。数据架构从跨应用系统的视角统一对数据进行组织和规划，提高跨系统间数据存贮和共享的效率。

0bccc427e67efe8d4f699558a945d3e — **图4.4-1 数据架构图**

山洪灾害防治项目，数据源众多、规模庞大，涉及数据量大，按照水利部关于省级平台"一级部署、多级应用"的建设要求，需对不同数据源数据统一加载、按数据标准和安全要求对数据进行清洗、数据转换，形成高质量的数据，存储在湖北山洪数据库中，供平台使用。

数据源

(1) 行业外数据源

包括国家统计局的行政区划、省水文处的水文监测雨量、省水库处的水库监测雨量、省气象局的气象监测雨量和气象2小时和24小时预报雨量等。

(2) 行业内数据源

包括中国水科院提供的107条小流域风险隐患调查和影响分析的结论性成果、各区县水利局提供的行政区划信息和山洪灾害防御责任人等。

基础支撑平台

(1) 数据支撑平台

包括省气象局气象文件的接收、解析、处理；五峰县、建始县两个雷达数据的接收、解析、处理，地理空间文件的存储和使用；集成数据计算和多维分析；和多种算法模型对接等。

(2) 数据交换共享平台

包括省水文处的水文监测雨量、省水库处的水库监测雨量等数据的同步。

(3) 流域接收中心

包括25个县区的山洪5分钟监测降雨数据的汇聚。

数据库

分析业务需求、梳理业务流程，根据信息分析和定义，抽象出主题数据库，依据数据应用需求建设基础库和专题库，对外共享的共享数据库。

数据应用

包括水雨情监测应用专题、预报应用专题、预警应用专题、预演应用专题、预案应用专题、移动APP应用专题、监督管理应用专题和、数字孪生应用专题和其他应用专题等。

安全架构

本项目安全需求是全方位的、整体的，需要从技术、管理、服务等方面进行全面的安全设计和建设，有效提高信息系统的防护、检测、响应、恢复能力，以抵御不断出现的安全威胁与风险，保证系统长期稳定可靠的运行。

本项目的安全保障体系将在统一的安全策略指导下，充分利用和依托已有网络安全基础设施，并基于省级政务云为湖北省应急管理厅提供安全管理体系和安全服务体系，并形成集防护、检测、响应、恢复于一体的安全保障体系，从而实现物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全管理，构建可信、可控、可管的安全体系。

总体安全体系架构设计如图所示：

{width="4.672083333333333in" height="4.461944444444445in"}

总体安全体系架构包括总体安全策略、网络安全等级保护制度、安全技术体系、安全管理体系和安全服务体系五个有机组成部分。

总体安全策略

整体安全策略是立足本单位现状和将来一段时间内，以保护整体信息安全而制定的安全方针，需要单位全体人员遵守并执行。总体安全方针、策略具有战略高度，并且根据单位面临的安全风险，进行定期更新。

网络安全等级保护制度

本项目需要落实国家网络安全等级保护制度，安全保障建设首先需要对单位系统进行科学定级、备案，通过等级测评对单位安全防护能力进行有效检测，在安全运营中持续进行安全监测和响应，同时需要配合上级单位和监管单位的安全监督检查。

安全技术体系

从计算环境安全、安全区域边界、安全通信网络和安全管理中心四个方面分别设计。

计算环境安全主要是对单位定级系统的信息进行存储处理，并且实施安全策略保障信息在存储和处理过程中的安全，包括用户身份鉴别、用户身份鉴别、自主访问控制、标记和强制访问控制、系统安全审计、用户数据完整性保护、用户数据保密性保护、客体安全重用、程序可信执行保护。

通信网络安全主要实现在网络通信过程中的机密性、完整性防护，重点对定级系统安全计算环境之间信息传输进行安全防护。安全通信网络包括：安全审计、数据传输完整性保护、数据传输保密性保护、可信接入保护。

安全区域边界主要实现在互联网边界以及安全计算环境与安全通信网络之间的双向网络攻击的检测、告警和阻断。安全区域边界包括：区域边界访问控制、区域边界包过滤、区域边界安全审计、区域边界完整性保护。

安全管理中心主要实现安全技术体系的统一管理，包括系统管理、安全管理和审计管理。同时，按照权限划分提供管理接口。

安全管理体系

从安全策略、管理制度、管理机构、人员管理、安全建设管理和安全运维管理等方面分别设计。重点内容包括安全管理机构的组建，安全策略、管理制度、操作规程、记录表单等内容的安全管理制度体系的补充和完善，安全相关人员的录用、培训、授权和离岗管理，围绕信息系统全生命周期安全的安全建设管理和安全运维管理。

安全服务体系

从信息系统安全角度出发，通过网络安全风险评估、安全加固、渗透测试、应急响应、安全重保、应急演练、安全培训等服务，与安全技术体系、安全管理体系相辅相成保障信息系统的安全风险始终处于可控、可管的安全状态。

数据流向

平台集成多类型数据源，通过多途径的数据接入方式和一数一源采集原则进行数据汇集，经数据清洗形成标准的结构化数据，数据支撑平台通过实时同步和离线同步的数据同步方式和达梦业务数据库进行数据交互，数据经过数据支撑平台的数据仓库建设、多维数据计算与分析、集成算法模型计算，形成一数一源的湖北山洪标准库，在此基础上建设各主题库、基础库、专题库，满足平台的各功能需求和对外共享的需要。

数据源主要有山洪雨量监测数据，水文雨量监测数据，水库雨量监测数据，气象雨量监测数据，调查评价成果数据，地理空间文件，2/24小时气象预报，测雨雷达数据、行政区划、山洪防御责任人、山洪防御预案等。

数据汇集

(1) 山洪5分钟雨量监测数据

全省74个县的山洪5分钟雨量监测数据采用一站双发的形式，一路通过4G和北斗传输至流域接收中心，再通过消息队列发送到达梦业务数据库和数据支撑平台，一路发送到县级监测预警平台，再经过数据汇集与共享平台同步到达梦业务数据库。

(2) 气象1小时雨量监测数据

气象1小时雨量监测数据先上报到省气象局Oracle数据库，再通过数据汇集与共享平台同步到达梦业务数据库。

(3) 水库1小时雨量监测数据

水库1小时雨量监测数据先上报到省水库处SqlServer数据库，再通过数据汇集与共享平台同步到达梦业务数据库。

(4) 调查评价成果数据

2016~2023年调查评价数据通过数据导入工具同步到达梦业务数据库；2013~2015年调查评价数据、2022年风险隐患调查成果、2016~2020年沿河村落重要城集镇成果、2021~2022年动态预警指标成果和地理空间文件通过数据支撑平台的文件接入存储在对应的专题库和OSS对象存储系统。

(5) 数据交互

数据支撑平台提供数据处理能力，根据业务需求达梦业务数据库和数据支撑平台进行数据交互，例如：对山洪、气象、水文、水库的降雨监测数据进行整编、按行政区划维度、小流域维度、时间维度等多维度进行数据处理，形成丰富的业务数据，满足平台功能。建设一数一源的湖北山洪标准库，创建基础数据、业务管理数据、监测数据、雨情数据、预警数据等。

(6) 数据应用和对外共享

水对支撑平台的各功能需求：包括预报、预警、预演、预案、监督管理、其他等；对外提供数据共享能力：数据API服务、数据库表同步、离线文档等。

技术路线

湖北省山洪灾害监测预报预警"四预"系统部署在省政务云水利专区，采用微服务架构进行开发，整体技术路线如下：

{width="5.929861111111111in" height="3.2319444444444443in"}

1、微服务

根据湖北省智慧江汉平台的统一规划，湖北省山洪灾害监测预报预警"四预"系统选择微服务的架构体系。通过使用微服务架构，将应用程序构建为独立的组件，并将每个组件作为一项服务，使得微服务可以独立的部署、运行、升级、更新和扩展，实现微服务之间在结构上的"松耦合"，以满足对应用程序特定功能的需求。

同时这种架构可以在功能上表现为一个统一的整体，使用轻量级API和明确定义的接口进行通信，围绕业务功能构建，提供业务共享的能力。按照前期湖北省智慧江汉平台统一规划的微服务技术架构，本项目将续用微服务架构。

湖北省山洪灾害监测预报预警"四预"系统部署在省政务云水利专区，依托度湖北省山洪灾害监测预警平台"四预"功能提升项目在省级建设的各微服务模块，实现对已开发功能的直接复用和少量定制开发。通过省级微服务平台提供的注册中心和服务网关能力，将建设的微服务进行统一的调度和管理。实现平台的一级部署、多级应用。

注册中心是微服务架构的通讯录，记录了服务和服务地址的映射关系。开发的微服务模块会统一注册到这里，当服务需要共享调用时，可通过注册中心获取服务地址进行访问。

结合山洪灾害监测预警"四预"功能的需求，已建设的聚合服务有预报服务、预警服务、预演服务、预案服务、基础服务、系统服务、文件服务、三维仿真服务、APP服务、数据服务、模型服务等，从而减少前端接入接口请求量和复杂程度，在保证服务的低耦合和微服务特性的同时，更快速的响应需求。

服务网关提供定制的API，通过统一的请求入口，可完成认证、鉴权、安全、流量管控、缓存、服务路由，协议转换、服务编排、灰度发布、监控报警等功能。客户端相关的请求直接发送到网关，由网关根据请求标识，解析判断出具体的微服务地址，再把请求转发到对应的基础服务或聚合服务中去。

2、云计算

本项目部署在省政务云水利专区，采用了云计算技术。政务云是专门为政府部门和公共机构提供的云服务，主要用于支撑本项目算法模型、"四预"系统等业务，以及承载山洪灾害数据共享等应用场景。

省政务云与公有云的数据中心完全隔离，政务云采用独立的物理机房，为水利厅用户提供专属的云平台和云产品，保障省山洪灾害防治项目用户在政务云上的业务数据不出政务云专属机房。项目部署在省政务云，可以提高省水利厅信息化整体的水平，降低成本，提升效率，实现数据安全和隐私保护，更好的支撑了数字政府的建设和发展。

接口设计

用户接口设计

用户接口主要的功能是为用户提供湖北省山洪灾害监测预报预警"四预"系统的功能操作，需要的接口见下表：

   **接口**                                **功能**

     登录                            确保正常登录四预平台

     首页                     能够全域查看湖北省2条小流域的概况

   流域首页           能够查看某一条小流域的概况以及降雨、预警等汇总信息

     预报                   提供降雨预报、流量分析、淹没分析等功能

     预警                   提供风险预警、预报预警、监测预警等功能

     预演         提供预演管理："创建预演、预演列表、预演详情"，会商管理功能

     预案                 提供预案管理、预案可视化、预演预案管理功能

: 表4.8-1用户接口设计表

外部接口设计

   **接口**                            **功能**

 数据操作接口                    查询、存储、删除数据

实时数据接入接口接入实时降雨数据

 模型对接接口         对接模型结果并调用数据操作接口进行数据操作

 数字孪生接口                    进行3D渲染和数据渲染

   GIS接口                       用以生成GIS图层影像

: 表4.8-2外部接口设计表

内部接口设计

   **接口**                            **功能**

   新增用户                          新增用户信息

   修改用户                          修改用户信息

   删除用户                          删除用户信息

   查看用户                          查看用户信息

   新增权限                          新增权限信息

   修改权限                          修改权限信息

   删除权限                          删除权限信息

   查看权限                          查看权限信息

   新增角色                          新增角色信息

   修改角色                          修改角色信息

   删除角色                          删除角色信息

   查看角色                          查看角色信息

 新增预演方案                      新增预演方案信息

 修改预演方案                      修改预演方案信息

 删除预演方案                      删除预演方案信息

 查看预演方案                      查看预演方案信息

 新增流量分析                    新增流量分析实时任务

 查看流量分析                查看流量分析实时任务结果详情

 新增淹没分析                    新增淹没分析实时任务

 查看淹没分析                查看淹没分析实时任务结果详情

: 表4.8-3内部接口设计表

22 KiB Raw Blame History Unescape Escape