新形勢下智慧電廠信息化建設面臨了新的挑戰,如何以系統化思維從整體建設角度調整設計思路?無線及物聯網技術在智慧電廠中如何有效承載應用系統?等保2.0要求下,一個中心三重防護的動態安全防護體系應如何建設?讓我們一起來聽聽銳捷網絡電力能源這方面的優秀經驗。
2019年8月21日,由中國能源研究會節能減排中心聯合華北電力大學國家大學科技園共同舉辦的“2019年智慧電廠論壇(第二期)”在北京召開。主旨報告環節,銳捷網絡電力能源行業技術總監 李棟作了題為“基于智慧電廠的信息化基礎架構探討”的報告。
尊敬的各位來賓,各位專家,大家下午好!我是銳捷網絡電力能源的李棟。今天給大家帶來的是《基于智慧電廠的信息化基礎架構探討》。為什么會帶來這個專題呢?假設我們為了建設智慧電廠所做的各種各樣的應用系統,這些都是我們行走在高速公路上的一輛輛的車,而信息化就是作為為這些車承載著信息化的高速公路。我們可能平時更多的在關注著這些車的性能,它的性能怎么樣、動力怎么樣、外觀各方面的東西,但是我們可能有很多時候會忽略這樣一個高速公路的公路質量怎么樣。假設一輛法拉利行走在一個鄉村的道路上,有可能我們整個車的性能并不能發揮出來。所以說,我們在這樣的形勢下,智慧電廠怎樣配合著智慧電廠信息化的建設為智慧電廠所有的汽車提供各種各樣的更高性能的高速公路。我今天帶來的是這樣一個介紹。
我的報告分三個部分:第一,給大家簡單介紹一下銳捷網絡公司。第二,新形勢下信息化的需求變化。第三,智慧電廠信息化基礎架構方案探討。
銳捷網絡,作為中國數通領域領導品牌之一,自2000年以來,我們一直致力于端到端解決方案。我們總共11條產品線,在全球擁有5個研發中心、41家分支機構、4000多家合作伙伴,我們業務范圍涵蓋了亞洲、非洲、美洲等30多個國家和地區。我們的產品廣泛應用于電力、能源、政府、運營商、金融醫療等多個多個行業。
銳捷堅持自主創新,我們堅持一個原則深入場景,這個深入場景里我們要找到用戶的痛點,針對這個痛點提供極簡的解決方案。銳捷始終堅持將技術與方案深度融合,促進技術進步。同時我們可以為各行各業的用戶提供有用的、好用的產品以及解決方案,來驅動各個行業的數字化轉型以及升級。
正是因為銳捷始終堅持著自主創新的道路,所以在各個行業、各個領域都取得了很多優異的成績,比如我們是中國企業級WLAN市場占有率排第二,中國VDI終端市場占有率排名第一,中國綜合運營管理平臺軟件市場占有排名第一等等。
銳捷在電力能源的表現如何呢?銳捷為國家電網提供了數據通信網主要設備,累計出貨超過2萬臺,覆蓋了27個網省二級單位。南方電網總部園區無線覆蓋,包括南方電網的調度數據網、信息局域網、無線局域網,銳捷都在里面起到很大作用。
發電行業,我們在大唐集團、國電投、華能、華電、國家能源集團,我們都有廣泛的應用。還有其他的集團,比如中國電建、中煤、各個能源集團,我們都有很多的解決方案得到了落地。
銳捷的產品、方案、服務是經受得住電力能源客戶的嚴苛挑選以及檢驗。銳捷在電力能源廣泛領域實現了積累以及布局。
接下來介紹一下新形勢下信息化需求變化。我通過幾個案例來說明一下。
這是我們在幫助一些用戶來做優化時的幾個案例。第一個案例,國華太倉電廠的信息化建設路徑。他們通過統籌的規劃,比如對于智慧電廠指標體系,每項系統要達到什么樣的指標、達到什么樣的目標值;以及包括他們整體電廠建設時的架構全景圖,都做了統籌和規劃,并且堅持以實用為原則,進行了智慧電廠的頂層設計。同時對于每項工作都制訂了詳細的時間表,并且穩步實施。他所做的這一切的基礎,都離不開穩定的泛在的先進的信息網絡。他們在信息網絡建設過程中歷時三年,做了分布式的改造。做信息化的時候沒辦法一下子全部改造到位,2017年開始,逐步從內外網隔離開始,到外網無線建設,內網的核心改造,再到內網的無線建設,生產區工藝無線建設,到最后生產區的人員定位。歷時三年,分步實施,實現了無線的點巡檢、無線門禁、無線云辦公、人員定位、各類物聯網的應用。
第二個案例,是屬于一個燃氣電廠信息化建設路徑。這是大唐金壇電廠,在建設之初目標就是讓電廠充滿智慧,讓智慧創造價值。大唐金壇電廠今年才投運發電,建設初期我們通過對信息化做嚴格設計,建設了穩定、高效的網絡,支撐起大唐金壇電廠智慧電廠的各類應用建設。
通過這兩個電廠,一個是改造、一個是新建。我們發現,其實在電廠的信息化建設過程有一個歷程,分別經歷了自動化、網絡化、智能化階段。最早期自動化階段,我們把很多的控制實現了工業控制實現了自動化。2015年以前在網絡化階段,實現了生產數據的在線化、經營管理的在線化、綜合決策的在線化。到現階段,為了建設智能電廠,現階段對于信息化的建設更多的要體現智能化,而智能化主要體現在過程感知、狀態檢測等方面。所以對于這些智能化的信息網應該怎么樣去建呢?是在以穩定、可靠、安全為基礎上,以泛在、先進、高效、務實為現階段更高的要求,支撐起電廠的智慧應用升級以及生產業務的有序。
這方面我們銳捷網絡對于電廠信息化是怎么樣考慮的?主要分成五個方面跟大家逐一做匯報。對于整個信息化的有線網絡、全場景的無線網絡、基于等保2.0的安全加固、融合的云辦公、新建廠區的整體信息化建設,這五個方面分別給大家做匯報。
第一,有線網絡。從90年代開始發展到現在歷時20年了,現在的網絡已經非常健全,而且技術也是非常全面了。但是現階段來說,我們有線網絡的架構已經隨著智慧電廠的建設出現了很多的變化。首先,這是一張原有的我們電廠有線網絡的圖,分別是信息安全的1區、2區、3區,現在很多發電集團應該是從2015年左右開始提出了新的建設,就是要做一個雙網隔離建設,主要對MIS區安全3區雙網隔離,目的是辦公安全。雙網隔離的時候,對于原有的網絡來說,要打破原有的網絡怎樣建設。原有的網絡我們現在有兩種方案,一種是建設基于物理的物理隔離方案,這樣在原有的基礎上新建一張網絡,實現物理隔離。或者基于原有的網絡基礎,只是做新增的應用,做邏輯隔離。MIS系統安全3區的業務更加多樣化,對于網絡的架構來說是需要基于安全因素做到網絡的隔離,而網絡隔離我們可以采用物理的隔離和邏輯隔離兩種方式來實現。
剛剛只是說了一個網絡架構,但是網絡架構我們是做了一些變化,但是還有一個變化,我們怎么樣隨著網絡規模的不斷擴大,怎么樣在運維思路上做更多的簡化和做更多的創新?
可以看到左邊的這張圖,是原有網絡維護的理念,我們更多的業務在核心層只是做一些轉發的功能,而在匯聚層可能會做業務的控制、網關等功能,在網關我們做了很多應用,比如端口隔離、認證等等多種應用。原來的系統可能對于我們來說可能感知不大,因為原來系統可能所要用到的接入層的交換并不是特別多,但是現在隨著我們智能電廠很多的應用系統要建設,我們在很多的區域內都要做到網絡的可達,所以說我們網絡規模不斷的擴大。這就帶來一個問題,原來可能運維20臺、30臺,可能數量會成幾何基數的增長,我們可能會運維幾百臺接入層的設備,我們怎么樣讓運維更加簡便,要簡化運維的思路。我們要把更多運維的工作集中到核心層,在核心層上做更多的控制,從而在匯聚層和接入層只要做很簡單的功能,比如做一些WLAN的隔離、端口的隔離、防環就行了。
同時,隨著業務的擴張,需求會呈現井噴式增長。剛剛各位專家分享各種各樣的業務系統,所有的業務系統最終都需要通過這樣一個核心的交換系統來進行數據的交換。隨著業務的交換,對于原來的核心來說,是需要提升核心能力,同時對于核心來說,要采用更先進的技術架構,同時實現虛擬化,建立核心交換機的虛擬資源池,同時要具備有增速的數據中心的特性。
在有線方面,因為它的變化并不是很大,主要還是基于原有的技術。但是在無線方面,無線作為智慧電廠在泛在感知這一層面最多的一個應用系統,這塊的建設需要面臨著什么樣的問題和怎么樣去建設?
首先我們知道一個概念,無線這個技術是一個無線電的射頻技術,它會受到環境因素的影響,比如說我有一堵墻,是輕質隔墻還是混凝土墻,對我們的無線信號會產生很大的影響。同時無線技術是不斷發展的,從1997年推的第一代802.11技術,一直發展到現在第二代的技術802.11ac,到第六代802.11ax現在通常稱為WiFi技術,目前2018年開始已經廣泛的投入商用。無線技術的采用上我們始終要適應技術的不斷發展,要采用最新的技術。無線電射頻的技術會受到干擾,特別是在辦公環境、生產環境里。如果我們采用一種無線設備,很可能導致一個問題,同樣的設備放在不同的環境里產生的體驗效果是不同的,有些可能是不好的。所以針對這種情況我們提出了一個概念,不同的辦公環境采用不一樣的覆蓋方案,采用不一樣的射頻技術,可能是有不同的區別的。
剛剛說的是無線的體驗方面,其實現在我們提到了無線,除了體驗以外更多各個行業都會關注無線安全,無線安全怎么樣去保障呢?無線網絡安全有三大核心要素的,主要是擁有合法的身份,同時接入是通過合法的射頻接入的,訪問的是合法的資源。要實現這三大核心要素,做到對這三大核心要素的保護,需要通過身份認證、安全檢查、策略檢查、行為審計這四個方面,從而實現無線安全的準入和保障無線網絡的安全。
我們剛剛說的內容只是被動式的無線的防御,同時我們也提出了從被動式防御變成主動式防御。通過無線的安全雷達來實現掃描,對無線信號實現掃描、識別、告警、防御,通過這方面做到對于非法的射頻進行干擾。如果發現了非法射頻,可以通過無線反制的方式來使非法的射頻沒有辦法工作。
對于生產區的無線,特別是一些廠區,生產環境是非常復雜的。我們到一些電廠,無線信號在辦公區部署相對可能方便一點,但是到生產區就發現帶來很大的問題。生產區的環境不是每個地方想在這兒布就可以,因為廠區要根據現場的綜合路線、條架的走向來進行部署。
所以說在生產區怎么樣布置無線做到有效呢,我們考慮四個方面:生產區可以做到無線信號的自動補盲,未來工業無線除了部署無線以外還有很多物聯網拓展,比如說藍牙、UWB等多種物聯網的擴展。同時部署無線的時候我們也要做到對于物聯網有更好的擴展性,同時實現高精度的定位,而且環境適應我們需要對綜合布線進行優化的設計。
信息融合方案,我們需要支撐整個體系,比如信號融合的方案,通過無線AP擴展物聯網模塊。網絡融合方案,只要有網絡的地方就能擴展物聯網。還有工業無線方案,我們前期走過很多場景,特別現在做的智能門禁或者人臉識別準入的場景發現一個問題。做智能門禁或者人臉識別的區域,這種設備必須通過網絡信號跟后臺的服務器進行對接,但是在很多老電廠做改造的時候,這種有線的網絡是沒有辦法部署智能門禁的時候布過去的。這個時候會帶來一個困擾,我們怎樣把智能門禁系統有效地接入到我們的網絡里面來,我們就有一個工業無線的方案。就是通過工業無線的邊緣網關上行通過無線、下行通過以太網或者串口的方式,將門禁、監控這些沒有辦法新增有線的設備接入到網絡里面來。
研究發現,UWB高精度人員定位的技術,可能是更適應于電廠。首先,UWB的人員定位技術是具有幾個特點:1,高精度,定位準。它的定位精度可以小于30厘米,具體精度在哪個位置,都可以很精準的來定位到。2,遠距離,覆蓋廣。可視距離80米的范圍內,覆蓋半徑達到80米,同時可以做到零維、一維、二維、三維精準的定位。3,由于我們剛剛在現場也說了,除了布工業無線還要做定位,定位的時候要考慮一個問題,就是無線射頻干擾的問題,UWB采用的射頻頻段和無線采用的射頻頻段是兩個不同的頻段,所以這個對于我們來說沒有任何干擾。4,對于人員來說位置信息可以實時更新,可以自動設置比如1秒鐘、5秒鐘刷新一次,通過這個實現人員位置的實時更新。5,我們這套系統可以提供第三方的API接口,對接未來智慧電廠整體的應用平臺。從而提供,向第三方的系統提供坐標數據,在這個系統里邊來呈現整體人員的位置。從而可以實現實時的監控、歷史軌跡查詢、高精度的尋人尋物、電子圍欄等功能。生產區需要做到高精度、覆蓋廣,同時實現抗干擾、輻射低,實時性、高兼容。
第三,等保2.0和安全加固的方案。
相信各位專家在今年6月份的時候是比較煎熬的,因為那個時候有一個“固網行動”。怎樣做到系統的網絡安全的建設,其實我們是有兩個標準可以參考的:第一,今年剛剛公布的等保2.0的標準,第二,《網絡安全法》。我們只要做網絡安全的時滿足這兩個標準,基本上我們的網絡安全就可以做到。
這是我們歸納的基于等保2.0的安全防護整體方案。等保2.0跟原來的等保1.0做了一些變化主要在哪兒呢?因為等保1.0和2.0的主要變化,第一,從原來的信息安全過渡到現在的網絡安全,所以現在對于很多工業控制以及物聯網方面的安全都納入到等保2.0的建設里面來。第二,等保2.0提出了一個最關鍵的理念,就是原來的被動防御變成現在的主動防御,原來我們上了很多的網絡安全的系統,可能很多是一些被動防御的系統,但是現在可能很多要上主動防御的系統。所以我們對于這個里面梳理出來這樣一個邏輯的圖,我們對于網絡安全建設的時候分幾個區:安全管理區、無線接入區、辦公區、數據中心區、互聯網出口區。這幾個區我們再歸納一下:安全的通訊網絡、安全的區域邊界、安全的計算環境、安全的管理中心。所以說基于等保2.0的設計,整體的安全防護是基于一個中心做到三重防護。
基于三重防護我們做網絡安全防范的時候需要采用什么樣的技術或者需要什么樣安全的設備呢?通過這個圖就很清晰的表現出來,我們在安全管理中心需要上什么設備,安全通訊網絡需要上什么設備,安全區域邊界、安全計算環境,各個環節所需要什么樣的設備,都是通過這個來實現的。
我也做了這樣一個總結,如果這個業務系統控制在等保二級我們需要上什么樣的設備、做到哪方面的網絡安全防護,如果是等保三級我們需要做到哪方面的網絡安全防護。通過這樣就可以比較清晰的了解到我們二級和三級,等保三級里面所要求的各種系統可能比二級多很多。在不同的等保定級方面可以提供全面的安全產品,來實現安全架構的建設。
第四,融合云辦公。
云辦公這個技術可能有一個大家更熟悉的名詞,叫做桌面虛擬化技術。這個技術發展到現在十多年了,為什么大家目前一直在提,但是并沒有得到非常廣泛的應用呢?我們可以來看一下,現在云辦公的架構主要有兩種:虛擬桌面基礎架構(VDI)、智能桌面虛擬化(IDV)。
我們最早期的時候所說的桌面虛擬化,更多的采用的是虛擬桌面基礎架構(VDI)的基礎架構,這種架構的特點是,所有的計算資源、所有的存儲資源全部是在后臺的服務器內提供的。操作系統、應用軟件全部都在后臺服務器,前端只是一個盒子,通過網絡來訪問到后臺服務器調用整個虛擬桌面的系統。所以我們對于這種桌面系統、桌面終端,稱之為瘦終端,因為很瘦,里面什么都沒有。但是這種技術可以帶來一個什么樣的好處呢?可以實現移動辦公。
VDI的系統似乎在很多辦公環境里并沒有得到廣泛應用,因為VDI的架構存在比較致命的缺陷,對于我們辦公環境來說是比較可怕的。一旦網絡中斷以后,桌面服務器就沒有辦法訪問了。
基于這點,因特爾提出了智能桌面虛擬化(IDV)的架構,集中了虛擬化技術的集中管理和節能環保的特點,同時可以做到一鍵可用、性能出眾和外設兼容。IDV所有的系統鏡像是在服務器端,本地是有CPI、硬盤的,在服務器端可以做到所有的更新通過服務器端,終端可以做到統一的管控。通過這樣的方式,在辦公環境下更適用于我們的使用。
其實,并不是在VDI或者IDV哪種技術更好,更多的時候要考慮這兩種技術各自的特點,在各種不同的環境是有不同的應用的,對于云辦公來說多是要融合性的云辦公。所謂融合型的云辦公,是把VDI和IDV的技術進行融合,在我需要用到員工辦公的大部分場景,采用IDV的終端接入到服務器,而在會議室等地方采用VDI的受眾端的方式,在外網員工上網可以采用支持無線的IDV終端實現外網的無線上網。
我們銳捷網絡始終扎根發電,持續為各個電廠提供各種各樣的優質服務。
以上是我的匯報。謝謝大家!
來源:北極星電力網
(本文根據現場速記整理,未經發言人審核。)
返回頂部