新形势下智慧电厂信息化建设面临了新的挑战,如何以系统化思维从整体建设角度调整设计思路?无线及物联网技术在智慧电厂中如何有效承载应用系统?等保2.0要求下,一个中心三重防护的动态安全防护体系应如何建设?让我们一起来听听锐捷网络电力能源这方面的优秀经验。
2019年8月21日,由中国能源研究会节能减排中心联合华北电力大学国家大学科技园共同举办的“2019年智慧电厂论坛(第二期)”在北京召开。主旨报告环节,锐捷网络电力能源行业技术总监 李栋作了题为“基于智慧电厂的信息化基础架构探讨”的报告。北极星电力网对本次会议进行全程直播。直播会议合作,请联系手机/微信:13693626116。
锐捷网络电力能源行业技术总监 李栋
尊敬的各位来宾,各位专家,大家下午好!我是锐捷网络电力能源的李栋。今天给大家带来的是《基于智慧电厂的信息化基础架构探讨》。为什么会带来这个专题呢?假设我们为了建设智慧电厂所做的各种各样的应用系统,这些都是我们行走在高速公路上的一辆辆的车,而信息化就是作为为这些车承载着信息化的高速公路。我们可能平时更多的在关注着这些车的性能,它的性能怎么样、动力怎么样、外观各方面的东西,但是我们可能有很多时候会忽略这样一个高速公路的公路质量怎么样。假设一辆法拉利行走在一个乡村的道路上,有可能我们整个车的性能并不能发挥出来。所以说,我们在这样的形势下,智慧电厂怎样配合着智慧电厂信息化的建设为智慧电厂所有的汽车提供各种各样的更高性能的高速公路。我今天带来的是这样一个介绍。
我的报告分三个部分:第一,给大家简单介绍一下锐捷网络公司。第二,新形势下信息化的需求变化。第三,智慧电厂信息化基础架构方案探讨。
锐捷网络,作为中国数通领域领导品牌之一,自2000年以来,我们一直致力于端到端解决方案。我们总共11条产品线,在全球拥有5个研发中心、41家分支机构、4000多家合作伙伴,我们业务范围涵盖了亚洲、非洲、美洲等30多个国家和地区。我们的产品广泛应用于电力、能源、政府、运营商、金融医疗等多个多个行业。
锐捷坚持自主创新,我们坚持一个原则深入场景,这个深入场景里我们要找到用户的痛点,针对这个痛点提供极简的解决方案。锐捷始终坚持将技术与方案深度融合,促进技术进步。同时我们可以为各行各业的用户提供有用的、好用的产品以及解决方案,来驱动各个行业的数字化转型以及升级。
正是因为锐捷始终坚持着自主创新的道路,所以在各个行业、各个领域都取得了很多优异的成绩,比如我们是中国企业级WLAN市场占有率排第二,中国VDI终端市场占有率排名第一,中国综合运营管理平台软件市场占有排名第一等等。
锐捷在电力能源的表现如何呢?锐捷为国家电网提供了数据通信网主要设备,累计出货超过2万台,覆盖了27个网省二级单位。南方电网总部园区无线覆盖,包括南方电网的调度数据网、信息局域网、无线局域网,锐捷都在里面起到很大作用。
发电行业,我们在大唐集团、国电投、华能、华电、国家能源集团,我们都有广泛的应用。还有其他的集团,比如中国电建、中煤、各个能源集团,我们都有很多的解决方案得到了落地。
锐捷的产品、方案、服务是经受得住电力能源客户的严苛挑选以及检验。锐捷在电力能源广泛领域实现了积累以及布局。
接下来介绍一下新形势下信息化需求变化。我通过几个案例来说明一下。
这是我们在帮助一些用户来做优化时的几个案例。第一个案例,国华太仓电厂的信息化建设路径。他们通过统筹的规划,比如对于智慧电厂指标体系,每项系统要达到什么样的指标、达到什么样的目标值;以及包括他们整体电厂建设时的架构全景图,都做了统筹和规划,并且坚持以实用为原则,进行了智慧电厂的顶层设计。同时对于每项工作都制订了详细的时间表,并且稳步实施。他所做的这一切的基础,都离不开稳定的泛在的先进的信息网络。他们在信息网络建设过程中历时三年,做了分布式的改造。做信息化的时候没办法一下子全部改造到位,2017年开始,逐步从内外网隔离开始,到外网无线建设,内网的核心改造,再到内网的无线建设,生产区工艺无线建设,到最后生产区的人员定位。历时三年,分步实施,实现了无线的点巡检、无线门禁、无线云办公、人员定位、各类物联网的应用。
第二个案例,是属于一个燃气电厂信息化建设路径。这是大唐金坛电厂,在建设之初目标就是让电厂充满智慧,让智慧创造价值。大唐金坛电厂今年才投运发电,建设初期我们通过对信息化做严格设计,建设了稳定、高效的网络,支撑起大唐金坛电厂智慧电厂的各类应用建设。
通过这两个电厂,一个是改造、一个是新建。我们发现,其实在电厂的信息化建设过程有一个历程,分别经历了自动化、网络化、智能化阶段。最早期自动化阶段,我们把很多的控制实现了工业控制实现了自动化。2015年以前在网络化阶段,实现了生产数据的在线化、经营管理的在线化、综合决策的在线化。到现阶段,为了建设智能电厂,现阶段对于信息化的建设更多的要体现智能化,而智能化主要体现在过程感知、状态检测等方面。所以对于这些智能化的信息网应该怎么样去建呢?是在以稳定、可靠、安全为基础上,以泛在、先进、高效、务实为现阶段更高的要求,支撑起电厂的智慧应用升级以及生产业务的有序。
这方面我们锐捷网络对于电厂信息化是怎么样考虑的?主要分成五个方面跟大家逐一做汇报。对于整个信息化的有线网络、全场景的无线网络、基于等保2.0的安全加固、融合的云办公、新建厂区的整体信息化建设,这五个方面分别给大家做汇报。
第一,有线网络。从90年代开始发展到现在历时20年了,现在的网络已经非常健全,而且技术也是非常全面了。但是现阶段来说,我们有线网络的架构已经随着智慧电厂的建设出现了很多的变化。首先,这是一张原有的我们电厂有线网络的图,分别是信息安全的1区、2区、3区,现在很多发电集团应该是从2015年左右开始提出了新的建设,就是要做一个双网隔离建设,主要对MIS区安全3区双网隔离,目的是办公安全。双网隔离的时候,对于原有的网络来说,要打破原有的网络怎样建设。原有的网络我们现在有两种方案,一种是建设基于物理的物理隔离方案,这样在原有的基础上新建一张网络,实现物理隔离。或者基于原有的网络基础,只是做新增的应用,做逻辑隔离。MIS系统安全3区的业务更加多样化,对于网络的架构来说是需要基于安全因素做到网络的隔离,而网络隔离我们可以采用物理的隔离和逻辑隔离两种方式来实现。
刚刚只是说了一个网络架构,但是网络架构我们是做了一些变化,但是还有一个变化,我们怎么样随着网络规模的不断扩大,怎么样在运维思路上做更多的简化和做更多的创新?
可以看到左边的这张图,是原有网络维护的理念,我们更多的业务在核心层只是做一些转发的功能,而在汇聚层可能会做业务的控制、网关等功能,在网关我们做了很多应用,比如端口隔离、认证等等多种应用。原来的系统可能对于我们来说可能感知不大,因为原来系统可能所要用到的接入层的交换并不是特别多,但是现在随着我们智能电厂很多的应用系统要建设,我们在很多的区域内都要做到网络的可达,所以说我们网络规模不断的扩大。这就带来一个问题,原来可能运维20台、30台,可能数量会成几何基数的增长,我们可能会运维几百台接入层的设备,我们怎么样让运维更加简便,要简化运维的思路。我们要把更多运维的工作集中到核心层,在核心层上做更多的控制,从而在汇聚层和接入层只要做很简单的功能,比如做一些WLAN的隔离、端口的隔离、防环就行了。
同时,随着业务的扩张,需求会呈现井喷式增长。刚刚各位专家分享各种各样的业务系统,所有的业务系统最终都需要通过这样一个核心的交换系统来进行数据的交换。随着业务的交换,对于原来的核心来说,是需要提升核心能力,同时对于核心来说,要采用更先进的技术架构,同时实现虚拟化,建立核心交换机的虚拟资源池,同时要具备有增速的数据中心的特性。
在有线方面,因为它的变化并不是很大,主要还是基于原有的技术。但是在无线方面,无线作为智慧电厂在泛在感知这一层面最多的一个应用系统,这块的建设需要面临着什么样的问题和怎么样去建设?
首先我们知道一个概念,无线这个技术是一个无线电的射频技术,它会受到环境因素的影响,比如说我有一堵墙,是轻质隔墙还是混凝土墙,对我们的无线信号会产生很大的影响。同时无线技术是不断发展的,从1997年推的第一代802.11技术,一直发展到现在第二代的技术802.11ac,到第六代802.11ax现在通常称为WiFi技术,目前2018年开始已经广泛的投入商用。无线技术的采用上我们始终要适应技术的不断发展,要采用最新的技术。无线电射频的技术会受到干扰,特别是在办公环境、生产环境里。如果我们采用一种无线设备,很可能导致一个问题,同样的设备放在不同的环境里产生的体验效果是不同的,有些可能是不好的。所以针对这种情况我们提出了一个概念,不同的办公环境采用不一样的覆盖方案,采用不一样的射频技术,可能是有不同的区别的。
刚刚说的是无线的体验方面,其实现在我们提到了无线,除了体验以外更多各个行业都会关注无线安全,无线安全怎么样去保障呢?无线网络安全有三大核心要素的,主要是拥有合法的身份,同时接入是通过合法的射频接入的,访问的是合法的资源。要实现这三大核心要素,做到对这三大核心要素的保护,需要通过身份认证、安全检查、策略检查、行为审计这四个方面,从而实现无线安全的准入和保障无线网络的安全。
我们刚刚说的内容只是被动式的无线的防御,同时我们也提出了从被动式防御变成主动式防御。通过无线的安全雷达来实现扫描,对无线信号实现扫描、识别、告警、防御,通过这方面做到对于非法的射频进行干扰。如果发现了非法射频,可以通过无线反制的方式来使非法的射频没有办法工作。
对于生产区的无线,特别是一些厂区,生产环境是非常复杂的。我们到一些电厂,无线信号在办公区部署相对可能方便一点,但是到生产区就发现带来很大的问题。生产区的环境不是每个地方想在这儿布就可以,因为厂区要根据现场的综合路线、条架的走向来进行部署。
所以说在生产区怎么样布置无线做到有效呢,我们考虑四个方面:生产区可以做到无线信号的自动补盲,未来工业无线除了部署无线以外还有很多物联网拓展,比如说蓝牙、UWB等多种物联网的扩展。同时部署无线的时候我们也要做到对于物联网有更好的扩展性,同时实现高精度的定位,而且环境适应我们需要对综合布线进行优化的设计。
信息融合方案,我们需要支撑整个体系,比如信号融合的方案,通过无线AP扩展物联网模块。网络融合方案,只要有网络的地方就能扩展物联网。还有工业无线方案,我们前期走过很多场景,特别现在做的智能门禁或者人脸识别准入的场景发现一个问题。做智能门禁或者人脸识别的区域,这种设备必须通过网络信号跟后台的服务器进行对接,但是在很多老电厂做改造的时候,这种有线的网络是没有办法部署智能门禁的时候布过去的。这个时候会带来一个困扰,我们怎样把智能门禁系统有效地接入到我们的网络里面来,我们就有一个工业无线的方案。就是通过工业无线的边缘网关上行通过无线、下行通过以太网或者串口的方式,将门禁、监控这些没有办法新增有线的设备接入到网络里面来。
研究发现,UWB高精度人员定位的技术,可能是更适应于电厂。首先,UWB的人员定位技术是具有几个特点:1,高精度,定位准。它的定位精度可以小于30厘米,具体精度在哪个位置,都可以很精准的来定位到。2,远距离,覆盖广。可视距离80米的范围内,覆盖半径达到80米,同时可以做到零维、一维、二维、三维精准的定位。3,由于我们刚刚在现场也说了,除了布工业无线还要做定位,定位的时候要考虑一个问题,就是无线射频干扰的问题,UWB采用的射频频段和无线采用的射频频段是两个不同的频段,所以这个对于我们来说没有任何干扰。4,对于人员来说位置信息可以实时更新,可以自动设置比如1秒钟、5秒钟刷新一次,通过这个实现人员位置的实时更新。5,我们这套系统可以提供第三方的API接口,对接未来智慧电厂整体的应用平台。从而提供,向第三方的系统提供坐标数据,在这个系统里边来呈现整体人员的位置。从而可以实现实时的监控、历史轨迹查询、高精度的寻人寻物、电子围栏等功能。生产区需要做到高精度、覆盖广,同时实现抗干扰、辐射低,实时性、高兼容。
第三,等保2.0和安全加固的方案。
相信各位专家在今年6月份的时候是比较煎熬的,因为那个时候有一个“固网行动”。怎样做到系统的网络安全的建设,其实我们是有两个标准可以参考的:第一,今年刚刚公布的等保2.0的标准,第二,《网络安全法》。我们只要做网络安全的时满足这两个标准,基本上我们的网络安全就可以做到。
这是我们归纳的基于等保2.0的安全防护整体方案。等保2.0跟原来的等保1.0做了一些变化主要在哪儿呢?因为等保1.0和2.0的主要变化,第一,从原来的信息安全过渡到现在的网络安全,所以现在对于很多工业控制以及物联网方面的安全都纳入到等保2.0的建设里面来。第二,等保2.0提出了一个最关键的理念,就是原来的被动防御变成现在的主动防御,原来我们上了很多的网络安全的系统,可能很多是一些被动防御的系统,但是现在可能很多要上主动防御的系统。所以我们对于这个里面梳理出来这样一个逻辑的图,我们对于网络安全建设的时候分几个区:安全管理区、无线接入区、办公区、数据中心区、互联网出口区。这几个区我们再归纳一下:安全的通讯网络、安全的区域边界、安全的计算环境、安全的管理中心。所以说基于等保2.0的设计,整体的安全防护是基于一个中心做到三重防护。
基于三重防护我们做网络安全防范的时候需要采用什么样的技术或者需要什么样安全的设备呢?通过这个图就很清晰的表现出来,我们在安全管理中心需要上什么设备,安全通讯网络需要上什么设备,安全区域边界、安全计算环境,各个环节所需要什么样的设备,都是通过这个来实现的。
我也做了这样一个总结,如果这个业务系统控制在等保二级我们需要上什么样的设备、做到哪方面的网络安全防护,如果是等保三级我们需要做到哪方面的网络安全防护。通过这样就可以比较清晰的了解到我们二级和三级,等保三级里面所要求的各种系统可能比二级多很多。在不同的等保定级方面可以提供全面的安全产品,来实现安全架构的建设。
第四,融合云办公。
云办公这个技术可能有一个大家更熟悉的名词,叫做桌面虚拟化技术。这个技术发展到现在十多年了,为什么大家目前一直在提,但是并没有得到非常广泛的应用呢?我们可以来看一下,现在云办公的架构主要有两种:虚拟桌面基础架构(VDI)、智能桌面虚拟化(IDV)。
我们最早期的时候所说的桌面虚拟化,更多的采用的是虚拟桌面基础架构(VDI)的基础架构,这种架构的特点是,所有的计算资源、所有的存储资源全部是在后台的服务器内提供的。操作系统、应用软件全部都在后台服务器,前端只是一个盒子,通过网络来访问到后台服务器调用整个虚拟桌面的系统。所以我们对于这种桌面系统、桌面终端,称之为瘦终端,因为很瘦,里面什么都没有。但是这种技术可以带来一个什么样的好处呢?可以实现移动办公。
VDI的系统似乎在很多办公环境里并没有得到广泛应用,因为VDI的架构存在比较致命的缺陷,对于我们办公环境来说是比较可怕的。一旦网络中断以后,桌面服务器就没有办法访问了。
基于这点,因特尔提出了智能桌面虚拟化(IDV)的架构,集中了虚拟化技术的集中管理和节能环保的特点,同时可以做到一键可用、性能出众和外设兼容。IDV所有的系统镜像是在服务器端,本地是有CPI、硬盘的,在服务器端可以做到所有的更新通过服务器端,终端可以做到统一的管控。通过这样的方式,在办公环境下更适用于我们的使用。
其实,并不是在VDI或者IDV哪种技术更好,更多的时候要考虑这两种技术各自的特点,在各种不同的环境是有不同的应用的,对于云办公来说多是要融合性的云办公。所谓融合型的云办公,是把VDI和IDV的技术进行融合,在我需要用到员工办公的大部分场景,采用IDV的终端接入到服务器,而在会议室等地方采用VDI的受众端的方式,在外网员工上网可以采用支持无线的IDV终端实现外网的无线上网。
我们锐捷网络始终扎根发电,持续为各个电厂提供各种各样的优质服务。
以上是我的汇报。谢谢大家!
来源:北极星电力网
(本文根据现场速记整理,未经发言人审核。)
