太原市热力集团有限责任公司 樊敏齐卫雪 石光辉李建刚
摘要:
太原市智慧供热平台以太古热网地理信息系统基础,以智慧供热为顶层架构进行规划,围绕热力集团多年建设的自控生产系统核心基础设施进行建设。平台建设以用户为目标,利用供热大数据实现决策智能化,实现系统自主的按需供热,满足人的舒适需求,达到能源消耗最优的一种状态,实现供热的低碳、舒适、高效,同时促进企业转变生产方式和经营方式、整合企业内外部资源、提高企业效益。经过几年的建设,目前已经完成了主要业务模块的初步搭建及主要功能,本文主要研究在向按需供热前进中遇到的信息安全等级保护、各类服务器的云化迁移整合及调整,涉密网络架构规划,VPN内网重新打通及IP地址的重新规划,数据中台建设等问题及工程实践经验。
关键字:智慧供热 数据中心 信息安全 云平台 涉密网络 数据中台
随着太原市近几年的发展,城区面积不断增加,太原热力供热范围逐渐扩大,热用户和热力站数量逐年增多。当前,太原热力有生产分公司11家,管理供热面积1.62亿平方米,涉及热力站2000余座。供热面积的逐步扩大,现有供热系统自动化程度和“信息孤岛”情况已不能够有效满足供热需求,为了方便生产运行的管理与调度,太原热力从2018年着手进行智慧热网系统建设,构建一个综合的、全面的、统一的管理、调度智慧供热平台,全面提升生产经营能力,实现精细化调度。然而在建设过程中,面向用户精细化和精准化管理需求的提升,对于智慧热网的功能要求逐渐提高,为更好的服务用户,平台需要采用1:2000的矢量化地形图,在平台中实现楼栋和用户的精确管理。由于大量用户数据和地图信息存在敏感性,并且国家对信息安全越来越重视,现有的组网结构和分公司分散式的生产系统不能满足信息安全保护的要求。因此,智慧热网的建设,不仅需要围绕用户供热需求进一步提升供热功能软硬件平台能力,同步构建等保三级的信息安全能力,保障公司信息安全,同时需要引入数据中台整合孤立的生产数据和经营数据,发挥大数据作用,促进系统从“人治”到“数治”的转型发展[[1]]。
本文以太原热力建设智慧热网的遇到的问题为例,分析目前各个生产系统和组网结构的现状和存在的问题,提出在数据机房建成后生产系统云化迁移和网络安全的部署建议,在智慧热网的建设、维护和运营中进行了实践,相关经验供同行智慧热网建设平台参考。
集团公司共有11家分公司直接供热调度运行工作,每个分公司均部署SCADA系统、全网平衡系统、视频监控系统和Web发布系统,负责分公司所属热力站的生产运行与监控工作。2016年太古高温网投入运行,为了实现太古高温网系统六级泵的联调联控功能,增加高温网PVSS系统负责高温网的运行调节控制;随着太古热网的供热面积逐渐增大,为了更好的调节太古热网内各个热力站的水力平衡,增加太古热网全网平衡系统;2018年,增加EZ系统,负责各分公司运行参数的汇聚采集、监控和历史数据查询;2019年,集团公司开始实施“三供一业”改造工作,实现分户控制,热力公司的管理范围由热力站延伸到了热用户,为了方便管理与调节,生产系统引入了“三供一业”控制系统,负责“三供一业”移交改造小区生产数据的采集、监控和二次网平衡调节等功能;此外,集团公司还有热计量系统,负责对部分用户用热量进行数据采集和收费管理;室温采集系统负责对用户的室温进行采集,反馈供热效果[[2]];生产业务系统现状如图1所示。
图1 生产业务系统现状示意图
2018年,集团公司提出建设智慧热网平台并开始实施,采集供热运行数据,实现生产调度管理、能源管理、设施管理和数据管理等等功能;目前,各个热源的主要参数、集合所有分公司热力站和关口运行数据的ez系统、热计量系统、室温采集系统、“三供一业”系统和太古高温网系统都已接入智慧热网,全网平衡系统和分公司的SCADA系统以及视频系统未接入。智慧热网接入系统如图2所示:
图2 智慧热网接入系统示意图
在智慧热网平台建设初期,没有先例可以参考,整个软、硬件的架构设计未能有效统筹规划,硬件设施以及网络安全随着业务的扩展和功能要求提升,相关问题逐步显现在很大程度上制约了智慧热网平台整体的发展,具体问题分析如下:
1)分公司的各个生产系统已经运行多年,个别分公司的硬件设备已经超过服役年限,设备稳定性不足,亟需换新,并且分散式机房硬件资源使用率低且不能共享,能耗巨大。
2)分公司各个生产系统独立建设,在建设智慧热网平台时,只是将数据统一接入平台,也没有进行数据的整合和治理工作,没有统一数据入口与出口,信息孤岛仍然存在,新数据的纳入非常繁琐,不能充分发挥数据的作用。
3)信息安全监管要求提升,目前公司的信息与网络安全不能达到国家关于信息安全三级等保要求,如果改造分散式机房来满足等保III级要求代价过高且难以实施。
4)现有平台部署新业务不够灵活,不仅需要重新购置硬件设施,而且生产数据需要与多个系统对接配合,实施难度大。
5)部分机房条件差且没有专业的机房维护,多数业务缺乏高可用性保障,无法提供7×24小时不间断服务。
集团公司11家供暖分公司负责不同区域的供暖工作,分公司自主选择通讯运营商,实现各个系统与热力站点或关口的信息传输。现网共租用三家运营商的专线数量总数为2188条,租用带宽从2Mbp/s至300Mbp/s不等,根据使用情况,宽带按月或者年计费,不同运营商宽带价格不同。按运营商统计,使用中国移动的宽带数量最多;按宽带大小统计,4M和300M的宽带数量最多,都属于热力站与分公司之间的信息传输,其中4M宽带为专线形式,300M宽带属于家庭式宽带应用到热力站中。按业务区分,主要是生产系统使用。具体网络详情见下图。
图3 热力集团专线运营商分布情况
图4 热力集团专线带宽分布情况
用途 |
专线数量(条) |
办公 |
17 |
办公及生产(控制室) |
1 |
财务 |
18 |
供热计量 |
2 |
生产(分公司互联) |
6 |
生产(控制室) |
50 |
生产(热力站) |
2092 |
室温监测 |
2 |
合计 |
2188 |
表1 热力集团专线用途分布情况
分公司在自控系统建设时,热力站与分公司之间只进行生产数据的传输,没有数据或者功能需要使用互联网,因此采用数字电路的方式即可实现,以全网平衡系统为例,网络拓扑结构如下:
图5 热力集团自控系统组网结构示意图
在智慧供热平台、“三供一业”平台等投入运行后,由于集团公司不在内网范围内,而且需要查看的信息和使用人数增多,生产系统开始使用互联网,以智慧热网为例,系统网络拓扑图如下:
图6 三供一业系统组网结构示意图
2.2.3 存在问题
对当前集团公司使用网络现状以及业务系统的网络结构进行整理分析,存在问题如下:
1)生产网络、管理网络、专线网络、互联网网络存在网络交叉,网络结构不清晰;网络涉及多家运营商,IP地址三级运营商分配,地址不规范,影响整体业务。
2)网络安全不完备,内网系统无安全设备、互联网网络仅部署防火器,缺少安全防御和信息安全管理相关系统,存在网络信息安全隐患。
3)由于分公司生产服务器相对分散,对专线网络的需求也就相对分散,因此存在业务租用互联网带宽数量相对偏多,组网不够经济合理。
4)热力站到分公司的通信网络,由于分公司与运营商只能签订单一合同,导致部分换热站受限单一运营商网络缺少网络导致换热站数据传输缺失。
5)部分换热站专线开通数量不合理、或是专线租用带宽与业务需求不匹配,导致部分专线链路带宽利用率偏低、部分专线带宽过度租用等相关问题。
6)各运营商采用的网络技术、价格均不一致,不利于公司专线的统一维护和管理。
通过对目前集团公司生产业务系统和网络现状的分析,结合目前调度中心的建设,为满足太原热力集团智慧供热业务的发展,推进公司信息系统集约建设,对生产系统进行迁移上云,构建集团智慧热网云平台,整合集团公司生产网络,并进行网络安全设置,达到三级等保的要求。
所有分公司的生产类系统如智慧供热、EZ监控系统、全网平衡系统、室温采集系统、热计量系统及三供一业系统迁移至云计算平台,实现集约化的云化部署,提升基础资源的利用效率、降低运营成本;由于EZ系统和分公司SCADA系统功能相似,并且分公司现有SCADA系统已投入时间较长,系统迁移存在大量不确定性,故本期只迁移EZ平台至数据中心云平台,稳定后逐步代替原有的SCADA软件,在不影响生产的情况下原有SCADA系统暂保留作为安全备份手段;太古高温网系统承担着太原市三分之一的供热面积,采用西门子分布式控制系统,没有系统云化的先例,存在云化迁移的不确定性和风险,重新购买支持云化的新系统费用偏高,综合考虑技术和经济性,为了保证高温网系统的安全稳定运行,现有太古高温网系统维持原方式运行,不进行云化。
在确定迁移的生产系统后,太原热力对所有需要迁移上云的系统进行详细调研,调研包括满足系统运行和处理的CPU计算资源、内存容量和数据存储的容量,以及支持程序运行的操作系统、数据库、中间件等相关支撑性软件,根据业务的差异化需求,将云计算资源细分为多个不同能力的特性资源池,通过结合业务应用场景分析虚拟化计算和存储资源需求,确定云资源池所需的CPU、内存和存储容量,并预留未来三年每年30%资源需求增长率作为硬件基础资源扩展,根据业务发展分期建设。
考虑到本期系统关系到太原全市的供热保障,受到信息安全侵害会对社会秩序和公共利益造成严重损害,根据国家信息安全等级保护要求,本期将迁移至云平台的自控系统纳入信息安全三级等保管理,提供安全的计算环境、安全通信网络、安全的管理中心,有效保障系统和业务的安全性。分公司不再设置生产类服务器,仅通过安全管控下远程终端进行访问,最大程度地提高生产管理集约化和安全化[[3]]。热力站通过专线接入安全网络,经过等保安全系统的检测和防御后接入自控系统,后期综合评估成本、效益和安全,考虑热力站的边界安全建设。
由于多数分公司硬件系统使用时间超过服役年限,并且考虑软件系统迁移上云的不确定性,部分硬件系统不进行搬迁,作为备份手段保留在分公司;部分系统综合考虑硬件性能,部分硬件搬迁至数据中心集中化管理,并纳入安全系统管理。本期考虑太古分公司不进行云化迁移的太古高温网系统,设备使用年限较短、硬件性能较好,将太古分公司部分业务系统的组网设备(服务器、磁阵等)搬迁至数据中心,搬迁的系统纳入网络信息安全系统的管理,保障业务的安全性。
目前各分公司大约有2026个热力站,分公司系统上云后,结合数据中台与数据中心网络整合,实现大数据分析与应用,需将所有热力站信息统一汇聚,因此在完成云迁移后,要对各热力站的IP地址重新进行规划和调整,调整的基本原则如下:
1)对目前所有热力站的IP地址进行梳理,保证IP地址的唯一性,不冲突的网址不进行更改,尽量减少更改量。
2)对于需要更改IP地址的热力站,参考其同一支、干线的热力站地址进行配置,尽量保持连续性。
3)对于后期新建热力站IP地址的分配,分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性;
4)在新建热力站的IP地址规划时,尽量使每个地址具有实际含义,看到一个地址就可以大致判断出该地址所属的设备。
针对目前太原热力集团专线现状和问题,分别从热力专线和分公司专线进行规划整合。:
3.4.1 热力站专线汇聚整合
热力站至分公司的数据传输采用数字电路专线的形式,由分公司自主选择运营商,存在三家运营商专线混用,在生产系统云化迁移后,所有热力站生产数据的汇聚点由分公司调整为数据中心,并且将当前数据、视频分离的专线整合成一条综合专线承载该热力站的所有业务(含自控、视频)。经过现网流量统计分析,热力站至分公司的流量年内峰值流量为0.58Mbp/s,平均流量0.036Mb/s。专线整改优化时,热力站的专线带宽统一开通4M带宽,以满足热力站自控数据实时上传及视频监控使用。
3.4.2 分公司数据专线优化整合
智慧热网、ez以及太古一级网的全网平衡等主要系统部署在太古分公司,作为热力站汇聚点的分公司需要将汇总的自控数据和视频数据上传至太古汇聚,因此需开通至分公司至太古调度中心的通信网络,采用运营商的数字电路专线形式进行组网,网络架构采用星型架构组网模式,网络架构示意图如下图所示。
数据中心建立后,位于太古分公司的生产系统将搬至数据中心,考虑到数据中心与太古分公司紧邻,保留太古至10个分公司现有数字电路专线,将业务接口调整至数据中,太古分公司则通过光纤直驱与数据中心互联互通,无需租用运营商专线带宽。
分公司至太古专线同样是由视频专线和自控数据专线两条,在整合时进行合并,由1条
图7 分公司-太古专线星型架构组网示意图
专线综合承载该分公司的所有业务(含自控、视频等),现有带宽暂时保持不变。
3.4.4 智慧热网、三供一业、计量、室温等专线整改
智慧热网、三供一业、计量、室温等专线均采用运营商的互联网专线形式进行组网,在数据中心投运后,撤销智慧热网、三供一业、计量所有专线,智慧热网、三供一业、计量等所有业务均由分公司至数据中心专线承载,数据中心统一开通2条1000M互联网专线作为整个公司的唯一互联网访问出口。
整合后网络拓扑示意图如下图所示。
图8 整合后网络拓扑示意图
4、网络信息安全系统建设
数据中心建成后,所有的生产数据在数据中心进行汇聚,因此数据中心城为整个公司的安全防护和管理中心,系统的整体的安全尤其重要。根据国家信息安全等级保护要求,建设满足三级等级保护信息网络系统,包括新建DDos流量清洗系统、防火墙、IPS入侵防御、APT高级威胁检测、漏洞扫描、防病毒系统、数据库审计系统、安全管理平台、日志系统等安全防护系统,组成综合安全防护区,为整体智慧热网平台提供网络信息安全保障。未进行云化迁移的太古高温网系统以及其他非生产系统均根据安全保护需求,可同步纳入此安全系统,统一防御管理[[4]]。网络系统如下如所示。
图9 智慧热网安全中心组网结构示意图
集团公司内部,各分公司通过VPN专网安全访问,与互联网隔绝,再通过平台中的安全系统进行身份认证,应用识别,防攻击等过滤后,接入内部平台访问,实现内网安全访问,杜绝互访和隔绝病毒的传递。
远程互联网的安全访问,采用VPN认证+平台认证的方式进行,外部用户VPN连接后,将与互联网离,只允许访问平台,杜绝了互联网的影响和安全隐患。
移动端通过运营商开通VPDN专网,与互联网和其他4G客户隔绝,利用四道加密措施(SIM卡绑定认证,网络加密认证,电路加密,LNS路由器用户名密码认证),再结合机卡绑定,保证任何访问平台的数据都将进行加密,隔绝互联网,确保移动端的网络安全。
5、数据中台
在生产系统云化后,系统和数据逐步汇聚到云平台中心[[5]],系统依然是按照垂直化、个性化的业务逻辑部署,数据重复且不一致,烟囱式系统间的集成和协作成本高。将统一规划数据中台,对全网的数据梳理、整合、规范和统一。将数据进行有效的统一收集、处理、存储、计算、分析、共享和可视化呈现,将企业全域、海量、多源、异构的数据整合资产化,形成全网统一价值化的数据资产,优化整体的系统架构,实现数据和应用的分层解耦,为业务前台提供数据资源和能力的支撑,彻底解决信息孤岛、多源数据等问题,为实现精确供热、按需供热的精细化调节提供数据基础,实现数据驱动的精细化运营[[6]]。
1)打通生产系统的数据集合。整合全网现有生产系统的数据,实现生产应用主数据的一致性、可溯性、数据的关联性,上层应用的数据调用、操作将从统一的数据层进行数据的存储、读取和操作,相关业务主数据保持全网唯一性。
2)数据中台具备架构和应用的灵活性,能够根据热力公司业务应用需求和数据需求,构建灵活新建的数据模型和数据应用。
3)支撑数据服务,即数据管理平台上提供数据或数据分析结果的服务,能够将数据中台的统一数据提供企业应用(如EZ平台、全网平衡系统、室温控制系统、太古高温网系统、智慧热网等)访问和分析[[7]]。
6、结论
本文以太原热力为例,介绍了太原热力目前生产系统和网络的情况与问题,基于目前存在的问题,在数据中心建成后如何进行现有生产系统的云化迁移和网络整合,并且解决数据分散不统一的问题。基于太原热力近几年建设智慧热网的历程,总结经验如下:
1)在智慧热网建设之前,做好平台整体顶层规划,梳理业务系统现状,确定需要云化的系统,根据业务需求和特点,确定智慧热网云资源池资源需求,为智慧热网平台提供坚实的硬件基础。
2)针对公司组网,以业务场景区分,综合考虑带宽需求、网络安全、组网成本、网络运维管理等因素,整合优化网络结构和IP地址规划。
3)优化公司专线,基于热力站、分公司、互联网专线、三供一业相关业务系统专线,以业务特点和流量进行细化分析,建设结构清晰、带宽合理、网络安全的专线。
4)根据国家信息安全等级保护要求,构建满足等保三级的网络信息安全中心,为智慧热网提供安全可靠的网络和信息安全,保护业务和数据的安全。
5)面向公司数据孤岛问题,提出数据中台建设方案,对全网的数据梳理、整合、规范和统一,支撑智慧热网统一数据资产管理和分析,实现数据驱动的精细化运营。
参考文献:
[1]]蒋涵,刘旭辰.智慧供热管控平台的研究[J].煤气与热力.2021.5
[3]《 信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)
[4]《信息安全技术网络安全等级保护实施指南》(GB/T 25058)