数字发电一体化电厂解决方案21.pdf

第 1 页 数字发电一体化_电厂解决方案 方案相关内容 概述 随着我国电力行业“厂网分开，竞价上网”电力市场的起步与发展，五大发电集团的成立，电厂、电力集团成为一个独立企业，参及市场竞争。作为一个发电企业，在安全性、可靠性约束条件下，追求利润的最大化是它的主要目标。在市场经济条件下，电力企业最重要的目标之一就是以较少的投入获得最大的产出。要实现这一目标，就需要进行企业管理整体优化，实现管理科学化、规范化，对企业资源诸要素进行优化组合与合理配置，通过纵横协调，使企业人流、物流、资金流、信息流实现合理交换。不过，要使管理科学化真正具有可操作性而不是停留在一般概念或号召上，则需要采用计算机辅助管理，使信息加工自动化，提高信息的准确性、及时性，这就要求要有一套符合发电企业生产经营特点的安全、可靠、先进的电厂信息系统。需求分析 在电力市场环境下的电厂信息化建设总体目标，必然围绕企业利润最大化进行并为之服务。随着信息化技术的深入应用，将利润最大化的企业目标必将落实到信息化建设的管理与技术上，通过信息化系统，为电厂的经营管理者服务，在管理与技术上提第 2 页 供增加销售收入与减少生产成本手段与工具。为此信息化系统需要在加强内部控制，降低运营成本方面起到更加重要的作用，随着电厂中各项业务系统的不断发展，只有将各个业务系统进行统一部署、集中管理，这样才能减少运营维护成本，提高运行效率，使电厂信息化系统能真正为发电企业提高效益这个目标服务。IT推动业务变革 虽然电厂信息化系统对发电企业提高效益起着至关重要的作用，但是现有电厂信息化系统建设中也存在一些问题：1）缺乏统一规划，还是各自系统、各自产品独立建设；2）缺乏统一标准，厂家自行定义规格，造成产品、设备间无法互连互通，也无法实现融合；3）只关注系统实现功能，而轻视了对系统的管理，特别是在规模越来越庞大的情况下，粗放式的简单管理只能带来电厂信息化系统的灾难；4）安全措施各自为阵，安全漏洞依然无法解决，安全威胁仍就肆意猖獗；第 3 页 5）通用性的网络设备，无法根据业务的发展、行业的特性进行定制，造成电厂信息化系统带来的优势在无差异化的环境下无法发挥最大优势。显然不解决以上这些问题，就无法实现电厂信息化系统能真正为发电企业提高效益这个目标服务。那我们应该如何去解决这些问题呢？数字发电一体化H3C 电厂解决方案 针对电力行业的特点及应用发展情况，H3C 公司基于 ITOIP技术体系架构提出了“数字发电一体化”电厂解决方案，通过标准的 IP 协议实现网络、安全、存储、视频监控等主要技术体系的融合及系统化；通过一体化解决方案将电厂内部各个业务系统进行统一部署、集中管理，从而实现减少运营维护成本，提高运行效率，使电厂信息化系统能真正为发电企业提高效益这个目标服务。H3C 数字发电一体化解决方案模型 通过基于 IP 协议的 H3C 产品将数据、视频监控、网络安全、数据存储及备份进行融合可为电厂带来诸多好处,整个系统可实现丰富的功能，可将多套系统进行有效的融合,总体拥有成本低、第 4 页 效率高、受地理分布限制少、可用性及适应性强、可实现集中管理及控制。H3C 数字发电一体化解决方案总体拓扑图 基础网络 在当今电厂内部，用户的工作平台首先是一个网络平台。在工作中，及同事、外部客户、内部核心服务器等大量数据、信息的交流沟通日益成为工作的核心。而随着业务创新的发展与体系结构、功能的增强，组播或视频点播、带大附件的电子邮件、文件传输器、按需备份与恢复、CRM/ERP 以及 Web 与 Java 工具等多种应用都成为吞噬带宽的杀手，传统的百兆带宽已经不能满足需求，千兆位以太网逐渐延伸到桌面已经成为最迫切的需要之一。同时为了确保电厂内部各项业务系统的安全,H3C 利用其设备自身丰富的安全特性为电厂构建一个安全的局域网。按照电厂内信息系统所覆盖的内容及业务特点，在不破坏已有网络，新的子网模块与新的网络技术又能更容易集成进整个系统的前提下，H3C 采用了区域化的结构设计思想，将整个系统按应用层次的不同分成不同的区域，包括 MIS 系统与 SIS 系统两大区域。整个网络的核心交换设备采用 H3C S9500E/S9500 万兆核心交换机双机组网，关键服务器通过双链路连接到 H3C S75E。办公区第 5 页 域楼层交换机采用 H3C 56/55/51 系列，双链路上联到核心交换机 H3C 9500E/S9500。SIS 系统采用独立设计，H3C S75E 交换机作为 SIS 系统的网络核心，DCS 与 PLC 等控制系统网关机连接到核心交换机；实时/历史数据服务器通过千兆光纤/电口连接到核心交换机；SIS 工作站、负荷分配站、值长站、维护站都通过千兆电口连接到核心交换机。H3C 数字发电一体化解决方案基础网络拓扑图 同时在各级交换机利用交换机自身具有丰富的安全特性，保证网络免受根桥伪装攻击、TCN 攻击、路由源伪装攻击、ARP 欺骗攻击、MAC/IP 地址欺骗攻击、DHCP 服务器欺骗攻击、根桥伪装攻击、TCN 攻击、路由源伪装攻击等各种局域网中常见的攻击，保护关键业务。统一安全 采用 H3C 交换机直身具有的安全特性可以确保电厂局域网的安全，但是由于电厂的网络系统还要及外部进行连接，会使电厂内部系统遭受到外部的攻击，同时终端用户的病毒爆发也会网络造成很大的影响，因此除了采用安全设备构建安全的局域网之外，还需要通过更多安全防护手段来保证整个电厂信息系统的安全。第 6 页 终端安全策略部署 目前电力二次防护系统针对病毒、蠕虫的防御体系还是以孤立的单点防御为主，如在个人计算机上安装防病毒软件、防火墙软件等。当发现新的病毒或新的网络攻击时，一般是由网络管理员发布病毒告警或补丁升级公告，要求网络中的所有计算机安装相关防御软件。从企业病毒泛滥、损失严重的结果来看，当前的防御方式并不能有效应对病毒与蠕虫的威胁，存在严重不足。H3C 端点准入防御（EAD，Endpoint Admission Defense）EAD提供了一个全新的安全防御体系，将防病毒功能及网络接入控制相融合，加强了对用户终端的集中管理，提高了网络终端的主动抵抗能力。EAD 方案通过安全客户端、安全策略服务器、接入设备以及防病毒软件的联动，可以将不符合安全要求的终端限制在“隔离区”内，防止“危险”终端对网络安全的损害，避免“易感”终端受病毒、蠕虫的攻击，从而大幅度提升了网络抵御新兴安全威胁的能力。EAD 工作原理 网络边界安全策略部署 电厂局域网承载折包含企业办公自动化系统(OA)、MISERP/EAM 等各种业务系统。接入用户复杂，应用繁多，并且及外第 7 页 部网络（包括银行及 Internet）有接口，易受到来自于外网的黑客入侵、DDoS 攻击，来自于内网的恶意攻击等，同时由移动存储设备、便携机等带入的蠕虫与病毒也是一大威胁。另外，企业网络中还会充斥大量的非关键应用（P2P，IM 等），将会大量占用宝贵的网络资源，让关键应用无法正常工作，会给企业带来巨大的损失。通过 H3C SecPath UTM 产品与 IPS 部署与使用，能够实现对外网黑客入侵与 DDoS 攻击，内网非法访问与恶意攻击，蠕虫与病毒等安全威胁的有效防御，可对 P2P，即时聊天等业务无关流量进行流量管理，保证关键业务的网络带宽。网络边界防护 网络安全风险管理部署 随着电厂信息化的不断提高，各类业务的增长，对于整网统一安全性的要求越来迫切。安全问题是由“短木板决定的”，常常会因为一个“短木板”导致重大的损失。在网络中，需要用到各种各样的安全设备，包括防火墙、VPN、防毒墙、业务服务器等。在这种情况下，H3C 的 SecCenter 安全管理中心解决方案可以发挥优势，在纷繁复杂的网络设备中，统一收集日志、智能分第 8 页 析、实时监控，完成统一管理，避免各种网络安全事件与日志上报到信息的孤岛，实现关联分析，综合管理。H3C SecCenter 安全事件统一管理能够提供对全网海量的安全事件与日志的集中收集及统一分析，兼容异构网络中多厂商的各种设备，对收集数据高度聚合存储及归一化处理，实时监控全网安全状况，同时能够根据不同用户需求提供丰富的自动报告，提供具有说服力的网络安全状况及政策符合性审计报告，系统自动执行以上收集、监控、告警、报告、归档等所有任务，使 IT及安全管理员脱离繁琐的手工管理工作，极大提高效率，能够集中精力用于更有价值的活动，保障网络安全。H3C SecCenter 安全事件管理中心 统一存储 目前，电厂信息化建设中主要由厂级管理信息系统（MIS）与厂级监控信息系统（SIS）构成。MIS 与 SIS 系统是发电企业信息化的核心支柱，是当今电厂业务的核心，为了保障发电企业的正常运营，必须为 MIS 与 SIS系统搭建坚实的基础。MIS 与 SIS 对于数据管理的要求如下：第 9 页 加强系统的可靠性，满足重要应用系统，如 SIS 的业务连续性要求 数据、尤其是 MIS 系统的数据呈指数增长，对于存储空间有更大的需求，并满足大量服务器的共享要求 建立完善的数据保护机制，实现自动化、操作简便、同时满足数据与系统备份保护的需求 双机双阵列，满足 SIS 系统的连续性要求：为了保障 SIS 系统的高可靠，发电企业往往采用双机集群的部署方式，用以防范由于服务器硬件故障导致的应用停顿。H3C 针对SIS 高可靠的需求，有针对性推出双机双阵列的解决方案，将原有的双机升级为双机双阵列。SIS 系统双机双阵列存储集群 如上图所示：采用 H3C 的两台 IV5000 与 EX1000 的组合，将两台独立的存储设备组合成逻辑上统一的设备。IV5000 上的同步镜像功能能够将数据同步“写入”分属于不同的 EX1000 设备上的磁盘，也就是将重要的应用数据同时保存在两台物理设备上。第 10 页 对于应用服务器而言，磁盘的同步“镜像”是完全透明的，数据的流转与控制由 IV5000N,不会占用主机资源，影响主机应用。双机双阵列能够规避单点故障，确保数据的高可靠应用。除了拥有单台 EX1000 具备的磁盘 RAID，热备盘保护，冗余电源、风扇等数据可靠性与可用性的保护机制以外，还能够提供设备级别的冗余。IX1000 组合内任何一台物理设备的损坏，都不会影响到业务的连续性。NeoStor 能够监测组合内物理设备的运行状态，如果发现出现设备损坏的情况，将自动地把路径切换到完好的设备上，对服务器完全透明，从而保证数据的可用性与业务的连续性。双机双阵列还能够获得更加优异的性能与更大的容量。通过控制器与存储容量的同步线性增长，进一步提高存储设备读写性能。消除所有单点故障，建立全冗余环境。网络层的数据镜像，不占用主机资源 快速切换：当磁盘系统出现故障时，能够实现秒级切换 MIS 系统的集中存储 第 11 页 发电企业拥有生产管理、生产统计、燃料、OA 等多套应用系统，属于典型的多服务器集中，海量数据存储的环境。MIS 系统集中存储 MIS 集中解决方案采用 H3C 的 IX3620/IX3000/IX1500作为存储系统实现了数据的集中管理。该方案采用IP SAN 交换机构建基于最高 10G 的 IP 存储区域网络（IP SAN）。所有需要连接磁盘系统的服务器，只要安装千兆网卡与软件的 iSCSI Initiator，就可以通过 SAN 网络获得存储空间设备，从而不需要额外购置HBA 卡。主流的操作系统 AIXHP-UXSolarisLinuxWindows 都支持这种千兆网卡加软件的 iSCSI Initiator 的实现方式。接入成本低，采用以太网卡与 IP SAN交换机的接入成本远低于 FC 的接入成本；组网方式灵活：既可以采用专门的交换设备，组成存储专用网络，也可以把存储设备、服务器直接连接在核心交换机上；既可以采用 SAN 连接方式，也可以采用 NAS 方式，满足不同的业务需要。高扩展性，由于采用了全交换的模块化体系结构，能够按照需求的变化，逐步增加存储容量与功能，从而降低初次投资金额。控制器、磁盘柜、交换容量第 12 页 可以灵活扩充，满足业务发展的需求，实现存储设备的性能与容量的在线线性扩展 支持远程的安全接入方式，远端的服务器设备可通过成熟、可靠的 IP 网络与安全传输技术接入到集中存储中；采用 iSCSI 技术搭建的存储平台：管理与维护简单方便，网管人员就能承担存储设备的日常维护工作，降低培训费用，提高人员利用率。数据备份与系统恢复 发电企业数据存储备份的需求主要在两方面，一是 MIS 信息系统数据存储备份（主要指服务器），其中部分关键业务系统要求能够有效、迅速的备份与恢复系统/数据，实现任何时候、任何地点、任何硬件平台的恢复，保障业务的连续可靠运行。二是为企业的员工依照不同工作性质，提供不同方式（IPSAN 或 NAS）、不同容量的个人数据存储备份空间，保障企业员工的工作站在接入企业网络后，获得安全、有效、便捷网络资源与服务。个人关键业务数据的集中存储备份，大大减轻发电企业信息中心的单机维护量与工作强度，进一步提高工作效率。MIS 系统数据与系统保护方案 第 13 页 如图所示：将在现有的 windows2000、windows2003 等服务器上安装专业的磁盘备份工具 DISKSAFE，自动地将整个服务器的磁盘数据（包括服务器操作系统与应用系统的业务数据）备份到网络上的备份存储系统上。同时，为大量局域网用户提供扩充的网络硬盘数据存储。存储备份方案采用 H3C 公司的 EX1500 磁盘阵列作为数据存储与备份的介质，在磁盘阵列上构建专用 NAS 与 IPSAN 存储系统，IPSAN 存储系统用于服务器的备份。备份软件采用 H3C 公司的DISKSAFE 软件，用以完成数据与系统的备份保护。统一监控 电厂是设备密集型企业，园区内部署众多生产环节中的重要设备，各种生产设备类型复杂，数目巨大，地域分布广，人工维护困难。同时，为适应减员增效与现代化管理的要求，确保生产安全稳定运行，需要对重要设备进行实时监控。由于电厂内部环境特殊对监控系统在可靠性、易用性及易维护性上，尤其对远程监控方面提出了更高的要求。H3C 是业界唯一提供含扩编解码、存储、网络与管理平台的网络视频监控 4 大基础组件的源厂商，同时也是唯一提供经过公司认证的其它合作伙伴完整监控解决方案的源厂商。H3C 提出了“让监控变得简单”品牌口号，基于 IP的交换、视频、存储、信令控制等多维度技术融合，让整个监控系统的规划部署变得简单、增值应用变得简单、管理维护变得简第 14 页 单、扩展升级变得简单，帮助电力行业用户打造高度融合与开放的完整监控解决方案。统一管理 随着业务变得越来越富有挑战性，信息技术领域的工作也变得越来越复杂。如何优化设备与网络配置，使网络系统充分发挥优势，是网络管理正面临的一项艰巨任务。H3C 业务软件产品提供了一个统一的平台架构，将网络管理、业务管理、用户管理、策略管理等各个部分深度融合，使各个模块能够互相协调与配合，达到统一面向业务的目的，这些模块之间的有机组合及分工，形成了 IP 智能管理中心的框架。IP 智能管理中心的框架。IP 智能管理系统由 IP 网络基础架构管理中心、IP 网络综合接入管理中心、IP 网络智能分析中心以及智能终端组成；采用模块化设计，每个管理控制中心既有专注的功能领域，也能够利用灵活集成与相互调用，实现部件与功能的共享。IP 网络基础架构管理：基础网络管理中心除了涵盖诸如网元管理、拓扑发现、参数配置、状态监控等传统网管软件的功能外，还可以实现网络业务、第 15 页 服务管理功能，如 VPN 管理、网络能力基线识别、历史数据深层分析、业务影响关联分析等，也可以灵活扩展到对桌面、服务器、存储等网络实体的管理。在基本管理方面，H3C 公司提供了 iMC 网络管理软件，可以对 H3C 全线数据通信设备实现统一管理与维护，并为用户提供了灵活的组件化结构，用户可以根据自己的管理需要与网络情况灵活选择需要的组件，真正实现“按需建构”。IP 网络综合接入管理中心：一个完整的网络，用户可能以各种方式接入，如宽带接入、拨号接入、VPN 接入以及 IP 的 VOIP 接入，对网络边缘的接入控制也是网络安全的重要保障，同时是网络运营的保证。IP 网络综合接入管理中心通过各种模块的控制，对各种方式的接入用户进行有效的身份管理以及安全保障，同时通过接入控制的机制使得网络可运营、可管理。用户管理中心及桌面、终端管理相结合，可以控制不良信息的发布与用户的网络行为；同时，将对网络资源的控制及人关联起来，提供基于角色的网络服务，确保合适的人、以合适的方式、在合适的时间、通过合适的网络路径，获取合适的信息。H3C 针对企业网用户需求开发的低成本、可扩展的综合访问管理系统及 H3C 全系列产品配合组网，完成对终端用户的认证、第 16 页 授权、计费与权限管理，实现企业网络业务与用户的精细化可管理，保证网络与用户信息的安全。IP 网络智能分析中心：基础网络管理中心从设备生命周期的角度对网络进行管理，智能分析中心实现了自动化与精细化的深度分析，实时探测网络资源的分配状况，结合业务优先级与服务水平协议，按照预定策略实现网络资源的按需分配。IP 智能分析包括了用户行为分析、网络流量分析、安全事件分析、故障深度分析以及服务质量分析等分析模块，通过这样的深度分析及推理机制，管理员可以有效了解整个网络的运行状况、带宽占用状况等信息，为用户进行下一步的网络优化及控制提供了有力的依据。IP 智能管理中心中的各个管理控制中心不是彼此孤立的，多个管理控制中心互相联动，实现对业务应用的有力支撑。IP 智能管理中心一体化联动 方案优势 先进的网络：用户的接入不再是百兆带宽，而是千兆直接接入网络，提供 10 倍及原来的带宽。有了高带第 17 页 宽，应用业务的开展将更为方便及灵活，数据、语音、视频等多种业务开展带宽有保证。综合防护保安全：H3C 提出全面、立体、深层防护的安全理念，并提供防火墙、VPN、防病毒、主动式入侵防御系统（IPS）、安全管理软件等全系列产品，从 Internet出口、城域网内部、网络设备安全管理、用户认证、安全策略等多方面、多层次实施，形成高效的综合安全解决方案。先进的存储技术：采用 IP-SAN 存储技术，通过高速以太网络连接服务器与后端存储系统，继承了FC-SAN作为 SAN 的优点，弥补了 FC 的不同厂商之间兼容性差、维护与扩容成本高昂等方面的不足。完善灵活的备份机制：IX1000 与 Disksafe等软件能够同时完成数据与系统的备份，不仅保证了数据安全，还实现了应用服务器操作系统、应用系统与环境配置的保护与快速恢复。应用集成：将监控中的视频设备、IP 网络、IP SAN 存储及监控管理软件有机的融合为一个整体，充分发挥了 IP 网络、IP SAN、模块化软件等各种最新技术的优势，使之在监、控、存、管、用等各方面获得最佳的综合表现。总结 第 18 页 H3C“数字发电一体化”电厂解决方案可为电厂带来诸多好处,整个信息系统可实现丰富的功能，通过标准的 IP 协议实现网络、安全、存储、视频监控等主要技术体系的融合及系统化；通过 H3C“数字发电一体化”电厂解决方案将为电厂构建一个高效、稳定、安全的信息网络系统，通过一个开放的架构把先进的技术及电厂各种应用系统统一为一个整体，实现管理科学化与利润最大化，使电厂的信息化建设从成本中心转变为利润中心、智能决策中心。解决方案订购信息：方案模块 方案特性描述 典型实现产品 基础网络平台 网络承载平台 H3C S9500E/S9500/S7500E H3C S5800/S5500/S5600 综合安全平台 网络安全防御 EAD 安全业务组件 IMC 基础接入管理 IPS、SecPath 系列产品 数据存储平台 集中存储解决方案 H3C IX3000/IX2000/1X1500 灾难备份/恢复解决方案 IV5000 WINDWOS 保护/恢复解决方案 IP base Replication 第 19 页 TIMEMARK/TIMEVIEW 软件 Disksafe 软件 监控平台 安全监控 H3C VM8000/5000 H3C DM8000 H3C ISC3000 H3C EC/ECR/DC 系列 智能管理平台 设备管理 H3C iMC 流量分析管理 H3C iMC/Xlog-NTAS 终端用户安全防护系统 H3C iMC/EAD 用户行为审计 H3C iMC/Xlog-UBAS 集中安全策略管理中心SecCenter H3C iMC/SecCenter Neocean 存储系统管理软件 H3C iMC 监控管理 H3C iMC 典型应用 兰溪电厂 MIS 系统 兰溪电厂拓扑图 浙江浙能兰溪电厂由浙江省能源集团、浙江省东南发电股份等家投资方共同投资，总投资约 106 亿元。电厂建设规模为 4第 20 页 台 60 万千瓦国产超临界燃煤发电机组，工程动态主厂区占地面积约 1800 亩，是浙江省“五大百亿”工程之一。此工程于 2004年开工，2006 年首台机组投产发电，至 2008 年四台机组将全部建成投产，H3C 公司全力配合兰溪电厂，共同完成电厂的 MIS 系统建设。本次兰溪电厂 MIS 系统全网采用 H3C 公司产品，1 网络子系统包括万兆核心交换机S9512、全千兆三层智能弹性交换机 S5600；2 安全子系统包括 H3C IPS，端点准入防御系统 EAD、SecPath 专业防火墙；3 存储子系统包括 IX5000、IX1000，分别作为主存储系统及备份存储系统。通过 H3C 完善的产品线，兰溪电厂搭建了一个高品质、可管理、高可用性的网络基础平台，对电厂生产、业务管理提供了坚实的基础平台，有力推动了电力业务的发展。