“碳中和”是今年两会的热词。
政府工作报告中指出,我们要扎实做好碳达峰、碳中和各项工作,制定 2030 年前碳排放达峰行动方案,优化产业结构和能源结构。同时,我们要在 2060 年前实现“碳中和”的目标。
目前,大家在节能减排方面,普遍认为推动数字化技术与能源行业技术的融合创新,是引领能源行业数字化转型和产业升级的重要手段,也是与植树造林、禁止滥砍滥伐等具有重要意义的长期战略。
英方软件致力于行业数字化转型及数据安全的长期发展,在能源数字化转型方面,为国家电网、南方电网、中国石油天然气集团、中国神华神东等国内能源公司提供数据安全、业务连续性、数据管理等应用。在实践的过程中,英方工程师也总结了能源行业信息安全应用的宝贵经验:
一、行业概述
能源行业,指从事开发利用自然界中各种能量资源及其转变为二次能源的工业生产部门,现已基本实现了计算机自动化管理与监控。随着数字技术和互联网的日益普及,能源服务商开始抓住契机,通过大数据、物联网、云计算、人工智能、5G 等新兴技术技术,实现安全、效率、成本等管理流程的自动化、智能化、可视化。
如今,无论是企业内部的管理流程,还是能源产品的开发、运输、流通等环节,都能够通过数字化解决方案进行全方位的优化,帮助企业核心竞争力的快速提升。然而,在信息化带来便利的同时,能源行业对信息系统依赖程度也在加深,一旦发生系统故障,将会导致大面积的业务中断,停工停产带来的损失将非常大。因此信息化建设的安全问题,是能源行业生产安全的重要组成部分,管理者不能不提高警惕。
以石油行业为例,其基础设施常被网络不法分子恶意攻击,由于攻击重点大多集中在控制系统上,因此系统一旦被攻破,轻则影响石油生产系统的正常运行,重则影响国家的石油储备计划。
针对能源行业信息建设与安全保障的突出问题,国家出台了一系列法律法规,强化行业网络安全,其中:
《关于加强工业控制系统信息安全管理的通知》重点指出,加强重点领域工业控制系统的信息安全检查、监管和测评,实施安全风险和漏洞通报制度。要加强新技术、新业务信息安全评估,强化信息产品和服务的信息安全检测和认证,支持建立第三方信息安全评估与监测机制。
《关于推进“互联网+”智慧能源发展的指导意见》从国家安全、系统安全和用户信息安全需求出发,推进能源信息的分级分类。加强能源大数据采集、传输、存储、处理和共享全过程的安全监管。加强能源互联网信息基础设施共建共享,建立贯穿能源全产业链的信息公共服务网络和数据库,加强上下游企业能源信息对接、共享共用和交易服务。鼓励互联网企业与能源企业合作挖掘能源大数据商业价值,促进能源互联网的应用创新。
二、行业现状与需求
根据国际能源署《数字化和能源》预测,数字技术的大规模应用将使油气生产成本减少 10%—20%,使全球油气技术可采储量提高 5%;太阳能光伏发电和风力发电与数字技术的融合,让各类可再生能源的整合更具灵活性,仅欧盟地区,即可在 2040 年实现 3000 万吨二氧化碳排放量的减少。
全球能源行业的数字化趋势旨在推动企业向低碳化、清洁化、终端能源电气化发展,而这其中,数字化技术扮演了至关重要的角色。
基于数字化技术,能源服务商能够实现对能源的合理规划和控制以及管理的可视化,真正做到生产、供电、供水、供气、供热等设施运转状态的全链条实时监控,为能源规划和控制提供可靠的数据依据,提高业务效率、节约管理成本,提升能源使用效率与节能增效水平。
(1)电力行业
我国电网调度采取了分层设计,分为县级、地区级、省级、大区级和国家层级。其中最重要的是大区级调度中心,如华北、华中、华东、西北、西南电网等等,这些大区调度中心承担着具体的电力监控调度职能。我国自行研制的 Open3000、DMIS 或新一代的 D5000 电网调度自动化管理系统是电网的核心监控调度系统。
D5000 作为一个调度平台,其包含了众多的子系统,包括 SCADA 数据采集与监控系统、FES 前置系统、PAS 数据分析与处理的高级应用系统、EMS 能量管理系统、国产数据库系统等等。这些调度信息系统部署在我国的各大电网片区的调度中心以及其他各类调度中心。
电网是关系着国民经济命脉的重要资产,电力生产调度网络需要绝对的安全可靠。同时,随着电网智能化程度的深入,越来越多的数据产生于电力资源“输、发、变、配、用”的各环节。因此,对电力系统的实时安全防护要求越来越高,数据安全保障、业务持续可用、数据分发低时延等,已然成为电力通信发展的重要环节。
(2)煤炭行业
煤炭行业是我国的支柱能源,为我国经济社会发展提供了 60% 以上的基础能源保障,井下机器人、智能传输机、数字矿山、智慧运输等数字化转型成果,正颠覆传统煤炭行业管理格局,通过信息化技术,大大减少用人成本、安全隐患,为生产工艺优化、远程系统管理、应急救援指挥、交通运输等提供强有力的技术支撑,实现技术驱动的精细化管理。
以传统的“三机一架”为例,基于信息化技术,现已不需要大批矿工到实地进行操作,通过对系统的远程控制,即可实时观测煤炭的运输情况,控制井上井下皮带的开停。煤炭企业可依托云计算实现重点设备的上云,加速产业数字化驱动,打通产业数据链条,实现煤矿生产全流程智能化运行。这也对云上数据安全和应用安全等方面提出了更高的挑战。
(3)石油行业
随着油气钻探技术的不断升级,我国钻井技术从人工机械化钻井发展到自动化钻井,自动化水平越来越高,集成度、可操作性、安全性也越来越高。RTU、PLC、SCADA 等设备或系统被大规模运用在石油行业,进一步提高了石油开采的效率和石油油品质量。石油开采环节由于井场数量庞大、分布广泛,都需要接入调度中心,这对工业控制系统网络提出新的挑战。
同时,油田企业的生产信息化建设要求油水井和站库的生产数据实时接入各种应用平台, DCS、SCADA 等生产控制系统逐渐与企业办公网相连,这也间接地与互联网互联互通,在网络建设过程当中必须要考虑互联所带来的网络安全、管理归属、运维保障等安全问题。
除了各类专用系统之外,能源行业还应用了大量的信息系统,用于承担各类业务,如协同办公系统、人力资源管理系统、生产和营销管理系统、财务系统等等。近几年,虚拟技术也在能源行业得到了广泛应用,许多不是很重要的业务系统均移到虚拟化环境下运行,提高了资源的使用效率。
综上,能源企业的数字化转型已是大势所趋。虽然数字化转型能够加速能源产业发展,在安全管理、生产效率、成本投入等方面带来积极的反馈,但同时,它会使能源系统更容易受到网络攻击、系统故障等因素的影响。且随着各系统、设备之间的互联互通,系统中存在安全隐患的节点越来越多,如:设备上云的过程、业务系统数据库故障、勒索病毒攻击、新旧设备交替等,潜在的安全威胁变得越来越不可控。
完全防止网络攻击是不可能的,但如果各国政府和企业做好充分准备,将能够降低网络攻击造成的影响。建立完备的灾备系统,由原来的被动防守转变为主动防御,从数据本源出发,降低数据和应用不可用对系统和业务造成的影响。
三、应用场景与解决方案
针对不同场景下的生产、工控系统等,能源行业需要根据不同的系统和场景需求,提供详细的等级保护方案,以便在发生故障或出现重大灾难时,能够立即进行业务切换,保障重要数据安全。
(1)电力系统在线迁移上云
场景特点:海量设备数据上云;异构平台数据迁移。
用户需求:数据增量实时同步;迁移过程无需业务中断;系统数据快速迁移。
△电力系统上云架构图
应用实践:针对用户电力系统的现状,英方采用 i2Move 在线服务器迁移解决方案。i2Move 将复杂的系统迁移工作简单化,且在生产系统不停机情况下迁移操作系统、应用程序、用户信息、网络配置等所有的数据,整个迁移过程时间可预测,并可在迁移完成后立刻切换到新系统,真正迁移过程服务不终止。
(2)工业系统数据库跨操作系统容灾及防勒索病毒
场景特点:业务涉及重要信息,且多并发。
用户需求:数据副本集中管理;灾后数据任意时间点恢复。
△工业系统跨平台灾备架构图
应用实践:通过 i2Active 数据库语义级的数据实时复制和同步软件,将生产端的 Oracle RAC 实时同步到 Oracle 服务器;然后通过级联方式,在异地备份中心采用 i2CDP 将 Oracle 数据库数据实时同步到备份服务器,实现 Oracle 数据库数据的双重保护。当任何一台服务器内的数据库发生逻辑错误时,可按任意时间点进行数据快速恢复,从而能够找回误删或者损坏前的数据。
(3)能源系统应用高可用及防勒索病毒
场景特点:24 小时服务;业务不用需长时间的业务中断。
用户需求:应用级快速切换;RTO~0;简单易用。
△工控系统灾备架构图
应用实践:在本地及异地环境下,i2Availability 可实现业务支撑系统的应用容灾。监控平台根据应用活动状态(网络中断、资源使用情况、物理故障等)进行判断,当故障发生时备份服务器马上接管,持续对外提供服务;i2CDP 为系统提供持续数据保护,当发生逻辑错误、硬盘损毁、病毒攻击时,可进行任意时间点的数据恢复。
(4)能源系统数据库两地三中心灾备
场景特点:等级保护和分级保护要求不同;各个平台的异构问题突出。
用户需求:数据库数据的实时同步和读写分离;建立同城或异地容灾中心;实现跨平台的容灾接管。
△两地三中心灾备架构图
应用实践:在专网环境下的本地和异地数据中心,通过 i2Active 数据库语义级的数据实时复制和同步软件,将 Oracle RAC 实时同步本地灾备服务器,然后在实时同步到异地灾备中心;最后通过 i2Availability 高可用软件实现对本地业务系统的异地容灾,确保业务应用系统发生故障时,可以秒级进行切换接管。
(5)能源集团企业级文件共享平台
场景特点:远距离协同办公;多并发访问,数据安全性低。
用户需求:异地、多终端的文件安全访问;数据的协同互通、备份、统一管理;网盘的多级别权限管理和历史数据的恢复。
△多终端文件交互共享平台
应用实践:通过在生产中心部署 i2Share 企业级文件管理软件,按需开通用户账号数量,细粒度的权限划分,保障数据访问安全。各生产现场可通过账号在 Linux、Windows、Mac 桌面平台和 Android、iOS 移动平台访问共享网盘上的文件。i2Share 具备多终端同步、全历史版本恢复、文件协同应用、文件安全访问、加密存储、云端兼容等功能。
四、典型案例
△某燃气公司异构平台双活
项目亮点:实现了关键数据库系统、应用服务器的实时备份及高可用,从而实现业务不间断运行。同时还为数据提供 CDP 保护功能,实现数据的任意时间点恢复。
用户需求:要求具备应用级监控和切换的能力,能够自动检测生产中心因软硬件故障造成的业务停机,实现对数据的连续保护;灾备端建设要求能够支撑起核心业务系统的正常运行;灾备数据可以不通过恢复直接使用,方便进行数据验证,确保数据可用性。
△容灾架构图
解决方案:此次部署采用数据库实时复制的容灾解决方案,可以灵活实现关键数据库系统在异构平台上实时复制和数据的双活,从而实现业务不间断运行和业务系统的压力分担。
i2Active 要求的整体系统资源很少,无须采购指定型号的硬件,如磁盘阵列;不需要特殊基础软件配合,如专用文件系统;也不需要应用软件支持。i2Active 解决方案对今后的扩容也没有任何影响。使用 i2Active,源数据库和目标数据库可以运行在不同类型的操作系统和不同的 Oracle 数据库版本上。同时,也能够支持不同类型的磁盘阵列。这不仅能够满足目前异构环境,还能适应未来的扩展需求。
五、总结
能源是关乎国计民生的行业,能源机构则是实现我国“碳中和”目标的主力军。我们不仅要加快现代信息技术与能源技术的深度融合,还要加强信息系统的安全战略建设。目前,数据的远程复制、备份、恢复与应用容灾,已成为能源信息化安全建设的重点。未来,我们一方面要积极拥抱能源数字化变革,一方面要筑牢数据应用安全的信息化堡垒,为全球实现“碳中和”的目标共同努力。
注:碳中和是指国家、企业、产品、活动或个人在一定时间内直接或间接产生的二氧化碳或温室气体排放总量,通过植树造林、节能减排等形式,以抵消自身产生的二氧化碳或温室气体排放量,实现正负抵消,达到相对“零排放”。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。