029-88787776

 

  • 背景描述

  • 工业信息系统是国家重要基础设施,信息化服务的能力和水平是体现治理能力和服务现代化的重要标志。电子信息基础设施的稳定运行、规划与投资合理性、建设与维护科学性是衡量管理水平的重要标志。一般工业控制信息整个系统由GIS地图、图像采集、传输、控制、显示、物联网等设备和控制软件组成,对区域进行实时监控、采集、控制和信息记录以及数据分析。
    现在工业或者数据采集系统覆盖面大,节点距离远,完全自布传输网成本高,维护工作量大,得不偿失。但是采用公共互联网存在安全性,稳定性问题,同时也增加了业务系统设计开发的难度。总体上需要建立一个广覆盖的、基于运营商网络的专网,该专网需要支持加密传输、多运营商冗余、支持4G/5G。同时为了满足未来要求,基于IPv4面临地址消耗殆尽的制约性问题,IPv6能够提供充足的地址和广阔的创新空间,具备快速便捷、可控可管可溯源的优势,可有效支撑物联网、云计算、智慧城市等全新信息化应用发展。在地址需求量大的工业监控网络开展IPv6规模部署,有助于管理模式的创新,可充分发挥IPv6协议在溯源、审计、精准定位及端端互联方面的优势,达到访问可控、接入可信、事件可定位、事后可追溯,提高网络安全保障能力,提升技术水平,满足未来长期技术要求和趋势。
    工业系统部署物联网设备、大量摄像头、传感器、以及工业控制设备,多数采用静态IPv4地址管理,人工维护表格分配IP地址,部分采用传统DHCP分配IP地址,易出错,不好维护,无法溯源,无实名管理。对于管理、运维或者非法接入设备缺乏监测,存在地址冲突、私自接入专网的风险,为更好的维护实名IP地址管理、NTP时间校正、视频业务DNS域名解析,以及非法设备精细化管控,特为此提出此方案。
    针对目前信息系统网络链路监控方面,还没有一种有效技术手段可以帮助网络与信息化管理人员实时掌握所租用链路的数字资产登记与使用情况,也无法了解到关联链路资产的链路在线情况。所以亟需引入有效的基础设施监管系统,有效掌握链路资产使用情况,及链路通断情况,保证网络的稳定运行。
    应用是一种重要的数字基础资产,应用是业务的核心,访问应用需要必要的授权和安全发布,过滤。需要对应用的访问提供DDOS防护、应用安全防护、访问限制和攻击识别。同时也需要提供访问日志满足等级保护合规要求。
    针对应用资源,目前缺少一个应用监测平台对各个应用访问情况、服务质量进行汇总,实时监测应用的访问速率、流量,主动监测应用访问质量是对链路、服务器资源监测的重要补充手段和直观体现,也是对链路占用的第三方客观评价手段。
    因此,本方案提出通过建设基于IPv6的基础承载网与数字资产管理平台,实现一套基于IPv6协议、加密云网互联、融合地址管理、数字资产扫描与管理、终端管理、智能域名解析、准入与身份管理、时间同步、异常接入告警、链路监测、应用安全、应用发布与监测等功能的集群设备, 提供统一的管理界面和权限管理,提供统一的大屏管理。通过搭建基于4G/5G的加密云专网满足广域覆盖、通过支持IPv6满足未来技术要求,提供对网络链路、资产资源、应用资源的有效的、集中、统一监管,提高网络资源利率,降低投资成本,保障基础设施的稳定运行。

 
架构和应用场景

● 工业物联平台是面向下一代网络的物联基础平台,形成通用泛在的物联网基础平台可提供面向大型工业物联应用场景的完整的地址分配管理,终端准入、身份管理、物联网终端接入管理、物联网安全、物联网应用通用适配、云网互联、云端虚拟等核心基础功能。有了这个基础平台,用户只需专注于行业应用开发,可大大提高物联网应用开发部署速度和安全。
● 具备物联网组网功能(4G/5G/IoT/WIFI)
● SACS平台功能(云网,安全接入)
● 网络管理功能(地址分配、域名解析、授时、准入、身份认证)
● 数字资产管理功能
● 工业IO云虚拟化功能
● 应用管理(安全发布、监测)等
● 结合平台提供的RTU、PLC、工业边缘计算网关
用于传统产业智能升级,智能制造、协同制造、云制造;智慧交通、智慧水利、智慧农业、智慧管廊等智慧产业发展,实现以下功能:
● 远程数据采集
● 安全加密传输
● 工业协议控制
● 设备标识系统
● 内部终端探测
● 4G拨号传输
● 云端虚拟专网
● 提供usb、TTL、232、以太网、wifi、rola、蓝牙等多种通信手段
● 可以对物联网设备安全扫描,扫描漏洞
● 接入权限管理:可以对设备、策略组、服务、时间段等元素组合建立立体化的规则,允许、拒绝网络使用
● 系统应用安全发布与管理

 
主要功能

1》基于SACS核心

  • 网络是以IPv6为核心的全新互联网架构,架构平台包含多个核心模块,比如SD-WAN、FWaaS、行为管理、接入CPE等模块组成。基于IPv6的安全访问云平台服务(SACS)将核心原生安全能力与网络能力融合,为用户提供一个基于云基础架构的SaaS化安全接入服务平台。通过将网络功能和安全功能融合到一个统一的云服务平台中,为组织提供了一个简单连接到单一安全网络的机会,在这个网络中,无论他们身处何地都可以获得安全的接入以及对物理和云资源的访问,为客户的业务、网络和安全提供更全面和更敏捷的服务。以IPv6部署为契机,通过部署本方案一次性解决IPv6部署与互联网统一出口、统一物联网问题,推进互联网的整合优化,重构网络架构,助力数字化转型。

    2》基于数字资产全面可视化

    链路、应用业务、IT资产均为重要的网络基础设施,网络基础设施的稳定运行、规划与投资合理性、建设与维护科学性是衡量管理水平的重要标志。通过对网络链路、应用资源、IT资产的有效的、集中、统一监管,提高网络资源利率,降低投资成本,保障基础设施的稳定运行,同时又减少运营操作成本。本方案全面探测内部数字资产,提供严格、周密的IP/MAC地址安全审计跟踪。
    平台提供了数字资产登记汇总功能,把原来维护的IP地址、MAC、位置信息、负责人、部门等信息整理成DDI设备可以识别的格式,并核对无误后导入整理好的信息,由系统进行统一维护管理。
    平台还支持交换机拓扑管理,可以配置交换生成拓扑结构并结合链路监测模块监测各个链路的质量和通断。扫描实时发现专网有多少交换机端口,那个端口是否空闲,可以实时通过SNMP阻断非法摄像头所连接的交换机端口。
    系统初始化并开始轮询整个网络中交换机端口信息和ARP信息,将获取到的信息生成实时IP-MAC-端口表,将实时表与基准表做差异判断,如有不同信息则生成差异表并根据系统已设置的方式通知管理员,以便能及时做出处理。
    平台针对工业领域多种主流协议如Modbus (Serial Line and TCP)、OPC XML-DA、OPC UA 、PROFIBUS、PROFINET等,进行数据采集及转换,实现工业数据的采集、处理、存储、远程配置与监控、分析及图形化展示,并做出智能分析、预警,灵活支持各种工业应用。 作为物联网基础平台,为大数据分析、展现提供核心数据支撑、二维图形、三维图形、图表、趋势图等多种基础展示功能,多角度展示实时数据,从而进一步支持智能化生产决策。
    提供了实时设备IP地址分配、在线、审计和统计分析功能实现严格、周密的IP/MAC地址安全审计跟踪。提供了身份认证和非法设备上线探测功能,防止未知设备接入网络造成安全威胁,满足等保三级要求,符合公安部下发《关于加强公安视频监控安全管理工作的通知》。
    网络链路质量监测感知系统,系统部署模式采用平台加探针,支持主动监测与被动监测。通过将链路当资产进行管理,有效掌握链路情况,包括数量、带宽、维护人等。同时链路资产实时关联链路质量监测数据,通过在接入节点部署监测探针,探针间执行互通测试,具备多链路智能检测功能,可实现网络真实带宽测试、链路质量测试等。可掌握各网络结点的连通质量、稳定性及互通性等内容,提高网络的健壮性与稳定性。

    3》组网功能

    是一套工业标准的物联网CPE设备。支持4G/5G网络,可以建立加密隧道、支持流量管理、边缘加速、防火墙级别转发定义等,支持IPv6网络架构上联方案。同时提供安全扫描和安全过滤功能。CPE设备包括三类:用于通信用的CPE,用于数据采集的RTU,用于控制的PLC,三类设备都支持光、有线、4G/5G接入,都支持远程加密传输和全球隧道。

    是将现场工业数据连接到工业互联网云平台的工业级无线边缘智能网关系列,具备数据采集、协议转换功能,支持3G/4G/Wi-Fi/Ethernet/串口数据传输,支持采集工业控制器、传感器、仪器仪表、数控机床等设备,可作为大规模的分布式设备的接入节点,将工业数据与云制造应用、工业大数据应用无缝集成。

    产品亮点: ● 接口丰富:支持3G/4G/Wi-Fi、1个LAN、2个串口(232、485)、1路数字DI及2路模拟AI输入,为不同应用场合提供不同的接入方案。
    ● 智能分析:内嵌丰富工业协议,可按需动态加载,自由转换;
    ● 安全:网络接入安全、网络防护安全、数据传输安全全方位保护。
    ● 高可靠:链路检测、内嵌软硬件看门狗,实现设备运行故障自修复功能。
    ● 本地管理与远程维护:支持本地web配置及云端远程配置管理。
    ● 全工业设计,-40℃-75℃工作温度,IP30防护等级保证网关可靠稳定运行在无人值守现场。
    应用组网:

    4》DDAI平台

    随着专网建设,在专网中一大特点就是拥有一定数量的传感器终端、工业终端和物联网设备。目前在IP地址的规划和分配方面,采用人工管理的方式。这就需要管理员为每个IP地址的使用作登记,一旦管理不慎便容易造成终端IP地址冲突,严重情况下可能会使重要视频应用、控制设备无法接入网络。维护工作量大、及时性差、易出错、成本高。
    建设内容包括一套标准、高性能的DHCP服务器。DHCP 服务器不仅仅是动态地址分配,还更应在可视化、高可靠、多策略访问控制、IP 分配率、运行监控、安全等诸多方面提供服务能力。DHCP 产品在IP地址分配的基础上进一步进行功能加强,完善的DHCP服务能力大幅改善了企业网络质量。
    1.实时监控地址池使用率,lPS、已分配地址的起止时间,服务全过程可视化;
    2.冲突核验,确认待分配地址未在网内使用后才正式分配,避免地址冲突;
    3.多种地址分配方式,动态地址分配,静态地址分配,IP地址记忆分配,空闲地址分配;
    4.提供实时和历史租约查询,运行全过程掌控;
    5.基于DHCP指纹+MAC+线路进行人员定位,地址变化仍能识别具体终端身份;
    6.双机HA 部署,任何一台故障,另一台继续分配地址;
    7.完整的标准和自定义Opiton 支持;
    8.防止用户私接路由、私设IP等,影响网络规划 DHCP实名动态分配,无需人工参与及管理;严格控制摄像头和其他设备接入网络;全面的IP/MAC日志分析,设备上线下线均有日志记录

    5》准入和身份管理

    由于没有任何安全准入控制设备,一旦有非法人员接入监控专网,就有泄密和失去控制的风险,无法做到边界实名接入。
    平台提供了强化的8021X认证,做到了安全的接入边界。8021x认证还可以做到终端在任何位置VLAN信息和地址跟随账户变化而不是设备变化。
    对于不支持或者无需8021x认证的设备平台也可以VX模式,对非法接入设备可以报警、主动地址冲突、分配临时地址等方式。
    平台还提供了标准的Radius认证服务,支持认证服务的运行时间、支持源地址过滤,支持DDOS攻击防护、支持速率限制。
    支持提供标准的LDAP目录服务,支持服务的运行时间、支持源地址过滤,支持DDOS攻击防护、支持速率限制。内置CA中心,可以生成证书及管理证书。

    6》中心云网虚拟互联平台:

    采用SDN、SDWAN和网络与IO虚拟化技术,可以集中配置CPE,支持多互联网线路,采用专用隧道协议,支持多流设计;支持低等待延迟;支持0RTT加密建立;支持前向纠错和连接保持。具备以下特征:
    1 全面实现IO和网络虚拟化:实现承载网和业务网2级网络分离,业务网完全采用overlay技术实现云端定义和安全隔离。 实现主要IO接口比如GPIO、串口完全云端虚拟化,实现数据采集完全云端化/
    2、负载均衡与管理: 在一条网络阻塞时使用另一条网络通讯。SDWAN接入器拥有自动检测机制,在某一运营商网络无法通讯时将自动切换运营商网络。
    3、自主选择最佳路径: WAN广域网技术的关键,其实在于路径选择。对于不同的分支,SDWAN可以根据现网情况和配置策略,自主选择最佳路径。
    4、部署简单,秒速完成: 仅需在节点安装节点CPE,在数据中心机房安装中心平台,进行相关配置,即可完成SDWAN网络的建立,就是这么方便和快捷,不再需要专业IT人士到场进行配置安装。
    5、自管自控,智能运维 SD-WAN具有SDN的基因,所以在网络的管理上拥有先天的优势。SDWAN管理平台是图形可视化的。管理员可以清楚地通过网管界面看到SD-WAN的运行情况,并及时对出现的问题进行处置。这就大大降低了维护的难度,也减少了故障的处理时间。
    6、降低成本 SDWAN技术使用运营商公网,不需要专线加持,在成本上仅需考虑SDWAN控制器的成本与运营商公网,与专线的成本相比微乎其微。

    7》双栈应用发布与转换平台

    主要实现对平台业务的安全发布,提供应用访问限制、安全过滤和加速。提供业务访问审计满足合规要求。同时提供IPv4、IPv6资源互访协议转换功能。
    系统支持TCP、UDP、HTTP、HTTPS、MYSQL等多种应用的4to4/4to6/6to4/6to6的转换。通过安全参数的配置、服务时间的定义加强了应用的安全性,负载均衡策略降低了应用访问负载。提供网络层IPv6升级和应用层IPv6升级两种模式。
    支持DDOS防护,DDOS攻击主要分为网络层攻击和应用层攻击。网络层攻击手段有SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood 、SSDP Flood、DNS Flood等。应用层攻击攻击手段主要有提交给服务器大量请求CC攻击防护、SQL注入、跨域防护、内容泄露等。
    添加应用发布的同时,可以配置访问黑白名单,来控制访问IP来源。系统支持通过对源IP的运营商归属、国家、国内区域、地址段归属等四个维度来限制应用访问。