基于云技术的智慧水务智能化监控平台

基于云技术的智慧水务智能化监控平台目前水务行业在信息化与自动化深度融合遇到的挑战水务信息系统、自动化系统大都“难以实现互联互通的问题”，“信息孤岛”现象普遍存在现有信息系统GIS、综合调度指挥系统、SACDA系统、设备自动化系统、安防系统、CCTV系统、收费系统等大都由不同系统集成商实施，数据类型、结构、实施方法都不一致“量身定制化”系统居多，随着水务集团的扩建、提标升级改造等难以快速可靠地实现复制、扩展信息系统和自动化系统分别由不同部门分管各水司、水厂在数据的产生、利用率上水平参差不齐相关技术人员不足国家对水务企业的水质、排放、安全、节能等要求越来越高，对合规的快速响应成为难题水务行业性质决定，受季节、不同时间段、天气、水质水量动态变化快等影响，传统的自动化技术很难实现动态管理水务行业运营中管理难度较大，人的参与度过高增加了更多的不确定性水务工艺的复杂性智慧水务SmartWater智慧水务目的：更安全、更高效、用人更少、更绿色节能、更盈利的智能化生产运营水厂运营少人化／无人化能耗优化减少依赖于操作人员经验的药物投放更容易达到政府合规要求，快速生成报告运营流程优化……RA实现智慧水务的主张率先顶层设计，平台分布实施自动化数字化智能化智慧化应用场景-流域治理InnovationSuite实现两化融合完成‘一张图表’工业云平台FactoryTalk

Cloud客户订制化的分析工具和看板工具‘无人化’管理远程资产能效优化工艺优化集多重信息的综合调度／运维管理一体化监控平台在流域治理中存在多个中小型污水处理厂及相关泵站、闸门，都是“信息孤岛”数据的比较和关联性实现在流域治理中比较难以实现即时在本地的数据也很难加以利用应用场景-海绵城市应用排涝/排污泵站之间距离较远信息监控需要很多无线、在线仪表的数据支持需要一定的专业性传统工程师站架构带来很多风险远程技术支持实现不易InnovationSuite实现两化融合完成‘一张图表’工业云平台FactoryTalk

Cloud采用瘦客户端解决方案远程无人值守泵站解决方案先控解决方案应用于水质水量优化控制大数据分析平台采用提高运营效率7应用场景–二次供水云平台之公共安全二次供水智能平台对供水水质有严格的监控，包括对温度、浊度、余氯、pH值的监测。通过对采集的水质参数进行分析统计，对照标准水质数据形成安全超限或威胁报警，并可以通过软件的通知功能及时发邮件和短信给相关运维人员。8应用场景–二次供水云平台之设备能源管理根据历史数据库记录的时间区间内能耗与设备状态之间的对比，可以实现对应的设备的能耗状态分析统计。通过数据分析，找到供水设备的能效比较优的工作区间。可以使供水设备在满足供水压力的前提下工作在能效比较高的工况下，从而实现节能增效。9应用场景–二次供水云平台之运营优化关管理通过预先设定的条件辅助完成泵房的管理工作。比如：通过对历史数据的分析，根据用户的用水量和用水习惯，对小区供水量进行预测，从而智能设定水泵的启停时间，节约了运行的成本。通过远程移动操控和智能化的设置可替代部分简单重复的现场操作，降低了维护的成本。通过智能平台的数据分析，维修人员对运行不稳定的设备实现预防性维修，降低了故障的发生率。即使发生故障，也可以迅速就近调派人员对设备进行维修，提升了服务的水平，减少了服务投诉。自动化监控一体化平台特点多维数据汇聚于总部监控平台/区域监控平台少人化/无人化管理实现“一张图表”传统监控一体化系统架构图基于云技术的监控一体化系统架构图智能监控管理中心网络架构14EtherNet/IP（工业协议），实时控制和信息，有线和无线局域网（统一和自治WLAN），快速网络灵活性，流量分段，工业安全政策，使用方便工业安全政策，多站点汇聚，弹性，路由，网络和安全管理安全应用和数据共享企业网与生产网隔离访问控制，威胁保护企业安全策略，协作工具，统一无线，业务应用优化PhysicalorVirtualizedServersFactoryTalkApplicationServersand

ServicesPlatformNetwork&SecurityServices–DNS,AD,DHCP,IdentityServices(AAA)StorageArrayRemoteAccessServerPhysicalorVirtualizedServersPatchManagementAVServerApplicationMirrorRemoteDesktopGatewayServerDistribution

SwitchStackHMICell/AreaZone-Levels0–2

RedundantStarTopology-FlexLinksResiliencyUnifiedWirelessLAN(Lines,Machines,Skids,Equipment)Cell/AreaZone-Levels0–2

Linear/Bus/StarTopologyAutonomousWirelessLAN(Lines,Machines,Skids,Equipment)IndustrialDemilitarizedZone(IDMZ)EnterpriseZone

Levels4-5RockwellAutomationStratix5000/8000Layer2AccessSwitchIndustrialZoneLevels0–3(Plant-wideNetwork)CoreSwitchesPhoneControllerCameraSafetyControllerRobotSoftStarterCell/AreaZone-Levels0–2

RingTopology-ResilientEthernetProtocol(REP)UnifiedWirelessLAN(Lines,Machines,Skids,Equipment)I/OPlantFirewallsActive/StandbyInter-zonetrafficsegmentationACLs,IPSandIDSVPNServicesPortalandRemoteDesktopServicesproxySafetyI/OServoDriveInstrumentationLevel3-SiteOperations(ControlRoom)HMIActiveAPSSID5GHzWGBSafetyI/OControllerWGBLWAPSSID5GHzWGBLWAPControllerLWAPSSID2.4GHzStandbyWirelessLANController(WLC)Cell/AreaZoneLevels0–2Cell/AreaZoneLevels0–2DriveDistribution

SwitchStackWideAreaNetwork(WAN)DataCenter-VirtualizedServersERP-BusinessSystemsEmail,WebServicesSecurityServices-ActiveDirectory(AD),

IdentityServices(AAA)NetworkServices–DNS,DHCPCallManagerEnterpriseIdentityServicesIdentityServicesExternalDMZ/FirewallInternetITIndustrialITOTCPwE--全厂融合以太网架构为您的互联企业构建一个安全、可靠、OT/IT完美融合且面向未来的网络架构融合工厂级以太网（CPwE）是一种为工业自动化和控制系统（IACS）中的设备和应用提供网络安全服务并将其集成到企业范围网络中的架构。改造后逻辑拓扑图闸门1#水处理厂2#水处理厂提升泵房光纤链路认证服务器虚拟机（与域服务器同步）SCADA系统R2000IDC数据中心IDC工业数据中心架构设计（可扩展）产品型号部件单台描述工业数据中心服务器每台128G内存32个Core（可扩展）双路CPU/85W8C//DDR4内存共128GBDDR4-2133-MHZ/dualrank6个PCI扩展槽位64GBSD闪存卡4个千兆网口冗余双1200W/800WAC电源模块存储9TB（可扩展）双SP存储控制器4口千兆iSCSI/IP网卡冗余电源模块600GBSAS2.5核心三层交换机堆叠两台每台24口全千兆24口全千兆三层路由交换机/VLAN/QOS/Route/Stack堆叠交换机

4个千兆光纤SFP模块工业机柜

21U-42U标准机柜，双230V供电，前后开门

认证：CE/UL/NEMA无风扇免维护虚拟化系统

提供对虚拟机的集中管理和维护平台管理中心瘦客户端18改造后的运维方式瘦客户机屏幕类似电视机瘦客户机类似有线电视机顶盒键盘鼠标类似遥控器工业数据中心虚拟化瘦客户机解决方案以瘦客户端取代PC机，由INDS提供高可靠性工业网络，IDC集中管理部署所有瘦客户端车间HMI/MES控制室车间办公室

终端间远程控制多会话平铺

办公室层级

瘦客户端移动用户HMI/ERP/MES多会话多监视器

即时故障切换冗余以太网络摄像头数据源INDS2000工业分布式网络架构IDC工业数据中心对比项瘦客户机传统PC机构设计隐蔽性好：无可拆卸部件，体积小，可以固定桌面之下，美观。

稳定性好：采用嵌入式计算机平台，实时性较好，设备资源充分使用隐蔽性差：体积大，不方便摆放，摆在桌面不美观。

稳定性差：商用平台更新换代快，设备资源浪费防病毒能力嵌入式操作系统，不容易感染病毒必须安装防病毒软件，不方便使用方便性随意插拔电源系统依然完好，不需要培训员工使用规范。下班统一断电，不必担心任何人的系统和数据安全必须严格执行关机规范。

无意掉电数据丢失，重则系统崩溃。数据安全数据集中存储在后台服务器上，终端无法安装、删除任何程序员工随意聊天、游戏、上网。

安装、删除程序得不到有效控制。

系统越用越慢办公维护只需重启系统即可恢复初始状态。不需要专职网管任何员工的任何行为都可能导致系统崩溃，网络瘫痪。维护量大功耗小于35W大于300W20瘦客户机对比传统PC

多监视器TerminalContent

终端内容多监视器一个终端可连接多达5个监视器左侧监视器：2个FactoryTalkViewSE客户端实例1个FactoryTalk®ViewME实例1个PanelViewPlus远程控制右侧监视器1个FactoryTalkVantagePoint实例1个IP摄像头TerminalContent

终端内容虚拟分屏TerminalContent

终端内容虚拟分屏单物理屏幕可分为多虚拟屏幕

类似于平铺，但布局可配置每个虚拟屏幕如同一个物理显示器每个虚拟屏幕均支持平铺可配置虚拟屏幕交换和全屏显示完全支持内容重叠TerminalContent

终端内容基于用户的内容传送（刷卡或者按指纹显示专属界面）TerminalContent

终端内容

用户通过Relevance用户服务登录Relevance用户凭据可驻留在ThinManager中，也可链接到ActiveDirectory帐户通过身份验证后，可根据用户或用户角色向终端传送更多内容可将胸卡或指纹与用户建立关联，以简化登录过程UserContent

用户内容Terminal

Content

终端内容User

Content

用户内容基于位置的移动功能（扫描二维码显示设备控制面板）LocationContent

位置内容移动设备端APP同时支持安卓和苹果系统可以为每个位置分配内容和位置解析器。二维码蓝牙信标WiFi接入点GPS位置内容可增加地理围栏，以便对可访问内容的位置进行物理限制。示例：通过移动设备扫描PLC控制柜面板上的二维码后，Studio5000LogixDesigner®

的一个实例将传送到平板电脑，并自动打开正确的ACD文件。事实和实现©2016CheckPointSoftwareTechnologiesLtd.2015年12月在乌克兰西部由于受到BlackEnergy恶意软件攻击造成大面积停电(1月19日再次发生)2014年12月德国钢铁厂被鱼叉式网络钓鱼攻击–对工厂的巨大破坏2016年3月黑客攻破了自来水的控制系统，改变被用来处理自来水的化学物质的浓度（kemuri水公司）震网病毒Stuxnet经过U盘感染控制系统PC，改变生产流程控制逻辑，使得离心机出现大面积损毁27国内标准项自动化提供硬件和软件方案满足要求描述1边界防火墙满足工信部印发的《工业控制系统信息安全防护指南》三、边界安全防护五、身份认证六、远程访问安全七、安全监测和应急预案演练2主机USB端口防护杀毒软件白名单管理满足工信部印发的《工业控制系统信息安全防护指南》

一、安全软件选择与管理

四、物理和环境安全防护

3安全审计及日志管理满足工信部印发的《工业控制系统信息安全防护指南》虚拟补丁二、配置和补丁管理4工业协议防火墙满足工信部印发的《工业控制系统信息安全防护指南》七、安全监测和应急预案演练工厂工控安全网络架构应用案例名称数量硬件边界防火墙办公网与生产网之间一套(IT管理范围)硬件工业协议深度包检测防火墙每个生产区域、控制区域一套软件工业系统信息安全管理引擎中控室一套软件主机防御软件每台主机一套咨询服务根据需求定制远程支持根据需求定制工业信息安全管理引擎（硬件IDC）办公网络中控室设备层IDMZ边界防火墙SCADA/DCS工业控制网络安全防护方案HMI管理审计/监控黑客WaterValveWaterValveWaterSensorsWaterPumpPLC

[Restricted]ONLYfordesignatedgroupsandindividuals​现场运维审计系统工控协议安全管理平台入侵或异常监测系统监控平台Rockwell工业安全数据中心工控协议DPI深度包检测可对PLC字段和工控协议命令进行针对性访问策略控制并提供审计工控机安全管理系统可对客户系统中工控机的USB端口进行需求定制化访问策略控制并可定期提供审计和日志报告工控机安全管理系统

在IDC上工控机安全管理系统根据License生成客户端安装文件

在工控机上安装客户端文件(手工)

客户端向IDC主机安全管理系统注册并下载USB端口访问控制策略1212客户端工控机USB端口安全license3USB端口访问策略3工控机安全管理系统在IDC工控机安全管理系统统一部署工控机USB接口访问策略只读/只写/密码授权USB接口访问策略设置完成后一键下载精简安装包，手工拷贝到工控机操作系统安装安装包内自带IDC服务器端的IP地址等信息，自动在工控机操作系统内加载USB接口访问策略工控机主机安全客户端安装程序全部通过IDC上现场运维审计系统进行分析为安全事件调查提供详细的取证详细的信息分组的信息对所有的SCADA活动有独立日志记录现场运维审计系统在IDC上现场运维审计系统中查看针对SCADA流量提供完整的报告SCADA的详细信息[Confidential]Fordesignatedgroupsandindividuals现场运维审计系统网络安全360o可见性时间显示顶级安全事件地图显示攻击和威胁源潜在攻击的速率和频率突出显示重要安全事件现场运维审计系统从时间，地点，频率，重要性4个维度，提供日志进行详细取证可根据需求，自动生成调取安全运维审计报表，简化自动化工程师管理操作步骤工控协议安全管理平台（DPI深度包检测）命令参数专有协议和命令工控协议安全管理平台对所有上位机与PLC之间的控制报文进行自动学习和分组总结可灵活在网络传输通道上，对工控协议（CIP，Modbus等）进行地址段、数值的策略控制分组的信息深度包检测DPI完全覆盖公用事业和工业市场IEC60870-5-104IEC61850ICCPIEC60870-6/TASE.2ProfinetModbusMMSOPCStep7BACnetDNP3公用事业工业市场CIP囊括

800个SCADA命令(CIP,Modbus,IEC104)

的深度包检测DPI应用控制全部通过IDC上入侵或异常监测系统监控平台提供保护超过280种专有IDS/IPS签名

用于虚拟补丁防护（PLC无需停机安装相应安全补丁）[Confidential]F