在新时代新技术的浪潮革新下,传统制造迈向智能制造的数字化进程逐渐提速,随着“数智融合”、“中国制造2025”、“工业4.0”等具有重大意义工业理念的提出,新兴的IT技术越来越多的应用到工控场景中,促使制造业不断推进智能化建设,通过优化工艺流程、创新技术应用等革新措施,加快发展新质生产力,从而提升企业生产效率。数字化转型是制造业的必经之路,但在转型引入新技术的过程中,所要面临的各种挑战也随之而来。为迎接数字化转型挑战,真正实现数智融合,为企业生产安全保驾护航,基础设施、业务安全、安全运营的改造提升迫在眉睫。本文将通过政策研读、需求分析、方案设计、方案亮点四个方面,对智制造业数字化转型解决方案进行整体介绍。智能制造行业要坚持安全可控,强化底线思维,将安全可控贯穿智能制造创新发展全过程。加强安全风险研判与应对,加快提升智能制造数据安全、网络安全、功能安全保障能力,着力防范化解产业链供应链风险,实现发展与安全相统一。瞄准智能制造发展趋势,健全完善计量、标准、信息基础设施、安全保障等发展基础,着力构建完备可靠、先进适用、安全自主的支撑体系深入推进标准化工作。加强安全保障。加强智能制造安全风险研判,同步推进网络安全、数据安全和功能安全,推动密码技术深入应用。实施企业网络安全分类分级管理,督促企业落实网络安全主体责任。▪️《新型数据中心发展三年行动计划(2021-2023年)》中明确提出:开展新型数据中心预制化、液冷等设施层,专用服务器、存储阵列等IT层,总线级超融合网络等网络层的技术研发。加快推进边缘数据中心、智能计算中心等标准建设,支撑新技术新应用落地。▪️《第十四届全国人民代表大会第二次会议政府工作报告》中明确提出:深化大数据、人工智能等研发应用,开展“人工智能+”行动,打造具有国际竞争力的数字产业集群。实施制造业数字化转型行动,加快工业互联网规模化应用,推进服务业数字化,建设智慧城市、数字乡村。▪️《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要(草案)》中明确提出:促进数字技术与实体经济深度融合,赋能传统产业转型升级。加强关键数字技术创新应用,加快推动数字产业化,推进产业数字化转型。基于以上政策分析,依托高性能高可靠的基础资源底座作为技术支撑保障业务连续性,通过加强数据安全建设保障业务生产安全,建设安全运营体系实现安全运营流程闭环,是近年来制造业的重点关注内容。某制造企业作为地区内知名企业,随着订单量逐渐增长,生产要求与生产压力逐渐增高,承载生产业务系统的信息化基础设施也逐渐“力不从心”,从而暴露出以下问题:▪️ MES(制造执行系统)、SCADA(数据采集与监视控制系统)、QMS(质量管理系统)、ERP(企业资源计划系统)等核心业务系统采用传统的虚拟化IT架构部署,服务器采购时间较早,已经出现设备老化导致的虚拟化平台性能下降,由于CPU、内存等计算资源长期处于95%以上的使用率,长期的超负荷运转加上CPU、内存老旧老化,经常会出现业务系统页面卡顿、响应超时等情况;存储资源也长期处于90%以上的使用率,并且没有设置副本数量,当虚机出现故障时无法通过副本文件拉起虚机,只能通过系统重启或者人工排查的方式解决故障。以上现状导致了生产计划排期延期、产品生产过程无法实时监控、产品合格率不稳定等问题,对该企业整体的生产经营链条产生了不小的影响。▪️ 近年来勒索病毒的各类变种飞速迭代,不断向智能制造企业渗透,该企业缺少对勒索病毒的防护能力以及有效的数据备份与恢复手段,企业的数据安全存在巨大安全隐患;并且该企业虽然已经具备基本的网络安全检测与防护能力,但缺少态势分析与安全运营管理平台,无法从全局视角及时发现生产环节中的安全隐患,统筹指导企业安全生产。
为响应数字化转型要求,该企业决定改造信息化基础资源平台、提高平台性能打破性能瓶颈、专项提升勒索防护与数据备份恢复能力、建立安全态势运营平台落地安全运营,同时在数字化转型过程中引入AI、大数据等新兴技术以升级智能生产线,提升装配效率。威努特为用户提供高性能资源池与安全运营整体解决方案,方案清单包含:图1 方案架构
本次方案设计旨在该企业数据中心机房部署一套超融合系统,用于承载MES系统、SCADA系统、QMS系统、ERP系统等核心业务系统,各系统协同联动共同支撑企业的生产运行管理、质量运行管理、维护运行管理等重要节点。在超融合系统上部署一套主机防勒索系统,对承载重要业务系统的虚拟机、操作员站PC、工程师站PC、存储重要业务数据的PC等部署主机防勒索agent,通过主机防勒索系统进行统一管控,保障企业数据安全与业务安全。在同城灾备机房部署一套数据备份与恢复系统,对核心业务系统进行容灾备份,当数据中心因不可抗力导致业务中断,不论是因为物理情况还是人员误操作,都可以通过数据备份与恢复系统进行灾难恢复,将数据损失降至最低,确保核心业务数据的安全。在数据中心部署部署一套态势分析与安全运营管理平台,通过日志收集、范化、分析、研判,清晰掌握当前网络中的安全风险,构建安全防护、安全监测、分析预警、响应处置的安全运营闭环体系。本方案通过整体提升信息化程度,推动该企业新质生产力的有效提升,为业务持续增长提供技术支撑,实现数智融合。超融合系统采用全万光网络进行组网,通过划分虚拟子网,把广播限制在各个虚拟子网的范围内,从而减少整个网络范围内广播包的传输,提高网络的传输效率,保障数据库与前端业务系统交互的低时延和稳定性;同时各虚拟子网之间不能直接进行通讯,而必须通过策略路由转发,为高级安全控制提供了实现方式,增强了横向网络的安全性。数据备份与恢复系统部署在同城灾备机房,数据中心和同城灾备机房两端的交换机采取堆叠和LACP链路聚合的方式,传输链路采用双链路万兆单模光纤连接,不仅保障两地机房之间网络的健壮性和高可用性,同时也为备份恢复系统提供了高带宽低延时的网络链路,大大降低了RTO要求的业务恢复时间。在超融合的基础架构之上,通过软件定义的方式,提供计算虚拟化、存储虚拟化、网络虚拟化等功能和策略制定,构建出一个完整、统一的基础架构资源池。能够满足用户对MES、SCADA、QMS、ERP等核心业务系统的资源需求,同时硬件标准化本身也可大幅降低管理复杂性,实现快速地迭代以获得更多的功能,支持最新硬件以及充分释放硬件性能的目的。为保障核心业务系统的高可用性,本次方案分别从数据、磁盘、节点三个维度进行设计。数据层面通过对业务系统优先级进行划分,针对核心业务系统采取双副本的策略配置,针对一般业务系统采取单副本的策略配置,这样不仅能够保障数据的高可用性,还能够节省存储空间,优化资源配置,同时读取校验和IO路径校验机制能够防止数据静默损坏,保障数据完整性。磁盘层面基于分布式存储技术,将数据文件随机分布在各磁盘中,通过分布式协议保障数据一致性。当服务器中单块磁盘故障或损坏时不会造成数据丢失,对业务系统无影响;当多块磁盘出现故障或损坏,且剩余存储空间能够满足高可用计算公式的情况下,不会造成数据丢失,对业务系统无影响。节点层面的高可用依托于数据备份、虚拟机FT容错、HA故障疏散、DRS资源平衡和重建优先级机制,在存储空间能够满足高可用要求的情况下不,会造成数据丢失,对业务系统无影响。超融合系统+同城灾备的部署模式,为企业业务连续性提供了强有力的保障。利用超融合内置的分布式存储技术,结合数据库集群、应用负载等技术,构建核心业务容灾架构。当生产中心发生故障时,核心业务可自动切换到灾备中心,最大限度确保业务连续性,将RTO控制在可接受范围内。此外,同城灾备方案还能有效应对勒索病毒、误操作等潜在风险,降低经营损失。建设勒索病毒防护能力的对象不仅是承载核心业务系统的主机,还包括工程师站、操作员站等各类存储了重要业务数据的PC。主机防勒索系统产品架构为C/S架构,在对防护对象安装agent后,通过部署在超融合系统的主机防勒索系统统一下发策略,依托资产管理、行为检测、勒索诱捕、核心数据保护、数据备份恢复等功能,形成多层次纵深防御能力,为该企业数据与业务安全铸造坚实壁垒。该企业在近几年的数字化转型过程中,基本的安全防护能力都已经建设完成,但是这些安全能力是松散割裂的,并且告警信息无法汇总分析,既增加了日常运维难度,数据也无法产生更多的价值。态势分析与安全运营管理平台以现网部署的威努特IDS设备作为探针,通过收集分析全网流量、主机日志以及第三方日志,将资产、漏洞、不合规项、运行状态、安全威胁等各类数据进行多维关联分析,综合判定系统安全风险,帮助客户快速宏观地了解企业的整体安全态势。通过态势分析与安全运营管理平台将日常安全管理工作贯穿安全防护、安全监测、分析预测、响应处置的全生命周期,形成安全运营工作的闭环体系,为该企业日常运营决策提供统筹指挥的有效抓手。威努特超融合系统采用高性能分布式架构,全光组网架构能够保障超融合系统的低时延与稳定性;丰富的CPU指令集,能够兼容多种类型的应用,NUMA管理功能可以控制NUMA Node中的CPU和内存通过IMC总线进行通信,使得CPU访问本地NUMA Node中的内存比访问其他NUMA Node中的内存具有更低的延时,提高虚拟机处理性能和响应速度;内存独占技术能够为优先级最高的业务系统锁定内存资源,保障高优先级业务系统的稳定运行;网卡多队列技术能够将各队列通过中断分发到不同CPU的方式,解决网络I/O带宽升高时单核CPU的处理瓶颈,提升网络的每秒包处理速度和带宽性能;GPU加速技术,能够将GPU与CPU结合使用,通过两者协同工作,提高图形处理效率,从而提升在图形渲染或AI场景下的性能表现。图2 威努特超融合系统架构
威努特超融合系统能够通过预设的资源配置策略,根据生产车间反馈的产量排期,灵活调配业务系统资源,以触发阈值的方式实现业务系统资源的自动化弹性伸缩,保障资源的合理调配;支持内存回收与存储空间回收机制,能够将空闲的虚机资源回收,保障物理节点的稳定性以及业务系统的连续性;DRS动态资源调度机制能够周期性地检测一个或多个集群内节点的负载情况,当出现不同节点资源使用情况相差过大时,在业务无感知的情况下自动将虚拟机从资源利用率较高的主机迁移至资源利用率较低的主机上,防止主机资源超配的情况出现,实现各主机之间资源使用情况的动态平衡。图3 DRS动态资源调度
FT容错机制会在虚拟机创建时,创建一个和虚拟机相同的副本,当主虚拟机出现故障无法正常运行时,则通过副本直接拉起备虚拟机提供服务,保障业务连续性。相比HA的虚拟机疏散和迁移机制,FT容错机制下虚拟机切换时间更短,一般在2~3秒即可将备虚拟机拉起,将业务系统的影响降至最低。图4 FT容错机制
当遭受勒索病毒攻击后,在不交赎金的情况下想要恢复完整数据相当困难,威努特主机防勒索系统基于Cyber-Kill-Chain防护模型,提供应用数据动态备份能力,在任何可疑操作前完成数据自动备份,同时通过文件熵和方差检测技术,避免被加密的数据入库,勒索攻击发生后,可基于备份数据快速恢复系统业务,保障业务数据的有效性和安全性。图5 基于文件熵值计算的数据智能备份技术
威努特超融合系统所具备的虚拟机备份功能,通过底层存储空间优化、压缩去重等技术特性,能够提供虚拟机级别的备份能力和可恢复性,适用于本地备份恢复的业务场景。威努特数据备份与恢复系统具备数据库、容器、整机等不同颗粒度的备份能力,兼容国内外主流操作系统、数据库、应用环境等,具备网络单通备份技术、CDP持续性数据保护技术、数据库事务级实时复制技术、数据重删压缩算法等,能够满足虚拟机或物理机在本地灾备、异地灾备、容灾接管等多应用场景下的备份恢复需求,是企业数据安全的有力保障手段。图6 威努特数据备份与恢复系统能力
威努特主机防勒索系统深度结合操作系统内核驱动,具备行为检测、勒索诱捕、系统防护、进程防护、数据保护、备份恢复六大安全防护机制,能够有效检测勒索病毒的攻击行为,并及时进行相应处置,实现事前预防、事中检测/阻断、事后恢复的纵深防御能力建设,筑起勒索病毒专项防护壁垒,为企业数据及生产业务保驾护航。图7 威努特主机防勒索系统纵深防御能力
威努特态势分析与安全运营管理平台以等保、关保技术要求为参考标准,贯穿安全防护、安全监测、分析预测、响应处置的全生命周期安全管理,落实“三化六防”常态化要求,实现日常安全监测、安全巡检、安全事件分析、安全响应处置、定期进行漏洞检测、安全配置检查、安全风险评估等一站式安全运营体系流程闭环。全面检测统筹指挥,打造企业数智化安全驾驶舱,助力企业安全运营切实落地。图8 威努特态势分析与安全运营管理平台产品架构
本次项目实现了信息化能力从底层基座到顶层统筹的全面升级,使该企业从生产制造效率、生产计划完成率、准时交货率、产品良品率等多个维度均有明显提升。通过打造高性能安全可靠信息化资源底座、强化业务纵深安全防御能力、建立异地灾备恢复机制,为企业夯实数字化转型基础前提;通过建设态势分析与安全运营管理平台,建立健全安全运营体系,以“挂图作战”的全局视角完成安全运营流程闭环,通过打造企业智能安全驾驶舱,最终实现数智赋能,助力该企业完成数字化转型,进入智能制造新阶段。北京威努特技术有限公司不仅致力于各工控行业的安全解决方案,在数智融合的浪潮和技术革新的推动下,公司也在反复打磨后推出了网络、云计算、数据备份等解决方案,通过深入钻研数字化转型过程中的不断迭代的业务场景,为制造企业在数字化转型过程中提供优质的解决方案和专业服务,帮助制造企业筑牢底座,护航业务,最终实现数智融合的建设目标。
渠道合作咨询 田先生 15611262709
稿件合作 微信:shushu12121
还没有评论,来说两句吧...