热网监控系统解决方案

相关标签：

热电厂 区域供热 热网监控系统 集中供热是国家大力推广的节能和环保措施，是今后供热的发展方向，它具有热效率高、节能、污染小、供热效果好等优点，一般采用热电厂的余热。热网监控系统是专为热网调度自动化而设计的，它集人机界面、数据库管理、计算机网络、远程数据通讯、过程控制和信号检测等先进技术于一体，是区域供热实现现代化管理的一个重要标志。

基于和利时公司HOLLiASLK系列PLC的热网监控系统，用于集中供热系统中整个热网以及全部热力站的监测、控制和管理，协助调度和值班人员，使热网能够安全、正常、节能地运行，圆满的完成供热任务。系统具有高性能、高可靠性、通讯灵活、易维护等特点，为城市热网监控提供了高性能的、实用的、经济的解决方案。

热网监控系统设计

热网调度监控系统对各换热站工艺参数、电气参数和设备运行状态进行监测、控制、联锁和报警，以及报表打印，通过使用在调度中心和各换热站间的一系列通讯链，完成整个热网调度所必需的数据采集、数据通讯、顺序控制、时间控制、回路调节及上位监视和管理功能。整个系统由调度监控中心、数据通信网络、现场PLC控制站三部分组成。现场PLC换热站主要完成各换热站一、二次网的温度、压力、流量、液位等工艺参数的实时采集、各种运行设备的状态实时反映和控制；在通讯网络的支撑下，通过某种网络接口将反映换热站运行状态的数据传送到调度监控中心，同时接收调度监控中心发来的调度控制指令；调度监控中

心负责接收各现场监控设备发来的数据，并对数据进行存储、历史趋势分析、报警、报表打印等，在此基础上，向各现场设备发出调度控制指令。

调度监控中心

热网监控中心主要由数据服务器、操作员工作站、工程师工作站、通讯网关、模拟屏、以太网交换机、防火墙、打印机、UPS电源等组成。对规模较小的供热企业，可不设数据服务器，直接用操作员工作站兼数据服务器的功能；对于系统规模较大的供热企业来说，如果热力站规模超过50个以上，建议采用专用的数据库服务器，运行管理人员主要通过操作员工作站完成监控工作。

现场PLC控制站

现场PLC控制站主要由液晶显示操作终端和控制系统两部分组成。彩色液晶显示屏主要完成各种监控画面、采集参数的显示，并接受一些参数设定的输入信息。控制系统采用性价比较高的和利时公司HOLLiASLK系列PLC，包括CPU模块、I/O模块、背板等，系统集成多种通讯接口，适用于各种通讯网络。

通讯网络

通讯网络是整个热网监控系统联络的枢纽，各个换热站、热源、管道监控节点通过通讯网络系统形成一个统一的整体。为了实现运行数据的集中监测、控制、调度，必须建立连接所有监控点的通讯网络。随着网络技术的飞速发展，用户选择的空间越来越大，而且各个地方由于网通、电信、移动、联通部门提供的服务在价格和技术上差异较大，对于通讯方式的选择应该结合实际情况进行仔细分析和比较，最终选择最适合自己的通讯方式。 目前用户在选择通讯网络时主要有如下四种方案：

1）拨号通讯网络：直接采用调制解调器拨号；

优点：网络建设简单、维护工作量小、运行费用较低，；

缺点：网络不稳定、实时性差、同时只能有一个站上报数据。

2）无线通讯网络：无线电台，采用公用无线频段，自建无线发射、接收站；

优点：运行费用较低；

缺点：安装工作量较大、网络不太稳定、易受干扰、实时性差。

3）移动通讯网络：GPRS/CDMA网络；

优点：安装简单、不受传输距离限制、抗干扰能力强、易维护；

缺点：运行费用相对较高。

4）虚拟专用网络、ADSL等各种宽带技术。

优点：实时性较好，安装简单，易维护，网络的安全防范性好；

缺点：运行费用相对较高。

控制策略

热网监控系统，上级为中心调度室即中控室，下级为若干自控热力站，一般情况自控热力站各自独立，中控室不干预热力站的控制，实现分散控制，消除了危险集中，同时增强了系统的灵活性和可扩展性。中控室与热力站实现了无线通讯，监测热网中各热力站的运行工况，通过对全网运行参数的掌握，分析判断各热力站的热力平衡度，查询管网运行的最不利点，预测调整热源与热负荷的热平衡，针对热网运行出现问题的所在，中控室向热力站或热源发出调度指令，实现优化运行。另外，中控室还具有完成热网档案的管理和运行数据的统计、存档、报表等功能。自动控制热力站在热网监控系统中起着承上启下的作用，及时将反映热网及热力站运行工况及设备工作状态的参数采集、传送、就地显示出来，又将按最佳运行工况要求自动执行操作，它的工作原理有以下几方面内容：

供热量调节控制系统

供热量的调节控制是由气温补偿器来实现的。气温补偿器根据室外温度（气温传感器）生成二次网供水温度或供回水平均温度的目标值，指令一次网的电动调节阀动作。当电动调节阀开大，一次网流量增加；电动调节阀关小，一次网流量减小。通过一次网流经换热器流量的改变，来实现二次供给热用户热量的调节。

二次循环水泵自动控制系统

热力站间接连接供热方式，一次网与二次网水力工况互不影响。二次网循环水泵的工作参数一般都是按设计供热负荷选取，对于实施分户热计量的用户采暖系统，二次网具备变流量运行功能，即使对于通常用户采暖系统，在实际运行中，随着热负荷变化循环水泵变流量参与供热调节也可节约大量电能。此外，用户室内采暖系统无论是单管还是双管系统，最佳调节方式都是质量并调，即随室外温度的变化，不但调节供水温度，而且要调节系统流量，这样才能真正消除系统的水平失调和垂直失调。

补水定压自控系统

补水定压系统的作用是防止二次网倒空，保证系统在规定压力下恒压运行。该功能是通过变频调速控制柜完成的。系统压力信号来自定压采样旁通上的压力传感器，当此压力值低于设定压力时，变频控制柜指令补水泵加速补水；当系统压力高于设定压力时，变频控制柜指令补水泵减速补水；当系统压力超过限定压力时，泄压旁通上的旁通阀开启，进行排水泄压。

热计量系统

热计量系统由一次供回水温度传感器，一次回水安装的流量计、积分仪组成。热力站设置热计量装置不仅为日后实施按热计量收费提供了计量手段，而且“热量与流量”作为重要的运行参数，对核算各个热力站技术经济指标和指导供热运行提供了重要依据。 自控换热站的自我保护功能

自控换热站要求的是无人值守工作方式，运行人员只是对其定期巡查，要求热力站的自控系统需具有以下自我保护功能：

电源缺相、三相不平衡、电机过载保护。

具有停电保护，来电自起启功能。

水箱缺水，供热系统水力超压，欠压保护。

第二篇：网络管理解决方案

网络管理解决方案

一、 问题的提出

背景：

某集团公司总部位于北京，10个分公司分别位于上海、广州、成都、西安等地。整个公司用户近3000名，其中北京1500名，其余分公司用户50-350名不等。公司在各地建立了规模不等的局域网，并租用专线连成一个广域网。公司使用的网络设备包括3Com、Cisco、Lucent、Nortel等公司的路由器、交换机、网卡。服务器上运行的操作系统有：IBM AIX、Sun Solaris、中软Cosix、IBM OS 400、HP-UX、Windows NT、Novell NetWare等；客户端以Windows 9x为主。

问题：

对于公司庞大的网络系统，出现故障不易查找、诊断和修复。

希望：

通过网管系统，在总部可以管理分公司网络设备，并支持网管人员的移动式管理；能防范来自内部与外部的入侵，解决安全问题；能适用公司规模的调整，易于实现设备的增减；适应公司业务向电子商务模式转变。

根据上述需求，拟采用如下解决方案：

1、 采用HP OpenView Network Node Manager，作为集成化网络与系统管理的基础，可以自动发现和映射整个网络拓扑结构图，确保网络管理员知晓网络中发生的任何变化。

2、 采用NAI公司的一系列安全产品，解决网络安全问题：

选用NAI公司的McAfee TVD提供防病毒安全解决方案

选用NAI公司的Gaultlet防火墙提供Internet互连安全解决方案

选用NAI公司的CyberCop提供防黑客安全解决方案

下面分四个部分讨论方案的实施。

二、 网络拓扑图的管理：

1、使用HP OpenView Network Node Manager管理整个网络结构拓扑图

HP OpenView NNM主要能够实现以下功能：

(1)NNM能够自动发现网络设备，并提供显示网络实际连接状况的视图；

(2)NNM能够持续地监控网络上新的设备和网络设备状态，并可以探测到位于广域网上的设备；

(3) NNM能够迅速找到网络故障的根源，并协助网络管理人员进行网络增长的计划和网络变化的设计；

(4)NNM能够通过Java Base的Web界面灵活访问网络拓扑及网管数据，实现了从WWW的任何地点进行数据管理的能力；

(5)NNM适合于任何规模的网络管理，既可以作为一个独立的网络管理站操作，也支持分布式体系结构，提供集中控制与分散执行；

(6)NNM允许公司运用广泛的第三方解决方案扩展其网络的可管理性。

HP OpenView NNM可以安装在Windows NT、Sun Solaris、HP-UX三种操作系统平台上，能够发现网络上的TCP/IP、IPX和Level-2设备。

NNM的实施可以有两种方式：集中式NNM和分布式NNM。

集中式NNM是在网络系统中建立一个全面负责管理所有网络资源的网管中心，该方法容易实现且操作简单；但如果网络规模较大或网络规模扩大，网络上所有网管轮询（Polling）和网管信息量增大，集中式NNM管理中心可能成为网络系统的瓶颈，并且网络管理信息流导致网络可用带宽的减少。

分布式NNM网管模式是按层次、区域建立多个网管中心，分别负责管理不同区域和不同层次的网络资源，不同网管中心相互配合共同完成网络系统的管理，顶端网络中心只管理第二级网管中心和两级之间的网络连接，第二层网管中心分区域管理下属的网络资源。该方式克服了集中式NNM的缺点，网络的分布区域可以很广，且效率较高。 根据以上特点，本方案最好采用分布式NNM，在公司总部网管中心安装NNM企业版（无限节点版本），作为采集和管理中心，它负责管理分公司网管中心和两级之间的网络连接；在各分支机构的局域网服务器上安装NNM标准版，作为管理各分支机构局域网网络资源的区域管理中心。

2、管理网络设备

针对该方案中存在着如Cisco、Bay、3Com、Lucent、Nortel等公司的网络设备，为了从公司总部网管中心管理到位于总部或分公司局域网内这些网络设备，可在这些设备所处局域网的网管中心或公司总部网管中心的NNM上集成这些设备的网管软件，例如要在公司总部管理上海分公司局域网内Cisco路由器，可在北京公司总部的网管中心安装CiscoWorks，通过广域网来管理到Cisco路由器的每一个端口。

3、 远程管理

HP OpenView NNM现在能够通过Java Base的Web界面灵活访问网络拓扑及网管数据，实现了在Web网的任何地点进行数据管理的能力。

三、 防病毒的安全解决方案

NAI作为全球反病毒解决方案的领导者，提供的McAfee TVD套件，就是一个综合的企业反病毒安全与管理方案，它具有以下显著特点：

1.最广泛的多级进入点保护：

TVD提供了桌面，服务器和Internet网关的单一集成的防病毒系统，对所有潜在的病毒进入点实行全面保护。

2.100%的病毒检测率：

NAI的防病毒软件在多个独立的实验室测试中多次获得检测不明病毒100%的认证。拥有专利权的启发式技术可以精确地检测到新的病毒。

3.强有力的服务与研究支持：

NAI在全球六大洲拥有由近百名病毒研究专家组成的反病毒紧急响应小组，为用户提供7x24小时的专业服务与支持。

4.完善的企业级管理能力：

中央控制台集中配置与管理模式，使您的企业网络更加高效，更易管理。

5.独特的病毒更新能力

当更新信息从实验室发布时，NAI惊人的企业"推送"（SecureCast）技术立即将其送达系统管理员。通过自动更新（AutoUpdate），桌面PC和服务器按计划从指定的中央服务器上提取更新信息使自己保持为更新状态。

具体到本系统，采用如下方案：

1. 多层保护。

1). 保护服务器。

如果服务器感染病毒，其被感染的服务器文件会成为病毒感染的源头，迅速从桌面发展到整个网络病毒爆发，尤其象Exchange、Lotus Notes这样的群件会加速病毒传播的速度。因此需要能高效、实时地检测发送或来自于服务器的病毒感染文件，以免它在整个网络中的扩散；同时可以按需要选择立刻或定时检测、扫描驻留在文件服务器中的病毒。

McAfee TVD防病毒软件支持所有主流的操作系统，包括Windows NT、UNIX（包括HP-UX、Sun Solaris、IBM AIX、SGI IRIX、SCO UNIXWARE、LINUX等）、Novell Netware、IBM OS/2等，并支持Microsoft Exchange、Lotus Notes等群件服务器的防病毒。

在公司总部和各分公司局域网中所有的服务器上安装TVD的NetShield，在群件服务器上安装TVD的GroupShield。

2). 网关的保护。

随着Internet的普及，越来越多的企业用户被感染病毒中，都和从Internet上下载文件有关或以电子邮件附件方式进入企业网络，所以，反病毒软件应能在网关上封住病毒，扫描所有入站、出站的电子邮件，能够为HTTP、FTP等多个Internet协议在内的通信提供病毒保护，同时扫描有恶意的Java和ActiveX小程序。

TVD的WebShield安装在网关上实现上述功能。

3). 桌面的保护。

企业在把防病毒策略放在保护服务器和网关的同时，还要注意到50%的病毒仍通过软盘进入企业网络。所以要在所有桌面机上安装桌面防病毒软件，实现桌面保护功能。 McAfee VirusScan是一个优秀的杀毒软件，它能够扫描包括引导区、文件分配表、分区表、软盘、文件夹、压缩文件在内的所有系统区域；并具有先进的实时扫描技术在磁盘访问、文件复制、程序执行、系统启动和关闭时扑获病毒，提供桌面的在线保护；同时还能够防止恶意Java、ActiveX小程序对网络用户的损害，防止病毒通过Internet下载的途径。

（图jjfa-2.gif）

2. 企业级管理

McAfee TVD拥有一个功能强大的管理工具，可以从控制中心管理企业范围内的反病毒安全机制，具有集中管理、分发和警告的功能。管理员可以使用控制台将软件升级版和更新信息迅速传至企业内部的所有客户机和服务器上；或则可制订计划，使PC机、服务器自动从指定的中央服务器提取更新信息使自己保持为最新。

四、 Internet互连安全解决方案

在大型网络系统与Internet互连的第一道屏障就是防火墙。

防火墙是近年发展起来的重要安全技术，其主要作用是在网络入口点检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下，提供内外网络通讯。 防火墙总体上分为包过滤和代理服务器两大类型。我们将通常所说的应用级网关和代理服务器统称为代理服务器。

包过滤即IP包过滤，虽简单方便，但包过滤路由器存在许多弱点：比如包过滤规则难于设置并缺乏已有的测试工具验证规则的正确性(手工测试除外)。一些包过滤路由器不提供任何日志能力，直到闯入发生后，危险的封包才可能检测出来等。

为了解决包过滤路由器的弱点，防火墙要求使用软件应用来过滤和传送服务连接（如Telnet和Ftp）。这样的应用称为代理服务，运行代理服务的主机被称为应用网关。应用网关和包过滤器混合使用能提供比单独使用应用网关和包过滤器更高的安全性和更大的灵活性。

应用网关的优点很多，如：比包过滤路由器更高的安全性；提供对协议的过滤，如可以禁止FTP连接的Put命令。信息隐藏，应用网关为外部连接提供代理。节省费用；简化和灵活的过滤规则，路由器只需简单地通过到达应用网关的包并拒绝其余的包通过，等等。

因此，应用网关防火墙的安全特性远比包过滤型的防火墙高。

Gauntlet使用完全的代理服务方式提供广泛的协议支持以及高速的吞吐能力(70Mbps)，很好的解决了安全、性能及灵活性的协调。由于完全使用应用层的代理服务，Gauntlet提供了该领域最安全的解决方案，从而对访问的控制更加细致。

其特点和优点：

(1)动态安全性集成技术允许集中式的策略管理和整个事件管理系统中的事件的相互通风；

(2)自适应代理技术在应用网关防火墙中可以提供信息包过滤器的高速度；

(3)支持多处理器技术提高了防火墙性能；

(4)NetMeeting代理提供视频会议、新闻、公众事件和广播会议的安全实时访问；

(5)SQL代理通过防火墙安全访问MS、Oracle和Sybase数据库；

(6)内容安全性可以保护机构免受系统数据遭到来自Internet的威胁，如Internet病毒、恶意Java、ActiveX代码。

根据网络系统的安全需要，可以在如下位置部署防火墙：

1、局域网内的VLAN之间控制信息流向时；

2、Intranet与Internet之间连接时；

3、在本系统中，由于安全的需要，总部的局域网可以将各分支机构的局域网看成不安全的系统，（通过公网ChinaPac, ChinaDDN, Frame Relay等连接）在总部和各分支机构连接时采用防火墙隔离，并利用GVPN构成虚拟专网。

4、总部的局域网和分支机构的局域网是通过Internet连接，需要各自安装防火墙，并利用Gauntlet GVPN组成虚拟专网。

5、在远程用户拨号访问时，加入虚拟专网。

五、 防黑客的安全解决方案

利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙、网络安全还远远不够：

1、 入侵者可寻找防火墙背后可能敞开的后门。

2、 入侵者可能就在防火墙内。

3、 由于性能的限制，防火墙通常不能提供实时的入侵检测能力。

入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。

实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击，其次它能够阻止hacker的入侵。

入侵检测系统可分为两类： 基于主机 基于网络

基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查，非法访问的闯入等，并且提供对典型应用的监视如Web服务器应用。 基于网络的入侵检测系统用于实时监控网络关键路径的信息。

CyberCop Intrusion Protection是设计用于保护企业系统与网络设备的各个方面免受不断增长的复杂恶意威胁的专用产品。

1、CyberCop Scanner 为找出网络上的脆弱环节，CyberCop Scanner提供主动的安全性扫描和解决问题的现场解决建议，具体特性：

全面的扫描工具可以发现系统和网络的脆弱环节，并且提供了可执行的总结报告与挖掘报告选项；

独特的跟踪器信息包防火墙测试提供了详细的防火墙/路由器审计；

自动升级功能保持扫描引擎、扫描检测和脆弱性数据库处于当前最新状态； 提供入侵检测监控测试校验系统和网络动态监测器的功能；

2、CyberCop Monitor CyberCop Monitor的实时入侵检测为关键任务系统提供全面保护。它是拥有多层监控结构的实时检测代理。基于主机的信息量分析、系统事件和提供双倍保护的独立方案的日志文件一起受到监控。

其特性为：

多层的检测结构支持高速交换网络；

中央控制台具有易于适用的图形界面的配置和策略设置功能；

独立的监控代理技术提供局部响应和报警选项；

报告组合特点压缩了攻击性登录被拒绝的数据；

采用趋势分析选项可以进行逐个系统监控和扫描信息的报告整理；

自动升级功能将监控器引擎、检测特征与攻击数据库保持当前最新状态；

与Gauntlet防火墙相集成作为Active Security结构组件。

3、CyberCop Sting和CASL用假目标服务器技术与先进的自定义审查工具提高了检测功能，这样做不仅保护了企业的数据与资源，还保护了企业的声誉。

六、 相关软件报价

1、 HP OpenView报价： HP OpenView NNM Enterprise：$40790。 HP OpenView NNM 250 Node：$11990。

2、 NAI McAfee TVD McAfee TVD 250 User：￥280000

3、 NAI Gauntlet Active Firewall Gauntlet Active Firewall 250 User：￥275000

4、 NAI CyberCop CyberCop Scanner 250 User：￥130000 CyberCop Monitor 250 User：￥150000

版权声明：中国计算机软件与技术服务总公司版权所有，不得转载。

20xx COPYRIGHT (c) ALL Rights Reserved