电力-方案概述:方案架构

时间:2024-05-06 10:09:17

方案架构

基于华为云底座+IoT平台+大数据平台,通过敢为集成服务能力,针对充电站运维需求,提供端到端解决方案,实现运维全流程数字化,充电站状态可视、业务可观、事件可控。帮助客户降本增效、保护投资,同时挖掘多种创新性应用。

图1 业务架构

图2 部署架构

  • 端&边层

    应用通过 物联网平台 获取本业务的物联网监测数据,实现对于终端设备的统一管理与运行状态的监控。同时其他各领域相关应用,可根据各自业务管理与区域业务管理的需求与特点,调用相关物联网平台提供各类服务与开放接口,实现数据共享。

  • 网络层

    网络是整个物联网的通讯基础,不同的物联网场景和设备使用不同的网络接入技术和连接方式。针对2G/3G/4G/5G/NB-IoT/Lora和有线网络等不同的感知网络均能接入。传感设备数据,与物联网平台进行数据交互时,需要采取必要网络安全保障与防护。

  • 平台层

    物联网平台实现多样化感知设备管理能力,统一传感设备资产管理、物联网感知信息汇聚与共享,实现精细化管理,同时形成物联感知管理模式的标准和规范体系。提供设备接入、设备管理、数据管理、应用管理等能力。

  • 平台安全策略
    表1 关键措施及说明

    关键措施

    措施描述

    操作系统和数据库安全加固

    物联网平台统一对操作系统的服务、密码、文件和目录权限、内核参数等进行了安全加固,并且也对数据库进行了安全加固如最小化安装,账户权限最小化,数据库文件和目录权限保护等。

    WEB安全

    提供了验证码,常见OWASP WEB类攻击防护如会话固定攻击防护,跨站请求伪造攻击防护等,并使用商用工具APPSCAN进行扫描。

    业务认证与鉴权

    采用密码+单向证书认证的方式,部分安全性较高的通道采用双向证书认证,如行业应用与IoT平台之间。其中密码长度和复杂度满足安全要求。预置的证书私钥长度为2048位,且通过私钥保护密码加密,私钥保护密码满足密码复杂度要求。证书验证包括证书签名验证,证书有效期验证,并支持替换为用户自己的数字证书。

    高强度加密

    物联网平台通过对用户账户密码、数据库账户密码等用户私密数据采用不可逆加密算法(如PBKDF2或者HMAC)进行加密存储,可防止彩虹表攻击。对于需要还原的密码采用AES128以上的可逆加密算法。

    统一身份管理

    统一身份管理将分散的用户和权限资源进行统一、集中的管理。统一身份管理将帮助实现Portal用户身份的统一认证和单点登录,改变原有各业务系统中的分散式身份认证及授权管理,实现对用户的集中认证管理,简化用户访问各系统的过程。

    高可靠性设计

    物联网平台的开放架构支持各个功能模块独立部署,单个功能模块出现问题时不会影响其他模块的功能。核心服务设备采用主备双机或集群方式,当主用设备出现故障时,双机系统能够自动将业务切换到备用设备,保证业务的正常运行。

    权限管理

    物联网平台提供维护账号的权限管理,确保维护人员在满足工作需要的情况下操作权限最小化,防止未授权人员对设备进行非法操作。

    日志管理

    物联网平台对日志记录和输出进行管理。通过查询日志,可以及时发现非法操作记录、设备故障原因等信息。

support.huaweicloud.com/gwscss-power/gwscss_01.html