中車信息韓毅斌:三級數據中心體系架構+網絡安全模型,構建中車集團數智化發展新格局
![中車信息技術有限公司]()
2022年,科技創新,聚焦變革。數字經濟的蓬勃發展,是後疫情時代全球經濟結構重塑、全球競爭格局改變的必然趨勢。隨著社會各領域數字化發展加快,新技術、新業態、新模式不斷湧現,積極推動著各行各業的變革與創新,CIO們正在努力打造數字經濟新優勢,共鑄輝煌與榮耀的征途中,乘風破浪,步履不停!
CIO時代、新基建創新研究院年度特別策劃“2022·聽見數智時代”欄目正式啟動。邀請各行業專家參與訪談,共話數字化轉型與升級道路上的新策略、新思考、新洞見,以期為產業數字化轉型、科技創新及應用提供經驗借鑒。
本期邀請到的是中車信息技術有限公司副總經理韓毅斌,與我們一起聊一聊智能製造行業在數智化發展中的新方向。
![中車信息技術有限公司]()
1問:中車集團在“十四五”規劃期間的戰略規劃是怎樣的?
韓毅斌:中車集團在“十四五”規劃期間的戰略定位,可概括成“一核、兩商、一流”。即成為以軌道交通裝備為核心,具有全球競爭力的世界一流高端裝備製造商和系統解決方案提供商。
集團計劃在“十四五”期間,在市場方面,通過傳統軌道交通、城市軌道交通、戰略新興產業打造三個千億規模的業務板塊;在經營管理方面,實現一流的經營業績、一流的業務結構、一流的管理體系、一流的企業形象和一流的黨建引領;在數字化建設應用方面,以推進企業研發設計、經營管理、生產製造、客戶服務、產品全生命週期的數字化和新模式應用為主要任務,推進信息化體制改革,加大新一代信息技術的推廣應用力度,同時,加強工業軟件的安全可控能力建設,不斷提升IT技術架構、數據標準和網絡安全治理能力,促進企業管理變革、技術創新,實現重塑商業模式。
同時,研發設計、經營管理、生產製造、客戶服務等四個領域也是中車集團“十四五”期間信息化和數字化的重要發力方向。希望以打造數字化創新驅動為代表的高質量發展引擎,打造一體化的信息化體系,將中車集團打造為世界一流企業貢獻自己的力量。
2問:請您分享一下中車集團的信息化建設歷程是怎樣的?
韓毅斌:中車集團自“八五”期間利用“八五重投”資金就設立了信息化專項預算,開始了集團的信息化建設。在“十二五”之前的信息化建設中,基本是各個企業的各自為戰,企業又多以業務部門為主體各自為戰,建立以滿足部門級應用的煙囪系統。在“十三五”期間集團組織製定了整體信息化規劃,規劃了五大類、32個項目來統籌指導全集團信息化建設、應用與發展,基本實現了信息系統對主營業務的全覆蓋,並通過PLM、ERP、MES、MRO、SRM等5大核心系統的集成,打通了設計、工藝、製造、服務與供應鏈體系,初步實現了業務協同、流程打通和數據共享。
第一大類設計研發信息化。將設計BOM到工藝BOM傳到企業ERP裡面,形成設計到生產的正向輸入。
第二大類經營管理信息化。核心企業引入ERP系統,以MRP計劃實現生產計劃的貫通,並將生產調度計劃傳到MOM和MES,實現用PLM、ERP加MES構成的集團核心企業生產製造主體。
第三大類是生產製造信息化。將MOM、MES的作業計劃與現場的物聯網實現自動化控制和作業下達,甚至是逆向變更等形成閉環,建造智能製造體系。
第四大類商務活動信息化。建立全集團統一的電子採購平台、供應商管理系統,與企業的ERP系統、招標機構的系統、供應商的生產和銷售進行集成,實現流程的打通和數據的共享。
第五大類信息化基礎設施+網絡安全保障。以NNI方式運用MPLS VPN技術建成了中車全球廣域環網,根據企業應用實際制定合理的SLA,實現了全球範圍內機構的專線網絡連接,各企業辦公內網按照安全等級實行分級、分區、分域的管理,與互聯網實現邏輯強隔離,在實現網絡高效互通的同時,有效提升了集團整體網絡安全防護水平。
其中,集團三級數據中心的體系架構和網絡安全模型,已做到業務類型全覆蓋和經營實體全覆蓋。總部將383家子公司統一使用安全模型,將信息安全的短板拉齊實現全覆蓋。目前,中車集團信息化建設取得了較好成效,為新技術、新應用、新模式的拓展打下了堅實基礎,提供了很好的幫助。
中車集團“十四五”信息化的四大建設原則:
原則一:頂層規劃、一體管控。加強信息化頂層設計和統籌規劃,綜合考慮集團總部及所屬企業信息化歷史現狀,存量貫標、增量統一,強化既有信息系統和數據標準化建設,逐步規範信息系統應 用水平,實現互聯互通和信息共享。發揮中車信息公司平台作用,按照集團整體信息化規劃統一信息系統的架構設計、建設和實施。
原則二:突出重點、協同發展。聚焦核心業務,集中力量建設重點項目,形成示範效應和帶動效應;根據製造類企業與非製造類各類企業數字化發展水平和提昇路徑的差異化,鼓勵發揮自身優勢先行先試,迭代創新,企業間加強交流合作,促進不同發展水平企業共同發展。
原則三:深度融合、立體賦能。大力推進新一代信息技術的融合創新,深入推進兩化融合體系建設,打造企業基於信息化條件下的新型能力,對企業進行立體賦能,不斷提升企業數字化智能化水平。
原則四:底線思維、自主可控。強化網絡安全意識,嚴格風險防控,構築全場景信息安全防護體系,保障企業基礎信息網絡和重要信息系統的安全,營造規範健康的網絡環境,為企業加快數字化發展提供安全保障。
3問:在中車集團的信息化建設規劃和落地中,中車信息公司的職責和價值是什麼?
韓毅斌:集團領導對於中車信息的成立寄予了很高的期望,給出了“三者一基地”的定位即中車信息化項目的建設者,信息化資產的擁有者,軌道交通裝備製造行業信息技術的引領者,和兩化融合人才的培育基地。處於成長期的中車信息,數字化賦能於集團信息化建設和數字化發展的作用凸顯。中車信息作為戰略平台型公司,整合國內外先進的信息技術和解決方案,融合到企業的業務中,提供性價比最高的服務。
在目前的發展和建設中,以總部為核心,集團總部所有的信息化建設,全部由信息公司投資形成資產,再以服務的形式向總部提供。最大程度讓信息公司在建議中實現發展,提升能力的同時打造產品。
各企業的信息化項目均圍繞中車工業互聯網和中車的三級數據中心體系:一個體系、兩大基礎設施、兩級應用架構和五大賦能引擎展開。隨著信息公司的能力逐步地加強,對內部企業的支撐和賦能作用也在不斷提高,未來信息公司將會承擔全集團的信息化建設使命和任務。
4問:從產業數字化角度來講,中車信息的對外賦能服務有哪些?
韓毅斌:現階段,中車信息公司基於“產業數字化+數字產業化”定位,先內後外,以內為主是主要發展路徑。目前以服務主業、服務系統內的成員企業為主。未來,中車信息肯定會“走出去”,希望未來將信息化打造成為中車經濟發展的新的增長極。
中車集團擁有全球離散製造行業最全的工業場景,在整合外部資源給內部提供服務中,不斷打磨著機械製造行業數字化解決方案,這也是將管理思想和信息技術融合成一個完整的解決方案的過程。
未來,數字化發展一定是融合於管理理念和過程的。中車信息在對外提供信息化的產品、系統,包括解決方案時,更多的對外輸出是代表著中車集團的先進設計、生產和管理理念。因此,在產品輸出中,中車信息將管理理念通過數字化產品封裝後打包成一體為目標客戶提供服務。
在產業鏈體系的打造中,結合中車集團的產業鏈發展定位,把協同設計平台延伸到供應商;在供應鏈體系打造中,通過信息化手段來整合資源,通過採購平台與供應商生產計劃,與客戶的生產系統、交付系統進行聯動,實現相互之間長期計劃、滾動計劃的可見,從而形成產業鏈有序有效的互動。並通過現代物流,降低損耗和浪費提高我們全社會的價值體系。
在此基礎上,孵化建立類金融服務體系。解決中小供應商發展的過程當中的資金壓力,以應收賬款和合同為保障,為其提供供應鏈金融的融資渠道,帶動其發展,也為中車集團自身提供全新收益渠道,為中車資金池向供應鏈延伸。在此過程中,都離不開信息化手段和信息系統的保障,這也是中車信息對外發展的重要抓手。
據了解,中車信息公司計劃打造三層數據中心體系架構來滿足集團的管理、研發和運營需求。
5問:中國中車集團的三級數據中心的建設和落地情況,在建設過程中都遇到了哪些挑戰?
韓毅斌:中車集團是一個“先有兒子,後有老子”的戰略管控型的集團企業,在以往的信息化建設,包括基礎設施的建設和投入都以企業為主體自行建設。在2016年的數據統計中,全集團的在用數據中心機房達98個,但部分機房的使用率不足30%,也有部分使用率接近飽和,還在不斷地去擴建。這種投入分散加之技術應用五花八門,造成了大量的資源浪費。加上公安部的常態化演習行動,給安全防守上帶來重大的困難和壓力。因此,在我任職集團系統管理處處長時,在學習了先進經驗後,提出了以業務和應用為核心的“三級數據中心體系”理念。
所有的基礎設施和信息系統建設思路都必須圍繞著內部的業務和應用需要進行。 “三級數據中心體系”的基礎是業務系統的整合,也就是將所有的信息系統,向中車集團總部和二級公司去集中。而三級和以下的單位不允許再建信息系統。
對於時延和網絡要求不高的信息系統,全部向集團層面集中,統一部署;對於時延要求比較高的,邊緣層的系統向二級企業或者生產製造工廠、基地和設計研發中心去集中,用應用部署理念設計出三級數據中心的架構。
第一級是核心數據中心。計劃在國內建成兩個互為主備。主要承載集團所有的管理類應用,產品數據的大數據分析類的應用及仿真實驗分析類的應用,並給其他數據中心提供容災備份。目前,正在依托青島的軌道交通產業園,建設國內第首個核心數據中心。
第三級是邊緣層數據中心。以研發類和生產現場邊緣計算類的應用為主,也稱為生產製造基地或研發中心。對於時延、抖動、丟包等網絡質量要求比較高的敏感應用,允許企業建立本地的數據中心機房,承載一些邊緣層的應用。第三級數據中心的整合是我們近年來持續開展的工作,基本上已經結合數據中心的整合和互聯網出口的統一設計,實現了所有應用系統向二級公司集中的理念。
為什麼會建設二級區域數據中心呢?經過評估,第二級區域中心更多是指歐洲、非洲、阿拉伯地區、亞太和美洲等幾大海外的區域,建立這個區域中心主要為解決中車集團在當地的一些法律法規、數據不能離岸的問題。
三級數據中心的一和三為實,以自建為主;二為虛,更多以租賃為主,主要依託於海外運營商資源,也可租賃兄弟央企的數據中心資源。由於近兩年的疫情影響和中美貿易危機,海外各方面的佈局和發展,對於這方面的需求並不高,所以,第二級數據中心還沒有實質化的進展。
6問:數據中心建設中,運用了哪些新技術?進行了哪些創新?
韓毅斌:目前,在基礎設施層採取運營商的全球MPLS專用網絡體系,與中信集團及其成員企業中企通信合作建立了全球統一張網,並提出“去中心化”理念,將所有節點全部上環組建網絡,整合互聯網出口和數據中心,形成了現有的IT基礎設施架構,同時通過中企通信豐富網絡資源和廣泛覆蓋,實現全球化格局。
在計算和存儲方面,網絡層採取了“一云多心”的兩級部署的雲體系架構。通過集團統一選用的雲管理平台,管理集團層和子企業層的虛擬化子云。 “一云多心”架構可整合和調度全集團的計算和存儲資源,實現資源最大化利用,並保障網絡安全。
在容災備份層面,將青島大數據中設計成為全球統一的災備中心,將二級單位邊緣數據中心的核心數據通過專線網絡備份到青島。容災備份體係都由集團統一部署和設計,既包括集團數據中心和企業各子數據中心的本地備份,也包括集團數據中心和企業數據中心之間的異地容災備份,根據應用的重要程度和RPO時間去實現其應用級和數據級的容災備份。
在數據中心的機電領域,按照國家最新“雙碳”要求和節能減排要求,使用保障最優PUE值的技術手段,包括風水氣電都進行有效控制,建立一套基於ITSM的運維體系,將所有機電設備從監控到智能化機器人自動化的巡檢,業務系統和應用的運維,底層基礎設施的運維,全部整合到一個系統中,提升整體IT服務的效率和水平。
7問:在選擇IT基礎設施服務商時,有哪些考量?
韓毅斌:中車集團下屬的實體承載著經營主體任務,集團到子公司間的網絡連通,包括公文的上傳下達,指標的梳理分析,抽取挖掘,以及整個廣域專網和在廣域專網上建立視頻會議網絡,依賴性非常高。
2009年,國資委提出了“內外網隔離”概念,為了保證網絡的穩定性和安全性,我們租用了基礎運營商的專線,來替代基於互聯網的VPN,將辦公內網和員工訪問互聯網進行了徹底分離。
同時,基於2015年南北車合併時的契機,集團下屬株洲所的上市公司時代新材,收購了德國採埃孚集團旗下的製造汽車橡膠件的境外公司BOGE。 BOGE是一家全球化公司,在歐洲、巴西、中國、澳洲等地都有自己的製造工廠,他們使用的是SaaS化雲服務,基於MPLS 專用網絡的管網技術,通過運營商的POP點上環,根據原目的和路由協議來實現按需訪問。因此,就需要找到一家運營商解決全球網絡連接的問題,有針對性地對網絡應用和流量一體化管理、分析,實現網絡帶寬的彈性擴展。
中車集團也基於這個先進的理念組建了境外環網。但與海外連接中,涉及到各地區、各國家不同的法律法規、不同的風俗人情文化特點和不同的運營商,包括他的服務條款、法律條款等,整合難度極大,並會消耗非常大的精力。
因此,我們採納了中企通信“交鑰匙工程”的解決方案,運用技術驅動的先進性,組建成全球環網。依照運營商NNI的模式,由中企通信主導網絡建設,並與其他運營商形成資源整合,然後基於所有運營商的網絡之上建立一層MPLS。同時,採用中企通信TrustCSI UTM統一威脅管理服務為中車集團提供託管式網絡防禦,對整個網絡時延、抖動、丟包、中斷率等各個參數指標提出具體要求、落實具體保障措施,同時也實現了去中心化。
中企通信是中信集團成員企業,全稱“中企網絡通信技術有限公司”,擁有一站式、一體化“雲、網、安”資源、方案及服務交付能力,多年以來堅持踐行國家發展戰略,借勢母公司中信國際電訊CPC及集團優勢,為中大型央企、國企、集團型企業及全球化企業穩步邁入“數字絲路”鋪設了安全、高效、快速的網絡高速公路。
經過多年的應用,無論是從中車集團的業務人員,還是信息部門,對中企通信所提供的網絡服務反饋都很好。下一步,為保障和加強安全性,我們還計劃組建第二套環網,並將整合基礎運營商資源構建。
8問:中車集團在安全部署上的策略和建設思路是什麼?
韓毅斌:中車集團在網絡安全上的部署是通過頂層設計、統一建設理念,搭建整體的網絡安全防禦體系。
首先制定了“十四五”中車網絡安全專項規劃,提出了一個願景、一個目標、三個原則,並搭建了統一的標準架構。
中車網絡安全總體架構可以概括為“63356”。
“6”是指“六個統一”,
第1個“3”是指通過人、流程、技術三大要素,保障管理有效。
第2個“3”是通過三套網絡安全運行體系:一是依托青島大數據中心建立統一的網絡安全管理運維平台,二是建立全集團統一的網絡安全監測預警平台,三是建設網絡安全應急處置平台,通過這三套體係來保障網絡安全的運行有序
“5”指的是在等保安全基礎上,通過安全分區、區域邊界管理、計算環境管理、應用場景管理來建立辦公類模型、境外模型、製造業模型、數據中心模型、類金融企業模型,等五大網絡安全防護模型,實現對集團全級次不同規模、不同業務、不同地域企業的標準化管理,從而實現全覆蓋的“技防可信”。
“6”指的是統一建設六項重點工程,保障集團網絡安全標準體系和技術體系的有效落地。一是網絡安全制度和標準建設工程,二是網絡安全運營中心建設工程,三是安全通信網絡與區域邊界改造工程,四是安全計算環境的改造工程,五是容災備份體系,六是物聯網和智能製造的工控安全防護體系建設工程。
中車集團定義的網絡安全工作,包含四大原則:
一是業務驅動,整體保障。從全局防護的角度出發,整體實施,達到防護體系的全局一致,杜絕短板。
二是統一規劃,急用先行。按照輕重緩急,有序地實施,優先解決過程中的緊迫問題。
三是雙輪驅動,推進部署。安全是發展的前提,發展是安全的保障,網絡安全應與信息化同步規劃、建設、運行,應將網絡安全和運維融合推進。
四是技管並重,內外兼顧。應建立標準的製度體系規範,來保障技術的應用,不閉門造車,不斷將內部人員與外部廠商融合,應學習外部的前沿成果、優秀的解決方案、其他企業的先進理念和實踐經驗,並與自身需求和實際情況相融合,建立更好的網絡安全保障體系。
2022年·聽見數智時代
構築“云網智安”堅實底座,賦能製造業數智升級
國家“十四五”規劃,明確提出“兩步走”,即到2025年,規模以上製造業企業大部分實現數字化網絡化,重點行業骨幹企業初步應用智能化;到2035年,規模以上製造業企業全面普及數字化網絡化,重點行業骨幹企業基本實現智能化。
中企通信作為以智能科技驅動的數字化賦能者,累積了超過20多年的行業及客戶服務經驗,長期以來為諸多製造業客戶提供高品質的一站式“云網安”服務,服務涵蓋大部分企業ICT關鍵領域,包括中企通CeOne-CONNECT專用網絡服務、TrustCSI信息安全管理服務、中企雲時代SmartCLOUD雲計算管理服務,DataHOUSE雲數據中心四大旗艦服務及一系列增值服務。同時,依託於ICT關鍵領域服務,積極擁抱創新科技,打造ICT-MiiND策略,該策略將數十年的行業經驗與創新科技包括人工智能(AI)、增強現實(AR)、大數據、物聯網(IoT)、區塊鍊和5G等相結合,能夠為廣泛的製造業客戶提供至關重要的基礎設施支撐。
中企通信南中國區銷售總經理郭遠達表示,聯合母公司中信國際電訊CPC,中企通信服務覆蓋全球160個國家逾160個網絡節點,在“一帶一路”沿線、RCEP成員國、粵港澳大灣區等區域形成了獨特優勢覆蓋,這是許多走向世界的製造業客戶非常重視的一個資源優勢。這些廣泛的資源覆蓋能夠與中車集團全球化視野保持一致,助力其更好的拓展海外業務,實現快速的互聯互通。
一直以來,中車集團將央企社會責任扛在肩上,也是“一帶一路”建設中的“排頭兵”,更將在“十四五”發展藍圖之下,傳承優良傳統,努力接續奮鬥,擦亮國家名片,開啟嶄新征程,加快建設受人尊敬的世界一流中車,為建設社會主義現代化強國和實現中華民族偉大復興作出中車貢獻。未來,中企通信將發揮好與中信集團及母公司中信國際電訊CPC的協同效應,利用自身國際化的優勢,賦能中車集團及更多製造業客戶更好的拓展國際上的影響力,提速中國“智造”。
