基于工業信息安全的智能制造實驗平臺

李 超，鄧小寶，史運濤，翟維楓，孫德輝

（北方工業大學 現場總線技術及自動化北京市重點實驗室，北京 100144）

《中國制造2025》規劃指出智能制造已經成為我國先進制造業的發展方向。近年來，我國智能制造發展速度不斷加快，相關企業接連涌現，發展趨勢不斷向好[1-2]。

然而智能制造在信息安全方面所面臨的挑戰日趨嚴峻[3]，工業病毒的傳播方式愈發多樣。2010 年11月，伊朗核電站遭受“震網”病毒攻擊，伊朗的核計劃遭受重創[4-6]；2011 年，美國伊利諾伊州城市供水系統被黑客入侵，供水泵遭到破壞[7]；2012 年5 月，火焰病毒在中東地區大范圍傳播，對石油生產造成了嚴重破壞[8]。同時，在大數據時代，工業信息數據量大且復雜多樣，對于生產數據可視化的要求進一步提高[9-11]，傳統的人機交互界面（HMI）具有成本高和靈活性不足的缺點，難以滿足智能制造企業的實際需求。

因此，本文將工業信息安全與可視化技術相結合，設計了工業網絡結構，利用防火墻、VPN 等技術和MySQL、Visual Studio 2017、Echarts、Node.js 等軟件，設計完成了基于工業信息安全的智能制造實驗平臺，并利用博途V15.1 進行了遠程維護的驗證。將工業信息安全和數據可視化引入電氣自動化類專業的實踐教學中，助力專業教學與當前企業需求的對接，培養緊跟時代步伐的高素質智能制造人才。同時，對電氣自動化類專業的“新工科”建設進行有益的教學探索。

1 實驗平臺結構和功能

基于工業信息安全的智能制造實驗平臺由遠程維護站、控制中心（含可視化模塊、視頻監測模塊）和智能生產線（含6 個工藝單元）組成，遠程維護站屬于外部網絡，控制中心和智能生產線屬于內部工業網絡，實驗平臺結構如圖1 所示。

圖1 實驗平臺結構

遠程維護站通過VPN 與控制中心建立加密連接[12-13]，實現對于智能生產線的遠程維護；安全模塊負責防止外部設備非法訪問控制中心和智能生產線，實現對控制中心和智能生產線的保護，同時作為VPN服務器，建立與遠程維護站之間的VPN 通道；可視化模塊部署在控制中心的工程師站，通過工業網絡實現對智能生產線S7-1200 PLC 數據的采集，并將采集到的生產數據進行Web 可視化；工業網絡由交換機、無線接入點（AP）和無線客戶端搭建，負責實現控制中心和智能生產線之間的通信；視頻監測模塊由IP 攝像頭和視頻監控站組成，負責對智能生產線的視頻監測。

2 實驗平臺設計

2.1 工業網絡設計

根據工業網絡各部分的功能，將其劃分為核心層、匯聚層和接入層?？紤]到實際工業生產對網絡可靠性的要求，采用環網冗余及有線/無線冗余方式，保證工業網絡的冗余度。

核心層包含三層交換機和安全模塊。三層交換機選用SCALANCE XM408-8C，具有虛擬局域網（VLAN）、路由和冗余管理功能。安全模塊選用 SCALANCE S615，具有防火墻、VPN 和網絡地址轉換（NAT）功能。通過劃分VLAN 可實現視頻監測數據和生產數據的隔離；通過配置路由可實現各交換機之間和交換機與安全模塊之間的通信；通過多重冗余協議（MRP）將XM408-8C 設置為冗余管理器，配合匯聚層交換機可實現環網冗余功能；通過配置S615 可實現保護內部網絡和遠程維護功能。

圖2 網絡通信正常時

匯聚層使用二層交換機，選用SCALANCE XB208，負責連接接入層和核心層，實現對接入層數據的匯聚和轉發。將XB208 設置為冗余客戶端，和核心層交換機共同構成環網冗余。環網冗余效果如圖2 和3 所示，當核心層和匯聚層通信正常時，備用鏈路處于斷開狀態；當原通信網絡發生故障時，啟用備用鏈路，保障網絡通信能夠正常進行。

接入層包含無線AP、無線客戶端、二層交換機和IP 攝像頭。無線AP 選用SCALANCE W774，無線客戶端選用SCALANCE W734，通過配置相關協議實現W774 和W734 之間的工業無線通信。二層交換機選用SCALANCE XB208，完成智能生產線與工業網絡的連接。IP 攝像頭選用沃仕達IP 攝像頭，實現對智能生產線的視頻監測功能。有線/無線冗余通過接入層和匯聚層實現，在正常情況下，當有線與無線同時接通時，數據優先通過有線傳輸；當有線傳輸出現故障時，數據將通過無線傳輸。

圖3 原通信網絡發生故障時

2.2 工業信息安全設計

工業信息安全設計由防火墻、VPN、NAT 和私有虛擬局域網(PVLAN)實現。通過防火墻拒絕外部網絡設備對內部工業網絡的訪問，在此基礎上，通過搭建VPN 通道實現遠程維護站對控制中心的訪問，從而實現遠程維護功能。信息安全防護流程如圖4 所示。

配置防火墻規則。通信方向為由外網到內網時，將來源IP 設置為0.0.0.0(任意IP)，將目的IP 設置為192.168.0.0，動作設置為拒絕，實現拒絕任意來源IP訪問內網IP 的功能；通信方向為由內網到外網時，將來源IP 設置為192.168.0.0，將目的IP 設置為0.0.0.0，動作設置為允許，實現允許內網IP 訪問外網任意IP的功能。

圖4 信息安全防護流程

搭建VPN 通道實現遠程維護功能。利用S615 和SSC(SOFTNET security client)軟件搭建VPN 通道。將SSC 軟件部署在遠程維護站作為VPN 客戶端，將S615配置為VPN 服務器，通過IPSec 協議在遠程維護站和S615 之間搭建一條VPN 通道。通過網絡密鑰交換協議(IKE)建立VPN 服務器和VPN 客戶端之間的安全參數及密鑰，其中數據加密算法采用3DES，認證算法采用SHA-1，實現遠程維護站和控制中心之間數據的安全加密傳輸，進而實現遠程維護站對智能生產線的訪問。VPN 架構如圖5 所示。

圖5 VPN 架構圖

建立PVLAN 實現網絡隔離功能。利用PVLAN隔離各工藝單元之間的通信，在XM408-8C 中建立主VLAN 和輔助VLAN，在匯聚層和接入層的XB208 中建立各輔助VLAN。將工程師站置于主VLAN 中，工藝單元置于不同輔助VLAN 中，各輔助VLAN 只能與主VLAN 通信，輔助VLAN 之間不能通信，當單個工藝單元遭受病毒感染后，病毒無法通過工業網絡入侵其他工藝單元。

2.3 數據可視化設計

數據可視化是指通過工業網絡采集生產數據至工程師站，并進行生產數據的Web 可視化如實時數據顯示和歷史曲線顯示。通過分析實時數據和歷史數據，可判斷智能生產線是否遭受外部攻擊，有助于相關人員進行處置。數據可視化設計包含生產數據采集、生產數據存儲和Web 可視化3 個部分，涉及Visual Studio 2017、MySQL、ECharts 和Node.js 等軟件。

生產數據采集部分使用Visual Studio 2017 建立窗體應用程序，采用C#編程語言通過S7.net 控件建立工程師站與智能生產線S7-1200 PLC 的連接，通過讀取PLC 數據塊，將生產數據讀取到工程師站中，完成生產數據的采集。

生產數據存儲部分使用MySQL 數據庫，MySQL數據庫具有兼容性強、可靠性高等優點，且源碼開放，適合運用在實踐教學中。利用MySqlConnection 函數建立與MySQL 數據庫的連接，通過insert into 函數將采集到的生產數據存放到MySQL 數據庫中。

Web 可視化顯示分為后端和前端兩部分。使用Node.js 搭建后端服務器，通過connection.query 方法實現與 MySQL 數據庫的交互，并利用 app.get 和app.post 方法提供數據訪問接口，為前端顯示提供數據。前端監測頁面以ECharts 為主要可視化插件，利用JQuery 框架中的Ajax 方法，訪問后端服務器，實時獲取數據并動態刷新，實現數據的實時監測。

3 實驗平臺驗證

在未配置遠程維護站SSC 軟件的條件下，沒有建立遠程維護站與S615 的VPN 通道，無法通過博途軟件在線監控智能生產線的S7-1200 PLC，如圖6 所示。

在遠程維護站中配置SSC 軟件，建立與S615 之間的數據加密通道。VPN 通道建立成功后，遠程維護站可以繞過防火墻規則與控制中心和智能生產線通信，SSC 軟件中S615 的狀態顯示為綠色，同時顯示VPN 通道的源IP 地址、目的IP 地址和數據加密方法，在博途軟件中可以在線監控智能生產線的 S7-1200 PLC，并且可以根據項目實際需求對控制程序進行修改、下載及調試，遠程維護效果如圖7 所示。

針對項目擴展需求，實驗平臺可實現遠程擴展S7-1200 PLC DI/DO/AI/AO 模塊及通信模塊的功能。以為智能生產線的S7-1200 PLC 添加DO 模塊SM1222為例，在加入硬件模塊的同時，在遠程維護站的博途軟件中對其進行添加，修改程序并下載后監控界面顯示正常，說明遠程擴展的DO 模塊生效。擴展模塊前遠程監控效果如圖8 所示，擴展模塊后遠程監控效果如圖9 所示。

圖6 未建立VPN 通道效果

圖7 遠程加密連接效果

圖8 擴展模塊前遠程監控效果

圖9 擴展模塊后遠程監控效果

在工程師站的博途軟件中監控智能生產線S7-1200 PLC 生產數據狀態，通過工業網絡采集S7-1200 PLC數據后，存入工程師站的MySQL 數據庫，并在C#的窗體應用程序中進行顯示，最終通過 Node.js 和ECharts 插件實現Web 可視化。數據可視化效果如圖10 所示，右側為博途軟件監控界面，左側為C#窗體界面，中間為Web 可視化界面。

圖10 數據可視化效果

4 結語

本文根據智能制造企業對于工業信息安全的實際需求，以實驗室承擔的科技部國家重點研發計劃項目為背景，結合實驗教學工作，設計了一種基于工業信息安全的智能制造實驗平臺。該平臺促進了學生對工業信息安全的相關理論和方法的掌握，加強了學生對數據可視化在智能制造中作用的了解和應用，增強了學生的創新思維，拓展了學生的專業視野，在我校智能制造場景化實驗室建設與電氣自動化類專業的教學實踐中取得了良好的效果。