摘要：在“中國制造2025”背景下，為提升學生對于工業信息安全和數據可視化的理解和認識，根據實際項目需求，設計了一種基于工業信息安全的智能制造實驗平臺。該實驗平臺包括遠程維護站、安全模塊、控制中心、工業網絡、可視化模塊和智能生產線等。實驗表明，通過防火墻可實現對于智能生產線數據的保護;通過虛擬專用網絡(VPN)可實現對于智能生產線的遠程維護;通過搭建后端服務器，并利用可視化插件可實現Web可視化功能。該實驗平臺有利于培養智能制造相關人才，推動“產學研”多主體協同育人模式探索。

　　關鍵詞：虛擬專用網絡;防火墻;遠程維護;可視化

　　《中國制造2025》規劃指出智能制造已經成為我國先進制造業的發展方向。近年來，我國智能制造發展速度不斷加快，相關企業接連涌現，發展趨勢不斷向好[1-2]。 然而智能制造在信息安全方面所面臨的挑戰日趨嚴峻[3]，工業病毒的傳播方式愈發多樣。2010年11月，伊朗核電站遭受“震網”病毒攻擊，伊朗的核計劃遭受重創[4-6];2011年，美國伊利諾伊州城市供水系統被黑客入侵，供水泵遭到破壞[7];2012年5月，火焰病毒在中東地區大范圍傳播，對石油生產造成了嚴重破壞[8]。

　　機械論文投稿刊物：《機械工業信息與網絡》(雙月刊)雜志是中國機械工業聯合會主管主辦、機械工業信息中心承辦，國內外公開發行的、面向機械制造業、推動企業信息化專業性雜志。

　　同時，在大數據時代，工業信息數據量大且復雜多樣，對于生產數據可視化的要求進一步提高[9-11]，傳統的人機交互界面(HMI)具有成本高和靈活性不足的缺點，難以滿足智能制造企業的實際需求。因此，本文將工業信息安全與可視化技術相結合，設計了工業網絡結構，利用防火墻、VPN等技術和MySQL、VisualStudio2017、Echarts、Node.js等軟件，設計完成了基于工業信息安全的智能制造實驗平臺，并利用博途V15.1進行了遠程維護的驗證。將工業信息安全和數據可視化引入電氣自動化類專業的實踐教學中，助力專業教學與當前企業需求的對接，培養緊跟時代步伐的高素質智能制造人才。同時，對電氣自動化類專業的“新工科”建設進行有益的教學探索。

　　1實驗平臺結構和功能

　　基于工業信息安全的智能制造實驗平臺由遠程維護站、控制中心(含可視化模塊、視頻監測模塊)和智能生產線(含6個工藝單元)組成，遠程維護站屬于外部網絡，控制中心和智能生產線屬于內部工業網絡。

　　遠程維護站通過VPN與控制中心建立加密連接[12-13]，實現對于智能生產線的遠程維護;安全模塊負責防止外部設備非法訪問控制中心和智能生產線，實現對控制中心和智能生產線的保護，同時作為VPN服務器，建立與遠程維護站之間的VPN通道;可視化模塊部署在控制中心的工程師站，通過工業網絡實現對智能生產線S7-1200PLC數據的采集，并將采集到的生產數據進行Web可視化;工業網絡由交換機、無線接入點(AP)和無線客戶端搭建，負責實現控制中心和智能生產線之間的通信;視頻監測模塊由IP攝像頭和視頻監控站組成，負責對智能生產線的視頻監測。

　　2實驗平臺設計

　　2.1工業網絡設計

　　根據工業網絡各部分的功能，將其劃分為核心層、匯聚層和接入層。考慮到實際工業生產對網絡可靠性的要求，采用環網冗余及有線/無線冗余方式，保證工業網絡的冗余度。核心層包含三層交換機和安全模塊。三層交換機選用SCALANCEXM408-8C，具有虛擬局域網(VLAN)、路由和冗余管理功能。安全模塊選用SCALANCES615，具有防火墻、VPN和網絡地址轉換(NAT)功能。

　　通過劃分VLAN可實現視頻監測數據和生產數據的隔離;通過配置路由可實現各交換機之間和交換機與安全模塊之間的通信;通過多重冗余協議(MRP)將XM408-8C設置為冗余管理器，配合匯聚層交換機可實現環網冗余功能;通過配置S615可實現保護內部網絡和遠程維護功能。匯聚層使用二層交換機，選用SCALANCEXB208，負責連接接入層和核心層，實現對接入層數據的匯聚和轉發。將XB208設置為冗余客戶端，和核心層交換機共同構成環網冗余。當核心層和匯聚層通信正常時，備用鏈路處于斷開狀態;當原通信網絡發生故障時，啟用備用鏈路，保障網絡通信能夠正常進行。

　　接入層包含無線AP、無線客戶端、二層交換機和IP攝像頭。無線AP選用SCALANCEW774，無線客戶端選用SCALANCEW734，通過配置相關協議實現W774和W734之間的工業無線通信。二層交換機選用SCALANCEXB208，完成智能生產線與工業網絡的連接。IP攝像頭選用沃仕達IP攝像頭，實現對智能生產線的視頻監測功能。有線/無線冗余通過接入層和匯聚層實現，在正常情況下，當有線與無線同時接通時，數據優先通過有線傳輸;當有線傳輸出現故障時，數據將通過無線傳輸。

　　2.2工業信息安全設計

　　工業信息安全設計由防火墻、VPN、NAT和私有虛擬局域網(PVLAN)實現。通過防火墻拒絕外部網絡設備對內部工業網絡的訪問，在此基礎上，通過搭建VPN通道實現遠程維護站對控制中心的訪問，從而實現遠程維護功能。

　　2.3數據可視化設計

　　數據可視化是指通過工業網絡采集生產數據至工程師站，并進行生產數據的Web可視化如實時數據顯示和歷史曲線顯示。通過分析實時數據和歷史數據，可判斷智能生產線是否遭受外部攻擊，有助于相關人員進行處置。數據可視化設計包含生產數據采集、生產數據存儲和Web可視化3個部分，涉及VisualStudio2017、MySQL、ECharts和Node.js等軟件。生產數據采集部分使用VisualStudio2017建立窗體應用程序，采用C#編程語言通過S7.net控件建立工程師站與智能生產線S7-1200PLC的連接，通過讀取PLC數據塊，將生產數據讀取到工程師站中，完成生產數據的采集。生產數據存儲部分使用MySQL數據庫，MySQL數據庫具有兼容性強、可靠性高等優點，且源碼開放，適合運用在實踐教學中。

　　利用MySqlConnection函數建立與MySQL數據庫的連接，通過insertinto函數將采集到的生產數據存放到MySQL數據庫中。Web可視化顯示分為后端和前端兩部分。使用Node.js搭建后端服務器，通過connection.query方法實現與MySQL數據庫的交互，并利用app.get和app.post方法提供數據訪問接口，為前端顯示提供數據。前端監測頁面以ECharts為主要可視化插件，利用JQuery框架中的Ajax方法，訪問后端服務器，實時獲取數據并動態刷新，實現數據的實時監測。

　　3實驗平臺驗證

　　在未配置遠程維護站SSC軟件的條件下，沒有建立遠程維護站與S615的VPN通道，無法通過博途軟件在線監控智能生產線的S7-1200PLC。在遠程維護站中配置SSC軟件，建立與S615之間的數據加密通道。VPN通道建立成功后，遠程維護站可以繞過防火墻規則與控制中心和智能生產線通信，SSC軟件中S615的狀態顯示為綠色，同時顯示VPN通道的源IP地址、目的IP地址和數據加密方法，在博途軟件中可以在線監控智能生產線的S7-1200PLC，并且可以根據項目實際需求對控制程序進行修改、下載及調試。

　　針對項目擴展需求，實驗平臺可實現遠程擴展S7-1200PLCDI/DO/AI/AO模塊及通信模塊的功能。以為智能生產線的S7-1200PLC添加DO模塊SM1222為例，在加入硬件模塊的同時，在遠程維護站的博途軟件中對其進行添加，修改程序并下載后監控界面顯示正常，說明遠程擴展的DO模塊生效。

　　4結語

　　本文根據智能制造企業對于工業信息安全的實際需求，以實驗室承擔的科技部國家重點研發計劃項目為背景，結合實驗教學工作，設計了一種基于工業信息安全的智能制造實驗平臺。該平臺促進了學生對工業信息安全的相關理論和方法的掌握，加強了學生對數據可視化在智能制造中作用的了解和應用，增強了學生的創新思維，拓展了學生的專業視野，在我校智能制造場景化實驗室建設與電氣自動化類專業的教學實踐中取得了良好的效果。

　　參考文獻(References)

　　[1]張振鋒.工業4.0背景下公共實訓基地建設與管理研究[J].實驗技術與管理，2018,35(11):160–163.

　　[2]王召鵬，徐通泉，周巧軍.工業4.0背景下實訓基地建設模式的探索[J].實驗技術與管理，2015,32(12):222–224.

　　[3]尚文利，尹隆，劉賢達，等.工業控制系統安全可信環境構建技術及應用[J].信息網絡安全，2019(6):1–10.

　　[4]辛曉帥，劉燦成，鄧力.工業控制系統信息安全實驗平臺設計[J].實驗室研究與探索，2016,35(12):118–121.

　　[5]胡江，孫國臣，張加軍，等.由“震網”病毒事件淺議核電站信息安全現狀及監管[J].核科學與工程，2015,35(1):181–185,192.

　　作者：李超，鄧小寶，史運濤，翟維楓，孫德輝