摘要：在“中國(guó)制造2025”背景下，為提升學(xué)生對(duì)于工業(yè)信息安全和數(shù)據(jù)可視化的理解和認(rèn)識(shí)，根據(jù)實(shí)際項(xiàng)目需求，設(shè)計(jì)了一種基于工業(yè)信息安全的智能制造實(shí)驗(yàn)平臺(tái)。該實(shí)驗(yàn)平臺(tái)包括遠(yuǎn)程維護(hù)站、安全模塊、控制中心、工業(yè)網(wǎng)絡(luò)、可視化模塊和智能生產(chǎn)線等。實(shí)驗(yàn)表明，通過防火墻可實(shí)現(xiàn)對(duì)于智能生產(chǎn)線數(shù)據(jù)的保護(hù);通過虛擬專用網(wǎng)絡(luò)(VPN)可實(shí)現(xiàn)對(duì)于智能生產(chǎn)線的遠(yuǎn)程維護(hù);通過搭建后端服務(wù)器，并利用可視化插件可實(shí)現(xiàn)Web可視化功能。該實(shí)驗(yàn)平臺(tái)有利于培養(yǎng)智能制造相關(guān)人才，推動(dòng)“產(chǎn)學(xué)研”多主體協(xié)同育人模式探索。

　　關(guān)鍵詞：虛擬專用網(wǎng)絡(luò);防火墻;遠(yuǎn)程維護(hù);可視化

　　《中國(guó)制造2025》規(guī)劃指出智能制造已經(jīng)成為我國(guó)先進(jìn)制造業(yè)的發(fā)展方向。近年來，我國(guó)智能制造發(fā)展速度不斷加快，相關(guān)企業(yè)接連涌現(xiàn)，發(fā)展趨勢(shì)不斷向好[1-2]。 然而智能制造在信息安全方面所面臨的挑戰(zhàn)日趨嚴(yán)峻[3]，工業(yè)病毒的傳播方式愈發(fā)多樣。2010年11月，伊朗核電站遭受“震網(wǎng)”病毒攻擊，伊朗的核計(jì)劃遭受重創(chuàng)[4-6];2011年，美國(guó)伊利諾伊州城市供水系統(tǒng)被黑客入侵，供水泵遭到破壞[7];2012年5月，火焰病毒在中東地區(qū)大范圍傳播，對(duì)石油生產(chǎn)造成了嚴(yán)重破壞[8]。

　　機(jī)械論文投稿刊物：《機(jī)械工業(yè)信息與網(wǎng)絡(luò)》(雙月刊)雜志是中國(guó)機(jī)械工業(yè)聯(lián)合會(huì)主管主辦、機(jī)械工業(yè)信息中心承辦，國(guó)內(nèi)外公開發(fā)行的、面向機(jī)械制造業(yè)、推動(dòng)企業(yè)信息化專業(yè)性雜志。

　　同時(shí)，在大數(shù)據(jù)時(shí)代，工業(yè)信息數(shù)據(jù)量大且復(fù)雜多樣，對(duì)于生產(chǎn)數(shù)據(jù)可視化的要求進(jìn)一步提高[9-11]，傳統(tǒng)的人機(jī)交互界面(HMI)具有成本高和靈活性不足的缺點(diǎn)，難以滿足智能制造企業(yè)的實(shí)際需求。因此，本文將工業(yè)信息安全與可視化技術(shù)相結(jié)合，設(shè)計(jì)了工業(yè)網(wǎng)絡(luò)結(jié)構(gòu)，利用防火墻、VPN等技術(shù)和MySQL、VisualStudio2017、Echarts、Node.js等軟件，設(shè)計(jì)完成了基于工業(yè)信息安全的智能制造實(shí)驗(yàn)平臺(tái)，并利用博途V15.1進(jìn)行了遠(yuǎn)程維護(hù)的驗(yàn)證。將工業(yè)信息安全和數(shù)據(jù)可視化引入電氣自動(dòng)化類專業(yè)的實(shí)踐教學(xué)中，助力專業(yè)教學(xué)與當(dāng)前企業(yè)需求的對(duì)接，培養(yǎng)緊跟時(shí)代步伐的高素質(zhì)智能制造人才。同時(shí)，對(duì)電氣自動(dòng)化類專業(yè)的“新工科”建設(shè)進(jìn)行有益的教學(xué)探索。

　　1實(shí)驗(yàn)平臺(tái)結(jié)構(gòu)和功能

　　基于工業(yè)信息安全的智能制造實(shí)驗(yàn)平臺(tái)由遠(yuǎn)程維護(hù)站、控制中心(含可視化模塊、視頻監(jiān)測(cè)模塊)和智能生產(chǎn)線(含6個(gè)工藝單元)組成，遠(yuǎn)程維護(hù)站屬于外部網(wǎng)絡(luò)，控制中心和智能生產(chǎn)線屬于內(nèi)部工業(yè)網(wǎng)絡(luò)。

　　遠(yuǎn)程維護(hù)站通過VPN與控制中心建立加密連接[12-13]，實(shí)現(xiàn)對(duì)于智能生產(chǎn)線的遠(yuǎn)程維護(hù);安全模塊負(fù)責(zé)防止外部設(shè)備非法訪問控制中心和智能生產(chǎn)線，實(shí)現(xiàn)對(duì)控制中心和智能生產(chǎn)線的保護(hù)，同時(shí)作為VPN服務(wù)器，建立與遠(yuǎn)程維護(hù)站之間的VPN通道;可視化模塊部署在控制中心的工程師站，通過工業(yè)網(wǎng)絡(luò)實(shí)現(xiàn)對(duì)智能生產(chǎn)線S7-1200PLC數(shù)據(jù)的采集，并將采集到的生產(chǎn)數(shù)據(jù)進(jìn)行Web可視化;工業(yè)網(wǎng)絡(luò)由交換機(jī)、無線接入點(diǎn)(AP)和無線客戶端搭建，負(fù)責(zé)實(shí)現(xiàn)控制中心和智能生產(chǎn)線之間的通信;視頻監(jiān)測(cè)模塊由IP攝像頭和視頻監(jiān)控站組成，負(fù)責(zé)對(duì)智能生產(chǎn)線的視頻監(jiān)測(cè)。

　　2實(shí)驗(yàn)平臺(tái)設(shè)計(jì)

　　2.1工業(yè)網(wǎng)絡(luò)設(shè)計(jì)

　　根據(jù)工業(yè)網(wǎng)絡(luò)各部分的功能，將其劃分為核心層、匯聚層和接入層。考慮到實(shí)際工業(yè)生產(chǎn)對(duì)網(wǎng)絡(luò)可靠性的要求，采用環(huán)網(wǎng)冗余及有線/無線冗余方式，保證工業(yè)網(wǎng)絡(luò)的冗余度。核心層包含三層交換機(jī)和安全模塊。三層交換機(jī)選用SCALANCEXM408-8C，具有虛擬局域網(wǎng)(VLAN)、路由和冗余管理功能。安全模塊選用SCALANCES615，具有防火墻、VPN和網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)功能。

　　通過劃分VLAN可實(shí)現(xiàn)視頻監(jiān)測(cè)數(shù)據(jù)和生產(chǎn)數(shù)據(jù)的隔離;通過配置路由可實(shí)現(xiàn)各交換機(jī)之間和交換機(jī)與安全模塊之間的通信;通過多重冗余協(xié)議(MRP)將XM408-8C設(shè)置為冗余管理器，配合匯聚層交換機(jī)可實(shí)現(xiàn)環(huán)網(wǎng)冗余功能;通過配置S615可實(shí)現(xiàn)保護(hù)內(nèi)部網(wǎng)絡(luò)和遠(yuǎn)程維護(hù)功能。匯聚層使用二層交換機(jī)，選用SCALANCEXB208，負(fù)責(zé)連接接入層和核心層，實(shí)現(xiàn)對(duì)接入層數(shù)據(jù)的匯聚和轉(zhuǎn)發(fā)。將XB208設(shè)置為冗余客戶端，和核心層交換機(jī)共同構(gòu)成環(huán)網(wǎng)冗余。當(dāng)核心層和匯聚層通信正常時(shí)，備用鏈路處于斷開狀態(tài);當(dāng)原通信網(wǎng)絡(luò)發(fā)生故障時(shí)，啟用備用鏈路，保障網(wǎng)絡(luò)通信能夠正常進(jìn)行。

　　接入層包含無線AP、無線客戶端、二層交換機(jī)和IP攝像頭。無線AP選用SCALANCEW774，無線客戶端選用SCALANCEW734，通過配置相關(guān)協(xié)議實(shí)現(xiàn)W774和W734之間的工業(yè)無線通信。二層交換機(jī)選用SCALANCEXB208，完成智能生產(chǎn)線與工業(yè)網(wǎng)絡(luò)的連接。IP攝像頭選用沃仕達(dá)IP攝像頭，實(shí)現(xiàn)對(duì)智能生產(chǎn)線的視頻監(jiān)測(cè)功能。有線/無線冗余通過接入層和匯聚層實(shí)現(xiàn)，在正常情況下，當(dāng)有線與無線同時(shí)接通時(shí)，數(shù)據(jù)優(yōu)先通過有線傳輸;當(dāng)有線傳輸出現(xiàn)故障時(shí)，數(shù)據(jù)將通過無線傳輸。

　　2.2工業(yè)信息安全設(shè)計(jì)

　　工業(yè)信息安全設(shè)計(jì)由防火墻、VPN、NAT和私有虛擬局域網(wǎng)(PVLAN)實(shí)現(xiàn)。通過防火墻拒絕外部網(wǎng)絡(luò)設(shè)備對(duì)內(nèi)部工業(yè)網(wǎng)絡(luò)的訪問，在此基礎(chǔ)上，通過搭建VPN通道實(shí)現(xiàn)遠(yuǎn)程維護(hù)站對(duì)控制中心的訪問，從而實(shí)現(xiàn)遠(yuǎn)程維護(hù)功能。

　　2.3數(shù)據(jù)可視化設(shè)計(jì)

　　數(shù)據(jù)可視化是指通過工業(yè)網(wǎng)絡(luò)采集生產(chǎn)數(shù)據(jù)至工程師站，并進(jìn)行生產(chǎn)數(shù)據(jù)的Web可視化如實(shí)時(shí)數(shù)據(jù)顯示和歷史曲線顯示。通過分析實(shí)時(shí)數(shù)據(jù)和歷史數(shù)據(jù)，可判斷智能生產(chǎn)線是否遭受外部攻擊，有助于相關(guān)人員進(jìn)行處置。數(shù)據(jù)可視化設(shè)計(jì)包含生產(chǎn)數(shù)據(jù)采集、生產(chǎn)數(shù)據(jù)存儲(chǔ)和Web可視化3個(gè)部分，涉及VisualStudio2017、MySQL、ECharts和Node.js等軟件。生產(chǎn)數(shù)據(jù)采集部分使用VisualStudio2017建立窗體應(yīng)用程序，采用C#編程語言通過S7.net控件建立工程師站與智能生產(chǎn)線S7-1200PLC的連接，通過讀取PLC數(shù)據(jù)塊，將生產(chǎn)數(shù)據(jù)讀取到工程師站中，完成生產(chǎn)數(shù)據(jù)的采集。生產(chǎn)數(shù)據(jù)存儲(chǔ)部分使用MySQL數(shù)據(jù)庫(kù)，MySQL數(shù)據(jù)庫(kù)具有兼容性強(qiáng)、可靠性高等優(yōu)點(diǎn)，且源碼開放，適合運(yùn)用在實(shí)踐教學(xué)中。

　　利用MySqlConnection函數(shù)建立與MySQL數(shù)據(jù)庫(kù)的連接，通過insertinto函數(shù)將采集到的生產(chǎn)數(shù)據(jù)存放到MySQL數(shù)據(jù)庫(kù)中。Web可視化顯示分為后端和前端兩部分。使用Node.js搭建后端服務(wù)器，通過connection.query方法實(shí)現(xiàn)與MySQL數(shù)據(jù)庫(kù)的交互，并利用app.get和app.post方法提供數(shù)據(jù)訪問接口，為前端顯示提供數(shù)據(jù)。前端監(jiān)測(cè)頁(yè)面以ECharts為主要可視化插件，利用JQuery框架中的Ajax方法，訪問后端服務(wù)器，實(shí)時(shí)獲取數(shù)據(jù)并動(dòng)態(tài)刷新，實(shí)現(xiàn)數(shù)據(jù)的實(shí)時(shí)監(jiān)測(cè)。

　　3實(shí)驗(yàn)平臺(tái)驗(yàn)證

　　在未配置遠(yuǎn)程維護(hù)站SSC軟件的條件下，沒有建立遠(yuǎn)程維護(hù)站與S615的VPN通道，無法通過博途軟件在線監(jiān)控智能生產(chǎn)線的S7-1200PLC。在遠(yuǎn)程維護(hù)站中配置SSC軟件，建立與S615之間的數(shù)據(jù)加密通道。VPN通道建立成功后，遠(yuǎn)程維護(hù)站可以繞過防火墻規(guī)則與控制中心和智能生產(chǎn)線通信，SSC軟件中S615的狀態(tài)顯示為綠色，同時(shí)顯示VPN通道的源IP地址、目的IP地址和數(shù)據(jù)加密方法，在博途軟件中可以在線監(jiān)控智能生產(chǎn)線的S7-1200PLC，并且可以根據(jù)項(xiàng)目實(shí)際需求對(duì)控制程序進(jìn)行修改、下載及調(diào)試。

　　針對(duì)項(xiàng)目擴(kuò)展需求，實(shí)驗(yàn)平臺(tái)可實(shí)現(xiàn)遠(yuǎn)程擴(kuò)展S7-1200PLCDI/DO/AI/AO模塊及通信模塊的功能。以為智能生產(chǎn)線的S7-1200PLC添加DO模塊SM1222為例，在加入硬件模塊的同時(shí)，在遠(yuǎn)程維護(hù)站的博途軟件中對(duì)其進(jìn)行添加，修改程序并下載后監(jiān)控界面顯示正常，說明遠(yuǎn)程擴(kuò)展的DO模塊生效。

　　4結(jié)語

　　本文根據(jù)智能制造企業(yè)對(duì)于工業(yè)信息安全的實(shí)際需求，以實(shí)驗(yàn)室承擔(dān)的科技部國(guó)家重點(diǎn)研發(fā)計(jì)劃項(xiàng)目為背景，結(jié)合實(shí)驗(yàn)教學(xué)工作，設(shè)計(jì)了一種基于工業(yè)信息安全的智能制造實(shí)驗(yàn)平臺(tái)。該平臺(tái)促進(jìn)了學(xué)生對(duì)工業(yè)信息安全的相關(guān)理論和方法的掌握，加強(qiáng)了學(xué)生對(duì)數(shù)據(jù)可視化在智能制造中作用的了解和應(yīng)用，增強(qiáng)了學(xué)生的創(chuàng)新思維，拓展了學(xué)生的專業(yè)視野，在我校智能制造場(chǎng)景化實(shí)驗(yàn)室建設(shè)與電氣自動(dòng)化類專業(yè)的教學(xué)實(shí)踐中取得了良好的效果。

　　參考文獻(xiàn)(References)

　　[1]張振鋒.工業(yè)4.0背景下公共實(shí)訓(xùn)基地建設(shè)與管理研究[J].實(shí)驗(yàn)技術(shù)與管理，2018,35(11):160–163.

　　[2]王召鵬，徐通泉，周巧軍.工業(yè)4.0背景下實(shí)訓(xùn)基地建設(shè)模式的探索[J].實(shí)驗(yàn)技術(shù)與管理，2015,32(12):222–224.

　　[3]尚文利，尹隆，劉賢達(dá)，等.工業(yè)控制系統(tǒng)安全可信環(huán)境構(gòu)建技術(shù)及應(yīng)用[J].信息網(wǎng)絡(luò)安全，2019(6):1–10.

　　[4]辛?xí)詭洠瑒�燦成，鄧力.工業(yè)控制系統(tǒng)信息安全實(shí)驗(yàn)平臺(tái)設(shè)計(jì)[J].實(shí)驗(yàn)室研究與探索，2016,35(12):118–121.

　　[5]胡江，孫國(guó)臣，張加軍，等.由“震網(wǎng)”病毒事件淺議核電站信息安全現(xiàn)狀及監(jiān)管[J].核科學(xué)與工程，2015,35(1):181–185,192.

　　作者：李超，鄧小寶，史運(yùn)濤，翟維楓，孫德輝