基于工业信息安全的智能制造实验平台

　　摘要：在“中国制造2025”背景下，为提升学生对于工业信息安全和数据可视化的理解和认识，根据实际项目需求，设计了一种基于工业信息安全的智能制造实验平台。该实验平台包括远程维护站、安全模块、控制中心、工业网络、可视化模块和智能生产线等。实验表明，通过防火墙可实现对于智能生产线数据的保护;通过虚拟专用网络(VPN)可实现对于智能生产线的远程维护;通过搭建后端服务器，并利用可视化插件可实现Web可视化功能。该实验平台有利于培养智能制造相关人才，推动“产学研”多主体协同育人模式探索。

　　关键词：虚拟专用网络;防火墙;远程维护;可视化

　　《中国制造2025》规划指出智能制造已经成为我国先进制造业的发展方向。近年来，我国智能制造发展速度不断加快，相关企业接连涌现，发展趋势不断向好[1-2]。 然而智能制造在信息安全方面所面临的挑战日趋严峻[3]，工业病毒的传播方式愈发多样。2010年11月，伊朗核电站遭受“震网”病毒攻击，伊朗的核计划遭受重创[4-6];2011年，美国伊利诺伊州城市供水系统被黑客入侵，供水泵遭到破坏[7];2012年5月，火焰病毒在中东地区大范围传播，对石油生产造成了严重破坏[8]。

　　机械论文投稿刊物：《机械工业信息与网络》(双月刊)杂志是中国机械工业联合会主管主办、机械工业信息中心承办，国内外公开发行的、面向机械制造业、推动企业信息化专业性杂志。

　　同时，在大数据时代，工业信息数据量大且复杂多样，对于生产数据可视化的要求进一步提高[9-11]，传统的人机交互界面(HMI)具有成本高和灵活性不足的缺点，难以满足智能制造企业的实际需求。因此，本文将工业信息安全与可视化技术相结合，设计了工业网络结构，利用防火墙、VPN等技术和MySQL、VisualStudio2017、Echarts、Node.js等软件，设计完成了基于工业信息安全的智能制造实验平台，并利用博途V15.1进行了远程维护的验证。将工业信息安全和数据可视化引入电气自动化类专业的实践教学中，助力专业教学与当前企业需求的对接，培养紧跟时代步伐的高素质智能制造人才。同时，对电气自动化类专业的“新工科”建设进行有益的教学探索。

　　1实验平台结构和功能

　　基于工业信息安全的智能制造实验平台由远程维护站、控制中心(含可视化模块、视频监测模块)和智能生产线(含6个工艺单元)组成，远程维护站属于外部网络，控制中心和智能生产线属于内部工业网络。

　　远程维护站通过VPN与控制中心建立加密连接[12-13]，实现对于智能生产线的远程维护;安全模块负责防止外部设备非法访问控制中心和智能生产线，实现对控制中心和智能生产线的保护，同时作为VPN服务器，建立与远程维护站之间的VPN通道;可视化模块部署在控制中心的工程师站，通过工业网络实现对智能生产线S7-1200PLC数据的采集，并将采集到的生产数据进行Web可视化;工业网络由交换机、无线接入点(AP)和无线客户端搭建，负责实现控制中心和智能生产线之间的通信;视频监测模块由IP摄像头和视频监控站组成，负责对智能生产线的视频监测。

　　2实验平台设计

　　2.1工业网络设计

　　根据工业网络各部分的功能，将其划分为核心层、汇聚层和接入层。考虑到实际工业生产对网络可靠性的要求，采用环网冗余及有线/无线冗余方式，保证工业网络的冗余度。核心层包含三层交换机和安全模块。三层交换机选用SCALANCEXM408-8C，具有虚拟局域网(VLAN)、路由和冗余管理功能。安全模块选用SCALANCES615，具有防火墙、VPN和网络地址转换(NAT)功能。

　　通过划分VLAN可实现视频监测数据和生产数据的隔离;通过配置路由可实现各交换机之间和交换机与安全模块之间的通信;通过多重冗余协议(MRP)将XM408-8C设置为冗余管理器，配合汇聚层交换机可实现环网冗余功能;通过配置S615可实现保护内部网络和远程维护功能。汇聚层使用二层交换机，选用SCALANCEXB208，负责连接接入层和核心层，实现对接入层数据的汇聚和转发。将XB208设置为冗余客户端，和核心层交换机共同构成环网冗余。当核心层和汇聚层通信正常时，备用链路处于断开状态;当原通信网络发生故障时，启用备用链路，保障网络通信能够正常进行。

　　接入层包含无线AP、无线客户端、二层交换机和IP摄像头。无线AP选用SCALANCEW774，无线客户端选用SCALANCEW734，通过配置相关协议实现W774和W734之间的工业无线通信。二层交换机选用SCALANCEXB208，完成智能生产线与工业网络的连接。IP摄像头选用沃仕达IP摄像头，实现对智能生产线的视频监测功能。有线/无线冗余通过接入层和汇聚层实现，在正常情况下，当有线与无线同时接通时，数据优先通过有线传输;当有线传输出现故障时，数据将通过无线传输。

　　2.2工业信息安全设计

　　工业信息安全设计由防火墙、VPN、NAT和私有虚拟局域网(PVLAN)实现。通过防火墙拒绝外部网络设备对内部工业网络的访问，在此基础上，通过搭建VPN通道实现远程维护站对控制中心的访问，从而实现远程维护功能。

　　2.3数据可视化设计

　　数据可视化是指通过工业网络采集生产数据至工程师站，并进行生产数据的Web可视化如实时数据显示和历史曲线显示。通过分析实时数据和历史数据，可判断智能生产线是否遭受外部攻击，有助于相关人员进行处置。数据可视化设计包含生产数据采集、生产数据存储和Web可视化3个部分，涉及VisualStudio2017、MySQL、ECharts和Node.js等软件。生产数据采集部分使用VisualStudio2017建立窗体应用程序，采用C#编程语言通过S7.net控件建立工程师站与智能生产线S7-1200PLC的连接，通过读取PLC数据块，将生产数据读取到工程师站中，完成生产数据的采集。生产数据存储部分使用MySQL数据库，MySQL数据库具有兼容性强、可靠性高等优点，且源码开放，适合运用在实践教学中。

　　利用MySqlConnection函数建立与MySQL数据库的连接，通过insertinto函数将采集到的生产数据存放到MySQL数据库中。Web可视化显示分为后端和前端两部分。使用Node.js搭建后端服务器，通过connection.query方法实现与MySQL数据库的交互，并利用app.get和app.post方法提供数据访问接口，为前端显示提供数据。前端监测页面以ECharts为主要可视化插件，利用JQuery框架中的Ajax方法，访问后端服务器，实时获取数据并动态刷新，实现数据的实时监测。

　　3实验平台验证

　　在未配置远程维护站SSC软件的条件下，没有建立远程维护站与S615的VPN通道，无法通过博途软件在线监控智能生产线的S7-1200PLC。在远程维护站中配置SSC软件，建立与S615之间的数据加密通道。VPN通道建立成功后，远程维护站可以绕过防火墙规则与控制中心和智能生产线通信，SSC软件中S615的状态显示为绿色，同时显示VPN通道的源IP地址、目的IP地址和数据加密方法，在博途软件中可以在线监控智能生产线的S7-1200PLC，并且可以根据项目实际需求对控制程序进行修改、下载及调试。

　　针对项目扩展需求，实验平台可实现远程扩展S7-1200PLCDI/DO/AI/AO模块及通信模块的功能。以为智能生产线的S7-1200PLC添加DO模块SM1222为例，在加入硬件模块的同时，在远程维护站的博途软件中对其进行添加，修改程序并下载后监控界面显示正常，说明远程扩展的DO模块生效。

　　4结语

　　本文根据智能制造企业对于工业信息安全的实际需求，以实验室承担的科技部国家重点研发计划项目为背景，结合实验教学工作，设计了一种基于工业信息安全的智能制造实验平台。该平台促进了学生对工业信息安全的相关理论和方法的掌握，加强了学生对数据可视化在智能制造中作用的了解和应用，增强了学生的创新思维，拓展了学生的专业视野，在我校智能制造场景化实验室建设与电气自动化类专业的教学实践中取得了良好的效果。

　　参考文献(References)

　　[1]张振锋.工业4.0背景下公共实训基地建设与管理研究[J].实验技术与管理，2018,35(11):160–163.

　　[2]王召鹏，徐通泉，周巧军.工业4.0背景下实训基地建设模式的探索[J].实验技术与管理，2015,32(12):222–224.

　　[3]尚文利，尹隆，刘贤达，等.工业控制系统安全可信环境构建技术及应用[J].信息网络安全，2019(6):1–10.

　　[4]辛晓帅，刘灿成，邓力.工业控制系统信息安全实验平台设计[J].实验室研究与探索，2016,35(12):118–121.

　　[5]胡江，孙国臣，张加军，等.由“震网”病毒事件浅议核电站信息安全现状及监管[J].核科学与工程，2015,35(1):181–185,192.

　　作者：李超，邓小宝，史运涛，翟维枫，孙德辉