APP下载

基于工业信息安全的智能制造实验平台

2021-04-06邓小宝史运涛翟维枫孙德辉

实验技术与管理 2021年2期
关键词:生产线可视化信息安全

李 超,邓小宝,史运涛,翟维枫,孙德辉

(北方工业大学 现场总线技术及自动化北京市重点实验室,北京 100144)

《中国制造2025》规划指出智能制造已经成为我国先进制造业的发展方向。近年来,我国智能制造发展速度不断加快,相关企业接连涌现,发展趋势不断向好[1-2]。

然而智能制造在信息安全方面所面临的挑战日趋严峻[3],工业病毒的传播方式愈发多样。2010 年11月,伊朗核电站遭受“震网”病毒攻击,伊朗的核计划遭受重创[4-6];2011 年,美国伊利诺伊州城市供水系统被黑客入侵,供水泵遭到破坏[7];2012 年5 月,火焰病毒在中东地区大范围传播,对石油生产造成了严重破坏[8]。同时,在大数据时代,工业信息数据量大且复杂多样,对于生产数据可视化的要求进一步提高[9-11],传统的人机交互界面(HMI)具有成本高和灵活性不足的缺点,难以满足智能制造企业的实际需求。

因此,本文将工业信息安全与可视化技术相结合,设计了工业网络结构,利用防火墙、VPN 等技术和MySQL、Visual Studio 2017、Echarts、Node.js 等软件,设计完成了基于工业信息安全的智能制造实验平台,并利用博途V15.1 进行了远程维护的验证。将工业信息安全和数据可视化引入电气自动化类专业的实践教学中,助力专业教学与当前企业需求的对接,培养紧跟时代步伐的高素质智能制造人才。同时,对电气自动化类专业的“新工科”建设进行有益的教学探索。

1 实验平台结构和功能

基于工业信息安全的智能制造实验平台由远程维护站、控制中心(含可视化模块、视频监测模块)和智能生产线(含6 个工艺单元)组成,远程维护站属于外部网络,控制中心和智能生产线属于内部工业网络,实验平台结构如图1 所示。

图1 实验平台结构

远程维护站通过VPN 与控制中心建立加密连接[12-13],实现对于智能生产线的远程维护;安全模块负责防止外部设备非法访问控制中心和智能生产线,实现对控制中心和智能生产线的保护,同时作为VPN服务器,建立与远程维护站之间的VPN 通道;可视化模块部署在控制中心的工程师站,通过工业网络实现对智能生产线S7-1200 PLC 数据的采集,并将采集到的生产数据进行Web 可视化;工业网络由交换机、无线接入点(AP)和无线客户端搭建,负责实现控制中心和智能生产线之间的通信;视频监测模块由IP 摄像头和视频监控站组成,负责对智能生产线的视频监测。

2 实验平台设计

2.1 工业网络设计

根据工业网络各部分的功能,将其划分为核心层、汇聚层和接入层。考虑到实际工业生产对网络可靠性的要求,采用环网冗余及有线/无线冗余方式,保证工业网络的冗余度。

核心层包含三层交换机和安全模块。三层交换机选用SCALANCE XM408-8C,具有虚拟局域网(VLAN)、路由和冗余管理功能。安全模块选用 SCALANCE S615,具有防火墙、VPN 和网络地址转换(NAT)功能。通过划分VLAN 可实现视频监测数据和生产数据的隔离;通过配置路由可实现各交换机之间和交换机与安全模块之间的通信;通过多重冗余协议(MRP)将XM408-8C 设置为冗余管理器,配合汇聚层交换机可实现环网冗余功能;通过配置S615 可实现保护内部网络和远程维护功能。

图2 网络通信正常时

汇聚层使用二层交换机,选用SCALANCE XB208,负责连接接入层和核心层,实现对接入层数据的汇聚和转发。将XB208 设置为冗余客户端,和核心层交换机共同构成环网冗余。环网冗余效果如图2 和3 所示,当核心层和汇聚层通信正常时,备用链路处于断开状态;当原通信网络发生故障时,启用备用链路,保障网络通信能够正常进行。

接入层包含无线AP、无线客户端、二层交换机和IP 摄像头。无线AP 选用SCALANCE W774,无线客户端选用SCALANCE W734,通过配置相关协议实现W774 和W734 之间的工业无线通信。二层交换机选用SCALANCE XB208,完成智能生产线与工业网络的连接。IP 摄像头选用沃仕达IP 摄像头,实现对智能生产线的视频监测功能。有线/无线冗余通过接入层和汇聚层实现,在正常情况下,当有线与无线同时接通时,数据优先通过有线传输;当有线传输出现故障时,数据将通过无线传输。

图3 原通信网络发生故障时

2.2 工业信息安全设计

工业信息安全设计由防火墙、VPN、NAT 和私有虚拟局域网(PVLAN)实现。通过防火墙拒绝外部网络设备对内部工业网络的访问,在此基础上,通过搭建VPN 通道实现远程维护站对控制中心的访问,从而实现远程维护功能。信息安全防护流程如图4 所示。

配置防火墙规则。通信方向为由外网到内网时,将来源IP 设置为0.0.0.0(任意IP),将目的IP 设置为192.168.0.0,动作设置为拒绝,实现拒绝任意来源IP访问内网IP 的功能;通信方向为由内网到外网时,将来源IP 设置为192.168.0.0,将目的IP 设置为0.0.0.0,动作设置为允许,实现允许内网IP 访问外网任意IP的功能。

图4 信息安全防护流程

搭建VPN 通道实现远程维护功能。利用S615 和SSC(SOFTNET security client)软件搭建VPN 通道。将SSC 软件部署在远程维护站作为VPN 客户端,将S615配置为VPN 服务器,通过IPSec 协议在远程维护站和S615 之间搭建一条VPN 通道。通过网络密钥交换协议(IKE)建立VPN 服务器和VPN 客户端之间的安全参数及密钥,其中数据加密算法采用3DES,认证算法采用SHA-1,实现远程维护站和控制中心之间数据的安全加密传输,进而实现远程维护站对智能生产线的访问。VPN 架构如图5 所示。

图5 VPN 架构图

建立PVLAN 实现网络隔离功能。利用PVLAN隔离各工艺单元之间的通信,在XM408-8C 中建立主VLAN 和辅助VLAN,在汇聚层和接入层的XB208 中建立各辅助VLAN。将工程师站置于主VLAN 中,工艺单元置于不同辅助VLAN 中,各辅助VLAN 只能与主VLAN 通信,辅助VLAN 之间不能通信,当单个工艺单元遭受病毒感染后,病毒无法通过工业网络入侵其他工艺单元。

2.3 数据可视化设计

数据可视化是指通过工业网络采集生产数据至工程师站,并进行生产数据的Web 可视化如实时数据显示和历史曲线显示。通过分析实时数据和历史数据,可判断智能生产线是否遭受外部攻击,有助于相关人员进行处置。数据可视化设计包含生产数据采集、生产数据存储和Web 可视化3 个部分,涉及Visual Studio 2017、MySQL、ECharts 和Node.js 等软件。

生产数据采集部分使用Visual Studio 2017 建立窗体应用程序,采用C#编程语言通过S7.net 控件建立工程师站与智能生产线S7-1200 PLC 的连接,通过读取PLC 数据块,将生产数据读取到工程师站中,完成生产数据的采集。

生产数据存储部分使用MySQL 数据库,MySQL数据库具有兼容性强、可靠性高等优点,且源码开放,适合运用在实践教学中。利用MySqlConnection 函数建立与MySQL 数据库的连接,通过insert into 函数将采集到的生产数据存放到MySQL 数据库中。

Web 可视化显示分为后端和前端两部分。使用Node.js 搭建后端服务器,通过connection.query 方法实现与 MySQL 数据库的交互,并利用 app.get 和app.post 方法提供数据访问接口,为前端显示提供数据。前端监测页面以ECharts 为主要可视化插件,利用JQuery 框架中的Ajax 方法,访问后端服务器,实时获取数据并动态刷新,实现数据的实时监测。

3 实验平台验证

在未配置远程维护站SSC 软件的条件下,没有建立远程维护站与S615 的VPN 通道,无法通过博途软件在线监控智能生产线的S7-1200 PLC,如图6 所示。

在远程维护站中配置SSC 软件,建立与S615 之间的数据加密通道。VPN 通道建立成功后,远程维护站可以绕过防火墙规则与控制中心和智能生产线通信,SSC 软件中S615 的状态显示为绿色,同时显示VPN 通道的源IP 地址、目的IP 地址和数据加密方法,在博途软件中可以在线监控智能生产线的 S7-1200 PLC,并且可以根据项目实际需求对控制程序进行修改、下载及调试,远程维护效果如图7 所示。

针对项目扩展需求,实验平台可实现远程扩展S7-1200 PLC DI/DO/AI/AO 模块及通信模块的功能。以为智能生产线的S7-1200 PLC 添加DO 模块SM1222为例,在加入硬件模块的同时,在远程维护站的博途软件中对其进行添加,修改程序并下载后监控界面显示正常,说明远程扩展的DO 模块生效。扩展模块前远程监控效果如图8 所示,扩展模块后远程监控效果如图9 所示。

图6 未建立VPN 通道效果

图7 远程加密连接效果

图8 扩展模块前远程监控效果

图9 扩展模块后远程监控效果

在工程师站的博途软件中监控智能生产线S7-1200 PLC 生产数据状态,通过工业网络采集S7-1200 PLC数据后,存入工程师站的MySQL 数据库,并在C#的窗体应用程序中进行显示,最终通过 Node.js 和ECharts 插件实现Web 可视化。数据可视化效果如图10 所示,右侧为博途软件监控界面,左侧为C#窗体界面,中间为Web 可视化界面。

图10 数据可视化效果

4 结语

本文根据智能制造企业对于工业信息安全的实际需求,以实验室承担的科技部国家重点研发计划项目为背景,结合实验教学工作,设计了一种基于工业信息安全的智能制造实验平台。该平台促进了学生对工业信息安全的相关理论和方法的掌握,加强了学生对数据可视化在智能制造中作用的了解和应用,增强了学生的创新思维,拓展了学生的专业视野,在我校智能制造场景化实验室建设与电气自动化类专业的教学实践中取得了良好的效果。

猜你喜欢

生产线可视化信息安全
基于CiteSpace的足三里穴研究可视化分析
思维可视化
方便小米粥亿级生产线投入运行
基于CGAL和OpenGL的海底地形三维可视化
基于三级等级保护的CBTC信号系统信息安全方案设计
“融评”:党媒评论的可视化创新
计算机网络信息安全及防护策略
高校信息安全防护
半桥壳冷冲压生产线的设备组成及其特点
Hazelett生产线熔炼工艺探讨