杨春霞，郭万森，李天毅

（北京中水科水电科技开发有限公司，北京 100038）

2019年突如其来的波及世界范围的新冠疫情，改变了整个世界的发展进程和人们的生产生活方式。居家办公、保持社交距离以及航班不定时的熔断机制，对工厂自动化系统调试和维护、保证工厂的正常生产造成了极大的不确定性。最终用户希望寻求一种标准化、安全、可追踪和受控的方法，以便其供应商与其资产相连接。供应商也需要一个安全的远程访问解决方案，减少维护的成本和不确定性，并可以进行预防性的定期维护。本文尝试2种方案远程接入国外某电站监控系统，对提供远程调试和维护的可能性进行了测试。但无论使用何种远程调试方案，监控系统的数据和网络安全永远是第一位的，部署安全有效的访问机制必须首先保证。

1 厂站层接入方案

1.1 基本结构

从北京到南美某水电站采用VPN连接方式。为了通道安全性，在接入电站计算机监控系统实时区之前，增设密码管理机（Jump Server）和防火墙（详见图1）。

图1 远程调试通道结构图

北京侧调试笔记本只被允许连接到密码管理机的Manage Engine管理界面，通过密码管理机和防火墙再连接到实时区服务器的远程桌面，其中部分工作需要现场工程师协助完成。配置包括：

（1）北京侧调试笔记本配置：安装VPN客户端（如GlobalProtect），由电站VPN网管分配账户和密码；

（2）现场VPN网关机配置：由现场工程师完成，需要告知北京工程师接入防火墙的IP地址；

（3）防火墙配置：选用具有管理功能和NAT模式的设备。北京工程师在相同型号设备上配置好策略并导出配置文件，发给现场工程师协助完成；

（4）密码管理机配置：由现场工程师完成软件安装Manage Engine。

1.2 测试过程及结果

首先在密码管理机服务器上打开谷歌浏览器（不建议使用IE浏览器），输入密码管理平台（Manage Engine PMP）的访问地址，测试平台是否可以正常使用；然后在北京侧调试笔记本上同样打开谷歌浏览器，输入密码管理平台的访问地址，找到需要远程访问的资源。平台提供了三种连接方式：远程桌面、RDP控制台、VNC，一般我们采用远程桌面连接方式。

测试结果：可以登陆远程桌面并进行操作。画面刷新是否流畅，取决于电站内网的带宽分配。

1.3 远程接入安全措施

采用厂站层接入远程方案时，主要采取设置防火墙、密码和权限管理的安全访问措施保证安全接入。

1.3.1 防火墙配置

在电站内外网之间增设防火墙设备，并且内外网不能直连，需要通过密码管理机进行中转，进一步提高防护等级。选择具有管理功能、NAT模式、路由模式（可选）的防火墙。防火墙共3个接入节点：外网、内网、密码管理机，根据实际情况为这3个节点规划端口分别为6、7、8。设计安全策略为：端口6可以连接到端口8，端口7可以连接到端口8，端口6和端口7不能直连；

通道测试结果：

（1）在北京侧调试笔记本Ping防火墙的6/7/8端口地址；

正确结果：端口6、8可以ping通，端口7不能ping通；

（2）在密码管理机上ping防火墙的6/7端口地址；正确结果：端口6、7可以ping通；

（3）在实时区的服务器上ping防火墙的6/8端口地址；

正确结果：端口8可以ping通，端口6不能ping通；

1.3.2 密码管理

密码管理平台的部署，是为了安全访问实时区。由于实时区服务器比较多，登录也比较频繁，需要一个综合管理平台，不同的调试人员只能登录指定的服务器，并记录调试人员在何时登录哪台服务器。特权用户由专人管理并不定期修改远程资源密码，防止非法访问。

基本功能如下：

（1）特权账户统一管理，便于管理大量远程资源；

（2）AES-256数据加密，保护存储数据和资源账户；

（3）资源、用户及任务的审计记录，快速定位责任人，提升工作效率；

（4）严格的密码策略：设置密码的复杂度、密码有效期限、过期后重置密码等。

1.3.3 权限管理

安全有效的访问远程资源，特别是数量非常多时，需要高度细分的访问限制，密码管理平台部署了基于角色的访问限制，权限列表如表1。

表1 基于角色的权限列表

密码管理平台使用一个有效的审计机制来记录每一个用户的访问信息。用户在平台上执行的所有操作以及他们访问应用程序时间，IP地址都会被记录，主要审计机制有资源审计，用户审计和任务审计。

2 LCU层接入方案

南美某水电站计算机监控系统LCU层采用施耐德M580系列PLC作为主控制器。在监控系统中配置一套由施耐德公司提供的远程解决方案EcoStruxure Secure Connect Advisor（ESCA），允 许 工程师在世界上的任何地点、任何时间通过个人计算机或智能设备连接到工作现场的设备，快速调试维护设备。

2.1 基本结构

ESCA采用结构化设计，允许技术人员和工程师远程监控、诊断、控制和编程设备，就像他们在工作现场一样。但这些远程访问连接是通过私有的点对点连接实现的，连接访问受到严格控制，并且在该连接上发送和接收的所有数据都经过加密。ESCA经过了施耐德电气严格的内部网络安全流程，是通过ProtectEM GmBH安全认证的远程访问解决方案。ESCA远程解决方案的结构图如图2所示。

图2 EcoStruxure Secure Connect Advisor结构图

在图2中，运行在工作现场的SiteManager与办公室中的计算机或智能设备LinkManager通过服务器 GateManager安全连接，即：SiteManager -GateManager - LinkManager。工作现场的SiteManager至少有2个网络通信端口，1个网络负责外部互联网通信，与GateManager建立安全连接；另1个网络负责连接工作现场的现场设备，如PLC、IPC、服务器、Web 摄像头等。GateManager是在工作现场的人机界面 SiteManager与个人计算机或智能设备 LinkManager之间创建安全、加密连接的服务器。GateManager软件在施耐德电气托管的网络服务器上运行，它能将购买的许可证附加到SiteManager设备上、创建和管理LinkManager用户账户、以及为整个客户域验证所有SiteManager和LinkManager的网络状态组件等。LinkManager是计算机上安装的软件，通常由技术人员和工程师使用。它允许远程访问SiteManager和/或SiteManager上的代理所代表的设备，由GateManager处理网络访问设置。

2.2 测试过程及结果

施耐德电气在欧洲和美洲分别架设GateManager网络服务器中心，所有客户GateManager软件都在施耐德电气托管的网络服务器上运行。本文作者针对分布在这两处的服务器分别进行了测试。作者将SiteManager运行在南美某水电站工作现场，GateManager分别运行在施耐德电气托管的欧洲网络服务器和美洲服务器上，LinkManager安装在中国北京的调试服务器上。按照手册配置完成后，在北京的调试服务器上都可以正确连接到南美工作现场的PLC设备，能上传、下载、在线修改和监视程序，只是受网络速度影响，过程较慢。

2.3 远程接入安全措施

当在个人计算机或智能设备上远程显示或操作工作现场设备时，需要安全措施来防止外部源未经授权的访问。ESCA远程解决方案提供数字证书和密码2种安全验证方式登录系统，建立私有的点对点连接，该连接访问受到严格控制，并且在该连接上发送和接收的所有数据都经过加密。对于工作现场的SiteManager，需额外增设防火墙设备，来保证所有输入连接都是合法的。

当搭建ESCA远程网络时，需要购买账号和数字证书，数字证书分为GateManager数字证书和LinkManager数字证书。GateManager数字证书是登录GateManager服务器所需要的数字证书，如果在GateManager服务器上未找到与您匹配的账户和数字证书，则不能登录到GateManager服务器。在GateManager数字证书的电子邮件中包含有SiteManager配置连接相关信息，只需将这些信息配置到SiteManager中，即可将工作现场的SiteManager连接绑定到GateManager服务器，建立安全的点对点连接，之后将所购买的许可证附加到SiteManager设备上。

LinkManager数字证书是技术人员和工程师使用LinkManager连接到GateManager服务器的一种数字证书，每一次登录都要对数字证书和账户验证匹配，以防止不可信任的访问连接。

3 结束语

为工业现场建立便捷、有效成本低廉的远程调试系统是制造商对生产设备智能化维护的现实需求，为在设备出现故障后快速搭建一条从工业现场到运维中心的专用通路进行远程调试。本文尝试2种方案远程接入海外某电站监控系统，对提供远方调试和维护的可能性进行了测试。但是所有的远程维护手段都必须把电站监控系统的数据和网络安全性放在首位。在当前新冠疫情尚未完全有效控制的情况下，远程调试和维护为有效减少疫情对电力生产的影响提供了一种解决途径。