監控系統海外項目遠程調試方案初探

楊春霞，郭萬森，李天毅

（北京中水科水電科技開發有限公司，北京 100038）

2019年突如其來的波及世界范圍的新冠疫情，改變了整個世界的發展進程和人們的生產生活方式。居家辦公、保持社交距離以及航班不定時的熔斷機制，對工廠自動化系統調試和維護、保證工廠的正常生產造成了極大的不確定性。最終用戶希望尋求一種標準化、安全、可追蹤和受控的方法，以便其供應商與其資產相連接。供應商也需要一個安全的遠程訪問解決方案，減少維護的成本和不確定性，并可以進行預防性的定期維護。本文嘗試2種方案遠程接入國外某電站監控系統，對提供遠程調試和維護的可能性進行了測試。但無論使用何種遠程調試方案，監控系統的數據和網絡安全永遠是第一位的，部署安全有效的訪問機制必須首先保證。

1 廠站層接入方案

1.1 基本結構

從北京到南美某水電站采用VPN連接方式。為了通道安全性，在接入電站計算機監控系統實時區之前，增設密碼管理機（Jump Server）和防火墻（詳見圖1）。

圖1 遠程調試通道結構圖

北京側調試筆記本只被允許連接到密碼管理機的Manage Engine管理界面，通過密碼管理機和防火墻再連接到實時區服務器的遠程桌面，其中部分工作需要現場工程師協助完成。配置包括：

（1）北京側調試筆記本配置：安裝VPN客戶端（如GlobalProtect），由電站VPN網管分配賬戶和密碼；

（2）現場VPN網關機配置：由現場工程師完成，需要告知北京工程師接入防火墻的IP地址；

（3）防火墻配置：選用具有管理功能和NAT模式的設備。北京工程師在相同型號設備上配置好策略并導出配置文件，發給現場工程師協助完成；

（4）密碼管理機配置：由現場工程師完成軟件安裝Manage Engine。

1.2 測試過程及結果

首先在密碼管理機服務器上打開谷歌瀏覽器（不建議使用IE瀏覽器），輸入密碼管理平臺（Manage Engine PMP）的訪問地址，測試平臺是否可以正常使用；然后在北京側調試筆記本上同樣打開谷歌瀏覽器，輸入密碼管理平臺的訪問地址，找到需要遠程訪問的資源。平臺提供了三種連接方式：遠程桌面、RDP控制臺、VNC，一般我們采用遠程桌面連接方式。

測試結果：可以登陸遠程桌面并進行操作。畫面刷新是否流暢，取決于電站內網的帶寬分配。

1.3 遠程接入安全措施

采用廠站層接入遠程方案時，主要采取設置防火墻、密碼和權限管理的安全訪問措施保證安全接入。

1.3.1 防火墻配置

在電站內外網之間增設防火墻設備，并且內外網不能直連，需要通過密碼管理機進行中轉，進一步提高防護等級。選擇具有管理功能、NAT模式、路由模式（可選）的防火墻。防火墻共3個接入節點：外網、內網、密碼管理機，根據實際情況為這3個節點規劃端口分別為6、7、8。設計安全策略為：端口6可以連接到端口8，端口7可以連接到端口8，端口6和端口7不能直連；

通道測試結果：

（1）在北京側調試筆記本Ping防火墻的6/7/8端口地址；

正確結果：端口6、8可以ping通，端口7不能ping通；

（2）在密碼管理機上ping防火墻的6/7端口地址；正確結果：端口6、7可以ping通；

（3）在實時區的服務器上ping防火墻的6/8端口地址；

正確結果：端口8可以ping通，端口6不能ping通；

1.3.2 密碼管理

密碼管理平臺的部署，是為了安全訪問實時區。由于實時區服務器比較多，登錄也比較頻繁，需要一個綜合管理平臺，不同的調試人員只能登錄指定的服務器，并記錄調試人員在何時登錄哪臺服務器。特權用戶由專人管理并不定期修改遠程資源密碼，防止非法訪問。

基本功能如下：

（1）特權賬戶統一管理，便于管理大量遠程資源；

（2）AES-256數據加密，保護存儲數據和資源賬戶；

（3）資源、用戶及任務的審計記錄，快速定位責任人，提升工作效率；

（4）嚴格的密碼策略：設置密碼的復雜度、密碼有效期限、過期后重置密碼等。

1.3.3 權限管理

安全有效的訪問遠程資源，特別是數量非常多時，需要高度細分的訪問限制，密碼管理平臺部署了基于角色的訪問限制，權限列表如表1。

表1 基于角色的權限列表

密碼管理平臺使用一個有效的審計機制來記錄每一個用戶的訪問信息。用戶在平臺上執行的所有操作以及他們訪問應用程序時間，IP地址都會被記錄，主要審計機制有資源審計，用戶審計和任務審計。

2 LCU層接入方案

南美某水電站計算機監控系統LCU層采用施耐德M580系列PLC作為主控制器。在監控系統中配置一套由施耐德公司提供的遠程解決方案EcoStruxure Secure Connect Advisor（ESCA），允 許 工程師在世界上的任何地點、任何時間通過個人計算機或智能設備連接到工作現場的設備，快速調試維護設備。

2.1 基本結構

ESCA采用結構化設計，允許技術人員和工程師遠程監控、診斷、控制和編程設備，就像他們在工作現場一樣。但這些遠程訪問連接是通過私有的點對點連接實現的，連接訪問受到嚴格控制，并且在該連接上發送和接收的所有數據都經過加密。ESCA經過了施耐德電氣嚴格的內部網絡安全流程，是通過ProtectEM GmBH安全認證的遠程訪問解決方案。ESCA遠程解決方案的結構圖如圖2所示。

圖2 EcoStruxure Secure Connect Advisor結構圖

在圖2中，運行在工作現場的SiteManager與辦公室中的計算機或智能設備LinkManager通過服務器 GateManager安全連接，即：SiteManager -GateManager - LinkManager。工作現場的SiteManager至少有2個網絡通信端口，1個網絡負責外部互聯網通信，與GateManager建立安全連接；另1個網絡負責連接工作現場的現場設備，如PLC、IPC、服務器、Web 攝像頭等。GateManager是在工作現場的人機界面 SiteManager與個人計算機或智能設備 LinkManager之間創建安全、加密連接的服務器。GateManager軟件在施耐德電氣托管的網絡服務器上運行，它能將購買的許可證附加到SiteManager設備上、創建和管理LinkManager用戶賬戶、以及為整個客戶域驗證所有SiteManager和LinkManager的網絡狀態組件等。LinkManager是計算機上安裝的軟件，通常由技術人員和工程師使用。它允許遠程訪問SiteManager和/或SiteManager上的代理所代表的設備，由GateManager處理網絡訪問設置。

2.2 測試過程及結果

施耐德電氣在歐洲和美洲分別架設GateManager網絡服務器中心，所有客戶GateManager軟件都在施耐德電氣托管的網絡服務器上運行。本文作者針對分布在這兩處的服務器分別進行了測試。作者將SiteManager運行在南美某水電站工作現場，GateManager分別運行在施耐德電氣托管的歐洲網絡服務器和美洲服務器上，LinkManager安裝在中國北京的調試服務器上。按照手冊配置完成后，在北京的調試服務器上都可以正確連接到南美工作現場的PLC設備，能上傳、下載、在線修改和監視程序，只是受網絡速度影響，過程較慢。

2.3 遠程接入安全措施

當在個人計算機或智能設備上遠程顯示或操作工作現場設備時，需要安全措施來防止外部源未經授權的訪問。ESCA遠程解決方案提供數字證書和密碼2種安全驗證方式登錄系統，建立私有的點對點連接，該連接訪問受到嚴格控制，并且在該連接上發送和接收的所有數據都經過加密。對于工作現場的SiteManager，需額外增設防火墻設備，來保證所有輸入連接都是合法的。

當搭建ESCA遠程網絡時，需要購買賬號和數字證書，數字證書分為GateManager數字證書和LinkManager數字證書。GateManager數字證書是登錄GateManager服務器所需要的數字證書，如果在GateManager服務器上未找到與您匹配的賬戶和數字證書，則不能登錄到GateManager服務器。在GateManager數字證書的電子郵件中包含有SiteManager配置連接相關信息，只需將這些信息配置到SiteManager中，即可將工作現場的SiteManager連接綁定到GateManager服務器，建立安全的點對點連接，之后將所購買的許可證附加到SiteManager設備上。

LinkManager數字證書是技術人員和工程師使用LinkManager連接到GateManager服務器的一種數字證書，每一次登錄都要對數字證書和賬戶驗證匹配，以防止不可信任的訪問連接。

3 結束語

為工業現場建立便捷、有效成本低廉的遠程調試系統是制造商對生產設備智能化維護的現實需求，為在設備出現故障后快速搭建一條從工業現場到運維中心的專用通路進行遠程調試。本文嘗試2種方案遠程接入海外某電站監控系統，對提供遠方調試和維護的可能性進行了測試。但是所有的遠程維護手段都必須把電站監控系統的數據和網絡安全性放在首位。在當前新冠疫情尚未完全有效控制的情況下，遠程調試和維護為有效減少疫情對電力生產的影響提供了一種解決途徑。