摘要：随着烟草信息化的发展和国家网络安全要求的不断提高,如何确保制丝车间在生产过程中的网络安全,或者网络出现异常后不影响正常生产,是各大烟草企业亟待解决的问题。以赣州制丝车间为例,介绍一种以NM通讯机为网络监控节点,实时监控制丝车间各个工序的交换机端口网络流量、变频器网络信息传输量、IO箱网络访问信息等。系统及时中断非法网络访问,对异常的网络吞吐量给出报警,确保制丝车间网络安全。网络分析系统应用部署后,有效拦截非法网络访问数十次,多次监控到异网络吞吐量并给出报警,有效地保障了制丝车间的网络安全,提高了烟草企业的网络安全水平和经济效益。

　　关键词：制丝系统；NM通讯机；交换机端口；IO箱流量；网络访问

　　引言

　　随着烟草行业信息化水平的不断提高,烟草企业部署了大量的信息系统,如制丝集控系统信息系统、卷包集控信息系统等。各信息系统涉及到众多的网络节点,包括交换机、服务器、工作站等,网络节点在生产期间会进行大量的数据传输。在信息系统中,如果某一节点被网络攻击、或IP冲突、或流量异常等,会影响整个信息系统的正常运转,造成数据丢失或泄露,影响烟厂正常生产,造成较大的经济损失。

　　当前国家网络安全部门对国内各个骨干企业的网络安全要求越来越高,每年都会定期举行网络攻防演练[1],清理网络漏洞和隐患,确保网络安全。然而很多烟草企业在应对网络突发故障的处理方式是被动的,如某一网络节点出现问题,无法及时排查原因,往往需要网络工程师根据主观经验逐个排查网络故障,一一排除后找到原因,造成系统长时间处于宕机状态,影响正常生产,造成较大的经济损失。因此,烟草企业需要一套智能网络分析系统,实时监控网络状态,及时排除故障,确保网络安全。

　　以赣州卷烟厂制丝车间为例,给出一种基于NM通讯机的智能网络分析系统。该系统在制丝车间不同工序的电控柜中,部署NM通讯机监控节点,实时监控各个电控柜的交换机各个端口的网络流量、信息访问来源,变频器和IO箱的网络吞吐量等网络信息,对于异常的网络流量或者不信任的访问来源,及时给出报警提示,并主动阻断连接,保障制丝车间网络安全。该系统部署一年时间内,有效拦截异常网络访问数十次,多次监控到异网络吞吐量并给出报警,有效地保障了制丝车间的网络安全,提高了烟草企业的网络安全水平和经济效益。

　　1开发技术简介

　　1.1 NM通讯机网络监控原理

　　NM的全拼为Net Monitor,NM通信终端机采集和发送工厂内子站设备和交换机设备的通讯状态及流量等信息。每一个终端设备配置双网卡,一块网卡通讯所在生产段的CP网络,采集本段设备所需数据,包括IO模块通讯状态及交换机端口状态和流量累计；另一块网卡与工业以太环网通讯,向中控室的工作站发送采集的数据,在中控室通过监控画面进行数据显示。

　　1.2交换机端口流量

　　交换机是制丝车间网络节点之间进行数据交互的核心设备,每个电控柜内的交换机连接着电控柜子网和车间环网,将PLC采集数据和中控室集控系统数据,通过交换机端口传递到对应的终端节点。通常情况下,每个交换机端口的流量在稳定的范围内,如果在某一时间段,网络端口流量大幅超过正常范围,预示着网络可能出现异常,需要及时追溯原因,避免更大问题发生.

       1.3网络非法入侵

　　企业网络非法入侵[2]是指未经授权的IP地址,通过非法手段,入侵企业内网,窃取企业经营信息,或重要文件,对企业的经营发展造成重大影响。制丝车间作为烟草生产的核心部门,对网络非法入侵做多层防护,避免黑客或者其他非法组织通过远程桌面、VPN[3]等手段,对企业内网进行破坏。NM通讯机除了监控交换机端口流量、IO箱通信流量等,还可以对进出子网的IP地址做二次过滤防护,提高制丝车间的网络防护水平。

　　2 NM通讯机工作原理

　　在制丝车间,NM通讯机监控的对象主要包括交换机的入口流量、出口流量、交换机状态[4]、IO箱通信状态、变频器通信[5]状态。监控过程中,将设备通信的电信号转换成数字信号,形成Byte的字节流[6],并保存在实时数据库中,周期为1s。一段时间内,检测的任意设备的任意端口,都会产生大量的连续字节流序列,如0、1、2保存在数据库中。系统通过判断字节流的信息,判断端口是否处于通信状态,监测到端口状态为1,端口通信正常；监测到端口状态为0,端口通信异常。交换机的入口流量和出口流量,则是将监测的端口流量持续累加,如果流量中断,则重新计数。系统通过判断字节信息,来判断网络通信状态是否正常,以及端口吞吐量是否超标。

　　3智能网络分析系统搭建流程

　　智能网络分析系统的搭建流程分为客户端搭建和服务端搭建两部分。客户端是部署在制丝车间各个电控柜的NM通信终端,每一个终端配置双网卡,一块网卡通讯所在生产段的CP网络,采集本段设备所需数据,另一块网卡与工业以太环网通讯,向中控室的集中工作站发送采集数据,在中控室通过监控画面进行数据显示。服务端部署在车间中控室,单网卡配置,负责采集车间环网终端推送的数据,对各NM通信终端采集信息做集中展示。

　　3.1终端配置部署

　　在NM通信终端上安装西门子S7 TCP/IP协议的以太网驱动,确保通信机可以在以太网环网和子网之间正常通信,如图1所示。

　　3.2配置信息映射表

　　制作变量文件,服务器名称选择VAR.FameView.ScalanceX。Public—interface—ifOperStatus.n对应交换机网口状态；Public—interface—ifInOctets.n对应交换机网口入口流量；Public—interface—ifOutOctets.n对应交换机网口出口流量。创建几个口的交换机,则添加相应数量的端口参数,如图2所示。

　　3.3维护设备

　　完成上述步骤,将设备添加到NM通信终端的设备信息表中,每个终端最多可添加2000台设备。每一个环网交换机、子站箱都对应一个设备,每个设备根据所含模块或者接口数量的不同,其地址和长度也有所不同。设备通讯IO箱模块要用S7TCP驱动连接PLC的硬件组态,通讯交换机要用ScalanceX驱动连接变量表来获取信息,如图3所示。

　　3.4服务端配置

　　服务器端添加设备信息表,通过FMTCP协议指定服务器IP与某个终端进行通信；通过设置设备号和长度与终端机项目中的设备数据表相匹配,指定该终端机的各个设备。通过远程数据表的形式将各终端机通讯的各设备数据信息汇聚于中控机,如图4所示。

　　4系统主要功能

　　基于NM通讯机的智能网络分析系统部分运行界面如图5所示。图5左上展示的是NM通信系统的监控总览图,共有9个NM通信终端,点击任意终端,进入对应的NM通信网络监控画面,在图5中的其他3张图中,可以查看各个端口、变频器、子站箱的网络端口流量。实时数据库记录各流量信息,报警信息,端口异常信息等,并给出提示。系统实现的功能包括以下几个方面：

　　(1)智能网络分析系统实时监控制丝车间各个网络设备端口的数据流量,包括生产线各个工艺单元的交换机、变频器、IO箱等网络设备。根据日常实时统计,系统划分出各个网络端口正常情况下的网络流量。针对某一时间段内,网络设备的端口流量超过正常范围,系统给出报警提示。

　　(2)智能网络分析系统实时监控制丝车间各个网段的网络访问地址来源,系统搭建初始阶段,系统把制丝车间内网和需要与车间进行数据传输的厂网地址,添加到可信任访问的地址库中。生产过程中,系统实时监控进出交换机端口的访问IP来源,发现异常来源,及时给出提示或者报警。

　　(3)智能网络分析系统将网络监控的实时数据保存到实时数据库中,上位管理机系统通过数据采集将网络监控的实时数据传输到制丝集控管理系统中。车间网络管理员可根据设备类别、时间区间对网络监控实时数据进行横向和纵向的统计分析。管理系统可以将异常的统计信息,通过手机短信接口或微信公众号平台,推送给对应责任人,及时对网络问题进行追溯整改,保障网络安全。

　　5结语

　　基于NM通讯机的智能网络分析系统,通过实时监控制丝车间的网络流量和访问IP来源,有效地保障了制丝车间的网络安全,提升了信息化安全水平,提高了制丝车间的经济效益。在今后的研究中,可以将烟草企业的卷包车间、厂网交换机、路由器等网络终端,接入NM通信终端进行实时监控,从而提升整个企业的网络安全水平。

　　参考文献

　　[1]张剑峰.浅述如何做好网络攻防演练应对措施[J].数字技术与应用,2021(5):175-177.

　　[2]吴永芬,徐为.基于蚁群优化算法和支持向量机相结合的医院网络非法入侵检测[J].现代电子技术,2020,43(22):78-81.[3]黄超,王勇.VPN技术在校园网络安全体系中的应用研究[J].网络安全技术与应用,2021(9):101-103.

　　[4]李娟.使用STP算法确定交换机端口状态的简单方法[J].计算机工程,2002,28(4):168-170.

　　[5]吴伟,邬冠华,喻金科.基于RS-485的PLC与多台变频器通信的实现及应用[J].自动化仪表,2005,26(9):55-57.

　　[6]董渊,王生原,张丽伟,等.一种用于字节码程序模块化验证的逻辑系统[J].软件学报,2010(12):3056-3067.