工业系统的互联网连接

发布时间：2004-12-20 Sixnet公司

　　简介
　　很多人都热衷并提倡将工业系统通过互联网连接，他们指出，这种连接方式费用低廉、使用方便，而且用户可以使用许多免费的软件工具。本文提出了一些避免重蹈早期实践者覆辙的实用性解决方案。同时，文章还对在工业系统中采用互联网技术创建低成本、高安全性和高效率的网络连接提出了建议。
　　互联网服务器与客户机
　　通常，人们关注的焦点是Web服务器,这主要是因为大家都对登录网站（当然,它由Web服务器提供支持）非常熟悉。然而，人们还应当关注互联网客户机（Internet client），它们的数量比Web服务器更多, 而且操作也更为简单。例如，Web浏览器就是一个互联网客户机。Web浏览器操作的简易性启发我们考虑在工业系统内嵌入Web服务器。请注意，互联网客户机(浏览器)能完全实现自动化操作。相比而言，Web服务器必须进行事先编程及日常维护。因此，分配客户端相对而言比较简单，这一点可能有助于我们区分“客户机”及“服务器”的概念。
　　客户机发出通信请求，服务器则是对于客户端的要求做出反应（服务）。客户端是“主机”（发出请求），而对它的请求做出反应的设备就是“从机”了（提供服务）。在传统的SCADA系统里，中央SCADA计算机负责轮询远程设备如PLC和RTU等，属于系统中的“主机”。而那些对它的轮询（请求）做出反应的设备则充当“从机”的角色。当主机和从机通过以太网或其他互联网媒介（无线网络、电话调制解调器等）建立连接时，被轮询的设备就是“互联网服务器”。理解这一点很重要。Web服务器并不是迄今为止通过互联网检索数据的唯一高效服务器类型。通过IP连接，对数据请求做出应答的常规从I/O驱动器，就是“互联网服务器”。（参见下面“高效的数据传输”部分）。
　　然而，我们还可以选择另外一种有吸引力的方法，在嵌入式现场设备中安置服务器。这种方法是使用一个互联网客户端（主机），自动定期或根据要求传输数据。改变公共网络的数据传输方向有很多优点，可以把现场设备转化成客户机，同时把接受数据的计算机当成服务器使用。客户端无须轮询，只负责数据传输。因此，应该拥有一个中央服务器负责收集从大量分散的客户端设备传输来的数据信息。这些优点实现了远程客户端与独立服务器（可能只是一台便携式计算机）之间相互对应的数据信息交换。
　　穿越防火墙
　　早在几年前，一些大型化学品供应商争相为其现场工作人员配备装有Web浏览器的便携式计算机，以便他们访问客户设施内的化学品处理设备上嵌入安装的Web服务器。然而，这个方案却存在众所周知的防火墙问题，即如何保护其客户访问点的问题。他们发现这些目标设施内的安全措施不允许外部用户访问其保护性网络。继而，他们很快懂得成功的关键是改变数据流方向，使系统里的嵌入式服务器变成一个客户端设备。
　　防火墙的典型作用就是让内部（防火墙内部）客户端通过门户向外界输送数据，它们通过判断回复信息的IP地址与输出数据里面写明的地址是否一致，来决定是否让回复数据通过防火墙进入被保护系统内部。当受保护系统内部的某个浏览器访问Web服务器时，防火墙就会允许所选网站传输数据到该浏览器上。同样地，现场设备里的客户端也可以通过防火墙安全输送数据和接收回复数据，以及其他进一步的数据请求操作。
　　撇开技术因素，对于最终有权允许数据交换的网络管理员们来说，他们更愿意对用于数据交流的远程设备进行事先确定及（对客户端）功能上的数据限制。他们不愿意让外部设备进入被保护的设施里或通过服务器（及潜在的其他来源）删除内部数据。
　　嵌入式设备的安全性
　　不仅仅是网络本身需要保护，我们还需要预先考虑到远程系统所提供数据的安全性及其所控制的传输过程的安全性。除非充分地实施安全措施，否则工厂设备内嵌的Web服务器可能会被搜索到它的浏览器进入。我们可以通过设置用户名及密码的认证来保护Web服务器。然而，许多（可能是绝大部分）工厂层系统内嵌的小型服务器缺乏安全特性。即使Web服务器已经受到保护，充其量也不过是给其数据的访问制造了一点麻烦。此外，每次新用户进入系统时，都必须在每个要访问的服务器里输入密码。为了避免这种管理上的负担，有时候所有的用户会共用一个密码。但是，我们并不推荐这样的做法，因为共享的密码很快就会进入公用域而导致整个系统根本没有安全性可言。
　　同样，我们还要考虑到任何被外界访问的系统，都存在着被侵入的危险。通过Web服务器可以获取内部系统里的所有文件，因此内部系统存在着被黑客侵入或泄露机密的危险。为了获取浏览器的访问权限，拥有嵌入式服务器的现场设备必须连续连接在网络上。因此，有人说唯一真正安全的系统就是一个没有任何连接的系统。能够被访问的系统永远都存在招致非法侵入的危险。
　　相对来说，由客户机发出请求的系统就不容易受到攻击或发生未授权访问。因为它不接受未经请求的外部信息。客户端（信息交流过程的主机）可以只在需要发布信息时开放信道，也只接受来自所指定服务器的回复信息，并且要求信息以所允许的格式进行回复。
　　实时系统Web服务器的脆弱性
　　目前在Web浏览器及服务器之间建立实时连接的技术，需要从服务器上传可执行代码。因此，对于那些经常对所显示的数据进行轮询（更新）的服务器而言，更容易出现安全漏洞。这种危险性主要出现在用户的计算机上，产生原因主要是因为不充分的安全防护措施，特别是在WINDOWS操作系统上。Java、Perl脚本语言及其他形式的可执行代码通常都是上传到浏览器上并在用户计算机上运行。一些经常要更新的网页则需要诸如Active-X等WINDOWS特性的支持来运行必要的代码程序，以访问由Web服务器提供的数据。我们建议不要允许外部源上传可执行代码到您的计算机上，因为很多病毒和其他互联网技术产生的恶意副产品都是一些可执行代码，它们往往通过这种方式进入您的计算机。
　　“异常报告”能够减少响应时间和成本
　　在我们的案例中，化学品供应商转而采用客户机发起请求的数据传输还有另一个巨大的好处。这就是具备呼叫或“异常报告”功能的监控装置可以立即报告警报情况和服务请求。对于现实实施的嵌入式Web服务器来说，只有现场值班人员浏览并最终发现时，异常情况才能得以纠正。否则，该被动式Web服务将一直处于服务中断状态。异常报告消除了轮询系统中普遍发生的延迟问题。这样化学品供应商的旧有系统只需要每天，有时甚至每周报告一次异常。
　　异常报告的另一个重要好处就是消息流量的减少。为了确定远程站点的工作状态，轮询系统需要连续不断地生成消息。客户机发起请求的消息传输方式则仅在有重大情况需要报告时才生成数据流量。消息数量的减少对于按每次呼叫或带宽付费的系统来说特别经济。这种自发报告方式通过消除定期检查的负担使成本得以降低，同时也相应减少了通信费用。异常报告系统反应速度的加快也意味着操作费用的节约。
　　有限的进程查看功能
　　嵌入到现场控制器的Web服务器仅仅给你提供有限的查看内容，即特定控制器所管理的系统部分。对于一台控制器构成整个控制系统的小型应用来说，这还不算是一种限制。然而对于多个处理器共享整个进程的大型系统来说，查看单个控制器仅仅能看到十分有限的进程信息。经过几十年的技术革新，SCADA系统已经发展成一种成熟而有用的工具。它们通过显示交互作用和相互连接系统的大型视图帮助管理系统的整体性能。原始的网页几乎不可能取代性能丰富的SCADA系统。毫无疑问，Web服务器具有发展成为一种高效的操作员界面或SCADA工具的潜力。遗憾的是，这种功能尚未开发出具有可行性的商务解决方案。
　　“无需维护”的神话
　　在我们案例中的化学品供应商希望实现现场安装软件，而无需维护的梦想。每台便携式电脑都安装了一个始终显示现场设备Web服务器所提供的最新页面的浏览器。设计者没有意识到的是系统中Web服务器比浏览器还要多。这是因为每个人可能服务于许多客户站点，而许多站点都有多个化学品处置系统。每次更新时，每个现场安装的Web服务器都需要单独更新。因此，这是一项困难重重的艰巨任务。向这些服务器远程加载更新的网页文件比仅仅访问网页要涉及到更多的安全问题。即使客户授权他们访问其网络的HTTP端口，他们也不大可能获得可能将网络暴露于重大安全风险之下的FTP或其他文件传输协议端口的访问权限。它们的底线是对现场设备的Web服务器进行更新很可能需要访问每一个现场，这可不是启发这个方案的“无需维护”模式所期望的结果。
　　与此相对的是，大多数化学品供应商仍然继续开发在现场设备建立常规的SCADA链接。有趣的是，现场工作人员已经通过安装在中央机房的Web服务器访问所需的数据了。事实上给服务提供商所负责的多个站点上的全部远程数据提供一个整体视图是颇具实用性的。再者，中央设施里的Web服务器可以方便地实现本地更新，而不会产生系统过度分散带来的相关维护问题。通过避免分散现场安装的Web服务器就可以很好地实现免维护的梦想。
　　互联网接入可能成本极其高昂或连接极其复杂
　　每一台Web服务器都需要有一个已知的IP地址，以便Web浏览器能够找到它。遗憾的是，静态IP地址是一种稀缺资源，通常它们的价格十分昂贵或难以获取。拥有住宅和商业用户的宽带服务提供商似乎已在着手解决这一难题，因此，你可以欣然借用他们的成果。然而应该注意到的是，住宅宽带服务月租可能为40美元，而商业宽带接入月租可能会上升到300美元。它们的主要差异是商业宽带接入提供固定的IP地址，这样就可以在网络中放置允许外部访问的服务器。
　　相比而言，客户机不需要已知的IP地址。通常，动态主机配置协议（DHCP）可以给客户机临时指定一个IP 地址。客户机向服务器发送的请求中就包含了该地址。因此，服务器就只对这些地址做出响应。无论从成本还是从维护角度讲，能够应用动态主机配置协议（DHCP），进而无需固定（已知）IP地址的特性都是基于客户机的现场设备的一大优势。
　　高效的数据传输
　　随着高速通信媒介的发展，我们经常发现较小容量的数据传输总是比较大容量的数据传输速度更快。每次网页被请求访问时，Web服务器都对整个显示页面（图像等）进行传输。对于访问频率不高的或只有少量页面的系统，所发生的延迟还可以勉强忍受。值得注意的是，在仅传输数据的系统（通常只安装了简单的I/O驱动器）中，只有数据自身才予以传输。对于拥有大量轮询站点、大量数据或实时访问要求的系统，这种区分可能十分重要。访问网页时可能遇到延迟，这已不足为奇。与此相对的是，在SCADA系统等待针对Modbus消息的应答时，你是否看到过计算机显示屏上曾出现沙漏等待标志？
　　冗余数据路径
　　在嵌入式Web服务器应用系统内，数据只能从其来源——即嵌入式系统本身获取。任何系统部分的故障都将导致信息的丢失，从而延缓信息的获取。嵌入式Web服务器本身就可能出现单点故障，妨碍对必要信息的访问。
　　相反的，客户端驱动的数据系统能够把数据传送到一个以上的服务器上，并同时建立备用数据存储及重要信息的其他访问来源。在复制的接收数据服务器运行备用系统，而发送源客户端只需把相同的数据信息发送到每个备用服务器的地址。
　　从这个意义上讲，轮询系统也可以称之为冗余系统。对于以太网来说，大多数从机可以对多个来源的轮询做出响应。它们只需简单地对每个独立请求源做出应答。
　　结论
　　互联网给工业自动化应用提供了许多颇具吸引力的机会和替代解决方案。然而，每一种方案都需对互联网的自身特性予以考虑。传统的轮询系统能够方便地利用IP（以太网）消息得以实现。在某些适当领域，Web服务器具有它自身的用途。或许，这里提出的最具吸引力的替代方案就是利用客户机发起请求的数据传输方式。原因在于它有助于消除轮询系统的安全和维护问题，进而将数据顺利地传输给用户。