生产企业常见设备工业联网需求配置概述
目录
1.需求概述 (3)
2.常见设备工业互联需求 (4)
2.1数控机床 (4)
2.2PLC (4)
2.3机器人 (4)
2.4温湿度仪、水电能耗等计量表 (4)
2.5上位机&嵌入式系统 (5)
3.网络建设及信息安全需求 (6)
3.1网络建设需求 (6)
3.2.工业系统信息安全需求 (8)
1.需求概述
随着制造信息的爆炸性增长以及处理信息工作量的猛增，要求制造系统表现出更大的智能，然而CIMS的实施和制造业的全球化发展遇到两个重大的障碍，即目前已形成的“自动化孤岛”的连接和全局优化问题以及各类生产、工艺、质量数据和人机接口的统一问题。

这些问题的解决都离不开生产、质检设备的有效联网，工艺数据、质量标准的准确、及时下发，生产、质量、工艺数据的实时采集以及有效追溯。

根据生产企业智能制造对生产监控、产品追溯以及质量管理等功能需求，生产制造执行系统（MES）需要及时采集、存储及分析生产过程中的人、机、料、法、环等各类数据，促进产品质量不断升级。

而上述功能的实现需要基于一套完善的基于工业以太网的生产企业设备数据采集、应用平台，为智能制造打下坚实的基础。

2.常见设备工业互联需求
通过工业以太网网络，MES的数据采集平台实时采集、存储各类常见设备生产、质检过程数据，涵盖生产数据、质检数据、工艺数据、设备数据等的信息，用于MES实现生产管控、产品追溯、绩效管理、成本管控、质量管理等功能。

典型设备工业互联需求配置如下：
2.1数控机床
1、空余的工业以太网接口；
2、IP地址按照甲方网络规划设置，且设置对应网关；
3、开启通信功能。

2.2 PLC
1、空余的工业以太网接口；
2、IP地址按照甲方网络规划设置，且设置对应网关。

2.3 机器人
1、空余的工业以太网接口或串口；
2、若含以太网接口，IP地址按照甲方网络规划设置，且设置对应网关；
3、具备标准或公开的对外通信协议。

2.4 温湿度仪、水电能耗等计量表
1、空余通信接口；
2、若含以太网接口，IP地址按照甲方网络规划设置，且设置对应网
关；
3、具备标准或公开的对外通信协议。

2.5 上位机&嵌入式系统
1、空余的工业以太网接口；
2、IP地址按照甲方网络规划设置，且设置对应网关；
2、具备标准或公开的对外通信协议。

3.网络建设及信息安全需求
随着工业领域生产系统网络化、系统化以及高度自动化的发展，原有的以现场总线标准构建的“自动化孤岛”逐渐联网通信，使得企业实现了从现场设备层到管理层间一直到对外访问层的全面的无缝信息集成。

然而，在工业以太网解决了工业网络中设备兼容性、互操作性和信息的流通性等问题的同时，也使得传统的网络安全威胁逐渐迁入到工业控制网络中，使包括DNC系统、PLC系统、远程终端（RTU）、智能电子设备（IDE）、DCS系统在内的工业控制系统门户洞开，蒙受恶意攻击、数据采集失效的可能性显著增加。

因此，搭建一套完整的网络体系并开展智能制造信息安全防护已成为必然。

3.1 网络建设需求
为了避免信息孤岛的出现，整个网络的建设需要涵盖生产设备层、数据采集层、MES展示应用层以及对第三方信息系统，诸如ERP、PDM 等。

据此，网络建设采用三层架构，分为核心交换机、汇聚层交换机和接入层交换机，三者通过光纤直连通信；包括数控机床、PLC在内的生产设备、MES现场终端、无线设备、打印机、展示终端等设备通过接入层交换机接入现场工业网络，由接入层交换机再通过汇聚层交换机、核心交换机与数据采集服务器、MES应用服务器以及第三方系统服务器进行有效通信。

同时，综合考虑设备联网、MES终端应用的安全性和稳定性需求，建议生产网络和办公网络严格分开，MES上线过程中即搭建智能制造
7
车间独立的工业生产互联网络，双方数据仅通过控制中心汇集层交换机进行数据交互。

具体的网络建设拓扑架构如下图所示：
车间MES
检测设备控制设备接入层交换机数控机床
打印机扫描枪
无线网络控制器
车间大屏拼接屏电视屏服务器
图3-1 典型智能工厂网络建设拓扑结构
3.2. 工业系统信息安全需求
对于智能制造工厂信息安全，仅靠传统的杀毒软件进行防护是远远不够的。

只有一套完善的网络体系架构，才能真正的对于工厂信息安全进行防御。

一套完整的工厂信息安全建设应该采用五层防御体系进行构建，并严格的对工作区域进行划分。

8
9 数控机床PLC 设备智能计量仪表检测设备RFID 装置条码扫描装置称重设备转以太网设备模拟量/开关量输出设备
客户端
扫描枪
打印机无线AP MES 数采对象区域
图3-2 智能制造信息安全网络机构
（1）外部防火墙
利用外部防火墙将智能制造工厂内部网和Internet网分开，使外部可以安全地访问包括Web服务器、电子商务服务器、邮件服务器、Ftp服务器等在内的公共服务器设施区域，同时也保护内部网免受非法用户的侵入，对于工厂信息的安全起到了最初级的防护作用。

（2）安全网关
安全网关的防护严格程度较外部防火墙的规则更加严格、更加多样化，可以提供从协议级到应用级过滤，可以防止Internet或外网不安全因素蔓延到自己企业或组织的内部网，可以有效保护包括办公室管理客户端、ERP服务器、PDM服务器、MES服务器等在内的智能制造工厂内部区域，同时为数据采集功能提供数据交互，包括NC程序下发、生产/制造BOM获取、产量数据报工、人员信息同步等提供有效的安全保证。

（3）防毒软件
防毒软件能够实时监察客户端、服务器内的恶意程序，包括流行的各种病毒、木马、蠕虫等，有效保护包括各级服务器、工程师站、办公室/现场终端、HMI在内的内部MES系统接口区域和MES系统区域。

（4）系统防火墙
系统防火墙专指智能制造车间MES系统防火墙，它包括MES系统区域入口处防火墙、MES终端防火墙和控制系统防火墙。

根据通信内
容和通信对象，具有不同的防护特点和防护内容。

MES系统区域入口处防火墙，主要实现MES接口系统与MES系统数据安全交互而部署的一道防火墙，该防火墙利用服务访问规则、验证工具、包过滤等功能，保证MES系统能与包括ERP系统、PDM系统、办公室客户端在内的系统或终端进行数据访问，同时将非法的或不在数据交互允许列表内的请求拒之门外，最大限度地阻止网络中的恶意软件访问MES系统。

MES终端防火墙主要在MES服务器区域与现场MES终端区域建立防护措施，禁止MES终端上非MES程序或服务访问MES服务器，进而避免影响MES服务器的稳定运行，占用大量现场带宽等现象的发生；同时也阻止MES服务器上恶意软件或木马通过网络植入MES现场终端，导致现场终端的异常运行，影响现场生产以及数据采集。

控制系统防火墙是专门针对工厂生产车间系统及网络部署的一道防火墙。

此道防火墙会制定更加严格的规则，只开放固定的网络端口供控制系统与MES系统进行数据交互，诸如西门子PLC的102端口、OPC协议的135端口；同时利用工业协议深度包过滤技术，对于不同的协议报文，诸如OPC协议、Modbus协议，进行工业协议报文识别和完整性检查，对于未通过识别或检测的报文内容，禁止传播并自动发出预警，有效避免了入侵者从外部或MES内部网络对工厂生产车间的网络及系统进行攻击。

（5）数据采集对象及MES终端
上面四类防御体系都是从外部因素进行防御，作为智能制造车间
MES系统信息安全的基础部件，数据采集对象及MES终端应该进行有效的内部防御。

数据采集对象即数控系统、PLC、质检设备等数据采集对象在选型时需要进行慎重的选择，避免选择一些功能系统不成熟的软硬件产品进行使用。

如果已经选择了一些比较老款的产品，企业需注意严格执行软件升级、补丁安装等管理制度，严防病毒、木马等恶意代码侵入。

关键工业控制系统软件升级、补丁安装前要请专业技术机构进行安全评估和验证。

只有这样，数据采集对象才能保障自身系统安全。

作为智能制造车间MES系统现场人机交互的主要设施，需要从USB、网络、软件驱动等多方面防止病毒的入侵，提高设备的利用率。

主要包括尽量采用性能稳定的工控机，封闭多余的USB端口，仅接入MES现场工业网络，仅安装已经过安全评估和验证的软件驱动、防毒软件，禁止安装非MES应用的其他程序等。