1.1.2 功能架构
1.工业互联网核心功能原理
工业互联网的核心功能原理是基于数据驱动的物理系统与数字空间全面互联与深度协同,以及在此过程中的智能分析与决策优化。通过网络、平台、安全三大功能体系构建,工业互联网全面打通设备资产、生产系统、管理系统和供应链条,基于数据整合与分析实现IT与OT的融合和三大体系的贯通。工业互联网以数据为核心,数据功能体系主要包含感知控制、数字模型、决策优化三个基本层次,以及一个由自下而上的数据流和自上而下的决策流构成的工业数字化应用优化闭环。工业互联网核心功能原理如图1-7所示。
在工业互联网的数据功能实现中,数字孪生已经成为关键支撑,通过资产的数据采集、集成、分析和优化来满足业务需求,形成物理世界资产对象与数字空间业务应用的虚实映射,最终支撑各类业务应用的开发与实现。工业互联网的数据功能原理如图1-8所示。
图1-7 工业互联网核心功能原理
图1-8 工业互联网的数据功能原理
在数据功能原理中,感知控制层构建工业数字化应用的底层“输入-输出”接口,包含感知、识别、控制和执行四类功能。感知是利用各类软硬件方法采集蕴含了资产属性、状态及行为等特征的数据,如用温度传感器采集电机运行中的温度变化数据。识别是在数据与资产之间建立对应关系,明确数据所代表的对象,如需要明确定义哪一个传感器所采集的数据代表了特定电机的温度信息。控制是将预期目标转化为具体控制信号和指令,如将工业机器人末端运动转化为各个关节处电机的转动角度指令信号。执行则是按照控制信号和指令来改变物理世界中的资产状态,既包括工业设备机械、电气状态的改变,也包括人员、供应链等操作流程和组织形式的改变。
数字模型层强化数据、知识、资产等的虚拟映射与管理组织,提供支撑工业数字化应用的基础资源与关键工具,包含数据集成与管理、数据模型和工业模型构建、信息交互三类功能。数据集成与管理将原来分散、杂乱的海量多源异构数据整合成统一、有序的新数据源,为后续分析优化提供高质量数据资源,涉及数据库、数据湖、数据清洗、元数据等技术产品应用。数据模型和工业模型构建是综合利用大数据、人工智能等数据方法和物理、化学、材料等各类工业经验知识,对资产行为特征和因果关系进行抽象化描述,形成各类模型库和算法库。信息交互是通过不同资产之间数据的互联互通和模型的交互协同,构建出覆盖范围更广、智能化程度更高的“系统之系统”。
决策优化层聚焦数据挖掘分析与价值转化,形成工业数字化应用核心功能,主要包括分析、描述、诊断、预测、指导及应用开发。分析功能借助各类模型和算法的支持将数据背后隐藏的规律显性化,为诊断、预测和优化功能的实现提供支撑,常用的数据分析方法包括统计数学、大数据、人工智能等。描述功能通过数据分析和对比形成对当前现状、存在问题等状态的基本展示,如在数据异常的情况下向现场工作人员传递信息,帮助工作人员迅速了解问题类型和内容。诊断功能主要是基于数据的分析对资产当前状态进行评估,及时发现问题并提供解决建议,如能够在数控机床发生故障的第一时间就进行报警,并提示运维人员进行维修。预测功能是在数据分析的基础上预测资产未来的状态,在问题还未发生的时候就提前介入,如预测风机核心零部件寿命,避免因为零部件老化导致的停机故障。指导功能则是利用数据分析来发现并帮助改进资产运行中存在的不合理、低效率问题,如分析高功耗设备运行数据、合理设置启停时间、降低能源消耗。同时,应用开发功能将基于数据分析的决策优化能力和企业业务需求进行结合,支撑构建工业软件、工业APP等形式的各类智能化应用服务。
自下而上的信息流和自上而下的决策流形成了工业数字化应用的优化闭环。其中,信息流是从数据感知出发,通过数据的集成和建模分析,将物理空间中的资产信息和状态向上传递到虚拟空间,为决策优化提供依据。决策流则是将虚拟空间中决策优化后所形成的指令信息向下反馈到控制与执行环节,用于改进和提升物理空间中资产的功能和性能。优化闭环就是在信息流与决策流的双向作用下,连接底层资产与上层业务,以数据分析决策为核心,形成面向不同工业场景的智能化生产、网络化协同、个性化定制和服务化延伸等智能应用解决方案。
工业互联网功能体系是以ISA-95标准为代表的传统制造系统功能体系的升级和变革,其更加关注数据与模型在业务功能实现的分层演进。一方面,工业互联网强调以数据为主线简化制造层次结构,对功能层级进行了重新划分,垂直化的制造层级在数据作用下逐步走向扁平化,并以数据闭环贯穿始终;另一方面,工业互联网强调数字模型在制造体系中的作用,相比传统制造体系,通过工业模型、数据模型与数据管理、服务管理的融合作用,对下支撑更广泛的感知控制,对上支撑更灵活深度的决策优化。
2.工业互联网网络功能视图
(1)功能视图
网络体系由网络互联、数据互通和标识解析三部分组成,如图1-9所示。网络互联实现要素之间的数据传输,数据互通实现要素之间传输信息的相互理解,标识解析实现要素的标记、管理和定位。
图1-9 工业互联网功能视图网络体系框架
1)网络互联
网络互联,即通过有线、无线方式,将工业互联网体系相关的人机物料法环及企业上下游、智能产品、用户等全要素连接,支撑业务发展的多要求数据转发,实现端到端数据传输。网络互联根据协议层次由底向上可以分为多方式接入、网络层转发和传输层传送。多方式接入包括有线接入和无线接入,通过现场总线、工业以太网、工业PON、TSN等有线方式,以及5G/4G、Wi-Fi/Wi-Fi 6、WIA、无线HART、ISA100.11a等Z无线方式,将工厂内的各种要素接入工厂内网,包括人员(如生产人员、设计人员、外部人员)、机器(如装备、办公设备)、材料(如原材料、在制品、制成品)、环境(如仪表、监测设备)等;将工厂外的各要素接入工厂外网,包括用户、协作企业、智能产品、智能工厂,以及公共基础支撑的工业互联网平台、安全系统、标识系统等。
网络层转发实现工业非实时数据转发、工业实时数据转发、网络控制、网络管理等功能。工业非实时数据转发功能主要完成无时延同步要求的采集信息数据和管理数据的传输。工业实时数据转发功能主要传输生产控制过程中有实时性要求的控制信息和需要实时处理的采集信息。网络控制主要完成路由表/流表生成、路径选择、路由协议互通、ACL配置、QoS配置等功能。网络管理功能包括层次化的QoS、拓扑管理、接入管理、资源管理等功能。
传输层的端到端数据传输功能实现基于TCP、UDP等实现设备到系统的数据传输。管理功能实现传输层的端口管理、端到端连接管理、安全管理等。
2)数据互通
数据互通,实现数据和信息在各要素间、各系统间的无缝传递,使得异构系统在数据层面能相互“理解”,从而实现数据互操作与信息集成。数据互通包括应用层通信、信息模型和语义互操作等功能。应用层通信通过OPC UA、MQTT、HTTP等协议,实现数据信息传输安全通道的建立、维持、关闭,以及对支持工业数据资源模型的装备、传感器、远程终端单元、服务器等设备节点进行管理。信息模型是通过OPC UA、MTConnect、YANG等协议,提供完备、统一的数据对象表达、描述和操作模型。语义互操作通过PLCopen、AutoML等协议,实现工业数据信息的发现、采集、查询、存储、交互等功能,以及对工业数据信息的请求、响应、发布、订阅等功能。
3)标识解析
标识解析提供标识数据采集、标签管理、标识注册、标识解析、标识数据处理和标识数据建模功能。标识数据采集,主要定义了标识数据的采集和处理手段,包含标识读写和数据传输两个功能,负责标识的识读和数据预处理。标签管理主要定义了标识的载体形式和标识编码的存储形式,负责完成载体数据信息的存储、管理和控制,针对不同行业、企业需要,提供符合要求的标识编码形式。标识注册是在信息系统中创建对象的标识注册数据,包括标识责任主体信息、解析服务寻址信息、对象应用数据信息等,并存储、管理、维护该注册数据。标识解析能够根据标识编码查询目标对象网络位置或相关信息的系统装置,对机器和物品进行唯一性的定位和信息查询,是实现全球供应链系统和企业生产系统的精准对接、产品全生命周期管理和智能化服务的前提和基础。标识数据处理定义了对采集后的数据进行清洗、存储、检索、加工、变换和传输的过程,根据不同业务场景,依托数据模型来实现不同的数据处理过程。标识数据建模构建特定领域应用的标识数据服务模型,建立标识应用数据字典、知识图谱等,基于统一标识建立对象在不同信息系统之间的关联关系,提供对象信息服务。
(2)现状与问题
1)网络互联
从功能现状来看,传统工厂内网络在接入方式上主要以有线网络接入为主,只有少量的无线技术被用于仪表数据的采集;在数据转发方面,主要采用带宽较小的总线或10/100Mbit/s的以太网,通过单独布线或专用信道来保障高可靠控制数据转发,大量的网络配置、管理、控制都靠人工完成,网络一旦建成,调整、重组、改造的难度和成本都较高。其中,用于连接现场传感器、执行器、控制器及监控系统的工业控制网络主要使用各种工业总线、工业以太网进行连接,涉及的技术标准众多,彼此互联性和兼容性差,限制了大规模网络互联。连接各办公、管理、运营和应用系统企业网主要采用高速以太网和TCP/IP进行网络互联,但目前还难以满足一些应用系统对现场级数据的高实时、高可靠的直接采集。
工厂外网络目前仍基于互联网建设为主,有着多种接入方式,但网络转发仍以“尽力而为”的方式为主,无法向大量客户提供低时延、高可靠、高灵活的转发服务。同时,由于工业不同行业和领域信息化发展水平不一,工业企业对工厂外网络的利用和业务开发程度也不尽相同,部分工业企业仅申请了普通的互联网接入,部分工业企业的不同区域之间仍存在信息孤岛的现象。
当前工业网络是围绕工业控制通信需求,随着自动化、信息化、数字化发展逐渐构成的。由于在设计建设之初并未考虑整个体系的网络互联和数据互通,因此各层级网络的功能割裂难以互通,网络能力单一难以兼容,无法满足工业互联网业务发展的要求。这主要体现在工业控制网络能力不强,无法支撑工业智能化发展所需的海量数据采集和生产环境无死角覆盖,大量的生产数据沉淀或消失在工业控制网络中;企业信息网络难以延伸到生产系统,限制了信息系统能力发挥;互联网未能充分发挥作用,仅用于基本商业信息交互,难以支持高质量的网络化协同和服务。
2)数据互通
据不完全统计,目前国际上现存的现场总线通信协议数量高达四十余种,还存在一些自动化控制企业,直接采用私有协议实现全系列工业设备的信息交互。在这样的产业生态下,不同厂商、不同系统、不同设备的数据接口、互操作规程等各不相同,形成了一个个烟囱型的数据体系。这些自成体系、互不兼容的数据体系有着独立的一套应用层通信协议、数据模型和语义互操作规范,导致MES、ERP、SCADA等应用系统需要投入非常大的人力、物力来实现生产数据的采集;从不同设备、系统采集的异构数据无法兼容,难以实现数据的统一处理分析;跨厂商、跨系统的互操作仅能实现简单功能,无法实现高效、实时、全面的数据互通和互操作。
3)标识解析
当前,制造业企业多采用企业自定义的私有标识体系,其标识编码规则和标识数据模型均不统一,“信息孤岛”问题严重。当标识信息在跨系统、跨企业、跨业务流动时,由于标识体系冲突,造成企业间无法有效进行信息共享和数据交互,产业链上下游无法实现资源的高效协同。针对上述问题,工业互联网标识解析系统应运而生,依托建设各级标识解析节点,形成了稳定高效的工业互联网标识解析服务,国家顶级节点与Handle、OID、GS1等不同标识解析体系根节点实现对接,在全球范围内实现标识解析服务的互联互通。但是在推动工业互联网标识解析的发展过程中,还存在着很多制约因素和挑战。
一是标识应用链条较为单一。标识解析技术在工业中应用广泛,但目前仍然停留在资产管理、物流管理、产品追溯等信息获取的浅应用上,并未渗透到工业生产制造环节,深层次的创新应用还有待发展。由于工业软件复杂度高,且产业链条相对成熟,工业互联网标识解析与工业资源深度集成难度大。二是解析性能和安全保障能力不足。传统互联网中的域名标识编码主要是以“面向人为主”,方便人来识读主机、计算机、网站等。而工业互联网标识编码,则扩展到“面向人、机、物”的三元世界,标识对象数据种类、数量大大丰富,且工业互联网接入数据敏感,应用场景复杂,对网络服务性能要求较高。目前的标识解析系统急需升级,在性能、功能、安全、管理等方面全面适配工业互联网的新需求,面对不同工业企业的不同需求提供匹配的服务。
(3)发展趋势
1)网络互联
工业互联网业务发展对网络基础设施提出了更高的要求和需求,网络呈现出融合、开放、灵活三大发展趋势。
网络架构将逐步融合:一是网络结构扁平化,工厂内网络的车间级和现场级将逐步融合(尤其在流程行业),IT网络与OT网络逐步融合。二是高实时控制信息与非实时过程数据共网传输,新业务对数据的需求促使控制信息和过程数据的传输并重。三是有线与无线的协同,以5G为代表的无线网络将更为广泛地应用于工厂内,实现生产全流程、无死角的网络覆盖。
网络更加开放:一是技术开放,以时间敏感网络(Time-Sensitive Networking, TSN)为代表的新型网络技术将打破传统工业网络众多制式间的技术壁垒,实现网络各层协议间的解耦合,推动工业互联网网络技术的开放。二是数据开放,工业互联网业务对数据的强烈需求,促使传统工业控制闭环中沉没或消失的数据开放出来,而生产全流程的数据将由更标准化的语法和数据模型开放给上层应用使用。
网络控制和网络管理将更为灵活友好:一是网络形态的灵活。未来工厂内网将能够根据智能化生产、个性化定制等业务灵活调整形态,快速构建出生产环境,工厂外网将能够为不同行业、企业提供定制化的网络切片,实现行业、企业的自治管理控制。二是网络管理的友好。随着网络在产研供销中发挥日益重要的作用,网络管理将变得复杂,软件定义技术应用将提供网络系统的可呈现度,网络管理界面将更为友好。三是网络的服务将更为精细。工厂内网将针对控制、监测等不同性能需求,提供不同的网络通道。工厂外网将针对海量设备广覆盖、企业上网、业务系统上云、公有云与私有云互通等不同场景提供细分服务。
2)数据互通
人工智能、大数据的快速应用,使得工业企业对数据互通的需求越来越强烈,标准化和“上通下达”成为数据互通技术发展的趋势。一是实现信息标准化。与传统工业控制系统数据信息只会在固定的设备间流动不同,工业互联网对数据处理的主体更广泛,需要跨系统对数据进行理解和集成,因此要求数据模型及数据的存储传输,更加通用化与标准化。二是加强与云的连接。借助云平台和大数据,实现数据价值的深度挖掘和更大范围的数据互通。三是强调与现场级设备的互通。打通现场设备层,通过现场数据的实时采集,实现企业内资源的垂直整合。
3)标识解析
随着工业互联网创新发展战略的深入贯彻实施,工业互联网标识解析应用探索的不断深入,工业互联网标识解析体系将呈现如下发展趋势:一是基于标识解析的数据服务成为工业互联网应用的核心,闭环的私有标识及解析系统逐步向开环的公共标识及解析系统演进。随着产品全生命周期管理、跨企业产品信息交互等需求的增加,将推动企业私有标识解析系统与公共标识解析系统的对接,通过分层、分级模式,为柔性制造、供应链协同等具体行业应用提供了规范的公共标识解析服务;并通过语义与标识解析的融合技术解决跨系统、跨企业之间多源异构数据互联互通的问题,提高工业互联网资源、信息模型、供应链参与方之间的协同能力,有利于数据的获取、集成和资源的发现。二是工业互联网标识解析安全机制成为工业互联网应用的基础,发展安全高效的标识解析服务成为共识。针对工业互联网标识解析网络架构和行业应用的安全,建立一套高效的公共服务基础设施和信息共享机制,通过建设各级节点来分散标识解析压力,降低查询延迟和网络负载,提高解析性能,实现本地解析时延达到毫秒级。同时,逐步建立综合性安全保障体系,支持对标识体系运行过程中产生的数字证书和加密管道进行创建、维护和管理及加密,支持对标识体系的数据备份、故障恢复及应急响应的信息灾备,对业务处理实施身份认证和权限管理的访问控制,逐步形成安全高效标识解析服务能力。
3.工业互联网平台功能视图
(1)功能视图
为实现数据优化闭环,驱动制造业智能化转型,工业互联网需要具备海量工业数据与各类工业模型管理、工业建模分析与智能决策、工业应用敏捷开发与创新、工业资源集聚与优化配置等一系列关键能力,这些传统工业数字化应用所无法提供的功能正是工业互联网平台的核心。按照功能层级划分,工业互联网平台包括边缘层、PaaS层和应用层三个关键功能组成部分,如图1-10所示。
图1-10 工业互联网功能视图平台体系框架
边缘层提供海量工业数据接入、转换、数据预处理和边缘分析应用等功能:一是工业数据接入,包括机器人、机床、高炉等工业设备数据接入能力,以及ERP、MES、WMS等信息系统数据接入能力,实现对各类工业数据的大范围、深层次采集和连接。二是协议解析与数据预处理,将采集连接的各类多源异构数据进行格式统一和语义解析,并进行数据剔除、压缩、缓存等操作后传输至云端。三是边缘分析应用,重点是面向高实时应用场景,在边缘侧开展实时分析与反馈控制,并提供边缘应用开发所需的资源调度、运行维护、开发调试等各类功能。
PaaS层提供资源管理、工业数据与模型管理、工业建模分析和工业应用创新等功能:一是IT资源管理,包括通过云计算PaaS等技术对系统资源进行调度和运维管理,并集成边云协同、大数据、人工智能、微服务等各类框架,为上层业务功能实现提供支撑。二是工业数据与模型管理,包括面向海量工业数据提供数据治理、数据共享、数据可视化等服务,为上层建模分析提供高质量数据源,以及进行工业模型的分类、标识、检索等集成管理。三是工业建模分析,融合应用仿真分析、业务流程等工业机理建模方法和统计分析、大数据、人工智能等数据科学建模方法,实现工业数据价值的深度挖掘分析。四是工业应用创新,集成CAD、CAE、ERP、MES等研发设计、生产管理、运营管理已有成熟工具,采用低代码开发、图形化编程等技术来降低开发门槛,支撑业务人员能够不依赖程序员而独立开展高效灵活的工业应用创新。此外,为了更好提升用户体验和实现平台间的互联互通,还需考虑人机交互支持、平台间集成框架等功能。
应用层提供工业创新应用、开发者社区、应用商店、应用二次开发与集成等功能:一是工业创新应用,针对研发设计、工艺优化、能耗优化、运营管理等智能化需求,构建各类工业APP应用解决方案,帮助企业实现提质、降本、增效。二是开发者社区,打造开放的线上社区,提供各类资源工具、技术文档、学习交流等服务,吸引海量第三方开发者入驻平台开展应用创新。三是应用商店,提供成熟工业APP的上架认证、展示分发、交易计费等服务,支撑实现工业应用价值变现。四是应用二次开发与集成,对已有工业APP进行定制化改造,以适配特定工业应用场景或是满足用户个性化需求。
(2)现状与问题
当前,工业制造系统总体遵循以ISA-95标准为代表的体系架构,其核心是打通企业商业系统和生产控制系统,将订单或业务计划逐层分解为企业资源计划、生产计划、作业排程乃至具体操作指令,并通过ERP、MES、PLM等一系列软件系统来支撑企业经营管理、生产管理乃至执行操作等具体环节。这一体系有效驱动了制造业数字化和信息化发展,但伴随制造业数字化转型的不断深化,面向更智能、更敏捷、更协同、更灵活的发展要求,这一体系也逐渐暴露出以下一些问题:
一是难以实现数据的有效集成与管理。传统ERP、MES、CRM等业务系统都有各自的数据管理体系,随着业务系统的不断增加与企业业务流程的日趋复杂,各类业务系统间的数据集成难度不断加大,导致信息孤岛问题日益凸显。同时,这些业务系统的数据管理功能更多针对的是规模有限且高度结构化的工业数据,面向当前海量多源异构的工业数据缺乏必要的管理与处理能力。
二是数据挖掘分析应用能力不足。传统信息化系统通常只具备简单的统计分析能力,无法满足越来越高的数据处理分析要求,需要运用大数据、人工智能等新兴技术开展数据价值深度挖掘,进而驱动信息系统服务能力显著提升。但是,大数据、人工智能技术与现有信息系统的集成应用面临着较高技术门槛和投入成本,客观上制约了现有信息系统数据分析应用能力的提升。
三是无法开展应用灵活创新。传统信息化系统一般是与后台服务紧密耦合的重量级应用,当企业业务模式发生变化或不同业务之间开展协同时,往往需要以项目制形式对现有信息系统进行定制化的二次开发或打通集成,实施周期动辄以月计算,无法快速响应业务调整需求。而且,由于不同信息系统之间的共性模块难以实现共享复用,有可能导致应用创新过程中存在“重复造轮子”的现象,也会进一步降低应用创新效率,增加创新成本。
(3)发展趋势
伴随制造业数字化转型的不断深化与新一代信息技术的加速融入,传统主要遵循ISA-95标准的制造体系正迎来一次重大演进变革,具体来说将呈现三方面趋势:一是基于平台的数据智能成为整个制造业智能化的核心驱动。大数据、人工智能技术持续拓展数据分析应用的深度和广度,强化生产过程中的智能分析决策能力,基于数字孪生所构建的虚实交互闭环优化系统能实现对物理世界更加精准的预测分析和优化控制,最终驱动形成具备自学习、自决策、自使用能力的新型智能化生产方式。二是平台化架构成为未来数字化系统的共性选择,促使工业软件与平台加速融合。基于统一平台载体的数据集成管理和智能分析应用破解了信息孤岛问题,基于平台部署应用研发设计、仿真优化、生产管理、运营管理等软件工具,能够有效降低企业数字化系统的复杂程度和投资成本,并构筑全生产流程打通集成的一体化服务能力,驱动实现更加高效的业务协同。三是基于平台的应用开放创新。平台支撑工业经验知识的软件化封装,加速共性业务组件的沉淀复用,实现低门槛的工业应用创新,并吸引第三方开发者构建创新生态,从而能够支撑企业快速适应市场变化和满足用户个性化需求,开展商业模式和业务形态的创新探索。
在上述几方面因素的推动下,未来制造系统将呈现扁平化的特征,传统以ISA-95标准为代表的“金字塔”体系结构被逐渐打破,ERP、MES、PLM等处于不同层次的管理功能基于平台实现集成融合应用,工业互联网平台将成为未来制造系统的中枢与核心环节。借助平台提供的数据流畅传递和业务高效协同能力,能够第一时间将生产现场数据反馈到管理系统进行精准决策,也能够及时将管理决策指令传递到生产现场进行执行,通过高效、直接的扁平化管理实现制造效率的全面提升。
但由于平台尚处于发展初期,特别是很多制造企业还拥有大量存量资产,因此平台在功能上也会经历从叠加模式到融合模式两个不同的发展阶段。叠加模式是指平台独立于企业已有数字化系统之外进行部署并实现集成打通,将平台强大的数据分析和资源集聚优化能力叠加至现有系统功能之上,实现业务能力的智能化改造提升。融合模式则是基于平台实现企业所有业务系统的部署运行,充分发挥平台工业数据管理、工业建模分析和工业应用创新优势,高效灵活地满足企业所有智能化需求。
4.工业互联网安全功能视图
(1)功能视图
为解决工业互联网面临的网络攻击等新型风险,确保工业互联网健康有序发展,工业互联网安全功能框架充分考虑了信息安全、功能安全和物理安全,聚焦工业互联网安全所具备的主要特征,包括可靠性、保密性、完整性、可用性及隐私和数据保护,如图1-11所示。
可靠性指工业互联网业务在一定时间内、一定条件下无故障地执行指定功能的能力或可能性。可靠性包括以下几个方面:一是设备硬件可靠性,指工业互联网业务中的工业现场设备、智能设备、智能装备、个人计算机(PC)、服务器等在给定的操作环境与条件下,其硬件部分在一段规定的时间内正确执行要求功能的能力。二是软件功能可靠性,指工业互联网业务中的各类软件产品在规定的条件下和时间区间内完成规定功能的能力。三是数据分析结论可靠性,指工业互联网数据分析服务在特定业务场景下、一定时间内能够得出正确的分析结论的能力。在数据分析过程中出现的数据缺失、输入错误、度量标准错误、编码不一致、上传不及时等情况,最终都可能对数据分析结论的可靠性造成影响。四是人身安全可靠性,指对工业互联网业务运行过程中相关参与者的人身安全进行保护的能力。
图1-11 工业互联网功能视图安全体系框架
保密性指工业互联网业务中的信息按给定要求不泄露给非授权的个人或企业加以利用的特性,即杜绝将有用数据或信息泄露给非授权个人或实体。保密性包括以下几方面:一是通信保密性,指对要传送的信息内容采取特殊措施,从而隐蔽信息的真实内容,使非法截收者不能理解通信内容的含义。二是信息保密性,指工业互联网业务中的信息不被泄露给非授权的用户和实体,只能以允许的方式供授权用户使用的特性。
完整性指工业互联网用户、进程或硬件组件具有能验证所发送的信息的准确性,并且进程或硬件组件不会被以任何方式改变的特性。完整性包括以下几方面:一是通信完整性,指对要传送的信息采取特殊措施,使得信息接收者能够对发送方所发送信息的准确性进行验证的特性;二是信息完整性,指对工业互联网业务中的信息采取特殊措施,使得信息接收者能够对发送方所发送信息的准确性进行验证的特性。三是系统完整性,指对工业互联网平台、控制系统、业务系统(如ERP、MES)等加以防护,使得系统不被以任何方式被篡改即保持准确的特性。
可用性指在某个考察时间,工业互联网业务能够正常运行的概率或时间占有率期望值,可用性是衡量工业互联网业务在投入使用后实际使用的效能。可用性包括以下几方面:一是通信可用性,指在某个考察时间,工业互联网业务中的通信双方能够正常与对方建立信道的概率或时间占有率期望值。二是信息可用性,指在某个考察时间,工业互联网业务使用者能够正常对业务中的信息进行读取、编辑等操作的概率或时间占有率期望值。三是系统可用性,指在某个考察时间,工业互联网平台、控制系统、业务系统(如ERP、MES)等正常运行的概率或时间占有率期望值。
隐私和数据保护指对于工业互联网用户个人隐私数据或企业拥有的敏感数据等提供保护的能力。隐私和数据保护包括以下几方面:一是用户隐私保护,指对与工业互联网业务用户个人相关的隐私信息提供保护的能力;二是企业敏感数据保护,指对参与工业互联网业务运营的企业所保有的敏感数据进行保护的能力。
(2)现状与问题
当前,工业系统安全保障体系建设已较为完备,伴随新一代信息通信技术与工业经济的深度融合,工业互联网步入深耕落地阶段,工业互联网安全保障体系建设的重要性越发凸显。世界各主要发达国家均高度重视工业互联网的发展,并将安全放在了突出位置,发布了一系列指导文件和规范指南,为工业互联网相关企业部署安全防护提供了可借鉴的模式,从一定程度上保障了工业互联网的健康有序发展。但是,随着工业互联网安全攻击日益呈现出的新型化、多样化、复杂化,现有的工业互联网安全保障体系还不够完善,暴露出以下一些问题:
一是隐私和数据保护形势依旧严峻。工业互联网平台采集、存储和利用的数据资源存在数据体量大、种类多、关联性强、价值分布不均等特点,因此平台数据安全存在责任主体边界模糊、分级分类保护难度较大、事件追踪溯源困难等问题;同时,工业大数据技术在工业互联网平台中的广泛应用,使得平台用户信息、企业生产信息等敏感信息存在泄露隐患,数据交易权属不明确、监管责任不清等问题,工业大数据应用存在安全风险。
二是安全防护能力仍需进一步提升。大部分工业互联网相关企业重发展、轻安全,对网络安全风险认识不足;同时,缺少专业机构、网络安全企业、网络安全产品服务的信息渠道和有效支持,工业企业风险发现、应急处置等网络安全防护能力普遍较弱;同时,工业生产迭代周期长,安全防护部署滞后且整体水平低,存量设备难以快速进行安全防护升级换代,整体安全防护能力提升时间长。
三是安全可靠性难以得到充分保证。工控系统和设备在设计之初缺乏安全考虑,自身计算资源和存储空间有限,大部分不能支持复杂的安全防护策略,很难确保系统和设备的安全可靠。此外,仍有很多智能工厂内部未部署安全控制器、安全开关、安全光幕、报警装置、防爆产品等,并缺乏针对性的工业生产安全意识培训和操作流程规范,使得人身安全可靠性难以得到保证。
(3)发展趋势
伴随工业互联网在各行各业的深耕落地,安全作为其发展的重要前提和保障,将会得到越来越多的重视。传统的安全防御技术已无法抗衡新的安全威胁,在未来的发展中,防护理念将从被动防护转向主动防御。发展方向主要包括以下几方面:一是态势感知将成为重要技术手段。借助人工智能、大数据分析及边缘计算等技术,基于协议深度解析及事件关联分析机制,分析工业互联网当前运行状态并预判未来安全走势,实现对工业互联网安全的全局掌控,并在出现安全威胁时通过网络中各类设备的协同联动机制及时进行抑制,阻止安全威胁的继续蔓延。二是内生安全防御成为未来防护的大势所趋。在设备层面可通过对设备芯片与操作系统进行安全加固,并对设备配置进行优化的方式实现应用程序脆弱性分析。可通过引入漏洞挖掘技术,对工业互联网应用及控制系统采取静态挖掘、动态挖掘以实现对自身隐患的常态化排查。各类通信协议安全保障机制可在新版本协议中加入数据加密、身份验证、访问控制等机制提升其安全性。三是工业互联网安全防护智能化将不断发展。未来对于工业互联网安全防护的思维模式将从传统的事件响应式向持续智能响应式转变,旨在构建全面的预测、基础防护、响应和恢复能力,抵御不断演变的高级威胁。工业互联网安全架构的重心也将从被动防护向持续普遍性的监测响应及自动化、智能化的安全防护转移。四是平台在防护中的地位将日益凸显。平台作为工业互联网的核心,汇聚了各类工业资源,因而在未来的防护中,平台的安全防护将备受重视。平台使用者与提供商之间的安全认证、设备和行为的识别、敏感数据共享等安全技术将成为刚需。五是对大数据的保护将成为防护热点。工业大数据的不断发展,对数据分类分级保护、审计和流动追溯、大数据分析价值保护、用户隐私保护等提出了更高的要求。未来,数据的分类分级保护及审计和流动追溯将成为防护热点。
在上述几方面因素的驱动下,面对不断变化的网络安全威胁,企业仅依靠自身力量远远不够,未来构建具备可靠性、保密性、完整性、可用性及隐私和数据保护的工业互联网安全功能框架,需要政府和企业、产业界统一认识、密切配合。未来,安全将成为保障工业互联网健康有序发展的重要基石和防护中心。通过建立健全运转灵活、反应灵敏的信息共享与联动处置机制,打造多方联动的防御体系,充分处理好信息安全与物理安全,保障生产管理等环节的可靠性、保密性、完整性、可用性、隐私和数据保护,进而确保工业互联网的健康有序发展。