工業網際網路雲平臺發展現狀、典型案例、安全威脅綜述
作者:何躍鷹
1、工業網際網路雲平臺概述
工業雲是通過雲端計算為工業企業提供服務,使工業企業的社會資源實現共享的一種新型的網路化製造服務模式。其本質是以雲平臺為載體,以工業系統為基礎,融合先進製造技術以及網際網路、雲端計算、物聯網、大資料等新一代資訊科技和產品,通過匯聚分散式、跨領域的製造資源和製造能力,根據使用者需求,以雲化的方式提供優質、及時、低成本的服務,實現製造需求和社會化製造資源的高質高效對接。
近年來,國內外工業雲平臺發展勢頭日新月異,Predix、MindSphere、航天雲網、三一根雲等一系列工業雲產品相繼推出,並且應用日益廣泛。然而新技術的引入在有效促進產業轉型升級的同時,也帶來新型的安全隱患。安全中心工業控制系統網路安全應急技術工信部重點實驗室通過工業網際網路流量監測、模擬驗證等技術手段對國內外若干家主流工業雲平臺的安全性進行了分析調研,發現現有工業雲平臺產品在裝置層、網路層、平臺層存在諸多安全漏洞和配置缺陷,有被網路攻擊甚至非法控制的風險。
本文彙總國內外相關文獻,從工業雲平臺發展現狀、典型雲平臺案例、工業雲平臺安全威脅等方面進行介紹。
1.1 國外發展現狀
2011 年,美國GE 通用電器公司首先提出了“工業網際網路”的概念,以雲端計算、工業大資料分析為特徵的工業網際網路技術呈現廣闊的發展前景。美國、德國、日本等資訊產業強國隨之對工業網際網路高度關注,將其作為未來產業發展的戰略重點出臺一系列的政策支援措施,進而搶佔工業網際網路市場空間和產業發展的制高點。 GE於2013 年首先開發了Predix 軟體平臺,負責將各種工業資產裝置相互連線並接入雲端,並提供資產效能管理(APM)和運營優化服務。西門子、施耐德等工業巨頭也都抓緊佈局工業雲平臺,推出了MindSphere、EcoStruxure等產品,憑藉其在工業領域的沉澱積累以及應用資訊科技改造傳統制造業的成功經驗,以雲平臺化的方式靈活實現跨區域工業資訊服務的部署和交付,把數以億計的終端工業裝置連入網際網路,通過提供強大的資料傳輸、儲存和處理能力,併為特定的行業提供數字化、網路化、智慧化轉型的軟體應用和服務。亞馬遜、微軟等公司近年也相繼推出了AWSIoT、Azure IoT 等物聯網雲平臺,但由於其對工業應用理解不夠,平臺行業特徵還不明顯,未形成特定工業行業的專業應用。
1.2 國內發展現狀
2013 年,工信部提出“6 + 1 專項行動”,將工業雲創新服務列入《資訊化和工業化深度融合專項行動計劃( 2013-2018 年) 》,確定北京、天津、河北、內蒙、黑龍江、上海、江蘇、浙江、山東等16 個省市開展工業雲創新服務試點,探索製造業領域的共享經濟新模式。我國工業化和資訊化水平相對較低,工業企業兩化融合水平處於單項覆蓋向整合提升過渡階段,因此,需結合國內工業企業的市場需求,探索符合我國國情的工業雲發展路徑。我國工業雲平臺已在框架、標準、測試、安全、國際合作等方面取得了初步進展,成立了匯聚政產學研的工業網際網路產業聯盟,釋出了《工業網際網路體系架構(版本1.0)》、《工業網際網路安全框架(版本1.0)》等。 以航天科工雲網、三一根雲平臺、海爾Cosmoplat平臺為代表的國內工業網際網路雲平臺相繼建立,在新型網路的部署、平臺建設、工業大資料分析以及安全保障等關鍵領域湧現出一批綜合整合解決方案,形成了一批驗證示範平臺和優秀應用案例。
1.3 平臺架構
圖1 工業網際網路雲平臺架構
一個典型的工業網際網路雲平臺如圖1所示,由下至上由 裝置接入層、雲基礎設施IaaS層、工業雲平臺PaaS層、工業應用SaaS層 組成。
第一層是邊緣連線層。通過大範圍、深層次的資料採集,以及異構資料的協議轉換與邊緣處理,構建工業網際網路平臺的資料基礎。一是通過各類通訊手段接入不同裝置、系統和產品,採集海量資料;二是依託協議轉換技術實現多源異構資料的歸一化和邊緣整合;三是利用邊緣計算裝置實現底層資料的匯聚處理,並實現資料向雲端平臺的整合。
第二層是雲基礎設施IaaS (Infrastructure-as-a-Service)層。由資訊科技企業主導建設,在這一領域,阿里、騰訊、華為等雲端計算基礎設施已達到國際先進水平。
第三層是工業雲平臺PaaS (Platform-as-a-Service)層,基於通用PaaS疊加大資料處理、工業資料分析、工業微服務等創新功能,構建可擴充套件的開放式雲作業系統。一是提供工業資料管理能力,將資料科學與工業機理結合,幫助製造企業構建工業資料分析能力,實現資料價值挖掘;二是把技術、知識、經驗等資源固化為可移植、可複用的工業微服務元件庫,供開發者呼叫;三是構建應用開發環境,藉助微服務元件和工業應用開發工具,幫助使用者快速構建定製化的工業APP。工業雲平臺PaaS層的建設者多為了解行業本身的工業企業,如GE、西門子、施耐德,以及我國的航天科工,三一根雲,海爾集團等,均是基於通用PaaS進行二次開發,支援容器技術,新型API技術,大資料及機器學習技術,構建靈活開放與高效能分析的工業PaaS產品。
第四層是工業應用SaaS(Software-as-a-Service)層,形成滿足不同行業、不同場景的工業SaaS和工業APP,形成工業網際網路平臺的最終價值。一是提供了設計、生產、管理、服務等一系列創新性業務應用。二是構建了良好的工業APP創新環境,使開發者基於平臺數據及微服務功能實現應用創新。該層由網際網路企業,工業企業,眾多開發者等多方主體參與應用開發,其核心是面向特定行業、特定場景開發線上監測、運營優化、和預測性維護等具體應用服務。
1.4 平臺特徵
泛在連線、雲化服務、知識積累、應用創新是辨識工業網際網路平臺的四大特徵。
泛在連線:具備對裝置、軟體、人員等各類生產要素資料的全面採集能力。
雲化服務:實現基於雲端計算架構的海量資料儲存、管理和計算。
知識積累:能夠提供基於工業知識機理的資料分析能力,並實現知識的固化、積累和複用。
應用創新:能夠呼叫平臺功能及資源,提供開放的工業APP開發環境,實現工業APP創新應用。
1.5 核心應用
工業網際網路平臺能夠有效整合海量工業裝置與系統資料,實現業務與資源的智慧管理,促進知識和經驗的積累和傳承,驅動應用和服務的開放創新。可以認為,工業網際網路平臺是新型製造系統的數字化神經中樞,在製造企業轉型中發揮核心支撐作用,已成為企業智慧化轉型升級的重要抓手。
一是幫助企業實現智慧化生產和管理。通過對生產現場“人機料法環”各類資料的全面採集和深度分析,能夠發現導致生產瓶頸與產品缺陷的深層次原因,不斷提高生產效率及產品質量。基於現場資料與企業計劃資源、運營管理等資料的綜合分析,能夠實現更精準的供應鏈管理和財務管理,降低企業運營成本。
二是幫助企業實現生產方式和商業模式創新。企業通過平臺可以實現對產品售後使用環節的資料打通,提供裝置健康管理、產品增值服務等新型業務模式,實現從賣產品到賣服務的轉變,實現價值提升。基於平臺還可以與使用者進行更加充分的互動,瞭解使用者個性化需求,並有效組織生產資源,依靠個性化產品實現更高利潤水平。此外,不同企業還可以基於平臺開展資訊互動,實現跨企業、跨區域、跨行業的資源和能力集聚,打造更高效的協同設計、協同製造,協同服務體系。
未來,工業網際網路平臺可能催生新的產業體系。如同移動網際網路平臺創造了應用開發、應用分發、線上線下等一系列新的產業環節和價值,當前工業網際網路平臺在應用創新、產融結合等方面已顯現出類似端倪,未來也有望發展成為一個全新的產業體系,促進形成大眾創業、萬眾創新的多層次發展環境,真正實現“網際網路+先進製造業”。
2、工業網際網路雲平臺典型案例
2.1 GE——Predix雲平臺
GE(美國通用電器公司)是世界上最大的裝備與技術服務企業之一,2011 年,GE提出了“工業網際網路”的概念。為了安全連線裝置並分析處理機器海量的資料集,2013 年GE開發了Predix 軟體平臺,負責將各種工業資產裝置相互連線並接入雲端,並提供資產效能管理(APM)和運營優化服務。GE的APM系統是為了提升GE的資產管理績效而研發並已在內部應用多年,是一整套綜合了雲端計算和物聯網技術的解決方案。2015 年8 月5 日,GE釋出並向所有企業開放了專為工業資料分析而開發的雲服務—Predix 雲,通過接入裝置資料把各種工業裝置相連,讓各類使用者在安全的環境中快速獲取、分析海量高速執行的工業資料,幫助各行各業的企業建立和開發自己的工業網際網路應用。
圖2 Predix平臺架構圖
Predix平臺架構分為三層, 邊緣連線層、基礎設施層和應用服務層 。其中,邊緣連線層主要負責收集資料並將資料傳輸到雲端;平臺層主要提供基於全球範圍的安全的雲基礎架構,滿足日常的工業工作負載和監督的需求;應用服務層主要負責提供工業微服務和各種服務互動的框架,主要提供建立、測試、執行工業網際網路程式的環境和微服務市場。
GE目前已基於Predix平臺開發部署計劃和物流、互聯產品、智慧環境、現場人力管理、工業分析、資產績效管理、運營優化等多類工業APP。
2.2 西門子——MindSphere雲平臺
西門子是全球電子電氣工程領域的領先企業,業務主要集中在工業、能源、基礎設施及城市、醫療4大領域。西門子於2016年推出MindSphere平臺。該平臺採用基於雲的開放物聯網架構,可以將感測器、控制器以及各種資訊系統收集的工業現場裝置資料,通過安全通道實時傳輸到雲端,並在雲端為企業提供大資料分析挖掘、工業APP開發以及智慧應用增值等服務。
圖3 MindSphere平臺架構圖
MindSphere平臺包括邊緣連線層、開發運營層,應用服務層三個層級。其中邊緣連線層負責將資料傳輸到雲平臺,開發運營層為使用者提供資料分析,應用開發環境及應用開發工具,應用服務層為使用者提供整合行業經驗和資料分析結果的工業智慧應用。 MindSphere平臺目前已在北美和歐洲的100多家企業開始試用,並在2017年漢諾威展上與埃森哲、Evosoft、SAP、微軟、亞馬遜和Bluvision等合作伙伴展示了多種微服務和工業APP。
2.3 亞馬遜——AWSloT雲平臺
亞馬遜(Amazon)公司旗下的AmazonWeb Services(AWS)釋出了AWSIoT 物聯網雲平臺,整合了多項AWS服務,旨在讓製造業客戶硬體裝置能夠方便地連線AWS服務,使互聯裝置可以輕鬆安全地與雲應用程式及其他裝置互動。AWSIoT 可支援數十億臺裝置和數萬億條訊息,還能對這些訊息進行處理並將其安全可靠地路由至AWS終端節點和其他裝置。
2.4 施耐德——EcoStruxure平臺
EcoStruxure 平臺包括三個層級。
第一層是互聯互通的產品。產品涵蓋斷路器、驅動器、不間斷源、繼電器和儀表及感測器等。 第二層是邊緣控制 。邊緣控制層可以進行任務操作、設計、指令以及監測,簡化管理的複雜性。 第三層是應用、分析和服務 。應用是將裝置通過驅動或自由協議與任何裝置、系統和控制器協作;分析是通過運營人員的經驗形成模型,用模型促進改善策略的形成,提升決策效率與精準度;服務是通過目視化的人機介面實現業務控制和管理。EcoStruxure 平臺支援現場和雲端部署,同時每一層級均內建網路安全技術。
EcoStruxure平臺目前已聯合9000個系統整合商,部署超過45000個系統。平臺主要面向樓宇、資訊科技、工廠、配電、電網和機器六大方向。
圖4 EcoStruxure 平臺架構圖
2.5 三一樹根互聯——根雲平臺
樹根互聯技術有限公司由三一重工物聯網團隊創業組建,是獨立開放的工業網際網路平臺企業。2017年初,樹根互聯釋出了根雲RootCloud平臺。根雲平臺主要基於三一重工在裝備製造及遠端運維領域的經驗,由OT層向IT層延伸構建平臺,重點面向裝置健康管理,提供端到端工業網際網路解決方案和服務。
圖5 根雲平臺架構
根雲平臺主要具備三方面功能。 一是智慧物聯,通過感測器、控制器等感知裝置和物聯網路,採集、編譯各類裝置資料。 二是大資料和雲端計算,面向海量裝置資料,提供資料清洗、資料治理、隱私安全管理等服務以及穩定可靠的雲端計算能力,並依託工業經驗知識譜構建工業大資料工作臺。三是SaaS應用和解決方案。 為企業提供端到端的解決方案和即插即用的SaaS應用,併為應用開發者提供開發元件,方便其快速構建工業網際網路應用。
目前,根雲平臺能夠為企業提供 資產管理、智慧服務、預測性維護 等工業應用服務。
2.6 航天科工——雲網INDICS平臺
INDICS平臺在IaaS層自建資料中心,在DaaS層提供豐富的大資料儲存和分析產品與服務,在PaaS層提供工業服務引擎、面向軟體定義製造的流程引擎、大資料分析引擎、模擬引擎和人工智慧引擎等工業PaaS服務,以及面向開發者的公共服務元件庫和200多種API介面,支援各類工業應用快速開發與迭代。
INDICS提供Smart IOT產品和INDICS-OpenAPI軟體介面,支援工業裝置/產品和工業服務的接入,實現“雲端計算+邊緣計算”混合資料計算模式。平臺對外開放自研軟體與眾研應用APP共計500餘種,涵蓋了智慧研發、精益製造、智慧服務、智慧企業、生態應用等全產業鏈、產品全生命週期的工業應用能力。
圖6 雲網INDICS平臺架構
2.7 海爾——雲網COSMOPlat平臺
海爾集團基於家電製造業的多年實踐經驗,推出工業網際網路平臺COSMOPlat,形成以使用者為中心的大規模定製化生產模式,實現需求實時響應、全程實時可視和資源無縫對接。 COSMOPlat 平臺共分四層: 第一層是資源層,開放聚合全球資源,實現各類資源的分散式排程,實現協同製造的最優匹配。第二層是平臺層,支援工業應用的快速開發、部署、執行、整合,支撐實現工業技術的軟體化;第三層是應用層,將個性化定製過程軟體化、雲端化,形成全流程的應用解決方案,為企業提供具體的互聯工廠等應用服務;第四層是模式層,依託互聯工廠應用服務實現模式創新和資源共享。
圖7 海爾CosmoPlat平臺架構
2.8 浪潮——浪潮工業網際網路平臺
浪潮集團是以伺服器、軟體為核心產品的解決方案服務商。2017年正式推出浪潮M81平臺。浪潮M81平臺架構分為四層,包括 資料採集層、雲支撐平臺層、大資料處理與應用開發平臺層、應用服務層 。
圖8 浪潮工業網際網路平臺架構
浪潮M81平臺具有云端和本地部署多個模式,並推出一系列基於物聯網資料的應用,包括製造工藝與產品質量優化分析、裝置監測與預測性維護、全程品質控制與預警、企業經營風險管控和預測、個性化精準服務與營銷預測、供應鏈與供應商優化、使用者行為分析與微服務推送等。 目前浪潮已為山能集團、中國儲備糧、蒙能集團等幾十家客戶提供了包含智慧裝置接入、裝置監測、資產管理、質量工藝改進、工業企業執行資料監測等服務內容的工業網際網路解決方案,幫助企業打造智慧化管理。
2.9 阿里——阿里雲ET工業大腦平臺
阿里雲ET工業大腦平臺依託阿里雲大資料平臺,建立產品全生命週期資料治理體系,通過大資料技術、人工智慧技術與工業領域知識的結合實現工業資料建模分析,有效改善生產良率、優化工藝引數、提高裝置利用率、減少生產能耗,提升裝置預測性維護能力。
圖9 阿里雲ET工業大腦架構圖
阿里雲ET工業大腦平臺包含 資料艙、應用艙和指揮艙 3大模組,分別實現資料知識圖譜的構建、業務智慧演算法平臺的構建以及生產視覺化平臺的構建。目前,阿里雲工業大腦平臺已在光伏、橡膠、液晶屏、晶片、能源、化工等多個工業垂直領域得到應用。
2.10 寶信——寶信工業網際網路平臺
寶信公司是寶鋼股份控股的上市軟體企業,產品與服務業績遍及冶金、石化、電力、醫療衛生、資訊化等多個領域。寶信公司探索將數字技術與其在冶金、石化、電力等領域的專業優勢結合,於2017年正式釋出寶信工業網際網路平臺,實現企業內部資訊流、資金流和物流的整合和融合。
圖10 寶信工業網際網路平臺架構圖
寶信工業網際網路平臺主要分成三級架構, 第一級是面向工業現場的邊緣計算。第二級是部署在雲端的大資料平臺。第三級是面向企業各種業務的應用系統。 寶信工業網際網路平臺可根據鋼鐵製造資料特徵和業務要求,實現資料儲存、傳輸和獲取的標準化。目前,寶鋼集團已經基於寶信工業網際網路平臺,通過現場裝置資料的採集和協議轉換,實現了企業OT層與IT層的打通,使資料得以在整個製造系統和IT系統之間高效流通。
2.11 中國移動——OneNET平臺
中國移動於2014年釋出了OneNET平臺。探索將在其數字技術和通訊技術領域的優勢與工業場景相結合,拓展工業網際網路業務。
圖11 OneNET平臺架構示意圖
OneNET平臺包含接入層、處理層、儲存層和表現層四大部分。其中接入層負責裝置接入,支援MQTT、CoAP、Http、EDP等主流協議,實現海量裝置接入;處理層負責進行資料處理及資料探勘分析,可以為使用者提供訊息控制、事件智慧推送、大資料分析等服務;儲存層利用可擴充套件的分部署儲存技術,保證資料的可靠儲存;表現層對外提供平臺API及門戶,為使用者提供平臺能力開放及應用快速生成服務。
OneNET平臺目前已經孵化應用超過2萬,聚集開發者超過4.4萬,裝置接入連線數超過2100萬,服務於環境監測、智慧家居、智慧穿戴、智慧農業、節能減排、車聯網、物流追蹤、智慧樓宇、智慧製造等多個行業。
2.12 和利時——HiaCloud平臺
和利時主要從事自主PLC、DCS、SCADA產品的研發、製造和服務,業務聚焦工業、軌道交通和醫療三大領域。和利時於2017年釋出面向企業生產製造和運營服務的HiaCloud平臺,實現全面的資料彙集、生產運營管理和APP創新服務。
HiaCloud 平臺由工業現場層、工業 PaaS平臺層和工業 SaaS智慧應用層構成。工業現場層提供邊緣計算服務,實現企業現場各類資料的彙集與本地應用。工業 PaaS 平臺層自下而上包括雲基礎環境子層、資料服務子層和應用服務子層,建立工業物件模型的虛擬執行空間,並提供API介面和一系列快捷開發工具。工業 SaaS 智慧應用層是基於工業PaaS層開發的各類工業APP服務,主要包括資產管理服務和運營優化服務。HiaCloud 平臺支援公有云、私有云及混合雲部署。此外,和利時還構建了工廠級綜合資料整合與應用開發平臺HiaCube,用於過程工業、離散工業、軌道交通、市政設施、能源礦山和工業園區的本地化智慧生產與智慧運營。
2.13 富士康——BEACON平臺
富士康科技集團是專業從事生產消費性電子產品、網路通訊產品、計算機周邊產品的高新科技企業。富士康集團於2017年開發了工業網際網路平臺BEACON。探索將數字技術與其3C裝置、零件、通路等領域的專業優勢結合,向行業領先的工業網際網路公司轉型。
圖12 BEACON平臺架構圖
BEACON平臺通過工業網際網路、大資料、雲端計算等軟體及工業機器人、感測器、交換機等硬體的相互整合,從而建立了端到端的可控可管的智慧雲平臺。將裝置資料、生產資料、產業專業理論進行整合、處理、分析,形成開放、共享的工業級APP。
目前,富士康藉助BEACON平臺實現生產過程全記錄、無線智慧定位、SMT資料整體呈現(產能/良率/物料損耗等)、資料智慧實現集中管理資料、基於大資料的智慧能源管控和自適應測試平臺。 平臺應用案例:基於BEACON平臺的能耗優化。
2.14 中國電信——CPS平臺
中國電信集團公司近年來積極向工業領域拓展。中國電信CPS平臺以生產線資料採集與裝置介面層為基礎,以建模、儲存、模擬、分析的大資料雲端計算為引擎,實現各層級、各環節資料互聯互通,打通從生產到企業運營的全流程。
圖 13 中國電信CPS平臺架構圖
平臺架構包括通訊層、應用開發平臺層和應用展現層。在通訊層,通過使用工業PON或移動通訊方式,將採集到的資料傳輸到雲平臺。在應用開發層,基於資料整合與大資料儲存,通過先進的業務計算模型和科學分析方法,優化業務邏輯,生成平臺應用功能。同時提供拖拽式開發介面,實現應用快速構建。在應用展現層,支援PC、手機、大屏、看板等不同介面展現,並通過介面與企業其他業務系統進行互動。平臺應用案例:中建鋼構基於CPS平臺的個性化定製與協同製造。
2.15 華為——OceanConnect IoT平臺
華為推出的OceanConnect IoT平臺在技術架構上分為垂直和水平兩個方向。在垂直方向,又分為三層架構,分別為連線管理層、裝置管理層和應用使能層。其中,連線管理層主要提供SIM卡生命週期管理、計費、統計和企業Portal等功能,裝置管理層主要提供裝置連線、裝置資料採集與儲存、裝置維護等功能。應用使能層主要提供開放API能力,同時具備資料分析、規則引擎、業務編排等能力。在水平方向,通過與平臺連線的分散式IoT agent對接行業智慧裝置閘道器,並提供邊緣計算能力,實現與雲端計算的協同。
目前,OceanConnect IoT平臺主要服務行業包括公共事業、車聯網、油氣能源、生產與裝置管理、智慧家庭等領域,構築多個成熟解決方案並完成商用,並有約40個運營商POC專案及若干個企業POC專案等,提供170餘個開放API,聚合超過500合作伙伴。
平臺應用案例:車聯網推動車廠向服務提供商轉型,通過應用華為 OceanConnect IoT平臺,一汽實現了對千萬級車輛的有效管理,併發處理百萬車輛的資訊。
3、工業網際網路雲平臺安全威脅
工業雲的應用推廣能夠為“網際網路+”、“中國製造2025”等國家戰略的成功實施提供技術支援,但是新技術的引入好比是一把雙刃劍,在有效提高生產效率的同時,也帶來以下新型的安全威脅:
資料洩露、篡改、丟失。工業雲中儲存的資料具有較高的敏感性,涉及工業企業智慧財產權和商業機密,是其核心資產的重要組成部分,有些資料資料甚至關係到國家安全,因此對資料的竊取或者破壞將造成嚴重經濟損失、社會影響甚至國家安全等問題。
許可權控制出現異常。單一或鬆散的身份驗證、弱口令、不安全的金鑰或證書管理都可能導致訪問許可權出現異常,一旦惡意使用者掌握了其不該擁有的許可權後,對雲端計算平臺所造成的安全影響是致命的,攻擊者就可以偽裝成合法使用者讀取、更改或者刪除使用者資料,進而影響工業企業的正常執行。
API 安全。工業雲在提供其服務時會提供一些使用者API 介面。IT 人員利用他們對雲服務進行配置、管理、協調和監控,也在這些介面的基礎上進行開發,並提供附加服務。而API是工業雲系統中最暴露的部分,更容易成為攻擊目標。
系統漏洞利用。工業雲服務提供的基礎資源屬於共享設施,所以其共有的系統安全漏洞可能會存在於所有使用者的雲資源當中。這給攻擊者提供了便利的攻擊途徑,並節省了大量的研究成本,一個業務被攻陷後,同一個雲中的其它業務很可能會被同一種攻擊型別攻擊成功。
賬戶劫持。攻擊者通過釣魚攻擊和利用軟體漏洞可以對使用者的賬戶登入會話進行劫持,在不知道目標賬戶和口令的前提下,可以仿冒合法使用者的登入會話,從而隱蔽的獲取訪問權。如果攻擊者獲取了遠端管理雲端計算平臺資源的帳戶登入資訊,就可以對業務執行資料進行竊取與破壞。
惡意內部人員。人們在部署各式安全防護裝置的同時,往往會忽略來自內部人員的惡意危害,這些人其破壞面廣、力度大,可輻射其整個雲環境。
APT 攻擊。高階持續性威脅(APT:Advanced Persistent Threat)通常隱蔽性很強,很難捕獲。而一旦APT 滲透進雲平臺,建立起橋頭堡,然後在相當長一段時間內,源源不斷地、悄悄地偷走大量資料,形同寄生蟲,危害極大。APT 攻擊已經逐漸成為當前威脅國家安全的重要問題,由於工業雲平臺涉及到更多國家安全層面的問題,因此工業雲可能會遭受到很多的APT 攻擊。
拒絕服務攻擊。一直以來,分散式拒絕服務(DDoS)一直都是網際網路環境下的一大威脅。在工業雲中,許多使用者會需要一項或多項服務保持7×24 小時的可用性,業務中斷將造成嚴重的經濟損失甚至是危及人員生命財產安全的嚴重事故,因此應該引起額外的重視。
共享技術漏洞。雲端計算中採用了大量的虛擬化技術和共享技術,而這些技術本身可能存在安全漏洞。因為其處於底層,共享技術的漏洞將對雲端計算構成了嚴重威脅。如果一個服務元件被破壞洩露,如某個系統管理程式、一個共享的功能元件、或應用程式被攻擊,則極有可能使整個雲環境被攻擊和破壞。
裝置接入安全。工業雲平臺可能涉及到智慧裝置的接入,針對這些裝置的可能存在非法接入,非法控制,連線竊聽等問題,一旦這些智慧裝置被攻擊後,如果工業雲平臺對智慧裝置的安全接入考慮不周全時,攻擊者可以利用智慧裝置作為跳板對工業雲系統進行攻擊。
安全中心工業控制系統網路安全應急技術工信部重點實驗室通過工業網際網路流量監測、模擬驗證等技術手段對若干家國內外主流工業雲平臺的安全性進行了分析調研,發現現有工業雲平臺產品在裝置層、網路層、平臺層存在諸多安全隱患,有被網路攻擊甚至非法控制的風險。因此,國家亟需從政策、標準、技術等各個層面加強對工業網際網路雲平臺的網路安全保障措施。
參考文獻
【1】工業網際網路平臺白皮書 http://www.miit.gov.cn/
【2】工業網際網路安全框架 http://www.miit.gov.cn/
【3】工業雲安全威脅及相關安全標準的研究 《電信網技術》2017年10月第10期
【4】我國工業雲發展問題及對策研究 《經濟縱橫》2015年第7期
附件1: 現有工業網際網路雲平臺比較
| 序號 |
雲平臺名稱 |
廠家 |
簡介 |
雲基礎設施(IaaS) |
發展情況 |
| 1 |
MindSphere |
西門子 |
採用基於雲的開放物聯網架構,可以將感測器、控制器以及各種資訊系統收集的工業現場裝置資料,通過安全通道實時傳輸到雲端,並在雲端為企業提供大資料分析挖掘、工業APP開發以及智慧應用增值等服務。 |
可以部署在Amazon Web Services、 Microsoft Azure、SAP Cloud等第三方服務提供商維護的公有云上;也可以部署在專為某個企業構建的私有云上。 |
已在北美和歐洲的100多家企業開始試用。 |
| 2 |
Preidix |
GE |
探索將數字技術與航空、能源、醫療和交通等領域的專業優勢結合,向全球領先的工業網際網路公司轉型。Predix平臺的主要功能是將各類資料按照統一的標準進行規範化梳理,並提供隨時調取和分析的能力。 |
可部署在Amazon Web Services、 Microsoft Azure等第三方公有云上,中國區部署於中國電信雲平臺。 |
於2013年推出,目前已基於Predix平臺開發部署計劃和物流、互聯產品、智慧環境、現場人力管理、工業分析、資產績效管理、運營優化等多類工業APP。 |
| 3 |
Ability |
ABB |
ABB於2017年推出Ability,由Ability Edge和Ability Cloud構成。ABB Ability Edge主要用於資料的採集,通過Ability Edge內建的資料模型進行預處理,並傳輸至雲端。Ability Cloud通過對資料進行整合管理和大資料分析,形成智慧化決策與服務應用。 |
部署於Microsoft Azure雲 |
主要應用於採礦、石化、電力、食品、水務、海運等領域。未來,ABB計劃依託其超過7000萬個連線裝置和7萬個控制系統的存量裝置,不斷拓展Ability平臺應用。 |
| 4 |
EcoStruxure |
施耐德 |
於2016年釋出,包括三個層級,第一層是互聯互通的產品。產品涵蓋斷路器、驅動器、不間斷電源、繼電器和儀表及感測器等。第二層是邊緣控制。邊緣控制層可以進行監測及任務操作,簡化管理的複雜性。第三層是應用、分析和服務。 |
中國區部署在阿里雲平臺 |
EcoStruxure平臺目前已聯合9000個系統整合商,部署超過45000個系統。平臺主要面向樓宇、資訊科技、工廠、配電、電網和機器六大方向。 |
| 5 |
INDICS |
航天科工 |
總體架構包括平臺接入層、雲平臺層和工業應用APP 層。平臺接入層提供軟體接入介面和智慧閘道器接入產品,支援各類工業裝置和工業產品的接入。雲平臺層提供雲資源基礎設施管理、大資料管理和應用支撐公共服務等雲服務功能。工業應用APP 層提供製造全產業鏈的工業應用服務功能。 |
在IaaS層自建資料中心 |
平臺對外開放自研軟體與眾研應用APP共計500餘種,涵蓋了智慧研發、精益製造、智慧服務、智慧企業、生態應用等全產業鏈、產品全生命週期的工業應用能力。 |
| 6 |
根雲 |
三一樹根互聯 |
樹根互聯技術有限公司由三一重工物聯網團隊創業組建。2017年初,樹根互聯釋出了根雲RootCloud平臺,主要基於三一重工在裝備製造及遠端運維領域的經驗,由OT層向IT層延伸構建平臺,重點面向裝置健康管理,提供端到端工業網際網路解決方案和服務。 |
部署在騰訊公有云平臺上。 |
根雲平臺能夠為企業提供資產管理、智慧服務、預測性維護等工業應用服務,目前已有數十家工業企業的數萬臺裝置接入該雲平臺中。 |
| 7 |
雲網COSMOPlat |
海爾 |
建設以使用者為中心的大規模定製化生產模式,實現需求實時響應、全程實時可視和資源無縫對接。平臺共分四層:第一層是資源層,開放聚合全球資源,實現各類資源的分散式排程,實現協同製造的最優匹配。第二層是平臺層,支援工業應用的快速開發、部署、執行、整合;第三層是應用層,將個性化定製過程軟體化、雲端化,為企業提供具體的互聯工廠等應用服務;第四層是模式層,依託互聯工廠應用服務實現模式創新和資源共享。 |
在IaaS層自建資料中心 |
目前主要用於海爾以使用者為中心的大規模智慧製造、定製化生產應用。 |
| 8 |
OceanConnect IoT平臺 |
華為 |
平臺在技術架構上分為垂直和水平兩個方向。在垂直方向,又分為三層架構,分別為連線管理層、裝置管理層和應用使能層。其中,連線管理層主要提供SIM卡生命週期管理、計費、統計和企業Portal等功能,裝置管理層主要提供裝置連線、裝置資料採集與儲存、裝置維護等功能。應用使能層主要提供開放API能力,同時具備資料分析、規則引擎、業務編排等能力。在水平方向,通過與平臺連線的分散式IoT agent對接行業智慧裝置閘道器,並提供邊緣計算能力,實現與雲端計算的協同。 |
在IaaS層自建資料中心 |
主要服務行業包括公共事業、車聯網、油氣能源、生產與裝置管理、智慧家庭等領域,構築多個成熟解決方案並完成商用,並有約40個運營商POC專案及若干個企業POC專案等,提供170餘個開放API,聚合超過500合作伙伴。 |
| 9 |
CPS平臺 |
中國電信 |
平臺架構包括通訊層、應用開發平臺層和應用展現層。在通訊層,通過使用工業PON或移動通訊方式,將採集到的資料傳輸到雲平臺。在應用開發層,基於資料整合與大資料儲存,通過先進的業務計算模型和科學分析方法,優化業務邏輯,生成平臺應用功能。同時提供拖拽式開發介面,實現應用快速構建。在應用展現層,支援PC、手機、大屏、看板等不同介面展現,並通過介面與企業其他業務系統進行互動。 |
在IaaS層自建資料中心 |
平臺已應用於中國最大鋼結構企業中建鋼構基於CPS平臺的個性化定製與協同製造。 |
| 10 |
HiaCloud平臺 |
和利時 |
於2017年釋出面向企業生產製造和運營服務的HiaCloud平臺,實現全面的資料彙集、生產運營管理和APP創新服務。平臺由工業現場層、工業 PaaS平臺層和工業 SaaS智慧應用層構成。 |
平臺支援公有云、私有云及混合雲部署。 |
主要服務於智慧製造、軌道交通、市政設施、能源礦山和醫療等行業。 |
| 11 |
BEACON平臺 |
富士康 |
於2017年開發,探索將數字技術與其3C裝置、零件、通路等領域的專業優勢結合,通過工業網際網路、大資料、雲端計算等軟體及工業機器人、感測器、交換機等硬體的相互整合,從而建立端到端的可控可管的智慧雲平臺。將裝置資料、生產資料、產業專業理論進行整合、處理、分析,形成開放、共享的工業級APP。 |
富士康藉助BEACON平臺實現生產過程全記錄、無線智慧定位、SMT資料整體呈現(產能/良率/物料損耗等)、資料智慧實現集中管理資料、基於大資料的智慧能源管控和自適應測試平臺。 |
|
| 12 |
浪潮M18 |
浪潮 |
2017年正式推出浪潮M81平臺,架構分為四層,包括資料採集層、雲支撐平臺層、大資料處理與應用開發平臺層、應用服務層。具有云端和本地部署多個模式,並推出一系列基於物聯網資料的應用。 |
在IaaS層自建資料中心 |
已為山能集團、中國儲備糧、蒙能集團等幾十家客戶提供了包含智慧裝置接入、裝置監測、資產管理、質量工藝改進、工業企業執行資料監測等服務內容的工業網際網路解決方案,幫助企業打造智慧化管理。 |
| 13 |
阿里雲ET工業大腦 |
阿里 |
依託阿里雲大資料平臺,建立產品全生命週期資料治理體系,通過大資料技術、人工智慧技術與工業領域知識的結合實現工業資料建模分析,有效改善生產良率、優化工藝引數、提高裝置利用率、減少生產能耗,提升裝置預測性維護能力。阿里雲ET工業大腦平臺包含資料艙、應用艙和指揮艙3大模組,分別實現資料知識圖譜的構建、業務智慧演算法平臺的構建以及生產視覺化平臺的構建。 |
阿里雲平臺 |
已在光伏、橡膠、液晶屏、晶片、能源、化工等多個工業垂直領域得到應用。 |
| 14 |
OneNET平臺 |
中國移動 |
於2014年釋出,探索將在其數字技術和通訊技術領域的優勢與工業場景相結合,拓展工業網際網路業務。 |
中移動雲平臺 |
OneNET平臺目前已經孵化應用超過2萬,聚集開發者超過4.4萬,裝置接入連線數超過2100萬,服務於環境監測、智慧家居、智慧穿戴、智慧農業、節能減排、車聯網、物流追蹤、智慧樓宇、智慧製造等多個行業。 |
| 15 |
寶信工業網際網路平臺 |
上海寶鋼 |
於2017年釋出,探索將數字技術與寶鋼在冶金、石化、電力等領域的專業優勢結合,實現企業內部資訊流、資金流和物流的整合和融合。 |
應用於寶鋼內部產業升級,資訊流、資金流和物流的整合和融合。 |
宣告:本文來自工業網際網路安全應急響應中心,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。