MES系統(tǒng)下工業(yè)大數據安全機制的研究

1、    mes系統(tǒng)下工業(yè)大數據安全機制的研究    陳志濤+楊小東+朱義勇摘要： 關鍵詞： ： 文獻標志碼： a： 2095-2163（2017）06-0164-03abstract： the big data is the various data generated in the industrial field，commonly including crossover data，information data and data of internet of things， and has become the core power of the

2、new industrial revolution.a typical feature of the new industrial revolution is digitalization， informatization and intelligence，and information technology has been highly integrated with manufacturing and production industry，therefore realizes the reform of the industry. china's environmental p

3、ressure continues to increase， when it is required for the transformation and development of domestic manufacturing industry to achieve value retention and new value manufacturing， the key elements must be industrial data as the strategic core assets.0引言最近10年的時間，制造執(zhí)行系統(tǒng)（mes）不斷形成和完善并得到了飛速發(fā)展。mes是處于企業(yè)上層

4、和底層的生產計劃及工業(yè)控制中間的，直接對應車間層實時信息系統(tǒng)和制作管理技術。mes特別重視生產計劃的執(zhí)行與演變，其在管理層和底層控制之間起到了很好的連接作用，彌補了兩者之間的差距。伴隨著計算機網絡技術和信息化進程的逐漸優(yōu)化改進，尤其是信息化以及工業(yè)化之間的有機融合，同時物聯(lián)網技術的日趨成熟及廣泛應用，對mes系統(tǒng)的應用預計控制提出更加嚴格的要求。而且集團式應用的出現，則使得分布在各個地區(qū)的mes需要使用響應度方法同互聯(lián)網進行連接并且實現信息的共享，在此過程當中實現企業(yè)管理人員的隨時移動辦公，在mes系統(tǒng)這個大的背景下的工業(yè)大數據的安全問題不斷呈現出來1。1工業(yè)大數據簡介通常情況下，企業(yè)價值比較

5、高的核心業(yè)務相關數據，都使用專門的信息系統(tǒng)來定制存儲。在上世紀六十年代之后，信息技術不斷用于工業(yè)領域，逐步形成了客戶關系管理（crm）、產品生命周期管理（plm）、供應鏈管理（scm）和企業(yè)資源規(guī)劃（erp）等企業(yè)級的信息系統(tǒng)。這些系統(tǒng)中積累的各種數據是工業(yè)方面?zhèn)鹘y(tǒng)的數據資產，存在于企業(yè)的內部，主要包括：客戶服務數據、供應鏈數據、生產制造數據以及產品研發(fā)數據。工業(yè)大數據的特征可基本描述如下：1）強關聯(lián)。一方面是指可能會涉及到不同學科和專業(yè)的數據，在其產品生命周期的統(tǒng)一階段。另一方面指的是產品生命周期當中的各個階段生成的數據需要建立銜接聯(lián)系，也就是將保障階段的數據和設計制造階段進行傳達，同時，將

6、設計階段的數據單向發(fā)送給保障階段。2）高通量。是指工業(yè)傳感器需要短時間寫入超大規(guī)模的數據。工業(yè)互聯(lián)網時代的研究標志是鑲入式傳感器的智能互聯(lián)產品，同時也是將來工業(yè)發(fā)展的導向，所以說，工業(yè)大數據的主體重點集中在機器數據上。例如風機裝備，數據采樣頻率為50 hz時，每臺機器平均125個測點，風機則處于故障的狀態(tài)，某公司總共擁有超過一萬臺的風機，瞬時數據的峰值超過一億數據點/s2。2mes系統(tǒng)信息安全需求分析通過建立健全自動化的生產基礎，企業(yè)就能夠完善生產管理網絡，在此過程當中的一個關鍵步驟，主要是mes系統(tǒng)對企業(yè)辦公網絡和業(yè)務管理鏈接。但是，一旦成功連接企業(yè)內部的生產網絡以及外部的互聯(lián)網，就會面臨來

7、自外部網絡的病毒入侵或者是黑客攻擊等方面的威脅。如果這些威脅侵入到工業(yè)控制系統(tǒng)當中，一方面會竊取系統(tǒng)當中的安全信息，另一方面還可能影響系統(tǒng)的穩(wěn)定運行，嚴重情況下甚至會導致系統(tǒng)崩潰。所以說，企業(yè)信息化發(fā)展中需充分注意的問題是保持mes系統(tǒng)的安全運行，需引入一定的風險評估并采取積極防范方法。研究可知，作為連接企業(yè)bps和pcs之間的紐帶，mes系統(tǒng)信息的安全問題逐漸凸顯。mes系統(tǒng)的安全性是步驟繁瑣的技術工程，并致力于解決各種安全隱患和不安全因素3，從而獲得計算機各方面的性能高效與穩(wěn)定。mes系統(tǒng)的信息安全包括如下設計內容：1）防止信息的危險泄露，即確保信息在傳輸過程當中免于竊取。2）要確保系統(tǒng)持

8、續(xù)穩(wěn)定運作過程當中的安全性，并使其問題縮減到最小。3）保證信息在有需求的時間、地點和方式下可以正常使用，并且要保證信息的完整、一致及正確性。具體而言，mes系統(tǒng)的信息安全可細分為如下功能安全需求：1）可追溯性要求。是指能夠隨時對系統(tǒng)的狀態(tài)以及用戶的各種行為進行查詢，并且能夠深入到執(zhí)行步驟的細節(jié)內容，不論合法用戶的各項操作或者是非法用戶的入侵行為，各種活動都要保留路徑記錄，并且要滿足其查詢和追溯性。若要確保mes系統(tǒng)的總體安全，就需要采用多方位的防護，整體上包含從基本技術到管理、從硬件到網絡等各個方面，但其應用層是安全保護的弱點，本文再次設計mes系統(tǒng)的安全架構，從而改進系統(tǒng)的安全性能。2）完整

9、性需求?？梢源_保數據的準確性、功能性，以及其正確運行和資料的完整性，從而維護程序、資料免遭非法的破壞和改變。endprint3）保密性需求。系統(tǒng)要求可以有效避免內部信息的泄露，避免在網絡數據傳輸過程中發(fā)生泄露問題。4）故障恢復需求。在系統(tǒng)發(fā)生硬件或者軟件問題時，能夠在短時間內恢復正常并且繼續(xù)投入服務。5）有效性需求。需要系統(tǒng)持續(xù)有效地提供系統(tǒng)資源，包括系統(tǒng)業(yè)務數據和功能，從而使合法用戶隨時可以利用系統(tǒng)以及資源來推進展開業(yè)務。除此之外，系統(tǒng)還需要有效判斷并且合理抵制非法用戶的侵入以及破壞行為4。3mes系統(tǒng)下工業(yè)大數據安全機制的設計3.1身份驗證與控制為保證信息安全以及數據的完整，應當采取合法取

10、證以及非法訪問原則，也就是說假設所有非法用戶訪問的請求是從客戶端進行接收，這就要求首先驗證訪問用戶的身份。除此之外，對于用戶請求的相關活動，即數據的各種操作，全部展開合法的取證，僅僅保留驗證通過的相關請求，對這些請求調用智能變換處理，只有這樣才能夠保證數據安全。本架構防護以及驗證的過程當中統(tǒng)共包括4個不同的層次，分別是：登錄驗證層次、操作驗證層次、訪問驗證層次以及數據驗證層次5。3.2訪問控制策略首先是基于角色的控制。mes系統(tǒng)在整理業(yè)務流程以及業(yè)務功能的前提下，依據多方利益的分析，可以抽象系統(tǒng)當中的不同角色，每個角色借助于相應的系統(tǒng)功能處理富含針對性的各項業(yè)務，需要承擔系統(tǒng)功能，構建訪問控制

11、的列表，總地來說，包括允許訪問的功能以及菜單。為了保證系統(tǒng)訪問正常，需要禁止某些類型的操作。因此，其設定目的是禁用控制表，例如禁用菜單以及操作列表等。其次是菜單矩陣還有功能矩陣。工業(yè)企業(yè)當中，mes系統(tǒng)需要為業(yè)務流程提供配套的操作能力。為了滿足系統(tǒng)伸縮性這一領域的要求，就要求生成多級、動態(tài)的菜單包含的業(yè)務功能或子程序的控制輸出系統(tǒng)，最終即可研發(fā)得到操作界面。操作界面的組合需要針對各種業(yè)務，從而規(guī)范、并優(yōu)化建立了菜單矩陣以及功能矩陣。再次，是管理用戶權限。這就要求實現訪問控制，將角色賦予用戶6。用戶則擁有不同級別的訪問權限。在企業(yè)mes的流程應用過程當中，企業(yè)用戶都配有一個帳戶進行訪問，這也是用

12、戶的標識。為了保證帳戶可靠與有效，用戶帳戶均要由系統(tǒng)管理器協(xié)約管理，并設計具體的分配。除此之外，系統(tǒng)的不同用戶都需要劃定工作職責。對mes系統(tǒng)而言，用戶可能擁有一個或者是多個不同的系統(tǒng)角色，權限控制借助于角色訪問來實現。應當本著權限最小的原則，合理安排角色授權，設置禁止訪問列表來約束訪問權限，科學建立一個邊界安全訪問的系統(tǒng)。3.3系統(tǒng)安全審計mes系統(tǒng)在設計的過程當中需要完善捕獲系統(tǒng)以及記錄系統(tǒng)，從而留存記錄各項關鍵動作，以及用戶操作連同發(fā)生的位置，同時，還記錄了不合法用戶的入侵的痕跡，留下可靠證據7。需要注意的是，用戶以及管理人員的各項操作是mes系統(tǒng)的重點監(jiān)視內容。企業(yè)的審計人員能夠隨時隨

13、地獲取指定部分記錄，并且執(zhí)行審計方案，一旦發(fā)現違反安全規(guī)定的相關活動，就需要調研推理實施后果，進而采取有針對性的安保措施。3.4安全運行管理大部分的mes系統(tǒng)是由管理員來進行管理。雖然管理比較簡單，不過安全風險也比較明顯。如果管理員帳戶遭到破壞，其它的安全措施將隨即失效。因此應當劃分系統(tǒng)的權限從而實現相互限制，避免權限過度集中。研究中，設計劃分的方法如下。首先需要設置用戶管理員，這一管理員負責安排用戶帳號并且撤銷用戶，同時分配用戶角色，也能夠重置用戶的密碼8。其次是安全管理員，這一管理員主要維護系統(tǒng)的功能以及菜單，掌握角色控制列表。用戶管理員以及安全管理員之間彼此獨立，而且互相監(jiān)督。當用戶權限

14、協(xié)調的情況下才可以進行分配，并且實現分級管理，根據工廠、車間等組織結構、或是根據不同的業(yè)務范圍，來劃分成具體的層次。管理員只可以在權限范圍當中確立操作模式。如此一來就形成了差異化管理和集中管理的技術模型。工業(yè)企業(yè)就能根據自身管理機制以及規(guī)模來引領并提升整體應用設計。3.5web安全策略應當根據mes系統(tǒng)常見的網絡入侵威脅，例如sql注入、cookie破壞以及緩沖區(qū)溢出等，來設置延拓于事前以至事后的防御機制。事前需要盡可能在短時間內判斷風險，同時采取相應的修復措施；事中需要主動防御進行實時監(jiān)測，早期發(fā)現，早期設防，使風險和損失降到最低。此框架為web層面的安全策略，能夠定期檢測web當中存在的漏

15、洞，監(jiān)控拒絕服務攻擊等，幫助企業(yè)打造安全監(jiān)控機制。在此基礎上，工業(yè)企業(yè)需要掌握mes系統(tǒng)的安全狀況，從而最大限度規(guī)避安全風險9。3.6會話安全策略http網絡傳輸協(xié)議屬于無狀態(tài)協(xié)議，這一協(xié)議無法維護兩個不同事務的連接，mes系統(tǒng)當中的程序涉及到用戶的交互操作，同時會對交互操作伴隨全面詳情記錄，所以需要維持會話狀態(tài)。系統(tǒng)的會話狀態(tài)要求記錄用戶信息在客戶端中，或記錄在服務器端，但還需要用戶請求以及服務器程序的對話傳輸id。這些信息都容易成為黑客攻擊的對象，一旦被盜將會發(fā)生會話冒用問題，進一步發(fā)展成為會話劫持，從而超出權限進行訪問并且刪除數據10。為了有效避免這類攻擊，一方面需要使用加密措施來強化用

16、戶以及id等環(huán)節(jié)；另一方面，開發(fā)監(jiān)控會話狀態(tài)以及異常警報的策略。相應地，會話鎖定是指提供會話鎖定以及解鎖的功能，同時可以支持建立交互會話。在會話不再活動的時候，鎖定會話，甚至是結束會話。如果用戶靜止的時間比較長，鎖定會話可研究給出如下方法：1） 刪除或涂抹在顯示設備上的，使之設置為不能閱讀的內容。2） 對全部用戶數據操作的活動實施解鎖。3） 識別解鎖前，需要核實用戶的身份。而異常報警是指在會話的過程當中監(jiān)視用戶操作相關行為，保護異常行為，并生成報警，例如刪除以及修改數據的操作，或者是同一用戶在不同位置請求會話等。endprint4結束語工業(yè)大數據可以說是實現制造業(yè)智能化的可靠途徑，是改進競爭力

17、以及生產率的核心因素。中國不僅是一個制造商，更是一個使用者，工業(yè)大數據的主體即是在裝備應用過程當中產生大量的數據，為智能制造的發(fā)展提供重要的戰(zhàn)略資源。在此過程當中，工業(yè)數據攸關國家安全以及主權，對于國民經濟和人民生活具有密切相關的基礎推動作用?？偠灾?，工業(yè)大數據是一個持續(xù)發(fā)展中的學科，在模型理論、內涵擴展、事實途徑以及具體的實施策略方面均存在廣闊的研發(fā)創(chuàng)新空間。這就要求研究付諸實踐的同時要緊密結合中國的國情，加大投資并且探索發(fā)展工業(yè)大數據的合理路徑，同時提升工業(yè)大數據的安全防護力度，從而順利實現制造強國的戰(zhàn)略發(fā)展目標。參考文獻：1 李超，胡光耀，史運濤，等. 基于pcs7與simatic i

18、t的mes數據采集方法研究j. 工業(yè)控制計算機，2016，29（7）：129-130，132.2 麥源振，谷剛，王志平. 基于stm32和ucos-ii的注塑車間mes數據采集與監(jiān)控系統(tǒng)設計j. 制造業(yè)自動化，2015，37（4）：151-154.3 尤桂學. 基于mes的數據歸檔j. 冶金自動化，2016，40（5）：71-73.4 周勇，蔡伯誠，肖玉萍，等. 基于mes維修數據的分析和應用j. 科研，2016，3（9）：23-24.5 徐迭石，劉勝輝，馬超，等. 大數據環(huán)境下mes作業(yè)計劃與調度能力云服務化研究j. 計算機工程與科學，2016，38（4）：624-633.6 盛步云，蘇佳奇，盧其兵，等. 面向mes的生產線數據采集系統(tǒng)的研究j. 計算機測量與控制，2