智能制造導(dǎo)論 課件 第9、10章 個性化定制、智能制造系統(tǒng)的基礎(chǔ)信息安全探討

第九章個性化定制個性化定制概述1個性化定制模式系統(tǒng)架構(gòu)2典型案例31、個性化定制概述1.1個性化定制場景Yooshu—沙灘鞋西門子—高爾夫球桿

定義：個性化定制是指基于新一代信息技術(shù)和柔性制造技術(shù)，以模塊化設(shè)計為基礎(chǔ)，以接近大批量生產(chǎn)的效率和成本提供能滿足客戶個性化需求的一種智能服務(wù)模式。1、個性化定制概述1.2個性化定制內(nèi)涵制造業(yè)發(fā)展流程

特征：區(qū)別于以往發(fā)展的制造模式，個性化定制模式最重要的特征是明確的以消費者為中心，并且由訂單驅(qū)動進行大規(guī)模小批量的生產(chǎn)，其將銷售過程前置。銷售前置的大規(guī)模個性化定制模式個性化定制概述1個性化定制模式系統(tǒng)架構(gòu)2典型案例32、個性化定制模式系統(tǒng)架構(gòu)2.1

個性化定制模式變遷傳統(tǒng)商業(yè)模式：線下交易為主體C2M(Customer-to-Manufacturer)商業(yè)模式網(wǎng)絡(luò)電子商務(wù)模式B2B(Business-to-Business)：一般不針對大眾消費品，產(chǎn)品也相對復(fù)雜，需要專業(yè)人士人工參與判斷商品的質(zhì)量好壞，通常在企業(yè)之間產(chǎn)生訂單。B2C(Business-to-Customer)：主要針對普通大眾消費市場，這種模式可以按組織層級簡述為“店鋪→商品頁→商品信息→購買按鈕”。C2C(Customer-to-Customer)：針對普通大眾，第三方提供交易平臺，個體戶作為賣方將產(chǎn)品銷售給買方，平臺從中提取傭金。……2、個性化定制模式系統(tǒng)架構(gòu)2.1個性化定制模式變遷什么是C2M商業(yè)模式？C2M，就是將制造商和消費者直接聯(lián)系，除去冗長的中間環(huán)節(jié)，砍掉流通加價環(huán)節(jié)，最大程度的去中間化，讓消費者以最低的價格買到高品質(zhì)、可個性化定制的產(chǎn)品，是一種新型的電子商務(wù)互聯(lián)網(wǎng)商業(yè)模式。2、個性化定制模式系統(tǒng)架構(gòu)2.2體系架構(gòu)個性化定制體系架構(gòu)是工業(yè)4.0技術(shù)中端到端數(shù)字集成的重要應(yīng)用過程。端到端數(shù)字集成主要是利用工業(yè)互聯(lián)網(wǎng)技術(shù)和大數(shù)據(jù)技術(shù)，在生產(chǎn)商和消費者之間建立信息交互渠道。這一架構(gòu)也是對市場商業(yè)模式向C2M轉(zhuǎn)變的一個反映。以數(shù)據(jù)為核心，將各層級相互串聯(lián)個性化定制體系架構(gòu)2、個性化定制模式系統(tǒng)架構(gòu)2.2

體系架構(gòu)

從客戶訂單到售后維護，以客戶為中心，客戶全程參與商品的生產(chǎn)過程，制造商根據(jù)客戶要求，可以隨時對未出廠的商品進行調(diào)整，對出廠后的產(chǎn)品，制造商提供全程在線的服務(wù)支持通用的個性化定制生產(chǎn)流程2、個性化定制模式系統(tǒng)架構(gòu)2.3

相關(guān)技術(shù)1.工業(yè)大數(shù)據(jù)技術(shù)工業(yè)大數(shù)據(jù)技術(shù)架構(gòu)共有五個部分，分別為數(shù)據(jù)采集層、數(shù)據(jù)存儲與集成層、數(shù)據(jù)建模層、數(shù)據(jù)處理層、數(shù)據(jù)交互應(yīng)用層。2、個性化定制模式系統(tǒng)架構(gòu)2.3

相關(guān)技術(shù)數(shù)據(jù)采集層RFID條碼掃描器生產(chǎn)和監(jiān)測設(shè)備數(shù)據(jù)清洗……制造領(lǐng)域多源、異構(gòu)數(shù)據(jù)信息采集工具傳感器數(shù)據(jù)交換數(shù)據(jù)歸約同構(gòu)化預(yù)處理互聯(lián)網(wǎng)或現(xiàn)場總線等準(zhǔn)確傳輸技術(shù)2、個性化定制模式系統(tǒng)架構(gòu)2.3

相關(guān)技術(shù)數(shù)據(jù)存儲與集成層存儲技術(shù)：主要采用大數(shù)據(jù)分布式云存儲的技術(shù)，將預(yù)處理后的數(shù)據(jù)有效存儲在性能和容量都能線性擴展的分布式數(shù)據(jù)庫中。元數(shù)據(jù)技術(shù)：實現(xiàn)對訂單元數(shù)據(jù)、產(chǎn)品元數(shù)據(jù)、供應(yīng)商能力等進行定義和規(guī)范。標(biāo)識技術(shù)：包括分配與注冊、編碼分發(fā)與測試管理、存儲與編碼規(guī)范、解析機制等。數(shù)據(jù)集成技術(shù)：主要指面向工業(yè)數(shù)據(jù)的集成，包括互聯(lián)網(wǎng)數(shù)據(jù)、工業(yè)軟件數(shù)據(jù)、設(shè)備裝備運行數(shù)據(jù)、加工控制數(shù)據(jù)與操作數(shù)據(jù)等數(shù)據(jù)建模層

包括對設(shè)備物聯(lián)數(shù)據(jù)、生產(chǎn)經(jīng)營過程數(shù)據(jù)、外部互聯(lián)網(wǎng)相關(guān)數(shù)據(jù)的建模方法和技術(shù)。對無法基于傳統(tǒng)建模方法建立生產(chǎn)優(yōu)化模型的相關(guān)工序建立特征模型，基于訂單、機器、工藝、計劃等生產(chǎn)歷史數(shù)據(jù)、實時數(shù)據(jù)及相關(guān)生產(chǎn)優(yōu)化仿真數(shù)據(jù)，采用聚類、分類、規(guī)則挖掘等數(shù)據(jù)挖掘方法及預(yù)測機制建立多類基于數(shù)據(jù)的工業(yè)過程優(yōu)化特征模型。

2、個性化定制模式系統(tǒng)架構(gòu)2.3

相關(guān)技術(shù)數(shù)據(jù)處理層數(shù)據(jù)交互應(yīng)用層在傳統(tǒng)數(shù)據(jù)挖掘的基礎(chǔ)上，結(jié)合新興的云計算、Hadoop、專家系統(tǒng)等對同構(gòu)數(shù)據(jù)執(zhí)行高效準(zhǔn)確地分析運算，包括大數(shù)據(jù)處理技術(shù)、通用處理算法和工業(yè)領(lǐng)域?qū)Ｓ盟惴ā?jīng)處理、分析運算后的數(shù)據(jù)，通過大數(shù)據(jù)可視化技術(shù)、3D工業(yè)場景可視化等技術(shù)，將數(shù)據(jù)分析結(jié)果以更為直觀簡潔的方式展示出來，以便消費者理解分析，提高決策效率。企業(yè)管理和生產(chǎn)管理等傳統(tǒng)工業(yè)軟件與大數(shù)據(jù)技術(shù)結(jié)合，通過對設(shè)備、消費者、市場等數(shù)據(jù)的分析，提升場景可視化能力，實現(xiàn)對消費者行為和市場需求的預(yù)測和判斷。結(jié)合智能決策技術(shù)，進而實現(xiàn)數(shù)據(jù)輔助生產(chǎn)制造決策的價值。2、個性化定制模式系統(tǒng)架構(gòu)2.3

相關(guān)技術(shù)2.信息集成與協(xié)同

信息集成與協(xié)同包括企業(yè)內(nèi)部和企業(yè)之間協(xié)同，在復(fù)雜多變的市場競爭環(huán)境中，尋找最優(yōu)制造資源；在保證制造品質(zhì)的前提下最大程度降低企業(yè)運營成本；通過協(xié)同為制造過程提供最優(yōu)化的解決方案。構(gòu)建精益生產(chǎn)運行管理平臺，構(gòu)成完整的產(chǎn)品生態(tài)體系閉環(huán)幫助工廠量身定制解決方案。通過集成供應(yīng)鏈管理、高級排程、制造執(zhí)行、倉庫管理、仿真模擬、大數(shù)據(jù)分析等系統(tǒng)，實現(xiàn)對整個生產(chǎn)周期的管理。整個生產(chǎn)周期包括生產(chǎn)、協(xié)同、設(shè)計、制造、物流及服務(wù)等多方面的信息。這些管理系統(tǒng)之間在產(chǎn)品生產(chǎn)中相互協(xié)同交互，為保障生產(chǎn)提供了必要的信息保證。信息集成示意圖2、個性化定制模式系統(tǒng)架構(gòu)2.3

相關(guān)技術(shù)3.智能工廠

智能工廠是實現(xiàn)個性化定制的基礎(chǔ)與前提，在組成上主要分為三大部分：產(chǎn)品工程、生產(chǎn)工程和集成自動化系統(tǒng)。企業(yè)層——實現(xiàn)基于產(chǎn)品全生命周期的管理，也包括企業(yè)管理職能，屬于產(chǎn)品工程部分管理層——實現(xiàn)生產(chǎn)過程管理，屬于生產(chǎn)工程部分集成層——包括操作層，控制層，現(xiàn)場層，屬于集成自動化系統(tǒng)部分智能工廠架構(gòu)2、個性化定制模式系統(tǒng)架構(gòu)2.3

相關(guān)技術(shù)4.智能物流與倉儲

智能物流及倉儲系統(tǒng)是由立體貨架、有軌巷道堆垛機、出入庫輸送系統(tǒng)、信息識別系統(tǒng)、自動控制系統(tǒng)、計算機監(jiān)控系統(tǒng)、計算機管理系統(tǒng)以及其他輔助設(shè)備組成的智能化系統(tǒng)。系統(tǒng)采用集成化物流理念設(shè)計，通過先進的控制、總線、通訊和信息技術(shù)應(yīng)用，協(xié)調(diào)各類設(shè)備動作實現(xiàn)自動出入庫作業(yè)。減輕勞動強度節(jié)約用地提高倉儲自動化水平及管理水平避免貨物損壞或遺失降低儲運損耗提高物流效率……個性化定制概述1個性化定制模式系統(tǒng)架構(gòu)2典型案例33、典型案例3.1某實驗室智能小車制造示范線

某實驗室的智能小車制造示范線是一條標(biāo)準(zhǔn)的研究型個性化定制生產(chǎn)線，在實驗室內(nèi)模擬了個性化定制全流程。該生產(chǎn)線是實驗室模擬生產(chǎn)線，消費者、制造商均由實驗室人員模擬擔(dān)當(dāng)，設(shè)計并搭建了訂單處理中心、PLM系統(tǒng)、MES和柔性生產(chǎn)線。個性化生產(chǎn)全流程示意圖消費者通過內(nèi)部局域網(wǎng)或者個人終端下單，選擇基礎(chǔ)模塊信息（例如智能小車整體架構(gòu)），向制造商提供消費者信息、自定義尺寸和自定義組件需求（例如傳感器類型、小車體積大小等信息），生成個性化定制訂單。處理中心協(xié)同PLM系統(tǒng)提供滿足需求的產(chǎn)品設(shè)計參數(shù)、工藝設(shè)計CAD模型等，裝配之前利用軟件進行裝配過程模擬，以檢驗整個裝配過程的合理性，并對部分參數(shù)進行優(yōu)化。個性化生產(chǎn)全流程3、典型案例3.1某實驗室智能小車制造示范線個性化生產(chǎn)全流程裝配前，制造信息被提供給AGV，從物料倉庫中選取符合制造信息的原料。利用CCD識別各原料特征，將檢測所得信息反饋至系統(tǒng)，比對實際庫內(nèi)原料與托盤RFID芯片上信息，若比對一致，則正常出庫，送至裝配中心。裝配過程：從原料庫獲得的已有部件和原料，首先利用已有部件，分別裝配小車下層、中間層和上層，實現(xiàn)客戶化定制。利用AGV將裝配好的三層輸送到總裝加工中心，先進行下層和中間層裝配，再進行總裝。總裝完成后，進行功能檢測。在最后一個加工單元，利用激光鐳射技術(shù)對金屬塊進行加工，制造個性化銘牌，并裝配在小車對應(yīng)位置，最終完成產(chǎn)品制造過程。AGV將合格的成品送至倉庫，同樣利用CCD技術(shù)識別成品，與托盤信息對比，防止混料，完成成品入庫。3、典型案例3.2紅領(lǐng)集團青島紅領(lǐng)集團依托大數(shù)據(jù)技術(shù)，在全球范圍內(nèi)第一個實現(xiàn)西裝的大規(guī)模個性化定制，從規(guī)?；慨a(chǎn)轉(zhuǎn)變?yōu)楦泳劢瓜M者的模式。紅領(lǐng)的個性化定制流程遵循C2M模式，其提供的定制化平臺采集消費者需求，獲取個性化信息數(shù)據(jù)，通過數(shù)據(jù)驅(qū)動整個生產(chǎn)制造流程，在智能工廠中完成產(chǎn)品的自動設(shè)計，個性化制造等環(huán)節(jié)，合格的個性化成品通過智能物流被最終交付到客戶手中。3、典型案例3.2紅領(lǐng)集團在線定制消費者在手機APP上自行定制服裝細節(jié)，既可以在此平臺上進行自主個性化設(shè)計(如領(lǐng)型、口袋、面料等)，又可以選擇時尚成衣版型添加個性化元素(如加個性刺繡、命名個人品牌等)，真正做到滿足不同類型消費者的個性化需求。定制APP界面一人一款這些個性化需求將統(tǒng)一傳輸?shù)胶笈_數(shù)據(jù)庫中，形成數(shù)字模型，由計算機完成打版，隨后分解成一道道獨立工序，通過控制面板及時下達給其智能車間內(nèi)流水線上的工人。3、典型案例3.2紅領(lǐng)集團

在線量體設(shè)計師采集消費者人體18個部位的22個尺寸數(shù)據(jù)，并采用3D激光量儀，實現(xiàn)人體數(shù)據(jù)在7秒內(nèi)自動采集完成，解決與生產(chǎn)系統(tǒng)自動智能化對接、轉(zhuǎn)化的難題。一人一版用戶體型數(shù)據(jù)的輸入，會驅(qū)動系統(tǒng)內(nèi)近10000個數(shù)據(jù)的同步變化，能夠滿足駝背、凸肚、墜臀等113種特殊體型特征的定制，覆蓋用戶個性化設(shè)計需求，實現(xiàn)一人一版。3、典型案例3.2紅領(lǐng)集團

數(shù)據(jù)中心通過其它系統(tǒng)的協(xié)同設(shè)計，將個性化信息轉(zhuǎn)變成標(biāo)準(zhǔn)化信息，信息會傳輸?shù)讲剂蠝?zhǔn)備部門，按照訂單要求準(zhǔn)備布料，裁剪部門會按照要求進行裁剪。裁剪后的大小不一、色彩各異的布片根據(jù)西服的工藝要求（例如領(lǐng)子線，面料等）分6部分，同時每部分會分別配戴一個RFID射頻識別電子標(biāo)簽（注明工藝要求），分別進入對應(yīng)的吊掛流水線。該標(biāo)簽隨流水線傳送，每一個工位都有專用電腦讀取RFID上的制作標(biāo)準(zhǔn)信息，各流水線上員工根據(jù)指令完成制作。當(dāng)員工刷卡時，同時系統(tǒng)中也可以監(jiān)控工藝流轉(zhuǎn)的位置，清晰的知道生產(chǎn)進度。在本工序完成后，在電腦上進行標(biāo)識，半成品傳送到下一工序。最后進入到組合環(huán)節(jié)，成衣后統(tǒng)一為一張RFID卡，進入到熨燙整理檢驗環(huán)節(jié)，最終入庫。紅領(lǐng)廠內(nèi)服裝及電子標(biāo)簽Thankyouforlistening!謝謝聆聽!第十章

智能制造系統(tǒng)的基礎(chǔ)信息安全探討智能制造系統(tǒng)基礎(chǔ)信息安全概述1智能制造系統(tǒng)信息安全2智能制造系統(tǒng)的信息安全需求3各類安全技術(shù)4章節(jié)目錄智能制造系統(tǒng)安全保障技術(shù)框架5智能制造系統(tǒng)基礎(chǔ)信息安全概述1智能制造系統(tǒng)信息安全2智能制造系統(tǒng)的信息安全需求3各類安全技術(shù)4智能制造系統(tǒng)安全保障技術(shù)框架5

1.智能制造系統(tǒng)（SMS）基礎(chǔ)信息安全概述1.1SMS基礎(chǔ)信息安全落腳點在工業(yè)控制系統(tǒng)(ICS)安全上指南2018中提及的A類基礎(chǔ)共性技術(shù)2018年10月正式發(fā)布《國家智能制造標(biāo)準(zhǔn)體系建設(shè)指南》（以下簡稱指南2018），根據(jù)指南的清晰梳理和詳細論述，智能制造系統(tǒng)的基礎(chǔ)是工業(yè)控制系統(tǒng)（IndustrialControlSystem，ICS）。智能制造系統(tǒng)信息安全主要集中在基礎(chǔ)性的工業(yè)控制系統(tǒng)信息安全上。信息安全標(biāo)準(zhǔn)：即用于保證智能制造領(lǐng)域相關(guān)信息系統(tǒng)及其數(shù)據(jù)不被破壞、更改、泄露，從而確保系統(tǒng)能連續(xù)可靠地運行，包括軟件安全、設(shè)備信息安全、網(wǎng)絡(luò)信息安全、數(shù)據(jù)安全、信息安全防護及評估等標(biāo)準(zhǔn)。

1.智能制造系統(tǒng)（SMS）基礎(chǔ)信息安全概述1.2為什么要重視ICS信息安全?工業(yè)控制系統(tǒng)廣泛應(yīng)用于化工、石油、電力、天然氣、核設(shè)施以及國家先進設(shè)備制造。ICS對于國家基礎(chǔ)設(shè)施實現(xiàn)自動化作業(yè)起到至關(guān)重要的作用，所以其面臨的安全威脅可能帶來非常巨大的影響。如2010年，震網(wǎng)病毒破壞伊朗納坦茲的核設(shè)施，并導(dǎo)致伊朗布什爾核電站推遲啟動；2016年12月，一起針對烏克蘭電網(wǎng)的攻擊時間使得首都基輔斷電超過一小時，數(shù)百萬家庭被迫中斷供電?？梢娨坏┕た叵到y(tǒng)被破壞，受其控制的關(guān)鍵基礎(chǔ)設(shè)施也會面臨十分嚴(yán)峻的威脅，進而影響公眾的日常生活，甚至造成重大安全事故。

1.智能制造系統(tǒng)（SMS）基礎(chǔ)信息安全概述1.3ICS信息安全現(xiàn)狀目前，我國工控設(shè)備和系統(tǒng)依賴進口，一些存在安全漏洞的國外工控產(chǎn)品仍在國內(nèi)被大量使用；隨著信息化與工業(yè)化的深度融合,IT技術(shù)在工業(yè)控制領(lǐng)域應(yīng)用的深度和廣度不斷擴大,將ICS逐步從封閉、孤立的系統(tǒng)轉(zhuǎn)化為開放、互聯(lián)的系統(tǒng)。但工業(yè)控制系統(tǒng)封閉網(wǎng)絡(luò)的屏障優(yōu)勢逐漸減弱，安全風(fēng)險增加；當(dāng)前我國工控系統(tǒng)安全形式并不樂觀，根據(jù)國家信息安全漏洞共享平臺(CNVD)的追蹤和統(tǒng)計，自2011年起，工控領(lǐng)域發(fā)現(xiàn)和發(fā)布的漏洞呈現(xiàn)逐年遞增趨勢。CNVD追蹤和統(tǒng)計的ICS漏洞數(shù)量智能制造系統(tǒng)基礎(chǔ)信息安全概述1智能制造系統(tǒng)信息安全2智能制造系統(tǒng)的信息安全需求3各類安全技術(shù)4智能制造系統(tǒng)安全保障技術(shù)框架5

2.智能制造系統(tǒng)信息安全2.1ICS的發(fā)展數(shù)字化時期1950年，斯佩里-蘭德公司造出了第一臺商業(yè)數(shù)據(jù)處理機UNIVAC，工業(yè)控制系統(tǒng)正式全面與通信系統(tǒng)及電子計算機結(jié)合。此后發(fā)展出PLC、SCADA、RTU等工業(yè)控制系統(tǒng)。標(biāo)準(zhǔn)化時期此前，不同廠商設(shè)備無法兼容和接入，協(xié)議的巨大差異為系統(tǒng)部署、操作以及維護帶來了巨大的挑戰(zhàn)。20世紀(jì)80年代，IEEE制定了兩個標(biāo)準(zhǔn)化協(xié)議：分布式網(wǎng)絡(luò)協(xié)議版本3（DNP3）以及國際電工委員會（IEC）60870-5-101。目前，DNP3已經(jīng)是使用最為廣泛的工業(yè)控制系統(tǒng)協(xié)議。工業(yè)PC時期由于PC的發(fā)展，其具有的豐富硬件資源和軟件資源，基于PC的工業(yè)控制系統(tǒng)，以極強的開放性勢不可擋地進入工控系統(tǒng)領(lǐng)域。各大可編程邏輯控制器廠商、工業(yè)控制系統(tǒng)集成商也逐步接受了工業(yè)PC的技術(shù)路線。網(wǎng)絡(luò)化時期基于以太網(wǎng)和TCP/IP協(xié)議的技術(shù)標(biāo)準(zhǔn)，提供模塊化、分布式、可重用的工業(yè)控制方案。智能化時期萬物互連，多種技術(shù)集成，包括設(shè)備互操作技術(shù)、通用數(shù)據(jù)交換技術(shù)、EtherNET和工業(yè)以太網(wǎng)技術(shù)等多種技術(shù)的集成。Ehernet+TCP/IP直接實現(xiàn)工業(yè)現(xiàn)場控制參數(shù)和節(jié)點狀態(tài)直接在企業(yè)信息網(wǎng)絡(luò)中傳輸和共享。2010—至今1990-20001950-19802000-20101980-1990中國中車股份有限公司版權(quán)所有201532

2.智能制造系統(tǒng)信息安全2.2傳統(tǒng)網(wǎng)絡(luò)與制造網(wǎng)絡(luò)比較傳統(tǒng)網(wǎng)絡(luò)ICS網(wǎng)絡(luò)可用性對保密性要求極高，對可用性要求一般對可用性要求極高風(fēng)險管理關(guān)注數(shù)據(jù)的保密性和完整性優(yōu)先考慮可用性和系統(tǒng)對社會的影響通信方式采用標(biāo)準(zhǔn)通信協(xié)議無統(tǒng)一的標(biāo)準(zhǔn)，通信方式復(fù)雜多樣結(jié)構(gòu)側(cè)重點強調(diào)信息的保護，側(cè)重中心節(jié)點的防護側(cè)重PLC等終端節(jié)點的保護節(jié)點資源計算、存儲、帶寬等資源充足計算、存儲、帶寬等資源有限生命周期組件的生命周期一般在3-5年組件生命周期一般在15-20年，甚至更長

2.智能制造系統(tǒng)信息安全2.3智能制造系統(tǒng)信息安全的著力點網(wǎng)絡(luò)安全：與互聯(lián)網(wǎng)的深度融合，網(wǎng)絡(luò)IP化、無線化以及組網(wǎng)靈活化給智能制造網(wǎng)絡(luò)帶來更大安全風(fēng)險。數(shù)據(jù)安全：數(shù)據(jù)的開放、流動和共享使數(shù)據(jù)和隱私保護面臨前所未有的挑戰(zhàn)。應(yīng)用安全：網(wǎng)絡(luò)化協(xié)同、個性化定制等業(yè)務(wù)應(yīng)用的多樣化對應(yīng)用安全提出了更高要求。控制安全：控制環(huán)境開放化使外部互聯(lián)網(wǎng)威脅滲透到生產(chǎn)控制環(huán)境。設(shè)備安全：設(shè)備智能化使生產(chǎn)裝備和產(chǎn)品更易被攻擊，進而影響正常生產(chǎn)。智能制造系統(tǒng)的安全構(gòu)成智能制造系統(tǒng)基礎(chǔ)信息安全概述1智能制造系統(tǒng)信息安全2智能制造系統(tǒng)的信息安全需求3各類安全技術(shù)4智能制造系統(tǒng)安全保障技術(shù)框架5

3.智能制造系統(tǒng)信息安全需求3.1總體安全需求1）專用通信協(xié)議本身安全性脆弱，缺乏可靠的認(rèn)證、加密機制，缺乏消息完整性驗證機制；2）SMS系統(tǒng)面臨繼承傳統(tǒng)IT系統(tǒng)及其標(biāo)準(zhǔn)存在的漏洞的可能性，需要對SMS采用IT系統(tǒng)標(biāo)準(zhǔn)后的安全性進行嚴(yán)格驗證和測試；3）在SMS系統(tǒng)層次結(jié)構(gòu)中，企業(yè)網(wǎng)絡(luò)使得其他三個相連的層次將面臨其帶來的安全風(fēng)險，必須嚴(yán)格限制在企業(yè)網(wǎng)絡(luò)中使用設(shè)計生產(chǎn)/作業(yè)的SMS系統(tǒng)服務(wù)，對資源使用加強認(rèn)證和訪問控制；同時制定必要的網(wǎng)絡(luò)劃分、域控制和隔離策略；

3.智能制造系統(tǒng)信息安全需求3.1總體安全需求4）SMS系統(tǒng)的各個層次間存在過程控制、監(jiān)控、測量等設(shè)備和計算機服務(wù)間的通信，必須對層間通信引入可靠的加密和認(rèn)證機制；5）當(dāng)SMS與IT系統(tǒng)融合并采用部分現(xiàn)行IT標(biāo)準(zhǔn)時，需要考慮對現(xiàn)有IT系統(tǒng)安全解決方案在SMS系統(tǒng)中的應(yīng)用進行擴展、裁剪、修改或再開發(fā)；6）對企業(yè)采用的SMS系統(tǒng)相關(guān)設(shè)備的專業(yè)信息、運行參數(shù)必須進行嚴(yán)格保護；7）SMS系統(tǒng)的使用企業(yè)需要制定全局性資源防護安全策略和計劃。

3.智能制造系統(tǒng)信息安全需求3.2與傳統(tǒng)網(wǎng)絡(luò)相區(qū)別的安全需求SMS與傳統(tǒng)IT系統(tǒng)對信息安全的需求存在明顯差異，SMS最先考慮的是系統(tǒng)可用性，其次是完整性，第三是保密性，傳統(tǒng)IT系統(tǒng)首先考慮的是保密性、完整性，然后才是可用性。另外，SMS的高實時性、高可靠性、復(fù)雜的電磁環(huán)境、特定的供電環(huán)境、惡劣的溫度濕度環(huán)境、專業(yè)的通信協(xié)議、不同的使用人員等，都對工業(yè)級安全產(chǎn)品提出了有別千傳統(tǒng)IT系統(tǒng)的功能和性能需求。HighOffer保密性完整性可用性智能制造系統(tǒng)傳統(tǒng)IT系統(tǒng)智能制造系統(tǒng)基礎(chǔ)信息安全概述1智能制造系統(tǒng)信息安全2智能制造系統(tǒng)的信息安全需求3各類安全技術(shù)4智能制造系統(tǒng)安全保障技術(shù)框架5

4.各類安全技術(shù)4.1安全技術(shù)與各層次關(guān)系SMS系統(tǒng)安全技術(shù)分類及各子類SMS系統(tǒng)各層次設(shè)備層產(chǎn)線層車間層工廠層認(rèn)證技術(shù)基于位置的認(rèn)證

智能卡認(rèn)證

生物信息認(rèn)證

設(shè)備端到端認(rèn)證

口令和消息反饋認(rèn)證

數(shù)字證書

密鑰應(yīng)用與管理對稱加密

非對稱加密

散列函數(shù)

公共密鑰基礎(chǔ)設(shè)施

密鑰管理基礎(chǔ)設(shè)施

虛擬專用網(wǎng)絡(luò)

協(xié)議漏洞評估原始協(xié)議驗證

協(xié)議實現(xiàn)驗證

安全管理、監(jiān)控、檢測日志審計和安全事件追溯

取證和分析

訪問控制基于角色的訪問控制

強制訪問控制

自主訪問控制

最小特權(quán)原則

職責(zé)分離原則

入侵檢測協(xié)議特征碼檢測

異常行為檢測

防火墻技術(shù)網(wǎng)絡(luò)防火墻

主機防火墻

操作系統(tǒng)安全病毒和惡意代碼檢測

漏洞掃描

右表是各類安全技術(shù)與是否在相應(yīng)層次使用的總體對應(yīng)表（“O”表示該技術(shù)在某一層次所有子系統(tǒng)或設(shè)備上都有相應(yīng)的應(yīng)用；“

”表示該技術(shù)并不適合應(yīng)用于某一層次的每一種子系統(tǒng)或設(shè)備），該表中對各大類和子類的安全技術(shù)應(yīng)用在SMS系統(tǒng)四個層次（設(shè)備層級、產(chǎn)線層級、車間層級、工廠層級）做了歸納。

4.各類安全技術(shù)4.2認(rèn)證技術(shù)415263生物信息認(rèn)證利用用戶唯一性的生物特征信息（如指紋）進行訪問身份驗證?？诹詈拖⒎答佌J(rèn)證請求資源訪問時，需要提供與相應(yīng)資源、設(shè)備所預(yù)知的信息，比如PIN數(shù)字?；谖恢玫恼J(rèn)證通過對資源訪問的請求者的地理位置測定，以判斷訪問請求是否來自已知的安全區(qū)域。智能卡認(rèn)證能攜帶多種用戶信息以支持計算機二元、三元認(rèn)證。設(shè)備端到端認(rèn)證該技術(shù)可利用的認(rèn)證對象包括傳輸?shù)臄?shù)據(jù)、數(shù)據(jù)發(fā)送和接收者的身份、提供數(shù)據(jù)傳輸?shù)膽?yīng)用服務(wù)類型、端到端會話等。數(shù)字證書提供了對通信實體雙方進行身份信息驗證的方式，其至少包含公開密鑰擁有者信息、公開密鑰以及證書授權(quán)中心（CA）的數(shù)字簽名。。

4.各類安全技術(shù)4.3加密應(yīng)用與管理01對稱加密技術(shù)在通信雙方間使用同一密鑰進行加解密，該技術(shù)的優(yōu)勢在于效率高、算法簡單，系統(tǒng)運行開銷小，缺點是密鑰管理困難。對稱加密05密鑰管理基礎(chǔ)設(shè)施服務(wù)于智能制造系統(tǒng)中的PKI設(shè)施和其他密碼設(shè)備，為它們提供密鑰的生成、存儲、分發(fā)、導(dǎo)入導(dǎo)出、備份、更新、恢復(fù)、銷毀等服務(wù)功能。密鑰管理基礎(chǔ)設(shè)施KMI02非對稱加密技術(shù)使用不同的密鑰對進行通信數(shù)據(jù)加解密，主要用于數(shù)字認(rèn)證，優(yōu)點是不需要共享密鑰；但加解密速度慢。非對稱加密06虛擬專用網(wǎng)絡(luò)能夠為智能制造系統(tǒng)提供經(jīng)過加密、認(rèn)證和完整性保護的資源或網(wǎng)絡(luò)訪問方式。虛擬專用網(wǎng)絡(luò)VPN03散列函數(shù)（Hash）主要用于信息完整性認(rèn)證。散列函數(shù)公共密鑰基礎(chǔ)設(shè)施為用戶提供數(shù)字簽名等認(rèn)證服務(wù)。04公共密鑰基礎(chǔ)設(shè)施PKI

4.各類安全技術(shù)4.4協(xié)議漏洞評估智能制造系統(tǒng)各層次和層間通信使用專有通信協(xié)議，該類協(xié)議的設(shè)計區(qū)別于傳統(tǒng)TCP/IP協(xié)議族，主要考慮滿足特定設(shè)備之間的數(shù)據(jù)和命令碼傳輸需要，而對通信雙方數(shù)據(jù)加密、身份驗證等安全需求則未納入設(shè)計規(guī)范，因而需要對系統(tǒng)各個層次和層間通信使用的協(xié)議進行安全性評估和驗證，以發(fā)現(xiàn)協(xié)議設(shè)計中存在的漏洞，從而為入侵檢測系統(tǒng)（IDS）定義新的檢測匹配規(guī)則提供支持。協(xié)議驗證協(xié)議實現(xiàn)驗證協(xié)議的實現(xiàn)包括對協(xié)議通信功能本身的實現(xiàn)和部署，此外還包括為滿足安全性需求所增加的技術(shù)實現(xiàn)，比如身份驗證、傳輸加密等。協(xié)議實現(xiàn)的安全性驗證比協(xié)議設(shè)計的安全性驗證的系統(tǒng)成本低。

4.各類安全技術(shù)4.5安全管理、監(jiān)控、檢測在SMS中，為保障系統(tǒng)在安全事件發(fā)生時或發(fā)生后，安全管理員能有效和迅速地分析、查找事件的起源和事件實施者在事件發(fā)生過程中留下的信息，以及確定受事件影響的系統(tǒng)或子系統(tǒng)范圍，應(yīng)在SMS整體安全策略中詳細地計劃和部署系統(tǒng)日志的維護和審計措施。SMS各層次應(yīng)根據(jù)安全需求和風(fēng)險評估結(jié)果，在關(guān)鍵設(shè)備、網(wǎng)絡(luò)、服務(wù)器中提供可靠的日志服務(wù)。安全事件發(fā)生時和發(fā)生后，安全管理人員應(yīng)根據(jù)日志分析結(jié)果和數(shù)字簽名、時間戳等信息形成對事件的分析和追溯報告。日志審計和安全事件追溯取證和分析技術(shù)取證和分析技術(shù)在網(wǎng)絡(luò)安全管理中用于被動搜集網(wǎng)絡(luò)的狀態(tài)、結(jié)構(gòu)和流量等數(shù)據(jù)，主要利用數(shù)據(jù)包捕獲、網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)取證和分析三類工具。SMS的運行需要對各個層次和層間網(wǎng)絡(luò)通信，以及外部網(wǎng)絡(luò)對控制網(wǎng)絡(luò)的訪問進行監(jiān)控，在檢測到網(wǎng)絡(luò)異常行為時對其進行分析幫助安全管理人員識別和記錄異常行為。

4.各類安全技術(shù)4.6訪問控制中國中車股份有限公司版權(quán)所有201545基于角色的訪問控制根據(jù)企業(yè)人員業(yè)務(wù)職責(zé)，創(chuàng)建角色庫，并為各種角色分配必要的訪問權(quán)限。最小特權(quán)原則在智能制造系統(tǒng)中，為保障系統(tǒng)服務(wù)的連續(xù)性、人員對系統(tǒng)資源使用的可控性，必須大量采用最小特權(quán)原則，在不影響控制系統(tǒng)正常運行的前提下，嚴(yán)格限制人員權(quán)限的分配。自主訪問控制智能制造系統(tǒng)中繼承和使用了大量IT系統(tǒng)軟件和服務(wù)，當(dāng)這些軟件和服務(wù)采用自主訪問控制機制時，需要對授權(quán)和被授權(quán)者進行嚴(yán)格的身份驗證以及數(shù)字簽名檢驗，使得自主授權(quán)行為具有良好的可追溯性。職責(zé)分離原則強調(diào)對于部分重要或關(guān)鍵資源的訪問權(quán)限，或?qū)τ谀骋魂P(guān)鍵業(yè)務(wù)過程中部分重要步驟的授權(quán)應(yīng)當(dāng)分離，即屬于不同訪問實體，以降低訪問者擁有過大權(quán)限而破壞系統(tǒng)數(shù)據(jù)完整性的可能。強制訪問控制強制性劃分基于系統(tǒng)資源的保密性需求和完整性需求，在智能制造系統(tǒng)中，應(yīng)根據(jù)各個層次設(shè)備對系統(tǒng)服務(wù)連續(xù)性的影響程度定義資源的保密性和完整性級別。

4.各類安全技術(shù)4.7入侵檢測協(xié)議特征碼檢測基于流量的ICS入侵檢測方案根據(jù)漏洞分析結(jié)果形成攻擊的特征碼，并在入侵檢測系統(tǒng)中添加新的特征碼匹配規(guī)則。智能制造系統(tǒng)中的設(shè)備采用各種專有通信協(xié)議，因此應(yīng)根據(jù)各種專有通信協(xié)議的脆弱性評估和漏洞分析，建立和維護相應(yīng)的特征碼庫，及時添加和更新入侵檢測系統(tǒng)中的匹配規(guī)則。異常行為檢測基于網(wǎng)絡(luò)流量、網(wǎng)絡(luò)或資源訪問行為的統(tǒng)計數(shù)據(jù)，對該類數(shù)據(jù)加以分析，得到異常行為模式，并將這些行為模式定義成入侵