摘要:IoT正在创造一个契机,颠覆现在的工厂网络架构。本文提出在新业务驱动下的工厂网络参考模型。如何设计一个安全可靠的工厂网络,本文介绍了参考架构,描述了可靠工业网络的重要组成部分,突出了需要特殊关注的业务领域,并阐明了OT/IT融合架构所带来的附加值。
一、 变革的力量与速度
零售业 – 京东、淘宝、亚马逊正威胁着实体商店
广告业 – 百度、谷歌用锁定客户群的网络广告改变了城市CBD的大街
酒店业 – 途家、Airbnb让没有得到充分使用的房产得以利用,让家变成了旅馆
交通业 – 嘀嘀、易到、优步驱动出租车业的新变革
同样的力量也在影响着制造业,工业互联网日趋成熟,设备连接、内部网络连接、互联网+等快速连接正驱动工厂网络发生根本变化。这些变化使得网络的连接、安全和管理需求急剧增加。和过去十年相比,工厂网络的改变正以几何数量级速度的发生着。
之前没有连接的设备,现在按照机器对机器(M2M)的网络相互连接起来,并和企业生产报表和业务预测分析结合起来,提供了在产品性能、服务和维护上前所未有的实时反馈。
工厂网络需要实现生产过程中人、机器、原料、方法与工艺全流程的数据自动实时记录,实现正确的数据在正确的时间发送给正确的人和机器。
需要部署安全独立的生产网络,为工厂或车间关键应用提供高性能和安全控制。
减少企业IT的投资与维护成本,需要生产业务应用向企业私有云迁移。
通过分析大量的数据,企业才能更快地做出商业决策,实现企业战略。
总之,不断的减少在制品盘存,提高产品周期时间,减少返工和报废,降低供应链的不确定性,是领先的制造商和大型企业的核心诉求,需要通过实时的工厂网络解决方案达成目标。包括工厂车间物联网络系统,工厂车间和云之间的安全数据流,能量和水电气费的即时监察,动静资产设备可视化和控制。
二、 IoT和工业网络技术趋势
IoT的概念在于每个物体实时连接着网络,发出和接受数据。
工业网络指的是复杂的机器、传感器、网络设备以及生产应用软件的系统组合。工业网络纳入了众多领域,如机器间通信、IoT、机器学习、大数据、以及信息物理系统(CPS)。工业网络是“管道”,让IoT发挥作用。专业机构研究预测,到2020年将有300亿到500亿的设备需要建立连接。包括以下因素:
传感器、处理器和网络成本降到了一个低点。
Wi-Fi广泛分布,4G/5G投入使用,接入点增加变得十分容易,无论是在家里,室外,办公室里还是车间里。
主要的供应商思科、华为、华三、IBM和GE大力支持网络变革的IoT,这些支持使得网络连接简化和成本降低。
GE预计工业网络在接下来20年可为GDP增加10万亿美元到15万亿美元的潜能。
1. 设备激增
十年前,首席信息官(CIO)能预测需要联网设备的数量,规划网络合理的接入容量,控制接入者身份,为需要连网设备进行授权。随着智能手机和平板电脑的激增,首席信息官需要面对BYOD带来的挑战。另外,设备和传感器连接到生产网络及办公网络上的需求爆发式增长。
2. 安全隔离
大多数企业的制造车间根据工序/工艺流程不同而分开,分为现场单元和制造区域。工厂网络将所有的机器连接成一个单独的网络,使得机器可以被远程管理和监控,机器可以将设备状态信息与生产工艺参数上报给生产系统(例如DCS\SCADA\MES等)。工厂网络在提供连接的同时,允许生产车间机器设备的动态增加与更变,并且提供网络的逻辑隔离。通常,规划独立的生产网络,将生产系统的网络物理隔离。但是,工厂网络的隔离并不能完全应对生产安全的挑战,例如伊朗核设施所遭遇的攻击Stuxnet(震网攻击)。融合工控安全的网络安全,可以最大限度的应对安全威胁,构建生产系统的安全体系。
3. 工业系统恢复要求
连接工业网络的生产设备有可能离线,有可能计划停机(如系统升级,组态更新等),也有可能计划外的故障停机。所以,生产网络在设计时需要充分考虑生产系统的变更因素。
当生产系统启动时,设备重新上线,开始同步数据,这时将产生突发的网络流量,导致网络性能迟缓。网络在规划设计时,需要知道应用系统的运行模式,设计高性能的网络满足业务系统的阀值需求。生产应用软件在支持高可用的同时,需要对数据进行热备份保护和镜像,以防止关键任务应用的数据损失,并且尽量采用增量数据同步技术,让数据再同步时仅同步丢失时间的数据,而不是所有的数据。
4. 移动性爆发式增长
现在,移动设备在车间中越来越多的使用,包括车间即时语音通信,车间可移动设备的视频应用,车间平板电脑对工厂系统的访问。工厂网络需要支持生产过程中所需要的移动设备的便捷接入、安全认证、可靠通信。
三、 工厂网络参考架构
工厂网络构建需要融合两个领域的专业知识,一方面为工业管控系统和生产应用的专业知识,另一方面为网络和系统安全的实践经验。未来将有更多工厂的动静资产连接至工厂网络,从生产过程中收集的数据也在日益增加,车间网络需要面对这一挑战,提供从机器到工厂网络,工厂网络到生产业务系统(DCS\SCADA\MES)、企业物联平台、数据分析平台,工厂网络涵盖了一个端到端的企业制造系统解决方案。
图1展示企业生产网络系统架构。这个架构的重点在于工厂网络必须高可靠,为生产应用和机器设备提供不同的访问接口与协议解析。通过以太网和Wi-Fi提供标准化的连接,让生产企业的所有组成部分都能进行通信,使得企业能够收集更细致的生产信息,连接之前未连接网络的设备,这也是实现生产数据分析的基础。
H3C工业以太网系列交换机IE4000为工业应用提供卓越的网络性能和安全服务,易于管理,适应性强,支持工业协议。通过IP40认证,可部署在苛刻的环境中,例如宽温、电磁干扰、振动与油污腐蚀环境。同样,H3C在无线领域提供了工业级AP WA4320X系列,使用工业优化的Wi-Fi技术支持工业应用的移动需求,采用专业一体化室外型设计,具备IP67防水防尘等级和大范围宽温工作能力,方便工业场景的安装和调试。支持千兆SFP光接口,由于工业AP在使用时,有可能会出现网线100M长度无法满足的情况,而WA4320X系列AP支持千兆SFP光接口,可以采用光纤直连AP,减少了可能出现的光猫等设备的故障点。通过AC控制器让访问接入点快速部署,或者采用FAT AP模式部署。
1. 网络可靠与可管理性
传统总线工业网络,比如PROFIBUS、PROFINET可以通过组态软件进行设备管理,和优先流量QOS标记,将工业应用软件、PLC设备、现场执行单元进行拓扑化图形管理,这样系统故障诊断和定位十分简单。工业交换机除支持标准的商业网络拓扑管理性、流量调度外,也需要可集成到工业生产管理工具中进行组态管理,这个功能将保证用户对工厂网络的系统化管理,使得车间业务和网络系统深度融合。
2. 现场网络关注要素
控制应用 - 使用逻辑控制器(PLC) 和人机界面(HMI),二者都有μsec 需求,都有对生产车间操作至关重要的时间要求。
管控应用 - 数据采集与监视控制系统(SCADA\DCS),这类系统使机器自动化运转,连接实时数据库,提供生产车间统一视图。
工业大数据收集和管理应用 – SCADA采集的数据为数据报表\高级机器分析提供基础数据源。
制造执行系统 (MES)/管理信息系统(MIS) - 通过这两个系统,生产车间处理生产作业计划,向上连接如ERP,PLM业务系统,实现端到端的生产资源整合。
远程监控和诊断应用 - 为远程操控和诊断提供了现场支持方案(GE\Siemens)。
3. 防火墙(FW),入侵防御系统(IPS)和数据网闸
大多数的生产车间根据工艺流程被分成几部分。如何对具体的、成批量的和延续性的工序进行划分,如何进行网络隔离,是需要考量与细致规划的。一个现场单元或者一个区域不可能是无限大的,现场网络必须提供灵活的隔离选择,并且保证安全的连接。
边界保护对于生产网络是必须的,在生产车间不同单元/区域/平台之间进行隔离,无论隔离是作为一个安全边界还是作为一个操作边界。隔离需要满足业务访问的需求和数据收集的需求,防火墙\虚拟防火墙不仅能抵御高级别的风险,在生产虚拟局域网(VLAN)间保护和限制通信流量,还减少了系统的复杂性和设备的成本。防火墙结合入侵防御系统,在系统的攻击中,能够提供一个完整的风险防御。
图2、工控安全对服务器/工程师站进行安全防护体架构
同时,防火墙还可扩展支持定制工业协议定义,对服务器/工程师站进行安全防护。防火墙能部署在多背景模型下,按照逻辑分成了多个虚拟防火墙/入侵防御系统实例。每个虚拟实例有自己独立的配置。通过虚拟化技术将一台物理防火墙划分成多台逻辑防火墙,每台逻辑防火墙称为一个Context,每个Context拥有自己专属的软硬件资源,独立运行,独立转发。对于用户来说,每个Context就是一台独立的防火墙,方便管理和维护;对于管理者来说,可以将一台物理设备虚拟成多台逻辑设备供不同的生产区域使用,提高组网灵活性。
另外,在一些特殊的生产应用中(例如电力调度等),需要使用数据网闸来保证单向的数据传输(从操作的单元设备到生产应用系统)。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议"摆渡",且对固态存储介质只有"读"和"写"两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"黑客"无法入侵、无法攻击、无法破坏,实现了真正的安全。
4. 身份认证、识别、授权
工厂需要识别并确认是否操作是在可信的网络里,在正确的时间里,由正确的人对应正确的设备来完成。调试现场机器的服务访问接入点就是通常需要考虑的一个场景,当一个技术员进入工厂处理一个问题时,技术员的个人工作电脑不应该被授予不受限制的网络访问,而是只能被授予问题机器的访问。
工厂的网络身份服务提供一个规则型、属性驱动的策略模型,创造灵活的与业务相关的接入管控策略。通过从事先定义好的企业网络安全词典里提取属性,词典里包括和以下属性有关的信息:用户与终端识别、基于角色的安全性、属性认证、认证协议、位置、以及从访问协议,远程认证系统(RADIUS),公钥加密算法/动态口令和认证中心获得的其他外部属性。身份识别和控制,可以通过下发不同vlan划分实现,提供车间网络有区别的接入服务。根据现场工程师的认证信息和使用的设备需求,身份服务策略可分派给不同虚拟局域网。
5. 数据加密
数据加密在一些特定的生产环境中被强制执行的,对数据进行加密方法也有很多种。例如链路层加密方法,逐跳加密方法(以太网的MAC sec或者无线网的WPA),和端对端加密方法(例如IPSEC VPN)。在军队与国防领域的生产环境中,数据安全尤为重要,需要防止企业的指定(重要或者敏感的)数据或信息资产以违反安全策略规定的形式流出企业。信息防泄漏以文档加密技术为核心,数据库加密为基础,结合安全审计机制、严格管控机制掌握、控制内部文档操作,有效防止任何状态(使用、传输、存储)的内部资料和信息资产泄漏。目前基于此技术的防泄漏系统有:UniBDP、DLP等。
6. IP地址规划
工厂网络的IP地址规需要全局考虑,具体包括如下关键因素:
8Bits | 8Bits | 4Bits | 12Bits |
10 | 地域标识 | 类别标识 | 用户网络地址 |
表1、工厂网络IP地址整体规划参考
IP地址资源以地域划分、行政隶属关系和业务种类为层次,分割为大小不同、用途各异的地址块单元;实现地址的层次化划分,以利于路由信息的聚合,减少路由表长度;
充分利用网络地址资源和信息资源,可根据实际需要分配地址,避免不必要的地址空间的浪费;
地址分配应简单、易于管理,降低网络扩展的复杂性,减少路由表的路由条数;
地址分配在每一个层次都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性;地址分配应具有灵活性,以满足各种路由策略的优化,充分利用地址空间;
便于制定统一的网络管理策略,实现统一的网络管理;便于网络安全策略的实现;
局域网内不同类型的应用必须使用不同子网的IP地址,以便于不同的应用使用不同的路由策略;
在工厂网络的IP地址规中业务规划应该依据企业目前的现状和未来发展的业务扩展,拟定具体的优先级,可参考如下经营实践:
OT地址类型(0000):这种类型的IP地址用于需要工厂内的客户端及服务器地址(PLC,PC)。
IT客户端类型(0001):园区的各类客户端归于此类型
IT服务器类型(002):园区内的各类服务器归于此类型
网络设备管理(0011):网络设备管理类型地址用于网络设备的管理地址、路由器的Loopback地址、交换机的管理地址、网管系统服务器和工作站地址。
网间网(0100)类型地址用于网络设备之间广域网、局域网的互联。
IP话音/视频类型(1100):这种数据类型的地址主要用于IP话音及视频系统中的服务器、工作站。
测试类型(1101):这种类型的IP地址主要用于测试系统的服务器、工作站。
取值 | 代表的应用类型 |
0000 | OT地址类型 |
0001 | IT客户端类型 |
0010 | IT服务器类型 |
0011 | 网络设备管理 |
0100 | 网间网 |
0101 | 语音 |
0110 | 视屏 |
0111 | 开发测试 |
1000 | 业务预留 |
1001 | 业务预留 |
1010 | 业务预留 |
1011 | 业务预留 |
1100 | 业务预留 |
1101 | 业务预留 |
7. 无线服务
工厂网络车间Wi-Fi使人机界面(HMI)和制造执行系统(MES)应用的移动接入成为可能。接入和安全问题,和有线网络是类似的。工厂无线需要充分考虑易部署性,无线局域网控制器(AC)被普遍地使用着。无线局域网控制器需要支持全系统功能,传送集中的无线策略、管理和安全。无线音频与视频服务质量(QoS)保障,同样需要无线局域网控制器统一管理。无线局域网控制器需要支持支持N+1热备份,保证一台AC宕机不影响虚拟AC的功能,这是生产连续性的必备要求。
部分制造企业,具有集团工厂和异地或者分支工厂,需要支持分层AC架构。分层AC采用集中控制分级管理的架构方式,由一个总的核心层管理AC下挂多个本地接入层AC,接入层AC直接下挂AP。工厂级接入层AC主要功能包括AP接入和数据转发等实时性业务,集团工厂核心层AC主要做网络的管理控制和集中认证等非实时性全局业务,另外核心层AC也具有普通AC的接入AP及数据转发功能。工厂无线网络分层AC的这种架构模型使得核心层AC集中控制,工厂级接入层AC和现场下挂AP能够很方便的实现自动升级和配置同步,极大地简化了版本升级工作。
另外,工厂网络无线安全通常需要考虑支持L4-L7层移动安全检测/防御(wIDS/wIPS),移动安全防御模式例如::黑名单、白名单、Rogue防御、畸形报文检测、非法用户下线、基于可预设升级的Signature MAC层攻击检测与反制(例如:DoS攻击,Flood攻击、中间人攻击)等。无线移动安全通过配合专业核心层防火墙/IPS设备,更可以实现工厂网络无线网络区域7层立体安全防御,满足从无线(802.11)到有线(802.3)端到端安全防护需求。
8. 定位服务
通常,智能工厂需要建立可视化终端平台,以电子地图形式显示人员或物品的位置和移动轨迹。主要应用包括:室内外实时定位,历史运行轨迹回放与分析,自动告警定位。例如:人员跟踪定位,仓库中托盘、货物跟踪定位;生产制造车间贵重工具、在制品跟踪定位、车间员工动态考勤及管理。一些大型的工厂,比如半导体工厂、汽车制造厂等采用无线局域网的定位系统后,可以随时知道工具、设备和零件的位置,减少寻找、等待时间,提高生产效率。工厂无线网络定位可以采用蓝牙技术、WIFI技术、ZigBee技术、RFID技术、企业LTE技术,或者多种技术相结合。
9. 工厂富媒体、云计算/边缘计算服务
智能的工厂网络不仅仅只是纳入了生产进程和机器,同时还包括视频分析、工厂协作、实时分析的边缘计算、统一计算系统和服务交换平台,这些都是智能工厂的OT/IT融合的基础实施架构(如图3所示),本文不详细讨论。
图3、企业IT\OT融合网络参考架构
四、结束语
在今天这个“连接的”世界,企业需要越来越多的机器连接起来,使生产和企业运营更好地获得统一。工业与IoT的融合正在创造这个契机,智能工厂需要高可用的安全网络系统,协助企业减少在制品库存(WIP)、生产周期、提高产品质量与生产效
浙公网安备 33010802004375号
