账号:
密码:
最新动态
产业快讯
CTIMES / 文章 /
架构与资安双重优化 智慧制造系统全面进阶
 

【作者: 王明德】2020年02月26日 星期三

浏览人次:【10742】

智慧制造概念是透过IT与OT两大系统的整合,让产线的资讯价值可以进一步延伸,达到智慧化目标,在本期封面故事的上一篇,我们谈到智慧制造系统中,通讯架构的选择与导入概念,本篇则将进一步谈论OT系统的智慧化进阶设置,透过大数据、云端与资安等技术,让OT系统更具智慧、更安全。



图1 : 不同类型的云端平台服务,让智慧制造系统的功能更完整且多元。(source:Open Minds)
图1 : 不同类型的云端平台服务,让智慧制造系统的功能更完整且多元。(source:Open Minds)

智慧制造架构大致可分为边缘、通讯与云端等三层,这三层各司其职,在工业物联网刚问世时,其运作方式是先由边缘端设备负责执行各种自动化动作,并撷取设备数据,取得数据后,通讯网路再将数据传送到上层云端,进行储存、分析运算等工作,云端运算分析后,系统再透过通讯网路将结果送回边缘设备执行。


PaaS产业价值逐渐浮现

这种由云端平台负责所有运算的集中式架构,除了会造成三个问题,一是通讯网路的频宽难以负荷,二是云端平台的运算负载吃重,三是整体系统的反应不够即时,因此近几年的趋势是赋予终端设备一定的运算能力,让设备数据先一步在设备端或工业网路闸道器中处理后再上传,边缘运算可以一次解决上述三大问题。


不过,这样并非完全没有缺点,例如整体系统的架构会趋于复杂,而且在运算功能强化后的边缘设备,售价也会更贵,从而垫高系统的整体成本。从趋势发展来看,边缘运算已成为包括工业物联网在内的既定趋势,不过是否适用于所有的制造系统?仍必须从即时性、成本与效益等面向评估。


除了边缘设备的强化外,智慧制造的另一个趋势,是各类别云端平台的功能与定位更精准。云端平台依服务对象可区分为IaaS、PaaS、SaaS,IaaS主要是由电信商或大型IT厂商所提供的公有云服务,例如中华电信的hicloud、Amazon的AWS或微软的Azure等,SaaS则是针对各特定领用领域所设计的特定服务云端平台,至于PaaS则是负责串接IaaS与SaaS。


位于IaaS与SaaS之间的PaaS,其角色在物联网发展一段时间后开始受到质疑,部分IaaS厂商有意跳过PaaS直接与SaaS链结,将是整体运作方式更简洁,也更可掌握终端客户。



图2 : 透过大数据、云端与资安等技术,OT系统将可落实智慧化愿景。(source:EY)
图2 : 透过大数据、云端与资安等技术,OT系统将可落实智慧化愿景。(source:EY)

不过,在物联网开始尝试落地应用后不久,市场就发现此一构想并不可行,主因在于物联网属于垂直应用,各领域种类琐细而且专业不一,若与SaaS直接对接,IaaS所需要负担的工作与成本会过高。因此,以PaaS为中介,由PaaS依其产业特色,对下链结各类型SaaS,对上统一与IaaS串连,反而会是最具效益的物联网模式,也因此各领域的PaaS纷纷出现,在制造业现在也已多有PaaS,研华的WISE-PaaS就是其一。


中小企业也可轻松架构私有云

可与IaaS、SaaS连结的PaaS,是目前IT与OT两大类厂商都正在推动的系统,从目前市场状况来看,制造业者在制造资讯的保密考量下,仍多选择自建私有云,此一状况在机密性极高的手机组装或半导体等大型制造业尤其明显。


这些产业的规模庞大、资金充裕,而且企业本身早有完善的基础建设,要建置自用的私有云并非难事;另一方面,这些大型制造业的从业人员专业度极高,就算是已经去标签化的数据,仍然可以透过其专业,从数据特征判断出所属的企业,因此对这类型制造业者来说,自建私有云才是最佳选择。


至于规模不大的中小企业,则会在公有云与私有云之间陷入两难,如果只从成本来看,公有云除了可免去转型初期的系统建置与IT团队人员成本外,公有云厂商所提供的资安防护,其等级也非一般企业能企及,相较之下会更安全。


不过,对于部分制造数据较为敏感,或是难以接受无法自主掌握制造数据的厂商来说,仍会坚持自建私有云,以往要在资源不足的情况下建置私有云,其难度相当高,不过近期已有厂商对此困境提出解决方案。


现在厂商推出的私有云解决方案,是透过不同架构与功能的附加,大幅降低PaaS的导入门槛,制造业者可依其架构区分,找出适合自己的系统。与IT系统一样,PaaS也分为Windows与Linux两种架构,Windows Server的特色是已为完成品,购入后不必再次开发就可使用,适合内部开发能力不足的企业,不过也由于架构与功能固定,企业必须调整内部流程,以贴合其架构。Windows Server的商业环境非常成熟,市场已有设备与系统厂商以此开发出网管、视觉化介面等各种功能套件。


至于Linux版本的PaaS则类似半成品,企业可依本身需求,在其架构上开发合适的功能,在此特性下,其硬体扩充性与应用灵活性也远较Windows更高。


值得一提的是Linux PaaS的容器管理架构Kubernetes(简称为K8s),在Google与各方厂商的努力下,现在已经开发出各种效能十足且简易好用的工具。 Kubernetes可在不同系统中快速搬移资料,解决了Linux PaaS过去必须二次开发才能搬移的问题,此一特色大幅减少了设计团队必须针对不同架构重新开发程式的时间,让企业的资源运用可以最佳化。


OT安全问题浮上台面

除了云端平台之外,智慧制造系统建置后的另一项重点考量,则是资安,四零四科技工业物联网解决方案处亚太区产品行销经理郭彦征表示,OT系统向来封闭,少与其他系统介接,即便有对外连结,也仅会在接口处建立简单防火墙,系统内部各机台之间基本上不设防,不过在工业物联网体系下,资安问题已然浮上台面。



图3 : 四零四科技工业物联网解决方案处亚太区产品行销经理郭彦徵表示,在工业物联网体系下,OT系统的资安问题已然浮上台面。(照片提供/四零四科技)
图3 : 四零四科技工业物联网解决方案处亚太区产品行销经理郭彦徵表示,在工业物联网体系下,OT系统的资安问题已然浮上台面。(照片提供/四零四科技)

工业物联网体系是IT与OT两大系统整合,相对于OT系统的封闭,IT系统则是诉求开放,与外部连结是最基本的诉求,由于外部系统的恶意攻击不断,IT系统早已累积丰富经验,并借此建立起严密的防御机制,而当完善资安设计的IT与防护机制贫弱的OT整合为一时,两套系统的资安落差迅速浮现,对整体系统带来重大威胁,郭彦征就指出,在工业物联网系统中,OT系统的节点越来越多,这些节点的薄弱安全性容易成为整体系统的资安破口。


观察过去10年发生的重要骇客攻击事件,就可以看出制造系统现在所面临的威胁。在OT领域中,2010年伊朗核电厂遭受Stuxnet病毒攻击OT系统,接下来2014年开始到2019年,连续6年每年至少都有一起大型的OT被骇事件。不过仔细观察,到2016年,其手法主要都还是利用OT漏洞攻击,但从2017年开始,像是攻击乌克兰电厂中东能源厂的Triton、攻击挪威海德鲁铝业的LockerGoga、让台湾半导体产业深受其害的WANNACRY,其攻击型态都已经转换为从IT着手,间接影响OT系统。


用资安为OT设备延伸价值

由攻击手法的转变,可以看到OT系统未来的威胁只会越来越多,要有效防堵,除了设置各种防火墙之外,制造业网路的安全体系也要纳入监控和记录OT系统中各种系统上发生活动,其记录网路完整封包可提供完整的事件资讯,让团队准确分析发生的情况、时间,并快速定义安全问题的根本原因。此外,制造业者的资安团队也可以跟资安厂商合作定义安全基准线,依据历史攻击事件和威胁情资来定义系统异常,并且依据最新的威胁持续更新。


整体而言,现在产业IT端的资通防护已逐渐成熟,加上实体隔离已经难以抵抗当今复杂攻击,因此下阶段重点将在OT制造业防护上,管理者可从五大面向着手,包含:


一、应用白名单机制/端点侦测与回应;


二、OT漏洞管理;、


三、减少攻击表面;


四、建立可视化防御环境;


五、身份授权管理等提升防御能力。


此外,随着下游客户面对日益复杂骇客攻击,以及各国政府对产品安全的监管压力,设备厂商导入国际标准产品安全设计标准(如IEC6244 3等)需求也逐渐增加,厂商除了强化产品功能外,还可将资安视为差异化策略,提升产品附加价值。


未来网通、工业电脑、机械设备等产业可从安全可视性作为第一步,再逐步建立微网段、OT端点防护(如应用程式白名单)等,或是提供长期稳定性、可维护性的系统,如此一来,可获得制造业客户更多青睐。至于资安产业则需要思考产品使用体验,由于客户需要融合IT与OT的安全防御架构,避免使用太多的资安方案,提供整合管理平台,并串联更多生态系伙伴提升易用性,将有助于提升产品市场竞争力。


**刊头图(source:IoT World Today)


相关文章
AI赋能智慧制造转型
以「熄灯制造」心法实现全面自动化生产
以边缘AI运算强化智慧制造应用
大数据时代下,我们仍需要更大的工厂空间吗?
数位智慧催动绿色制造进程
comments powered by Disqus
相关讨论
  相关新闻
» 大昌华嘉引进MAGERLE五轴铣磨机 TMTS聚焦航太加工应用市场
» RIN国际研发高峰会手举行 金属中心展出亮眼成果
» 西门子工具机软硬体解决方案 构建数位制造核心应用
» 台安特殊钢铁投资逾1亿 落脚台南扩建智慧化厂房
» Renishaw 引领 5 轴量测新未来 AGILITYR 5 轴三次元量床重磅登场 TMTS 2024


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK83T4L6JKKSTACUK9
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw