1 工業(yè)大數(shù)據(jù)簡介
通常情況下�����,企業(yè)價(jià)值比較高的核心業(yè)務(wù)相關(guān)數(shù)據(jù)����,都使用專門的信息系統(tǒng)來定制存儲(chǔ)。在上世紀(jì)六十年代之后�����,信息技術(shù)不斷用于工業(yè)領(lǐng)域����,逐步形成了客戶關(guān)系管理(CRM)、產(chǎn)品生命周期管理(<a href="http://googro.cn"">PLM)��、供應(yīng)鏈管理(SCM)和企業(yè)資源規(guī)劃(ERP)等企業(yè)級的信息系統(tǒng)�。這些系統(tǒng)中積累的各種數(shù)據(jù)是工業(yè)方面?zhèn)鹘y(tǒng)的數(shù)據(jù)資產(chǎn),存在于企業(yè)的內(nèi)部����,主要包括:客戶服務(wù)數(shù)據(jù)、供應(yīng)鏈數(shù)據(jù)�、生產(chǎn)制造數(shù)據(jù)以及產(chǎn)品研發(fā)數(shù)據(jù)����。工業(yè)大數(shù)據(jù)的特征可基本描述如下:
1)強(qiáng)關(guān)聯(lián)�����。一方面是指可能會(huì)涉及到不同學(xué)科和專業(yè)的數(shù)據(jù)���,在其產(chǎn)品生命周期的統(tǒng)一階段����。另一方面指的是產(chǎn)品生命周期當(dāng)中的各個(gè)階段生成的數(shù)據(jù)需要建立銜接聯(lián)系�,也就是將保障階段的數(shù)據(jù)和設(shè)計(jì)制造階段進(jìn)行傳達(dá),同時(shí)��,將設(shè)計(jì)階段的數(shù)據(jù)單向發(fā)送給保障階段����。
2)高通量。是指工業(yè)傳感器需要短時(shí)間寫入超大規(guī)模的數(shù)據(jù)�����。工業(yè)互聯(lián)網(wǎng)時(shí)代的研究標(biāo)志是鑲?cè)胧絺鞲衅鞯闹悄芑ヂ?lián)產(chǎn)品���,同時(shí)也是將來工業(yè)發(fā)展的導(dǎo)向�,所以說����,工業(yè)大數(shù)據(jù)的主體重點(diǎn)集中在機(jī)器數(shù)據(jù)上。例如風(fēng)機(jī)裝備����,數(shù)據(jù)采樣頻率為50Hz時(shí),每臺機(jī)器平均125個(gè)測點(diǎn)�����,風(fēng)機(jī)則處于故障的狀態(tài)�����,某公司總共擁有超過一萬臺的風(fēng)機(jī)�����,瞬時(shí)數(shù)據(jù)的峰值超過一億數(shù)據(jù)點(diǎn)����。
2 MES系統(tǒng)信息安全需求分析
通過建立健全自動(dòng)化的生產(chǎn)基礎(chǔ)�,企業(yè)就能夠完善生產(chǎn)管理網(wǎng)絡(luò)�����,在此過程當(dāng)中的一個(gè)關(guān)鍵步驟���,主要是MES系統(tǒng)對企業(yè)辦公網(wǎng)絡(luò)和業(yè)務(wù)管理鏈接�。但是���,一旦成功連接企業(yè)內(nèi)部的生產(chǎn)網(wǎng)絡(luò)以及外部的互聯(lián)網(wǎng)����,就會(huì)面臨來自外部網(wǎng)絡(luò)的病毒入侵或者是黑客攻擊等方面的威脅��。如果這些威脅侵入到工業(yè)控制系統(tǒng)當(dāng)中����,一方面會(huì)竊取系統(tǒng)當(dāng)中的安全信息,另一方面還可能影響系統(tǒng)的穩(wěn)定運(yùn)行�,嚴(yán)重情況下甚至?xí)?dǎo)致系統(tǒng)崩潰。
所以說���,企業(yè)信息化發(fā)展中需充分注意的問題是保持MES系統(tǒng)的安全運(yùn)行�����,需引入一定的風(fēng)險(xiǎn)評估并采取積極防范方法��。研究可知�,作為連接企業(yè)BPS和PCS之間的紐帶����,MES系統(tǒng)信息的安全問題逐漸凸顯。MES系統(tǒng)的安全性是步驟繁瑣的技術(shù)工程����,并致力于解決各種安全隱患和不安全因素,從而獲得計(jì)算機(jī)各方面的性能高效與穩(wěn)定��。
MES系統(tǒng)的信息安全包括如下設(shè)計(jì)內(nèi)容:
1)防止信息的危險(xiǎn)泄露���,即確保信息在傳輸過程當(dāng)中免于竊取�����。
2)要確保系統(tǒng)持續(xù)穩(wěn)定運(yùn)作過程當(dāng)中的安全性����,并使其問題縮減到最小。
3)保證信息在有需求的時(shí)間�、地點(diǎn)和方式下可以正常使用,并且要保證信息的完整�����、一致及正確性���。
具體而言���,MES系統(tǒng)的信息安全可細(xì)分為如下功能安全需求:
1)可追溯性要求。是指能夠隨時(shí)對系統(tǒng)的狀態(tài)以及用戶的各種行為進(jìn)行查詢�����,并且能夠深入到執(zhí)行步驟的細(xì)節(jié)內(nèi)容��,不論合法用戶的各項(xiàng)操作或者是非法用戶的入侵行為���,各種活動(dòng)都要保留路徑記錄����,并且要滿足其查詢和追溯性。若要確保MES系統(tǒng)的總體安全�����,就需要采用多方位的防護(hù)����,整體上包含從基本技術(shù)到管理、從硬件到網(wǎng)絡(luò)等各個(gè)方面��,但其應(yīng)用層是安全保護(hù)的弱點(diǎn)�,本文再次設(shè)計(jì)MES系統(tǒng)的安全架構(gòu)����,從而改進(jìn)系統(tǒng)的安全性能。
2)完整性需求���?��?梢源_保數(shù)據(jù)的準(zhǔn)確性、功能性���,以及其正確運(yùn)行和資料的完整性��,從而維護(hù)程序����、資料免遭非法的破壞和改變。
3)保密性需求��。系統(tǒng)要求可以有效避免內(nèi)部信息的泄露���,避免在網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中發(fā)生泄露問題�����。
4)故障恢復(fù)需求����。在系統(tǒng)發(fā)生硬件或者軟件問題時(shí)�����,能夠在短時(shí)間內(nèi)恢復(fù)正常并且繼續(xù)投入服務(wù)����。
5)有效性需求。需要系統(tǒng)持續(xù)有效地提供系統(tǒng)資源�����,包括系統(tǒng)業(yè)務(wù)數(shù)據(jù)和功能,從而使合法用戶隨時(shí)可以利用系統(tǒng)以及資源來推進(jìn)展開業(yè)務(wù)����。除此之外,系統(tǒng)還需要有效判斷并且合理抵制非法用戶的侵入以及破壞行為�����。
3 MES系統(tǒng)下工業(yè)大數(shù)據(jù)安全機(jī)制的設(shè)計(jì)
3.1 身份驗(yàn)證與控制
為保證信息安全以及數(shù)據(jù)的完整�����,應(yīng)當(dāng)采取合法取證以及非法訪問原則����,也就是說假設(shè)所有非法用戶訪問的請求是從客戶端進(jìn)行接收�����,這就要求首先驗(yàn)證訪問用戶的身份�。除此之外,對于用戶請求的相關(guān)活動(dòng)����,即數(shù)據(jù)的各種操作��,全部展開合法的取證����,僅僅保留驗(yàn)證通過的相關(guān)請求����,對這些請求調(diào)用智能變換處理,只有這樣才能夠保證數(shù)據(jù)安全���。本架構(gòu)防護(hù)以及驗(yàn)證的過程當(dāng)中統(tǒng)共包括4個(gè)不同的層次�����,分別是:登錄驗(yàn)證層次���、操作驗(yàn)證層次、訪問驗(yàn)證層次以及數(shù)據(jù)驗(yàn)證層次�。
3.2 訪問控制策略
首先是基于角色的控制。MES系統(tǒng)在整理業(yè)務(wù)流程以及業(yè)務(wù)功能的前提下��,依據(jù)多方利益的分析���,可以抽象系統(tǒng)當(dāng)中的不同角色��,每個(gè)角色借助于相應(yīng)的系統(tǒng)功能處理富含針對性的各項(xiàng)業(yè)務(wù)����,需要承擔(dān)系統(tǒng)功能,構(gòu)建訪問控制的列表���,總地來說�,包括允許訪問的功能以及菜單���。為了保證系統(tǒng)訪問正常�,需要禁止某些類型的操作�。因此,其設(shè)定目的是禁用控制表��,例如禁用菜單以及操作列表等�。其次是菜單矩陣還有功能矩陣����。
工業(yè)企業(yè)當(dāng)中,MES系統(tǒng)需要為業(yè)務(wù)流程提供配套的操作能力�。為了滿足系統(tǒng)伸縮性這一領(lǐng)域的要求�,就要求生成多級���、動(dòng)態(tài)的菜單包含的業(yè)務(wù)功能或子程序的控制輸出系統(tǒng)��,最終即可研發(fā)得到操作界面���。操作界面的組合需要針對各種業(yè)務(wù),從而規(guī)范��、并優(yōu)化建立了菜單矩陣以及功能矩陣���。再次�����,是管理用戶權(quán)限��。這就要求實(shí)現(xiàn)訪問控制����,將角色賦予用戶�。用戶則擁有不同級別的訪問權(quán)限。
在企業(yè)MES的流程應(yīng)用過程當(dāng)中�����,企業(yè)用戶都配有一個(gè)帳戶進(jìn)行訪問,這也是用戶的標(biāo)識��。為了保證帳戶可靠與有效����,用戶帳戶均要由系統(tǒng)管理器協(xié)約管理,并設(shè)計(jì)具體的分配����。除此之外,系統(tǒng)的不同用戶都需要?jiǎng)澏üぷ髀氊?zé)���。對MES系統(tǒng)而言��,用戶可能擁有一個(gè)或者是多個(gè)不同的系統(tǒng)角色���,權(quán)限控制借助于角色訪問來實(shí)現(xiàn)。應(yīng)當(dāng)本著權(quán)限最小的原則���,合理安排角色授權(quán),設(shè)置禁止訪問列表來約束訪問權(quán)限�����,科學(xué)建立一個(gè)邊界安全訪問的系統(tǒng)。
3.3 系統(tǒng)安全審計(jì)
MES系統(tǒng)在設(shè)計(jì)的過程當(dāng)中需要完善捕獲系統(tǒng)以及記錄系統(tǒng)����,從而留存記錄各項(xiàng)關(guān)鍵動(dòng)作,以及用戶操作連同發(fā)生的位置����,同時(shí),還記錄了不合法用戶的入侵的痕跡���,留下可靠證據(jù)��。需要注意的是�,用戶以及管理人員的各項(xiàng)操作是MES系統(tǒng)的重點(diǎn)監(jiān)視內(nèi)容����。企業(yè)的審計(jì)人員能夠隨時(shí)隨地獲取指定部分記錄,并且執(zhí)行審計(jì)方案���,一旦發(fā)現(xiàn)違反安全規(guī)定的相關(guān)活動(dòng)�,就需要調(diào)研推理實(shí)施后果��,進(jìn)而采取有針對性的安保措施。
3.4 安全運(yùn)行管理
大部分的MES系統(tǒng)是由管理員來進(jìn)行管理����。雖然管理比較簡單,不過安全風(fēng)險(xiǎn)也比較明顯����。如果管理員帳戶遭到破壞,其它的安全措施將隨即失效�。因此應(yīng)當(dāng)劃分系統(tǒng)的權(quán)限從而實(shí)現(xiàn)相互限制,避免權(quán)限過度集中����。研究中,設(shè)計(jì)劃分的方法如下�。
首先需要設(shè)置用戶管理員,這一管理員負(fù)責(zé)安排用戶帳號并且撤銷用戶��,同時(shí)分配用戶角色�,也能夠重置用戶的密碼。其次是安全管理員����,這一管理員主要維護(hù)系統(tǒng)的功能以及菜單,掌握角色控制列表。用戶管理員以及安全管理員之間彼此獨(dú)立���,而且互相監(jiān)督。當(dāng)用戶權(quán)限協(xié)調(diào)的情況下才可以進(jìn)行分配�,并且實(shí)現(xiàn)分級管理,根據(jù)工廠���、車間等組織結(jié)構(gòu)���、或是根據(jù)不同的業(yè)務(wù)范圍,來劃分成具體的層次�����。管理員只可以在權(quán)限范圍當(dāng)中確立操作模式����。如此一來就形成了差異化管理和集中管理的技術(shù)模型。工業(yè)企業(yè)就能根據(jù)自身管理機(jī)制以及規(guī)模來引領(lǐng)并提升整體應(yīng)用設(shè)計(jì)�。
3.5 Web安全策略
應(yīng)當(dāng)根據(jù)MES系統(tǒng)常見的網(wǎng)絡(luò)入侵威脅,例如SQL注入��、cookie破壞以及緩沖區(qū)溢出等��,來設(shè)置延拓于事前以至事后的防御機(jī)制。事前需要盡可能在短時(shí)間內(nèi)判斷風(fēng)險(xiǎn)���,同時(shí)采取相應(yīng)的修復(fù)措施����;事中需要主動(dòng)防御進(jìn)行實(shí)時(shí)監(jiān)測���,早期發(fā)現(xiàn)�����,早期設(shè)防�,使風(fēng)險(xiǎn)和損失降到最低���。此框架為Web層面的安全策略����,能夠定期檢測Web當(dāng)中存在的漏洞�����,監(jiān)控拒絕服務(wù)攻擊等��,幫助企業(yè)打造安全監(jiān)控機(jī)制。在此基礎(chǔ)上����,工業(yè)企業(yè)需要掌握MES系統(tǒng)的安全狀況,從而最大限度規(guī)避安全風(fēng)險(xiǎn)����。
3.6 會(huì)話安全策略
HTTP網(wǎng)絡(luò)傳輸協(xié)議屬于無狀態(tài)協(xié)議�,這一協(xié)議無法維護(hù)兩個(gè)不同事務(wù)的連接,MES系統(tǒng)當(dāng)中的程序涉及到用戶的交互操作���,同時(shí)會(huì)對交互操作伴隨全面詳情記錄��,所以需要維持會(huì)話狀態(tài)�����。系統(tǒng)的會(huì)話狀態(tài)要求記錄用戶信息在客戶端中���,或記錄在服務(wù)器端,但還需要用戶請求以及服務(wù)器程序的對話傳輸ID��。這些信息都容易成為黑客攻擊的對象�,一旦被盜將會(huì)發(fā)生會(huì)話冒用問題,進(jìn)一步發(fā)展成為會(huì)話劫持,從而超出權(quán)限進(jìn)行訪問并且刪除數(shù)據(jù)����。
為了有效避免這類攻擊,一方面需要使用加密措施來強(qiáng)化用戶以及ID等環(huán)節(jié)����;另一方面,開發(fā)監(jiān)控會(huì)話狀態(tài)以及異常警報(bào)的策略�。相應(yīng)地,會(huì)話鎖定是指提供會(huì)話鎖定以及解鎖的功能���,同時(shí)可以支持建立交互會(huì)話��。在會(huì)話不再活動(dòng)的時(shí)候��,鎖定會(huì)話��,甚至是結(jié)束會(huì)話����。如果用戶靜止的時(shí)間比較長�����,鎖定會(huì)話可研究給出如下方法:
1)刪除或涂抹在顯示設(shè)備上的,使之設(shè)置為不能閱讀的內(nèi)容�����。
2)對全部用戶數(shù)據(jù)操作的活動(dòng)實(shí)施解鎖��。
3)識別解鎖前�,需要核實(shí)用戶的身份。
而異常報(bào)警是指在會(huì)話的過程當(dāng)中監(jiān)視用戶操作相關(guān)行為����,保護(hù)異常行為��,并生成報(bào)警��,例如刪除以及修改數(shù)據(jù)的操作���,或者是同一用戶在不同位置請求會(huì)話等�����。
4 結(jié)束語
工業(yè)大數(shù)據(jù)可以說是實(shí)現(xiàn)制造業(yè)智能化的可靠途徑���,是改進(jìn)競爭力以及生產(chǎn)率的核心因素�。中國不僅是一個(gè)制造商���,更是一個(gè)使用者�����,工業(yè)大數(shù)據(jù)的主體即是在裝備應(yīng)用過程當(dāng)中產(chǎn)生大量的數(shù)據(jù)�,為智能制造的發(fā)展提供重要的戰(zhàn)略資源�。在此過程當(dāng)中,工業(yè)數(shù)據(jù)攸關(guān)國家安全以及主權(quán)�����,對于國民經(jīng)濟(jì)和人民生活具有密切相關(guān)的基礎(chǔ)推動(dòng)作用�����。
總而言之����,工業(yè)大數(shù)據(jù)是一個(gè)持續(xù)發(fā)展中的學(xué)科,在模型理論����、內(nèi)涵擴(kuò)展����、事實(shí)途徑以及具體的實(shí)施策略方面均存在廣闊的研發(fā)創(chuàng)新空間��。這就要求研究付諸實(shí)踐的同時(shí)要緊密結(jié)合中國的國情��,加大投資并且探索發(fā)展工業(yè)大數(shù)據(jù)的合理路徑��,同時(shí)提升工業(yè)大數(shù)據(jù)的安全防護(hù)力度���,從而順利實(shí)現(xiàn)制造強(qiáng)國的戰(zhàn)略發(fā)展目標(biāo)���。
