互联企业
“这些新技术将改变我们过去实施工业自动化的方式,但我们必须确保这些技术在工业应用中足够牢靠,”罗克韦尔自动化的高级副总裁兼首席技术官苏吉特•昌德(Sujeet Chand)与罗克韦尔自动化的架构与软件高级副总裁弗兰克•库拉兹维兹(Frank Kulaszewicz),在一个主题演讲中所指出的那样,“我们相信2013年是制造和企业信息融合的一个转折点,”昌德补充说道。
融合的技术包括:因特网和以太网,以及互操作性标准如XML,正在影响着企业,这些技术使工厂与办公室系统能可靠、安全地啮合。“很多公司正在评估它们所带来的收益和成果,使这些技术值得投资,”昌德在后来的采访中补充说。“我们的目标是让互联企业易于部署。公司可能不希望把自己工厂的制造信息公布在企业内部网上。我们有一个安全架构,为我们的客户按照需求定制,满足他们的期望。”
昌德在主题演讲中叙述了主要技术的发展趋势,这些技术正在驱使业务和工业运行方式发生变化,这其中包括:云计算、移动性和大数据。“举个例子,”公司的首席技术官指出,“云计算和远程监视非常适合一起工作。商用技术的适时到位为客户提供了很高的价值。”
作为一个例子,Hilcorp能源公司,在阿拉斯加的基奈半岛经营一个石油钻井平台,使用微软Windows 的Azure云平台,监视中压驱动器网络提供的信息,能预测这些现场单元的潜在失效。该公司已经把老式泵升级为电动泵,希望确保当一台设备出现了问题时,工作人员能够马上识别并迅速解决,之后重新上线恢复工作。根据该公司的技术员介绍,当一口井脱扣离线时,罗克韦尔自动化的虚拟支持工程师即时发现了问题所在,使他们能够在15分钟内排除故障,而这在过去通常需要六个小时才能完成。
另一家公司受益于互联企业威力的公司是名爵布莱恩(MG Bryan)公司,这是一家石油和天然气行业的重型设备与机械制造商。该公司正在使用云计算为他们的高科技压裂设备进行远程资产管理。由罗克韦尔自动化公司提供设计和集成,新的控制和信息系统采用微软Windows的 Azure云平台,提供实时信息、自动报警和备件订购。
“名爵布莱恩想对其压裂车进行远程监视,这些车往往在边远地区运行,没有IT服务器或因特网连接,”昌德解释说。“我们建立了一个网关,使用蜂窝或卫星网络连接到云,使布莱恩公司能够分析他们的现场服务信息,例如,当他们的空气过滤器或其他部件需要更换时,就能马上订购这些部件,使设备的正常运行时间最大化,”他补充说。“对于布莱恩公司来说,云提供了一种可扩展、高性价比的方法来存储和远程访问实时信息,有助于延长设备的生命周期和优化生产力。”
罗克韦尔自动化的互联企业愿景为工业企业提供了感兴趣的可持续性收益。据估计,全球的能源消费量预计在2035年攀升50%。在工厂车间里,50%的能量估计被电动机所消耗。
“利用互联企业的功能,工业企业可以使用变频驱动器节省能源消耗,”库拉兹维兹补充道。“我们将看到设备会有更多的实时监测,对消耗做出正确的判定。”有了节能减排的目标,罗克韦尔自动化就可以帮助企业设计、监视和控制他们的能源使用。
当然,互联企业战略的一个重要收益是让更多的人即时访问信息,从而使各级员工能够做出自己更好的决策。“许多首席信息官认识到,更好的业务分析是改善工厂车间运行的关键,”库拉兹维兹在罗克韦尔自动化大学(RSTechED)的课程上告诉听众,参加RSTechED约有2,000多名与会者,包括客户、分销商和合作伙伴。“我们罗克韦尔自动化公司的目标是提供生产的最优化。”
企业安保
在整个价值链之间,无缝和安全地连接孤立的设备和流程一直是制造商的目标。但工业自动化技术和信息技术之间的技术与文化差距一直是块绊脚石,只有在工厂与办公室之间实现平稳和安全的连接才能获益。
罗克韦尔自动化和思科公司已经为企业的自动化解决方案绘制了一张路线图,通过产品、服务和教育资源的有机协同,帮助制造商提高他们的业务绩效。这些工业领导者正在共同努力,帮助制造商融合他们的网络基础设施,集成他们的技术和业务系统。通过完全的“互联企业”而获得有价值的可用信息,企业能够实施实时的运行性能基准测试、虚拟仿真和设计,以及能源管理。
安全是使互联企业成功运行的关键。互联企业需要一个深入细致的安全策略,要把安全理念灌输到工厂和业务的基础设施之中,并随时间和需求而不断演变。这不是个一锤子买卖。有适当保护基础设施的制造商将能够利用互联企业的效益优势 -- 包括云计算、无线网络、移动设备等新技术。罗克韦尔自动化的控制和可视化业务副总裁兼总经理凯文•扎巴(Kevin Zaba)和思科系统公司互联工业集团的副总裁兼总经理马切伊•克兰兹(MaciejKranz),在今天的罗克韦尔自动化大学(RSTechED)的讲演中解释道 -- 安全是制造商寻求利用这些新的颠覆性技术的拐点。
罗克韦尔自动化和思科公司叙述的安全愿景使制造商能够建立和实施安全环境,可从企业上层一路下达到工厂现场底层的单个设备,无论是工厂车间中的传感器、执行器,还是操作员手中的智能手机。这一愿景与常见的工厂和企业级系统方法,具有完全不同的策略和程序。
更多的制造商逐渐意识到他们的知识产权不仅存在于企业层,而且存在于工厂车间使用的数据中。这使得我们要从站点级和企业级更广阔的视角来理解信息安全的必要性。作为一个例子,典型的制造企业在全球的不同国家有许多工厂,流程的形式、配方和产品规范数据等知识产权可能每天会暴露数万次。让世界各地的员工用移动设备访问公司的记录和其他敏感数据增加了泄露的风险。
同样的,包含在工厂级的数据爆炸 -- 在生产服务器、控制器、仪表和工作站中--为了确保产品和流程信息得到充分保护,要具有高安全的等级。普遍接受的观点为:控制器是工厂车间信息的中心点,而在今天的生产设施中,多样化、功能强大的设备组成的自动化系统改变了这种观点。在一个互联企业,很多这样的运行数据可以通过智能手机和其他设备访问 -- 实际上,允许这些信息在设备区域进入和输出。
罗克韦尔自动化与思科公司的看法是,制造商可以通过这种方法而获益,即指定所有的设备采用公共联网技术 -- 以太网和TCP/ IP协议--这是目前全球使用的最多网络技术。EtherNet / IP,是一种领先的、开放的工业以太网,旨在实现主系统和子系统的跨接,可以从终端客户的工厂 -- 或站点–或IT基础设施连接到工厂车间的仪表层。
EtherNet / IP使用相同的以太网和已用于信息技术应用的TCP/ IP协议族,提供了传统现场总线解决方案所具有的性能、弹性和安全。
今天制造商面临的挑战,如扎巴和克兰兹指出的,是工厂或站点的管理人员和操作人员要接受更多的培训,要了解企业的安全环境和规程,还要了解安全是一种不断进化和持续的投资,不是个一次性的事件。
为此,罗克韦尔自动化和思科公司也与泛达(Panduit)公司进行合作,建立联合教育论坛与工业知识产权优势资源中心。在线资源中心将作为一个提供技术文件和认证项目的网站,支持制造企业中的工业联网和技术应用。
“纵深防御”的策略
保护工业资产需要纵深防御的安保方法,针对内部和外部的安全威胁。纵深防御的安保体系结构是基于任何一个保护点可能会,或也许会攻破的理念。这种方法使用多层防御(物理、电子和规程),在不同的情况下,针对不同的风险采用相应的措施。
例如,多层的网络安保可以保护网络资产、数据和终端,就如同多层物理安保可以保护高价值的实物资产。这给出了以下结果:
● 把系统安保设计到基础设施中,成为整体网络安保中的一组层。
● 攻击者要面临一系列困难的任务,要通过或绕过每个安全层而不被发现。
● 一个层中的弱点或缺陷可以通过其他安保层引入的强度、功能或新变量加以保护。
纵深防御安保是一种有五层的方法,针对于物理、网络、计算机、应用程序和设备的安保。
物理安保包括警卫、大门等物理安保机制。
网络安保是基础设施框架,并应配备各种硬件设备,如防火墙、入侵检测系统和入侵防御系统(IDS / IPS)和一般网络设备,如配置了启用安保功能的管理型交换机和路由器。区域建立信任域用于安全访问,更小的局域网(LAN)用于裁剪和管理网络流量。
罗克韦尔自动化推荐用户建立一个工业隔离区(IDMZ),这是工业区和企业区之间的一面屏障,但仍然允许两个区安全共享数据和服务(见图示)。来自企业或工业区的所有网络通信都终止于IDMZ。
在这一层,资产所有者应遵循“最小路线的原则。”这源于IT最小特权的原则,罗克韦尔自动化设计的这一概念旨在引导客户,为每个操作员的特定工作仅提供必要信息和资源的访问。这限制了到安保系统的路径,使其难以穿透。
众所周知(已经发布)的软件漏洞是入侵者进入自动化系统数量第一的方式。加固计算机的例子包括使用:
● 防病毒软件。
● 应用白名单。
● 主机入侵检测系统(HIDS)和其他终端安保解决方案。
● 删除不使用的应用、协议和服务。
● 关闭不必要的端口。
在工厂车间的计算机,如人机界面(HMI)或工业计算机,很容易受到恶意软件的网络侵犯,包括病毒和木马。软件打补丁可以与其他加固技术一同使用,帮助用户进一步降低电脑的风险。遵循以下指南可帮助用户降低风险:
● 禁用PC上的软件自动更新服务。
● 库存目标为应用、软件版本和修订的计算机。
● 为补丁兼容性订阅和监测供应商补丁资格服务。
● 直接从供应商获得产品补丁和软件升级。
● 预先在非运行和非关键系统上测试所有的补丁,然后再真正实施。
● 安排应用的补丁和升级,并且要防止意外。
应用安保指的是把安保的概念注入工业控制系统(ICS)应用的过程。这包括以下最佳实践,例如使用基于角色的访问控制系统,利用最小使用或权限来锁定对关键过程功能的访问,强迫用户名/密码登录等。这些更精细的项目为ICS应用,增强了整体安全环境,减少了变量的复杂性。其结果是一个更稳定、更安全的系统。
加固设备涉及到改变一个嵌入式设备的默认配置,使其更加安全。这些嵌入式设备包括:可编程自动化控制器(PAC)、路由器、管理型交换机、防火墙和其他嵌入式设备。其默认安全将基于设备的分类和类型,随后的改变工作需要为特别的设备进行加固。
