工業(yè)4.0：從信息安全出發(fā)提升智能制造

　　在經(jīng)歷了機械化、電氣化、數(shù)字化的轉(zhuǎn)型發(fā)展以后，全球的工業(yè)制造正在經(jīng)歷新一輪的變革——智能化。以德國政府于2013年提出的“工業(yè)4.0”為開端，智能制造在近年里一直處于風口浪尖。世界各國都提出了符合自己國情的戰(zhàn)略方針。在中國，以實現(xiàn)“制造強國”目標的行動綱領(lǐng)被稱為“中國制造2025”。很多中國企業(yè)希望藉由智能制造，大幅降低成本，實現(xiàn)彎道超車，但是事情往往沒有那么簡單。在智能制造風行一時的大背景下，適時的后退一步審視全局是非常必要的。在急著把所有設(shè)備都連上網(wǎng)之前，不妨思考一下智能制造可能帶來的風險和切實可行的解決方案。

　　工業(yè)4.0背景下信息安全的意義和面臨的風險

　　從通俗的角度說，工業(yè)4.0是以智能制造為主導的第四次工業(yè)革命。隨著信息技術(shù)和工業(yè)技術(shù)的高度融合。在制造業(yè)，這種融合具體體現(xiàn)為資源、信息、物品和人力資源相互關(guān)聯(lián)的“虛擬網(wǎng)絡(luò)-實體物理系統(tǒng)”。而通過工業(yè)互聯(lián)網(wǎng)將供應(yīng)鏈，生產(chǎn)過程和倉儲物流智能連接，實現(xiàn)生產(chǎn)成本的全面降低以及制造業(yè)競爭力的最大化。

　　從更深的層面來說，工業(yè)4.0與其說是一種物質(zhì)的，實體的轉(zhuǎn)型變革，不如說是一種思維方式的變化和制造業(yè)自身價值鏈的轉(zhuǎn)變。制造業(yè)從專注制造產(chǎn)品擴展成集采購、生產(chǎn)、銷售、服務(wù)為一體的完整價值鏈。通過正如安德烈斯﹒豪澤博士在TüV南德意志集團舉辦的主題峰會“智造中國——立足變革之中國，激發(fā)永續(xù)之信任”上所說，“工業(yè)4.0建立的是一種超鏈接。在這種超鏈接中，自動化和互動性不僅僅發(fā)生在工廠環(huán)境的范疇，更延伸到整個價值鏈上，擴展到供應(yīng)商和客戶身上，解決完整的生產(chǎn)環(huán)節(jié)。[1]”值得注意的是， 在RAMI4.0中也有類似的觀點。RAMI4.0的價值鏈維度描述了產(chǎn)品全生命周期中工業(yè)要素從虛擬原型到實物的全過程。一方面，工業(yè)生產(chǎn)部分依托信息技術(shù)實現(xiàn)“數(shù)字孿生”;另一方面，虛擬系統(tǒng)最終還是要回歸實物，實現(xiàn)工業(yè)生產(chǎn)環(huán)節(jié)的末端鏈接——在工業(yè)生產(chǎn)中，即為末端制造。

　　TüV南德意志集團卓越中心數(shù)字業(yè)務(wù)部總監(jiān)安德烈斯﹒豪澤博士于“智造中國——立足變革之中國，激發(fā)永續(xù)之信任”高峰會議發(fā)言

　　當整個產(chǎn)品生命周期都系于互聯(lián)網(wǎng)一線，信息安全的重要性就不言而喻了。TüV南德意志集團工業(yè)及能源產(chǎn)品全球負責人德特夫﹒理查博士表示，物聯(lián)網(wǎng)的普及意味著更長的鏈條，更多維度的元素融入，這給安全和安保都帶了新的挑戰(zhàn)?；ヂ?lián)的工業(yè)4.0產(chǎn)品的風險評估;標準化工業(yè)4.0組件，模塊和系統(tǒng);建立合格評估的數(shù)字化的實時流程都是工業(yè)4.0對象屬性和交流平臺應(yīng)該完善的[2]。其實早在兩年前，TüV南德意志集團就注意到了這個問題。2015年，由TüV南德發(fā)起的Honeynet項目在8個月內(nèi)記錄了超過60,000次企圖闖入虛擬基礎(chǔ)設(shè)施的嘗試。攻擊來自世界各地的服務(wù)器，偽造IP地址也是常用的手段之一。該項目有效地證明了，在數(shù)字化智能化日益發(fā)展的今天，對基礎(chǔ)設(shè)施及生產(chǎn)設(shè)施進行的針對性攻擊不再是孤立事件。2016年美國互聯(lián)網(wǎng)遭黑客襲擊導致大規(guī)模網(wǎng)站癱瘓的事件更證明了全世界范圍內(nèi)信息安全形式之嚴峻。

　　TüV南德意志集團工業(yè)及能源產(chǎn)品全球負責人德特夫·理查博士分享“工業(yè)4.0“主題報告

　　中國政府近年來也越來越重視網(wǎng)絡(luò)信息安全。新的國家安全法規(guī)定，國家建設(shè)網(wǎng)絡(luò)與信息安全保障體系，并加強網(wǎng)絡(luò)管理，防范、制止和依法懲治網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)竊密、散布違法有害信息等網(wǎng)絡(luò)違法犯罪行為，維護國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益[3]。2016年新出臺的《網(wǎng)絡(luò)安全法》也開宗明義地闡述了保障網(wǎng)絡(luò)安全對保障公民利益，促進社會經(jīng)濟文化發(fā)展的重要意義[4]。

　　中國制造2025和智能制造的現(xiàn)狀和前景

　　相對德國在制造業(yè)成熟的條件下提出“工業(yè)4.0”來說，中國的制造業(yè)現(xiàn)狀要復雜的多。大量傳統(tǒng)制造業(yè)還遠沒有到達可以開始數(shù)字化轉(zhuǎn)型的階段?；ヂ?lián)網(wǎng)數(shù)據(jù)中心(IDC)的研究報告也用數(shù)據(jù)闡釋了中國智能制造方面巨大的發(fā)展?jié)摿?。?015到2019年，中國的機器人技術(shù)與相關(guān)服務(wù)的支出從97億增長到467億，但是復合年增長率仍遠低于17%的全球增長率[5]。庫卡機器人中國區(qū)渠道戰(zhàn)略經(jīng)理也在主題峰會中提到，作為工業(yè)4.0重要要素的機器人在中國近年來的密度大約是每萬名員工49個，只是歐洲地區(qū)的一半[6]。由此可見，在數(shù)字化轉(zhuǎn)型的過程中，中國在高端數(shù)字化和信息基礎(chǔ)設(shè)施的應(yīng)用中還有很長的路要走。

　　TüV南德意志集團“智造中國——立足變革之中國，激發(fā)永續(xù)之信任”高峰會議現(xiàn)場

　　TüV南德意志集團始終對中國工業(yè)智能化數(shù)字化的發(fā)展持樂觀的態(tài)度。TüV南德意志集團大中華區(qū)商業(yè)產(chǎn)品服務(wù)部副總裁羅伯特﹒普特博士認為，“中國制造2025”與“工業(yè)4.0”在工具和整體方案上是相互學習而非相互競爭的關(guān)系?！爸袊圃?025“目指的是中國整體制造業(yè)的升級改造，目前可以學習“工業(yè)4.0”相對成熟的機制，但考慮到中國巨大的經(jīng)濟體量，一旦新技術(shù)全面鋪開，它的發(fā)展速度和規(guī)模擴張會比世界上任何一個國家都要快。而在這一過程中，在管理和技術(shù)上，對工業(yè)信息安全也提出了更高的要求。就像羅蘭貝格亞洲區(qū)總裁戴璞所說的，“數(shù)據(jù)保護最終將需要一個全球性的合作協(xié)議——這顯然一時半會是落實不了的。那就一步步來，先從每個工廠，國家和地區(qū)自己的數(shù)據(jù)保護法規(guī)做起。最終會有一天，對信息安全的保護就像現(xiàn)在保護財產(chǎn)，和保護專利一樣，成為常態(tài)?！盵7]

　　TüV南德意志集團大中華區(qū)商業(yè)產(chǎn)品服務(wù)部副總裁羅伯特﹒普特博士于“智造中國——立足變革之中國，激發(fā)永續(xù)之信任”高峰會議發(fā)言

　　然而，中國企業(yè)在急于轉(zhuǎn)型時，一方面會忽略安全制度的建立，另一方面，當成本和安全性發(fā)生沖突時，往往會更偏向平衡成本。當大量工業(yè)控制系統(tǒng)在完全沒有保護的情況下唄連接到互聯(lián)網(wǎng)中，而這些設(shè)備大多使用默認的用戶名和密碼，可以被輕易破解，登陸訪問。這些控制系統(tǒng)是最脆弱，容易被攻擊的。而最危險的事，系統(tǒng)的使用者對這些潛在的危險毫無知覺。

　　第三方檢驗檢測機幫助企業(yè)完善信息安全問題

　　從德國“工業(yè)4.0”的發(fā)展歷史來看，智能制造不是一個公司或者品牌可以成就的，真正需要建立地是一個相應(yīng)的生態(tài)系統(tǒng)。TüV南德意志集團大中華區(qū)工業(yè)產(chǎn)品部高級經(jīng)理張韜認為，在中國要推進智能制造的話，組建一個生態(tài)圈非常重要，只有制定統(tǒng)一的，獲得制造商公認的標準，才可以真正推進中國的智能制造。

　　第三方檢驗檢測機構(gòu)在這方面就是一個很好的領(lǐng)頭人。TüV南德正致力于完善整個標準化的體制。同時，借助政府對“中國制造2025”的政策傾斜，將國際上最先進的理念引進國內(nèi)，積極充當國內(nèi)和國際標準之間的橋梁角色，幫助國內(nèi)制造業(yè)從勞動密集型到高端制造業(yè)轉(zhuǎn)型。

　　而從企業(yè)微觀的層面來說，TüV南德意志集團提供的專業(yè)測試、檢驗、審核、認證、培訓和知識服務(wù)等一站式技術(shù)解決方案。針對制造過程中工人安全跟信息安全的因素越來越大，TüV南德也是在國內(nèi)進行了對工人安全和信息安全的大力推廣，旨在幫助企業(yè)提升自我保護意識，學會保護自己的系統(tǒng)不受入侵。西門子過程工業(yè)與驅(qū)動集團首席執(zhí)行官Juergen Brandes也持有類似的觀點。在他看來，一個主動性的信息安全解決方案還要在黑客自己都不知道的情況下，就能夠判斷出他下一步的意圖，并且實現(xiàn)持續(xù)不斷地保護，能夠把網(wǎng)絡(luò)當中的不同的安全級別給識別出來?！爸鲃拥男畔踩鉀Q方案要比世界上任何一個黑客都更加聰明[8]。因此，西門子工程控制系統(tǒng)Simatic PCS 7成為了世界首批獲得IEC 62443 證書的認證對象。在經(jīng)歷了評估，實施和持續(xù)監(jiān)控三步之后，西門子將“縱深防御”引入過程控制系統(tǒng)的信息安全解決方案 ：在外部世界的威脅和工控網(wǎng)絡(luò)之間建立盡可能多層次的保護[9]。

　　在智能制造迅猛發(fā)展的今天，TüV南德意志集團作為信任的橋梁，通過權(quán)威公正的檢驗檢測與優(yōu)質(zhì)完善的技術(shù)服務(wù)，助力企業(yè)掃除思想和制度上的盲點和障礙，在制造業(yè)轉(zhuǎn)型的浪潮中贏在工業(yè)信息安全的起跑線上。竭力推動行業(yè)規(guī)范標準的同時，建立企業(yè)對數(shù)字化流程的信任，迎接即將到來的工業(yè)革命新浪潮。