機床云制造平臺方案

1、機床云制造平臺方案驗證示范平臺目標和概述機床云制造平臺旨在為機床云制造平臺提供一整套連接解決方案：采用物聯(lián)網(wǎng)（IoT）技術(shù)將智能機床連接到機床云制造平臺；提供從終端、網(wǎng)絡(luò)和云端的整體安全方案；具備智能聯(lián)網(wǎng)、邊緣計算（IoT 網(wǎng)關(guān)對機床采集數(shù)據(jù)進行預(yù)處理）、漏洞防護、終端管理、證書管理、防偽冒等安全功能；支持多種不同類型機床設(shè)備；支持通過MTConnect 等標準協(xié)議的物聯(lián)通訊。通過機床云制造平臺開展個性化制造試點預(yù)期成果商業(yè)價值提供安全的無線接入設(shè)備，減少網(wǎng)絡(luò)布線的問題，增加企業(yè)安全聯(lián)網(wǎng)方案的選擇項。發(fā)展機床云制造平臺，通過三方安全評估和模擬攻擊，達到相關(guān)國家安全標準。相關(guān)方案可以推廣，支持類

2、似智能裝備互聯(lián)網(wǎng)化后的安全應(yīng)用。完成基于機床云制造平臺的個性化制造驗證經(jīng)濟效益驗證示范平臺的經(jīng)濟效益包括：減少機床網(wǎng)絡(luò)布線成本，提高效率和可靠性，并能最大化生產(chǎn)；通過遠程維護、預(yù)測性維護，降低維護成本，提高資源的利用率和客戶的滿意度。通過機床云制造平臺，實現(xiàn)個性化制造服務(wù)，打造新的業(yè)務(wù)模式。社會價值驗證示范平臺的特點是通過引入物聯(lián)網(wǎng)技術(shù)，改變了傳統(tǒng)制造業(yè)的生產(chǎn)加工流程及傳統(tǒng)制造模式，為企業(yè)客戶提供了更加安全和靈活的生產(chǎn)方式，提高了設(shè)備利用率，增加了生產(chǎn)效率，提高了設(shè)備廠家的售后服務(wù)，降低了故障導(dǎo)致的宕機時間。驗證示范平臺技術(shù)可行性驗證示范平臺解決方案架構(gòu)如圖 1 所示圖 1. 解決方案系統(tǒng)架構(gòu)

3、圖設(shè)備接入通過在 NC 上部署 SDK，也可以通過 iBOX 進行相關(guān)設(shè)備接入，以方便接入 MES 等企業(yè)本地系統(tǒng)設(shè)備通過安全鏈路 VPN 接入，可以保證相關(guān)的數(shù)據(jù)和接入安全。服務(wù)層主要提供個性化制造所必須的相關(guān)服務(wù)，通過把個性化的關(guān)鍵環(huán)節(jié)進行拆分，對重點的一些服務(wù)進行梳理和劃分，可以滿足服務(wù)的需要和相關(guān)架構(gòu)要求，每個部分都具備可行性。從應(yīng)用層來看，主要是實現(xiàn)個性化制造的管理、配置、及與設(shè)計師的溝通，可以以 App 的形式進行發(fā)布；從管理和配置方面，可以通過 Web 的形式進行研發(fā)，都具備可行性。物理平臺智能機床：在初始階段, 由于有限的試驗站點訪問權(quán)限，機床云制造平臺安全平臺將僅限于現(xiàn)有的合

4、作伙伴物聯(lián)網(wǎng)網(wǎng)關(guān)：主要進行機床通訊協(xié)議轉(zhuǎn)換，提供通訊服務(wù)云端資源服務(wù)：需要提供云端服務(wù)器和網(wǎng)絡(luò)接入設(shè)施，并提供相關(guān)的進行個性化制造的機床設(shè)備。機床軟件平臺VPN客戶端：用于與安全網(wǎng)關(guān)建立安全的鏈接通道。數(shù)據(jù)接入平臺：用于解析加密數(shù)據(jù)，并且對連入平臺的設(shè)備進行統(tǒng)一管理及驗證。服務(wù)層：圖中相關(guān)的服務(wù)要進行開發(fā)，并在個性化服務(wù)平臺上進行部署。驗證示范平臺的主要工作是要把相關(guān)的服務(wù)定義和研發(fā)出來，能夠同個應(yīng)用層把各個服務(wù)進行串接，滿足個性化制造的需求。應(yīng)用層：開發(fā)面向用戶和設(shè)計師及運營管理的應(yīng)用，展現(xiàn)個性化制造的實際應(yīng)用過程。技術(shù)及測試臺的關(guān)系A(chǔ)II 總體架構(gòu)下圖顯示了系統(tǒng)組件部署在參考架構(gòu)中的不同層

5、的情況AII 安全驗證示范平臺將遵循工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟提供的安全指導(dǎo)原則進行安全設(shè)計、實現(xiàn)和測試。將和 AII 安全組密切合作，邀請安全組成員參加驗證示范平臺項目評審。本驗證示范平臺安全設(shè)計原則：智能機床及網(wǎng)絡(luò)系統(tǒng)會都受到內(nèi)或外的攻擊，要考慮各種安全情況。系統(tǒng)具備標準安全協(xié)議 (例如 SSL、 SSH，VPN 連接)，對系統(tǒng)的訪問總是進行身份驗證和，并與授權(quán)系統(tǒng)相關(guān)聯(lián)。系統(tǒng)間通信包含敏感數(shù)據(jù)時通過標準安全協(xié)議加密以確保安全不留下任何未受保護或未使用的開放端口，并且在利用公有云的的防火墻規(guī)則，系統(tǒng)在 VPN 環(huán)境中部署。系統(tǒng)所有面向外部的訪問 API 要執(zhí)行身份驗證系統(tǒng)對安全憑據(jù)存儲加密系統(tǒng)對敏

6、感數(shù)據(jù)單獨加密 （包括隱私）系統(tǒng)對安全密鑰實施輪換政策網(wǎng)關(guān)采用數(shù)據(jù)加密交互。傳輸數(shù)據(jù)通道采用VPN 加密。智能機床使用安全 SDK 對系統(tǒng)進行保護。如指令白名單，數(shù)據(jù)加密。詳細清單設(shè)備名稱數(shù)量說明I5 智能機床1測試核心設(shè)備數(shù)據(jù)采集模塊1收集機床產(chǎn)生的數(shù)據(jù)安全 sdk1對機床系統(tǒng)進行保護交換機1按需路由器1按需IoT 網(wǎng)關(guān)1網(wǎng)絡(luò)通道加密vpn 服務(wù)器1網(wǎng)絡(luò)通道解密3g/4g 模塊1如具備有線網(wǎng)絡(luò)可省略驗證示范平臺中設(shè)計的組件：風(fēng)險模型驗證示范平臺面臨的風(fēng)險如下：驗證示范平臺與驗證示范平臺之間未采取邏輯隔離，這將導(dǎo)致增大了生產(chǎn)大區(qū)內(nèi)出現(xiàn)的潛在風(fēng)險及容易遭受內(nèi)外部（主動、被動）攻擊可能。驗證示范平

7、臺所在區(qū)域網(wǎng)絡(luò)中的其他系統(tǒng)針對系統(tǒng)漏洞未實施有效的措施，這將導(dǎo)致系統(tǒng)存在大量安全漏洞，使攻擊者在未授權(quán)的情況下訪問或破壞機床系統(tǒng)。操作員和工程師的 USB 設(shè)備，服務(wù)器 USB 口和交換機閑置網(wǎng)口，僅從制度上要求禁止隨意接入，實際缺乏技術(shù)上的防護措施，由管理漏洞導(dǎo)致的存儲介質(zhì)交叉使用，將導(dǎo)致數(shù)據(jù)泄露和病毒感染。通過設(shè)備后門進行的遠程維護服務(wù)，一旦攻擊者控制了驗證示范平臺的一臺機床，則可能控制整個區(qū)域的機床。風(fēng)險評估模型說明：環(huán)境漏洞等級主要漏洞舉例現(xiàn)場3物理破壞&改變設(shè)備模擬物理攻擊網(wǎng)絡(luò)攻擊修改驗證示范平臺上的數(shù)據(jù)采集模塊客戶側(cè)/受控的設(shè)備3內(nèi)部未授權(quán)的訪問外部模擬網(wǎng)絡(luò)攻擊不合法設(shè)備連接云環(huán)境

8、5內(nèi)部未授權(quán)的訪問網(wǎng)絡(luò)攻擊云服務(wù)平臺來自外在攻擊的潛在破壞驗證示范平臺首先從檢測設(shè)備和系統(tǒng)執(zhí)行部件的功能開始高等級漏洞評估。把他們分為 5 類， 每一類指配一個等級。功能類別Potential Impacts if compromisedDamage Level智能機床系統(tǒng)導(dǎo)致系統(tǒng)參數(shù)惡意調(diào)整5數(shù)據(jù)采集模塊數(shù)據(jù)篡改服務(wù)中斷4安全偽造假的正確數(shù)據(jù)偽造錯誤的假數(shù)據(jù)無法運行5保密性敏感數(shù)據(jù)和業(yè)務(wù)的泄露3只讀信息不正確的信息導(dǎo)致錯誤的統(tǒng)計信息2設(shè)備和系統(tǒng)部件的評估下表列出了通用的風(fēng)險評估，這些評估基于漏洞和破壞等級。物理部署環(huán)境智能機床系統(tǒng) (5)數(shù)據(jù)采集模塊 (4)安全(5)保密性 (3)只讀信息

9、(2)現(xiàn)場 (5)2520251510客戶側(cè)(3)15121596云環(huán)境(2)1081064安全聯(lián)系人AII 數(shù)據(jù)管理收集上來的數(shù)據(jù)會統(tǒng)一進入我們的大數(shù)據(jù)處理中心，進行統(tǒng)一存儲以便后續(xù)的分析提煉。AII 驗證示范平臺此驗證示范平臺主要目的在于測試機床云制造平臺安全互聯(lián)，是機床領(lǐng)域第一個 AII 驗證示范平臺，該驗證示范平臺的方案可以對其他工業(yè)互聯(lián)網(wǎng)智能設(shè)備的組網(wǎng)安全提供參考交付件機床云制造平臺將遵循傳統(tǒng)的開發(fā)生命周期，分四個階段開發(fā)：階段1 (Q2 2016): 需求分析目標：根據(jù)安全要求和業(yè)界實踐確定需求和適用條件分析潛在隱患確定個性化制造的需求交付件：機床云制造平臺需求描述文檔。成功標準：

10、文檔完成并通過評審。階段2(Q3 2016): 初始驗證示范平臺設(shè)計目標：確定系統(tǒng)架構(gòu)的技術(shù)參數(shù)；針對使用案例提出定制化的解決方案；確定整體解決方案； 交付件：機床云制造平臺整體解決方案成功標準：文檔完成并通過評審。階段3 (Q4 2016): 驗證示范平臺開發(fā)目標：開發(fā)并集成相關(guān)的功能模塊.裝配模塊到機床和云端并初步測試系統(tǒng)的安全性.研發(fā)個性化制造部分，并進行測試交付件：測試報告：說明驗證示范平臺的操作流程；提議可復(fù)制的改造流程。成功標準：驗證示范平臺部署鑒定完成。階段4(Q1 2017): 部署及驗證目標：在智能云科云端及沈機上海部署驗證示范平臺.驗證驗證示范平臺的市場價值. 交付件：評估

11、報告：評估部署的實效性；優(yōu)化可復(fù)制的改造流程；可復(fù)制改造流程的商業(yè)案例。成功標準：完成可復(fù)制流程更廣泛部署的鑒定。驗證示范平臺使用者歡迎 All 成員企業(yè)參與機床 IoT 網(wǎng)關(guān)/提供 3、4G 無線通訊模組的運營商模擬與驗證其他智能終端在初始階段, 由于有限的試驗站點訪問權(quán)限，機床云制造平臺安全平臺將僅限于現(xiàn)有的合作伙伴。之后，驗證示范平臺團隊將根據(jù)企業(yè)對幫助實現(xiàn)目標考慮增加更多的公司.知識產(chǎn)權(quán)說明合作伙伴將就知識產(chǎn)權(quán)管理達成一致原則。這些原則將細化規(guī)則以確保盡可能廣泛的傳播應(yīng)用案例方案結(jié)果，同時保證妥善保護知識產(chǎn)權(quán)和保密信息。此原則將針對以下幾點詳細說明通用規(guī)則：保密和出版規(guī)程知識產(chǎn)權(quán)報告和糾紛解決機制發(fā)表專利和授權(quán)許可的權(quán)利共同所有權(quán)問題及訪問權(quán)限部署，操作和訪問使用驗證示范平臺的部署和操作將在中國進行。物理組件將安裝在本地工廠（沈陽