机床云制造平台方案.docx

1、机床云制造平台方案机床云制造平台方案1 验证示范平台目标和概述机床云制造平台旨在为机床云制造平台提供一整套连接解决方案： 采用物联网（IoT）技术将智能机床连接到机床云制造平台； 提供从终端、网络和云端的整体安全方案； 具备智能联网、边缘计算（IoT 网关对机床采集数据进行预处理）、漏洞防护、终端管理、证书管理、防伪冒等安全功能； 支持多种不同类型机床设备； 支持通过MTConnect 等标准协议的物联通讯。 通过机床云制造平台开展个性化制造试点2 预期成果5.1 商业价值1. 提供安全的无线接入设备，减少网络布线的问题，增加企业安全联网方案的选择项。2. 发展机床云制造平台，通过三方安全评估

2、和模拟攻击，达到相关国家安全标准。3. 相关方案可以推广，支持类似智能装备互联网化后的安全应用。4. 完成基于机床云制造平台的个性化制造验证5.2 经济效益验证示范平台的经济效益包括：1. 减少机床网络布线成本，提高效率和可靠性，并能最大化生产；2. 通过远程维护、预测性维护，降低维护成本，提高资源的利用率和客户的满意度。3. 通过机床云制造平台，实现个性化制造服务，打造新的业务模式。5.3 社会价值验证示范平台的特点是通过引入物联网技术，改变了传统制造业的生产加工流程及传统制造模式，为企业客户提供了更加安全和灵活的生产方式，提高了设备利用率，增加了生产效率，提高了设备厂家的售后服务，降低了故

3、障导致的宕机时间。3 验证示范平台技术可行性验证示范平台解决方案架构如图 1 所示图 1. 解决方案系统架构图设备接入通过在 NC 上部署 SDK，也可以通过 iBOX 进行相关设备接入，以方便接入 MES 等企业本地系统设备通过安全链路 VPN 接入，可以保证相关的数据和接入安全。服务层主要提供个性化制造所必须的相关服务，通过把个性化的关键环节进行拆分，对重点的一些服务进行梳理和划分，可以满足服务的需要和相关架构要求，每个部分都具备可行性。从应用层来看，主要是实现个性化制造的管理、配置、及与设计师的沟通，可以以 App 的形式进行发布；从管理和配置方面，可以通过 Web 的形式进行研发，都具

4、备可行性。6.1 物理平台智能机床：在初始阶段, 由于有限的试验站点访问权限，机床云制造平台安全平台将仅限于现有的合作伙伴物联网网关：主要进行机床通讯协议转换，提供通讯服务云端资源服务：需要提供云端服务器和网络接入设施，并提供相关的进行个性化制造的机床设备。6.2 机床软件平台VPN客户端：用于与安全网关建立安全的链接通道。数据接入平台：用于解析加密数据，并且对连入平台的设备进行统一管理及验证。服务层：图中相关的服务要进行开发，并在个性化服务平台上进行部署。验证示范平台的主要工作是要把相关的服务定义和研发出来，能够同个应用层把各个服务进行串接，满足个性化制造的需求。应用层：开发面向用户和设计师

5、及运营管理的应用，展现个性化制造的实际应用过程。4 技术及测试台的关系7.1 AII 总体架构下图显示了系统组件部署在参考架构中的不同层的情况7.2 AII 安全验证示范平台将遵循工业互联网产业联盟提供的安全指导原则进行安全设计、实现和测试。将和 AII 安全组密切合作，邀请安全组成员参加验证示范平台项目评审。本验证示范平台安全设计原则：智能机床及网络系统会都受到内或外的攻击，要考虑各种安全情况。1） 系统具备标准安全协议 (例如 SSL、 SSH，VPN 连接)，对系统的访问总是进行身份验证和，并与授权系统相关联。2） 系统间通信包含敏感数据时通过标准安全协议加密以确保安全3） 不留下任何未

6、受保护或未使用的开放端口，并且在利用公有云的的防火墙规则，系统在 VPN 环境中部署。4） 系统所有面向外部的访问 API 要执行身份验证5） 系统对安全凭据存储加密6） 系统对敏感数据单独加密 （包括隐私）7） 系统对安全密钥实施轮换政策8） 网关采用数据加密交互。9） 传输数据通道采用VPN 加密。10） 智能机床使用安全 SDK 对系统进行保护。如指令白名单，数据加密。7.3 详细清单设备名称数量说明I5 智能机床1测试核心设备数据采集模块1收集机床产生的数据安全 sdk1对机床系统进行保护交换机1按需路由器1按需IoT 网关1网络通道加密vpn 服务器1网络通道解密3g/4g 模块1如

7、具备有线网络可省略验证示范平台中设计的组件：7.4 风险模型验证示范平台面临的风险如下： 验证示范平台与验证示范平台之间未采取逻辑隔离，这将导致增大了生产大区内出现的潜在风险及容易遭受内外部（主动、被动）攻击可能。 验证示范平台所在区域网络中的其他系统针对系统漏洞未实施有效的措施，这将导致系统存在大量安全漏洞，使攻击者在未授权的情况下访问或破坏机床系统。 操作员和工程师的 USB 设备，服务器 USB 口和交换机闲置网口，仅从制度上要求禁止随意接入，实际缺乏技术上的防护措施，由管理漏洞导致的存储介质交叉使用，将导致数据泄露和病毒感染。 通过设备后门进行的远程维护服务，一旦攻击者控制了验证示范平

8、台的一台机床，则可能控制整个区域的机床。风险评估模型说明：环境漏洞等级主要漏洞举例现场3 物理破坏&改变 设备模拟 物理攻击 网络攻击修改验证示范平台上的数据采集模块客户侧/受控的设备3 内部未授权的访问 外部模拟 网络攻击不合法设备连接云环境5 内部未授权的访问 网络攻击云服务平台来自外在攻击的潜在破坏验证示范平台首先从检测设备和系统执行部件的功能开始高等级漏洞评估。把他们分为 5 类， 每一类指配一个等级。功能类别Potential Impacts if compromisedDamage Level智能机床系统 导致系统参数恶意调整5数据采集模块 数据篡改 服务中断4安全 伪造假的正确数

9、据 伪造错误的假数据 无法运行5保密性 敏感数据和业务的泄露3只读信息 不正确的信息导致错误的统计信息2设备和系统部件的评估下表列出了通用的风险评估，这些评估基于漏洞和破坏等级。物理部署环境智能机床系统 (5)数据采集模块 (4)安全(5)保密性 (3)只读信息 (2)现场 (5)2520251510客户侧(3)15121596云环境(2)10810647.5 安全联系人7.6 AII 数据管理收集上来的数据会统一进入我们的大数据处理中心，进行统一存储以便后续的分析提炼。7.7 AII 验证示范平台此验证示范平台主要目的在于测试机床云制造平台安全互联，是机床领域第一个 AII 验证示范平台，该

10、验证示范平台的方案可以对其他工业互联网智能设备的组网安全提供参考5 交付件机床云制造平台将遵循传统的开发生命周期，分四个阶段开发： 阶段1 (Q2 2016): 需求分析目标： 根据安全要求和业界实践确定需求和适用条件 分析潜在隐患 确定个性化制造的需求交付件： 机床云制造平台需求描述文档。成功标准： 文档完成并通过评审。 阶段2(Q3 2016): 初始验证示范平台设计目标： 确定系统架构的技术参数； 针对使用案例提出定制化的解决方案； 确定整体解决方案； 交付件： 机床云制造平台整体解决方案成功标准： 文档完成并通过评审。 阶段3 (Q4 2016): 验证示范平台开发目标： 开发并集成相

11、关的功能模块. 装配模块到机床和云端并初步测试系统的安全性. 研发个性化制造部分，并进行测试交付件： 测试报告：说明验证示范平台的操作流程； 提议可复制的改造流程。成功标准： 验证示范平台部署鉴定完成。 阶段4(Q1 2017): 部署及验证目标： 在智能云科云端及沈机上海部署验证示范平台. 验证验证示范平台的市场价值. 交付件： 评估报告：评估部署的实效性； 优化可复制的改造流程； 可复制改造流程的商业案例。成功标准： 完成可复制流程更广泛部署的鉴定。6 验证示范平台使用者 欢迎 All 成员企业参与 机床 IoT 网关/ 提供 3、4G 无线通讯模组的运营商 模拟与验证 其他智能终端 在初

12、始阶段, 由于有限的试验站点访问权限，机床云制造平台安全平台将仅限于现有的合作伙伴。 之后，验证示范平台团队将根据企业对帮助实现目标考虑增加更多的公司.7 知识产权说明合作伙伴将就知识产权管理达成一致原则。这些原则将细化规则以确保尽可能广泛的传播应用案例方案结果，同时保证妥善保护知识产权和保密信息。此原则将针对以下几点详细说明通用规则： 保密和出版规程 知识产权报告和纠纷解决机制 发表专利和授权许可的权利 共同所有权问题及访问权限8 部署，操作和访问使用验证示范平台的部署和操作将在中国进行。物理组件将安装在本地工厂（沈阳机床上海研究院）或相关客户企业（本地和远程管理）。同时，软件部署在云上。访问控制和管理权限极限与参与者。9 资金资金来源：验证示范平台的资金将来自于参与的企业。10 时间轴2016 Q2：完成阶段1需求分析2016 Q3：完成阶段2初始验证示范平台设计2016Q4：完成阶段3完成验证示范平台开发2017 Q1：完成阶段 4完成验证示范平台的部署及验证11 附加信息暂无