在现在工业乙太网路的应用上,硬体或软体的整合是最基本的条件,随着机联网技术的的逐步深入,系统用户对工业乙太网路技术也愈来愈受到注意,而近来工业物联网的重要性提升,也让无线通讯与工业级通讯架构整合,形成一个更完整的网络,但无线通讯的逐步成熟,也让工业级通讯带来一些新的挑战与契机。
M2M需求 无线成为通讯新环节
在工控领域,其实机器与机器之间的机联网通讯,早已不是新应用,发展已久的工业通讯,处理的就是机器与机器之间的讯息交换,一般来说,大型制造商的工厂生产线不会只有一条,而两条以上的生产设备,就必须利用通讯设备来加以链结成网路,以方便管理。
图1 : 工厂设备多为固定设备,加上直接与生产过程相关,因此稳定是工业通讯的第一考量。(Source: Digitalist) |
|
工厂设备多为固定设备,加上直接与生产过程相关,因此稳定是工业通讯的第一考量,目前工厂机台设备的线路型态以有线为主,相较于无线技术的方便、低成本优势,有线架构在现场布线虽然成本高、作业麻烦,不过讯号传输稳定度却远优于无线技术,因此在固定设备上,多半采有线方式架构,除非必要,能不用无线网路就不用无线网路。
无线通讯是这几年工业控制的潜力发展技术,由于过去在消费端这几年的广泛应用,使得各种无线通讯技术进展飞快,价格更加平民化,除此之外,由于M2M的需求,导入无线通讯可说对工业通讯系统提升了便利性,这并非是对传统的冲击,反而更像是一种加分,由于乙太网路的共通性,其实满足了使用者对于通讯的期许,而无线通讯的加入,更可让过去一些繁复应用变为可能,过去有线介面没有办法触及的地方,或是大范围的控管,可说是无线通讯发展的主要面向,当然不同的应用模式,可能也有不同的无线通讯介面,仍然应视环境的需求来选择。
在几种状况下,系统整合业者会建议厂商采用无线通讯技术,第一是布线不易,有些地方并非不可布线,而是无法布线,譬如说上述的无人搬运车,第二种是环境问题,由于线路本身就是有形的物体,在容易损坏的场所中,线路的维护往往会是一大问题,第三则是距离,在完全开放的空间内,其实无线的距离会比有线来得长,一般的有线线路传输距离大约是70公尺,但在直线距离,无线传输可以到400公尺,若加上天线可以达到2公里以上,因此对于系统的应用存在了更多的弹性。
图2 : 这几年通讯技术开始被延伸到人以外的机器通讯领域。(Source:Vesterbusiness) |
|
通讯技术被发明以来,应用对象都以人为主,所传送的讯息型态也是以语音为大宗,不过这几年,通讯技术开始被延伸到人以外的机器通讯领域,利用通讯设备让两部机器来传递讯息,并配合自动化系统来提升作业效率,而随着机联网技术进步,将带动M2H(Machine to Human)与M2E(Machine to Enterprise)持续发展,未来每一产业将都有M2M的影子。
无线渐成熟 兼顾延展性已成重点
无线网路让人担心的主要原因,首先在于「看不到」,因此在过去推行的难度很高,但近年由于电信业者的积极提升服务水准,像是建构Mobile IP或Mobile VPN等企业级应用模式,也解除了使用者对于这类型网路的疑虑,而使得系统应用的机会也逐步提升;除此之外,由于透过电信系统进行无线通讯,有资费的问题,这不是像一般电话一样,而是必须进行长时间通讯,因此就成本问题考量,近年行动资费逐渐下降,也让使用逐渐普及。此外,也由于商务行动技术与应用逐渐提升,也提升了无线通讯在业界的接受度。
M2M系统包括通讯设备独立进行资料传输、透过网路与伺服主机联系,以及透过软体进行资料分析、反应与处理等三种样态,简单说就是这个软硬体整合的系统透过网路进行资料沟通,它必须考量的是在M2M的环境应用需求,常是一对多的通讯,因此如何同时管理,如何确保安全性与延展性,是M2M系统发展的重要课题。
就无线通讯系统的规划考量,由于会使用这类规划的,多是以长距离、大范围的沟通为主,因此规划也多以像是3G甚至是4G等电信通讯模式来进行设计,这类规划的装置数量较多,有效管理的系统平台将是重点;这类平台也必须考量因装置无法进行一次建置,如何维持其系统延展性,必须扩充它的相容能力。除此之外,安全性的考量必须让外界无法干扰,企业当然存在VPN这种独立而保密的设施需求,「好的无线通讯规划,必须具备这三者必要条件,因此必须提供开放性的平台进行有线及无线的系统整合,并且必须透过中央管理监控所有装置的状态;此外由于各国电信系统的规划不同,一般VPN架构多是私有不公开IP的设计,对跨区的机联网造成困扰,因此这样的中央管理系统也必须兼顾「中介者」的角色。
在应用领域上,由于现况对于无线网路的「稳定性」仍持保留态度,因此在系统应用上多是运用于辅助系统为主,虽然在现场端仍是以有线连结为主,但在其他领域,无线应用的需求仍是相当广泛,此外由于机联网的需求逐渐提升,过去没有网路连线设置的设备也必须要增加上网的能力,因此在系统应用上,也有厂商针对设备的嵌入式小型介面进行相关规划,这也是网通厂商看到的新契机。
机联网架构 现场端资安更需注意
除了稳定性外,安全也是现在机联网的设计重点,由于工业乙太网路可使管理级到现场级的资料传输规格一致,使用者只需要掌握单一网路技术即可互连,但同样的,标准化网路结构也因其透明度而带来风险,也因此让系统产生更大的挑战。
相较于过去仅是一般终端使用者及办公室环境,由于乙太网路与网路通讯的蓬勃发展,过去像是工厂自动化这类无需考量资安问题的系统,也成为观察的重点之一,除此之外,过去由于工业现场系统多是以现场汇流排进行通讯,除非像是以国家战略思维侵入如油、水、电等重要设施来进行攻击,否则难度甚高;但在工业乙太网路普及导入之后,这类攻击不但渐趋容易,而类似的攻击也渐趋增加。
这类智慧化系统面对不断演变的资安威胁环境,其中一项最大的挑战就是APT进阶持续性渗透攻击(Advanced Persistent Threats;APT),它是针对「特定组织」所做出复杂且多方位的攻击,这样的攻击也逐渐进化,成为系统必须关注的主要议题。
工厂智慧化的最基本要求,就是现场端的资料采撷、监控与分析,一般而言多是以整合PC端的SCADA来进行,这些系统的OS仍多是以嵌入式的Windows等系统做为底层架构,传统认知的现场端在连上线后,并没有一般想像中的封闭,但使用者却仍多以过去现场汇流排的认知来操作,自然会忘记了这类系统的缺漏,甚至连系统管理权限都仍然是预设密码的情况下,自然就形成漏洞,如果仔细观察,会发现世界上使用同一家软体系统的厂商,恐怕都有相同的漏洞放在那边,而且这些问题恐怕十数年都不会改变,这恐怕是工厂智慧化后带来的最大问题。
现阶段要防范恶意攻击,已经不仅只于透过防火墙或防毒软体就可达到目的,由于传统的阻隔方法仍有漏洞可钻,因此必须阻断恶意攻击在「侵入」、「下载潜伏」到「扩散攻击」的运作环节,才是解决的重点面向,「只要阻断APT的任一环节,攻击就会失效,这与过去阻挡病毒进入的观点,有相当大的差距。」在面对系统的复杂化,攻击多元化的同时,思维的调整,或许才是最重要的一步。
实体隔离+最小授权 确保工控资安
对于网通厂商对于工厂现场端以VPN的方式,透过隔离网段的方式来隔绝外界系统化的APT,这也是最基本的解决方案,实体隔离绝对是解决APT最实际的办法,但这样的做法却并非像一般人想像的这么可靠,以工厂智慧化的架构,一定会与后端办公室应用端连结,才能针对产线进行系统化的调配,虽然这样的通讯设计多是透过软硬体配置,提供最小限度的授权让应用端可以与现场端连结;但一般APT通常会经由办公室应用端进行攻击,再利用应用端与现场端的信任关系,经由双方的授权机制来侵入现场端,除非应用端也进行实体隔离,否则只要连上网际网路,就有漏洞可钻。
图3 : 标准化网路结构也因其透明度而带来风险,也因此让系统产生更大的挑战。 (Source:Belden) |
|
虽然「实体隔离」与「最小授权」的做法可能仍有漏洞,但在现场端的安全防护,这仍是最基础的必要作法;至于如何确保系统的安全,标准规范仍是最必要的项目,在工控系统中所强调的标准,多是涉及系统稳定的实际安全需求,但对于资讯安全部分仍付之阙如,由于工业乙太网路的导入,以及实际应用环境的逐渐多元化,资安政策的建构及系统安全的标准,可能是后续发展的重点项目,也将会是市场后续发展的重要课题。
图说:(来源:ADVITECH组)