帳號:
密碼:
最新動態
產業快訊
CTIMES / 文章 /
架構與資安雙重優化 智慧製造系統全面進階
 

【作者: 王明德】   2020年02月26日 星期三

瀏覽人次:【11423】

智慧製造概念是透過IT與OT兩大系統的整合,讓產線的資訊價值可以進一步延伸,達到智慧化目標,在本期封面故事的上一篇,我們談到智慧製造系統中,通訊架構的選擇與導入概念,本篇則將進一步談論OT系統的智慧化進階設置,透過大數據、雲端與資安等技術,讓OT系統更具智慧、更安全。



圖1 : 不同類型的雲端平台服務,讓智慧製造系統的功能更完整且多元。(source:Open Minds)
圖1 : 不同類型的雲端平台服務,讓智慧製造系統的功能更完整且多元。(source:Open Minds)

智慧製造架構大致可分為邊緣、通訊與雲端等三層,這三層各司其職,在工業物聯網剛問世時,其運作方式是先由邊緣端設備負責執行各種自動化動作,並擷取設備數據,取得數據後,通訊網路再將數據傳送到上層雲端,進行儲存、分析運算等工作,雲端運算分析後,系統再透過通訊網路將結果送回邊緣設備執行。


PaaS產業價值逐漸浮現

這種由雲端平台負責所有運算的集中式架構,除了會造成三個問題,一是通訊網路的頻寬難以負荷,二是雲端平台的運算負載吃重,三是整體系統的反應不夠即時,因此近幾年的趨勢是賦予終端設備一定的運算能力,讓設備數據先一步在設備端或工業網路閘道器中處理後再上傳,邊緣運算可以一次解決上述三大問題。


不過,這樣並非完全沒有缺點,例如整體系統的架構會趨於複雜,而且在運算功能強化後的邊緣設備,售價也會更貴,從而墊高系統的整體成本。從趨勢發展來看,邊緣運算已成為包括工業物聯網在內的既定趨勢,不過是否適用於所有的製造系統?仍必須從即時性、成本與效益等面向評估。


除了邊緣設備的強化外,智慧製造的另一個趨勢,是各類別雲端平台的功能與定位更精準。雲端平台依服務對象可區分為IaaS、PaaS、SaaS,IaaS主要是由電信商或大型IT廠商所提供的公有雲服務,例如中華電信的hicloud、Amazon的AWS或微軟的Azure等,SaaS則是針對各特定領用領域所設計的特定服務雲端平台,至於PaaS則是負責串接IaaS與SaaS。


位於IaaS與SaaS之間的PaaS,其角色在物聯網發展一段時間後開始受到質疑,部分IaaS廠商有意跳過PaaS直接與SaaS鏈結,將是整體運作方式更簡潔,也更可掌握終端客戶。



圖2 : 透過大數據、雲端與資安等技術,OT系統將可落實智慧化願景。(source:EY)
圖2 : 透過大數據、雲端與資安等技術,OT系統將可落實智慧化願景。(source:EY)

不過,在物聯網開始嘗試落地應用後不久,市場就發現此一構想並不可行,主因在於物聯網屬於垂直應用,各領域種類瑣細而且專業不一,若與SaaS直接對接,IaaS所需要負擔的工作與成本會過高。因此,以PaaS為中介,由PaaS依其產業特色,對下鏈結各類型SaaS,對上統一與IaaS串連,反而會是最具效益的物聯網模式,也因此各領域的PaaS紛紛出現,在製造業現在也已多有PaaS,研華的WISE-PaaS就是其一。


中小企業也可輕鬆架構私有雲

可與IaaS、SaaS連結的PaaS,是目前IT與OT兩大類廠商都正在推動的系統,從目前市場狀況來看,製造業者在製造資訊的保密考量下,仍多選擇自建私有雲,此一狀況在機密性極高的手機組裝或半導體等大型製造業尤其明顯。


這些產業的規模龐大、資金充裕,而且企業本身早有完善的基礎建設,要建置自用的私有雲並非難事;另一方面,這些大型製造業的從業人員專業度極高,就算是已經去標籤化的數據,仍然可以透過其專業,從數據特徵判斷出所屬的企業,因此對這類型製造業者來說,自建私有雲才是最佳選擇。


至於規模不大的中小企業,則會在公有雲與私有雲之間陷入兩難,如果只從成本來看,公有雲除了可免去轉型初期的系統建置與IT團隊人員成本外,公有雲廠商所提供的資安防護,其等級也非一般企業能企及,相較之下會更安全。


不過,對於部分製造數據較為敏感,或是難以接受無法自主掌握製造數據的廠商來說,仍會堅持自建私有雲,以往要在資源不足的情況下建置私有雲,其難度相當高,不過近期已有廠商對此困境提出解決方案。


現在廠商推出的私有雲解決方案,是透過不同架構與功能的附加,大幅降低PaaS的導入門檻,製造業者可依其架構區分,找出適合自己的系統。與IT系統一樣,PaaS也分為Windows與Linux兩種架構,Windows Server的特色是已為完成品,購入後不必再次開發就可使用,適合內部開發能力不足的企業,不過也由於架構與功能固定,企業必須調整內部流程,以貼合其架構。Windows Server的商業環境非常成熟,市場已有設備與系統廠商以此開發出網管、視覺化介面等各種功能套件。


至於Linux版本的PaaS則類似半成品,企業可依本身需求,在其架構上開發合適的功能,在此特性下,其硬體擴充性與應用靈活性也遠較Windows更高。


值得一提的是Linux PaaS的容器管理架構Kubernetes(簡稱為K8s),在Google與各方廠商的努力下,現在已經開發出各種效能十足且簡易好用的工具。Kubernetes可在不同系統中快速搬移資料,解決了Linux PaaS過去必須二次開發才能搬移的問題,此一特色大幅減少了設計團隊必須針對不同架構重新開發程式的時間,讓企業的資源運用可以最佳化。


OT安全問題浮上檯面

除了雲端平台之外,智慧製造系統建置後的另一項重點考量,則是資安,四零四科技工業物聯網解決方案處亞太區產品行銷經理郭彥徵表示,OT系統向來封閉,少與其他系統介接,即便有對外連結,也僅會在接口處建立簡單防火牆,系統內部各機台之間基本上不設防,不過在工業物聯網體系下,資安問題已然浮上檯面。



圖3 : 四零四科技工業物聯網解決方案處亞太區產品行銷經理郭彥徵表示,在工業物聯網體系下,OT系統的資安問題已然浮上檯面。(照片提供/四零四科技)
圖3 : 四零四科技工業物聯網解決方案處亞太區產品行銷經理郭彥徵表示,在工業物聯網體系下,OT系統的資安問題已然浮上檯面。(照片提供/四零四科技)

工業物聯網體系是IT與OT兩大系統整合,相對於OT系統的封閉,IT系統則是訴求開放,與外部連結是最基本的訴求,由於外部系統的惡意攻擊不斷,IT系統早已累積豐富經驗,並藉此建立起嚴密的防禦機制,而當完善資安設計的IT與防護機制貧弱的OT整合為一時,兩套系統的資安落差迅速浮現,對整體系統帶來重大威脅,郭彥徵就指出,在工業物聯網系統中,OT系統的節點越來越多,這些節點的薄弱安全性容易成為整體系統的資安破口。


觀察過去10年發生的重要駭客攻擊事件,就可以看出製造系統現在所面臨的威脅。在OT領域中,2010年伊朗核電廠遭受Stuxnet病毒攻擊OT系統,接下來2014年開始到2019年,連續6年每年至少都有一起大型的OT被駭事件。不過仔細觀察,到2016年,其手法主要都還是利用OT漏洞攻擊,但從2017年開始,像是攻擊烏克蘭電廠中東能源廠的Triton、攻擊挪威海德魯鋁業的LockerGoga、讓台灣半導體產業深受其害的WANNACRY,其攻擊型態都已經轉換為從IT著手,間接影響OT系統。


用資安為OT設備延伸價值

由攻擊手法的轉變,可以看到OT系統未來的威脅只會越來越多,要有效防堵,除了設置各種防火牆之外,製造業網路的安全體系也要納入監控和記錄OT系統中各種系統上發生活動,其記錄網路完整封包可提供完整的事件資訊,讓團隊準確分析發生的情況、時間,並快速定義安全問題的根本原因。此外,製造業者的資安團隊也可以跟資安廠商合作定義安全基準線,依據歷史攻擊事件和威脅情資來定義系統異常,並且依據最新的威脅持續更新。


整體而言,現在產業IT端的資通防護已逐漸成熟,加上實體隔離已經難以抵抗當今複雜攻擊,因此下階段重點將在OT製造業防護上,管理者可從五大面向著手,包含:


一、應用白名單機制/端點偵測與回應;


二、OT漏洞管理;、


三、減少攻擊表面;


四、建立可視化防禦環境;


五、身份授權管理等提升防禦能力。


此外,隨著下游客戶面對日益複雜駭客攻擊,以及各國政府對產品安全的監管壓力,設備廠商導入國際標準產品安全設計標準(如IEC6244 3等)需求也逐漸增加,廠商除了強化產品功能外,還可將資安視為差異化策略,提升產品附加價值。


未來網通、工業電腦、機械設備等產業可從安全可視性作為第一步,再逐步建立微網段、OT端點防護(如應用程式白名單)等,或是提供長期穩定性、可維護性的系統,如此一來,可獲得製造業客戶更多青睞。至於資安產業則需要思考產品使用體驗,由於客戶需要融合IT與OT的安全防禦架構,避免使用太多的資安方案,提供整合管理平台,並串聯更多生態系夥伴提升易用性,將有助於提升產品市場競爭力。


**刊頭圖(source:IoT World Today)


相關文章
智慧製造移轉錯誤配置 OT與IT整合資安防線
提升產銷兩端能效減碳
AI賦能智慧製造轉型
以「熄燈製造」心法實現全面自動化生產
以邊緣AI運算強化智慧製造應用
相關討論
  相關新聞
» 機械公會鎖定淨零轉型4重點 產發署明年將建碳係數庫
» 新世代智慧交通應用 華電聯網5G C-V2X技術能力受肯定
» AI帶動半導體與智慧製造方向 促進多功機器人產業革新
» 打造綠能部落 臺東偏鄉建置防災型微電網強化供電穩定性
» 宇瞻量產最新工規DDR5記憶體模組,兼具高效與環保


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 遠播資訊股份有限公司版權所有 Powered by O3  v3.20.2048.18.117.93.183
地址:台北數位產業園區(digiBlock Taipei) 103台北市大同區承德路三段287-2號A棟204室
電話 (02)2585-5526 #0 轉接至總機 /  E-Mail: webmaster@ctimes.com.tw