智能制造導論 課件 第9、10章 個性化定制、智能制造系統(tǒng)的基礎信息安全探討

第九章個性化定制個性化定制概述1個性化定制模式系統(tǒng)架構2典型案例31、個性化定制概述1.1個性化定制場景Yooshu—沙灘鞋西門子—高爾夫球桿

定義：個性化定制是指基于新一代信息技術和柔性制造技術，以模塊化設計為基礎，以接近大批量生產的效率和成本提供能滿足客戶個性化需求的一種智能服務模式。1、個性化定制概述1.2個性化定制內涵制造業(yè)發(fā)展流程

特征：區(qū)別于以往發(fā)展的制造模式，個性化定制模式最重要的特征是明確的以消費者為中心，并且由訂單驅動進行大規(guī)模小批量的生產，其將銷售過程前置。銷售前置的大規(guī)模個性化定制模式個性化定制概述1個性化定制模式系統(tǒng)架構2典型案例32、個性化定制模式系統(tǒng)架構2.1

個性化定制模式變遷傳統(tǒng)商業(yè)模式：線下交易為主體C2M(Customer-to-Manufacturer)商業(yè)模式網絡電子商務模式B2B(Business-to-Business)：一般不針對大眾消費品，產品也相對復雜，需要專業(yè)人士人工參與判斷商品的質量好壞，通常在企業(yè)之間產生訂單。B2C(Business-to-Customer)：主要針對普通大眾消費市場，這種模式可以按組織層級簡述為“店鋪→商品頁→商品信息→購買按鈕”。C2C(Customer-to-Customer)：針對普通大眾，第三方提供交易平臺，個體戶作為賣方將產品銷售給買方，平臺從中提取傭金。……2、個性化定制模式系統(tǒng)架構2.1個性化定制模式變遷什么是C2M商業(yè)模式？C2M，就是將制造商和消費者直接聯(lián)系，除去冗長的中間環(huán)節(jié)，砍掉流通加價環(huán)節(jié)，最大程度的去中間化，讓消費者以最低的價格買到高品質、可個性化定制的產品，是一種新型的電子商務互聯(lián)網商業(yè)模式。2、個性化定制模式系統(tǒng)架構2.2體系架構個性化定制體系架構是工業(yè)4.0技術中端到端數(shù)字集成的重要應用過程。端到端數(shù)字集成主要是利用工業(yè)互聯(lián)網技術和大數(shù)據技術，在生產商和消費者之間建立信息交互渠道。這一架構也是對市場商業(yè)模式向C2M轉變的一個反映。以數(shù)據為核心，將各層級相互串聯(lián)個性化定制體系架構2、個性化定制模式系統(tǒng)架構2.2

體系架構

從客戶訂單到售后維護，以客戶為中心，客戶全程參與商品的生產過程，制造商根據客戶要求，可以隨時對未出廠的商品進行調整，對出廠后的產品，制造商提供全程在線的服務支持通用的個性化定制生產流程2、個性化定制模式系統(tǒng)架構2.3

相關技術1.工業(yè)大數(shù)據技術工業(yè)大數(shù)據技術架構共有五個部分，分別為數(shù)據采集層、數(shù)據存儲與集成層、數(shù)據建模層、數(shù)據處理層、數(shù)據交互應用層。2、個性化定制模式系統(tǒng)架構2.3

相關技術數(shù)據采集層RFID條碼掃描器生產和監(jiān)測設備數(shù)據清洗……制造領域多源、異構數(shù)據信息采集工具傳感器數(shù)據交換數(shù)據歸約同構化預處理互聯(lián)網或現(xiàn)場總線等準確傳輸技術2、個性化定制模式系統(tǒng)架構2.3

相關技術數(shù)據存儲與集成層存儲技術：主要采用大數(shù)據分布式云存儲的技術，將預處理后的數(shù)據有效存儲在性能和容量都能線性擴展的分布式數(shù)據庫中。元數(shù)據技術：實現(xiàn)對訂單元數(shù)據、產品元數(shù)據、供應商能力等進行定義和規(guī)范。標識技術：包括分配與注冊、編碼分發(fā)與測試管理、存儲與編碼規(guī)范、解析機制等。數(shù)據集成技術：主要指面向工業(yè)數(shù)據的集成，包括互聯(lián)網數(shù)據、工業(yè)軟件數(shù)據、設備裝備運行數(shù)據、加工控制數(shù)據與操作數(shù)據等數(shù)據建模層

包括對設備物聯(lián)數(shù)據、生產經營過程數(shù)據、外部互聯(lián)網相關數(shù)據的建模方法和技術。對無法基于傳統(tǒng)建模方法建立生產優(yōu)化模型的相關工序建立特征模型，基于訂單、機器、工藝、計劃等生產歷史數(shù)據、實時數(shù)據及相關生產優(yōu)化仿真數(shù)據，采用聚類、分類、規(guī)則挖掘等數(shù)據挖掘方法及預測機制建立多類基于數(shù)據的工業(yè)過程優(yōu)化特征模型。

2、個性化定制模式系統(tǒng)架構2.3

相關技術數(shù)據處理層數(shù)據交互應用層在傳統(tǒng)數(shù)據挖掘的基礎上，結合新興的云計算、Hadoop、專家系統(tǒng)等對同構數(shù)據執(zhí)行高效準確地分析運算，包括大數(shù)據處理技術、通用處理算法和工業(yè)領域專用算法。對經處理、分析運算后的數(shù)據，通過大數(shù)據可視化技術、3D工業(yè)場景可視化等技術，將數(shù)據分析結果以更為直觀簡潔的方式展示出來，以便消費者理解分析，提高決策效率。企業(yè)管理和生產管理等傳統(tǒng)工業(yè)軟件與大數(shù)據技術結合，通過對設備、消費者、市場等數(shù)據的分析，提升場景可視化能力，實現(xiàn)對消費者行為和市場需求的預測和判斷。結合智能決策技術，進而實現(xiàn)數(shù)據輔助生產制造決策的價值。2、個性化定制模式系統(tǒng)架構2.3

相關技術2.信息集成與協(xié)同

信息集成與協(xié)同包括企業(yè)內部和企業(yè)之間協(xié)同，在復雜多變的市場競爭環(huán)境中，尋找最優(yōu)制造資源；在保證制造品質的前提下最大程度降低企業(yè)運營成本；通過協(xié)同為制造過程提供最優(yōu)化的解決方案。構建精益生產運行管理平臺，構成完整的產品生態(tài)體系閉環(huán)幫助工廠量身定制解決方案。通過集成供應鏈管理、高級排程、制造執(zhí)行、倉庫管理、仿真模擬、大數(shù)據分析等系統(tǒng)，實現(xiàn)對整個生產周期的管理。整個生產周期包括生產、協(xié)同、設計、制造、物流及服務等多方面的信息。這些管理系統(tǒng)之間在產品生產中相互協(xié)同交互，為保障生產提供了必要的信息保證。信息集成示意圖2、個性化定制模式系統(tǒng)架構2.3

相關技術3.智能工廠

智能工廠是實現(xiàn)個性化定制的基礎與前提，在組成上主要分為三大部分：產品工程、生產工程和集成自動化系統(tǒng)。企業(yè)層——實現(xiàn)基于產品全生命周期的管理，也包括企業(yè)管理職能，屬于產品工程部分管理層——實現(xiàn)生產過程管理，屬于生產工程部分集成層——包括操作層，控制層，現(xiàn)場層，屬于集成自動化系統(tǒng)部分智能工廠架構2、個性化定制模式系統(tǒng)架構2.3

相關技術4.智能物流與倉儲

智能物流及倉儲系統(tǒng)是由立體貨架、有軌巷道堆垛機、出入庫輸送系統(tǒng)、信息識別系統(tǒng)、自動控制系統(tǒng)、計算機監(jiān)控系統(tǒng)、計算機管理系統(tǒng)以及其他輔助設備組成的智能化系統(tǒng)。系統(tǒng)采用集成化物流理念設計，通過先進的控制、總線、通訊和信息技術應用，協(xié)調各類設備動作實現(xiàn)自動出入庫作業(yè)。減輕勞動強度節(jié)約用地提高倉儲自動化水平及管理水平避免貨物損壞或遺失降低儲運損耗提高物流效率……個性化定制概述1個性化定制模式系統(tǒng)架構2典型案例33、典型案例3.1某實驗室智能小車制造示范線

某實驗室的智能小車制造示范線是一條標準的研究型個性化定制生產線，在實驗室內模擬了個性化定制全流程。該生產線是實驗室模擬生產線，消費者、制造商均由實驗室人員模擬擔當，設計并搭建了訂單處理中心、PLM系統(tǒng)、MES和柔性生產線。個性化生產全流程示意圖消費者通過內部局域網或者個人終端下單，選擇基礎模塊信息（例如智能小車整體架構），向制造商提供消費者信息、自定義尺寸和自定義組件需求（例如傳感器類型、小車體積大小等信息），生成個性化定制訂單。處理中心協(xié)同PLM系統(tǒng)提供滿足需求的產品設計參數(shù)、工藝設計CAD模型等，裝配之前利用軟件進行裝配過程模擬，以檢驗整個裝配過程的合理性，并對部分參數(shù)進行優(yōu)化。個性化生產全流程3、典型案例3.1某實驗室智能小車制造示范線個性化生產全流程裝配前，制造信息被提供給AGV，從物料倉庫中選取符合制造信息的原料。利用CCD識別各原料特征，將檢測所得信息反饋至系統(tǒng)，比對實際庫內原料與托盤RFID芯片上信息，若比對一致，則正常出庫，送至裝配中心。裝配過程：從原料庫獲得的已有部件和原料，首先利用已有部件，分別裝配小車下層、中間層和上層，實現(xiàn)客戶化定制。利用AGV將裝配好的三層輸送到總裝加工中心，先進行下層和中間層裝配，再進行總裝?？傃b完成后，進行功能檢測。在最后一個加工單元，利用激光鐳射技術對金屬塊進行加工，制造個性化銘牌，并裝配在小車對應位置，最終完成產品制造過程。AGV將合格的成品送至倉庫，同樣利用CCD技術識別成品，與托盤信息對比，防止混料，完成成品入庫。3、典型案例3.2紅領集團青島紅領集團依托大數(shù)據技術，在全球范圍內第一個實現(xiàn)西裝的大規(guī)模個性化定制，從規(guī)?；慨a轉變?yōu)楦泳劢瓜M者的模式。紅領的個性化定制流程遵循C2M模式，其提供的定制化平臺采集消費者需求，獲取個性化信息數(shù)據，通過數(shù)據驅動整個生產制造流程，在智能工廠中完成產品的自動設計，個性化制造等環(huán)節(jié)，合格的個性化成品通過智能物流被最終交付到客戶手中。3、典型案例3.2紅領集團在線定制消費者在手機APP上自行定制服裝細節(jié)，既可以在此平臺上進行自主個性化設計(如領型、口袋、面料等)，又可以選擇時尚成衣版型添加個性化元素(如加個性刺繡、命名個人品牌等)，真正做到滿足不同類型消費者的個性化需求。定制APP界面一人一款這些個性化需求將統(tǒng)一傳輸?shù)胶笈_數(shù)據庫中，形成數(shù)字模型，由計算機完成打版，隨后分解成一道道獨立工序，通過控制面板及時下達給其智能車間內流水線上的工人。3、典型案例3.2紅領集團

在線量體設計師采集消費者人體18個部位的22個尺寸數(shù)據，并采用3D激光量儀，實現(xiàn)人體數(shù)據在7秒內自動采集完成，解決與生產系統(tǒng)自動智能化對接、轉化的難題。一人一版用戶體型數(shù)據的輸入，會驅動系統(tǒng)內近10000個數(shù)據的同步變化，能夠滿足駝背、凸肚、墜臀等113種特殊體型特征的定制，覆蓋用戶個性化設計需求，實現(xiàn)一人一版。3、典型案例3.2紅領集團

數(shù)據中心通過其它系統(tǒng)的協(xié)同設計，將個性化信息轉變成標準化信息，信息會傳輸?shù)讲剂蠝蕚洳块T，按照訂單要求準備布料，裁剪部門會按照要求進行裁剪。裁剪后的大小不一、色彩各異的布片根據西服的工藝要求（例如領子線，面料等）分6部分，同時每部分會分別配戴一個RFID射頻識別電子標簽（注明工藝要求），分別進入對應的吊掛流水線。該標簽隨流水線傳送，每一個工位都有專用電腦讀取RFID上的制作標準信息，各流水線上員工根據指令完成制作。當員工刷卡時，同時系統(tǒng)中也可以監(jiān)控工藝流轉的位置，清晰的知道生產進度。在本工序完成后，在電腦上進行標識，半成品傳送到下一工序。最后進入到組合環(huán)節(jié)，成衣后統(tǒng)一為一張RFID卡，進入到熨燙整理檢驗環(huán)節(jié)，最終入庫。紅領廠內服裝及電子標簽Thankyouforlistening!謝謝聆聽!第十章

智能制造系統(tǒng)的基礎信息安全探討智能制造系統(tǒng)基礎信息安全概述1智能制造系統(tǒng)信息安全2智能制造系統(tǒng)的信息安全需求3各類安全技術4章節(jié)目錄智能制造系統(tǒng)安全保障技術框架5智能制造系統(tǒng)基礎信息安全概述1智能制造系統(tǒng)信息安全2智能制造系統(tǒng)的信息安全需求3各類安全技術4智能制造系統(tǒng)安全保障技術框架5

1.智能制造系統(tǒng)（SMS）基礎信息安全概述1.1SMS基礎信息安全落腳點在工業(yè)控制系統(tǒng)(ICS)安全上指南2018中提及的A類基礎共性技術2018年10月正式發(fā)布《國家智能制造標準體系建設指南》（以下簡稱指南2018），根據指南的清晰梳理和詳細論述，智能制造系統(tǒng)的基礎是工業(yè)控制系統(tǒng)（IndustrialControlSystem，ICS）。智能制造系統(tǒng)信息安全主要集中在基礎性的工業(yè)控制系統(tǒng)信息安全上。信息安全標準：即用于保證智能制造領域相關信息系統(tǒng)及其數(shù)據不被破壞、更改、泄露，從而確保系統(tǒng)能連續(xù)可靠地運行，包括軟件安全、設備信息安全、網絡信息安全、數(shù)據安全、信息安全防護及評估等標準。

1.智能制造系統(tǒng)（SMS）基礎信息安全概述1.2為什么要重視ICS信息安全?工業(yè)控制系統(tǒng)廣泛應用于化工、石油、電力、天然氣、核設施以及國家先進設備制造。ICS對于國家基礎設施實現(xiàn)自動化作業(yè)起到至關重要的作用，所以其面臨的安全威脅可能帶來非常巨大的影響。如2010年，震網病毒破壞伊朗納坦茲的核設施，并導致伊朗布什爾核電站推遲啟動；2016年12月，一起針對烏克蘭電網的攻擊時間使得首都基輔斷電超過一小時，數(shù)百萬家庭被迫中斷供電?？梢娨坏┕た叵到y(tǒng)被破壞，受其控制的關鍵基礎設施也會面臨十分嚴峻的威脅，進而影響公眾的日常生活，甚至造成重大安全事故。

1.智能制造系統(tǒng)（SMS）基礎信息安全概述1.3ICS信息安全現(xiàn)狀目前，我國工控設備和系統(tǒng)依賴進口，一些存在安全漏洞的國外工控產品仍在國內被大量使用；隨著信息化與工業(yè)化的深度融合,IT技術在工業(yè)控制領域應用的深度和廣度不斷擴大,將ICS逐步從封閉、孤立的系統(tǒng)轉化為開放、互聯(lián)的系統(tǒng)。但工業(yè)控制系統(tǒng)封閉網絡的屏障優(yōu)勢逐漸減弱，安全風險增加；當前我國工控系統(tǒng)安全形式并不樂觀，根據國家信息安全漏洞共享平臺(CNVD)的追蹤和統(tǒng)計，自2011年起，工控領域發(fā)現(xiàn)和發(fā)布的漏洞呈現(xiàn)逐年遞增趨勢。CNVD追蹤和統(tǒng)計的ICS漏洞數(shù)量智能制造系統(tǒng)基礎信息安全概述1智能制造系統(tǒng)信息安全2智能制造系統(tǒng)的信息安全需求3各類安全技術4智能制造系統(tǒng)安全保障技術框架5

2.智能制造系統(tǒng)信息安全2.1ICS的發(fā)展數(shù)字化時期1950年，斯佩里-蘭德公司造出了第一臺商業(yè)數(shù)據處理機UNIVAC，工業(yè)控制系統(tǒng)正式全面與通信系統(tǒng)及電子計算機結合。此后發(fā)展出PLC、SCADA、RTU等工業(yè)控制系統(tǒng)。標準化時期此前，不同廠商設備無法兼容和接入，協(xié)議的巨大差異為系統(tǒng)部署、操作以及維護帶來了巨大的挑戰(zhàn)。20世紀80年代，IEEE制定了兩個標準化協(xié)議：分布式網絡協(xié)議版本3（DNP3）以及國際電工委員會（IEC）60870-5-101。目前，DNP3已經是使用最為廣泛的工業(yè)控制系統(tǒng)協(xié)議。工業(yè)PC時期由于PC的發(fā)展，其具有的豐富硬件資源和軟件資源，基于PC的工業(yè)控制系統(tǒng)，以極強的開放性勢不可擋地進入工控系統(tǒng)領域。各大可編程邏輯控制器廠商、工業(yè)控制系統(tǒng)集成商也逐步接受了工業(yè)PC的技術路線。網絡化時期基于以太網和TCP/IP協(xié)議的技術標準，提供模塊化、分布式、可重用的工業(yè)控制方案。智能化時期萬物互連，多種技術集成，包括設備互操作技術、通用數(shù)據交換技術、EtherNET和工業(yè)以太網技術等多種技術的集成。Ehernet+TCP/IP直接實現(xiàn)工業(yè)現(xiàn)場控制參數(shù)和節(jié)點狀態(tài)直接在企業(yè)信息網絡中傳輸和共享。2010—至今1990-20001950-19802000-20101980-1990中國中車股份有限公司版權所有201532

2.智能制造系統(tǒng)信息安全2.2傳統(tǒng)網絡與制造網絡比較傳統(tǒng)網絡ICS網絡可用性對保密性要求極高，對可用性要求一般對可用性要求極高風險管理關注數(shù)據的保密性和完整性優(yōu)先考慮可用性和系統(tǒng)對社會的影響通信方式采用標準通信協(xié)議無統(tǒng)一的標準，通信方式復雜多樣結構側重點強調信息的保護，側重中心節(jié)點的防護側重PLC等終端節(jié)點的保護節(jié)點資源計算、存儲、帶寬等資源充足計算、存儲、帶寬等資源有限生命周期組件的生命周期一般在3-5年組件生命周期一般在15-20年，甚至更長

2.智能制造系統(tǒng)信息安全2.3智能制造系統(tǒng)信息安全的著力點網絡安全：與互聯(lián)網的深度融合，網絡IP化、無線化以及組網靈活化給智能制造網絡帶來更大安全風險。數(shù)據安全：數(shù)據的開放、流動和共享使數(shù)據和隱私保護面臨前所未有的挑戰(zhàn)。應用安全：網絡化協(xié)同、個性化定制等業(yè)務應用的多樣化對應用安全提出了更高要求?？刂瓢踩嚎刂骗h(huán)境開放化使外部互聯(lián)網威脅滲透到生產控制環(huán)境。設備安全：設備智能化使生產裝備和產品更易被攻擊，進而影響正常生產。智能制造系統(tǒng)的安全構成智能制造系統(tǒng)基礎信息安全概述1智能制造系統(tǒng)信息安全2智能制造系統(tǒng)的信息安全需求3各類安全技術4智能制造系統(tǒng)安全保障技術框架5

3.智能制造系統(tǒng)信息安全需求3.1總體安全需求1）專用通信協(xié)議本身安全性脆弱，缺乏可靠的認證、加密機制，缺乏消息完整性驗證機制；2）SMS系統(tǒng)面臨繼承傳統(tǒng)IT系統(tǒng)及其標準存在的漏洞的可能性，需要對SMS采用IT系統(tǒng)標準后的安全性進行嚴格驗證和測試；3）在SMS系統(tǒng)層次結構中，企業(yè)網絡使得其他三個相連的層次將面臨其帶來的安全風險，必須嚴格限制在企業(yè)網絡中使用設計生產/作業(yè)的SMS系統(tǒng)服務，對資源使用加強認證和訪問控制；同時制定必要的網絡劃分、域控制和隔離策略；

3.智能制造系統(tǒng)信息安全需求3.1總體安全需求4）SMS系統(tǒng)的各個層次間存在過程控制、監(jiān)控、測量等設備和計算機服務間的通信，必須對層間通信引入可靠的加密和認證機制；5）當SMS與IT系統(tǒng)融合并采用部分現(xiàn)行IT標準時，需要考慮對現(xiàn)有IT系統(tǒng)安全解決方案在SMS系統(tǒng)中的應用進行擴展、裁剪、修改或再開發(fā)；6）對企業(yè)采用的SMS系統(tǒng)相關設備的專業(yè)信息、運行參數(shù)必須進行嚴格保護；7）SMS系統(tǒng)的使用企業(yè)需要制定全局性資源防護安全策略和計劃。

3.智能制造系統(tǒng)信息安全需求3.2與傳統(tǒng)網絡相區(qū)別的安全需求SMS與傳統(tǒng)IT系統(tǒng)對信息安全的需求存在明顯差異，SMS最先考慮的是系統(tǒng)可用性，其次是完整性，第三是保密性，傳統(tǒng)IT系統(tǒng)首先考慮的是保密性、完整性，然后才是可用性。另外，SMS的高實時性、高可靠性、復雜的電磁環(huán)境、特定的供電環(huán)境、惡劣的溫度濕度環(huán)境、專業(yè)的通信協(xié)議、不同的使用人員等，都對工業(yè)級安全產品提出了有別千傳統(tǒng)IT系統(tǒng)的功能和性能需求。HighOffer保密性完整性可用性智能制造系統(tǒng)傳統(tǒng)IT系統(tǒng)智能制造系統(tǒng)基礎信息安全概述1智能制造系統(tǒng)信息安全2智能制造系統(tǒng)的信息安全需求3各類安全技術4智能制造系統(tǒng)安全保障技術框架5

4.各類安全技術4.1安全技術與各層次關系SMS系統(tǒng)安全技術分類及各子類SMS系統(tǒng)各層次設備層產線層車間層工廠層認證技術基于位置的認證

智能卡認證

生物信息認證

設備端到端認證

口令和消息反饋認證

數(shù)字證書

密鑰應用與管理對稱加密

非對稱加密

散列函數(shù)

公共密鑰基礎設施

密鑰管理基礎設施

虛擬專用網絡

協(xié)議漏洞評估原始協(xié)議驗證

協(xié)議實現(xiàn)驗證

安全管理、監(jiān)控、檢測日志審計和安全事件追溯

取證和分析

訪問控制基于角色的訪問控制

強制訪問控制

自主訪問控制

最小特權原則

職責分離原則

入侵檢測協(xié)議特征碼檢測

異常行為檢測

防火墻技術網絡防火墻

主機防火墻

操作系統(tǒng)安全病毒和惡意代碼檢測

漏洞掃描

右表是各類安全技術與是否在相應層次使用的總體對應表（“O”表示該技術在某一層次所有子系統(tǒng)或設備上都有相應的應用；“

”表示該技術并不適合應用于某一層次的每一種子系統(tǒng)或設備），該表中對各大類和子類的安全技術應用在SMS系統(tǒng)四個層次（設備層級、產線層級、車間層級、工廠層級）做了歸納。

4.各類安全技術4.2認證技術415263生物信息認證利用用戶唯一性的生物特征信息（如指紋）進行訪問身份驗證。口令和消息反饋認證請求資源訪問時，需要提供與相應資源、設備所預知的信息，比如PIN數(shù)字。基于位置的認證通過對資源訪問的請求者的地理位置測定，以判斷訪問請求是否來自已知的安全區(qū)域。智能卡認證能攜帶多種用戶信息以支持計算機二元、三元認證。設備端到端認證該技術可利用的認證對象包括傳輸?shù)臄?shù)據、數(shù)據發(fā)送和接收者的身份、提供數(shù)據傳輸?shù)膽梅疹愋?、端到端會話等。?shù)字證書提供了對通信實體雙方進行身份信息驗證的方式，其至少包含公開密鑰擁有者信息、公開密鑰以及證書授權中心（CA）的數(shù)字簽名。。

4.各類安全技術4.3加密應用與管理01對稱加密技術在通信雙方間使用同一密鑰進行加解密，該技術的優(yōu)勢在于效率高、算法簡單，系統(tǒng)運行開銷小，缺點是密鑰管理困難。對稱加密05密鑰管理基礎設施服務于智能制造系統(tǒng)中的PKI設施和其他密碼設備，為它們提供密鑰的生成、存儲、分發(fā)、導入導出、備份、更新、恢復、銷毀等服務功能。密鑰管理基礎設施KMI02非對稱加密技術使用不同的密鑰對進行通信數(shù)據加解密，主要用于數(shù)字認證，優(yōu)點是不需要共享密鑰；但加解密速度慢。非對稱加密06虛擬專用網絡能夠為智能制造系統(tǒng)提供經過加密、認證和完整性保護的資源或網絡訪問方式。虛擬專用網絡VPN03散列函數(shù)（Hash）主要用于信息完整性認證。散列函數(shù)公共密鑰基礎設施為用戶提供數(shù)字簽名等認證服務。04公共密鑰基礎設施PKI

4.各類安全技術4.4協(xié)議漏洞評估智能制造系統(tǒng)各層次和層間通信使用專有通信協(xié)議，該類協(xié)議的設計區(qū)別于傳統(tǒng)TCP/IP協(xié)議族，主要考慮滿足特定設備之間的數(shù)據和命令碼傳輸需要，而對通信雙方數(shù)據加密、身份驗證等安全需求則未納入設計規(guī)范，因而需要對系統(tǒng)各個層次和層間通信使用的協(xié)議進行安全性評估和驗證，以發(fā)現(xiàn)協(xié)議設計中存在的漏洞，從而為入侵檢測系統(tǒng)（IDS）定義新的檢測匹配規(guī)則提供支持。協(xié)議驗證協(xié)議實現(xiàn)驗證協(xié)議的實現(xiàn)包括對協(xié)議通信功能本身的實現(xiàn)和部署，此外還包括為滿足安全性需求所增加的技術實現(xiàn)，比如身份驗證、傳輸加密等。協(xié)議實現(xiàn)的安全性驗證比協(xié)議設計的安全性驗證的系統(tǒng)成本低。

4.各類安全技術4.5安全管理、監(jiān)控、檢測在SMS中，為保障系統(tǒng)在安全事件發(fā)生時或發(fā)生后，安全管理員能有效和迅速地分析、查找事件的起源和事件實施者在事件發(fā)生過程中留下的信息，以及確定受事件影響的系統(tǒng)或子系統(tǒng)范圍，應在SMS整體安全策略中詳細地計劃和部署系統(tǒng)日志的維護和審計措施。SMS各層次應根據安全需求和風險評估結果，在關鍵設備、網絡、服務器中提供可靠的日志服務。安全事件發(fā)生時和發(fā)生后，安全管理人員應根據日志分析結果和數(shù)字簽名、時間戳等信息形成對事件的分析和追溯報告。日志審計和安全事件追溯取證和分析技術取證和分析技術在網絡安全管理中用于被動搜集網絡的狀態(tài)、結構和流量等數(shù)據，主要利用數(shù)據包捕獲、網絡監(jiān)控、網絡取證和分析三類工具。SMS的運行需要對各個層次和層間網絡通信，以及外部網絡對控制網絡的訪問進行監(jiān)控，在檢測到網絡異常行為時對其進行分析幫助安全管理人員識別和記錄異常行為。

4.各類安全技術4.6訪問控制中國中車股份有限公司版權所有201545基于角色的訪問控制根據企業(yè)人員業(yè)務職責，創(chuàng)建角色庫，并為各種角色分配必要的訪問權限。最小特權原則在智能制造系統(tǒng)中，為保障系統(tǒng)服務的連續(xù)性、人員對系統(tǒng)資源使用的可控性，必須大量采用最小特權原則，在不影響控制系統(tǒng)正常運行的前提下，嚴格限制人員權限的分配。自主訪問控制智能制造系統(tǒng)中繼承和使用了大量IT系統(tǒng)軟件和服務，當這些軟件和服務采用自主訪問控制機制時，需要對授權和被授權者進行嚴格的身份驗證以及數(shù)字簽名檢驗，使得自主授權行為具有良好的可追溯性。職責分離原則強調對于部分重要或關鍵資源的訪問權限，或對于某一關鍵業(yè)務過程中部分重要步驟的授權應當分離，即屬于不同訪問實體，以降低訪問者擁有過大權限而破壞系統(tǒng)數(shù)據完整性的可能。強制訪問控制強制性劃分基于系統(tǒng)資源的保密性需求和完整性需求，在智能制造系統(tǒng)中，應根據各個層次設備對系統(tǒng)服務連續(xù)性的影響程度定義資源的保密性和完整性級別。

4.各類安全技術4.7入侵檢測協(xié)議特征碼檢測基于流量的ICS入侵檢測方案根據漏洞分析結果形成攻擊的特征碼，并在入侵檢測系統(tǒng)中添加新的特征碼匹配規(guī)則。智能制造系統(tǒng)中的設備采用各種專有通信協(xié)議，因此應根據各種專有通信協(xié)議的脆弱性評估和漏洞分析，建立和維護相應的特征碼庫，及時添加和更新入侵檢測系統(tǒng)中的匹配規(guī)則。異常行為檢測基于網絡流量、網絡或資源訪問行為的統(tǒng)計數(shù)據，對該類數(shù)據加以分析，得到異常行為模式，并將這些行為模式定義成入侵