工業系統如何規劃網路

① 中小型企業網路組建設計方案（畢業設計論文）

方案一WindowsNT ( Windows 2000 server ) + Proxy + Exchange+WinRoute（或Checkpoint）

上述軟體組合能夠實現和TL-100互聯網功能伺服器網路解決方案相同的包過濾防火牆、郵件伺服器、Web瀏覽代理、Ftp服務代理等功能。但是由於WindowsNT(或Windows2000 server)對於計算機硬體要求比較高，正版軟體的價格也比較高，更為重要的是：從技術上來說，上面的方案需要固定的IP地址，這意味著企業每時每刻還需繳納一筆額外的費用。另外，上述軟體還需要專業的系統管理員來維護。（微軟的產品有無數的補丁需要你「補上」）

上面的解決方案明顯的不太符合目前國內中小企業對於信息化的「性能價格比」要求和維護成本要求。

方案二Windows98（WindowsNT）+Wingate

這種方案能夠實現Web代理和數據包過濾的部分功能，另外，新版本的Wingate還提供網路地址轉化功能（NAT）功能和防火牆功能。這個方案的缺點是：系統硬體要求比較高（如果你系統整個系統運行穩定），應用軟體和操作系統軟體整體成本太高。安全的規則需要專業人士的配置。沒有很好的解決企業電子郵件系統的使用需求。另外，部分「高級」功能的實現需要安裝「客戶端軟體」。加重了網路系統的維護負擔。

方案三Windows98(WindowsNT) + dns2go

這種方案，在Windows操作系統上安裝相應的客戶端軟體，和dns2go站點的DNS伺服器協調工作，達到動態域名解析的目的。這種方案能夠完成中小企業一站式INTRANET/INTERNET解決方案中從TL-100互聯網功能伺服器到互連網之間的DNS通訊問題，但這種方案對於用戶的域名只能在dns2go.net下選擇。如果將自己企業的域名轉到dns2go上的域名伺服器授權解析的工作，dns2go的域名伺服器也只做域名解析的工作，不提供其它和域名相關的服務（如電子郵件伺服器不在線的郵件接收問題）。另外，這種方案的運行穩定性在通訊線路不佳，造成用戶的機器頻繁撥號連接ISP而造成的IP地址變動的情況發生時，用戶域的主機域名紀錄的頻繁變動。但是這些變動數據和在互聯網上其它DNS伺服器緩存中的數據不會隨時同，這種情況會造成WEB和E-Mail等需要固定IP的互聯網服務無法正常提供服務。（例如：在域名和IP地址變動時，可能造成互聯網上用戶向本域E-mail投遞失敗，或將E-mail投遞到其它恰巧使用相同解決方案且恰巧有SMTP伺服器上）

對比項目中小企業一站式INTRANET解決方案費用傳統的接入方案費用計算機硬體平台穩定的工業級硬體平台無需購硬體平台10,000元左右操作系統基於Linux無基於Windows Windows2000 Server(10用戶) 12,270元代理服務功能HTTP,FTP,TELNET 無需購專業軟體MS Proxy Server12,784元郵件服務功能企業域名郵箱(用戶數量不限,郵箱容量不限)無需購專業軟體Exchange(25用戶) 24,807元WEB功能提供100Mweb空間無需租用web空間1,000元/年防火牆功能有無需購專業軟體CHECKPOINT 30,000元 方案價格性價比高18700元實現同樣的功能價格幾倍於前者90,861元服務及管理WEB,MAIL服務,網路安全管理，根據要求提供網路安全狀況日制，上網瀏覽日制，郵件日制，企業無須專業人員維護2800元/年需專業人員操作維護30,000元/年(專業人員工資)

中小型/成長型企業商業網站（INTERNET）解決方案

上海天傲科技本著「一站式解決」的理念，向中小型/成長型企業提供完整的域名服務，主機服務，企業郵件，網頁製作，資料庫部署等全系列服務。

網站建設步驟

將您的主頁製作資料（包括文字、圖片等）郵寄給我們，並列出大概的要求即可。

選擇我們提供的企業網站建設方案，或根據您的要求定製。

我們根據您的要求核算主頁總數及金額，並交納預付款(為總金額的50%)。

收到預付款後，我公司將開始製作主頁。

主頁全部完成後，將上傳到我公司的伺服器上請您確認，並根據您的意見進行三次小的修改。

如果您認為製作的主頁已經達到您的要求，請將剩餘款項匯至我公司帳戶，並將匯款憑證傳真至我公司。

在收到確認傳真和匯款憑證後，我們將您的主頁上傳到我公司提供的虛擬主機上。

虛擬主機方案虛擬主機是使用特殊的軟硬體技術，把一台運行在網際網路上的伺服器主機分成一台台「虛擬」的主機，每一台虛擬主機都具有獨立的域名，具有完整的Internet伺服器（WWW、FTP、Email等）功能，虛擬主機之間完全獨立，並可由用戶自行管理，在外界看來，每一台虛擬主機和一台獨立的主機完全一樣。上海天傲科技的一站式解決方案為中小型/成長型企業提供優質的網路環境和伺服器，並由高級網管負責監控。你可以選擇如下的三個方案之一或者直接和我們聯系進行定製服務。

A型虛擬主機150M B型虛擬主機200M C型虛擬主機500M

主機空間/功能·獨立Web空間150MB·操作系統：UNIX / Windows2000·支持ASP,Perl,PHP ·FTP管理·支持資料庫功能另外收費·ACCESS資料庫·MS SQL資料庫·MY SQL資料庫·獨立Web空間200MB·操作系統：UNIX / Windows2000·支持ASP,Perl,PHP·FTP管理·支持資料庫功能另外收費·ACCESS資料庫·MS SQL資料庫·MY SQL資料庫·獨立Web空間500MB·操作系統：UNIX / Windows2000 ·支持ASP,Perl,PHP·FTP管理·支持資料庫功能·Windows2000系統：免費提供一個ODBC數據源·預裝50MB SQL SERVER資料庫空間·UNIX系統：免費提供50MB MYSQL資料庫空間

Email功能·10個Email郵箱·單個信箱平均空間5MB·單個Email大小限制5MB·Web界面管理·自動回復、自動轉發·POP3、SMTP方式收發信·20個Email郵箱·單個信箱平均空間5MB·單個Email大小限制5MB·Web界面管理·自動回復、自動轉發·POP3、SMTP方式收發信·50個Email郵箱·單個信箱平均空間5MB·單個Email大小限制5MB·Web界面管理·自動回復、自動轉發·POP3、SMTP方式收發信

② 各省市、各個地區應該如何發展工業互聯網，有哪些主要任務

自2017年國務院印發《關於深化「互聯網+先進製造業」 發展工業互聯網的指導意見》之後，各地紛紛加快工業互聯網的建設與發展步伐。發展工業互聯網，網路體系是基礎，平台體系是關鍵，安全體系是保障。各省市、各地區應緊緊系統構建網路、平台、安全三大體系，打造人、機、物全面互聯的新型網路基礎設施，全力推進七大任務：

1.夯實網路基礎

夯實工業互聯網的網路基礎，應圍繞網路改造升級、提速降費、標識解析，推進三方面的工作：

第一，以IPv6、工業無源光網路（PON）、工業無線、時間敏感網路（TSN）等技術，改造工業企業內網；

第二，以IPv6、軟體定義網路（SDN）以及新型蜂窩移動通信技術（即5G技術），實現工業企業外網的升級改造；

第三，推進標識解析體系建設，圍繞工業互聯網標識解析國家頂級節點，推動行業性二級接機點的建設與連接。

2.打造平台體系

第一，培育工業互聯網平台，以企業為主導，構建跨行業、跨領域平台，實現多平台互聯互通。

第二，開展工業互聯網平台試驗驗證。支持產業聯盟、企業與科研機構合作共建測試驗證平台，開展技術驗證與測試評估。

第三，推動、吸引企業上雲。鼓勵工業互聯網平台在產業集聚區落地，通過財稅支持、政府購買服務等方式，鼓勵中小企業的業務系統向雲端遷移。

第四，培育工業APP，支持軟體企業、工業企業、科研院所等開展合作，培育一批面向特定行業、特定場景的工業APP。

3.加強產業支撐

要加強產業支撐，必須加大關鍵共性技術攻關力度，提升產品與解決方案供給能力：

第一，關鍵共性技術支撐。鼓勵企業和科研院所合作，圍繞工業互聯網核心關鍵技術、網路技術、融合應用技術開展聯合攻關，促進邊緣計算、人工智慧、增強現實、虛擬現實、區塊鏈等技術在工業互聯網應用。

第二，系統解決方案支撐。圍繞智能感測器、工業軟體、工業網路設備、工業安全設備、標識解析等領域，推廣一批經濟實用的微服務化系統解決方案。

4.促進融合應用

融合創新工作應圍繞大型企業和中小型企業兩大主體開展：

針對大型企業，加快工業互聯網在工業現場的應用；開展用於個性需求與產品設計，生產製造精準對接的規模化定製；

針對中小企業，實現業務系統向雲端遷移；開展供需對接、集成供應鏈、產業電商、眾包眾籌等創新型應用。

5.完善生態體系

第一，構建創新體系：有效整合高校、科研院所、企業等創新資源，圍繞重大共性需求與行業需要，面向關鍵技術與平台需求，開展產學研協同創新。

第二，構建應用生態，鼓勵工業互聯網服務商面向製造業企業提供咨詢診斷、展示展覽、行業資訊、人才培訓、園企對接等增值服務。

第三，構建企業協同發展體系，以需求為導向，基於工業互聯網平台，構建中介型共享製造、眾創型共享製造、服務型需求共享製造、協同型共享製造等新型生產組織方式。

第四，構建區域協同發展體系，建設工業互聯網創新中心、工業互聯網產業示範基地。

6.強化安全保障

安全保障是發展工業互聯網的底線，必須切實提升安全防護能力，建立數據安全保護體系，推動安全技術手段建設。此外，各地區還應大力發展信息安全產業，推動標識解析系統安全、工業互聯網平台安全、工業控制系統安全、工業大數據安全等相關技術和產業發展，開展安全咨詢、評估和認證等服務，提升整體安全保障服務能力。

7.堅持開放合作

第一，加強地區乃至國際的企業協作，形成跨領域、全產業鏈緊密協作的關系。

第二，建立政府、產業聯盟、企業等多層次溝通對話機制。

第三，積極參與國際組織的協同與合作，參與工業互聯網標准規范與國際規則的研討與制定。

③ 工業互聯網時代的風險管理：工業4.0與網路安全

2009年，惡意軟體曾操控某核濃縮工廠的離心機，導致所有離心機失控。該惡意軟體又稱「震網」，通過快閃記憶體驅動器入侵獨立網路系統，並在各生產網路中自動擴散。通過「震網」事件，我們看到將網路攻擊作為武器破壞聯網實體工廠的可能。這場戰爭顯然是失衡的：企業必須保護眾多的技術，而攻擊者只需找到一個最薄弱的環節。

但非常重要的一點是，企業不僅需要關注外部威脅，還需關注真實存在卻常被忽略的網路風險，而這些風險正是由企業在創新、轉型和現代化過程中越來越多地應用智能互聯技術所引致的。否則，企業制定的戰略商業決策將可能導致該等風險，企業應管控並降低該等新興風險。

工業4.0時代，智能機器之間的互聯性不斷增強，風險因素也隨之增多。工業4.0開啟了一個互聯互通、智能製造、響應式供應網路和定製產品與服務的時代。藉助智能、自動化技術，工業4.0旨在結合數字世界與物理操作，推動智能工廠和先進製造業的發展 。但在意圖提升整個製造與供應鏈流程的數字化能力並推動聯網設備革命性變革過程中，新產生的網路風險讓所有企業都感到措手不及。針對網路風險制定綜合戰略方案對製造業價值鏈至關重要，因為這些方案融合了工業4.0的重要驅動力：運營技術與信息技術。

隨著工業4.0時代的到來，威脅急劇增加，企業應當考慮並解決新產生的風險。簡而言之，在工業4.0時代制定具備安全性、警惕性和韌性的網路風險戰略將面臨不同的挑戰。當供應鏈、工廠、消費者以及企業運營實現聯網，網路威脅帶來的風險將達到前所未有的廣度和深度。

在戰略流程臨近結束時才考慮如何解決網路風險可能為時已晚。開始制定聯網的工業4.0計劃時，就應將網路安全視為與戰略、設計和運營不可分割的一部分。

本文將從現代聯網數字供應網路、智能工廠及聯網設備三大方面研究各自所面臨的網路風險。3在工業4.0時代，我們將探討在整個生產生命周期中（圖1）——從數字供應網路到智能工廠再到聯網物品——運營及信息安全主管可行的對策，以預測並有效應對網路風險，同時主動將網路安全納入企業戰略。

數字化製造企業與工業4.0

工業4.0技術讓數字化製造企業和數字供應網路整合不同來源和出處的數字化信息，推動製造與分銷行為。

信息技術與運營技術整合的標志是向實體-數字-實體的聯網轉變。工業4.0結合了物聯網以及相關的實體和數字技術，包括數據分析、增材製造、機器人技術、高性能計算機、人工智慧、認知技術、先進材料以及增強現實，以完善生產生命周期，實現數字化運營。

工業4.0的概念在物理世界的背景下融合並延伸了物聯網的范疇，一定程度上講，只有製造與供應鏈/供應網路流程會經歷實體-數字和數字-實體的跨越（圖2）。從數字回到實體的跨越——從互聯的數字技術到創造實體物品的過程——這是工業4.0的精髓所在，它支撐著數字化製造企業和數字供應網路。

即使在我們 探索 信息創造價值的方式時，從製造價值鏈的角度去理解價值創造也很重要。在整個製造與分銷價值網路中，通過工業4.0應用程序集成信息和運營技術可能會達到一定的商業成果。

不斷演變的供應鏈和網路風險

有關材料進入生產過程和半成品/成品對外分銷的供應鏈對於任何一家製造企業都非常重要。此外，供應鏈還與消費者需求聯系緊密。很多全球性企業根據需求預測確定所需原料的數量、生產線要求以及分銷渠道負荷。由於分析工具也變得更加先進，如今企業已經能夠利用數據和分析工具了解並預測消費者的購買模式。

通過向整個生態圈引入智能互聯的平台和設備，工業4.0技術有望推動傳統線性供應鏈結構的進一步發展，並形成能從價值鏈上獲得有用數據的數字供應網路，最終改進管理，加快原料和商品流通，提高資源利用率，並使供應品更合理地滿足消費者需求。

盡管工業4.0能帶來這些好處，但數字供應網路的互聯性增強將形成網路弱點。為了防止發生重大風險，應從設計到運營的每個階段，合理規劃並詳細說明網路弱點。

在數字化供應網路中共享數據的網路風險

隨著數字供應網路的發展，未來將出現根據購買者對可用供應品的需求，對原材料或商品進行實時動態定價的新型供應網路。5由於只有供應網路各參與方開放數據共享才可能形成一個響應迅速且靈活的網路，且很難在保證部分數據透明度的同時確保其他信息安全，因此形成新型供應網路並非易事。

因此，企業可能會設法避免信息被未授權網路用戶訪問。 此外，他們可能還需對所有支撐性流程實施統一的安全措施，如供應商驗收、信息共享和系統訪問。企業不僅對這些流程擁有專屬權利，它們也可以作為獲取其他內部信息的接入點。這也許會給第三方風險管理帶來更多壓力。在分析互聯數字供應網路的網路風險時，我們發現不斷提升的供應鏈互聯性對數據共享與供應商處理的影響最大（圖3）。

為了應對不斷增長的網路風險，我們將對上述兩大領域和應對戰略逐一展開討論。

數據共享：更多利益相關方將更多渠道獲得數據

企業將需要考慮什麼數據可以共享，如何保護私人所有或含有隱私風險的系統和基礎數據。比 如，數字供應網路中的某些供應商可能在其他領域互為競爭對手，因此不願意公開某些類型的數據，如定價或專利品信息。此外，供應商可能還須遵守某些限制共享信息類型的法律法規。因此，僅公開部分數據就可能讓不良企圖的人趁機獲得其他信息。

企業應當利用合適的技術，如網路分段和中介系統等，收集、保護和提供信息。此外，企業還應在未來生產的設備中應用可信的平台模塊或硬體安全模塊等技術，以提供強大的密碼邏輯支持、硬體授權和認證（即識別設備的未授權更改）。

將這種方法與強大的訪問控制措施結合，關鍵任務操作技術在應用點和端點的數據和流程安全將能得到保障。

在必須公開部分數據或數據非常敏感時，金融服務等其他行業能為信息保護提供範例。目前，企業紛紛開始對靜態和傳輸中的數據應用加密和標記等工具，以確保數據被截獲或系統受損情況下的通信安全。但隨著互聯性的逐步提升，金融服務企業意識到，不能僅從安全的角度解決數據隱私和保密性風險，而應結合數據管治等其他技術。事實上，企業應該對其所處環境實施風險評估，包括企業、數字供應網路、行業控制系統以及聯網產品等，並根據評估結果制定或更新網路風險戰略。總而言之，隨著互聯性的不斷增強，上述所有的方法都能找到應實施更高級預防措施的領域。

供應商處理：更廣闊市場中供應商驗收與付款

由於新夥伴的加入將使供應商體系變得更加復雜，核心供應商群體的擴張將可能擾亂當前的供應商驗收流程。因此，追蹤第三方驗收和風險的管治、風險與合規軟體需要更快、更自主地反應。此外，使用這些應用軟體的信息安全與風險管理團隊還需制定新的方針政策，確保不受虛假供應商、國際制裁的供應商以及不達標產品分銷商的影響。消費者市場有不少類似的經歷，易貝和亞馬遜就曾發生過假冒偽劣商品和虛假店面等事件。

區塊鏈技術已被認為能幫助解決上述擔憂並應對可能發生的付款流程變化。盡管比特幣是建立貨幣 歷史 記錄的經典案例，但其他企業仍在 探索 如何利用這個新工具來決定商品從生產線到各級購買者的流動。7創建團體共享 歷史 賬簿能建立信任和透明度，通過驗證商品真實性保護買方和賣方，追蹤商品物流狀態，並在處理退換貨時用詳細的產品分類替代批量分揀。如不能保證產品真實性，製造商可能會在引進產品前，進行產品測試和鑒定，以確保足夠的安全性。

信任是數據共享與供應商處理之間的關聯因素。企業從事信息或商品交易時，需要不斷更新其風險管理措施，確保真實性和安全性；加強監測能力和網路安全運營，保持警惕性；並在無法實施信任驗證時保護該等流程。

在這個過程中，數字供應網路成員可參考其他行業的網路風險管理方法。某些金融和能源企業所採用的自動交易模型與響應迅速且靈活的數字供應網路就有諸多相似之處。它包含具有競爭力的知識產權和企業賴以生存的重要資源，所有這些與數字供應網路一樣，一旦部署到雲端或與第三方建立聯系就容易遭到攻擊。金融服務行業已經意識到無論在內部或外部演算法都面臨著這樣的風險。因此，為了應對內部風險，包括顯性風險（企業間諜活動、蓄意破壞等）和意外風險（自滿、無知等），軟體編碼和內部威脅程序必須具備更高的安全性和警惕性。

事實上，警惕性對監測非常重要：由於製造商逐漸在數字供應網路以外的生產過程應用工業4.0技術，網路風險只會成倍增長。

智能生產時代的新型網路風險

隨著互聯性的不斷提高，數字供應網路將面臨新的風險，智能製造同樣也無法避免。不僅風險的數量和種類將增加，甚至還可能呈指數增長。不久前，美國國土安全部出版了《物聯網安全戰略原則》與《生命攸關的嵌入式系統安全原則》，強調應關注當下的問題，檢查製造商是否在生產過程中直接或間接地引入與生命攸關的嵌入式系統相關的風險。

「生命攸關的嵌入式系統」廣義上指幾乎所有的聯網設備，無論是車間自動化系統中的設備或是在第三方合約製造商遠程式控制制的設備，都應被視為風險——盡管有些設備幾乎與生產過程無關。

考慮到風險不斷增長，威脅面急劇擴張，工業4.0時代中的製造業必須徹底改變對安全的看法。

聯網生產帶來新型網路挑戰

隨著生產系統的互聯性越來越高，數字供應網路面臨的網路威脅不斷增長擴大。不難想像，不當或任意使用臨時生產線可能造成經濟損失、產品質量低下，甚至危及工人安全。此外，聯網工廠將難以承受倒閉或其他攻擊的後果。有證據表明，製造商仍未准備好應對其聯網智能系統可能引發的網路風險： 2016年德勤與美國生產力和創新製造商聯盟（MAPI）的研究發現，三分之一的製造商未對工廠車間使用的工業控制系統做過任何網路風險評估。

可以確定的是，自進入機械化生產時代，風險就一直伴隨著製造商，而且隨著技術的進步，網路風險不斷增強，物理威脅也越來越多。但工業4.0使網路風險實現了迄今為止最大的跨越。各階段的具體情況請參見圖4。

從運營的角度看，在保持高效率和實施資源控制時，工程師可在現代化的工業控制系統環境中部署無人站點。為此，他們使用了一系列聯網系統，如企業資源規劃、製造執行、監控和數據採集系統等。這些聯網系統能夠經常優化流程，使業務更加簡單高效。並且，隨著系統的不斷升級，系統的自動化程度和自主性也將不斷提高（圖5）。

從安全的角度看，鑒於工業控制系統中商業現貨產品的互聯性和使用率不斷提升，大量暴露點將可能遭到威脅。與一般的IT行業關注信息本身不同，工業控制系統安全更多關注工業流程。因此，與傳統網路風險一樣，智能工廠的主要目標是保證物理流程的可用性和完整性，而非信息的保密性。

但值得注意的是，盡管網路攻擊的基本要素未發生改變，但實施攻擊方式變得越來越先進（圖5）。事實上，由於工業4.0時代互聯性越來越高，並逐漸從數字化領域擴展到物理世界，網路攻擊將可能對生產、消費者、製造商以及產品本身產生更廣泛、更深遠的影響（圖6）。

結合信息技術與運營技術：

當數字化遇上實體製造商實施工業4.0 技術時必須考慮數字化流程和將受影響的機器和物品，我們通常稱之為信息技術與運營技術的結合。對於工業或製造流程中包含了信息技術與運營技術的公司，當我們探討推動重點運營和開發工作的因素時，可以確定多種戰略規劃、運營價值以及相應的網路安全措施（圖7）。

首先，製造商常受以下三項戰略規劃的影響：

健康 與安全： 員工和環境安全對任何站點都非常重要。隨著技術的發展，未來智能安全設備將實現升級。

生產與流程的韌性和效率： 任何時候保證連續生產都很重要。在實際工作中，一旦工廠停工就會損失金錢，但考慮到重建和重新開工所花費的時間，恢復關鍵流程可能將導致更大的損失。

檢測並主動解決問題： 企業品牌與聲譽在全球商業市場中扮演著越來越重要的角色。在實際工作中，工廠的故障或生產問題對企業聲譽影響很大，因此，應採取措施改善環境，保護企業的品牌與聲譽。

第二，企業需要在日常的商業活動中秉持不同的運營價值理念：

系統的可操作性、可靠性與完整性： 為了降低擁有權成本，減緩零部件更換速度，站點應當采購支持多個供應商和軟體版本的、可互操作的系統。

效率與成本規避： 站點始終承受著減少運營成本的壓力。未來，企業可能增加現貨設備投入，加強遠程站點診斷和工程建設的靈活性。

監管與合規： 不同的監管機構對工業控制系統環境的安全與網路安全要求不同。未來企業可能需要投入更多，以改變環境，確保流程的可靠性。

工業4.0時代，網路風險已不僅僅存在於供應網路和製造業，同樣也存在於產品本身。 由於產品的互聯程度越來越高——包括產品之間，甚至產品與製造商和供應網路之間，因此企業應該明白一旦售出產品，網路風險就不會終止。

風險觸及實體物品

預計到2020年，全球將部署超過200億台物聯網設備。15其中很多設備可能會被安裝在製造設備和生產線上，而其他的很多設備將有望進入B2B或B2C市場，供消費者購買使用。

2016年德勤與美國生產力和創新製造商聯盟（MAPI）的研究結果顯示，近一半的製造商在聯網產品中採用移動應用軟體，四分之三的製造商使用Wi-Fi網路在聯網產品間傳輸數據。16基於上述網路途徑的物聯通常會形成很多漏洞。物聯網設備製造商應思考如何將更強大、更安全的軟體開發方法應用到當前的物聯網開發中，以應對設備常常遇到的重大網路風險。

盡管這很有挑戰性，但事實證明，企業不能期望消費者自己會更新安全設置，採取有效的安全應對措施，更新設備端固件或更改默認設備密碼。

比如，2016年10月，一次由Mirai惡意軟體引發的物聯網分布式拒絕服務攻擊，表明攻擊者可以利用這些弱點成功實施攻擊。在這次攻擊中，病毒通過感染消費者端物聯網設備如聯網的相機和電視，將其變成僵屍網路，並不斷沖擊伺服器直至伺服器崩潰，最終導致美國最受歡迎的幾家網站癱瘓大半天。17研究者發現，受分布式拒絕服務攻擊損害的設備大多使用供應商提供的默認密碼，且未獲得所需的安全補丁或升級程序。18需要注意的是，部分供應商所提供的密碼被硬編碼進了設備固件中，且供應商未告知用戶如何更改密碼。

當前的工業生產設備常缺乏先進的安全技術和基礎設施，一旦外圍保護被突破，便難以檢測和應對此類攻擊。

風險與生產相伴而行

由於生產設施越來越多地與物聯網設備結合，因此，考慮這些設備對製造、生產以及企業網路所帶來的安全風險變得越來越重要。受損物聯網設備所產生的安全影響包括：生產停工、設備或設施受損如災難性的設備故障，以及極端情況下的人員傷亡。此外，潛在的金錢損失並不僅限於生產停工和事故整改，還可能包括罰款、訴訟費用以及品牌受損所導致的收入減少（可能持續數月甚至數年，遠遠超過事件實際持續的時間）。下文列出了目前確保聯網物品安全的一些方法，但隨著物品和相應風險的激增，這些方法可能還不夠。

傳統漏洞管理

漏洞管理程序可通過掃描和補丁修復有效減少漏洞，但通常仍有多個攻擊面。攻擊面可以是一個開放式的TCP/IP或UDP埠或一項無保護的技術，雖然目前未發現漏洞，但攻擊者以後也許能發現新的漏洞。

減少攻擊面

簡單來說，減少攻擊面即指減少或消除攻擊，可以從物聯網設備製造商設計、建造並部署只含基礎服務的固化設備時便開始著手。安全所有權不應只由物聯網設備製造商或用戶單獨所有；而應與二者同樣共享。

更新悖論

生產設施所面臨的另一個挑戰被稱為「更新悖論」。很多工業生產網路很少更新升級，因為對製造商來說，停工升級花費巨大。對於某些連續加工設施來說，關閉和停工都將導致昂貴的生產原材料發生損失。

很多聯網設備可能還將使用十年到二十年，這使得更新悖論愈加嚴重。認為設備無須應用任何軟體補丁就能在整個生命周期安全運轉的想法完全不切實際。20 對於生產和製造設施，在縮短停工時間的同時，使生產資產利用率達到最高至關重要。物聯網設備製造商有責任生產更加安全的固化物聯網設備，這些設備只能存在最小的攻擊表面，並應利用默認的「開放」或不安全的安全配置規劃最安全的設置。

製造設施中聯網設備所面臨的挑戰通常也適用基於物聯網的消費產品。智能系統更新換代很快，而且可能使消費型物品更容易遭受網路威脅。對於一件物品來說，威脅可能微不足道，但如果涉及大量的聯網設備，影響將不可小覷——Mirai病毒攻擊就是一個例子。在應對威脅的過程中，資產管理和技術戰略將比以往任何時候都更重要。

人才缺口

2016年德勤與美國生產力和創新製造商聯盟（MAPI）的研究表明，75%的受訪高管認為他們缺少能夠有效實施並維持安全聯網生產生態圈的技能型人才資源。21隨著攻擊的復雜性和先進程度不斷提升，將越來越難找到高技能的網路安全人才，來設計和實施具備安全性、警覺性和韌性的網路安全解決方案。

網路威脅不斷變化，技術復雜性越來越高。搭載零日攻擊的先進惡意軟體能夠自動找到易受攻擊的設備，並在幾乎無人為參與的情況下進行擴散，並可能擊敗已遭受攻擊的信息技術/運營技術安全人員。這一趨勢令人感到不安，物聯網設備製造商需要生產更加安全的固化設備。

多管齊下，保護設備

在工業應用中，承擔一些非常重要和敏感任務——包括控制發電與電力配送，水凈化、化學品生產和提純、製造以及自動裝配生產線——的物聯網設備通常最容易遭受網路攻擊。由於生產設施不斷減少人為干預，因此僅在網關或網路邊界採取保護措施的做法已經沒有用（圖8）。

從設計流程開始考慮網路安全

製造商也許會覺得越來越有責任部署固化的、接近軍用級別的聯網設備。很多物聯網設備製造商已經表示他們需要採用包含了規劃和設計的安全編碼方法，並在整個硬體和軟體開發生命周期內採用領先的網路安全措施。22這個安全軟體開發生命周期在整個開發過程中添加了安全網關（用於評估安全控制措施是否有效），採用領先的安全措施，並用安全的軟體代碼和軟體庫生產具備一定功能的安全設備。通過利用安全軟體開發生命周期的安全措施，很多物聯網產品安全評估所發現的漏洞能夠在設計過程中得到解決。但如果可能的話，在傳統開發生命周期結束時應用安全修補程序通常會更加費力費錢。

從聯網設備端保護數據

物聯網設備所產生的大量信息對工業4.0製造商非常重要。基於工業4.0的技術如高級分析和機器學習能夠處理和分析這些信息，並根據計算分析結果實時或近乎實時地做出關鍵決策。這些敏感信息並不僅限於感測器與流程信息，還包括製造商的知識產權或者與隱私條例相關的數據。事實上，德勤與美國生產力和創新製造商聯盟（MAPI）的調研發現，近70%的製造商使用聯網產品傳輸個人信息，但近55%的製造商會對傳輸的信息加密。

生產固化設備需要採取可靠的安全措施，在整個數據生命周期間，敏感數據的安全同樣也需要得到保護。因此，物聯網設備製造商需要制定保護方案：不僅要安全地存放所有設備、本地以及雲端存儲的數據，還需要快速識別並報告任何可能危害這些數據安全的情況或活動。

保護雲端數據存儲和動態數據通常需要採用增強式加密、人工智慧和機器學習解決方案，以形成強大的、響應迅速的威脅情報、入侵檢測以及入侵防護解決方案。

隨著越來越多的物聯網設備實現聯網，潛在威脅面以及受損設備所面臨的風險都將增多。現在這些攻擊面可能還不足以形成嚴重的漏洞，但僅數月或數年後就能輕易形成漏洞。因此，設備聯網時必須使用補丁。確保設備安全的責任不應僅由消費者或聯網設備部署方承擔，而應由最適合實施最有效安全措施的設備製造商共同分擔。

應用人工智慧檢測威脅

2016年8月，美國國防高級研究計劃局舉辦了一場網路超級挑戰賽，最終排名靠前的七支隊伍在這場「全機器」的黑客競賽中提交了各自的人工智慧平台。網路超級挑戰賽發起於2013年，旨在找到一種能夠掃描網路、識別軟體漏洞並在無人為干預的情況下應用補丁的、人工智慧網路安全平台或技術。美國國防高級研究計劃局希望藉助人工智慧平台大大縮短人類以實時或接近實時的方式識別漏洞、開發軟體安全補丁所用的時間，從而減少網路攻擊風險。

真正意義上警覺的威脅檢測能力可能需要運用人工智慧的力量進行大海撈針。在物聯網設備產生海量數據的過程中，當前基於特徵的威脅檢測技術可能會因為重新收集數據流和實施狀態封包檢查而被迫達到極限。盡管這些基於特徵的檢測技術能夠應對流量不斷攀升，但其檢測特徵資料庫活動的能力仍舊有限。

在工業4.0時代，結合減少攻擊面、安全軟體開發生命周期、數據保護、安全和固化設備的硬體與固件以及機器學習，並藉助人工智慧實時響應威脅，對以具備安全性、警惕性和韌性的方式開發設備至關重要。如果不能應對安全風險，如「震網」和Mirai惡意程序的漏洞攻擊，也不能生產固化、安全的物聯網設備，則可能導致一種不好的狀況：關鍵基礎設施和製造業將經常遭受嚴重攻擊。

攻擊不可避免時，保持韌性

恰當利用固化程度很高的目標設備的安全性和警惕性，能夠有效震懾絕大部分攻擊者。然而，值得注意的是，雖然企業可以減少網路攻擊風險，但沒有一家企業能夠完全避免網路攻擊。保持韌性的前提是，接受某一天企業將遭受網路攻擊這一事實，而後謹慎行事。

韌性的培養過程包含三個階段：准備、響應、恢復。

准備。企業應當准備好有效應對各方面事故，明確定義角色、職責與行為。審慎的准備如危機模擬、事故演練和戰爭演習，能夠幫助企業了解差異，並在真實事故發生時採取有效的補救措施。

響應。應仔細規劃並對全公司有效告知管理層的響應措施。實施效果不佳的響應方案將擴大事件的影響、延長停產時間、減少收入並損害企業聲譽。這些影響所持續的時間將遠遠長於事故實際持續的時間。

恢復。企業應當認真規劃並實施恢復正常運營和限制企業遭受影響所需的措施。應將從事後分析中汲取到的教訓用於制定之後的事件響應計劃。具備韌性的企業應在迅速恢復運營和安全的同時將事故影響降至最低。在准備應對攻擊，了解遭受攻擊時的應對之策並快速消除攻擊的影響時，企業應全力應對、仔細規劃、充分執行。

推動網路公司發展至今日的比特（0和1）讓製造業的整個價值鏈經歷了從供應網路到智能工廠再到聯網物品的巨大轉變。隨著聯網技術應用的不斷普及，網路風險可能增加並發生改變，也有可能在價值鏈的不同階段和每一家企業有不同的表現。每家企業應以最能滿足其需求的方式適應工業生態圈。

企業不能只用一種簡單的解決方法或產品或補丁解決工業4.0所帶來的網路風險和威脅。如今，聯網技術為關鍵商業流程提供支持，但隨著這些流程的關聯性提高，可能會更容易出現漏洞。因此，企業需要重新思考其業務連續性、災難恢復力和響應計劃，以適應愈加復雜和普遍的網路環境。

法規和行業標准常常是被動的，「合規」通常表示最低安全要求。企業面臨著一個特別的挑戰——當前所採用的技術並不能完全保證安全，因為干擾者只需找出一個最薄弱的點便能成功入侵企業系統。這項挑戰可能還會升級:不斷提高的互聯性和收集處理實時分析將引入大量需要保護的聯網設備和數據。

企業需要採用具備安全性、警惕性和韌性的方法，了解風險，消除威脅：

安全性。採取審慎的、基於風險的方法，明確什麼是安全的信息以及如何確保信息安全。貴公司的知識產權是否安全？貴公司的供應鏈或工業控制系統環境是否容易遭到攻擊？

警惕性。持續監控系統、網路、設備、人員和環境，發現可能存在的威脅。需要利用實時威脅情報和人工智慧，了解危險行為，並快速識別引進的大量聯網設備所帶來的威脅。

韌性。隨時都可能發生事故。貴公司將會如何應對？多久能恢復正常運營？貴公司將如何快速消除事故影響？

由於企業越來越重視工業4.0所帶來的商業價值，企業將比以往任何時候更需要提出具備安全性、警惕性和韌性的網路風險解決方案。

報告出品方：德勤中國

獲取本報告pdf版請登錄【遠瞻智庫官網】或點擊鏈接：「鏈接」

④ 工業控制網路的發展趨勢

工業控制網路的發展歷程是分步驟的，從傳統的控制網路發展到較為先進的現場匯流排，再後來隨著科技文明的進步，發展為現在研究熱點工業乙太網以及到無線網路控制。未來工業網路的發展需要從通信的實時性，安全性和可靠性來努力，想要達到這個層度也不是很簡單的，實現多匯流排路集成，實時異構網路也是將來發展的一個重要方向。 工業控制網路的方向 現如今企業的經營方式隨著互聯網和其相關技術的出現和發展，已經被改變了很多，它使信息通信環繞在整個社會生活中，並在很大的范圍內得以貫穿，世界上有文明的地方就有工業控制網路。在一些領域里，例如辦公自動化領域里，辦公設備中出現了互聯網技術的支持。除此之外，在製造加工工業中，在互聯網的基礎上，開放式的、透明的商業運作是新技術的發展方向。 更高的帶寬 更高的帶寬是高性能工業控制網路的要求，要增加帶寬，首先要分散控制數據，在將來的幾年裡，分散控制系統會產生增加二十到三十倍的製造信息。同樣地，PLC 從場地設備採集的信息預計也會增加一二十倍。在自動化控制和通信設施中，如果總使用新的處理體系和技術，網路很可能無法承載，離散的網路組織也可能產生瓶頸效應從而對網路變成透明的、覆蓋企業范圍的應用實體產生阻礙。乙太網的標准帶寬是10Mbps，近期研究高速乙太網，其速度能達到百兆甚至千兆，從而能夠成為企業大范圍內的主幹網路。在這種狀況下，只有乙太網能滿足大家的需要，這同時也促進了多樣控制網路的出現。 開放性的工業控制網路體系 隨著經濟全球化的發展和大部分產品周期的提高，為了降低生產成本，企業大都應用互聯網、智能設備和伺服器式應用系統以及無線通信等新技術。雖然這樣確實降低了成本，但同時這些新技術和商業過程無法避免地生成了很多數據，這些數據分配又是一個難題。雖然在執行方式上，硬體和軟體不同，但它們在商業系統中具有相同的本質標准，那就是開放式的生產管理體系。這種體系能使企業脫離單一的設備維護費用的運作方式。除此之外，開放式的系統使動態的製造數據得以釋放，在整個企業網路范圍內，使我們的管理者能能把數據自由地分配給廣大使用者，從而提高了企業的工作效率。

內容提要
本書介紹了工業控制網路的特點、發展歷程、技術現狀和發展趨勢，重點介紹了Modbus、PROFIBUS、CAN、DeviceNet及CANopen等現場匯流排技術，還介紹了EPA、PROFINET、HSE、Ethernet/IP及Modbus TCP等工業乙太網技術，並結合台達工業自動化產品有針對性地安排了大量工業控制網路應用案例和實驗內容，著重對學生的實際動手能力、獨立思考能力、創新思維能力和綜合運用能力進行培養和訓練。本書可作為普通高等院校電氣工程及其自動化、自動化、電子信息工程、儀器儀表、計算機、機械電子、汽車電子及相關專業的教材，也可作為相關工程技術人員的參考書。

⑤ 工業互聯網是什麼意思，最近被提及的很多，我們是重工業生產企業，怎麼進行互聯網+轉型

「工業互聯網」（Instrial Internet）——開放、全球化的網路，將人、數據和機器連接起來，屬於泛互聯網的目錄分類。 它是全球工業系統與高級計算、分析、感測技術及互聯網的高度融合。
「工業互聯網」的概念最早由通用電氣於2012年提出，隨後美國五家行業龍頭企業聯手組建了工業互聯網聯盟(IIC)，將這一概念大力推廣開來。除了通用電氣這樣的製造業巨頭，加入該聯盟的還有IBM、思科、英特爾和AT&T等IT企業。國內有樹根互聯、海爾卡奧斯、北京宏途創聯科技有限公司、用友雲。
工業互聯網的本質和核心是通過工業互聯網平台把設備、生產線、工廠、供應商、產品和客戶緊密地連接融合起來。可以幫助製造業拉長產業鏈，形成跨設備、跨系統、跨廠區、跨地區的互聯互通，從而提高效率，推動整個製造服務體系智能化。還有利於推動製造業融通發展，實現製造業和服務業之間的跨越發展，使工業經濟各種要素資源能夠高效共享。

⑥ 工業網路的種類及其優缺點

工業網路在自動控制系統中的應用常有以下幾種形式：分布式控制系統DCS(Distr~uted ControlSystem)、現場匯流排控制系統FC(Fieldbus ControlSystem)及工業乙太網(Instrial F_．themet)，它們構成當今工業控制的主流，同時Intemet及Web技術的發展，促進工業控制系統向Web自動化的趨勢發展。(1)DCS系統又稱集散控制系統，是一種穩定、可靠、安全的工業控制方式，目前廣泛應用於國內各種工業控制現場。其基本思想是分散控制、集中管理，典型結構是上、下位機系統及其通信網路，上位機稱為操作站，下位機稱為控制站。操作站處於信息監控層，實現控制系統的控制操作、過程狀態及報警狀態顯示、歷史數據的收集和各種趨勢的顯示及報表生成與列印；控制站處於現場控制層，是對現場物理信號(包括模擬及開關信號)進行實時採集並進行數據處理、控制運算，並將結果傳送到上位機；系統的網路負責各控制站之間、操作站與控制站之間以及操作站之間的數據通信和聯絡。(2)FCS系統產生於2O世紀8O年代，是在DCS基礎上發展起來的，在智能現場設備、自動化系統之間提供了一個全數字化的、雙向的、多節點的通信鏈路。FCS的出現促進了現場設備的數字化和網路化，並且使現場控制的功能更加強大。相對於DCS一對一結構、採用單向信號傳輸、布線及調試成本高、互操作性相對較差等缺點，FCS最大的特點就是大大減少了布線及由此引起的調試、安裝、維護等其它成本，因而獲得了廣泛應用，發展非常迅速。目前世界上流行的現場匯流排有Profibus-DP、FF、DeviceNet、Lonworks、Modbus等4O多種。
(3)工業乙太網 具有現場匯流排開放性、互操作性、互換性、可集成性、數字化信號傳輸等特點，許多專家預測乙太網將會成為取代現場匯流排的一種最
佳選擇和最終發展方向。乙太網是IEFES02-3所支持的區域網標准，採用帶碰撞檢測的載波偵聽多路訪問技術(CSMA／CD)，在辦公自動化領域得到了廣泛應用。乙太網技術應用於實時性要求很高的工業控制領域，關鍵要採取有效手段避免CSMA／CD中的碰撞。由於乙太網通信帶寬得到大幅提高，5類雙絞線將接收和發送信號分開，並且採用了全雙工交換式乙太網交換機，以星形拓撲結構為其埠上的每個網路節點提供獨立帶寬，使連接在同一個交換機上面的不同設備不存在資源爭奪，隔離了載波偵聽，因此網路通信的實時性得到大大改善，保證了乙太網產品能真正應用於工業控制現場。而且乙太網技術成熟，連接電纜和介面設備價格相對較低，帶寬迅速增長，可以滿足現場設備對通信速度增加而原有匯流排技術不能滿足的場合的需求。
(4)Web自動化技術 Intemet網把全世界連成了一個整體，而Web技術引發了信息技術的革命。把Web技術應用到工業控制領域就產生了web自動化。web自動化的基本思想是只要需要，在任何時間和地點都可以對工業現場的數據進行實時訪問和控制。web數據採集和控制的基本要求是：必須要有一個能夠通過web網路和TCP／IP協議連接監控設備和過程數據的界面，即用戶界面層；要有一台能夠使所需顯示或控制頁面通過過程瀏覽器訪問的Web伺服器，即運行邏輯層；要有一個處理本地事務(即w曲伺服器)和遠端系統(即客戶端)之間數據接收和存儲的資料庫伺服器，即資料庫層。這就是典型的三層結構。第三層(資料庫層)第二層(運行邏輯層)第一層(用戶界面層)在web模式下可以實現用戶界面和運行邏輯的有效分離，用戶瀏覽器僅負責界面的顯示，操作者可直接通過瀏覽器訪問web伺服器上的各類信息而將運行邏輯遷移至web伺服器端；無需對客戶端的應用軟體進行安裝，也無需對客戶端的控制項進行注冊，應用軟體的升級很方便，如果應用程序的功能和運行邏輯需要改變，系統維護人員可直接在web伺服器上對相應的頁面和組件進行修改，用戶立即能得到新的功能。
(5)上述控制方式的應用特點 雖然FCS技術具有傳統DCS所無法比擬的優越性，但其推廣應用也受到諸多因素的制約，DCS並沒有也不會隨著FCS的發展而馬上退出現場過程式控制制的舞台，這是因為，首先，目前我國控制現場很多設備還不是智能儀表，不能直接與現場匯流排相連；其次，FCS的價格特別是智能設備比較昂貴，採用FCS的綜合價格仍高於DCS；第三，DCS也在不斷採用新技術，如與PLC(可編程序控制器)很好地融合、滲透和集成，普遍採用IPC作為其操作站，並且採用人工智慧技術等，DCS呈現出向綜合化和智能化發展的趨勢；第四，FCS標准種類繁多，不同標準的設備相互通訊一
般比較繁瑣i第五，在強調安全、可靠第一位的應用場合，更多地是考慮DCS技術的成熟和高可靠性，同時一些專家擔心FCS一旦通信線路故障將引整個系統的癱瘓。在電廠輔機系統如化學水處理系統，目前一般仍以DCS為主，在此基礎上局部採用FCS技術，組成混合系統，筆者稱之為FDCS系統(Fieldbus Distr~uted Control System)。對工業乙太網，目前已不僅僅只適用於工業網路控制系統的信息層，而且提供了現場控制級的應用，如SIEMENS公司的PLC提供專用的乙太網介面模塊，研華科技的新型智能模塊中內置了Web伺服器，使現場模塊具備網頁發布功能，通過網頁與外界直接交換信息。而web自動化技術的優點是，操作者可在現場之外，不受時間和空間限制，通過瀏覽器訪問web伺服器上的各類信息，方便電廠調度、指揮等部門瀏覽、查詢現場數據，或根據許可權發布控制命令，實現對現場設備的監控。

希望我的回答對你有幫助

⑦ 網路規劃過程中應遵循哪些准則

（1）開放性原則。符合國際或公認的工業標准，具備開放功能，便於不同網路產品的互連，考慮投設備在技術上的擴充性。
（2）可擴展性原則。網路的覆蓋范圍、傳輸速率、支持的最大節點數不僅要滿足目前系統的要求，而且要考慮今後發展的需要，在網路設計時要充分考慮網路的擴展性。同時，要保護用戶現有投資，充分利用現有計算機資源及其它設備資源。
（3）先進性與實用兼顧原則。應盡可能地採用先進而成熟的技術，採用先進的設計思想、先進的軟硬體設備和先進的開發工具。同時注重實用性，使網路系統獲得較高的性價比。
（4）安全與可靠原則。網路的可靠性、安全性應優先考慮。選擇適當的冗餘，保證網路在故障情況下能正常運行。設置各種安全措施，達到從網路用戶到數據傳輸各環節的安全。
（5）可維護性原則。有充分的網路管理手段，可維護性好。

⑧ 工業網路由哪些主要部分組成

是指安裝在工業生產環境中的一種全數字化、雙向、多站的通信系統。具體有以下三種類型： (1)專用、封閉型工業網路：該網路規范是由各公司自行研製，往往是針對某一特定應用領域而設，效率也是最高。但在相互連接時就顯得各項指標參差不齊，推廣與維護都難以協調。專用型工業網路有三個發展方向：①走向封閉系統，以保證市場佔有率。②走向開放型，使它成為標准。③設計專用的Gateway與開放型網路連接。 (2)開放型工業網路：除了一些較簡單的標準是無條件開放外，大部分是有條件開放，或僅對成員開放。生產商必須成為該組織的成員，產品需經過該組織的測試、認證，方可在該工業網路系統中使用。 (3)標准工業網路：符合國際標准IEC61158、IEC62026、ISO11519或歐洲標准EN50170的工業網路，它們都會遵循ISO/OSI7層參考模型。工業網路大都只使用物理層、數據鏈路層和應用層。一般工業網路的制定是根據現有的通信界面，或是自己設計通信IC，然後再依據應用領域設定數據傳輸格式。例如，DeviceNet的物理層與數據鏈路層是以CANbus為基礎，再增加適用於一般I/O點應用的應用層規范。

⑨ 如何構建工業互聯網安全體系

2018年中國工業互聯網行業分析：萬億級市場規模，五大建議構建安全保障體系

工業互聯網安全問題日益凸現

工業互聯網無疑是這個寒冬中最熱的產業經濟話題。「BAT們」視之為「互聯網的下半場」，正在競相「+工業」「+製造業」而工業企業、製造業企業們也在積極「+互聯網」，希望藉助互聯網的科技力量，為工業、製造業的發展配備上全新引擎，從而打造「新工業」。

不難看出，工業互聯網正面臨著一個重要的高速發展期，預計至2020年將達萬億元規模。但與此同時，工業互聯網所面臨的安全問題日益凸現。在設備、控制、網路、平台、數據等工業互聯網主要環節，仍然存在傳統的安全防護技術不能適應當前的網路安全新形勢、安全人才不足等諸多問題。

工業互聯網萬億級市場模引發安全隱患

據前瞻產業研究院發布的《中國工業互聯網產業發展前景預測與投資戰略規劃分析報告》統計數據顯示，2017年中國工業互聯網直接產業規模約為5700億元，預計2017年到2019年，產業規模將以18%的年均增速高速增長，到2020年將達到萬億元規模。隨著國家出台相關工業互聯網利好政策，中國工業互聯網行業發展增速加快，截止到2018年3月，中國工業互聯網平台數量超250家。世界各國正加速布局工業互聯網，圍繞工業互聯網發展的國際競爭日趨激烈。

預計2020年我國工業互聯網產業規模將達到萬億元

數據來源：公開資料、前瞻產業研究院整理

一方面，加快工業互聯網發展是製造業轉型升級的必然要求;另一方面，工業互聯網是構築現代化經濟體系的必然趨勢。

工業互聯網是深化「互聯網+先進製造業」的重要基石，也是發展數字經濟的新動力。發展工業互聯網，實現互聯網與製造業深度融合，將催生更多新業態、新產業、新模式，創造更多新興經濟增長點。

伴隨著工業互聯網的發展，越來越多的工業控制系統及設備與互聯網連接，網路空間邊界和功能極大擴展，以及開放、互聯、跨域的製造環境，使得工業互聯網安全問題日益凸顯：

1、網路攻擊威脅向工業互聯網領域滲透。近年來，工業控制系統漏洞呈快速增長趨勢，相關數據顯示，2017年新增信息安全漏洞4798個，其中工控系統新增漏洞數351個，相比2016年同期，新增數量幾乎翻番，漏洞數量之大，使整個工業系統的生產網路面臨巨大安全威脅。

2、新技術的運用帶來新的安全威脅。大數據、雲計算、人工智慧、移動互聯網等新一代信息技術本身存在一定的安全問題，導致工業互聯網安全風險多樣化。

3、工業互聯網安全保障能力薄弱。目前，傳統的安全保障技術不足以解決工業互聯網的安全問題，同時，針對工業互聯網的安全防護資金投入較少，相應安全管理制度缺乏，責任體系不明確等，難以為工業互聯網安全提供有力支撐。

如何構建工業互聯網安全體系?

那麼，如何鑄造工業互聯網的安全基石，加快構建可信的工業互聯網安全保障體系呢?

1、突破關鍵核心技術。要緊跟工業互聯網最新發展趨勢，努力引領前沿技術和顛覆性技術發展。

2、推動工業互聯網安全技術標准落地實施。全面推廣技術合規性檢測，促進工業互聯網產業良性發展。

3、完善監管和評測體系。

4、切實推進工業互聯網安全技術發展。加強全生命周期安全管理，構建覆蓋系統建設各環節的安全防護體系。

5、聯合行業力量打造工業互聯網安全生態。

在工業互聯網的安全防護能力建議：

1、頂層設計：出台系列文件，形成頂層設計;

2、標准引導：構建工業互聯網安全標准體系框架，推進重點領域安全標準的研製;

3、技術保障：夯實基礎，強化技術實力;

4、系統布局：依託聯盟，打造產業促進平台;

5、產業應用：加強產業推進，推廣安全最佳實踐。

近年來，中國也陸續出台了《關於深化「互聯網+先進製造業」發展工業互聯網的指導意見》、《工業互聯網發展行動計劃(2018-2020年)》等文件，明確提出工業互聯網安全工作內容，從制度建立、標准研製、安全防護、數據保護、手段建設、安全產業發展、人員培養等方面，要求建立涵蓋設備安全、控制安全、網路安全、平台安全、數據安全的工業互聯網多層次安全保障體系。

在國家政策以及業界的一致努力下，相信我國工業互聯網在取得快速發展的同時在安全層面的保障也會更上一層樓。

⑩ 網路設計需要考慮哪些

網路工程集成設計的一般步驟（2） 成本/效益評估 根據用戶的需求和現狀分析，對設計新的網路系統所需要投入的人力、財力、物力，以及可能產生的經濟、社會效益進行綜合評估。這項工作是集成商向用戶提出系統設計報價和讓用戶接受設計方案的最有效參考依據。 書寫需求分析報告 詳細了解用戶需求並進行現狀分析和成本/效益評估後，就要以報告的形式向用戶和項目經理人提出，以此作為下一步正式的系統設計的基礎與前提。 （2）網路工程初步設計。 在全面、詳細地了解了用戶需求，並進行了用戶現狀分析和成本/效益評估後，在用戶和項目經理人認可的前提下，就可以正式進行網路工程設計了。首先需要給出一個初步的方案，其中主要包括以下幾個方面： 確定網路的規模和應用范圍 確定網路覆蓋范圍（這主要是根據終端用戶的地理位置分布而定）、定義網路應用的邊界（著重強調的是用戶的特定行業應用和關鍵應用，如MIS系統、ERP系統、資料庫系統、廣域網連接、企業網站系統、郵件伺服器系統、VPN連接等）。 統一建網模式 根據用戶網路規模和終端用戶地理位置分布確定網路的總體架構，比如是集中式還是分布式，是採用客戶機/伺服器模式還是對等模式等。 確定初步方案 將網路系統的初步設計方案用文檔記錄下來，並向項目經理人和用戶提交，審核通過後方可進行下一步運作。 （3）網路工程詳細設計。 網路協議體系結構的確定 根據應用需求，確定用戶端系統應該採用的網路拓撲結構類型，可選擇的網路拓撲通常包括匯流排型、星型、樹型和混合型4種。如果涉及廣域網系統，則還需要確定採用哪一種中繼系統，確定整個網路應該採用的協議體系結構。 節點規模設計 確定網路的主要節點設備的檔次和應該具備的功能，這主要是根據用戶網路規模、網路應用需求和相應設備所在的網路位置而定。區域網中核心層設備最高檔，匯聚層的設備性能次之，接入層的性能要求最低。廣域網中，用戶主要考慮的是接入方式的選擇，因為中繼傳輸網和核心交換網通常都是由NSP提供的，無需用戶關心。 確定網路操作系統 一個網路系統中，安裝在伺服器中的操作系統決定了整個網路系統的主要應用和管理模式，也基本上決定了終端用戶所能採用的操作系統和應用軟體系統。網路操作系統方面，目前主流應用的有Microsoft公司的Windows Server 2003和Windows Server 2008系統，是目前應用面最廣、最容易掌握的操作系統，在中小型企業中絕大多數是採用這兩種網路操作系統。另外還有一些Linux系統版本，如RedHat Enterprise Linux 5.0、Red Flag DC Server 5.0等。UNIX系統品牌也比較多，目前最主要應用的是SUN公司的Solaris 10.0、IBM AIX 5L等幾種。 選定通信介質 根據網路分布、接入速率需求和投資成本分析為用戶端系統選定適合的傳輸介質，為中繼系統選定傳輸資源。在區域網中，通常是以廉價的五類/超五類雙絞線為傳輸介質，而在廣域網中則主要是以電話銅線、光纖、同軸電纜作為傳輸介質，具體要視所選擇的接入方式而定。 網路設備的選型和配置 根據網路系統和計算機系統的方案，選擇性能價格比最好的網路設備，並以適當的連接方式加以有效的組合。 結構化布線設計 根據用戶的終端節點分布和網路規模設計整個網路系統的結構化布線（也就是通常所說的"綜合布線"）圖，在圖中要求標注關鍵節點的位置和傳輸速率、傳輸介質、介面等特殊要求。結構化布線圖要符合結構化布線的國際、國內標准，如EIA/TIA 568A/B、ISO/IEC 11801等。 確定詳細方案 確定網路總體及各部分的詳細設計方案，並形成正式文檔交項目經理和用戶審核，以便及時地發現問題，及時糾正。 （4）應用系統集成設計。 前面3個步驟是設計網路架構的，接下來要做的是進行應用系統集成設計。其中包括各種用戶計算機應用系統設計和資料庫系統、MIS管理系統選擇等，具體包括以下幾個方面： 應用系統設計 分模塊地設計出滿足用戶應用需求的各種應用系統的框架和對網路系統的要求，特別是一些行業特定應用和關鍵應用，如進銷存資料庫系統、電子商務應用系統、財務管理系統、人事管理系統等。 計算機系統設計 根據用戶業務特點、應用需求和數據流量，對整個系統的伺服器、工作站、終端以及列印機等外設進行配置和設計，還可根據用戶網路管理方面的需求選擇適當的MIS管理系統對整個網路系統設備進行集中監控和管理。 機房環境設計 確定用戶端系統的伺服器所在機房和一般工作站機房的環境，包括溫度、濕度、通風等要求。 確定系統集成詳細方案 將整個應用系統涉及的各個部分加以集成，並最終形成系統集成的正式文檔。 完成好應用系統集成後，就可以開始進行工程施工了，然後再進行下面的方案測試和試運行。 （5）網路工程方案測試。 系統設計後還不能馬上投入正式的運行，而是要先做一些必要的性能測試和小范圍的試運行。性能測試一般是通過專門的測試工具進行，主要測試網路接入性能、響應時間，以及關鍵應用系統的並發用戶支持和穩定性等方面。試運行通常是就網路系統的基本性能進行評估，特別是對一些關鍵應用系統。試運行的時間一般不得少於一個星期。小范圍試運行成功後即可全面試運行，全面試運行時間不得少於一個月。 在試運行過程中出現的問題應及時加以解決和改進，直到用戶滿意為止，當然這也結合用戶的投資和實際應用需求等因素綜合考慮。 做任何事都是有規律可循的，也必須遵守一定的原則。根據目前計算機網路的現狀和需求分析以及未來的發展趨勢，在網路工程設計時應遵循以下幾個原則： 開放性和標准化原則 首先採用國際標准和國家標准，其次採用廣為流行的、實用的工業標准，只有這樣，網路系統內部才能方便地從外部網路快速獲取信息。同時還要求在授權後網路內部的部分信息可以對外開放，保證網路系統適度的開放性。這是非常重要而且非常必要的，同時又是許多網路工程設計人員經常忽視的。我們在進行網路工程設計時，在有標准可執行的情況下，一定要嚴格按照相應的標准進行設計，而不要我行我素，特別是在像網線製作、結構化布線和網路設備協議支持等方面。採用開放的標准後就可以充分保障網路工程設計的延續性，即使將來當前設計人員不在公司了，後來人員也可以通過標准輕松地了解整個網路系統的設計標准，保證互連簡單易行。 實用性與先進性兼顧原則 在進行網路工程設計時首先應該以注重實用為原則，緊密結合具體應用的實際需求。在選擇具體的網路技術時一定同時考慮當前及未來一段時間內主流應用的技術，不要一味追求新技術和新產品，一則新的技術和產品還有一個成熟的過程，立即選用則可能會出現各種意想不到的問題；另一方面，最新技術的產品價格肯定非常昂貴，會造成不必要的資金浪費。 如在以太區域網技術中，目前千兆以下的乙太網技術都已非常成熟，產品價格也已降到了合理的水平，但萬兆乙太網技術還沒有得到普及應用，相應的產品價格仍相當昂貴，所以如果沒有十分的必要，則不要選擇萬兆乙太網技術的產品。 另外在選擇技術時，一定要選擇主流應用的技術，如像同軸電纜的令牌環乙太網和FDDI光纖乙太網目前已很少使用，就不要選用了。目前的乙太網技術基本上都是基於雙絞線和光纖的，其傳輸速率最低都應達到10/100Mb/s。 無瓶頸原則 這個非常重要，否則會造成花了高的成本購買了主檔次設備卻得不到相應的高性能。網路性能與網路安全一樣，最終取決於網路通信鏈路中性能最低的那部分。 如某匯聚層交換機連接到了核心交換機的1000Mb/s雙絞線乙太網埠上，而該匯聚層交換機卻只有100Mb/s甚至10Mb/s的埠，很顯然這個匯聚層交換機上所連接的節點都只能享有10Mb/s或100Mb/s的性能。如果上聯埠具有1000Mb/s性能，而各節點埠支持100Mb/s連接，則性能就完全不一樣了。 還如伺服器的各項硬體配置都非常高檔（達到了企業級標准），但所用的網卡卻只是普通的PCI 10/100Mb/s網卡，顯然這又將成為伺服器性能發揮的瓶頸。再好的其他配置，最終也無法正常發揮。再如，伺服器的處理器達到了4個至強處理器，而內存容量卻只有初始配置的1GB，或者磁碟採用了讀寫性能較低的IDE RAID或SATA RAID，這樣配置的結果同樣會使伺服器的性能大打折扣，浪費了高性能配置資源。 這類現象還非常多，在此就不一一列舉了。這就要求在進行網路工程設計時一定要全局綜合考慮各部分的性能，而不能只注重局部的性能配置。特別是交換機埠、網卡和伺服器組件配置等方面。 可用性原則 我們知道伺服器的"四性"中有一個"可用性"，網路系統也一樣。它決定了所設計的網路系統是否能滿足用戶應用和穩定運行的需求。網路的"可用性"其實就表現在網路的"可靠性"和"穩定性"上，要求網路系統能長時間穩定運行，而不要經常出現這樣或那樣的問題。否則給用戶帶來的損失可能是非常巨大的，特別是大型、外貿、電子商務類型的企業。當然這里所說的"可用性"還表現在所選擇的產品要能真正用得上，如所選擇的伺服器產品只支持UNIX系統，而用戶系統中根本不打算用UNIX系統，則所選擇的伺服器就用不上。 網路系統的"可用性"通常是由網路設備（軟體系統其實也有"可用性"要求）的"可用性"決定的，主要體現在伺服器、交換機、路由器、防火牆等重負荷設備上。這就要求在選購這些設備時一定不要一味地貪圖廉價，而要選擇一些國內外主流品牌、應用主流技術和成熟型號的產品。對於這些關鍵設備千萬不要選擇那些雜牌，一方面性能和穩定性無法保障，另一方面售後服務更將是無法彌補的長久的痛。 另外，網路系統的電源供應在可用性保障方面也非常重要，特別是對於關鍵網路設備和關鍵用戶機。這時就需要為這些節點配置足夠功率的不間斷電源（UPS），在市電出現不穩定或者停電時可以持續一段時間供用戶保存數據、退出系統，以免數據丟失。通常像伺服器、交換機、路由器、防火牆之類的關鍵設備要接在支持數個小時以上（通常是3小時）的UPS電源上，而關鍵用戶機則需要接在支持15分鍾以上的UPS電源上。 適度安全性原則 網路安全涉及許多方面，最明顯、最重要的就是對外界入侵、攻擊的檢測與防護。現在的網路幾乎時刻受到外界的安全威脅，稍有不慎就會被那些病毒、黑客入侵，致使整個網路陷入癱瘓。在一個安全措施完善的計算機網路中，不僅要部署病毒防護系統、防火牆隔離系統，還可能要部署入侵檢測、木馬查殺系統和物理隔離系統等。當然所選用系統的具體等級要根據相應網路規模的大小和安全需求而定，並不一定要求每個網路系統都全面部署這些防護系統。在安全系統方面，要適度，不能片面強調什麼安全第一。 除了病毒、黑客入侵外，網路系統的安全性需求還體現在用戶對數據的訪問許可權上，一定要根據對應的工作需求為不同用戶、不同數據配置相應的訪問許可權，對安全級別需求較高的數據則要採取相應的加密措施。同時，用戶賬戶，特別是高許可權賬戶的安全也應受到高度重視，要採取相應的賬戶防護策略（如密碼復雜性策略和賬戶鎖定策略等），保護好用戶賬戶，以防被非法用戶盜取。 在安全性防護方面，還有一個重要的方面，就是數據備份和容災。這非常重要，在一定程度上決定了企業的生存與發展，特別是企業數據主要是電子文檔的電子商務類企業。在設計網路系統時，一定要充分考慮到用戶對數據備份和容災的需求，部署相應級別的備份和容災方案。如中小型企業通常是採用Microsoft公司Windows Server 2003和Windows Server 2008系統中的備份工具進行數據備份和恢復，而對於大型企業，則可能要採用第三方專門的數據備份系統，如Veritas（維他斯，現已並入賽門鐵克公司）的Backup Exec系統。 適度可擴展性原則 這是為了適應用戶業務和網路規模發展的需求，相當重要，特別是對於中小型企業網路來說。這類企業一般成長較快，很可能不到三年時間，網路用戶規模就要翻倍，關鍵應用帶寬需求也可能成倍增加。這時如果所設計的網路系統的可擴展性不強，就會給網路用戶和性能的擴充帶來極大的不便。 網路的可擴展性保證主要是通過交換機埠、伺服器處理器數、內存容量、磁碟架數等方面來保證。通常要求核心層或骨幹層，甚至匯聚層交換機的高速埠（通常為千兆埠）要有兩個以上用於維護和擴展（通常是用加連接新增加的下級交換機），不要在設計之初就只想到當前所需的這類埠數，把所有高速埠都佔用完。當然也不要為將來的網路留有太多這樣的埠或設備，否則就會給網路工程設計帶來巨大的成本壓力，也會造成巨大的投資浪費。