工业4.0数字化转型的趋势分析

工业4.0数字化转型的趋势分析AnalysisofTrendsinIndustry4.0DigitalTransformation邓仲谋IvanDeng德国莱茵TÜV数字化与信息安全高级咨询师SeniorConsultantinDigitalandInformationSecurity,TÜVRheinland安全趋势，创新未来德国莱茵TÜV信息安全业务专家德国工业4.0的简介及中国智造202501目录CONTENTS工业行业的信息安全以及发展趋势02数字化转型面临的挑战和趋势03TÜV莱茵工业4.0的安全趋势分析4德国工业4.0的简介及中国智造2025PART01第一部分（一）什么是工业4.0及中国智造2025？SYSTEMSDESIGNRISK&COMPLIANCETECHNOLOGINDUSTRY4.0DETECIONMODELSPREVENTIVEEXPERIMENT&MODELDESIGN工业4.0的出台过程2015年5月19日国务院正式印发《中国制造2025》《德国2020高技术战略》发布，并重点推出11个“未来项目”在德国科学-产业经济研究联盟（ForschungsunionWirtschaft-Wissenschaft）的倡导下，开始研究工业4.0德国科学-产业经济研究联盟与德国国家科学与工程院（Acatech）共同制定工业4.0发展战略工业4.0发展战略发布；由VDMA、BITKOM、ZVEI组成秘书处，组建工业4.0平台工业4.0平台发布白皮书（实施计划）《德国2020高技术战略》行动计划发布，11个“未来项目”缩减为10个（投资84亿欧元）；“工业4.0”一词首次出现（投资2亿欧元）工业4.0给企业转型升级带来的启示7大规模生产模式向大规模定制的转型和升级大规模生产大规模定制管理理念驱动方式核心战略目标以产品为中心，以低成本赢得市场根据市场预测安排生产，属推动式的生产方式通过稳定性和控制力取得高效率成本领先战略：通过降低成本、提高生产效率获取竞争优势以低价格开发、生产、销售、交付产品和服务以顾客为中心，以快速响应赢得市场根据客户定点安排生产，属拉动式生产方式通过灵活性和快速响应来实现多样化和定制化差异化战略：通过快速反应、提供个性化的产品获取竞争优势交付顾客买得起的产品和服务工业4.0给企业转型升级带来的启示—续价值链升至价值环工业时代——“价值链”互联网时代——“价值环”战略、组织、商业模式产业采供研发生产销售服务人力资源财务行政信息后勤用户用户战略层业务层组织层产品研发售后服务采购生产销售服务IT行政人力资源后勤1.研发3.原型制造4.零部件生产5.系统集成6.销售服务2.设计传统的分工合作1980:OEM价值链•仅将零部件的生产分包给不同的供应商当前的外包开发2000:部分外包的价值链•外包包括工艺过程开发等核心环节•用供应链管理、产品生命周期管理等软件系统管理外包工作工艺过程开发子装配体零部件供应链管理产品生命周期管理1.研发3.原型制造4.零部件生产5.系统集成6.销售服务2.设计未来的开放制造2025:开放的价值链•学习型组织和精益生产系统子装配体零部件第一层第二层第三层供应链管理1.研发3.原型制造4.零部件生产5.系统集成6.销售服务2.设计商业模式开发质量管理项目管理工艺过程开发产品生命周期管理智能工厂PLMSCMCRMQMSERP互联网服务物联网智能物料应用程序平台智能工厂应用程序平台智能产品应用程序平台传感器执行器控制器移动设备信息物理系统工业4.0的核心竞争力就是—创新创新研发行业支持标准化14工业行业的信息安全以及发展趋势PART02第二部分企业挑战—面临范围更广、要求更严的监管要求GDPR,CSL,CCPA…合规要求越来越高Nov2016•清晰的监管覆盖范围定义•科学的网络安全监管体系•严格的网络安全违法处罚（罚款、行政、治安、民事和刑事责任）条例评测认证机制检测预警与应急安全审查制度等级保护制度2.0合规要求广泛严谨处罚信息安全体系建设思路8/1/2019ServicesofD0116目标(信息安全)可用性，可靠性，持续性保密性，安全性架构，风险管理资源分配，法律合规运营管理(ISMS)体系，ISO27001绩效，流程，制度，考核，培训成本，改进，对标（GDPR，NIST,ITSM，ITIL，COBIT），监控，测评，等保，网络安全法技术管理(PenTest)物理层，网络层，系统层，应用层产品，开发，渗透，漏扫，权限，加解密，APP测试认证，IoT安全认证工业企业安全目标下的功能层次分层工业企业功能层次模型从上到下共分为5个层级，依次为Level4企业资源层Level3生产管理层Level2过程监控层Level1现场控制层Level0现场设备层不同层级的实时性要求不同工业企业不同功能层次的系统区别8/1/2019Pleaseinsertfootnote18SCADA系统、DCS系统、PLC系统、RTU系统的区别Column1SCADA系统DCS系统PLC系统RTU系统主要特点利用远程通信技术将地理位置分散的远程测控站点进行集中监控利用局域网对控制回路进行集中监视和分散控制,用于连续变量、多回路的复杂控制逻辑控制功能，用于数字量、开关量的控制对远程站点的现场数据测量功能强地理范围地理位置高度分散地理位置集中（如工厂或以工厂为中心的区域）地理位置集中危险、恶劣的远程生产现场应用领域远程监控行业（如石油和天然气管道、电力电网、轨道交通运输系统（含铁路运输系统与城市轨道交通系统））过程控制行业（如发电、炼油、食品和化工等）工业自动化（如生产线等）远程监控行业通信技术广域网、广播、卫星和电话或电话网等远程通信技术局域网技术局域网技术远程通信技术规模大小大规模系统，现场站点多控制回路复杂，测控点数多作为SCADA系统的组成部分各个安全域所涉及的控制系统的安全措施的权重比例也需要差异定制8/1/2019Pleaseinsertfootnote1910%18%15%12%45%不同的功能层，安全需求不同，所以需要安全域的概念去划分8/1/2019Pleaseinsertfootnote20典型样例8/1/2019Pleaseinsertfootnote21•实时控制及非实时控制•IP加密认证及普通加密认证•生产管理区及信息管理区•现场设备层及现场控制层…...实现目标--信息安全体系建设22我们根据项目目标及需求，结合TÜV在项目实施上的丰富经验，制定以下的工作方法，从项目目标出发，根据项目实施的管理类措施和技术类措施，形成运行主线、技术主线两条主线，为项目的成功认证提供保障体系建设需求工作方法(运营与技术两条主线)主要成果认证运行主线技术主线认证及提升体系运行制度和度量指标全面现状评估1.管理现状与问题2.详细对标测试及差距分析3.处置计划及风险评估4.制度保障及试运行5.技术测试结果6.认证及落地措施协助运行技术运行主线评估介绍信息安全体系主线建设方法8/1/2019ServicesofD0124TÜV莱茵结合了多个世界公认的管理标准要求，结合工业企业信息安全保护要求，在组织的质量管理方法和标准内结合质量管理的思想，配合客户提供的流程和测评的最佳实践经验结合形成信息安全保护矩阵。ISO/IEC27001/ISO/IEC20000:2005ISO9000BS7799BS7799-1BS7799-2FederalInformationSecurityManagementNISTSP800–53FIPS140-2ZSEICFORGERITSECISO/IEC15408TUVRheinlandInformationSecurityCatalogue体系建设认证风险评估定义1234信息安全保护体系（含隐私保护）的要点258/1/2019ServicesofD01管理类*组织要求*服务提供者员工的要求*服务提供商对数据处理的要求*服务提供商的变更管理要求*服务提供商的事故管理要求*服务提供商的应急管理要求*关于消费者文档的合格证书的要求*数据中心可用性要求*物联网配置符合性证书的要求*服务提供商的技术和组织安全要求管理类应用层*订单数据处理要求*密码学要求*服务提供商数据库的要求*Web应用程序要求（PenetrationTest）*移动应用程序（Android&iOS）要求（PenetrationTest）应用层系统层*与服务提供商使用IaaS服务有关的要求*服务提供商系统的配置要求*身份和授权管理要求*服务提供商备份要求*补丁和漏洞管理要求系统层网络层*数据存储和数据通信要求*服务提供商网络架构的要求*服务提供商系统的监控要求网络层物理层*服务提供商的物理安全要求*数据中心可用性要求*物联网设备符合性证书的要求物理层体系建设认证风险评估定义1234技术主线评估介绍CloudPenetrationTestingPhaseandTestingItems云渗透测试流程8/1/2019Pleaseinsertfootnote27Generally,ourpenetrationtestingprocesslastsfrom4weeksto8weeks*.Itisadedicatedlogicalprocessingprocedurewhichneedsconsistentfocusingandpatiencetocheckallthesuspicioussystembehaviours,tofindthecorrespondingexistentvulnerabilities.FamiliarwiththesecurityfeatureofthecouldserviceAttackVectorAnalysisExposedServicesCheckingMaliciouspayloadmakingAnalysistheattack-afterevidenceOutputtheresultintothereport,andpresentitwiththeclearevidence.MappingthecomponentswithinthecloudThreatMappingChecktheconfigurationsandpermissionsforthecloudExploitthetargetListtheexploitedresultsandevaluatethecorrespondingriskandseverityCloudservicesreconnaissanceRunningfuzzingtestonthecloudCloudServicesFingerprintCollectionRemappingthesuspectcomponentstodecreasethepossiblevulnerabilitiesInfomationGatheringThreatModellingVulnerablityidentificationandanalysisVulnerabilityExploitationRiskevaluationandevidencecolletionReportingCloudPenetrationTestingItemsDetails--18/1/2019Pleaseinsertfootnote28PhaseNum.TestingitemDescriptionInformationGathering1FamiliarWithTheSecurityFeatureoftheCouldServiceGettoknowthesecurityfeaturesforthecloud:e.g.Whattypesoftheprotectionisprovidedforthecloudservice:(WAF/IDS/IPS/)2MappingthecomponentswithinthecloudGettingfamiliarwiththe