过去的制造概念是追求生产自动化,并以SOP(Standard Operation Procedure)标准作业流程大量生产公版化的产品。而智能制造概念则不然,为因应消费族群的购物观念变动,可快速地定制化生产的制造方式逐渐受到拥戴,这是工业40当中相当重要的核心概念。未来的智能工厂将并不单指工业技术的提升,而是整合了技术、销售以及产品体验等,使得制造、贩售、物流、售后服务等商业概念连为一体,最终建构出一个具有感知意识的智能世界,而「需求定制化」将是智能制造所追求的主要目标之一。
快速、定制化的生产方式是工业40的核心概念
除了需求定制化外,结合大数据分析的智能制造甚至可以通过巨量数据来分析出市场的走向、天气预测、原物料的数量与库存、运输的进程及瑕疵改善等,借此精准拿捏生产量或调度现有资源、减少多余成本与浪费,以此达到生产最佳化。 [1]
工业40的来临,使得世界各国纷纷祭出政策。工业革命的发源地英国早在2008年便提出「高价值制造战略」,鼓励英国本土企业制造更多世界级的高附加价值产品。 2013年更提出「英国工业2050年战略」,为英国在2050年以前的制造业打造一份方针,其中的核心概念便以高度定制化、快速响应消费者需求为主。
同样曾是工业大国的美国也不落人后,2011年联邦政府开始启动「先进制造伙伴联盟」(AMP,Advanced Manufacturing Partnership)政策,同样也是因应旧有制造业概念的不适用所提出的计划,更于2014年提出AMP 20,强调具体实施对策。其中先进制造的核心重点在于,希望藉由智能制造带来的新商业模式,使得设立于国外的厂商可以开始回流。同样的概念也在法国绽开,就在德国正式发表工业40报告后,法国政府也发表了「工业新法国」的计划,主要目的与美国相似。
除了上述老牌工业强国外,日本也提出了诸如「产业重振计划」、「日本工业41J」、「社会50」等政策。而中国身为21世纪的制造大国,在2015年则提出了为期十年的「中国制造2025」计划。金砖四国之一的印度同样跟上工业40的潮流,祭出「印度制造计划」以重整印度的经商环境以及制造产业的问题。 [2]
智能制造伴随而来的安全问题
然而在研拟与建构的过程中,随着系统结构的复杂度提升,网络信息安全风险也伴随而来。在融合物联网、大数据、云计算及人工智能等技术后的场域,将会扩增出大量的资料流空间,而智能制造的主要实行方式,便是以物联网作为架构基础,将之应用于制造产业,形成「工业物联网」(Industrial Internet of Things)体系。经布建后,网络信息安全漏洞的分布率自然会开始上升,潜在威胁便更容易通过缺口影响到工业物联网系统,使得整套系统即便仅有一小部分受到损毁,也会影响整体系统的运作;若遭受到黑客入侵,甚至可以瘫痪整套生产系统,造成庞大的金额损失及商誉的损害。
目前与智能制造相关的国际标准规范有国际自动化学会(International Society of Automation,ISA)与国际电工委员会(International Electrotechnical Commission,IEC)颁布的ISA/IEC 62443系列标准,针对工业化自动控制系统(Industrial Automation Control System,IACS)的政策与流程面、系统安全面、元件开发面制定相关规范与指南。美国国家标准暨技术研究院(National Institute of Standards and Technology,NIST)也颁布了NISTSP800-82,为SCADA(Supervisory Control And Data Acquisition)、DCS(Distributed Control System)、PLC(Programmable Logic Controller )等工业控制系统揭橥了相关的安全指南,除了这项指导手册外,还有诸如NISTIR8200、NISTIR8228等规范都已发布。而欧盟网络信息安全局(European Union Agency for Cybersecurity,ENISA)也针对物联网与网络安全出版许多相关指导建议以及标准。
工业物联网面临的网络信息安全问题与挑战
工业物联网主要专注于M2M(Machine to Machine)、CPS、大数据以及机器学习等技术,也是IT(Information Technology)与OT(Operational Technology)两大技术领域整合的开端。然而IT与OT本身各自早已具有数百种不同的协定与标准,加上物联网本身的复杂特性,将会造成网络安全的责任分配问题。且由于使用生命周期中涉及大量利益相关者,诸如元件供应商可能就有数十间不等,元件分别适用不同的规范或标准,设备又可能因分布在不同的地理位置而适用不同的法律约束,导致工业物联网产生在标准规范上难以统一,造成「技术碎片化」之问题,而这些标准该如何进行整合或协作,将会是首要面临的挑战。 [4]
再者,工业物联网是一项新颖技术,目前仍然在研发及测试阶段,针对过去已在OT场域工作数十年的技术人员该如何建立足够的工业物联网相关网络信息安全意识,挹注合适的人员培训将会是另一项值得研究的课题。
伴随人员安全意识不足的问题,同样也涉及到公司制度层面。目前仍有许多企业对于信息安全的议题不够重视,未来智能制造建构后伴随而来的风险将有别以往,然而企业的高阶管理层对于网络信息安全的认识不足,会是未来对工业物联网的一大挑战。因为进行网络信息安全防护工作较难以察觉甚至量化其效益值,且还需投入相当成本,故管理层容易忽视信息安全这项要素,并不将网络信息安全的重要性与具业务价值的建设并列。这样的弊端并不是因工业40的发展而出现的,而是一个陈旧问题。
对网络信息安全的认识不足会是未来工业物联网的一大挑战
对网络信息安全的认识不足会是未来工业物联网的一大挑战
以上问题属建构阶段所面临的困难,建构的过程中如果没有针对这些问题做出适当的措施,将可能使系统未来承受巨大的网络信息安全风险。而建置成熟的工业物联网即便事先排除了上述困难,也不代表风险就此消失。在大量且丰富的资料流不断相互传输运作之下,一旦发生资料外泄,抑或资料遭到恶意窜改,便会对工业物联网系统造成不良的连锁反应。且智能制造将会使虚拟与实体两个世界做出更紧密的连结,如物联网系统发生网络信息安全事件,对于实体世界的破坏也会相当显著。
由于智能制造的环境会变得更为复杂多端,加上物联网系统本身的互联性,使得攻击面也将扩大许多,除了一些非人为的风险外,还须特别注意人为造成的威胁,其中黑客入侵便是一种典型的状况。不安全的连接端口、久未更新的元件、不完整的更新机制等,都会是黑客可能下手的缺口。尤其传统的工业场域对于更新的接受度相当低落,因为一次更新所引起的停摆将会造成企业亏损,是故对于工业物联网来说,安全的更新会是一项重要的议题。
此外,网络通讯管道如果疏忽了网络信息安全防护,诸如分布式阻断服务攻击(Distributed Denial-of-Service attack,DDoS)、讯息窜改、窃听、植入恶意程式等网络攻击也会是黑客很可能使用的手法,这些攻击都会造成资产的严重破坏或是资料外泄。
场域在转型的过程当中,一些老旧的设备、传统的工业系统也会是一项需要关注的网络信息安全漏洞,在旧有系统的基础上构建新系统后,可能导致过时的保护措施仍然被使用,以及旧有系统中出现多年未被发现的未知漏洞,这可能使攻击者找到一种新的方式来危害系统。 [5]
最后,应用程序在开发和设计上如果没挹注安全开发的观念,软件上的漏洞也将是黑客入侵系统的大门。而硬件设备在设计中若没有将网络信息安全元素纳入,也会是攻击者入侵的缺口。从以上种种示例可以得知,工业物联网可能遭受的攻击面十分广泛,且无论在工业物联网的哪一端进行破坏皆可能瘫痪整体系统,最后造成的损害甚至伤亡将难以估计。 [6]
工业物联网信息安全解决方案
针对智能制造未来将会面临的种种网络信息安全问题,仲至信息具有深度的网络信息安全问题解决能力,具备工业控制系统、连网设备及物联网渗透测试与网络信息安全研究能力的团队。已赢得许多国际奖项,包括2020 Cybersecurity Excellence Awards(网络安全卓越奖)中的6项金奖与1项银奖、亚洲最佳网络信息安全公司金奖等,开发的网络信息安全产品也获多国专利及国际认可。
仲至信息科技取得7个网络信息安全检测项目的ISO 17025认可实验室、亚洲第一个美国CTIA授权的网络信息安全实验室,也是Amazon Alexa授权的网络信息安全检测实验室;目前已发现超过40个全球首发的安全漏洞(CVE),且具备物联网设备、智慧电网、车联网、嵌入式系统、行动App、ICS和SCADA设备的网络信息安全检测技术。
对于工业物联网硬件设备可能会出现的网络信息安全漏洞,仲至信息科技所提供的解决方案包括:
工控产品或系统的软、硬件网络信息安全检测服务,同时提供软件安全开发咨询服务,协助厂商具备软件安全开发能量,满足业界与客户对于软硬件之网络信息安全要求,诸如网通产品、移动装置、安控、智能家电、智能汽车及物联网等连网产品皆适用。
自主研发的产品网络信息安全管理系统、漏洞检测自动化工具,则是提供连网产品于设计、开发、测试及部署阶段的合规自动化安全评估工具,符合IEC 62443、OWASP TOP 10 与CWE/SANS TOP 25 等安全要求,并适用于PLC、ICS、SCADA等智能制造相关之工控元件。
寻求IEC 62443、ISO 27001等顾问咨询服务一站式的网络信息安全解决方案,及合规相关服务,协助厂商快速取得国际标准之证书,以增加客户的信赖度及企业商誉。另提供专业的网络信息安全培训,帮助技术人员建立与工业物联网相关的网络信息安全意识,以因应未来智能制造的建置以及工业40时代的来临。
2020年将会是物联网技术全面布建的阶段。随着科技日新月异,人们的生活也变得越来越便利。也因科技所带来的效益,过去数十年间各企业戮力追赶地将资讯技术深入全球各大领域,却忽略长期稳定运作所须达成的安全要求,一次次重大网络信息安全事故的爆发已经证明,仅靠安装防护软件无法保证组织的安全以及生产系统的营运安全。
未来智能制造的建置架构将比现在大多数的生产架构都要来得更为错综复杂,然而水能载舟、亦能覆舟,一昧地追求创新科技所带来的营利和效果,却忽略背后隐藏的巨大风险,那么网络信息安全威胁终会重蹈覆辙,成为一颗不定时炸d,一但触发,损害势必更胜以往,智能制造所带来的裨益也将化为乌有。
若在危害发生以前便做好完善的网络信息安全管理措施及方案,且人员具备足够的网络信息安全意识,软硬件设备皆在开发时便将资安要素纳入考量,那么智能制造将会是一纸美好的蓝图,也会是值得你我共同努力的未来。
参考资料
[1] >最大限度的保证物联网的安全,做好以下三点:
第一,对大数据的收集持谨慎态度。之所以在前面用很多文字引用了华为和三星的战略内容,是有原因的。看华为,它有一个“集中收集、管理、处理数据后向合作伙伴、行业开放”的细节。而三星,也有一个“能够与云端连接”的细节。这些,是典型的收集大数据存储在云端的行为。这种行为,如果不加约束则危险很大。之前,三星智能电视监听事件,我们应该记忆犹新。试想,物联网之下,我们在这些硬件面前是“赤裸裸”的。所以,物联网企业应该“自律”,不要在大数据采集方面为所欲为。
第二,对大数据的转移和利用持谨慎态度。前面第一点里已经提到过一个细节:“处理数据后向合作伙伴、行业开放”。这应该是大数据在不同企业间转移、利用的过程。而大数据在转移与利用的这个过程里,也有危险。毕竟,各个厂商的安全意识、安全水平、硬件水平不一,安全隐患很大。欧洲反计算机病毒协会创始人、德国歌德塔(G
Data)安全软件公司安全顾问Eddy
Willems在接受我的采访时也曾说过,“企业不同设备之间的安全过滤措施不够”。所以,这种大数据之间的合作很让人担忧。这个问题,必须解决。
第三,严防外部危险因素的侵入。如果说前两点属于物联网企业的“内因”的话,那么第三点就是严防“外因”。目前,黑客利用商用WIFI入侵的例子已经很多,甚至连飞机都难以幸免。这就要求我们的物联网企业,必须重视安全防范问题。这些问题包括,商用WIFI的过度商业化的问题,软件的漏洞问题,智能硬件和数据库的密码问题,硬件设备的加密问题,物联网企业安全意识不强的问题,物联网用户安全意识不强的问题,还有不同物联网企业之间的终端设备兼容问题。如果这些问题不予解决,那黑客会无孔不入的。等保20全称网络安全等级保护20制度,是我国网络安全领域的基本国策、基本制度。等级保护标准在10时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统等级保护对象的全覆盖。发展网络经济需要完善的配套措施
作者:工信部赛迪研究院互联网研究所 陆峰博士
国家“十三五”规划纲要提出要“拓展网络经济空间,加快推动信息经济发展壮大”,世界银行发布的《2016年世界发展报告:数字红利》指出全民要共享数字革命红利,需要加强“非数字配套机制”建设,包括加强监管促进公平竞争、加强劳动者技能培训适应新经济的需求以及建立相应的问责机制。当前我国正在大力发展信息经济,大力推进信息技术普及应用,要让信息经济红利释放出来,也需要同步完善相应非数字配套机制,确保信息经济发展红利不被风险所抵消。
一、网络经济发展需要非数字配套机制
世界银行发布的《2016年世界发展报告:数字红利》报告认为数字技术能促进信息的搜索、匹配和分享,通过消除信息障碍、加强要素、革新产品,数字技术可以实现更加包容、高效和创新的发展。报告强调数字技术收益能渗透到经济的各个领域,互联网能扩大贸易、改善资本利用并且促进竞争,支持创造就业并且提高劳动者生产率,能够帮助政府提高能力且更高效回应民需。报告提出了数字技术的发展也会存在风险:缺乏法规监管会滋生垄断,不加强技术培训会导致更严重的不平等,没有问责机制会导致更强力的控制。报告建议建设人人可用、经济可行、开放安全的互联网。报告最后认为数字经济发展需要加强非数字配套机制建设。
当前我国正直大力发展网络经济时期,网络经济发展不光是信息技术的推广、普及和深入应用,网络经济是对传统工业经济的一次全面升级,是一种全新的经济形态。当前网络经济发展过程中,存在法律法规不健全、监管和服务手段滞后、信息素养跟不上发展步伐等问题,更需要建立适应网络经济发展的非数字配套机制。
二、当前发展网络经济存在的问题
(一)缺乏针对网络新业态监管的系统性法律法规和部门规章
互联网与传统行业的融合创新应用产生了许多新业态,并且呈现出迅猛发展态势,对经济社会发展产生的重大的影响,然而相应的法律法规却难以跟上网络新业态的发展的步伐,缺乏系统性的监管法律法规,主要表现在以下几个方面:一是电子支付、个人隐私保护、数据共享和交易、网络安全等一些支撑网络社会发展的基础性、支撑性的法律法规我国目前还空白,以至于相应的上层法律建立起来难度更大。二是行为时空分离、非面对面交易、网络协作分享等一些网络社会独有行为特征,使得传统用来约束线下行为的法律法规难以适应线下行为线上化监管的需要,亟需要对已有法律法规根据网络业态的新特征加以调整。三是互联网和传统行业融合创新产生的新业态,还存在法律法规和部门规章监管的真空地带,亟需制定新的法律法规和跨部门规章来加以规范。
(二)政府传统市场监管手段和公共服务模式难以适应网络经济发展需要
网络经济新业态的快速发展对政府传统市场监管和公共服务模式提出了新的挑战,主要表现在以下几点:一是政府传统市场监管方式都是按地区、部门和行业来划分的,执法机构设置也是按地区、部门和行业来划分的,网络服务跨越了地区限制,融合业态需要多个部门联合监管,这种线下时空紧密结合和行业独立发展背景下建立的执法体系,已经难以适应时空跨越分离和行业高度融合发展的网络经济时代需要。二是政府传统的市场监管和公共服务都是用非网络手段的,采用的都是线下手段,网络经济时代时空分离、平台服务、海量客户等新特点迫切需要政府采用在线、移动、大数据等新的监管服务手段。三是传统的市场监管手段都是资质准入制度,即采用严准入、宽管理的方式很不适合互联网业态的发展监管。互联网新业态发展很快,采用传统的资质准入制度会拖缓了新业态进入市场的最佳机遇。
(三)对网络新业态潜在风险系统性监测和评估不足
当前网络新业态发展十分迅速,导致监管部门对网络新业态潜在风险系统性监测和评估不足,主要表现在以下几个方面:一是当前互联网产业统计监测体系尚未建立起来,目前各职能部门对互联网产业的监测统计还十分欠缺,导致监测结果不仅部门间数据差异很大,而且与实际发展存在差距。例如国家统计局和商务部公布的2014年全年电子商务交易额值分别为1639万亿和13万亿,两者之间就存在很大差距;商务公布的2015年全国网络零售额为388万亿,但阿里和京东公布的2015年网络零售额总额就已经超过34万亿,如果加上亚马逊、苏宁等其他企业,很显然这个数字远远超388万亿。二是对新业态的监测和评估反映迟缓,政府传统业态管理模式是根据初期的发展状况,做大规模和长时间的调研、摸底和评估,然后给出相应的结论性的评估结果,整个周期发展监测和风险评估周期都是相当长的,短则几个月,长则几年。互联网新业态快速发展的态势就不允许监管部门对新生事物做出反应迟缓,针对互联网新业态监管部门反应迟缓对社会造成的危害就不可估量,当前网络小额贷问题频发就是一个非常典型的例子。三是对新业态的系统性监测和整合评估不足,目前各个政府职能部门都是按照部门职能去监测和评估网络经济新业态存在的风险的,但是目前许多互联网公司业务都呈现出向多领域、综合化方向发展。例如,大型互联网公司业务涵盖电子商务、网络社交、新闻资讯、在线娱乐、云计算、在线教育、远程医疗、互联网金融等多个领域,大型互联网公司总体业务架构朝着生态型方向发展,各个业务板块之间呈现出了较强的互补性,公司呈现出了网络虚拟帝国的发展态势。对这种网络虚拟帝国的发展需要有系统性的监测和评估,而目前很少有部门对大型互联网公司做综合性的评估,都是在各自监测和评估各自的领域。
(四)国民信息素养跟不上信息技术发展步伐
正如数字红利报告所说的,国民信息素养能否跟上信息技术发展步伐也是影响数字鸿沟进一步扩大的重要原因。随着网络经济的发展,各行各业对从业人员信息技术应用能力要求越来越高。20年前,使用计算机是少部分专业人士的专利;10年前,会简单使用计算机成为了许多企业招工的优先录用条件;今天,能够数量 *** 作计算机已经成为了企业招工的基本条件。今天随着智能制造、电子商务、农业物联网的广泛推进,各行各业对信息技能的要求越来越高,使得许多在职员工对这种信息技术应用条件下的工作模式由很多不适应。网络经济能否发展,企业信息化推进固然重要,但是职工的信息素养同步提升更为重要。企业互联网化转型创新不能靠一套程序、一张网或是一台智能机器能解决,企业互联网化转型是一个持续动态的业态创新过程,业态创新的能量源泉就是在员工信息素养的不断提高。
三、关于发展网络经济的几点政策建议
(一)完善涉及网络经济新业态相关法律法规
针对网络经济发展需求,加快出台网络经济相关法律法规,明确相关参与主体的权责和违法处罚方式。一是要加快出台电子支付法、电子商务法、电信法、广播电视法、个人隐私保护法、数据共享交易法、网络安全法等一些支撑网络社会发展的基础性、支撑性的法律法规,为其他涉及互联网创新业态典型立法基础。二是对现有的法律法规进行全面的梳理和修正,增加互联网业态创新相关内容,比如商业银行法、卫生法、教育法、对外贸易法、海关法、知识产权法等一些法律法规,要亟需根据互联网业态创新进展及时调整相关法律条款。三是对于一些出现的新业态,如果立法时机尚未成熟的,要及时根据行业管理需要制定行业管理规章制度或是对已有行业管理规章制度进行调整。
(二)建立适应网络经济发展的市场监管和政府服务体系
针对网络经济发展对市场监管和政府服务带来的新挑战,需要尽快建立适应网络经济发展的市场监管和政府服务体系,实现快速响应、技术侦查和在线服务。一是适应网络案件发展的特殊性,改革政府传统执法事发属地和部门行业管理原则,成立多部门联合、国家直属管理的网络安全和网络市场执法监察局,实施网络安全和网络市场执法大部门管理执法机制,对网络案件一例采取“任意网点接报、国家统一立案、全国协同破案”办案方式,取消案件属地侦办负责制原则。二是建立全国网络市场监管和政府在线服务统一的网络技术支撑平台,综合采用网络平台、移动互联网、大数据分析等技术来开展网络市场监管和政府在线服务,实现以网络技术手段侦办网络案件和提供政府公共服务。三是适应网络经济业态快速创新发展趋势,实施行业准入负面清单制度,对于尚未纳入负面清单的行业,一例实行无门槛准入原则,对于纳入负面清单的行业,一律采用先照后证管理原则。
(三)加强对互联网产业发展监测统计和新业态风险评估
一是加快建立互联网产业发展监测统计体系,研究构建互联网产业统计监测模型,将电子商务交易额、用户规模数量、数据资源规模等指标纳入法定统计报表,进行定期依法数据统计监测。二是积极采用新技术对互联网产业开展监测统计,由于互联网企业信息化水平都较高,可以采用网络平台、大数据等技术手段对互联网企业开展数据采集和报送,降低数据人工采集工作量和成本,提高数据采集的时效和精确性。三是对出现的网络经济新业态,主管部门要提高观察的敏锐性和应对时效性,加强对新业态的前瞻性研究,把握好处置的窗口期。四是加强对互联网产业生态圈的研究,对大型互联网企业发展要做好整体性统计监测和风险评估,要业务关联影响分析,克服从部门或行业角度片面看待互联网产业生态发展问题。
(四)加强对产业工人的信息技能培训
一是建立对产业工人信息技能定期培训机制,加强对产业工人互联网、移动互联网、电子商务、智能制造、农业物联网等相关信息技能的培训,邀请相关企业CIO和互联网企业专业人员授课,组织产业工人去相关示范基地现场参观学习。二是建立产业工人继续教育网络在线课程服务平台,分行业分领域提供行业两化融合、“互联网+”、电子商务推进等在线学习课程,并定期更新课程内容跟上产业技术发展步伐。三是依托高等院校和科研院所,探索建立多方合作育人新机制,整合各类教育培训资源,开展联合办学,建立联合实训基地,为企业输送更加实用性人才。
(联系邮箱:mellowmelon@163com)
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)