解决方案:什么是攻击图?基于攻击图的网络安全技术进展
优采云 发布时间: 2022-11-20 10:20解决方案:什么是攻击图?基于攻击图的网络安全技术进展
背景
随着网络技术的不断进步,计算机网络的规模和应用急剧扩大,但计算机网络资源管理分散,用户缺乏安全意识和有效的防护手段,各类软硬件产品和网络信息系统普遍易受攻击。由于存在各种网络系统漏洞、潜在误操作、网络*敏*感*词*等风险因素,对网络安全评估技术的需求也越来越迫切。
作为目前网络安全领域的研究热点之一,网络漏洞评估不同于其他通用性能评估技术。例如,入侵检测、防火墙和病毒扫描等技术是在攻击发生期间或之后的被动检测,而网络漏洞评估是从黑客攻击和防御技术发展而来的,这是攻击发生前的主动检测。因此,在评估网络漏洞时,为攻击行为构建安全模型是关键步骤。另一方面,可以根据安全模型获取系统可能的行为和状态,并在此基础上进行进一步的分析和计算,以帮助改进系统安全策略。攻击图是网络漏洞评估的重要手段。
本文全面讨论了计算机网络攻击建模的研究综述,分析了网络攻击图的定义,讨论了现有网络攻击图
的主要生成方法,总结了当前的网络攻击图谱,最后给出了网络攻击图研究的一些热点问题和展望。
什么是攻击图
网络中始终存在一定的安全漏洞,这些漏洞之间可能存在一定的相关性,即当一个漏洞被成功利用时,可能会为利用另一个漏洞创造有利条件。虽然消除所有漏洞是不切实际的,但忽略网络环境中的遗留漏洞可能会对关键资源造成重大损害。为了能够彻底找出所有的相关性,最有效的方法是通过模拟攻击者具有安全漏洞的网络攻击过程,找到所有可以到达目标的攻击路径,同时以图的形式表示这些路径,这就是网络攻击图, 称为攻击地图。与攻击树和Petri网相比,攻击图更能描述网络攻击的过程,应用范围更广。
攻击图是一种基于模型的网络漏洞评估方法。攻击图技术可以关联网络中每台主机的漏洞进行深入分析,发现威胁网络安全的攻击路径,并以图形方式展示。安全管理者可以使用攻击图直观地观察网络中漏洞之间的关系,并选择最低的成本来补偿网络漏洞。攻击图技术主要有两个方面:攻击图生成技术和攻击图分析技术。攻击图生成技术是指利用目标网络信息和攻击模式生成攻击图的方法,是攻击图技术的基础。攻击图分析是指分析攻击图、获取关键节点和路径、量化漏洞的方法。
为什么攻击图
计算机网络*敏*感*词*融数据系统和应急通信系统。及时发现和消除计算机网络系统中潜在的安全隐患,消除恶意攻击,是网络安全管理的一项重要任务。我们经常在软件/应用程序中发现漏洞,这些漏洞被利用来攻击这些系统,攻击者利用这些已发布或未公开的漏洞进行攻击。
但就目前而言,组织网络的安全风险管理与其说是一门科学,不如说是一门艺术。系统管理员通过直觉和经验进行操作,而不是依靠客观指标来指导和证明决策。
攻击图技术旨在解决此类场景,包括可以客观使用的模型和指标、评估企业网络安全风险的分析技术,以及指导管理员使用模型和指标来帮助做出网络防御决策的理论和方法。
为了提高组织网络的安全性,该文提出一种基于攻击图的网络安全评估方法来衡量不同网络配置提供的安全性。随着大数据网络的发展,网络攻击方式多样化、复杂化,对网络安全分析的要求越来越高,网络攻击图作为分析网络状况的重要方法,对防范网络攻击、实施网络安全防护具有一定的现实指导意义。
攻击图研究的目的是开发一个衡量计算机网络安全性的标准模型。标准模型将允许我们回答诸如“我们比昨天更安全吗?”或“一种网络配置的安全性与另一种网络配置的安全性相比如何?“这样的问题。此外,拥有衡量网络安全的标准模型使用户、软件供应商和研究人员能够一起评估网络安全方法和产品。
分析组织网络安全风险的主要挑战如下:
CERT每周报告大约100个新的安全漏洞,这使得管理企业网络的安全性变得非常困难,包括数百台主机,每台主机上的不同操作系统和应用程序,以及这些漏洞。攻击者的多步骤攻击
与过去攻击者只能发起的简单原子攻击相比,如今的攻击者经常使用多步骤、多宿主攻击逐渐渗透整个网络,以突破各种防火墙/网关的防御,最终破坏关键系统。然而,每个步骤都不足以提醒保护系统,这使得关键系统的保护具有挑战性。
现有的防御无法处理攻击的复杂性 计算机系统受到越来越多的攻击,当报告新的漏洞时,攻击者可以非常快速地开始使用它。传统的攻击检测方法,如入侵检测系统IDS,存在误报、可扩展性低、攻击检测受限等问题。
好的评价指标应该是一致的、采集
成本低廉的、数字的、统一的和上下文的。攻击图技术通过捕获漏洞之间的相关性并以与实际攻击者渗透网络相同的方式衡量安全性来应对这一挑战。分析通过网络的所有攻击路径,为整个系统提供风险指标。使用此指标,可以分析安全成本和安全收益之间的权衡。因此,政策制定者可以避免过度投资于不会产生实际结果的安全措施,或避免投资和风险的破坏性后果。攻击图技术的指标是一致的、明确的,并为理解计算机网络的安全风险提供了上下文。
如何生成攻击图
攻击图是由Cuningham等人在1985年提出的,据信由通过物理或逻辑手段相互连接的各种组件组成。典型的网络攻击图由节点和连接节点的有向边组成。其中,节点表示网络的状态,节点之间的有向边表示网络状态之间的过渡关系。
" />
为了生成攻击图,首先需要对网络进行建模,在建模过程中需要网络中大量的安全相关信息,如主机配置信息、主机漏洞信息、网络拓扑信息、网络配置信息等。在生成网络攻击图的过程中,需要应用相关漏洞库的知识来确定网络中存在的各种漏洞之间的关系。
网络建模和攻击图生成需要充分考虑生成的攻击图的最终应用、渗透测试需要找出所有攻击路径,
对于风险分析或找到最短的攻击路径可能需要考虑每次原子攻击的复杂性或成功概率以及成功利用该漏洞造成的危害程度等,并指导漏洞补丁管理,需要计算每个漏洞补丁的成本。
因此,攻击图的最终应用在一定程度上决定了需要建立的模型和生成方法。攻击图生成方法表示网络模型和漏洞数据库信息数据结构。目前攻击图生成方法很多,为了便于对这些方法进行分析、比较和评估,需要分析攻击图的生成机制,找出可用于其分析和比较的属性,并对生成方法进行分类,以找出存在的问题并发现可能的研究成果。
1、攻击图生成技术研究:
典型的模型逻辑工具包括MulVAL和MIT实现的NetSPA系统。
(1)MulVAL(多主机、多阶段漏洞分析)。
2005年,Ou等人提出了MulVAL。MulVAL具有强大的网络数据采集能力和性能优势。在这项研究中,实验者描述了一个基于Datelog的网络安全分析器。漏洞数据库中的信息、每台主机的配置信息以及其他相关信息可以通过程序的处理在 Datelog 中编码为事实,以便推理引擎可以分析和计算网络中各个组件之间的交互。MulVAL 生成的逻辑攻击图的大小随网络大小更改为 O(n2)
基于MulVAL生成的攻击图
(2)净视系统
2006年,麻省理工学院提出了NetSPA(网络安全计划架构)。在实验中,实验者使用攻击图来模拟对手的效果和简单的对策。它使用防火墙规则和网络漏洞扫描工具来创建组织网络模型。然后,它使用该模型计算网络可达性和多先决条件攻击图,以表示攻击者利用已知漏洞的潜在路径。这将发现攻击者在一个或多个位置开始使用的所有主机,并最终能够入侵。NetSPA 生成的攻击图大小通常随着典型网络中主机数量的增加而扩展到 O(nlogn)。解决了以往攻击图研究中网络数据自动采集的问题和攻击图生成算法的可扩展性问题,定义了更简单的网络模型,便于系统自动采集网络数据。通过测量攻击者可能泄露的总资产(数量、价值),可以评估不同攻击者的风险。
基于NetSPA方法生成的攻击图
事实上,近年来,在攻击图的研发中,对攻击图生成方向的研究
不再主要尝试发明新的攻击图模型,而是更专注于如何提高攻击图生成的效率。近两年的研究数据提出了在构建攻击图的过程中利用并行化解决*敏*感*词*攻击图的想法。在构建攻击图的过程中
,随着机器、服务和漏洞数量的增加,攻击图的规模也会增加。
逐渐增加,攻击图(NP-Hard)的计算也会增加,使得计算*敏*感*词*网络变得非常困难。因此,用于攻击图构建的并行算法变得非常重要。因此,该文提出一种基于分布式内存的并行算法,在分布式代理平台上构建攻击图的分布式计算。为了实现该算法,需要将平台使用的内存抽象为虚拟的共享内存,并通过划分网络可以相互访问的信息来初始化内存。然后,本文对该算法进行了评估,发现当生成算法的复杂性较高时,即使是很小的并行度也可以为计算性能带来很大的提高。
2. 攻击图分析技术攻击图模型和攻击
图生成技术实际上只是为了使用建模来表示和关联与安全相关的信息,例如组织网络、漏洞和攻击模式。虽然显示组织网络中存在的各种类型的信息以及它们之间的关系更直观,但它确实提供了任何评估和分析,这是攻击图分析技术研究所的工作。
Nayot Poolsappasit,RinkuDewri和Indrajit Ray(IEEE成员)提出了一个使用贝叶斯网络的风险管理框架,使系统管理员能够量化各级网络入侵的机会。
他们认为,安全风险评估和缓解是维护高效 IT 需要执行的两个重要流程基础架构。一方面,提出了攻击图和攻击树等模型来评估各种网络状态之间关系的原因和后果,另一方面探索了不同的决策问题,以确定成本最低的强化措施。但是,这些风险模型不会对网络之间因果关系的因果状态产生影响。此外,在分析风险模型时,优化配方会忽略资源可用性。由此,他们提出了一个使用贝叶斯网络的风险管理框架,使系统管理员能够量化网络各个级别的妥协机会。它们显示了如何使用此信息来制定安全缓解和管理计划。与其他类似模型相比,该风险模型适用于网络部署阶段的动态分析。多目标优化平台为管理员提供了在资源中做出决策所需的所有受危害的限制环境。
" />
(2)Cauldron的作者Noel S.和Jajodia S.在2014年的一篇论文中对攻击图测量的指标进行了聚类,如下图所示
基于这样的安全指标,我们可以对整个组织网络的安全态势给出一个基本的判断——“一个网络有多安全?"
(3)除了简单的数值分析外,我们还可以对图结构进行更多的分析,其中最重要的是攻击面分析。攻击面分析的本质是求解所有攻击路径,直观地展示攻击者可以采取的攻击路线,便于后续对这些攻击媒介进行深入分析。
一方面,对路径的深入分析包括路径成本分析,即
首先确定每条路径的长度(或原子攻击次数),然后结合原子攻击的成本/成功率信息计算出整个攻击路径的成本/成功率。另一方面,它分析节点,包括“关键节点”的计算,即攻击路径中必须存在的点,修复任何关键节点都会禁用所有攻击路径。由于密钥节点不一定存在,因此可以进一步计算节点的权重,通过该节点所有攻击路径的成本、成功率和目标值来计算该节点的收益权重,并提供给决策者进行修复决策。
下图显示了典型路径分析的结果:
攻击图的应用
攻击图是网络安全分析与评估研究中应用非常重要的工具。从安全生命周期PDR(保护、检测、响应)的角度来看,它可以应用于网络安全设计、网络安全和漏洞管理、入侵检测系统、入侵响应等。在应用领域方面,它不仅应用于普通互联网络,还用于无线网络、工业控制网络,特别是电力网络等网络依赖度非常高的行业或领域。从应用角度来看,网络攻击图可以应用于网络渗透测试、网络安全防御、网络攻击模拟和模拟。
结论与展望
计算机网络攻击建模研究
基于攻击图随着计算机网络技术的发展逐渐深入,建模对象从只收录
少量主机的简单网络发展到*敏*感*词*网络,建模手段从最初的人工向自动化方向发展。基于攻击图的计算机网络攻击建模得到了广泛的应用。但是,仍然存在以下问题,揭示了未来的发展方向。
(1)大型网络的可测试性
虽然攻击图
已经提出了抽象类模型和以主机为中心的模型等生成方法,对于*敏*感*词*网络的攻击图建模方法,应根据建模目的合理调整建模方法,以降低时间和空间的复杂性。
(2)通过攻击图给出网络安全建议
网络管理员可以使用攻击图发现网络中的潜在危险,消除网络中的重要危险而不影响网络中主机的正常运行,并为决策提供更多的辅助信息,包括安全投入、收入平衡和安全措施的优化。
(3)攻击计划
攻击者通过社会工程、扫描、入侵等攻击技术获取攻击网络信息,并基于这些信息建立简短的攻击地图,并找到最佳攻击路径,最大化攻击权限。
结束
解决方案:OT与IT融合,一个长期演进的过程!
来源 | 数码企业
信息技术 (IT) 和运营技术 (OT) 长期以来相互分离。它们各自有着不同的目标,沿着不同的路径发展,同时在不同的生态系统中运作。它们之间的差距实际上阻止了制造工厂充分利用尚未被发现和已经拥有的必要信息。
——彭宇教授:上海工业自动化仪表研究所,PLCopen中国名誉主席
众所周知,在正确的时间缺乏正确的信息会导致错误的决定和不可靠的行动。随着工业互联网、智能制造、大数据的出现和应用,他们不能永远无动于衷。我们应该看到,OT-IT融合是一个比较缓慢的过程,需要分阶段实施,逐步提高水平。然而,制造工厂已经开始意识到,在互联的工厂和企业中结合 OT-IT 将取得许多意想不到的结果。兴趣例如:
收获大数据带来的诸多好处 获取信息以做出更好的决策 优化业务流程 最大限度地减少突发设备故障 降低运营成本 降低风险并缩短项目时间
1 旧约的定义
维基百科的旧约定义:
“旨在直接监视和/或控制物理设备(如阀门、泵等)以检测物理过程或引起物理过程变化的硬件和软件。”
简单地说,OT就是利用计算机(或其他处理设备)来监视或改变一个系统的物理状态,例如发电站的控制系统或铁路的控制网络。创建OT的初衷是表达传统IT系统和工控系统环境在技术和功能上的差异。工控系统的环境就是所谓的“IT in non-carpeted areas”,即直接用IT设备来监控生产,如PLCs、SCADA、DCS、CNC系统(包括电脑化机床)、科学设备(如数字示波器)。
Gartner 对 OT 的定义:
“直接监视和/或控制工业设备、资产、过程和事件以检测或引起物理过程变化的硬件和软件”。
其他的一些定义也可以在网上检索到,但是基本上都离不开以上两个定义的概念。Inductive OT的概念有以下基本内容:
①工业企业的OT和IT系统都是为工业企业服务的。这些工业企业指的是流程工业、离散制造、批量制造等,将其他类型的企业运营技术纳入OT的概念只是一种延伸。不打算。
② OT技术是直接对工业物理过程、资产和事件进行监控和/或实施变更控制的硬件和软件。直观上,OT其实是工业控制系统(PLC、DCS、SCADA等)及其应用软件的总称,但其应用软件显然隐含着丰富的工业工程技术(所谓ET)内容。
③不直接监控和影响工业物理过程、资产和事件的技术不属于OT范畴。按照这个概念,ERP显然不属于OT的范畴,而MES/MOM则介于IT和OT之间。
④ OT技术的载体是计算机系统或其他使用计算技术的处理系统。但由于OT直接面向工业生产的物理设备和过程,保证其安全稳定运行,保质保量生产产品是其首要目标,因此长期以来一直采用专用系统、网络和软件。从这个意义上说,与IT相比,它的开放性和标准化有待提高和提升。
简而言之,今天的工厂是 IT 和 OT。处理工厂数据和信息并旨在保持制造产品质量的团队称为 IT。另一个团队控制和分析整个生产过程以进一步改进,这就是 OT。
这两个团队在历史上一直是分开的,但一旦它们整合在一起,它们就会导致整个工厂的显着改进。OT 和 IT 的融合不可避免地会带来质量和效率的提升。它赋予工厂经理极大增强的能力来监控操作和流程,甚至预测可能发生的任何意外事件并采取预防措施。它提高了节拍或速度,最大限度地减少了能源和时间消耗,并降低了监控资产的成本。
下图1是美国公司Inductive Automation的白皮书《IIoT: Combining the Best of OT and IT》截图,这家公司进入IIoT领域,近年来发展良好。直观地指出,OT包括机械设备、实体工厂以及对其进行监控和控制的工业硬件和软件。
图 1 OT 和 IT 的范围
OT 专业人员更喜欢 PLC、DCS、RTU、HMI、SCADA 和嵌入式计算技术。而信息技术包括硬件、软件、网络、企业管理的通信技术以及存储、处理和传输信息到企业各部门的系统。IT 专业人员精通网络技术,熟悉快速扩展网络、云基础设施、基于 Web 的部署以及 SQL、Java 和 Python 等技术。
OT 和 IT 在工作方式和解决问题的思考方式上也往往不同。IT采用自上而下的方式,习惯于从整体需求出发,然后将其分解为若干子组件,针对子组件提出并开发解决方案。这种解题思路不仅能理解问题,还能给出解决问题的好方法。OT 人员习惯于自下而上地思考,从单个组件构建复杂的系统。例如,SCADA系统需要采集工厂层面不同生产流程的数据,OT人员必须面对如何整合来自不同专用系统的数据。当 OT 人员围绕关键任务、高风险系统工作时,他们最关心的必须是安全性(物理、功能、和信息安全)。这就是OT范围内不能直接使用Internet和LAN之间的连接的根本原因。
随着智能装备、大数据、工业互联网的引入,无论是OT人员还是IT人员都面临着同样的工业数据访问问题。恰好OT和IT在企业中处于不同的层次,并不能真正从解决问题的角度理解彼此的需求。IT 不明白为什么 OT 仍在使用遗留设备和专有的昂贵解决方案来处理问题。OT 人员可能对 SQL 数据库或当今 IT 中使用的信息安全协议的广度没有深入的了解。
即使存在这些差异,OT 和 IT 现在仍有机会融合并提升各自的能力,从而形成真正的颠覆性技术。在工业 3.0 时代,OT 和 IT 仍然相互分离。为适应当今数据密集型环境,进入工业4.0,企业必须将OT与IT进行整合匹配。
" />
2 如何实现OT-IT融合
IT 和 OT 的融合绝非易事。即使在提出IT/OT融合概念的美国,也还在苦苦探索,至少目前还没有非常成熟的模式。这里不涉及技术细节,更多的是从组织方法上进行讨论。
试想,要整合长期独立孤立的IT部门和OT部门,需要进行顶层设计和组织设计,甚至在业务层和技术层进行重组。
近两年来,美国三个不同行业的公司在这方面做了值得称道的工作,主要是:建立新型混合制造IT组织;制造业IT组织率先对员工进行交叉培训,让OT人员在深入了解IT的同时,也让IT人员对OT有深入的了解;制造 IT 组织实施一套协调的技术管理流程,以确保建立更一致的跨 IT 和 OT 架构。这称为 OT-IT 融合的运营架构,并为 IT 和 OT 系统的整体考虑定义了路线图。打破 IT 和 OT 之间的技术孤岛和孤岛是开发运营架构的关键要素。
我们还可以从企业架构的角度切入OT-IT的整合。合并这两个世界首先需要一套定义明确、可扩展的标准,这些标准涵盖从资产到数据中心,反之亦然,从数据中心到资产。确保这些标准是安全的至关重要。否则,关键和昂贵的资产就会变得脆弱。所有这些相关的问题都可以用企业架构的概念来概括。该架构采用自上而下的方法。它的过程包括在传递到技术细节之前对组织的目标、战略、愿景和业务方面的需求。在运营环境中,这种企业架构使 IT 和 OT 不会有对立的、不协调的工作。
什么是“企业架构”?维基百科的定义是:
“企业架构是一种定义明确的企业分析、设计、规划和实现实践,始终采用整体协调的方法来成功制定和执行战略。”
显然,对企业架构的需求源于对一个综合环境的需求,该环境可以优化整个企业中现有的、通常是零散的流程,无论是手动的还是自动的,因为每个变化都是响应式的,并支持业务策略的良好执行。
今天的 CEO 知道,通过 IT 有效管理和利用信息是业务成功的关键因素,也是获得竞争优势的重要手段。在不断变化的业务环境中,企业架构的作用是通过为 IT 系统的演进以及 IT 和 OT 的融合提供战略背景来做出响应。
图 2 企业架构由四个架构域组成
上图 2 描述了企业架构整体组成的四个架构域:
● 业务架构(定义业务战略、治理、组织和关键业务流程)
●应用架构(提供需要部署的独立应用,这些独立应用之间的交互,以及与核心业务流程的关系)
●数据架构(描述组织逻辑、物理数据资产结构和数据管理资源)
●技术架构(描述支撑业务、数据和应用服务部署逻辑的软硬件能力,包括IT基础设施、中间件、网络、通信、处理和标准等)。
美国的 Open Group 制定了企业架构的 TOGAF 标准。经过多次版本更新,该企业架构标准现已进入第九版。
在实施方式上,在IT与OT的整合过程中,制造工厂在初期阶段就要下功夫,比如让IT与OT协同工作,建立一个实时反映各车间生产状态的看板,以及这些看板向各级预设的主管报告重要信息,例如生产线的负载不平衡,分析产品可能因某个部分的故障而出现问题等。
由于生产线是工厂最关键的区域,他们随时随地都会产生大量数据,可以从监控车间获取可以高效利用的信息。虽然信息通常是 IT 的领域,但通过传感器捕获信息以在生产线上发生不良事件之前检测和预测不良事件恰恰是 OT 的领域。只有当这些信息流能够与运营相结合并在生产线上实施时,制造工厂才能从中获得客观收益。
3ET必须纳入OT-IT融合过程
图 3 将 ET 纳入 OT-IT 融合的过程
随着集成产品和流程设计在制造业中的重要性大大提高,企业的数字化转型需要将工程技术 (ET) 纳入 IT-OT 集成过程。
在ARC给出的概念中,ET收录
了数字模型的建模技术,形成过程技术工程师必须与IT软件开发人员协同工作,工业安全专家必须与IT信息安全专家协同工作,自动化专家必须协同工作与 IT 数据科学家协同的情况。
在制造业中,由于智能设备的复杂性越来越高,相应的软件促进了 IT 和 OT 的紧密结合,从而创造了在现有知识的基础上获得新的洞察力和观察视角的机会。只有在工业物联网的数字数据环境中,将那些构建虚拟模型的ET工程技术融入到OT-IT融合的过程和交换中,才能真正发挥作用。也许 ET 过去一直隐含在 OT-IT 融合中,但它的作用却被低估了。在当前和未来的工作环境中必须改变这种观念,因为建模工具已经成为管理决策或技术决策的基础和必要环节。
图 4 IIoT 环境中的 ET 必须收录
OT-IT 融合
" />
如图 4 所示,ET 处于 IT 和 OT 的中间,因为 ET 需要利用 IT 来改进 OT。随着捕获和可视化实际状态的技术不断改进,ET 使用户能够更好地了解实际使用中的资产。这三个领域之间的关系应该超越“和平共处”,融合融合,最终产生大于各自部分之和的结果。
在虚拟环境中设计和测试新产品、新系统,甚至是新的生产工厂,都会产生耳目一新的效果,尤其是从成本的角度来看,可以获得前所未有的收益。虚拟模型可以将IT/ET/OT贯穿于资产的整个生命周期,仅从资产管理的角度进行评估,可以在问题发生之前进行预测,可以优化可能发生问题的速度和成本维护.
例如,制药行业需要对制造过程进行合规验证,不合规可能会损害其声誉。当验证要求发生变化时,下一步就是更改控制程序。如果制造IT能够在专业流程实践的指导下,自动保证所需结果的一致性,问题就迎刃而解了。
还有一种情况是依赖资产信息进行能源管理。对于加拿大最大的综合性能源公司 Suncor Energy 而言,资产信息是其卓越运营管理系统 (OEMS) 和数字化转型平台的基础。自 2004 年以来,OEMS 的目标是切实有效地提高工厂可靠性、风险管理和环境可持续性。为了有效,资产信息必须完整、可访问、及时且值得信赖。
良好的资产信息可以改进风险管理,减少计划外停机时间和计划外停机,提高生产率,降低供应链成本,并缩短调试时间,通过按许可运营将资产投入使用。Suncor从企业的角度设计了资产信息系统。首先,它设立了四大支柱:标准和流程、内容、人员和企业文化以及技术。工具由标准建立,并由业务情况和示例增强。建立一个可管理的结构,以确保来自所有业务部门的数据的呈现和显示。除非批准了标准和业务案例和示例,否则不允许进行自定义。该过程由不同的人员实现,即工程师、操作人员和维护人员。
3工业物联网全面运营促进OT-IT融合
如何将老一辈在工厂生产管理中积累的经验和知识,通过数字化转型转化为“数字原生”的知识财富,并由年轻一代继承和发扬?这个挑战也可以理解为OT和IT的融合,使得OT和IT各自的“突触”紧密相连,从而为创造更多价值提供保障。图 5 显示了横河电机利用 IIoT 实现过程工业 OT 和 IT 集成的解决方案。
图 5 通过 IIoT 促进 OT-IT 融合的基础设施
原来,公司各工厂积累了丰富的控制、管理和优化经验,形成了一套按生产任务优先排序的解决方案。然而,这些解决方案充其量只是体现了局部优化运营管控的系统思维。
如果一个企业中有很多工厂,它们各自的局部最优操作也需要服从于企业的全局最优操作。从整个社会生产来看,企业只是这个大生产链中的一个环节,其生产的上下游还有很多相关因素。因此,企业的IIoT不仅要服务于企业各个工厂之间的生产协同优化,更要服务于企业之间的优化协同。在横河电机的解决方案中,边缘设备解决方案作为 IIoT 的一部分执行流程优化和分析功能;并通过与云端解决方案的沟通,实现企业间供应链的协同优化,
横河电机的 IIoT 解决方案包括:
● 实施效率改进以最大化产出;
●过程数据分析以优化生产性能;
● 实现云库存管理,提高库存可视化和协同能力,优化供应链;
●采用实时过程数据共享服务,*敏*感*词*过程数据,从而达到设备运行时间最大化的目的;
●提供运营管理目标服务,实现云端绩效跟踪管理;
●通过区域能源管理协调,利用云计算最大限度地降低区域能源成本;
●集中的过程数据管理系统,采集
和利用海量过程数据,提高运行效率和安全性;
●工厂或过程模拟,使用CPS预测相关工厂或过程的近期行为;
● 重要设备振动检测,提高状态检测效率,满足降本要求;
●运用人工智能分析阀门“纯PV”,预测气蚀现象;
●利用工业物联网采集
的数据和分析,①确保过程安全运行和信息安全,防止突发事件和外界信息攻击的发生;②消除计划外停车的可能性,提高可用性和可靠性;③用于消除导致人为可靠性失控的人为错误。
此外,还有: 全厂温度检测,实施预见性维护,降低工艺突然停工风险,降低设备维护成本;利用增强显示技术进行智能维护和实时决策支持等。
如果您是企业数字化的探索者或观察者,对转型创新有独到的见解和扎实的案例,也欢迎投稿!投稿请联系首席数字官编辑部:
