工业4.0数字化转型的趋势分析

工业4.0数字化转型的趋势分析德国莱茵TÜV数字化与信息安全高级咨询师TÜV莱茵工业4.0的安全趋势分析01德国工业4.0的简介及中国智造202502工业行业的信息安全以及发展趋势03数字化转型面临的挑战和趋势4工业4.0的出台过程2015年5月19日国务院正式印发工业4.0的出台过程2015年5月19日国务院正式印发）；并重点推出11个“未来项目并重点推出11个“未来项目”工业4.0给企业转型升级带来的启示大规模生产模式向大规模定制的转型和升级管理理念管理理念驱动方式驱动方式核心核心7工业4.0给企业转型升级带来的启示—续采供研发用户采供研发用户互联网时代——“价值环”工业时代互联网时代——“价值环”传统的分工合作•仅将零部件的生产分包给不同的供应商2000:部分外包的价值链•外包包括工艺过程开发等核心环节•用供应链管理、产品生命周期管理等软件系统管理外包工作供应链管理供应链管理子装配体零部件 子装配体零部件未来的开放制造2025:开放的价值链•学习型组织和精益生产供应链管理供应链管理产品生命周期管理第二层第三层子装配体零部件第一层系统智能工厂互联网服务互联网服务智能产品应用程序平台智能物料应用程序平台智能工厂应用程序平台信息物理系统智能产品应用程序平台智能物料应用程序平台智能工厂应用程序平台信息物理系统物联网物联网工业4.0的核心竞争力就是—创新行业支持研发标准化研发创新企业挑战—面临范围更广、要求更严的监管要求GDPR,CSL,CCPA…合规要求越来越高广泛广泛•清晰的监管覆盖范围定义严谨严谨合规•科学的网络安全监管体系•科学的网络安全监管体系处罚处罚•严格的网络安全违法处罚（罚款、行政、治安、民事和刑事责任）条例信息安全体系建设思路体系，ISO27001绩效，流程，制度，考核，培训工业企业安全目标下的功能层次分层工业企业功能层次模型从上到下共分为5个企业资源层生产管理层过程监控层现场控制层现场设备层不同层级的实时性要求不同工业企业不同功能层次的系统区别SCADA系统、DCS系统、PLC系统、RTU系统的区别主要特点利用远程通信技术将地理位置分散的远程测控站点进行集中监控利用局域网对控制回路进行集中监视和分散控制,用于连续变量、多回路的复杂控制逻辑控制功能，用于数字量、开关量的控制对远程站点的现场数据测量功能强地理范围地理位置高度分散地理位置集中（如工厂或以工厂为中心的区域）地理位置集中危险、恶劣的远程生产现场应用领域远程监控行业（如石油和天然气管道、电力电网、轨道交通运输系统（含铁路运输系统与城市轨道交通系统食品和化工等）工业自动化（如生产线等）远程监控行业通信技术广域网、广播、卫星和电话或电话网等远程通信技术局域网技术局域网技术远程通信技术规模大小大规模系统，现场站点多控制回路复杂，测控点数多统的组成部分各个安全域所涉及的控制系统的安全措施的权重比例也需要差异定制不同的功能层，安全需求不同，所以需要安全域的概念去划分典型样例•实时控制及非实时控制•IP加密认证及普通加密认证•生产管理区及信息管理区•现场设备层及现场控制层…...实现目标--信息安全体系建设我们根据项目目标及需求，结合TÜV在项目实施上的丰富经验，制定以下的工作方法，从项目目标出发，根据项目实施的管理类措施和技术类措施，形成运行主线、技术主线两条主线，为项目的成功认证提供保障工作方法(运营与技术两条主线)主要成果认证运行全面现状评估全面现状评估体系运行制度和度量指标体系运行制度和度量指标认证及提升认证及提升技术2314定义风险评估体系建设2314定义风险评估体系建设认证TÜV莱茵结合了多个世界公认的管理标准要求，结合工业企业信息安全保护要求，在组织的质量管理方法和标准内结合质量管理的思想，配合客户提供的流程和测评的最佳实践经验结合形成信息安全保护矩阵。?2314定义风险评估体系建设认证管理类应用层2314定义风险评估体系建设认证管理类应用层系统层管理类管理要求*服务提供商的事故管理要求*服务提供商的应急管理要求*关于消费者文档的合格证书的要求*数据中心可用性要求*物联网配置符合性证书的要求*服务提供商的技术和组织安全要求应用层*订单数据处理要求*密码学要求*服务提供商数据库的要求*Web应用程序要求系统层理要求*服务提供商备份要求*补丁和漏洞管理要求网络层网络层物理层物理层物理层物理层Generally,ourpenetrationtestingprocesslastsfrom4weeksto8weeks*.Itisadedicatedlogicalprocessingprocedurewhichneedsconsistentfocusingandpatiencetocheckallthesuspicioussystembehaviours,tofindthecor·respondingexistentvulnerabilities.1Gettoknowthesecur1Gettoknowthesecur22334455667788Analysistheattack-after2314定义风险评估体系建设认证信息安全成熟度模型2314定义风险评估体系建设认证我们的信息安全体系模型能够帮助您了解不同成熟度的相关特点以及对应的能力，相应的成熟度标准分为以下不可靠特点此阶段所表示的能力一般来数都是临时性的，而非依赖于制订好的人员，技术以及流程。整个组织依赖于个人的自身能能力非正式特点进入此阶段的组织通常在组织内部有一些零星的纪律，但是这些使用中的准侧以及技术并没有融入到公司的制度和流程。能力特点作为公司制度及流程一部分，组织内部有一套统一的做法来管理信息安全。能力可控特点这个阶段所展现的能力特点主要是提升了整体的表现，并通过量化的管理以及能力的计算来采取一个更加主动的姿态来解决问题并预测其成功与否；而且这种能力覆盖到整间公司。能力最优化特点信息安全已经结合到整体风险评估过程中，并且嵌入到企业日常监管治理的流程中，并得到高级管理层的高度重视（如信息安全议题成为董事会日常议题等表现）。此成熟水平的另一个成功要素为广泛的覆盖度以及已在最关键、最弱点环节进行了重点关注，这可以使得整个组织更具灵活性。能力信息安全体系建设成熟度模型总体评价标准为5个等级V持续改进V持续改进I--V级成熟度划分在IT体系活动中引进自动化管理工具，提升IT体系工作效率和质量，并通过其统计分析功能获取关键数据，使IT体系活动能够通过量化指标进行衡量；2314定义风险评估体系建设认证体系建设形成PDCA2314定义风险评估体系建设认证体系形成STARTSTARTAnalyzingCausesofIndustrialCyberSecurityIncidents挑战Cyberincidentscausedbyathirdparty;accidentallyordeliberatelycontinuetobeamajorconcern,almost1inevery4incidentiscausedbyexploitationofthirdpartyresourceorsystemsandmorethanathirdofincidentshaveinternalemployeeinvEmployeeEmployeeError,24%Hacking,Phishingand Malware,31%ExternalTheft,ExternalTheft,LostLostorImproperDisposal,6%InternalTheft,InternalTheft,8%Vendor,Vendor,Supplier,attacks.Atleast60engineewebsiteshavebeenusedinenergysectbehindthenuclearplants,mmaliciouscode通过OA系统的钓鱼customerinformation第三方服务worldwide支付漏洞密钥劫持Mastering,Risk&Compliance风控和合规Abalancedapproachtotop-downriskmanagement,includingsimplifiedcompliance,enablesorganizationstodrivegrowththroughdigitaltransformationofoperationaltechnologiesandcontrolsystemsACDSCAConsultingConsultingServices咨询服务ACDTUVTUVRheinlandhasbeenofferingconsultingservicestocritica