智能制造导论 课件 第9、10章 个性化定制、智能制造系统的基础信息安全探讨

第九章个性化定制个性化定制概述1个性化定制模式系统架构2典型案例31、个性化定制概述1.1个性化定制场景Yooshu—沙滩鞋西门子—高尔夫球杆

定义：个性化定制是指基于新一代信息技术和柔性制造技术，以模块化设计为基础，以接近大批量生产的效率和成本提供能满足客户个性化需求的一种智能服务模式。1、个性化定制概述1.2个性化定制内涵制造业发展流程

特征：区别于以往发展的制造模式，个性化定制模式最重要的特征是明确的以消费者为中心，并且由订单驱动进行大规模小批量的生产，其将销售过程前置。销售前置的大规模个性化定制模式个性化定制概述1个性化定制模式系统架构2典型案例32、个性化定制模式系统架构2.1

个性化定制模式变迁传统商业模式：线下交易为主体C2M(Customer-to-Manufacturer)商业模式网络电子商务模式B2B(Business-to-Business)：一般不针对大众消费品，产品也相对复杂，需要专业人士人工参与判断商品的质量好坏，通常在企业之间产生订单。B2C(Business-to-Customer)：主要针对普通大众消费市场，这种模式可以按组织层级简述为“店铺→商品页→商品信息→购买按钮”。C2C(Customer-to-Customer)：针对普通大众，第三方提供交易平台，个体户作为卖方将产品销售给买方，平台从中提取佣金。……2、个性化定制模式系统架构2.1个性化定制模式变迁什么是C2M商业模式？C2M，就是将制造商和消费者直接联系，除去冗长的中间环节，砍掉流通加价环节，最大程度的去中间化，让消费者以最低的价格买到高品质、可个性化定制的产品，是一种新型的电子商务互联网商业模式。2、个性化定制模式系统架构2.2体系架构个性化定制体系架构是工业4.0技术中端到端数字集成的重要应用过程。端到端数字集成主要是利用工业互联网技术和大数据技术，在生产商和消费者之间建立信息交互渠道。这一架构也是对市场商业模式向C2M转变的一个反映。以数据为核心，将各层级相互串联个性化定制体系架构2、个性化定制模式系统架构2.2

体系架构

从客户订单到售后维护，以客户为中心，客户全程参与商品的生产过程，制造商根据客户要求，可以随时对未出厂的商品进行调整，对出厂后的产品，制造商提供全程在线的服务支持通用的个性化定制生产流程2、个性化定制模式系统架构2.3

相关技术1.工业大数据技术工业大数据技术架构共有五个部分，分别为数据采集层、数据存储与集成层、数据建模层、数据处理层、数据交互应用层。2、个性化定制模式系统架构2.3

相关技术数据采集层RFID条码扫描器生产和监测设备数据清洗……制造领域多源、异构数据信息采集工具传感器数据交换数据归约同构化预处理互联网或现场总线等准确传输技术2、个性化定制模式系统架构2.3

相关技术数据存储与集成层存储技术：主要采用大数据分布式云存储的技术，将预处理后的数据有效存储在性能和容量都能线性扩展的分布式数据库中。元数据技术：实现对订单元数据、产品元数据、供应商能力等进行定义和规范。标识技术：包括分配与注册、编码分发与测试管理、存储与编码规范、解析机制等。数据集成技术：主要指面向工业数据的集成，包括互联网数据、工业软件数据、设备装备运行数据、加工控制数据与操作数据等数据建模层

包括对设备物联数据、生产经营过程数据、外部互联网相关数据的建模方法和技术。对无法基于传统建模方法建立生产优化模型的相关工序建立特征模型，基于订单、机器、工艺、计划等生产历史数据、实时数据及相关生产优化仿真数据，采用聚类、分类、规则挖掘等数据挖掘方法及预测机制建立多类基于数据的工业过程优化特征模型。

2、个性化定制模式系统架构2.3

相关技术数据处理层数据交互应用层在传统数据挖掘的基础上，结合新兴的云计算、Hadoop、专家系统等对同构数据执行高效准确地分析运算，包括大数据处理技术、通用处理算法和工业领域专用算法。对经处理、分析运算后的数据，通过大数据可视化技术、3D工业场景可视化等技术，将数据分析结果以更为直观简洁的方式展示出来，以便消费者理解分析，提高决策效率。企业管理和生产管理等传统工业软件与大数据技术结合，通过对设备、消费者、市场等数据的分析，提升场景可视化能力，实现对消费者行为和市场需求的预测和判断。结合智能决策技术，进而实现数据辅助生产制造决策的价值。2、个性化定制模式系统架构2.3

相关技术2.信息集成与协同

信息集成与协同包括企业内部和企业之间协同，在复杂多变的市场竞争环境中，寻找最优制造资源；在保证制造品质的前提下最大程度降低企业运营成本；通过协同为制造过程提供最优化的解决方案。构建精益生产运行管理平台，构成完整的产品生态体系闭环帮助工厂量身定制解决方案。通过集成供应链管理、高级排程、制造执行、仓库管理、仿真模拟、大数据分析等系统，实现对整个生产周期的管理。整个生产周期包括生产、协同、设计、制造、物流及服务等多方面的信息。这些管理系统之间在产品生产中相互协同交互，为保障生产提供了必要的信息保证。信息集成示意图2、个性化定制模式系统架构2.3

相关技术3.智能工厂

智能工厂是实现个性化定制的基础与前提，在组成上主要分为三大部分：产品工程、生产工程和集成自动化系统。企业层——实现基于产品全生命周期的管理，也包括企业管理职能，属于产品工程部分管理层——实现生产过程管理，属于生产工程部分集成层——包括操作层，控制层，现场层，属于集成自动化系统部分智能工厂架构2、个性化定制模式系统架构2.3

相关技术4.智能物流与仓储

智能物流及仓储系统是由立体货架、有轨巷道堆垛机、出入库输送系统、信息识别系统、自动控制系统、计算机监控系统、计算机管理系统以及其他辅助设备组成的智能化系统。系统采用集成化物流理念设计，通过先进的控制、总线、通讯和信息技术应用，协调各类设备动作实现自动出入库作业。减轻劳动强度节约用地提高仓储自动化水平及管理水平避免货物损坏或遗失降低储运损耗提高物流效率……个性化定制概述1个性化定制模式系统架构2典型案例33、典型案例3.1某实验室智能小车制造示范线

某实验室的智能小车制造示范线是一条标准的研究型个性化定制生产线，在实验室内模拟了个性化定制全流程。该生产线是实验室模拟生产线，消费者、制造商均由实验室人员模拟担当，设计并搭建了订单处理中心、PLM系统、MES和柔性生产线。个性化生产全流程示意图消费者通过内部局域网或者个人终端下单，选择基础模块信息（例如智能小车整体架构），向制造商提供消费者信息、自定义尺寸和自定义组件需求（例如传感器类型、小车体积大小等信息），生成个性化定制订单。处理中心协同PLM系统提供满足需求的产品设计参数、工艺设计CAD模型等，装配之前利用软件进行装配过程模拟，以检验整个装配过程的合理性，并对部分参数进行优化。个性化生产全流程3、典型案例3.1某实验室智能小车制造示范线个性化生产全流程装配前，制造信息被提供给AGV，从物料仓库中选取符合制造信息的原料。利用CCD识别各原料特征，将检测所得信息反馈至系统，比对实际库内原料与托盘RFID芯片上信息，若比对一致，则正常出库，送至装配中心。装配过程：从原料库获得的已有部件和原料，首先利用已有部件，分别装配小车下层、中间层和上层，实现客户化定制。利用AGV将装配好的三层输送到总装加工中心，先进行下层和中间层装配，再进行总装。总装完成后，进行功能检测。在最后一个加工单元，利用激光镭射技术对金属块进行加工，制造个性化铭牌，并装配在小车对应位置，最终完成产品制造过程。AGV将合格的成品送至仓库，同样利用CCD技术识别成品，与托盘信息对比，防止混料，完成成品入库。3、典型案例3.2红领集团青岛红领集团依托大数据技术，在全球范围内第一个实现西装的大规模个性化定制，从规模化量产转变为更加聚焦消费者的模式。红领的个性化定制流程遵循C2M模式，其提供的定制化平台采集消费者需求，获取个性化信息数据，通过数据驱动整个生产制造流程，在智能工厂中完成产品的自动设计，个性化制造等环节，合格的个性化成品通过智能物流被最终交付到客户手中。3、典型案例3.2红领集团在线定制消费者在手机APP上自行定制服装细节，既可以在此平台上进行自主个性化设计(如领型、口袋、面料等)，又可以选择时尚成衣版型添加个性化元素(如加个性刺绣、命名个人品牌等)，真正做到满足不同类型消费者的个性化需求。定制APP界面一人一款这些个性化需求将统一传输到后台数据库中，形成数字模型，由计算机完成打版，随后分解成一道道独立工序，通过控制面板及时下达给其智能车间内流水线上的工人。3、典型案例3.2红领集团

在线量体设计师采集消费者人体18个部位的22个尺寸数据，并采用3D激光量仪，实现人体数据在7秒内自动采集完成，解决与生产系统自动智能化对接、转化的难题。一人一版用户体型数据的输入，会驱动系统内近10000个数据的同步变化，能够满足驼背、凸肚、坠臀等113种特殊体型特征的定制，覆盖用户个性化设计需求，实现一人一版。3、典型案例3.2红领集团

数据中心通过其它系统的协同设计，将个性化信息转变成标准化信息，信息会传输到布料准备部门，按照订单要求准备布料，裁剪部门会按照要求进行裁剪。裁剪后的大小不一、色彩各异的布片根据西服的工艺要求（例如领子线，面料等）分6部分，同时每部分会分别配戴一个RFID射频识别电子标签（注明工艺要求），分别进入对应的吊挂流水线。该标签随流水线传送，每一个工位都有专用电脑读取RFID上的制作标准信息，各流水线上员工根据指令完成制作。当员工刷卡时，同时系统中也可以监控工艺流转的位置，清晰的知道生产进度。在本工序完成后，在电脑上进行标识，半成品传送到下一工序。最后进入到组合环节，成衣后统一为一张RFID卡，进入到熨烫整理检验环节，最终入库。红领厂内服装及电子标签Thankyouforlistening!谢谢聆听!第十章

智能制造系统的基础信息安全探讨智能制造系统基础信息安全概述1智能制造系统信息安全2智能制造系统的信息安全需求3各类安全技术4章节目录智能制造系统安全保障技术框架5智能制造系统基础信息安全概述1智能制造系统信息安全2智能制造系统的信息安全需求3各类安全技术4智能制造系统安全保障技术框架5

1.智能制造系统（SMS）基础信息安全概述1.1SMS基础信息安全落脚点在工业控制系统(ICS)安全上指南2018中提及的A类基础共性技术2018年10月正式发布《国家智能制造标准体系建设指南》（以下简称指南2018），根据指南的清晰梳理和详细论述，智能制造系统的基础是工业控制系统（IndustrialControlSystem，ICS）。智能制造系统信息安全主要集中在基础性的工业控制系统信息安全上。信息安全标准：即用于保证智能制造领域相关信息系统及其数据不被破坏、更改、泄露，从而确保系统能连续可靠地运行，包括软件安全、设备信息安全、网络信息安全、数据安全、信息安全防护及评估等标准。

1.智能制造系统（SMS）基础信息安全概述1.2为什么要重视ICS信息安全?工业控制系统广泛应用于化工、石油、电力、天然气、核设施以及国家先进设备制造。ICS对于国家基础设施实现自动化作业起到至关重要的作用，所以其面临的安全威胁可能带来非常巨大的影响。如2010年，震网病毒破坏伊朗纳坦兹的核设施，并导致伊朗布什尔核电站推迟启动；2016年12月，一起针对乌克兰电网的攻击时间使得首都基辅断电超过一小时，数百万家庭被迫中断供电。可见一旦工控系统被破坏，受其控制的关键基础设施也会面临十分严峻的威胁，进而影响公众的日常生活，甚至造成重大安全事故。

1.智能制造系统（SMS）基础信息安全概述1.3ICS信息安全现状目前，我国工控设备和系统依赖进口，一些存在安全漏洞的国外工控产品仍在国内被大量使用；随着信息化与工业化的深度融合,IT技术在工业控制领域应用的深度和广度不断扩大,将ICS逐步从封闭、孤立的系统转化为开放、互联的系统。但工业控制系统封闭网络的屏障优势逐渐减弱，安全风险增加；当前我国工控系统安全形式并不乐观，根据国家信息安全漏洞共享平台(CNVD)的追踪和统计，自2011年起，工控领域发现和发布的漏洞呈现逐年递增趋势。CNVD追踪和统计的ICS漏洞数量智能制造系统基础信息安全概述1智能制造系统信息安全2智能制造系统的信息安全需求3各类安全技术4智能制造系统安全保障技术框架5

2.智能制造系统信息安全2.1ICS的发展数字化时期1950年，斯佩里-兰德公司造出了第一台商业数据处理机UNIVAC，工业控制系统正式全面与通信系统及电子计算机结合。此后发展出PLC、SCADA、RTU等工业控制系统。标准化时期此前，不同厂商设备无法兼容和接入，协议的巨大差异为系统部署、操作以及维护带来了巨大的挑战。20世纪80年代，IEEE制定了两个标准化协议：分布式网络协议版本3（DNP3）以及国际电工委员会（IEC）60870-5-101。目前，DNP3已经是使用最为广泛的工业控制系统协议。工业PC时期由于PC的发展，其具有的丰富硬件资源和软件资源，基于PC的工业控制系统，以极强的开放性势不可挡地进入工控系统领域。各大可编程逻辑控制器厂商、工业控制系统集成商也逐步接受了工业PC的技术路线。网络化时期基于以太网和TCP/IP协议的技术标准，提供模块化、分布式、可重用的工业控制方案。智能化时期万物互连，多种技术集成，包括设备互操作技术、通用数据交换技术、EtherNET和工业以太网技术等多种技术的集成。Ehernet+TCP/IP直接实现工业现场控制参数和节点状态直接在企业信息网络中传输和共享。2010—至今1990-20001950-19802000-20101980-1990中国中车股份有限公司版权所有201532

2.智能制造系统信息安全2.2传统网络与制造网络比较传统网络ICS网络可用性对保密性要求极高，对可用性要求一般对可用性要求极高风险管理关注数据的保密性和完整性优先考虑可用性和系统对社会的影响通信方式采用标准通信协议无统一的标准，通信方式复杂多样结构侧重点强调信息的保护，侧重中心节点的防护侧重PLC等终端节点的保护节点资源计算、存储、带宽等资源充足计算、存储、带宽等资源有限生命周期组件的生命周期一般在3-5年组件生命周期一般在15-20年，甚至更长

2.智能制造系统信息安全2.3智能制造系统信息安全的着力点网络安全：与互联网的深度融合，网络IP化、无线化以及组网灵活化给智能制造网络带来更大安全风险。数据安全：数据的开放、流动和共享使数据和隐私保护面临前所未有的挑战。应用安全：网络化协同、个性化定制等业务应用的多样化对应用安全提出了更高要求。控制安全：控制环境开放化使外部互联网威胁渗透到生产控制环境。设备安全：设备智能化使生产装备和产品更易被攻击，进而影响正常生产。智能制造系统的安全构成智能制造系统基础信息安全概述1智能制造系统信息安全2智能制造系统的信息安全需求3各类安全技术4智能制造系统安全保障技术框架5

3.智能制造系统信息安全需求3.1总体安全需求1）专用通信协议本身安全性脆弱，缺乏可靠的认证、加密机制，缺乏消息完整性验证机制；2）SMS系统面临继承传统IT系统及其标准存在的漏洞的可能性，需要对SMS采用IT系统标准后的安全性进行严格验证和测试；3）在SMS系统层次结构中，企业网络使得其他三个相连的层次将面临其带来的安全风险，必须严格限制在企业网络中使用设计生产/作业的SMS系统服务，对资源使用加强认证和访问控制；同时制定必要的网络划分、域控制和隔离策略；

3.智能制造系统信息安全需求3.1总体安全需求4）SMS系统的各个层次间存在过程控制、监控、测量等设备和计算机服务间的通信，必须对层间通信引入可靠的加密和认证机制；5）当SMS与IT系统融合并采用部分现行IT标准时，需要考虑对现有IT系统安全解决方案在SMS系统中的应用进行扩展、裁剪、修改或再开发；6）对企业采用的SMS系统相关设备的专业信息、运行参数必须进行严格保护；7）SMS系统的使用企业需要制定全局性资源防护安全策略和计划。

3.智能制造系统信息安全需求3.2与传统网络相区别的安全需求SMS与传统IT系统对信息安全的需求存在明显差异，SMS最先考虑的是系统可用性，其次是完整性，第三是保密性，传统IT系统首先考虑的是保密性、完整性，然后才是可用性。另外，SMS的高实时性、高可靠性、复杂的电磁环境、特定的供电环境、恶劣的温度湿度环境、专业的通信协议、不同的使用人员等，都对工业级安全产品提出了有别千传统IT系统的功能和性能需求。HighOffer保密性完整性可用性智能制造系统传统IT系统智能制造系统基础信息安全概述1智能制造系统信息安全2智能制造系统的信息安全需求3各类安全技术4智能制造系统安全保障技术框架5

4.各类安全技术4.1安全技术与各层次关系SMS系统安全技术分类及各子类SMS系统各层次设备层产线层车间层工厂层认证技术基于位置的认证

智能卡认证

生物信息认证

设备端到端认证

口令和消息反馈认证

数字证书

密钥应用与管理对称加密

非对称加密

散列函数

公共密钥基础设施

密钥管理基础设施

虚拟专用网络

协议漏洞评估原始协议验证

协议实现验证

安全管理、监控、检测日志审计和安全事件追溯

取证和分析

访问控制基于角色的访问控制

强制访问控制

自主访问控制

最小特权原则

职责分离原则

入侵检测协议特征码检测

异常行为检测

防火墙技术网络防火墙

主机防火墙

操作系统安全病毒和恶意代码检测

漏洞扫描

右表是各类安全技术与是否在相应层次使用的总体对应表（“O”表示该技术在某一层次所有子系统或设备上都有相应的应用；“

”表示该技术并不适合应用于某一层次的每一种子系统或设备），该表中对各大类和子类的安全技术应用在SMS系统四个层次（设备层级、产线层级、车间层级、工厂层级）做了归纳。

4.各类安全技术4.2认证技术415263生物信息认证利用用户唯一性的生物特征信息（如指纹）进行访问身份验证。口令和消息反馈认证请求资源访问时，需要提供与相应资源、设备所预知的信息，比如PIN数字。基于位置的认证通过对资源访问的请求者的地理位置测定，以判断访问请求是否来自已知的安全区域。智能卡认证能携带多种用户信息以支持计算机二元、三元认证。设备端到端认证该技术可利用的认证对象包括传输的数据、数据发送和接收者的身份、提供数据传输的应用服务类型、端到端会话等。数字证书提供了对通信实体双方进行身份信息验证的方式，其至少包含公开密钥拥有者信息、公开密钥以及证书授权中心（CA）的数字签名。。

4.各类安全技术4.3加密应用与管理01对称加密技术在通信双方间使用同一密钥进行加解密，该技术的优势在于效率高、算法简单，系统运行开销小，缺点是密钥管理困难。对称加密05密钥管理基础设施服务于智能制造系统中的PKI设施和其他密码设备，为它们提供密钥的生成、存储、分发、导入导出、备份、更新、恢复、销毁等服务功能。密钥管理基础设施KMI02非对称加密技术使用不同的密钥对进行通信数据加解密，主要用于数字认证，优点是不需要共享密钥；但加解密速度慢。非对称加密06虚拟专用网络能够为智能制造系统提供经过加密、认证和完整性保护的资源或网络访问方式。虚拟专用网络VPN03散列函数（Hash）主要用于信息完整性认证。散列函数公共密钥基础设施为用户提供数字签名等认证服务。04公共密钥基础设施PKI

4.各类安全技术4.4协议漏洞评估智能制造系统各层次和层间通信使用专有通信协议，该类协议的设计区别于传统TCP/IP协议族，主要考虑满足特定设备之间的数据和命令码传输需要，而对通信双方数据加密、身份验证等安全需求则未纳入设计规范，因而需要对系统各个层次和层间通信使用的协议进行安全性评估和验证，以发现协议设计中存在的漏洞，从而为入侵检测系统（IDS）定义新的检测匹配规则提供支持。协议验证协议实现验证协议的实现包括对协议通信功能本身的实现和部署，此外还包括为满足安全性需求所增加的技术实现，比如身份验证、传输加密等。协议实现的安全性验证比协议设计的安全性验证的系统成本低。

4.各类安全技术4.5安全管理、监控、检测在SMS中，为保障系统在安全事件发生时或发生后，安全管理员能有效和迅速地分析、查找事件的起源和事件实施者在事件发生过程中留下的信息，以及确定受事件影响的系统或子系统范围，应在SMS整体安全策略中详细地计划和部署系统日志的维护和审计措施。SMS各层次应根据安全需求和风险评估结果，在关键设备、网络、服务器中提供可靠的日志服务。安全事件发生时和发生后，安全管理人员应根据日志分析结果和数字签名、时间戳等信息形成对事件的分析和追溯报告。日志审计和安全事件追溯取证和分析技术取证和分析技术在网络安全管理中用于被动搜集网络的状态、结构和流量等数据，主要利用数据包捕获、网络监控、网络取证和分析三类工具。SMS的运行需要对各个层次和层间网络通信，以及外部网络对控制网络的访问进行监控，在检测到网络异常行为时对其进行分析帮助安全管理人员识别和记录异常行为。

4.各类安全技术4.6访问控制中国中车股份有限公司版权所有201545基于角色的访问控制根据企业人员业务职责，创建角色库，并为各种角色分配必要的访问权限。最小特权原则在智能制造系统中，为保障系统服务的连续性、人员对系统资源使用的可控性，必须大量采用最小特权原则，在不影响控制系统正常运行的前提下，严格限制人员权限的分配。自主访问控制智能制造系统中继承和使用了大量IT系统软件和服务，当这些软件和服务采用自主访问控制机制时，需要对授权和被授权者进行严格的身份验证以及数字签名检验，使得自主授权行为具有良好的可追溯性。职责分离原则强调对于部分重要或关键资源的访问权限，或对于某一关键业务过程中部分重要步骤的授权应当分离，即属于不同访问实体，以降低访问者拥有过大权限而破坏系统数据完整性的可能。强制访问控制强制性划分基于系统资源的保密性需求和完整性需求，在智能制造系统中，应根据各个层次设备对系统服务连续性的影响程度定义资源的保密性和完整性级别。

4.各类安全技术4.7入侵检测协议特征码检测基于流量的ICS入侵检测方案根据漏洞分析结果形成攻击的特征码，并在入侵检测系统中添加新的特征码匹配规则。智能制造系统中的设备采用各种专有通信协议，因此应根据各种专有通信协议的脆弱性评估和漏洞分析，建立和维护相应的特征码库，及时添加和更新入侵检测系统中的匹配规则。异常行为检测基于网络流量、网络或资源访问行为的统计数据，对该类数据加以分析，得到异常行为模式，并将这些行为模式定义成入侵