工业4.0：从信息安全出发提升智能制造

在经历了机械化、电气化、数字化的转型发展以后，全球的工业制造正在经历新一轮的变革——智能化。以德国政府于2013年提出的“工业4.0”为开端，智能制造在近年里一直处于风口浪尖。世界各国都提出了符合自己国情的战略方针。在中国，以实现“制造强国”目标的行动纲领被称为“中国制造2025”。很多中国企业希望藉由智能制造，大幅降低成本，实现弯道超车，但是事情往往没有那么简单。在智能制造风行一时的大背景下，适时的后退一步审视全局是非常必要的。在急着把所有设备都连上网之前，不妨思考一下智能制造可能带来的风险和切实可行的解决方案。

工业4.0背景下信息安全的意义和面临的风险

 从通俗的角度说，工业4.0是以智能制造为主导的第四次工业革命。随着信息技术和工业技术的高度融合。在制造业，这种融合具体体现为资源、信息、物品和人力资源相互关联的“虚拟网络－实体物理系统”。而通过工业互联网将供应链，生产过程和仓储物流智能连接，实现生产成本的全面降低以及制造业竞争力的最大化。

 从更深的层面来说，工业4.0与其说是一种物质的，实体的转型变革，不如说是一种思维方式的变化和制造业自身价值链的转变。制造业从专注制造产品扩展成集采购、生产、销售、服务为一体的完整价值链。通过正如安德烈斯﹒豪泽博士在TÜV南德意志集团举办的主题峰会“智造中国——立足变革之中国，激发永续之信任”上所说，“工业4.0建立的是一种超链接。在这种超链接中，自动化和互动性不仅仅发生在工厂环境的范畴，更延伸到整个价值链上，扩展到供应商和客户身上，解决完整的生产环节。[1]”值得注意的是， 在RAMI4.0中也有类似的观点。RAMI4.0的价值链维度描述了产品全生命周期中工业要素从虚拟原型到实物的全过程。一方面，工业生产部分依托信息技术实现“数字孪生”；另一方面，虚拟系统最终还是要回归实物，实现工业生产环节的末端链接——在工业生产中，即为末端制造。

TÜV南德意志集团卓越中心数字业务部总监安德烈斯﹒豪泽博士于“智造中国——立足变革之中国，激发永续之信任”高峰会议发言

当整个产品生命周期都系于互联网一线，信息安全的重要性就不言而喻了。TÜV南德意志集团工业及能源产品全球负责人德特夫﹒理查博士表示，物联网的普及意味着更长的链条，更多维度的元素融入，这给安全和安保都带了新的挑战。互联的工业4.0产品的风险评估；标准化工业4.0组件，模块和系统；建立合格评估的数字化的实时流程都是工业4.0对象属性和交流平台应该完善的[2]。其实早在两年前，TÜV南德意志集团就注意到了这个问题。2015年，由TÜV南德发起的Honeynet项目在8个月内记录了超过60,000次企图闯入虚拟基础设施的尝试。攻击来自世界各地的服务器，伪造IP地址也是常用的手段之一。该项目有效地证明了，在数字化智能化日益发展的今天，对基础设施及生产设施进行的针对性攻击不再是孤立事件。2016年美国互联网遭黑客袭击导致大规模网站瘫痪的事件更证明了全世界范围内信息安全形式之严峻。

TÜV南德意志集团工业及能源产品全球负责人德特夫·理查博士分享“工业4.0“主题报告

中国政府近年来也越来越重视网络信息安全。新的国家安全法规定，国家建设网络与信息安全保障体系，并加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益[3]。2016年新出台的《网络安全法》也开宗明义地阐述了保障网络安全对保障公民利益，促进社会经济文化发展的重要意义[4]。

中国制造2025和智能制造的现状和前景

相对德国在制造业成熟的条件下提出“工业4.0”来说，中国的制造业现状要复杂的多。大量传统制造业还远没有到达可以开始数字化转型的阶段。互联网数据中心（IDC）的研究报告也用数据阐释了中国智能制造方面巨大的发展潜力。从2015到2019年，中国的机器人技术与相关服务的支出从97亿增长到467亿，但是复合年增长率仍远低于17%的全球增长率[5]。库卡机器人中国区渠道战略经理也在主题峰会中提到，作为工业4.0重要要素的机器人在中国近年来的密度大约是每万名员工49个，只是欧洲地区的一半[6]。由此可见，在数字化转型的过程中，中国在高端数字化和信息基础设施的应用中还有很长的路要走。

TÜV南德意志集团“智造中国——立足变革之中国，激发永续之信任”高峰会议现场

TÜV南德意志集团始终对中国工业智能化数字化的发展持乐观的态度。TÜV南德意志集团大中华区商业产品服务部副总裁罗伯特﹒普特博士认为，“中国制造2025”与“工业4.0”在工具和整体方案上是相互学习而非相互竞争的关系。“中国制造2025“目指的是中国整体制造业的升级改造，目前可以学习“工业4.0”相对成熟的机制，但考虑到中国巨大的经济体量，一旦新技术全面铺开，它的发展速度和规模扩张会比世界上任何一个国家都要快。而在这一过程中，在管理和技术上，对工业信息安全也提出了更高的要求。就像罗兰贝格亚洲区总裁戴璞所说的，“数据保护最终将需要一个全球性的合作协议——这显然一时半会是落实不了的。那就一步步来，先从每个工厂，国家和地区自己的数据保护法规做起。最终会有一天，对信息安全的保护就像现在保护财产，和保护专利一样，成为常态。”[7]

TÜV南德意志集团大中华区商业产品服务部副总裁罗伯特﹒普特博士于“智造中国——立足变革之中国，激发永续之信任”高峰会议发言

然而，中国企业在急于转型时，一方面会忽略安全制度的建立，另一方面，当成本和安全性发生冲突时，往往会更偏向平衡成本。当大量工业控制系统在完全没有保护的情况下呗连接到互联网中，而这些设备大多使用默认的用户名和密码，可以被轻易破解，登陆访问。这些控制系统是最脆弱，容易被攻击的。而最危险的事，系统的使用者对这些潜在的危险毫无知觉。

 第三方检验检测机帮助企业完善信息安全问题

从德国“工业4.0”的发展历史来看，智能制造不是一个公司或者品牌可以成就的，真正需要建立地是一个相应的生态系统。TÜV南德意志集团大中华区工业产品部高级经理张韬认为，在中国要推进智能制造的话，组建一个生态圈非常重要，只有制定统一的，获得制造商公认的标准，才可以真正推进中国的智能制造。

第三方检验检测机构在这方面就是一个很好的领头人。TÜV南德正致力于完善整个标准化的体制。同时，借助政府对“中国制造2025”的政策倾斜，将国际上最先进的理念引进国内，积极充当国内和国际标准之间的桥梁角色，帮助国内制造业从劳动密集型到高端制造业转型。

而从企业微观的层面来说，TÜV南德意志集团提供的专业测试、检验、审核、认证、培训和知识服务等一站式技术解决方案。针对制造过程中工人安全跟信息安全的因素越来越大，TÜV南德也是在国内进行了对工人安全和信息安全的大力推广，旨在帮助企业提升自我保护意识，学会保护自己的系统不受入侵。西门子过程工业与驱动集团首席执行官Juergen Brandes也持有类似的观点。在他看来，一个主动性的信息安全解决方案还要在黑客自己都不知道的情况下，就能够判断出他下一步的意图，并且实现持续不断地保护，能够把网络当中的不同的安全级别给识别出来。“主动的信息安全解决方案要比世界上任何一个黑客都更加聪明[8]。因此，西门子工程控制系统Simatic PCS 7成为了世界首批获得IEC 62443 证书的认证对象。在经历了评估，实施和持续监控三步之后，西门子将“纵深防御”引入过程控制系统的信息安全解决方案 ：在外部世界的威胁和工控网络之间建立尽可能多层次的保护[9]。

在智能制造迅猛发展的今天，TÜV南德意志集团作为信任的桥梁，通过权威公正的检验检测与优质完善的技术服务，助力企业扫除思想和制度上的盲点和障碍，在制造业转型的浪潮中赢在工业信息安全的起跑线上。竭力推动行业规范标准的同时，建立企业对数字化流程的信任，迎接即将到来的工业革命新浪潮。