解讀 | 智能制造能力成熟度模型——網(wǎng)絡(luò)

　　網(wǎng)絡(luò)，以一組通用或?qū)Ｓ脜f(xié)議相連，形成邏輯上單一且能互聯(lián)的數(shù)據(jù)交互通道，在這個網(wǎng)絡(luò)中有交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備、各種不同的連接鏈路、種類繁多的服務(wù)器和數(shù)不盡的計算機(jī)和終端。只要處于這個網(wǎng)絡(luò)之中，信息就能瞬間發(fā)送到指定的計算機(jī)、終端或設(shè)備。網(wǎng)絡(luò)是資源能力要素的第二個能力子域。

　　在企業(yè)網(wǎng)絡(luò)中，除了用于日常運(yùn)營管理的辦公網(wǎng)，還有用于生產(chǎn)的工業(yè)控制網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)，能力成熟度模型要求主要圍繞這三個方面進(jìn)行描述，如表1所示。

　　表1 網(wǎng)絡(luò)能力成熟度要求

　　前面在解讀信息安全能力子域時，已有部分內(nèi)容涉及網(wǎng)絡(luò)邊界防護(hù)問題，主要是主機(jī)安全延伸出來的網(wǎng)絡(luò)防護(hù)需求，在這里會進(jìn)一步將網(wǎng)絡(luò)能力進(jìn)行細(xì)化，不僅反向延伸討論安全，還會探討企業(yè)網(wǎng)絡(luò)的構(gòu)建和配置方式。

　　表2是根據(jù)網(wǎng)絡(luò)能力子域成熟度描述，結(jié)合企業(yè)實(shí)際的網(wǎng)絡(luò)應(yīng)用需求梳理的網(wǎng)絡(luò)子域關(guān)鍵活動特征，通過對照這個特征，我們能整體評估企業(yè)網(wǎng)絡(luò)應(yīng)用水平。

　　表2 網(wǎng)絡(luò)子域關(guān)鍵活動特征

　　對于一級，要求企業(yè)建立辦公網(wǎng)。經(jīng)過多年的信息化發(fā)展，目前絕大部分企業(yè)基本都有建立了辦公網(wǎng)絡(luò)，像ERP、OA、CRM等需要的都已經(jīng)部署了。企業(yè)辦公網(wǎng)絡(luò)是內(nèi)網(wǎng)，與互聯(lián)網(wǎng)相連，對可靠性網(wǎng)絡(luò)安全需求不高，網(wǎng)絡(luò)構(gòu)建也不復(fù)雜，通過網(wǎng)絡(luò)設(shè)備進(jìn)行單機(jī)配置就可滿足基本要求。比如通過訪問控制列表進(jìn)行配置轉(zhuǎn)發(fā)過濾包，以及通過防火墻就能實(shí)現(xiàn)基本的網(wǎng)絡(luò)安全要求。

　　對于二級，除了要求企業(yè)建立辦公網(wǎng)絡(luò)，還需要實(shí)現(xiàn)工業(yè)控制網(wǎng)絡(luò)、生產(chǎn)網(wǎng)絡(luò)的全覆蓋。由于三種網(wǎng)絡(luò)在技術(shù)體系和性能要求等方面存在較大差異，要實(shí)現(xiàn)安全互訪，需要對辦公網(wǎng)絡(luò)與工業(yè)控制網(wǎng)絡(luò)、生產(chǎn)網(wǎng)絡(luò)之間進(jìn)行邊界隔離。在智能制造能力成熟度診斷評估中需要梳理清楚企業(yè)是如何實(shí)現(xiàn)網(wǎng)絡(luò)之間隔離的，是通過訪問控制列表，還是采用VLAN技術(shù)或者是其他的技術(shù)手段。通過分析隔離技術(shù)的安全性能力給出不同的標(biāo)準(zhǔn)打分。

　　對于三級，對網(wǎng)絡(luò)要求進(jìn)一步提升。一是要求企業(yè)建立工業(yè)控制網(wǎng)絡(luò)、生產(chǎn)網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)的防護(hù)措施，包括不限于網(wǎng)絡(luò)安全隔離、授權(quán)訪問等手段;二是網(wǎng)絡(luò)應(yīng)具有遠(yuǎn)程配置功能，應(yīng)具備帶寬、規(guī)模、關(guān)鍵節(jié)點(diǎn)的擴(kuò)展和升級功能;三是網(wǎng)絡(luò)應(yīng)能夠保障關(guān)鍵業(yè)務(wù)數(shù)據(jù)傳輸?shù)耐暾?。要求明確各網(wǎng)絡(luò)區(qū)域，并進(jìn)行精細(xì)的網(wǎng)絡(luò)邊界劃分，借助于安全防護(hù)設(shè)備、軟件等防護(hù)手段，保障網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸安全。

　　通常說，大型制造企業(yè)工廠和分子機(jī)構(gòu)較多，為便于集團(tuán)統(tǒng)一管控，網(wǎng)絡(luò)通常采用三層架構(gòu)——接入層、匯聚層和核心層。核心層用于網(wǎng)絡(luò)的高速交換主干;匯聚層著重于提供基于策略的連接，位于接入層和核心層之間;接入層則負(fù)責(zé)將包括電腦、AP等在內(nèi)的工作站接入到網(wǎng)絡(luò)，這樣的設(shè)計能夠?qū)?fù)雜的網(wǎng)絡(luò)進(jìn)行簡化管理。

　　上圖是比較典型的三層網(wǎng)絡(luò)架構(gòu)。企業(yè)各部門之間有非常清晰的網(wǎng)絡(luò)邊界劃分，接入層為用戶提供了在本地網(wǎng)段訪問應(yīng)用系統(tǒng)的能力，解決相鄰用戶之間的互訪需求。匯聚層用來連接核心層和接入層，處于中間位置，它的上行是核心交換機(jī)，下行是接入層交換，具有實(shí)施策略、安全、工作組接入、源地址或目的地址過濾等多種功能，它是實(shí)現(xiàn)策略的地方。在內(nèi)網(wǎng)和外網(wǎng)以及生產(chǎn)、辦公和工業(yè)控制網(wǎng)之間，通過防火墻、網(wǎng)閘、IPS以及DMZ做邊界防護(hù)和隔離。在接入層到匯聚層以及匯聚層到核心層，保障網(wǎng)絡(luò)冗余與防篡改。管理中心接入核心層交換機(jī)，實(shí)現(xiàn)對網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程配置、設(shè)備監(jiān)控與管理。

　　三級要求企業(yè)不僅要有全面的網(wǎng)絡(luò)覆蓋、較為清晰的網(wǎng)絡(luò)層次結(jié)構(gòu)和邊界劃分，且網(wǎng)絡(luò)之間的隔離、訪問和防護(hù)手段比較全面，具備遠(yuǎn)程配置和管理功能，能保證網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)耐暾浴?/FONT>