在現在工業乙太網路的應用上,硬體或軟體的整合是最基本的條件,隨著機聯網技術的的逐步深入,系統用戶對工業乙太網路技術也愈來愈受到注意,而近來工業物聯網的重要性提升,也讓無線通訊與工業級通訊架構整合,形成一個更完整的網絡,但無線通訊的逐步成熟,也讓工業級通訊帶來一些新的挑戰與契機。
M2M需求 無線成為通訊新環節
在工控領域,其實機器與機器之間的機聯網通訊,早已不是新應用,發展已久的工業通訊,處理的就是機器與機器之間的訊息交換,一般來說,大型製造商的工廠生產線不會只有一條,而兩條以上的生產設備,就必須利用通訊設備來加以鏈結成網路,以方便管理。
圖1 : 工廠設備多為固定設備,加上直接與生產過程相關,因此穩定是工業通訊的第一考量。(Source: Digitalist) |
|
工廠設備多為固定設備,加上直接與生產過程相關,因此穩定是工業通訊的第一考量,目前工廠機台設備的線路型態以有線為主,相較於無線技術的方便、低成本優勢,有線架構在現場佈線雖然成本高、作業麻煩,不過訊號傳輸穩定度卻遠優於無線技術,因此在固定設備上,多半採有線方式架構,除非必要,能不用無線網路就不用無線網路。
無線通訊是這幾年工業控制的潛力發展技術,由於過去在消費端這幾年的廣泛應用,使得各種無線通訊技術進展飛快,價格更加平民化,除此之外,由於M2M的需求,導入無線通訊可說對工業通訊系統提升了便利性,這並非是對傳統的衝擊,反而更像是一種加分,由於乙太網路的共通性,其實滿足了使用者對於通訊的期許,而無線通訊的加入,更可讓過去一些繁複應用變為可能,過去有線介面沒有辦法觸及的地方,或是大範圍的控管,可說是無線通訊發展的主要面向,當然不同的應用模式,可能也有不同的無線通訊介面,仍然應視環境的需求來選擇。
在幾種狀況下,系統整合業者會建議廠商採用無線通訊技術,第一是佈線不易,有些地方並非不可佈線,而是無法佈線,譬如說上述的無人搬運車,第二種是環境問題,由於線路本身就是有形的物體,在容易損壞的場所中,線路的維護往往會是一大問題,第三則是距離,在完全開放的空間內,其實無線的距離會比有線來得長,一般的有線線路傳輸距離大約是70公尺,但在直線距離,無線傳輸可以到400公尺,若加上天線可以達到2公里以上,因此對於系統的應用存在了更多的彈性。
圖2 : 這幾年通訊技術開始被延伸到人以外的機器通訊領域。(Source:Vesterbusiness) |
|
通訊技術被發明以來,應用對象都以人為主,所傳送的訊息型態也是以語音為大宗,不過這幾年,通訊技術開始被延伸到人以外的機器通訊領域,利用通訊設備讓兩部機器來傳遞訊息,並配合自動化系統來提升作業效率,而隨著機聯網技術進步,將帶動M2H(Machine to Human)與M2E(Machine to Enterprise)持續發展,未來每一產業將都有M2M的影子。
無線漸成熟 兼顧延展性已成重點
無線網路讓人擔心的主要原因,首先在於「看不到」,因此在過去推行的難度很高,但近年由於電信業者的積極提升服務水準,像是建構Mobile IP或Mobile VPN等企業級應用模式,也解除了使用者對於這類型網路的疑慮,而使得系統應用的機會也逐步提升;除此之外,由於透過電信系統進行無線通訊,有資費的問題,這不是像一般電話一樣,而是必須進行長時間通訊,因此就成本問題考量,近年行動資費逐漸下降,也讓使用逐漸普及。此外,也由於商務行動技術與應用逐漸提升,也提升了無線通訊在業界的接受度。
M2M系統包括通訊設備獨立進行資料傳輸、透過網路與伺服主機聯繫,以及透過軟體進行資料分析、反應與處理等三種樣態,簡單說就是這個軟硬體整合的系統透過網路進行資料溝通,它必須考量的是在M2M的環境應用需求,常是一對多的通訊,因此如何同時管理,如何確保安全性與延展性,是M2M系統發展的重要課題。
就無線通訊系統的規劃考量,由於會使用這類規劃的,多是以長距離、大範圍的溝通為主,因此規劃也多以像是3G甚至是4G等電信通訊模式來進行設計,這類規劃的裝置數量較多,有效管理的系統平台將是重點;這類平台也必須考量因裝置無法進行一次建置,如何維持其系統延展性,必須擴充它的相容能力。除此之外,安全性的考量必須讓外界無法干擾,企業當然存在VPN這種獨立而保密的設施需求,「好的無線通訊規劃,必須具備這三者必要條件,因此必須提供開放性的平台進行有線及無線的系統整合,並且必須透過中央管理監控所有裝置的狀態;此外由於各國電信系統的規劃不同,一般VPN架構多是私有不公開IP的設計,對跨區的機聯網造成困擾,因此這樣的中央管理系統也必須兼顧「中介者」的角色。
在應用領域上,由於現況對於無線網路的「穩定性」仍持保留態度,因此在系統應用上多是運用於輔助系統為主,雖然在現場端仍是以有線連結為主,但在其他領域,無線應用的需求仍是相當廣泛,此外由於機聯網的需求逐漸提升,過去沒有網路連線設置的設備也必須要增加上網的能力,因此在系統應用上,也有廠商針對設備的嵌入式小型介面進行相關規劃,這也是網通廠商看到的新契機。
機聯網架構 現場端資安更需注意
除了穩定性外,安全也是現在機聯網的設計重點,由於工業乙太網路可使管理級到現場級的資料傳輸規格一致,使用者只需要掌握單一網路技術即可互連,但同樣的,標準化網路結構也因其透明度而帶來風險,也因此讓系統產生更大的挑戰。
相較於過去僅是一般終端使用者及辦公室環境,由於乙太網路與網路通訊的蓬勃發展,過去像是工廠自動化這類無需考量資安問題的系統,也成為觀察的重點之一,除此之外,過去由於工業現場系統多是以現場匯流排進行通訊,除非像是以國家戰略思維侵入如油、水、電等重要設施來進行攻擊,否則難度甚高;但在工業乙太網路普及導入之後,這類攻擊不但漸趨容易,而類似的攻擊也漸趨增加。
這類智慧化系統面對不斷演變的資安威脅環境,其中一項最大的挑戰就是APT進階持續性滲透攻擊(Advanced Persistent Threats;APT),它是針對「特定組織」所做出複雜且多方位的攻擊,這樣的攻擊也逐漸進化,成為系統必須關注的主要議題。
工廠智慧化的最基本要求,就是現場端的資料採擷、監控與分析,一般而言多是以整合PC端的SCADA來進行,這些系統的OS仍多是以嵌入式的Windows等系統做為底層架構,傳統認知的現場端在連上線後,並沒有一般想像中的封閉,但使用者卻仍多以過去現場匯流排的認知來操作,自然會忘記了這類系統的缺漏,甚至連系統管理權限都仍然是預設密碼的情況下,自然就形成漏洞,如果仔細觀察,會發現世界上使用同一家軟體系統的廠商,恐怕都有相同的漏洞放在那邊,而且這些問題恐怕十數年都不會改變,這恐怕是工廠智慧化後帶來的最大問題。
現階段要防範惡意攻擊,已經不僅只於透過防火牆或防毒軟體就可達到目的,由於傳統的阻隔方法仍有漏洞可鑽,因此必須阻斷惡意攻擊在「侵入」、「下載潛伏」到「擴散攻擊」的運作環節,才是解決的重點面向,「只要阻斷APT的任一環節,攻擊就會失效,這與過去阻擋病毒進入的觀點,有相當大的差距。」在面對系統的複雜化,攻擊多元化的同時,思維的調整,或許才是最重要的一步。
實體隔離+最小授權 確保工控資安
對於網通廠商對於工廠現場端以VPN的方式,透過隔離網段的方式來隔絕外界系統化的APT,這也是最基本的解決方案,實體隔離絕對是解決APT最實際的辦法,但這樣的做法卻並非像一般人想像的這麼可靠,以工廠智慧化的架構,一定會與後端辦公室應用端連結,才能針對產線進行系統化的調配,雖然這樣的通訊設計多是透過軟硬體配置,提供最小限度的授權讓應用端可以與現場端連結;但一般APT通常會經由辦公室應用端進行攻擊,再利用應用端與現場端的信任關係,經由雙方的授權機制來侵入現場端,除非應用端也進行實體隔離,否則只要連上網際網路,就有漏洞可鑽。
圖3 : 標準化網路結構也因其透明度而帶來風險,也因此讓系統產生更大的挑戰。 (Source:Belden) |
|
雖然「實體隔離」與「最小授權」的做法可能仍有漏洞,但在現場端的安全防護,這仍是最基礎的必要作法;至於如何確保系統的安全,標準規範仍是最必要的項目,在工控系統中所強調的標準,多是涉及系統穩定的實際安全需求,但對於資訊安全部分仍付之闕如,由於工業乙太網路的導入,以及實際應用環境的逐漸多元化,資安政策的建構及系統安全的標準,可能是後續發展的重點項目,也將會是市場後續發展的重要課題。
圖說:(Source: Advitech Group)