万字长文说透工业互联网架构体系

工业互联网是链接工业全系统、全产业链、全价值链，支撑工业智能化发展的关键基础设施，是新一代信息技术与制造业深度融合所形成的新兴业态和应用模式，是互联网从消费领域向生产领域、从虚拟经济向实体经济拓展的核心载体。其本质是以机器、原材料、控制系统、信息系统、产品以及人之间的网络互联为基础，通过对工业数据的全面深度感知、实时传输交换、快速计算处理和高级建模分析，实现智能控制、运营优化和生产组织方式变革。

工业互联网可以重点从“网络”、“数据”和“安全”三个方面来理解。其中，网络是基础，即通过物联网、互联网等技术实现工业全系统的互联互通，促进工业数据的充分流动和无缝集成；数据是核心，即通过工业数据全周期的感知、采集和集成应用，形成基于数据的系统性智能，实现机器弹性生产、运营管理优化、生产协同组织与商业模式创新，推动工业智能化发展；安全是保障，即通过构建涵盖工业全系统的安全防护体系，保障工业智能化的实现。工业互联网的发展体现了多个产业生态系统的融合，是构建工业生态系统、实现工业智能化发展的必由之路。

工业互联网将给工业企业带来四方面的智能化提升。一是智能生产，即实现从单个机器到产线、车间乃至整个工厂的智能决策和动态优化，显著提升全流程生产效率、提高质量、降低成本。二是网络协同，即形成众包众创、协同设计、协同制造、垂直电商等一系列新模式，大幅降低新产品开发制造成本、缩短产品上市周期。三是个性定制，即基于互联网获取用户个性化需求，通过灵活柔性组织设计、制造资源和生产流程，实现低成本大规模定制。四是服务延伸，即通过对产品运行的实时监测、数据采集，提供远程维护、故障预测、性能优化、数据分析等一系列延伸服务。

工业互联网将给工业企业带来四方面的智能化提升。一是智能生产，即实现从单个机器到产线、车间乃至整个工厂的智能决策和动态优化，显著提升全流程生产效率、提高质量、降低成本。二是网络协同，即形成众包众创、协同设计、协同制造、垂直电商等一系列新模式，大幅降低新产品开发制造成本、缩短产品上市周期。三是个性定制，即基于互联网获取用户个性化需求，通过灵活柔性组织设计、制造资源和生产流程，实现低成本大规模定制。四是服务延伸，即通过对产品运行的实时监测、数据采集，提供远程维护、故障预测、性能优化、数据分析等一系列延伸服务。

在全球新一轮科技革命和产业变革中，信息技术与各行业各领域的融合发展具有广阔前景和无限潜力，已成为不可阻挡的时代潮流。除了德国的“工业4.0”、美国的“先进制造业国家战略计划”、日本的“机器人新战略”等国家级战略外，英国、法国、韩国、印度、俄罗斯等众多国家也推出了一系列战略，虽然名称各异、侧重点不同，但是推动新一代信息技术和制造业的深度融合，大力加快制造业的数字化、网络化改造，向智能化转型，各国都期望通过技术革命减少对人的依赖，更好发挥人的价值，实现各自国家向高质量、高效率、绿色高端方向发展。

我国工业互联网与发达国家基本同步启动，在框架、标准、测试、安全、国际合作等方面取得了初步进展，成立了汇聚政产学研的工业互联网产业联盟，发布了《工业互联网体系架构(版本2.0)》、《工业互联网标准体系框架(版本2.0)》等，涌现出一批典型平台和企业。但与发达国家相比，总体发展水平及现实基础仍然不高，产业支撑能力不足，核心技术和高端产品对外依存度较高，关键平台综合能力不强，标准体系不完善，企业数字化网络化水平有待提升，缺乏龙头企业引领，人才支撑和安全保障能力不足，与建设制造强国和网络强国的需要仍有较大差距。

为加快建设和发展我国工业互联网，推动互联网、大数据、人工智能和实体经济深度融合，发展先进制造业，支持传统产业优化升级，国家出台了一系列政策：2015年国务院印发《中国制造2025》,部署全面推进实施制造强国战略，确定智能制造为未来制造业发展重点方向；2016年国务院印发《关于深化制造业与互联网融合发展的指导意见》,明确指出，制造业是实施互联网+行动的主战场；2017年国务院《关于深化“互联网+先进制造业”发展工业互联网的指导意见》;2018年工信部印发《工业互联网发展行动计划(2018-2020年)》,提出2020年初步建成工业互联网基础设施和产业体系；2019年工信部印发《关于“5G+工业互联网”512工程推进方案的通知》,深入实施5G+工业互联网512工程；2020年工信部发布《关于推动工业互联网加快发展的通知》等一列文件，为国家下一步工业互联网发展保驾护航。

工业互联网的核心是通过对工业智能、区块链、边缘计算等新技术的不断研究和成果转化，进一步强化网络、平台、安全三方面的支撑能力，为工业企业生产、管理、销售等各环节的要素全面互联，形成以大数据建模、分析、决策为智能驱动，在工业企业各垂直领域打造一个闭环的智能化生产、管理、销售的体系，实现我国工业企业从消费互联网向工业互联网迈进，加快实现“中国制造2025”引领第四次全球工业革命的国家目标。黑龙江联通规划的顶层架构体系，是面向省政府“工业强省”战略和工业企业数字化向智能化转型的需要，融合工业互联网新理念、新价值、新技术、新功能。

新范式和新应用六大理念，形成黑龙江联通特有的工业互联网顶层架构体系，分别对网络、平台、安全、生态四个方面进行体系规划，既能指导地市在工业企业智能化生产、网络化协同、个性化定制和服务化延伸方面拓展工业互联网市场，又能助力本省工业企业数字化向智能化转型。

“网络”是工业企业各类系统和数据传输交换的支撑基础，包括“网络互联”、“数据互连”和“标识解析”,支撑人、机、物各要素的互联互通，形成实时感知、协同交互、可溯源的生产模式。

“平台”是工业企业智能化的核心，基于平台的大数据计算分析能力，包括“数据采集和分析”、“通用服务和管理”、“应用开发”和“应用服务”等能力，实现数据采集、集成处理、建模分析、决策优化和反馈控制等，实现对生产状况、企业间协作、市场需求的精准分析，形成工业企业运营管理决策到商业活动的智能管理和决策优化。

“安全”是网络与平台在工业中应用的安全保障，包括设备、网络、控制、数据、应用和综合安全监控和管理，实现风险评估、数据保护、信息共享和通报及应急处置，避免软硬件系统受到内外部攻击，降低工业企业数据被未授权访问的风险，确保数据传输、存储的安全，实现对生产和销售系统全方面防护。

“生态”是工业互联网良性发展、合作共赢的趋势，通过联合硬件、平台、信息技术、应用厂商和高校科研机构，在政府政策的引领下，共同为工业企业在“网络”、“平台”和“安全”方面打造成熟度高、可实施的解决方案和应用服务，推动我省工业互联网持续发展。

（1）工业互联网网络体系

工业互联网网络是实现人、机器、车间、企业等主体以及设计、研发、生产、管理、服务等产业链各环节的全要素泛在互联的基础，是工业智能化的“血液循环系统”,包括工业企业内网和工业企业外网，工业企业内网实现工厂内生产装备、信息采集设备、生产管理系统和人等生产要素的广泛互联；工业企业外网实现生产企业与智能产品、用户、协作企业等工业全环节的广泛互联。工业互联网标识解析体系是工业互联网网络的根基，也是中枢神经，包括标识和解析系统两部分，其中标识是机器和物品的“身份证”;解析系统利用标识，对机器和物品进行唯一性的定位和信息查询，是实现全球供应链系统和企业生产系统精准对接、产品全生命周期管理和智能化服务的前提和基础。

工业互联网网络体系将包括网络互联、数据互通、标识解析和适配边缘计算的网络连接四个部分。

工厂内网络是用于连接工厂内的各种生产要素，包括人员、机器、材料、环境等的网络，工厂内网络IP化将实现数据和信息在各生产要素间、各系统间的无缝传递，打破信息孤岛，满足各系统互联互通，为工业企业生产要素在不同生产区域内迁移和转换的柔性生产进行网络重构，进一步为智能制造打下网络基础。

工厂外网络是用于连接工厂、分支机构、上下游协作企业、云数据中心、产品与用户等的网络。通过为工业企业提供独立的网络，满足工业企业对网络带宽、延时、抖动等性能的需求，进一步推动工业企业从“传统制造”模式向个性化定制、远程监控、智能产品服务等全新的“制造+服务”模式转变。

数据互通实现工厂内网异构系统在数据层面能相互“理解”,从而实现数据互操作与信息集成。一方面支撑各种工厂要素、出厂产品等产生的底层数据向数据中心的汇聚；另一方面为上层应用提供对多源异构系统数据的访问接口，支撑工业应用的快速开发与部署。

网络互联体系包含工厂内部网络和工厂外部网络，其中工厂内部网络从两部分进行规划考虑，即有线网络、无线网络两部分；工厂外部网络包括基于IPv6的公众互联网、企业专网两部分。

工厂内部网络一般呈现“两层三级”的结构，两层是是指工厂0T网络和工厂IT网络，两个网络通过网关实现互联和安全隔离；三级是指工厂管理层级的划分，网络也被分为现场级、车间级、工厂级/企业级三个层次，每层之间的网络配置和管理策略相互独立。

为适应智能制造发展，工厂内网络的新建或改造需满足扁平化、IP化的有线和无线组网的发展趋势，通过强化网络安全策略，打破OT和IT的界限，构建更适于工业企业生产经营的工业互联网的组网方案，实现生产、管理、销售、上下游产业链互联互通，各资源数据的相互调度。

5G网络的主战场在工业互联网领域，5G的三大特性即增强型移动宽带(eMBB)、大规模机器类通信(mMTC)、高可靠低时延通信(uRLLC)助力工业企业生产过程数字化生产需求，提升工业企业柔性制造能力，推动工业企业智能化转型有着积极的意义。eMBB可以提供上行100Mbps,下行1000Mbps,适合于工业高清视频、VR、AR应用；mMTC可以提供百万级密度的海量连接，将车间传感器、总线、车床、仪表等数据实时采集、汇总分析并指导生产；uRLLC可以满足工业企业不同控制系统数据同步要求，为工业远程控制提供了技术条件。

工业企业网络规划建议结合各类接入技术的特点，为工业企业客户提供基于IPv4和IPv6双栈形式的网络接入方式，同时服务于工业企业入云、电路专线/专网、互联网专线、MV组网四类业务的接入，实现覆盖多场景的端到端接入能力。

目前国际上现存的总线/工业以太网协议数量高达40余种。存在工业企业采购的工业设备企业，自动化控制直接采用私有协议实现工业设备的信息交互，形成了一个个竖井型的业务系统，数据在通系统中可以互通，跨不同系统的数据互通非常困难，随着工业互联网的发展，工业企业对数据互通的需求越来越强烈。为了满足数据互通的需求，通过构建统一数据互通方式，即OPC UA、LwM2M、oneM2M,为工业企业提供工厂系统中各系统、各单元数据的无缝连接和集成。

工业互联网标识解析体系类似于互联网域名系统(DNS),基于Handle、OID技术为全球制造业发展和工业互联网普及提供关键资源和基础服务，以及跨国家、跨地域、跨行业、跨企业的全球信息互联互通能力，是整个工业互联网网络实现互联互通的关键基础设施，是工业互联网的根基，更是中枢神经。

工业互联网标识解析体系是工业互联网网络架构的重要组成部分，是设备、系统、数据、网络互联互通的关键。

通过对机器和物品赋予唯一的“身份证”,并透过解析系统，对机器和物品进行唯一性的定位和信息查询，信息得以实现跨企业、跨行业、跨地域的共享和使用，企业得以实现全球供应链系统和生产系统的精准对接，实现智能化生产、个性化定制、重要产品追溯和产品全生命周期管理。

我国工业互联网标识解析体系由国际根节点、国家顶级节点、二级节点、企业节点、递归节点等要素组成。

国际根节点：是指一种标识体系管理的最高层级服务节点，提供面向全球范围公共的根层级的标识服务，并不限于特定国家或地区，目前我国国家顶级节点已与国际根节点进行对接。

国家顶级节点：是指一个国家或地区内部最顶级的标识服务节点，能够面向全国范围提供顶级标识解析服务，以及标识备案、标识认证等管理能力。国家顶级节点既要与各种标识体系的国际根节点保持连通，又要对接国内的各种二级及以下其他标识服务节点。

二级节点：是面向特定行业或者多个行业提供标识服务的公共节点。二级节点既要向上与国家顶级节点进行节点认证及备案，又要向下为工业企业分配标识编码及提供标识注册、标识解析、标识数据服务等，同时满足安全性、稳定性和扩展性等方面的要求。作为推动标识产业应用规模性发展的主要抓手，二级节点是打造有价值的行业级标识应用、探索可持续发展业务模式的关键。

企业节点：是指一个企业内部的标识服务节点，能够面向特定企业提供标识注册、标识解析服务、标识数据服务等，既可以独立部署，也可以作为企业信息系统的组成要素。

递归节点：是指标识解析体系的关键性入口设施，能够通过缓存等技术手段提升整体服务性能。递归节点可与国家顶级节点和各种二级节点对接，丰富终端业务应用场景，提升终端的业务能力，做到工业互联网的解析体系的全覆盖；通过缓存标识解析结果的方式，减少解析过程，降低解析时延至毫秒级，且递归单台设备支持百万级QPS的解析能力，兼容多种标识编码技术，解析成功率大于99.9%。

此外，标识解析服务的查询触发，可以是来自企业信息系统、工业互联网平台、工业互联网APP等多种不同形式。标识分配机构指负责GS1、Handle、OID、Ecode等标识编码分配的机构。

工业互联网早期的架构，一般考虑云平台统一部署，对现场设备和机器都进行集中控制。但由于工业领域对高可靠、低时延、确定性以及业务、数据安全性等的实际需求，当前又呈现计算能力向边缘分布的发展趋势。未来的工业网络中，业务不仅仅只部署于云端，在工业现场和云端均有部署变为可能。工业现场设备和机器，在网络边缘产生大量的上行数据，处于网络靠近工业现场的边缘网络设备，就要具备开放的数据处理能力，以及灵活的业务承载转发能力。

工业现场中的边缘计算所部署的位置，是工厂设备接入网络的第一个节点。边缘计算的载体设备可以是工业控制器、传感器、边缘计算网关、边缘云和智能生产装备等各类设备，其应用场景也不限于制造业，而是可以广泛应用于采矿、物流、能源、零售等各大垂直行业中。将业务部署到工业现场中的边缘设备，有助于实现数据的实时处理，以及从现场设备节点到云端中心控制节点的网络端到端的保障。

（2）工业互联网平台体系

近年来，工业互联网平台技术创新持续深化，平台技术架构体系从支撑“建平台”走向支持“用平台”的策略演进。对于工业互联网平台为广大工业企业提供云平台服务的同时，逐步走向平台运营。基于IT技术的平台架构与应用开发技术创新、以及通过数据模型、机理模型、业务模型的沉淀和场景化的数据挖掘开发，所带来的平台服务功能提升，成为平台建设的发展主线。一方面，容器、微服务与应用开发技术不断提升平台的资源利用效率，推动功能解耦与复用，加速应用开发与创新；另一方面，各类模型的沉淀、面向工业特点的数据管理和分析、以及平台功能向工业现场的不断下沉，持续提升平台服务能力。

基于工业互联网建设的网络、平台、安全三个方面，平台功能建设工作可以从边缘层、基础设施层、服务层、应用层4个层级着手建设。

◆边缘层：通过大范围、深层次的数据采集，以及异构数据的协议转换与边缘处理，构建工业互联网平台的数据基础。一是通过各类通信手段接入不同设备、系统和产品，采集海量数据；二是依托数据互通能力实现多源异构数据的归一化和边缘集成；三是利用边缘计算设备实现底层数据的汇聚处理，并实现数据向云端平台的集成。

◆基础设施层：设备接入是基于工业以太网、工业总线等工业控制网络，以太网、光纤等网络技术，3G/4G/5G、NB-IOT等有线、无线接入技术将工业现场设备接入到平台及边缘层。

◆服务层：解决工业数据处理和知识积累沉淀问题，形成开发环境，实现工业知识的封装和复用，工业大数据建模和分析形成智能，促进工业应用的创新开发。

◆应用层：一方面解决工业实践和创新问题，通过工业创新应用和基础应用APP等工业应用部署的方式实现设计、生产、管理等环节价值提升，借助开发社区等工业应用创新方式塑造良好的开放、开源的创新环境，推动基于平台的工业APP创新。另一方面通过重要企业数据汇集，借助平台工业大数据能力将政府关注数据进行整合、分析，以图表的直观形式将管理数据展现至政府管理系统应用中。

在技术体系方面，数据集成和边缘处理技术、IaaS技术、平台通用使能技术、工业数据建模和分析技术、工业大数据计算技术、应用开发和微服务技术、平台安全技术共同构成了工业互联网平台的技术体系，并且分为三个层次:PaaS层、IaaS层、应用层，平台构建的主要方式为：

边缘数据集成处理、通用平台二次开发、工业机理与大数据融合、工业微服务组件调用。

1)PaaS(平台即服务)层：

实现了云端部署、集成与应用，满足企业分布式管理和远程协作的需要。另外PaaS层提供应用管理及微服务管理主要功能。以完整的DevOps(运维一体化)技术，使得构建、测试、发布软件能够更加地快捷、频繁和可靠，支持应用全生命周期管理服务。PaaS(平台即服务)层分为I-PaaS(集成平台)及A-PaaS(部署和运行平台)两类：

◆A-PaaS层：

提供一个安全、灵活的环境，可以快速构建应用程序、开发应用程序扩展、创建企业门户或部署现成的可定制库应用程序。开发者平台，支持工业微服务调用能力，具备丰富的开发工具、应用框架和组件，以便开发者能够快速开发和部署应用。提供的服务开发能力为：快速界面布局、代码生成、前端开发规范、标准化组件样例、界面模板、服务开发模板、服务框架规范、服务注册插件、业务服务等。

◆I-PaaS层：

是一个基于云的平台，连接云内或内部的各种应用程序、系统和技术。它允许部署和维护集成流，而不需要在组织内部或组织与第三方软件之间使用硬件或中间件。可促进开发、执行和集成流治理同任何本地以及基于云的流程、服务、应用和数据连接的服务。同时提供OpenAPI(开放接口),与下层进行数据连接，也可与应用层接入，提供数据展示。起到数据承上启下的疏导作用。

2)IaaS(基础设施即服务)层：

对所有设施的利用，包括处理、存储、网络、租户、容器、镜像和其它基本的资源，用户能够部署和运行任意软件，包括操作系统和应用程序。消费者不管理或控制任何云计算基础设施，但能控制操作系统的选择、储存空间、部署的应用，也有可能获得有限制的网络组件(例如，防火墙，负载均衡器等)的控制。

3)接入层：

支持接入各种终端设备，用户可以在设备上通过客户端界面访问，如PC、IOS、Android。可随时查看展示数据信息。

其中工业互联网PaaS云平台是支持分布式计算、分布式存储和多租户共享技术的云架构弹性基础平台，是连接应用开发者和最终使用者的生态平台，是支持开发人员快速开发云应用、云化和自主部署传统应用的开发平台，是具备资源调度、开发工具、运维监控、运营管理和安全管理的能力支撑平台，其主要提供的服务能力包括:

◆云化接入能力：

平台支持单租户和多租户服务方式，并提供多种接入云化方式，包括组件化接入、系统整体接入、远程SaaS接入、docker容器接入等。

◆平台应用APP开发能力：

平台提供的“开发者中心”具备丰富的开发工具、包括开源和定制的应用框架和组件，支持开发者能够快速开发和管理应用，包括可视化流程建模工具、报表设计工具、表单工具、部署工具、客服工具等。

◆平台运营及运维监控能力：

运维监控管理包括云平台及其SaaS应用正常运行保障功能，包括操作系统监控、内存监控、磁盘监控、数据库监控、中间件监控、PaaS平台监控、租户系统监控、异常监控等；运营管理包括参数配置、计费管理、帐套管理、用户分析、租户管理、合同管理等，这些监控和管理运用短信、微信、系统消息等方式与平台管理人员进行交互。

◆支持金融服务能力：

为支持工业企业生产运营中金融服务的要求，平台应该具有对接金融服务系统平台能力，获得金融服务以满足工业企业对金融服务中涉及风险投资、银行信贷、资产评估、资产抵押、金融合同等各类服务。

工业大数据能力是基于工业数据采集模块获得设备运行数据、运营管理数据、产业数据等信息，通过大数据技术提供分析、管理、预测等数据服务。工业大数据是指在工业领域中，围绕典型智能制造模式，从客户需求到销售、订单、计划、研发、设计、工艺、制造、采购、供应、库存、售后服务、运维等整个产品全生命周期中，所产生的各类数据的总称。系统以工业数据为核心价值，以平台计算能力为提升数据价值手段，极大延展了传统工业数据的应用场景，在工业企业生产过程中大数据系统服务能力，以“模型+深度数据分析”模式对设备运维、产品后服务、生产控制、能耗监测、质量管控、预测维护、工艺调优等领域发挥了显著的经济效益。

工业大数据技术架构以工业大数据的全生命周期为脉络，系统划分为平台和工具域、应用和服务域。平台和工具域主要面向工业大数据采集、数据规划、数据存储、数据分析等关键技术，提供多源、异构、高通量、强机理的工业大数据核心技术支撑；应用和服务域则基于平台域提供的技术支撑，面向智能化设计、网络化协同、智能化生产、智能化服务、个性化定制等场景，通过可视化、应用开发等方式，满足用户应用和服务需求，形成价值变现。

工业大数据可以为工业数据采集及其他来源的工业数据进行采集、存储、清洗、管理、分析、挖掘和表现等处理的平台，同时提供大数据的应用托管、系统集成等服务和可视化能力，平台具备安全、可弹性伸缩、高可用、性价比高等特性。工业大数据系统可提供管理物联网设备数据、应用系统业务数据和用户行为运维数据等服务，同时提供了数据分析算法管理框架、机理模型微服务管理及编排框架、可视化BI定义工具等。提供离线数据分析、实时数据/流数据分析能力，可以结合工业生产实践经验，基于已知工业机理构建各类模型，实现融合应用场景。

工业大数据管理能力包含数据采集与交换、数据预处理与存储、数据工程与数据建模四部分。工业大数据分析能力涵盖支持离线批量计算和在线实时计算的分布式分析框架，以及工业领域分析会使用到的各类分析算法库。工业大数据技术包括数据可视化和数据应用开发技术，综合原始数据、加工数据和分析结果数据，通过可视化技术，将多来源、多维度数据以直观简洁的方式展示出来，易于用户理解分析，提供决策效率。通过提供可视化展示、故障告警、预测分析的能力，极大延展了传统工业数据的应用范围，为企业生产运营，数字化转型提供赋能。

工业数据采集是利用泛在感知技术对多源设备、异构系统、运营环境、人为等要素信息进行实时高效采集和云端汇聚。通过数据和通信网络接入不同设备、系统和产品，采集大范围、深层次的工业数据以及异构数据的协议转换与边缘处理，构建工业互联网平台的数据基础，工业数据采集技术架构包括设备接入、协议转换、边缘数据处理，向下接入设备或智能产品，向上与工业互联网平台/工业应用系统进行对接进行数据分析、处理。

工业互联网平台现阶段以专业服务、功能订阅为最主要商业模式。专业服务即建设企业专有平台是主要盈利手段，基于云平台的系统集成是最主要服务方式。绝大部分与设备管理、能耗优化、质量提升相关的大数据分析平台都以这种方式提供服务。功能订阅即平台IaaS资源订购、PaaS功能组件订购、以及SaaS工业软件服务订购，是现阶段平台盈利的重要补充，未来有可能成为平台商业模式的核心。云服务平台和通用PaaS平台以订阅模式为主，由资源订阅逐步扩展至功能订阅。目前，IaaS资源订阅已较为普遍，其下一步发展关键在于丰富平台的功能组件，并提供组件复用订阅服务。

根据“工业互联网平台应用优化机制”图表,分析各应用类型成熟度，应用成熟度占比最大的为62%,对应资产管理服务及生产过程管控服务，对应可打造的成熟应用包括：预测性维护、AR/VR辅助装配、视觉检测、能耗管理、智慧物流、数字车间、智慧园区、AGV小车等。

（3）工业互联网安全体系

随着工业领域数字化、网络化不断推进，制造业内部网络与互联网逐步打通，网络安全威胁向工业生产领域蔓延渗透，工业互联网安全已成为网络安全的重要组成部分。工业互联网特有的标识解析系统、工业互联网平台、工业控制系统、工业大数据对安全防护理念与措施提出新的需求。工业互联网涉及众多关键制造领域，在大力发展工业互联网的同时，应同步推进工业互联网安全保障体系建设，从而有效防范因为网络攻击可能引发的安全生产事故、人民生命财产损失和国家核心信息外泄。

从防护对象、防护措施及防护管理三个视角规划我省工业互联网安全体系架构，针对不同的防护对象部署的安全防护措施，根据实时监测结果发现网络中存在的或即将发生的安全问题并及时做出响应。同时加强防护管理，明确基于安全目标的可持续改进的管理方针，从而保障工业互联网的安全。

防护对象视角涵盖设备、控制、网络、应用和数据五大安全重点；防护措施视角包括威胁防护、监测感知和处置恢复三大环节，威胁防护环节针对五大防护对象部署主被动安全防护措施，监测感知和处置恢复环节通过信息共享、监测预警、应急响应等一系列安全措施、机制的部署增强动态安全防护能力；防护管理视角根据工业互联网安全目标对其面临的安全风险进行安全评估，并选择适当的安全策略作为指导，实现防护措施的有效部署。

三个防护视角之间相对独立，但彼此之间又相互关联。从防护对象视角来看，安全架构中的每个防护对象，都需要采用一系列合理的防护措施并依据完备的防护管理流程对其进行安全防护；从防护措施视角来看，每一类防护措施都有其适用的防护对象，并在具体防护管理流程指导下发挥作用；从防护管理视角来看，防护管理流程的实现离不开对防护对象的界定，并需要各类防护措施的有机结合使其能够顺利运转。工业互联网安全架构的三个防护视角相辅相成、互为补充，形成一个完整、动态、持续的防护体系。

防护对象视角主要包括设备、控制、网络、应用、数据五大防护对象。具体内容包括：

1）设备安全：包括工厂内单点智能器件、成套智能终端等智能设备的安全，以及智能产品的安全，具体涉及操作系统/应用软件安全与硬件安全两方面。

2）控制安全：包括控制协议安全、控制软件安全以及控制功能安全。

3）网络安全：包括承载工业智能生产和应用的工厂内部网络、外部网络及标识解析系统等的安全。

4）应用安全：包括工业互联网平台安全与工业应用程序安全。

5）数据安全：包括涉及采集、传输、存储、处理等各个环节的数据以及用户信息的安全。

为帮助工业企业应对工业互联网所面临的各种挑战，防护措施视角从生命周期、防御递进角度明确安全措施，实现动态、高效的防御和响应。防护措施视角主要包括威胁防护、监测感知和处置恢复三大环节。

威胁防护：针对设备、控制、数据、应用、网络五大防护对象，部署主被动防护措施，阻止外部入侵，构建安全运行环境，消减潜在安全风险。

监测感知：监测感知是指部署相应的监测措施，主动发现来自系统内外部的安全风险，具体措施包括数据采集、收集汇聚、特征提取、关联分析、状态感知等。

处置恢复：处置恢复机制是确保落实工业互联网信息安全管理，支撑工业互联网系统与服务持续运行的保障。通过处置恢复机制，在风险发生时灾备恢复组织能根据预案及时采取措施进行应对，及时恢复现场设备、工业控制系统、网络、工业互联网平台、工业应用程序等的正常运行，防止重要数据丢失，并通过数据收集与分析机制，及时更新优化防护措施，形成持续改进的防御闭环。处置恢复机制主要包括响应决策、备份恢复、分析评估等。

（4）工业互联网生态体系

工业互联网涉及工业和互联网等信息通信技术领域的各个环节和各个主体，正在形成复杂和全新的生态系统。为促进工业互联网生态体系建设，工业和信息化部积极推动工业互联网发展，工业互联网试点城市、国家新型工业化产业示范基地建设在全国各地正在逐步展开。

在政府有关部门的积极引导下，我国产学研用各方已开展了积极探索，跨界合作不断深化，发展成果逐渐显现。基于技术成果转化的创新生态开始出现，以成立创新中心为主要途径，加快推进关键技术联合研究与产业化，如上海已率先建立工业互联网创新中心。另一方面，基于平台化产品的产业生态初步形成，以航天科工INDICS平台、海尔COSMOPlat平台、树根互联根云平台为代表的工业互联网平台，促进了工业全要素资源的聚集、共享、协同，不断加速智能化生产、个性化定制、网络化协同、服务化延伸等新应用和新模式的探索。同时，联盟等行业组织成为推动产业协作的重要力量。但由于工业互联网整体生态体系仍处于发展初期，尤其工业互联网平台的建设是个开放的命题，垂直行业的工业企业生产环节不尽相同，能做出标准化和复制性的行业应用产品难度很大。产、学、研在跨界融合协作的深度和广度需要更深入的相互合作，整合网络、平台、安全三方面的各领域的资源，加快建设生态体系，合作共赢，助力工业互联网发展。

工业互联网新型产业生态以企业为主体，包含了供给侧和需求侧相关企业，如信息通信技术企业、工业解决方案企业和工业应用企业等。信息通信技术企业作为工业互联网使能方推动生态供给侧，提供数字化、网络化、智能化所必需的底层技术与产品，根据我省工业企业厂内外网络的新建和改造的需求，并针对工厂内外不同的生产应用场景，利用各硬件供应商的有线、无线、移动技术支撑优势，提供工厂内外人、物、机器等环节的组网方案，通过数据采集和边缘计算等技术，实现生产、采购、销售各环节的互联互通。例如三大电信运营商、华为、中兴、阿里巴巴、腾讯、联想、浪潮、紫光、用友等。同时，在发展过程中也催生了一些初创性企业，如昆仑数据、天泽智能、寄云科技等。工业解决方案企业作为传统工业能力提升使能方，提供自动化工控产品、工业软件、智能装备、系统集成解决方案等产品和服务，例如浙大中控、和利时、华中数控、科远、沈阳机床、东方国信、博华、索为等。

平台是工业互联网的核心，类似于工业中的操作系统，平台企业未来将作为工业需求侧与供给侧的关键节点，可支撑形成工业领域的开放协同生态。一方面对接工业需求侧与应用方，收集需求并为特定行业和场景提供多类解决方案与工业App;另一方面汇聚大量开发者，沉淀工业模型、知识库等资源，推动应用创新。平台企业可来源于信息通信技术企业、工业解决方案企业和工业应用企业等各类企业。当前，各行业、各领域的龙头企业和先行企业从不同维度切入，催生出多元化、多样化的工业互联网平台。

工业应用企业是工业互联网需求方与应用侧，以制造企业为代表，提供了广泛的应用场景和需求，是工业互联网产业发展的牵引力，如航天科工、海尔、三一重工、徐工集团、富士康、华能、中石油、中石化、宝武钢、一汽等企业。同时，这类企业在向工业互联网转型的过程中，也形成了较强的新型解决方案能力。

在工业互联网生态中，学界高校、研究机构和金融机构也成为重要组成部分。高校和科研机构引领产业生态中的创新链，通过科研创新和测试实验，提供工业互联网发展所需的智力支持和人才资源，如哈工大、哈工程、省科学院自动化研究所等。金融机构为工业互联网提供资金等支持和保障，通过灵活的投融资方式引领市场方向，为大企业创新发展、中小企业应用普及提供了资金保障，如五大国有银行和地方商业银行等。

图源：网络，侵删

来源：然之售前学堂

声明：本文系转载，旨在分享，版权归原作者所有，内容为原作者个人观点，并不代表本公众号赞同其观点和对其真实性负责。如涉及作品版权问题，请与我们联系，我们将在第一时间删除内容！