网络,以一组通用或专用协议相连,形成逻辑上单一且能互联的数据交互通道,在这个网络中有交换机、路由器等网络设备、各种不同的连接链路、种类繁多的服务器和数不尽的计算机和终端。只要处于这个网络之中,信息就能瞬间发送到指定的计算机、终端或设备。网络是资源能力要素的第二个能力子域。
在企业网络中,除了用于日常运营管理的办公网,还有用于生产的工业控制网络和生产网络,能力成熟度模型要求主要围绕这三个方面进行描述,如表1所示。
表1 网络能力成熟度要求
前面在解读信息安全能力子域时,已有部分内容涉及网络边界防护问题,主要是主机安全延伸出来的网络防护需求,在这里会进一步将网络能力进行细化,不仅反向延伸讨论安全,还会探讨企业网络的构建和配置方式。
表2是根据网络能力子域成熟度描述,结合企业实际的网络应用需求梳理的网络子域关键活动特征,通过对照这个特征,我们能整体评估企业网络应用水平。
表2 网络子域关键活动特征
对于一级,要求企业建立办公网。经过多年的信息化发展,目前绝大部分企业基本都有建立了办公网络,像ERP、OA、CRM等需要的都已经部署了。企业办公网络是内网,与互联网相连,对可靠性网络安全需求不高,网络构建也不复杂,通过网络设备进行单机配置就可满足基本要求。比如通过访问控制列表进行配置转发过滤包,以及通过防火墙就能实现基本的网络安全要求。
对于二级,除了要求企业建立办公网络,还需要实现工业控制网络、生产网络的全覆盖。由于三种网络在技术体系和性能要求等方面存在较大差异,要实现安全互访,需要对办公网络与工业控制网络、生产网络之间进行边界隔离。在智能制造能力成熟度诊断评估中需要梳理清楚企业是如何实现网络之间隔离的,是通过访问控制列表,还是采用VLAN技术或者是其他的技术手段。通过分析隔离技术的安全性能力给出不同的标准打分。
对于三级,对网络要求进一步提升。一是要求企业建立工业控制网络、生产网络和办公网络的防护措施,包括不限于网络安全隔离、授权访问等手段;二是网络应具有远程配置功能,应具备带宽、规模、关键节点的扩展和升级功能;三是网络应能够保障关键业务数据传输的完整性。要求明确各网络区域,并进行精细的网络边界划分,借助于安全防护设备、软件等防护手段,保障网络之间的数据传输安全。
通常说,大型制造企业工厂和分子机构较多,为便于集团统一管控,网络通常采用三层架构——接入层、汇聚层和核心层。核心层用于网络的高速交换主干;汇聚层着重于提供基于策略的连接,位于接入层和核心层之间;接入层则负责将包括电脑、AP等在内的工作站接入到网络,这样的设计能够将复杂的网络进行简化管理。
上图是比较典型的三层网络架构。企业各部门之间有非常清晰的网络边界划分,接入层为用户提供了在本地网段访问应用系统的能力,解决相邻用户之间的互访需求。汇聚层用来连接核心层和接入层,处于中间位置,它的上行是核心交换机,下行是接入层交换,具有实施策略、安全、工作组接入、源地址或目的地址过滤等多种功能,它是实现策略的地方。在内网和外网以及生产、办公和工业控制网之间,通过防火墙、网闸、IPS以及DMZ做边界防护和隔离。在接入层到汇聚层以及汇聚层到核心层,保障网络冗余与防篡改。管理中心接入核心层交换机,实现对网络设备的远程配置、设备监控与管理。
三级要求企业不仅要有全面的网络覆盖、较为清晰的网络层次结构和边界划分,且网络之间的隔离、访问和防护手段比较全面,具备远程配置和管理功能,能保证网络数据传输的完整性。
对于四级和五级,模型要求企业建立分布式工业控制网络,基于SDN的敏捷网络,实现网络资源优化配置。随着智能制造的深入,企业实施部署工业互联网和边缘计算等平台,越来越多的工业系统和设备,以及各种智能化终端设备大量接入,使企业建立分布式工业控制网络也变得日趋急迫。海量的传感器、设备、系统和终端的接入,必然加大企业对SDN、IPv6、5G等新一代网络技术标准架构的应用需求。
IPv6、5G好理解,SDN是什么?SDN即软件定义网络,是通过控制与转发分离,将网络中交换设备的控制逻辑集中到一个计算设备上,以提升网络管理配置能力。
SDN整体架构由下到上(由南到北)分为数据平面、控制平面和应用平面,其中,数据平面由交换机等网络通用硬件组成,各个网络设备之间通过不同规则形成SDN数据通路连接;控制平面包含逻辑上为中心的SDN控制器,它掌握着全局网络信息,负责各种转发规则的控制;应用平面包含各种基于SDN的网络应用,用户无需关心底层细节就可以编程、部署新应用。
企业建立面向智能制造体系的网络,面对的最大挑战是解决大量分布式边缘计算系统与工业云协同计算问题,在这样的场景中,网络节点犹如人体毛细血管,多而分散,传统网络根本无法应对这种情况,特别是无法应对网络拥堵问题。基于SDN的敏捷网络,将网络资源和功能抽象出来,实现网络即服务,根据网络流量负载自动优化调整和分配资源,从而实现网络资源优化配置,能很大程度解决大量分布式终端和系统接入对网络的需求。
目前,我们已完成人员、技术和资源三个能力要素的子域解读,在为企业做智能制造能力成熟度诊断评估时,人员、技术和资源都是必须评估的能力项。后面我们将剖析标准模型的最后一个能力要素——制造,作为标准体系的核心,制造能力要素包括设计、生产、物流、销售和服务五个能力域。其中设计包括产品设计、工艺设计两个能力子域;生产包括采购、计划与调度、生产作业、设备管理、安全环保、仓储配送、能源管理7个能力子域。生产是智能制造能力成熟评估诊断的必选项,会作为重点解读部分;销售包括销售能力子域;服务包括客户服务、产品服务两个能力子域。
(转载)
