解讀 | 智能制造能力成熟度模型——網絡

　　網絡，以一組通用或專用協(xié)議相連，形成邏輯上單一且能互聯(lián)的數據交互通道，在這個網絡中有交換機、路由器等網絡設備、各種不同的連接鏈路、種類繁多的服務器和數不盡的計算機和終端。只要處于這個網絡之中，信息就能瞬間發(fā)送到指定的計算機、終端或設備。網絡是資源能力要素的第二個能力子域。

　　在企業(yè)網絡中，除了用于日常運營管理的辦公網，還有用于生產的工業(yè)控制網絡和生產網絡，能力成熟度模型要求主要圍繞這三個方面進行描述，如表1所示。

　　表1 網絡能力成熟度要求

　　前面在解讀信息安全能力子域時，已有部分內容涉及網絡邊界防護問題，主要是主機安全延伸出來的網絡防護需求，在這里會進一步將網絡能力進行細化，不僅反向延伸討論安全，還會探討企業(yè)網絡的構建和配置方式。

　　表2是根據網絡能力子域成熟度描述，結合企業(yè)實際的網絡應用需求梳理的網絡子域關鍵活動特征，通過對照這個特征，我們能整體評估企業(yè)網絡應用水平。

　　表2 網絡子域關鍵活動特征

　　對于一級，要求企業(yè)建立辦公網。經過多年的信息化發(fā)展，目前絕大部分企業(yè)基本都有建立了辦公網絡，像ERP、OA、CRM等需要的都已經部署了。企業(yè)辦公網絡是內網，與互聯(lián)網相連，對可靠性網絡安全需求不高，網絡構建也不復雜，通過網絡設備進行單機配置就可滿足基本要求。比如通過訪問控制列表進行配置轉發(fā)過濾包，以及通過防火墻就能實現基本的網絡安全要求。

　　對于二級，除了要求企業(yè)建立辦公網絡，還需要實現工業(yè)控制網絡、生產網絡的全覆蓋。由于三種網絡在技術體系和性能要求等方面存在較大差異，要實現安全互訪，需要對辦公網絡與工業(yè)控制網絡、生產網絡之間進行邊界隔離。在智能制造能力成熟度診斷評估中需要梳理清楚企業(yè)是如何實現網絡之間隔離的，是通過訪問控制列表，還是采用VLAN技術或者是其他的技術手段。通過分析隔離技術的安全性能力給出不同的標準打分。

　　對于三級，對網絡要求進一步提升。一是要求企業(yè)建立工業(yè)控制網絡、生產網絡和辦公網絡的防護措施，包括不限于網絡安全隔離、授權訪問等手段;二是網絡應具有遠程配置功能，應具備帶寬、規(guī)模、關鍵節(jié)點的擴展和升級功能;三是網絡應能夠保障關鍵業(yè)務數據傳輸的完整性。要求明確各網絡區(qū)域，并進行精細的網絡邊界劃分，借助于安全防護設備、軟件等防護手段，保障網絡之間的數據傳輸安全。

　　通常說，大型制造企業(yè)工廠和分子機構較多，為便于集團統(tǒng)一管控，網絡通常采用三層架構——接入層、匯聚層和核心層。核心層用于網絡的高速交換主干;匯聚層著重于提供基于策略的連接，位于接入層和核心層之間;接入層則負責將包括電腦、AP等在內的工作站接入到網絡，這樣的設計能夠將復雜的網絡進行簡化管理。

　　上圖是比較典型的三層網絡架構。企業(yè)各部門之間有非常清晰的網絡邊界劃分，接入層為用戶提供了在本地網段訪問應用系統(tǒng)的能力，解決相鄰用戶之間的互訪需求。匯聚層用來連接核心層和接入層，處于中間位置，它的上行是核心交換機，下行是接入層交換，具有實施策略、安全、工作組接入、源地址或目的地址過濾等多種功能，它是實現策略的地方。在內網和外網以及生產、辦公和工業(yè)控制網之間，通過防火墻、網閘、IPS以及DMZ做邊界防護和隔離。在接入層到匯聚層以及匯聚層到核心層，保障網絡冗余與防篡改。管理中心接入核心層交換機，實現對網絡設備的遠程配置、設備監(jiān)控與管理。

　　三級要求企業(yè)不僅要有全面的網絡覆蓋、較為清晰的網絡層次結構和邊界劃分，且網絡之間的隔離、訪問和防護手段比較全面，具備遠程配置和管理功能，能保證網絡數據傳輸的完整性。

　　對于四級和五級，模型要求企業(yè)建立分布式工業(yè)控制網絡，基于SDN的敏捷網絡，實現網絡資源優(yōu)化配置。隨著智能制造的深入，企業(yè)實施部署工業(yè)互聯(lián)網和邊緣計算等平臺，越來越多的工業(yè)系統(tǒng)和設備，以及各種智能化終端設備大量接入，使企業(yè)建立分布式工業(yè)控制網絡也變得日趨急迫。海量的傳感器、設備、系統(tǒng)和終端的接入，必然加大企業(yè)對SDN、IPv6、5G等新一代網絡技術標準架構的應用需求。

　　IPv6、5G好理解，SDN是什么?SDN即軟件定義網絡，是通過控制與轉發(fā)分離，將網絡中交換設備的控制邏輯集中到一個計算設備上，以提升網絡管理配置能力。

　　SDN整體架構由下到上(由南到北)分為數據平面、控制平面和應用平面，其中，數據平面由交換機等網絡通用硬件組成，各個網絡設備之間通過不同規(guī)則形成SDN數據通路連接;控制平面包含邏輯上為中心的SDN控制器，它掌握著全局網絡信息，負責各種轉發(fā)規(guī)則的控制;應用平面包含各種基于SDN的網絡應用，用戶無需關心底層細節(jié)就可以編程、部署新應用。

　　企業(yè)建立面向智能制造體系的網絡，面對的最大挑戰(zhàn)是解決大量分布式邊緣計算系統(tǒng)與工業(yè)云協(xié)同計算問題，在這樣的場景中，網絡節(jié)點猶如人體毛細血管，多而分散，傳統(tǒng)網絡根本無法應對這種情況，特別是無法應對網絡擁堵問題?；赟DN的敏捷網絡，將網絡資源和功能抽象出來，實現網絡即服務，根據網絡流量負載自動優(yōu)化調整和分配資源，從而實現網絡資源優(yōu)化配置，能很大程度解決大量分布式終端和系統(tǒng)接入對網絡的需求。

　　目前，我們已完成人員、技術和資源三個能力要素的子域解讀，在為企業(yè)做智能制造能力成熟度診斷評估時，人員、技術和資源都是必須評估的能力項。后面我們將剖析標準模型的最后一個能力要素——制造，作為標準體系的核心，制造能力要素包括設計、生產、物流、銷售和服務五個能力域。其中設計包括產品設計、工藝設計兩個能力子域;生產包括采購、計劃與調度、生產作業(yè)、設備管理、安全環(huán)保、倉儲配送、能源管理7個能力子域。生產是智能制造能力成熟評估診斷的必選項，會作為重點解讀部分;銷售包括銷售能力子域;服務包括客戶服務、產品服務兩個能力子域。

（轉載）