机器端应用程序(In Machine,Industrial Edge forMachine Tools)Industrial Edge for Machine ToolsIndustrial Edge forMachine Tools 是一种远程控制的边缘设备,在庞大的物联网架构 (IoT)/运营技术架构 (OT)内,它不仅是现场网关,还是用于处理现场数据的计算节点。IndustrialEdge for Machine Tools由此可使信息和数据流垂直贯穿所有层级:• 机器端• 产线端和•云端它也负责临时或yongjiu保存过程数据。Industrial Edge for Machine Tools的主要任务在于,通过其安全架构避免现有网络安全和数据保护水平倒退或被削弱。Industrial Edge forMachineTools 的各项安全机制也需要组织措施的支持,才能达到该目标。Industrial Edge for Machine Tools的连接和敷设Industrial Edge for Machine Tools 有两个 RJ45物理网口,根据手册,这两个网络用于接入机器端和接入产线端。在部署端口时,要考虑以下条件:•它和机器端网络之间的通信可能极其缺乏保护。• 机器端网络不允许以不受控的连接方式接入上层网络:产线端和云端。IndustrialEdge for Machine Tools通过一个多层级的网络架构来隔离两个网络,只允许应用程序定义的数据流通过。利用容器技术,工作负载(边缘应用程序)可实现多层隔离,即隔离工作负载的网络、存储和CPU 资源。Industrial Edge for Machine Tools和云端之间、它和产线端之间的通信总是通过一条加密的端对端通道(即 TLS 1.3 协议)进行。Industrial Edgefor Machine Tools 和数据总线之间的通信也通过一条加密的端对端通道(即 TLS 1.3协议)安全进行。它还可以加入到基于公钥基础设施 PKI的信任链中。这些安全技术可以对允许的通信对象进行限制,还可以确保可信的数据传输。在一些有特殊安全要求的环境中,产线端的通信上还可以采取一种额外的“客户端证书”进行身份验证。边缘管理系统“EdgeManagement System”部署在云端 MindSphere 上,它和产线端Industrial Edge forMachine Tools 之间采用安全通信,需要交换证书,这一过程在“上线”(Onboarding)过程中完成。上线过程包含了公钥的交换,该密钥将逻辑设备 (MindSphereAsset) 和物理设备 (IndustrialEdge for Machine Tools)连在一起。由于该交换不是在同一个通信基础设施上进行的,在上线过程中就可以保证安全。上线的的第二个任务是将各种MindSphere物联网服务(Timeseries Store、FileStore、Fleetmanager …)集成或接入到正确的MindSphere 租户中。Industrial Edge for Machine Tools平台在该过程中会确保,在任何时间点上都没有数据流入非指定的租户或资产中。说明使用 Industrial Edge forMachine Tools 的前提是,成为 MindSphere 租户并具有有效的MindAccess 账户(mind. IoTvalue plan S)。Industrial Edge for Machine Tools仅通过“outgoing”连接通信。也就是说,Industrial Edgefor Machine Tools没必要暴露在产线端或云端。而是要尽可能地避免暴露在产线端或云端。但无论何种配置,必须要始终确保能够从 Industrial Edgefor Machine Tools 短暂地访问MindSphere终端。短暂访问涉及到上线、固件升级、以及边缘应用程序的安装和卸载。Industrial Edge for Machine Tools不仅可以确保应用程序通过受控的渠道向云端发送数据,还可以使应用程序提供用户界面和/或接口(API),以便在产线端实现一些新的工作流或补充现有的工作流。应用程序为此会提供自己的用户管理和访问管理功能。相关信息安全说明请查阅对应的文档。IndustrialEdge for Machine Tools 和 SINUMERIK之间只通过机器端网络进行通信,并且采用加密通信协议。但使用的协议不同,授权机制也各有不同。一些协议的保护机制相对较弱,产品特殊的安全措施8.2CNC Shopfloor Management Software工业信息安全配置手册, 01/2023,6FC5397-5EP40-6RA285此时遵守适当的密码策略就变得非常重要。还需要采取一些组织管理措施,禁止人员擅自保存密码或只有在紧急情况下才允许保存密码。IndustrialEdge for Machine Tools 无论是在固件层还是在应用层都采取了以下技术,防止数据被操纵,维持安全功能的防御效果:•安全启动“Measured / Secured-Boot”• 全盘加密“Full Disk Encryption”•无根访问“Rootless Access” 为了长期维持 Industrial Edge for Machine Tools的高安全水平,我们会持续更新并强化其固件。面对日益加剧的网络攻击威胁,持续更新固件是一项非常必要的措施。为此,作为长期信息安全方案的组成部分,我们的Industrial Edge for Machine Tools 固件更新机制可以融合到对应的 IT 管理过程中。 说明Industrial Edge for Machine Tools 版本 3.4.0 及以上提供 MQTT,包含身份验证功能。基于IP 的滤波(不推荐)用户如防火墙中有基于 IP 的滤波,则可以使用以下静态 IP,将其添加至允许清单中,用于数据上传和传输:•75.2.111.226• 99.83.250.213提供 Industrial Edge for Machine Tools的固件和应用需要终端可以使用“AmazonIpSpaceChanged”主题订阅,在 IP地址范围变化时得到通知,从而自动更新防火墙规则集:AmazonIpSpaceChangedAnalyze MyWorkpiece/Monitor简介Analyze MyWorkpiece /Monitor 是一个“Industrial Edge forMachine Tools”应用,用于对加工程序进行质量监控和评估。为此,在加工时将存储多个测量值。用户和权限要访问 AnalyzeMyWorkpiece /Monitor 应用程序,必须将 Industrial Edge for MachineTools上的本地用户分配给下列用户组。为此,系统管理员为 Industrial Edge for MachineTools设备创建一个用户组。创建分配至该用户组的一个或多个用户。更改密码请定期更改密码。1. 在右上角标题栏中打开下拉列表。2.点击“修改密码”。(您将转入管理环境“miniweb”)3. 更改密码。关于更改密码的信息请参阅 Industrial Edge的使用者文档。管理 MQTT 服务Analyze MyWorkpiece /Monitor 在用户设置中提供配置 MQTT连接的选项。可以将通知(MQTT 通知)发送到 MQTT 代理,以通知 MQTT客户端,监控任务已完成,报告已出,可供下载。对于每个已完成的监控任务,Analyze MyWorkpiece /Monitor会向配置的 MQTT 代理发送一条 MQTT通知,其中包含所创建报告的下载链接、相应的监控结果以及有关已完成监控任务的附加信息。MQTT 接口可以用作 REST API的替代方案,也可以与 REST API 结合使用,以获取监控结果,避免不必要的 REST 请求。有关 MQTT协议的更多一般信息,参见:MQTT 主页 (https://mqtt.org)。产品特殊的安全措施8.2 CNC ShopfloorManagement Software工业信息安全配置手册, 01/2023, 6FC5397-5EP40-6RA2878.2.4.3 Analyze MyMachine /Condition简介Analyze MyMachine/Condition 是一款用于分析和跟踪机床状态的应用。为此使用了专门的机电一体化测试和数据分析方法。此混合应用由Industrial Edge for Machine Tools 和一款MindSphere应用程序组成。用户和权限系统管理员负责定义用户组和用户。并随后将各用户分配至相应的用户组。Industrial Edge forMachine Tools 应用程序可以使用以下用户组:用户组 权限OEMMachineCommissioningEngineer•显示测量和测量组• 创建测量和测量组• 编辑测量和测量组• 删除测量和测量组OEMServiceEngineer •显示测量和测量组此角色不具备测量编辑权限。Mindsphere 应用可以使用下列用户组:• 标准用户:ammcondition•管理员:ammcondition您可以在 MindSphere 应用的“MindSphere设置”中编辑用户和角色。详细信息参见:MindSphere 文档SINUMERIK 控制系统的访问等级通过 SINUMERIK控制系统的访问等级进行授权。通过输入密码或调整钥匙开关位置,可以更改访问等级。访问等级 权限0 访问等级:西门子1访问等级:机床制造商2 访问等级:服务3 访问等级:用户产品特殊的安全措施8.2 CNC Shopfloor ManagementSoftware工业信息安全88 配置手册, 01/2023, 6FC5397-5EP40-6RA2访问等级 权限4访问等级:钥匙开关位置 3,编程人员、装配人员5 访问等级:钥匙开关位置 2,具有相关资质的操作员6 访问等级:钥匙开关位置1,接受过培训的操作员7 访问等级:钥匙开关位置 0,实习操作员SINUMERIK 用户界面的访问等级权限0、1、2调试工程师访问权限• 选择及执行未进行基准化的测量• 选择已进行基准化的测量4、5、6、7 机床操作员访问权限•选择已进行基准化的测量提示:如果在控制系统中启用一个未进行基准化的测量系列,则机床操作员可能看不见此测量系列。
REST API 身份验证Analyze MyMachine /ConditionREST-API 托管在 Industrial Edge for MachineTools“miniweb”管理环境上。支持下列身份验证:• 基本身份验证• 客户端证书验证支持下列用户组:•OEMMachineInbetriebnahmeEngineer• OEMServiceEngineerProtectMyMachine /3D Twin概述Protect MyMachine /3D Twin 通过 3D仿真功能展示加工过程和机床运动过程,并提前计算过程中可能发生的碰撞并在识别到时停止加工。例如,您可以模拟并监控在自动模式、MDI模式或者在JOG 模式中手动横移或更换工具时执行 NC 程序。干涉避免功能基于实际机床的机床模型该模型描述了机床的保护范围,由机床制造商提供。在PMM /3D Twin中,您作为操作人员定义可变保护范围,例如带刀架的刀具、库存和装夹形式。这些存储在库中。“干涉避免”功能会定期计算碰撞对保护范围之间的间距。如果两个保护区相互靠近并达到定义的安全距离,警示灯亮起,并在相应横移块和/或横移运动停止被停止前,程序停止。安全免责声明导出的文件的传输必须通过加密/签名的电子邮件、加密/签名的U盘等技术手段进行保护,尤其是在公共场合和互联网上。导出的数据文件必须存储在原始设备制造商Zui终用户区域,并通过用户管理限制访问(例如限制访问SharePoint、数据库等),例如通过登录信息(另请参见安全说明操作手册操作SINUMERIK Industrial Edgefor Machine Tools Protect MyMachine /3D TwinSINUMERIK 和 Edge Box之间的安全通信由客户负责。保持安全连接的方法包括:• SINUMERIK 和 Edge Box之间采用点对点连接。使用较短的通信线路,设备放置在与SINUMERIK 相同的机柜中。• 保护 SINUMERIK系统的逻辑和物理访问点。数据备份您可以通过将“*.zip”归档导出或导入 3D仿真中来进行数据备份或在机床项目之间传输数据。在选项卡“设置”中导出/导入归档。归档包含下列数据:•所有库的组成部分(例如库存、刀具组件)• 刀具数据(带定义保护范围的刀具)• 机床模型•设置(刀柄直径、语言)产品特殊的安全措施8.2 CNC Shopfloor Management Software工业信息安全90配置手册, 01/2023, 6FC5397-5EP40-6RA2说明只有当 3D仿真不处于激活状态时,才可以导入或导出归档。数据存储、导入和导出3D 仿真使用一个位于 Samba Share的存储文件夹。例如,此文件夹用于保存导出的数据或者查找要导入的数据(例如库)。数据必须通过该文件夹传输。该文件夹作为外部驱动器集成到SINUMERIK Operate 中。下文中凡是涉及“保存文件夹”的说明,指的就是该路径。关于“SambaShare”的更多信息,请参见 软件安装手册 SINUMERIK Industrial Edge for Machine ToolsProtect MyMachine /3DTwinSIMOTIONSIMOTION 安全措施本章将为您概括介绍在 SIMOTION运动控制版上提供的一些信息安全功能,这些功能可以针对安全威胁保护您的系统。安全功能•在控制系统上通常只有编译后的代码,既无法上传也无法进行二次开发。• 没有对应的工程项目,就无法对配置进行修改。•通过密码和加密技术保护源程序的专有技术。• 对控制系统的配置提供应用层的防拷贝功能。• 工程设计系统 SIMOTION SCOUT可以检测到对源代码的操纵。• 允许关闭不使用的功能(网络服务器、OPC UA 服务器、端口等)。• 使用“SIMATICLogon”软件,为项目设置对应的访问权限。• 为基于 SIMOTION PC 的控制系统(SIMOTIONP)提供杀毒软件和安全更新一条产线通常被分为几个网络分段。这些网络分段的上游会连接一些具有必要安全功能的组件。在下面的示意图中,这些安全组件带有小锁图标。