如何将生产系统安全连接到AI引擎?
- 2024/11/4 18:55:41 17182
- 来源:控制工程网
【仪表网 行业科普】工业人工智能(AI)的未来似乎一片光明。许多初步研究和试点项目表明,通过将生产系统连接到 AI 引擎,可以显著提高效率并节省成本。但现实是,必须面对一个严峻的挑战。
我们如何确保这些生产系统及其数据的绝对安全?毕竟,大多数 AI 工具都是基于云的。我们需要的是从工厂到在云端运行的 AI 系统的安全和实时连接。
确保工业数据安全的推荐方法是完全的网络分段。运营技术(OT)系统应与互联万和云系统完全隔离。最好使用非军事区(DMZ)来完成此操作,将生产网络保持在封闭的防火墙后面。世界各地的政府和行业领导者都同意这种基本的工业网络安全实践,NIS2 指令和 NIST CSF 2.0 也要求这样做。
对工业通信的挑战
通过 DMZ 将数据从生产环境传输到基于云的 AI 系统需要两个步骤:工厂到 DMZ ;以及从DMZ 到云。但是,OPC-UA 和 MQTT 并非为此类途径而设计。尽管它们经常用于工业物联网和工业 4.0 系统,但它们是在 2000 年代初期构思的,远在人们考虑将工业数据迁移到云之前。
OPC UA 协议本身过于复杂,无法在跨多台服务器的菊花链模式中很好地复制。信息可能会在第一跳丢失。跨 DMZ 传输数据所需的同步多跳交互将非常脆弱,可能会导致高延迟。
另一方面,MQTT 可菊花链模式连接,但它需要单独配置链中的每个节点,并意识到它是链的一部分。MQTT 中的服务质量(QoS)保证无法通过链传播,这使得链末端的数据不可靠。因此,MQTT 最好仅用作最后一步,将数据从 DMZ 移动到云。
那么,将 OPC UA 和 MQTT 相结合会怎么样?将数据安全地从工厂传输到 DMZ 是一项挑战。在该步骤中使用 OPC UA 有一个严重的陷阱,因为它需要在生产网络上打开防火墙。DMZ 上的任何 OPC UA 客户端都需要通过防火墙连接到工厂中的 OPC UA 服务器。为这种连接打开工厂防火墙的风险太高,大多数安全管理员都不会允许这样做。
隧道/镜像技术
由于 OPC-UA 和 MQTT 单独或一起都不足以通过 DMZ 传递数据,因此需要另一种方法,即一种与两种协议完美集成的方法。具有统一命名空间的安全隧道/镜像软件提供了一种解决方案。它可以在两端建立连接,并沿着 DMZ 支持所需的菊花链模式连接传递数据。
图:处理来自OT网络的数据通过DMZ流向AI云服务。图片来源:Skkynet
隧道或镜像连接通常使用两个软件组件。第一个组件在生产级别进行必要的连接,以将来自各种行业协议的数据收集到单个统一的命名空间中。然后,它将数据通过隧道传输到 DMZ 上运行的第二个组件。
第二个组件将数据转换为 MQTT,并将其从 DMZ 发送到云中的 AI 服务。隧道/镜像软件的镜像功能使原始数据源、DMZ 和 AI 系统之间的数据保持一致。
防火墙和数据二极管
如前所述,生产系统上的所有入站防火墙端口必须始终保持关闭状态。隧道/镜像系统必须能够建立从生产网络到 DMZ 的仅出站连接。
此外,一些高安全性的关键基础设施应用需要硬件数据二极管,以确保没有任何数据包可以从 DMZ 发送回工业网络。隧道/镜像系统需要为这些应用程序支持该级别的安全架构。
其他 AI 应用的实施可能需要双向数据流,以实现无需干预的监督控制或类似数据输入回生产系统。隧道/镜像技术应该足够灵活,以便在需要时支持这一点。
在任何情况下,都不应访问 AI 系统使用的数据以外的数据。工厂工程技术人员应能完全控制哪些数据可以使用。
总而言之,为了优化生产系统,当今许多公司都在转向工业 AI。他们面临的挑战是如何在不影响安全性的情况下访问所需的数据。这很困难,但并非不可能。您可以拥有零攻击面的 OT 网络,并且仍向基于云的 AI 系统提供数据。安全性由 DMZ 提供。使用精心设计的隧道/镜像软件可以通过 DMZ 访问生产数据。
全部评论