在今年早些时候的一篇关于这个主题的博客中，我们已经揭开了SAP在数字制造业中如何处理安全问题的帷幕。随着今年6月SAPPHIRE发布的数字制造云应用程序，我们现在可以完成这个故事，并进一步详细地解决它。

更多关于一般背景和蓝宝石发布的更多信息，请参阅Hans Thalbauer的《启用一个智能数字供应链来改变您的业务演示文稿》，此短视频或SAP网站上的制造部分。

威胁建模

在过去几年中，我们在工业领域看到了大量针对IT基础设施和云服务的攻击事件。从StuxNet的"归零地带"到2017年的WannaCry、Petya和NotWannaCry勒索软件攻击，很明显威胁正在增加。同时，物联网和工业4.0连接的东西比以往任何时候都要多，而且有一种通过预测算法来提高自动化和优化的驱动力，这承诺了巨大的商业利益，但进一步增加了威胁景观。

通过威胁建模，我们可以清楚地了解景观中的危险隐藏在哪里，以及我们需要保护的东西。为此，我们着眼于整个解决方案，并特别关注：

用户和授权包含关键或敏感数据的资产数据流和通信

为了使事情易于管理，我将为本文的其余部分做一些合理的假设：

所有SAP产品（应用程序和平台）都内置了用户、角色和授权概念。我们将假设在系统配置中应用了最佳实践，常规用户、管理员和技术用户帐户都使用了强密码，并且根据最小特权原则分配了适当的角色和授权包含我们资产的系统（即本地和云中的数据库和可能的文件系统）具有适当的访问权限设置、身份验证和授权、磁盘加密设置、文件系统权限设置以及使用的强密码或基于证书的身份验证。环境中的主机在技术上得到了合理的保护—使用了操作系统保护、安装了防火墙、没有默认密码或未记录的管理界面、网络安全、入侵预防和检测系统以及部署的监控等—以及物理上安全的数据中心、对设施的认证访问、保护防止篡改、对设备的受控访问、安全防护等–防止未经授权的访问

我相信这些假设是合理的，因为它们符合常见的最佳实践，记录在各种产品和服务管理、配置和安全指南中，并遵循中的IT和安全策略中的常见实践大型企业。当然，这并不是说它们总是适用的。但这种保护措施的出台也就不足为奇了。我们不能建立在一个不安全的基础之上。这留给本文特别是数据流和通信，这也是大多数问题出现的地方，我们通常看到的最关心的地方。因此，我们将回到数字制造领域，更新图表，反映最近的变化和增加。

与前一篇文章中的图表一样完整，我们现在可以在云层中显示更多细节，并进一步分析该领域中的各种数据流。

功能概述

我们之前我们已经讨论过云部分下面的组件，如果它们的功能不清楚，请回到这里，但在深入研究数据移动之前，让我们先简单地浏览一下云中的新增组件。

主要模块是数字制造云，北京大数据公司有哪些，新发布的云制造套件，包括DME，分布式制造、DMI和预测质量管理，以及与Ariba业务网络的集成。这得到了其他应用程序的支持，这些应用程序不是严格意义上的数字制造套件的一部分，也可以独立订阅，2018世界人工智能大会，但进一步丰富了产品，如资产智能网络（AIN）和预测性维护（PdMS）。

最右边是数据接收和存储层。我们将看到的物联网服务主要用于与云的直接传感器/机器通信。数据管道用于数据流和云到云集成。DM cloud本身使用VORA和对象存储来存储数据，但是这三个都可以用于传感器和机器数据摄取，移动物联网，这对于用例来说是有意义的，包括使用应用程序支持开发的进一步定制应用程序。重要的是，数据一旦进入存储区域，就可以供环境的其他部分使用，无论是预构建的应用程序还是客户或合作伙伴开发的应用程序。

数据流

正如我们之前看到的，环境仍然被网络严格隔离。事实上，将机器数据从车间传递到MII的传统方法仍然是解决方案的基础。

PlantConnectivity通过OPC-UA连接到OT网络中的机器，云翌通信，从其订阅的标签中检索数据，并将其传递到MII。这个数据流已经在运行内部生产套件的SAP客户中实现了。

但是，我们还可以做的是，通过云连接器和云平台集成（CPI）将这些数据推送到云环境中。这主要是与生产线上当前生产的业务数据上下文相关联的机器数据的实时流，以及相关的主数据。我们在上一篇文章中也看到了这一点。例如，这种流量的一个很好的原因是DMI或DME的使用。