1、工業互聯網安全框架目錄 HYPERLINK l _bookmark0 一、工業互聯網安全概述1 HYPERLINK l _bookmark1 （一）工業互聯網概念內涵1 HYPERLINK l _bookmark2 （二）工業互聯網安全框架內容與范圍1 HYPERLINK l _bookmark3 二、相關網絡安全框架分析2 HYPERLINK l _bookmark4 （一）傳統網絡安全框架2 HYPERLINK l _bookmark5 （二）工業互聯網安全框架5 HYPERLINK l _bookmark6 （三）相關框架共性分析及經驗借鑒7 HYPERLINK l _bookmark7

2、 三、工業互聯網安全框架設計8 HYPERLINK l _bookmark8 （一）設計思路8 HYPERLINK l _bookmark9 （二）安全框架9 HYPERLINK l _bookmark10 （三）防護對象視角11 HYPERLINK l _bookmark11 （四）防護措施視角11 HYPERLINK l _bookmark12 （五）防護管理視角12 HYPERLINK l _bookmark13 四、工業互聯網安全防護措施實施14 HYPERLINK l _bookmark14 （一）設備安全14 HYPERLINK l _bookmark15 （二）控制安全15 HY

3、PERLINK l _bookmark16 （三）網絡安全18 HYPERLINK l _bookmark17 （四）應用安全20 HYPERLINK l _bookmark18 （五）數據安全22 HYPERLINK l _bookmark19 （六）監測感知25 HYPERLINK l _bookmark20 （七）處置恢復25 HYPERLINK l _bookmark21 五、工業互聯網安全發展趨勢與展望28 PAGE 30 PAGE 29 一、工業互聯網安全概述（一）工業互聯網概念內涵工業互聯網是滿足工業智能化發展需求，具有低時延、高可靠、廣覆蓋特點的關鍵網絡基礎設施，是新一代信息通

4、信技術與先進制造業深度融合所形成的新興業態與應用模式。工業互聯網深刻變革傳統工業的創新、生產、管理、服務方式，催生新技術、新模式、新業態、新產業，正成為繁榮數字經濟的新基石、創新網絡國際治理的新途徑和統籌兩個強國建設的新引擎。工業互聯網包括網絡、平臺、安全三大體系。其中，網絡體系是基礎。工業互聯網將連接對象延伸到工業全系統、全產業鏈、全價值鏈，可實現人、物品、機器、車間、企業等全要素，以及設計、研發、生產、管理、服務等各環節的泛在深度互聯。平臺體系是核心。工業互聯網平臺作為工業智能化發展的核心載體， 實現海量異構數據匯聚與建模分析、工業制造能力標準化與服務化、工業經驗知識軟件化與模塊化、以及各

5、類創新應用開發與運行，支撐生產智能決策、業務模式創新、資源優化配置和產業生態培育。安全體系是保障。建設滿足工業需求的安全技術體系和管理體系，增強設備、網絡、控制、應用和數據的安全保障能力，識別和抵御安全威脅，化解各種安全風險，構建工業智能化發展的安全可信環境。（二）工業互聯網安全框架內容與范圍工業領域的安全一般分為三類，信息安全（Security）、功能安全（Functional Safety）和物理安全（Physical Safety）。傳統工業控制系統安全最初多關注功能安全與物理安全，即防止工業安全相關系統或設備的功能失效，當失效或故障發生時，保證工業設備或系統仍能保持安全條件或進入到安全

6、狀態。近年來，隨著工業控制系統信息化程度的不斷加深，針對工業控制系統的信息安全問題不斷凸顯，業界對信息安全的重視程度逐步提高。與傳統的工控系統安全和互聯網安全相比，工業互聯網的安全挑戰更為艱巨： 一方面，工業互聯網安全打破了以往相對明晰的責任邊界，其范圍、復雜度、風 險度產生的影響要大得多，其中工業互聯網平臺安全、數據安全、聯網智能設備 安全等問題越發突出；另一方面，工業互聯網安全工作需要從制度建設、國家能 力、產業支持等更全局的視野來統籌安排，目前很多企業還沒有意識到安全部署的必要性與緊迫性，安全管理與風險防范控制工作亟需加強。因此，工業互聯網安全框架需要統籌考慮信息安全、功能安全與物理安全

7、， 聚焦信息安全，主要解決工業互聯網面臨的網絡攻擊等新型風險，并考慮其信息安全防護措施的部署可能對功能安全和物理安全帶來的影響。由于物理安全相關防護措施較為通用，故在本框架中不作重要考慮，主要對工業互聯網的信息安全與功能安全進行討論。二、相關網絡安全框架分析（一）傳統網絡安全框架1、OSI 安全體系結構OSI 安全體系結構是國際標準化組織（ISO）在對 OSI 開放系統互聯環境的安全性深入研究的基礎上提出的。它定義了為保證 OSI 參考模型的安全應具備 5 類安全服務，包括鑒別服務、訪問控制、數據完整性、數據保密性和不可抵賴性， 以及為實現這 5 類安全服務所應具備的 8 種安全機制，包括加密

8、、數字簽名、訪問控制、數據完整性、鑒別交換、業務流填充、路由控制以及公證。OSI 安全體系結構如圖 1 所示，安全體系結構中的 5 類安全服務及 8 種安全機制可根據所防護網絡的具體要求適當地配置于 OSI 參考模型的 7 個層次中。圖 1OSI 安全體系結構OSI 安全體系結構針對 OSI 參考模型中層次的不同，部署不同的安全服務與安全機制，體現出分層防護的思想，具有很好的靈活性。然而，OSI 安全體系結構專注于網絡通信系統，其應用范圍具有一定的局限性。同時，OSI 安全體系結構實現的是對網絡的靜態安全防護，而網絡的安全防護具有動態性，該體系結構對于持續變化的內外部安全威脅缺乏足夠的監測與應

9、對能力。此外，OSI 安全體系結構主要從技術層面出發對網絡的安全防護問題進行討論，未考慮管理在安全防護中的地位和作用。面對更復雜更全面的安全保障要求，僅依靠 OSI 安全體系結構是遠遠不夠的。2、P2DR 模型P2DR（Policy Protection Detection Response）模型是美國 ISS 公司提出的動態網絡安全體系模型。P2DR 模型建立在基于時間的安全理論基礎之上，將網絡安全的實施分為防護、檢測和響應三個階段。在整體安全策略的指導下部署安全防護措施，實時檢測網絡中出現的風險，對風險及時進行處置，并對處置過程中的經驗進行總結以便對防護措施進行調整和完善。這使得防護、檢測

10、和響應組成了如圖 2 所示的動態安全循環，從而保證網絡的安全。圖 2P2DR 模型P2DR 模型是一種基于閉環控制的動態安全模型，適用于需要長期持續安全防護的網絡系統。從總體上來講，該模型與 OSI 安全體系結構一樣，都局限于從技術上考慮網絡的安全問題，忽視了管理對于安全防護的重要性，在模型的具體實施過程中極有可能因安全策略執行的不當影響安全防護效果。3、信息保障技術框架縱深防御策略KMI/PKI監測&響應計算環境網絡邊界支撐性基礎設施網絡&基礎設施縱深防御區域劃分操作技術人安全三要素安全保障IATF（Information Assurance Technical Framework，信息保障

11、技術框架）是美國國家安全局于 1998 年提出的，該框架提出保障信息系統安全應具備的三個核心要素，即人、技術和操作。其中，人這一要素包括保障人身安全、對人員進行培訓、制定安全管理制度等，強調了人作為防護措施的具體實施者在安全防護中的重要地位。技術這一要素強調要在正確的安全策略指導下采取措施來為信息系統提供安全保障服務并對入侵行為進行檢測。操作這一要素則明確了要保證信息系統的日常安全應采取的具體防護手段。此外，該框架將網絡系統的安全防護分為網絡和基礎設施防御、網絡邊界防御、局域計算環境防御和支撐性基礎設施防御四部分。在每個部分中 IATF 都描述了其特有的安全需求和相應的可供選擇的技術措施，為更

12、好地理解網絡安全的不同方面、分析網絡系統的安全需求以及選取恰當的安全防御機制提供了依據。IATF 的具體內容如圖 3 所示。圖 3 信息保障技術框架IATF 通過對上述四個部分分別部署安全保障機制，形成對網絡系統的縱深防御，從而降低安全風險，保障網絡系統的安全性。但 IATF 與 OSI 安全體系結構一樣，實現的都是對網絡系統的靜態安全防護，并未對網絡系統部署動態持續的安全防護措施。4、IEC62443IEC62443 是國際電工委員會工業過程測量、控制與自動化/網絡與系統信息管理信息層現場設備層Internet防火墻離心泵路由器數據單向傳輸裝置交換機路由器交換機PLC2斷路器身份認證系統交換

13、機PLC3閘閥辦公終端遠程訪問公共歷史服務器服務器內部歷史服務器服務器1入侵檢測PLC1工程師站操作員站現場控制層安全工作組（IEC/TC65/WG10）與國際自動化協會（ISA99）共同制定的工業控制系統安全防護系列標準。該標準將工業控制系統按照控制和管理的等級劃分成相對封閉的區域，區域之間的數據通訊通過管道進行，通過在管道上安裝信息安全管理設備來實現分級保護，進而實現如圖 4 所示的控制系統的網絡安全縱深防御。圖 4 IEC62443 實施案例IEC62443 系列標準中對于安全技術與安全管理的實施均提出了要求，但從總體上來看，與 OSI 安全體系結構和 IATF 一樣，實現的都是靜態安全

14、防護。而工業互聯網的安全防護是一個動態過程，需要根據外部環境的變化不斷進行調整。在工業互聯網安全框架的設計中，需要將動態防護的理念納入其中。（二）工業互聯網安全框架1、美國工業互聯網安全框架2016 年 9 月 19 日，美國工業互聯網聯盟（IIC）正式發布工業互聯網安全框架（IISF）1.0 版本，擬通過該框架的發布為工業互聯網安全研究與實施提供理論指導。IISF 的實現主要從功能視角出發，定義了如圖 5 所示的六個功能，即端點保護、通信&連接保護、安全監測&分析、安全配置管理、數據保護以及安全模型&策略，并將這六個功能分為三個層次。其中頂層包括端點保護、通信&連接保護、安全監測&分析以及安

15、全配置管理四個功能，為工業互聯網中的終端設備及設備之間的通信提供保護，對用于這些設備與通信的安全防護機制進行配置，并監測工業互聯網運行過程中出現的安全風險。在四個功能之下是一個通用的數據保護層，對這四個功能中產生的數據提供保護。在最下層是覆蓋整個工業互聯網的安全模型與策略，它將上述五個功能緊密結合起來，實現端到端的安全防護。圖 5 美國工業互聯網安全實施框架總的來看，美國 IISF 聚焦于 IT 安全，側重于安全實施，明確了具體的安全措施，對于工業互聯網安全框架的設計具有很好的借鑒意義。2、德國工業 4.0 安全框架德國工業4.0 注重安全實施，由網絡安全組牽頭出版了工業4.0 安全指南、跨企

16、業安全通信、安全身份標識等一系列指導文件，幫助企業加強安全防護。德國雖然從多個角度對安全提出了要求，但是并未形成成熟的安全體系框架。但安全作為新的商業模式的推動者，在工業 4.0 參考架構（RAMI 4.0）中起到了承載和連接所有結構元素的骨架作用。德國 RAMI 4.0 從 CPS 功能視角、全生命周期價值鏈視角和全層級工業系統視角三個視角構建了如圖 6 所示的工業 4.0 參考架構。從 CPS 功能視角看，安全應用于所有不同層次，因此安全風險必須做整體考慮；從全生命周期價值鏈視角看，對象的所有者必須考慮全生命周期的安全性；從全層級工業系統視角看，需要對所有資產進行安全風險分析，并對資產所有

17、者提供實時保護措施。圖 6 工業 4.0 參考架構（RAMI 4.0）德國 RAMI 4.0 采用了分層的基本安全管理思路，側重于防護對象的管理。在工業互聯網安全框架的設計過程中可借鑒這一思路，并且從實施的角度將管理與技術相結合，更好地指導工業互聯網企業部署安全實施。（三）相關框架共性分析及經驗借鑒通過對以上相關網絡安全框架的分析，總結出以下三方面的共性特征，在工業互聯網安全框架的設計中值得思考并充分借鑒。1、分類別部署安全防護措施上述相關網絡安全框架中大多都體現出分類別部署安全防護措施的思想。例如在OSI 安全體系結構中根據網絡層次的不同部署相應的安全防護措施，IATF、 IEC62443

18、通過劃分不同的功能域來部署相應的安全防護措施，美國 IISF 與德國工業 4.0 框架中則根據資產類型的不同分別闡述其安全防護措施。工業互聯網安全框架在設計時可根據防護對象的不同部署針對性的安全防護措施，更好地發揮安全防護措施的防護效果。構建動態安全模型成為主流P2DR 模型、美國 IISF 及德國工業 4.0 框架中均強調對安全風險進行持續的監測與響應，充分說明相對安全觀已成為目前安全界的共識。為應對不斷變化的安全風險，工業互聯網安全框架的設計需將動態與持續性安全防護納入其中。技術手段與管理手段相結合IATF、IEC62443、美國 IISF 及德國工業 4.0 框架等在設計過程中均強調了技

19、術手段與管理手段相結合的重要性。設計工業互聯網安全框架時，需充分借鑒技管相結合的思路，雙重保障，從而更好地幫助工業互聯網安全企業提升安全防護能力。三、工業互聯網安全框架設計（一）設計思路本工業互聯網安全框架是在充分借鑒傳統網絡安全框架和國外工業互聯網安全相關框架的基礎上，結合我國工業互聯網的特點研究并提出的，旨在指導工業互聯網相關企業開展安全防護體系建設，提升安全防護能力。對于工業互聯網的安全防護，可以從以下三方面進行闡述：第一，明確安全防護對象是前提。安全防護對象的確定是一個根本問題，是明確工業互聯網安全防護工作范圍的基礎，并為防護工作的實施指明方向。在傳統網絡安全框架與工業互聯網安全相關框

20、架中，都對其防護對象做了明確界定。在工業互聯網產業聯盟 2016 年 8 月發布的工業互聯網體系架構（版本 1.0）中，工業互聯網安全體系部分也從防護對象角度提出了工業互聯網安全的五大重點方向，即設備安全、控制安全、網絡安全、應用安全和數據安全。故在本框架的設計中對這一說法加以沿用，將設備、控制、網絡、應用、數據作為工業互聯網安全防護的研究對象。第二，部署安全防護措施是關鍵。安全框架的實施落地離不開安全防護措施的部署。在諸多傳統網絡安全框架中都將安全防護措施作為框架的重要組成部分。OSI 安全框架中闡述的安全服務與安全機制即是針對不同的防護對象部署了相應的防護措施。在 P2DR 等安全模型中則

21、引入了動態安全的理念，除了部署靜態的安全防護措施外，還增加了監測響應、處置恢復等環節，形成了動態、閉環的 安全防護措施部署機制。在工業互聯網安全框架的設計過程中，需要結合工業互 聯網安全防護的特殊要求，采取靜態防護與動態防護措施相結合的方式，在安全 事件發生時能夠及時發現并加以處置。第三，落實安全防護管理是重要保障。在網絡安全防護領域有“三分技術、七分管理”的傳統。傳統網絡安全框架 IATF、IEC62443 等均強調了管理對于網絡安全防護的的重要性。國外工業互聯網安全相關框架也將管理與技術相結合，強調技術與管理并重。在工業互聯網安全框架的設計中，需要將技術與管理有效結合，構建科學完備的安全防

22、護管理流程，指導工業互聯網企業提升安全防護管理水平。綜上所述，工業互聯網安全框架的構建需要包含防護對象、防護措施以及防護管理三個方面，從三個不同的視角指導企業開展工業互聯網安全防護工作。（二） 安全框架工業互聯網安全框架從防護對象、防護措施及防護管理三個視角構建。針對不同的防護對象部署相應的安全防護措施，根據實時監測結果發現網絡中存在的或即將發生的安全問題并及時做出響應。同時加強防護管理，明確基于安全目標持續改進的管理方針，保障工業互聯網的持續安全。工業互聯網安全框架如圖 7 所示。圖 7 工業互聯網安全框架其中，防護對象視角涵蓋設備、控制、網絡、應用和數據五大安全重點；防護措施視角包括威脅防

23、護、監測感知和處置恢復三大環節，威脅防護環節針對五大防護對象部署主被動安全防護措施，監測感知和處置恢復環節通過信息共享、監測預警、應急響應等一系列安全措施、機制的部署增強動態安全防護能力；防護管理視角根據工業互聯網安全目標對其面臨的安全風險進行安全評估，并選擇適當的安全策略作為指導，實現防護措施的有效部署。工業互聯網安全框架的三個防護視角之間相對獨立，但彼此之間又相互關聯。從防護對象視角來看，安全框架中的每個防護對象，都需要采用一組合理的防護 措施并配備完備的防護管理流程對其進行安全防護；從防護措施視角來看，每一 類防護措施都有其適用的防護對象，并在具體防護管理流程指導下發揮作用；從 防護管理

24、視角來看，防護管理流程的實現離不開對防護對象的界定，并需要各類 防護措施的有機結合使其能夠順利運轉。工業互聯網安全框架的三個防護視角相 輔相成、互為補充，形成一個完整、動態、持續的防護體系。與美國工業互聯網聯盟提出的安全框架相比，工業互聯網安全框架對于安全防護的呈現視角雖有不同，但其設計思路與前者有共通之處，在防護內容上也具有一定的對應關系。圖 8 展示了工業互聯網安全框架與美國工業互聯網聯盟所提出的安全框架之間的映射關系。其中，防護對象視角中的五大防護對象對應了美國工業互聯網安全框架中端點保護、通信&連接保護以及數據保護中所界定的防護對象；防護措施視角中的三類安全技術手段與美國工業互聯網安全

25、框架中的端點保護、通信&連接保護、數據保護、安全監測&分析以及安全配置管理中提出的防護技術手段相對應；而防護管理視角中的內容則與美國工業互聯網安全框架中的安全模型&策略具有對應關系。由此可以看出，二者都是從指導企業開展工業互聯網安全實施工作出發，強調技管結合、動靜互補，持續提升工業互聯網安全防護能力。工業互聯網安全框架的提出，有助于深化聯盟與其他國際組織的合作與交流，對于我國企業與國際接軌、開拓海外市場也具有積極意義。設備控制應用網絡數據131.防護對象視角：應 用網數控 制絡據設 備處監 置威 測 恢脅 感 復防 知護22.防護措施視角：威脅防護監測感知處置恢復3.防護管理視角：安全目標、風

26、險評估、安全策略防護對象映射防護措施映射防護管理映射圖 8 工業互聯網安全框架與美國工業互聯網聯盟提出的安全框架的映射關系（三）防護對象視角防護對象視角主要包括設備、控制、網絡、應用、數據五大對象，如圖 9 所示。內容具體包括：1、設備安全：包括工廠內單點智能器件、成套智能終端等智能設備的安全， 以及智能產品的安全，具體涉及操作系統/應用軟件安全與硬件安全兩方面。2、控制安全：包括控制協議安全、控制軟件安全以及控制功能安全。3、網絡安全：包括承載工業智能生產和應用的工廠內部網絡、外部網絡及標識解析系統等的安全。4、應用安全：包括工業互聯網平臺安全與工業應用程序安全。5、數據安全：包括涉及采集、

27、傳輸、存儲、處理等各個環節的數據以及用戶信息的安全。（四）防護措施視角圖 9 防護對象視角為幫助相關企業應對工業互聯網所面臨的各種挑戰，防護措施視角從生命周期、防御遞進角度明確安全措施，實現動態、高效的防御和響應。防護措施視角主要包括威脅防護、監測感知和處置恢復三大環節，如圖 10 所示。圖 10 防護措施視角1、威脅防護：針對五大防護對象，部署主被動防護措施，阻止外部入侵， 構建安全運行環境，消減潛在安全風險。2、監測感知：部署相應的監測措施，實時感知內部、外部的安全風險。3、處置恢復：建立響應恢復機制，及時應對安全威脅，并及時優化防護措施，形成閉環防御。（五）防護管理視角防護管理視角的設立

28、，旨在指導企業構建持續改進的安全防護管理方針，在明確防護對象及其所需要達到的安全目標后，對于其可能面臨的安全風險進行評估，找出當前與安全目標之間存在的差距，制定相應的安全防護策略，提升安全防護能力，并在此過程中不斷對管理流程進行改進。防護措施視角的內容如圖 11 所示。圖 11防護措施視角1、安全目標為確保工業互聯網的正常運轉和安全可信，應對工業互聯網設定合理的安全目標，并根據相應的安全目標進行風險評估和安全策略的選擇實施。工業互聯網安全目標并非是單一的，需要結合工業互聯網不同的安全需求進行明確。工業互聯網安全包括保密性、完整性、可用性、可靠性、彈性和隱私六大目標，這些目標相互補充，共同構成了

29、保障工業互聯網安全的關鍵特性。保密性：確保信息在存儲、使用、傳輸過程中不會泄漏給非授權用戶或實體。完整性：確保信息在存儲、使用、傳輸過程中不會被非授權用戶篡改，同時還要防止授權用戶對系統及信息進行不恰當的篡改，保持信息內、外部表示的一致性。可用性：確保授權用戶或實體對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源。可靠性：確保工業互聯網系統在其壽命區間內以及在正常運行條件下能夠正確執行指定功能。彈性：確保工業互聯網系統在受到攻擊或破壞后恢復正常功能。隱私安全：確保工業互聯網系統內用戶的隱私安全。2、風險評估為管控風險，必須定期對工業互聯網系統的各安全要素進行風險評估。對應

30、工業互聯網整體安全目標，分析整個工業互聯網系統的資產、脆弱性和威脅，評估安全隱患導致安全事件的可能性及影響，結合資產價值，明確風險的處置措施， 包括預防、轉移、接受、補償、分散等，確保在工業互聯網數據私密性、數據傳輸安全性、設備接入安全性、平臺訪問控制安全性、平臺攻擊防范安全性等方面提供可信服務，并最終形成風險評估報告。3、安全策略工業互聯網安全防護的總體策略，是要構建一個能覆蓋安全業務全生命周期的，以安全事件為核心，實現對安全事件的“預警、檢測、響應”動態防御體系。能夠在攻擊發生前進行有效的預警和防護，在攻擊中進行有效的攻擊檢測，在攻擊后能快速定位故障，進行有效響應，避免實質損失的發生。安全

31、策略中描述了工業互聯網總體的安全考慮，并定義了保證工業互聯網日常正常運行的指導方針及安全模型。通過結合安全目標以及風險評估結果，明確當前工業互聯網各方面的安全策略，包括對設備、控制、網絡、應用、數據等防護對象應采取的防護措施，以及監測響應及處置恢復措施等。同時，為打造持續安全的工業互聯網，面對不斷出現的新的威脅，需不斷完善安全策略。四、工業互聯網安全防護措施實施工業互聯網安全框架在實施過程中的重點，就是針對防護對象采取行之有效的防護措施。為此，本章針對工業互聯網安全的五大防護對象面臨的安全威脅， 分別介紹其可采取的安全防護措施，并對監測感知與處置恢復兩類貫穿工業互聯網全系統的防護措施進行介紹，

32、為企業部署工業互聯網安全防護工作提供參考。（一）設備安全工業互聯網的發展使得現場設備由機械化向高度智能化轉變，并產生了嵌入式操作系統+微處理器+應用軟件的新模式，這就使得未來海量智能設備可能會直接暴露在網絡攻擊之下，面臨攻擊范圍擴大、擴散速度增加、漏洞影響擴大等威脅。工業互聯網設備安全指工廠內單點智能器件以及成套智能終端等智能設備的安全，具體應分別從操作系統/應用軟件安全與硬件安全兩方面出發部署安全防護措施，可采用的安全機制包括固件安全增強、惡意軟件防護、設備身份鑒別與訪問控制、漏洞修復等。1、操作系統/應用軟件安全固件安全增強工業互聯網設備供應商需要采取措施對設備固件進行安全增強，阻止惡意代

33、碼傳播與運行。工業互聯網設備供應商可從操作系統內核、協議棧等方面進行安全增強，并力爭實現對于設備固件的自主可控。漏洞修復加固設備操作系統與應用軟件中出現的漏洞對于設備來說是最直接也是最致命的威脅。設備供應商應對工業現場中常見的設備與裝置進行漏洞掃描與挖掘，發現操作系統與應用軟件中存在的安全漏洞，并及時對其進行修復。補丁升級管理工業互聯網企業應密切關注重大工業互聯網現場設備的安全漏洞及補丁發布，及時采取補丁升級措施，并在補丁安裝前對補丁進行嚴格的安全評估和測試驗證。2、硬件安全（1）硬件安全增強對于接入工業互聯網的現場設備，支持基于硬件特征的唯一標識符，為包括工業互聯網平臺在內的上層應用提供基于

34、硬件標識的身份鑒別能力。此外，應支持將硬件級部件（安全芯片或安全固件）作為系統信任根，為現場設備的安全啟動以及數據傳輸機密性和完整性保護提供支持。（2）運維管控工業互聯網企業應在工業現場網絡重要控制系統（如機組主控 DCS 系統） 的工程師站、操作員站和歷史站部署運維管控系統，實現對外部存儲器（如 U 盤）、鍵盤和鼠標等使用 USB 接口設備的識別，對外部存儲器的使用進行嚴格控制。同時，注意部署的運維管控系統不能影響生產控制大區各系統的正常運行。（二）控制安全工業互聯網使得生產控制由分層、封閉、局部逐步向扁平、開放、全局方向發展。其中在控制環境方面表現為信息技術（IT）與操作技術（OT）融合，

35、控制網絡由封閉走向開放；在控制布局方面表現為控制范圍從局部擴展至全局，并伴隨著控制監測上移與實時控制下移。上述變化改變了傳統生產控制過程封閉、可信的特點，造成安全事件危害范圍擴大、危害程度加深、信息安全與功能安全問題交織等后果。對于工業互聯網控制安全防護，主要從控制協議安全、控制軟件安全及控制功能安全三個方面考慮，可采用的安全機制包括協議安全加固、軟件安全加固、惡意軟件防護、補丁升級、漏洞修復、安全監測審計等。1、控制協議安全身份認證為了確保控制系統執行的控制命令來自合法用戶，必須對使用系統的用戶進行身份認證，未經認證的用戶所發出的控制命令不被執行。在控制協議通信過程中，一定要加入認證方面的約

36、束，避免攻擊者通過截獲報文獲取合法地址建立會話，影響控制過程安全。訪問控制不同的操作類型需要不同權限的認證用戶來操作，如果沒有基于角色的訪問機制，沒有對用戶權限進行劃分，會導致任意用戶可以執行任意功能。傳輸加密在控制協議設計時，應根據具體情況，采用適當的加密措施，保證通信雙方的信息不被第三方非法獲取。健壯性測試控制協議在應用到工業現場之前應通過健壯性測試工具的測試，測試內容可包括風暴測試、飽和測試、語法測試、模糊測試等。2、控制軟件安全軟件防篡改工業互聯網中的控制軟件可歸納為數據采集軟件、組態軟件、過程監督與控制軟件、單元監控軟件、過程仿真軟件、過程優化軟件、專家系統、人工智能軟件等類型。軟件

37、防篡改是保障控制軟件安全的重要環節，具體措施包括以下幾種：控制軟件在投入使用前應進行代碼測試，以檢查軟件中的公共缺陷。采用完整性校驗措施對控制軟件進行校驗，及時發現軟件中存在的篡改情況。對控制軟件中的部分代碼進行加密。做好控制軟件和組態程序的備份工作。認證授權控制軟件的應用要根據使用對象的不同設置不同的權限，以最小的權限完成各自的任務。惡意軟件防護對于控制軟件應采取惡意代碼檢測、預防和恢復的控制措施。控制軟件惡意代碼防護具體措施包括：在控制軟件上安裝惡意代碼防護軟件或獨立部署惡意代碼防護設備，并及時更新惡意代碼軟件和修復軟件版本和惡意代碼庫，更新前應進行安全性和兼容性測試。防護軟件包括病毒防護

38、、入侵檢測、入侵防御等具有病毒查殺和阻止入侵行為的軟件；防護設備包括防火墻、網閘、入侵檢測系統、入侵防御系統等具有防護功能的設備。應注意防止在實施維護和緊急規程期間引入惡意代碼。建議控制軟件的主要生產廠商采用特定的防病毒工具。在某些情況下，控制軟件的供應商需要對其產品線的防病毒工具版本進行回歸測試，并提供相關的安裝和配置文檔。采用具有白名單機制的產品，構建可信環境，抵御零日漏洞和有針對性地攻擊。補丁升級更新控制軟件的變更和升級需要在測試系統中經過仔細的測試，并制定詳細的回退計劃。對重要的補丁需盡快測試和部署。對于服務包和一般補丁，僅對必要的補丁進行測試和部署。漏洞修復加固控制軟件的供應商應及時

39、對控制軟件中出現的漏洞進行修復或提供其他替代解決方案，如關閉可能被利用的端口等。協議過濾采用工業防火墻對協議進行深度過濾，對控制軟件與設備間的通信內容進行實時跟蹤。安全監測審計通過對工業互聯網中的控制軟件進行安全監測審計可及時發現網絡安全事件，避免發生安全事故，并可以為安全事故的調查提供詳實的數據支持。目前許多安全產品廠商已推出了各自的監測審計平臺，可實現協議深度解析、攻擊異常檢測、無流量異常檢測、重要操作行為審計、告警日志審計等功能。3、控制功能安全要考慮功能安全和信息安全的協調能力，使得信息安全不影響功能安全，功能安全在信息安全的防護下更好地執行安全功能。現階段功能安全具體措施主要包括：確

40、定可能的危險源、危險狀況和傷害事件，獲取已確定危險的信息（ 如持續時間、強度、毒性、暴露限度、機械力、爆炸條件、反應性、易燃性、脆弱性、信息丟失等）。確定控制軟件與其他設備或軟件（已安裝的或將被安裝的）以及與其他智能化系統（已安裝的或將被安裝的）之間相互作用所產生的危險狀況和傷害事件，確定引發事故的事件類型（如元器件失效、程序故障、人為錯誤，以及能導致危險事件發生的相關失效機制）。結合典型生產工藝、加工制造過程、質量管控等方面的特征，分析安全影響。考慮自動化、一體化、信息化可能導致的安全失控狀態，確定需要采用的監測、預警或報警機制、故障診斷與恢復機制、數據收集與記錄機制等。明確操作人員在對智能

41、化系統執行操作過程中可能產生的合理可預見的誤用以及智能化系統對于人員惡意攻擊操作的防護能力。智能化裝備和智能化系統對于外界實物、電、磁場、輻射、火災、地震等情況的抵抗或切斷能力，以及在發生異常擾動或中斷時的檢測和處理能力。（三） 網絡安全工業互聯網的發展使得工廠內部網絡呈現出 IP 化、無線化、組網方式靈活化與全局化的特點，工廠外網呈現出信息網絡與控制網絡逐漸融合、企業專網與互聯網逐漸融合以及產品服務日益互聯網化的特點。這就造成傳統互聯網中的網絡安全問題開始向工業互聯網蔓延，具體表現為以下幾個方面：工業互聯協議由專有協議向以太網/IP 協議轉變，導致攻擊門檻極大降低；工廠現有 10M/100M

42、 工業以太網交換機性能較低，難以抵抗日益嚴重的 DDoS 攻擊；工廠網絡互聯、生產、運營逐漸由靜態轉變為動態，安全策略面臨嚴峻挑戰等。此外，隨著工廠業務的拓展和新技術的不斷應用，今后還會面臨 5G/SDN 等新技術引入、工廠內外網互聯互通進一步深化等帶來的安全風險。工業互聯網網絡安全防護應面向工廠內部網絡、外部網絡及標識解析系統等方面，具體包括融合網絡結構優化、邊界安全防護、接入認證、通信內容防護、通信設備防護、安全監測審計等多種防護措施，構筑立體化的網絡安全防護體系。優化網絡結構設計在網絡規劃階段，需設計合理的網絡結構。一方面通過在關鍵網絡節點和標識解析節點采用雙機熱備和負載均衡等技術，應對

43、業務高峰時期突發的大數據流量和意外故障引發的業務連續性問題，確保網絡長期穩定可靠運行。另一方面通過合理的網絡結構和設置提高網絡的靈活性和可擴展性，為后續網絡擴容做好準備。網絡邊界安全根據工業互聯網中網絡設備和業務系統的重要程度將整個網絡劃分成不同的安全域，形成縱深防御體系。安全域是一個邏輯區域，同一安全域中的設備資產具有相同或相近的安全屬性，如安全級別、安全威脅、安全脆弱性等，同一安全域內的系統相互信任。在安全域之間采用網絡邊界控制設備，以邏輯串接的方式進行部署，對安全域邊界進行監視，識別邊界上的入侵行為并進行有效阻斷。網絡接入認證接入網絡的設備與標識解析節點應該具有唯一性標識，網絡應對接入的

44、設備與標識解析節點進行身份認證，保證合法接入和合法連接，對非法設備與標識解析節點的接入行為進行阻斷與告警，形成網絡可信接入機制。網絡接入認證可采用基于數字證書的身份認證等機制來實現。通信和傳輸保護通信和傳輸保護是指采用相關技術手段來保證通信過程中的機密性、完整性和有效性，防止數據在網絡傳輸過程中被竊取或篡改，并保證合法用戶對信息和資源的有效使用，具體包括：通過加密等方式保證非法竊取的網絡傳輸數據無法被非法用戶識別和提取有效信息。網絡傳輸的數據采取校驗機制，確保被篡改的信息能夠被接收方有效鑒別。應確保接收方能夠接收到網絡數據，并且能夠被合法用戶正常使用。網絡設備安全防護為了提高網絡設備與標識解析

45、節點自身的安全性，保障其正常運行，網絡設備與標識解析節點需要采取一系列安全防護措施，主要包括：對登錄網絡設備與標識解析節點進行運維的用戶進行身份鑒別，并確保身份鑒別信息不易被破解與冒用；對遠程登錄網絡設備與標識解析節點的源地址進行限制；對網絡設備與標識解析節點的登錄過程采取完備的登錄失敗處理措施；啟用安全的登錄方式（如 SSH 或 HTTPS 等）。安全監測審計網絡安全監測指通過漏洞掃描工具等方式探測網絡設備與標識解析節點的漏洞情況，并及時提供預警信息。網絡安全審計指通過鏡像或代理等方式分析網絡與標識解析系統中的流量，并記錄網絡與標識解析系統中的系統活動和用戶活動等各類操作行為以及設備運行信息

46、，發現系統中現有的和潛在的安全威脅，實時分析網絡與標識解析系統中發生的安全事件并告警。同時記錄內部人員的錯誤操作和越權操作，并進行及時告警，減少內部非惡意操作導致的安全隱患。（四） 應用安全工業互聯網應用主要包括工業互聯網平臺與工業應用程序兩大類，其范圍覆蓋智能化生產、網絡化協同、個性化定制、服務化延伸等方面。目前工業互聯網平臺面臨的安全風險主要包括數據泄露、篡改、丟失、權限控制異常、系統漏洞利用、賬戶劫持、設備接入安全等。對工業應用程序而言，最大的風險來自安全漏洞，包括開發過程中編碼不符合安全規范而導致的軟件本身的漏洞以及由于使用不安全的第三方庫而引起的漏洞等。相對應地，工業互聯網應用安全也

47、應從工業互聯網平臺安全與工業應用程序安全兩方面進行防護。對于工業互聯網平臺，可采取的安全措施包括安全審計、認證授權、DDOS 攻擊防護等。對于工業應用程序，建議采用全生命周期的安全防護，在應用程序的開發過程中進行代碼審計并對開發人員進行培訓，以減少漏洞的引入；對運行中的應用程序定期進行漏洞排查，對應用程序的內部流程進行審核和測試，并對公開漏洞和后門并加以修補；對應用程序的行為進行實時監測， 以發現可疑行為并進行異常阻止，從而降低未公開漏洞產生的危害。1、平臺安全安全審計安全審計主要是指對平臺中與安全有關的活動的相關信息進行識別、記錄、存儲和分析。平臺建設過程中應考慮具備一定的安全審計功能，將平

48、臺與安全有關的信息進行有效識別、充分記錄、長時間的存儲和自動分析。能對平臺的安全狀況做到持續、動態、實時的有依據的安全審計，并向用戶提供安全審計的標準和結果。認證授權工業互聯網平臺用戶分屬不同企業，需要采取嚴格的認證授權機制保證不同用戶能夠訪問不同的數據資產。同時，認證授權需要采用更加靈活的方式，確保用戶間可以通過多種方式將數據資產分模塊分享給不同的合作伙伴。DDOS 防御部署 DDOS 防御系統，在遭受 DDOS 攻擊時，保證平臺用戶的正常使用。平臺抗 DDOS 的能力應在用戶協議中作為產品技術參數的一部分明確指出。安全隔離平臺不同用戶之間應當采取必要的措施實現充分隔離，防止蠕蟲病毒等安全威

49、脅通過平臺向不同用戶擴散。平臺不同應用之間也要采用嚴格的隔離措施，防止單個應用的漏洞影響其他應用甚至整個平臺的安全。安全監測應對平臺實施集中、實時的安全監測，監測內容包括各種物理和虛擬資源的運行狀態等。通過對系統運行參數（如網絡流量、主機資源和存儲等）以及各類日志進行分析，確保工業互聯網平臺提供商可執行故障管理、性能管理和自動檢修管理，從而實現平臺運行狀態的實時監測。補丁升級工業互聯網平臺搭建在眾多底層軟件和組件基礎之上。由于工業生產對于運行連續性的要求較高，中斷平臺運行進行補丁升級的代價較大。因此平臺在設計之初就應當充分考慮如何對平臺進行補丁升級的問題。虛擬化安全虛擬化是邊緣計算和云計算的基

50、礎，為避免虛擬化出現安全問題影響上層平臺的安全，在平臺的安全防護中要充分考慮虛擬化安全。虛擬化安全的核心是實現不同層次及不同用戶的有效隔離，其安全增強可以通過采用虛擬化加固等防護措施來實現。2、工業應用程序安全代碼審計代碼審計指檢查源代碼中的缺點和錯誤信息，分析并找到這些問題引發的安全漏洞，并提供代碼修訂措施和建議。開發過程中應該進行必要的代碼審計，發現代碼中存在的安全缺陷并給出相應的修補建議。人員培訓企業應對工業應用程序開發者進行軟件源代碼安全培訓，包括：了解應用程序安全開發生命周期（SDL）的每個環節，如何對應用程序進行安全架構設計，具備所使用編程語言的安全編碼常識，了解常見源代碼安全漏洞

51、的產生機理、導致后果及防范措施，熟悉安全開發標準，指導開發人員進行安全開發，減少開發者引入的漏洞和缺陷等，從而提高工業應用程序安全水平。漏洞發現漏洞發現是指基于漏洞數據庫，通過掃描等手段對指定工業應用程序的安全脆弱性進行檢測，發現可利用漏洞的一種安全檢測行為。在應用程序上線前和運行過程中，要定期對其進行漏洞發現，及時發現漏洞并采取補救措施。審核測試對工業應用程序進行審核測試是為了發現功能和邏輯上的問題。在上線前對其進行必要的審核測試，有效避免信息泄漏、資源浪費或其他影響應用程序可用性的安全隱患。行為監測和異常阻止對工業應用程序進行實時的行為監測，通過靜態行為規則匹配或者機器學習的方法，發現異常

52、行為，發出警告或者阻止高危行為，從而降低影響。（五）數據安全工業互聯網相關的數據按照其屬性或特征，可以分為四大類：設備數據、業務系統數據、知識庫數據、用戶個人數據。根據數據敏感程度的不同，可將工業互聯網數據分為一般數據、重要數據和敏感數據三種。工業互聯網數據涉及數據采集、傳輸、存儲、處理等各個環節。隨著工廠數據由少量、單一、單向向大量、多維、雙向轉變，工業互聯網數據體量不斷增大、種類不斷增多、結構日趨復雜， 并出現數據在工廠內部與外部網絡之間的雙向流動共享。由此帶來的安全風險主要包括數據泄露、非授權分析、用戶個人信息泄露等。對于工業互聯網的數據安全防護，應采取明示用途、數據加密、訪問控制、業務

53、隔離、接入認證、數據脫敏等多種防護措施，覆蓋包括數據收集、傳輸、存儲、處理等在內的全生命周期的各個環節。數據收集工業互聯網平臺應遵循合法、正當、必要的原則收集與使用數據及用戶信息， 公開數據收集和使用的規則，向用戶明示收集使用數據的目的、方式和范圍，經過用戶的明確授權同意并簽署相關協議后才能收集相關數據。授權協議必須遵循用戶意愿，不得以拒絕提供服務等形式強迫用戶同意數據采集協議。另外，工業互聯網平臺不得收集與其提供的服務無關的數據及用戶信息，不得違反法律、行政法規的規定和雙方約定收集、使用數據及用戶信息，并應當依照法律、行政法規的規定和與用戶的約定處理其保存的數據及個人信息。數據傳輸為防止數據

54、在傳輸過程中被竊聽而泄露，工業互聯網服務提供商應根據不同的數據類型以及業務部署情況，采用有效手段確保數據傳輸安全。例如通過 SSL 保證網絡傳輸數據信息的機密性、完整性與可用性，實現對工業互聯網平臺中虛擬機之間、虛擬機與存儲資源之間以及主機與網絡設備之間的數據安全傳輸，并為平臺的維護管理提供數據加密通道，保障維護管理過程的數據傳輸安全。數據存儲（1）訪問控制數據訪問控制需要保證不同安全域之間的數據不可直接訪問，避免存儲節點的非授權接入，同時避免對虛擬化環境數據的非授權訪問。存儲業務的隔離借助交換機，將數據根據訪問邏輯劃分到不同的區域內，使得不同區域中的設備相互間不能直接訪問，從而實現網絡中設備

55、之間的相互隔離。存儲節點接入認證對于存儲節點的接入認證可通過成熟的標準技術，包括 iSCSI 協議本身的資源隔離、CHAP（Challenge Handshake Authentication Protocol）等，也可通過在網絡層面劃分 VLAN 或設置訪問控制列表等來實現。虛擬化環境數據訪問控制在虛擬化系統上對每個卷定義不同的訪問策略，以保障沒有訪問該卷權限的用戶不能訪問，各個卷之間互相隔離。（2）存儲加密工業互聯網平臺運營商可根據數據敏感度采用分等級的加密存儲措施（如不加密、部分加密、完全加密等）。建議平臺運營商按照國家密碼管理有關規定使用和管理密碼設施，并按規定生成、使用和管理密鑰。同

56、時針對數據在工業互聯網平臺之外加密之后再傳輸到工業互聯網平臺中存儲的場景，應確保工業互聯網平臺運營商或任何第三方無法對客戶的數據進行解密。（3）備份和恢復用戶數據作為用戶托管在工業互聯網服務提供商的數據資產，服務提供商有妥善保管的義務。應當采取技術措施和其他必要措施，防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。工業互聯網服務提供商應當根據用戶業務需求、與用戶簽訂的服務協議制定必要的數據備份策略，定期對數據進行備份。當發生數據丟失事故時能及時恢復一定時間前備份的數據，從而降低用戶的損失。數據處理使用

57、授權數據處理過程中，工業互聯網服務提供商要嚴格按照法律法規以及在與用戶約定的范圍內處理相關數據，不得擅自擴大數據使用范圍，使用中要采取必要的措施防止用戶數據泄露。如果處理過程中發生大規模用戶數據泄露的安全事件， 應當及時告知用戶和上級主管部門，對于造成用戶經濟損失的應當給予賠償。數據銷毀在資源重新分配給新的租戶之前，必須對存儲空間中的數據進行徹底擦除， 防止被非法惡意恢復。應根據不同的數據類型以及業務部署情況，選擇采用如下操作方式：在卷回收時對邏輯卷的所有 bit 位進行清零，并利用“0”或隨機數進行多次覆寫；在非高安全場景，系統默認將邏輯卷的關鍵信息（如元數據、索引項、卷前 10M 等）進行

58、清零；在涉及敏感數據的高安全場景，當數據中心的物理硬盤需要更換時系統管理員可采用消磁或物理粉碎等措施保證數據徹底清除。數據脫敏當工業互聯網平臺中存儲的工業互聯網數據與用戶個人信息需要從平臺中 輸出或與第三方應用進行共享時，應當在輸出或共享前對這些數據進行脫敏處理。脫敏應采取不可恢復的手段，避免數據分析方通過其他手段對敏感數據復原。此 外數據脫敏后不應影響業務連續性，避免對系統性能造成較大影響。（六） 監測感知監測感知是指部署相應的監測措施，主動發現來自系統內外部的安全風險， 具體措施包括數據采集、收集匯聚、特征提取、關聯分析、狀態感知等。數據采集數據采集指對工業現場網絡及工業互聯網平臺中各類數

59、據進行采集，為網絡異常分析、設備預測性維護等提供數據來源。收集匯聚對于數據的收集匯聚主要分為兩個方面。一是對 SCADA、MES、ERP 等工業控制系統及應用系統所產生的關鍵工業互聯網數據進行匯聚，包括產品全生命周期的各類數據的同步采集、管理、存儲及查詢，為后續過程提供數據來源。二是對全網流量進行監聽，并將監聽過程中采集到的數據進行匯聚。特征提取特征提取是指對數據特征進行提取、篩選、分類、優先級排序、可讀等處理， 從而實現從數據到信息的轉化過程，該過程主要是針對單個設備或單個網絡的縱向數據分析。信息主要包括內容和情景兩方面，內容指工業互聯網中的設備信號處理結果、監控傳輸特性、性能曲線、健康狀況

60、、報警信息、DNC 及 SCADA 網絡流量等；情景指設備的運行工況、維護保養記錄、人員操作指令、人員訪問狀態、生產任務目標、行業銷售機理等。關聯分析關聯分析過程通過將運行機理、運行環境、操作內容、外部威脅情報等有機結合，基于大數據進行橫向大數據分析和多維分析，利用群體經驗預測單個設備的安全情況，或根據歷史狀況和當前狀態的差異發現網絡及系統異常。狀態感知狀態感知基于關聯分析過程，實現對企業工業互聯網運行規律、異常情況、安全目標、安全態勢、業務背景等的認知，確定安全基線，結合大數據分析技術， 發現潛在威脅、預測黑客攻擊。（七） 處置恢復處置恢復機制是確保落實工業互聯網信息安全管理，支撐工業互聯網