1、工業互聯網安全保護方案目錄 HYPERLINK l _bookmark0 一、 工業互聯網安全概述1 HYPERLINK l _bookmark1 （一） 工業互聯網概念內涵1 HYPERLINK l _bookmark2 （二） 工業互聯網安全框架內容與范圍2 HYPERLINK l _bookmark13 二、 工業互聯網安全防護方案20 HYPERLINK l _bookmark14 （一） 設備安全21 HYPERLINK l _bookmark15 （二） 控制安全23 HYPERLINK l _bookmark16 （三） 網絡安全27 HYPERLINK l _bookmark1

2、7 （四） 應用安全31 HYPERLINK l _bookmark18 （五） 數據安全35 HYPERLINK l _bookmark19 （六） 監測感知39 HYPERLINK l _bookmark20 （七） 處置恢復41 HYPERLINK l _bookmark21 三、 工業互聯網安全發展趨勢與展望46 PAGE 32 PAGE 31 一、 工業互聯網安全概述（一）工業互聯網概念內涵工業互聯網是滿足工業智能化發展需求，具有低時延、 高可靠、廣覆蓋特點的關鍵網絡基礎設施，是新一代信息通信技術與先進制造業深度融合所形成的新興業態與應用模式。工業互聯網深刻變革傳統工業的創新、生產、

3、管理、服務方式，催生新技術、新模式、新業態、新產業，正成為繁榮數字經濟的新基石、創新網絡國際治理的新途徑和統籌兩個強國建設的新引擎。工業互聯網包括網絡、平臺、安全三大體系。其中，網絡體系是基礎。工業互聯網將連接對象延伸到工業全系統、全產業鏈、全價值鏈，可實現人、物品、機器、車間、企業 等全要素，以及設計、研發、生產、管理、服務等各環節的 泛在深度互聯。平臺體系是核心。工業互聯網平臺作為工業 智能化發展的核心載體，實現海量異構數據匯聚與建模分析、工業制造能力標準化與服務化、工業經驗知識軟件化與模塊 化、以及各類創新應用開發與運行，支撐生產智能決策、業 務模式創新、資源優化配置和產業生態培育。安全

4、體系是保 障。建設滿足工業需求的安全技術體系和管理體系，增強設備、網絡、控制、應用和數據的安全保障能力，識別和抵御安全威脅，化解各種安全風險，構建工業智能化發展的安全可信環境。（二）工業互聯網安全框架內容與范圍工業領域的安全一般分為三類，信息安全（Security）、功能安全（Functional Safety）和物理安全（Physical Safety）。傳統工業控制系統安全最初多關注功能安全與物理安全，即防止工業安全相關系統或設備的功能失效，當失效或故障發生時，保證工業設備或系統仍能保持安全條件或進入到安全狀態。近年來，隨著工業控制系統信息化程度的不斷加深， 針對工業控制系統的信息安全問題

5、不斷凸顯，業界對信息安全的重視程度逐步提高。與傳統的工控系統安全和互聯網安全相比，工業互聯網的安全挑戰更為艱巨：一方面，工業互聯網安全打破了以往相對明晰的責任邊界，其范圍、復雜度、風險度產生的影響要大得多，其中工業互聯網平臺安全、數據安全、聯網智能設備安全等問題越發突出；另一方面，工業互聯網安全工作需要從制度建設、國家能力、產業支持等更全局的視野來統籌安排，目前很多企業還沒有意識到安全部署的必要性與緊迫性，安全管理與風險防范控制工作亟需加強。因此，工業互聯網安全框架需要統籌考慮信息安全、功能安全與物理安全，聚焦信息安全，主要解決工業互聯網面臨的網絡攻擊等新型風險，并考慮其信息安全防護措施的部署

6、可能對功能安全和物理安全帶來的影響。由于物理安全相關防護措施較為通用，故在本框架中不作重要考慮，主要對工業互聯網的信息安全與功能安全進行討論。二、 工業互聯網安全防護方案工業互聯網安全框架在實施過程中的重點是針對防護 對象采取行之有效的防護措施。為此，本章針對工業互聯網安全的五大防護對象面臨的安全威脅，分別介紹其可采取的安全防護措施，并對監測感知與處置恢復兩類貫穿工業互聯網全系統的防護措施進行介紹，為企業部署工業互聯網安全防護工作提供參考。（一）設備安全工業互聯網的發展使得現場設備由機械化向高度智能 化發生轉變，并產生了嵌入式操作系統+微處理器+應用軟件的新模式，這就使得未來海量智能設備可能會

7、直接暴露在網絡攻擊之下，面臨攻擊范圍擴大、擴散速度增加、漏洞影響擴大等威脅。工業互聯網設備安全指工廠內單點智能器件以及成套 智能終端等智能設備的安全，具體應分別從操作系統/應用軟件安全與硬件安全兩方面出發部署安全防護措施，可采用的安全機制包括固件安全增強、惡意軟件防護、設備身份鑒別與訪問控制、漏洞修復等。1、操作系統/應用軟件安全固件安全增強工業互聯網設備供應商需要采取措施對設備固件進行 安全增強，阻止惡意代碼傳播與運行。工業互聯網設備供應商可從操作系統內核、協議棧等方面進行安全增強，并力爭實現對于設備固件的自主可控。漏洞修復加固設備操作系統與應用軟件中出現的漏洞對于設備來說 是最直接也是最致

8、命的威脅。設備供應商應對工業現場中常見的設備與裝置進行漏洞掃描與挖掘，發現操作系統與應用軟件中存在的安全漏洞，并及時對其進行修復。補丁升級管理工業互聯網企業應密切關注重大工業互聯網現場設備 的安全漏洞及補丁發布，及時采取補丁升級措施，并在補丁安裝前對補丁進行嚴格的安全評估和測試驗證。2、硬件安全硬件安全增強對于接入工業互聯網的現場設備，應支持基于硬件特征的唯一標識符，為包括工業互聯網平臺在內的上層應用提供基于硬件標識的身份鑒別與訪問控制能力，確保只有合法的設備能夠接入工業互聯網并根據既定的訪問控制規則向其 他設備或上層應用發送或讀取數據。此外，應支持將硬件級部件（安全芯片或安全固件）作為系統信

9、任根，為現場設備的安全啟動以及數據傳輸機密性和完整性保護提供支持。運維管控工業互聯網企業應在工業現場網絡重要控制系統（如機組主控 DCS 系統）的工程師站、操作員站和歷史站部署運維管控系統，實現對外部存儲器（如 U 盤）、鍵盤和鼠標等使用 USB 接口的硬件設備的識別，對外部存儲器的使用進行嚴格控制。同時，注意部署的運維管控系統不能影響生產控制區各系統的正常運行。（二）控制安全工業互聯網使得生產控制由分層、封閉、局部逐步向扁平、開放、全局方向發展。其中在控制環境方面表現為信息技術（IT）與操作技術（OT）融合，控制網絡由封閉走向開放；在控制布局方面表現為控制范圍從局部擴展至全局，并伴隨著控制監

10、測上移與實時控制下移。上述變化改變了傳統生產控制過程封閉、可信的特點，造成安全事件危害范圍擴大、危害程度加深、信息安全與功能安全問題交織等后果。對于工業互聯網控制安全防護，主要從控制協議安全、 控制軟件安全及控制功能安全三個方面考慮，可采用的安全機制包括協議安全加固、軟件安全加固、惡意軟件防護、補丁升級、漏洞修復、安全監測審計等。1、控制協議安全身份認證為了確保控制系統執行的控制命令來自合法用戶，必須對使用系統的用戶進行身份認證，未經認證的用戶所發出的控制命令不被執行。在控制協議通信過程中，一定要加入認證方面的約束，避免攻擊者通過截獲報文獲取合法地址建立會話，影響控制過程安全。訪問控制不同的操

11、作類型需要不同權限的認證用戶來操作，如果沒有基于角色的訪問機制，沒有對用戶權限進行劃分，會導致任意用戶可以執行任意功能。傳輸加密在控制協議設計時，應根據具體情況，采用適當的加密措施，保證通信雙方的信息不被第三方非法獲取。健壯性測試控制協議在應用到工業現場之前應通過健壯性測試工 具的測試，測試內容可包括風暴測試、飽和測試、語法測試、模糊測試等。2、控制軟件安全軟件防篡改工業互聯網中的控制軟件可歸納為數據采集軟件、組態 軟件、過程監督與控制軟件、單元監控軟件、過程仿真軟件、 過程優化軟件、專家系統、人工智能軟件等類型。軟件防篡 改是保障控制軟件安全的重要環節，具體措施包括以下幾種：控制軟件在投入使

12、用前應進行代碼測試，以檢查軟件中的公共缺陷。采用完整性校驗措施對控制軟件進行校驗，及時發現軟件中存在的篡改情況。對控制軟件中的部分代碼進行加密。做好控制軟件和組態程序的備份工作。認證授權控制軟件的應用要根據使用對象的不同設置不同的權 限，以最小的權限完成各自的任務。惡意軟件防護對于控制軟件應采取惡意代碼檢測、預防和恢復的控制措施。控制軟件惡意代碼防護具體措施包括：在控制軟件上安裝惡意代碼防護軟件或獨立部署惡 意代碼防護設備，并及時更新惡意代碼軟件和修復軟件版本和惡意代碼庫，更新前應進行安全性和兼容性測試。防護軟件包括病毒防護、入侵檢測、入侵防御等具有病毒查殺和阻止入侵行為的軟件；防護設備包括防

13、火墻、網閘、入侵檢測系統、入侵防御系統等具有防護功能的設備。應注意防止在實施維護和緊急規程期間引入惡意代碼。建議控制軟件的主要生產廠商采用特定的防病毒工具。在某些情況下，控制軟件的供應商需要對其產品線的防 病毒工具版本進行回歸測試，并提供相關的安裝和配置文檔。采用具有白名單機制的產品，構建可信環境，抵御零日漏洞和有針對性地攻擊。補丁升級更新控制軟件的變更和升級需要在測試系統中經過仔細的 測試，并制定詳細的回退計劃。對重要的補丁需盡快測試和部署。對于服務包和一般補丁，僅對必要的補丁進行測試和部署。漏洞修復加固控制軟件的供應商應及時對控制軟件中出現的漏洞進 行修復或提供其他替代解決方案，如關閉可能

14、被利用的端口等。協議過濾采用工業防火墻對協議進行深度過濾，對控制軟件與設備間的通信內容進行實時跟蹤，同時確保協議過濾不得影響通信性能。安全監測審計通過對工業互聯網中的控制軟件進行安全監測審計可 及時發現網絡安全事件，避免發生安全事故，并可以為安全事故的調查提供詳實的數據支持。目前許多安全產品廠商已推出了各自的監測審計平臺，可實現協議深度解析、攻擊異常檢測、無流量異常檢測、重要操作行為審計、告警日志審計等功能。3、控制功能安全要考慮功能安全和信息安全的協調能力，使得信息安全不影響功能安全，功能安全在信息安全的防護下更好地執行安全功能。現階段功能安全具體措施主要包括：確定可能的危險源、危險狀況和傷

15、害事件，獲取已確定危險的信息（如持續時間、強度、毒性、暴露限度、機械力、爆炸條件、反應性、易燃性、脆弱性、信息丟失等）。確定控制軟件與其他設備或軟件（已安裝的或將被安裝的）以及與其他智能化系統（已安裝的或將被安裝的） 之間相互作用所產生的危險狀況和傷害事件，確定引發事故的事件類型（如元器件失效、程序故障、人為錯誤，以及能導致危險事件發生的相關失效機制）。結合典型生產工藝、加工制造過程、質量管控等方面的特征，分析安全影響。考慮自動化、一體化、信息化可能導致的安全失控狀態，確定需要采用的監測、預警或報警機制、故障診斷與恢復機制、數據收集與記錄機制等。明確操作人員在對智能化系統執行操作過程中可 能產

16、生的合理可預見的誤用以及智能化系統對于人員惡意 攻擊操作的防護能力。智能化裝備和智能化系統對于外界實物、電、磁場、輻射、火災、地震等情況的抵抗或切斷能力，以及在發生異常擾動或中斷時的檢測和處理能力。（三）網絡安全工業互聯網的發展使得工廠內部網絡呈現出 IP 化、無線化、組網方式靈活化與全局化的特點，工廠外網呈現出信息網絡與控制網絡逐漸融合、企業專網與互聯網逐漸融合以及產品服務日益互聯網化的特點。這就造成傳統互聯網中的網絡安全問題開始向工業互聯網蔓延，具體表現為以下幾個方面：工業互聯協議由專有協議向以太網/IP 協議轉變，導致攻擊門檻極大降低；現有一些 10M / 100M 工業以太網交換機（通

17、常是非管理型交換機）缺乏抵御日益嚴重的 DDoS 攻擊的能力；工廠網絡互聯、生產、運營逐漸由靜態轉變為動態， 安全策略面臨嚴峻挑戰等。此外，隨著工廠業務的拓展和新技術的不斷應用，今后還會面臨 5G/SDN 等新技術引入、工廠內外網互聯互通進一步深化等帶來的安全風險。工業互聯網網絡安全防護應面向工廠內部網絡、外部網 絡及標識解析系統等方面，具體包括網絡結構優化、邊界安 全防護、接入認證、通信內容防護、通信設備防護、安全監測審計等多種防護措施，構筑全面高效的網絡安全防護體系。優化網絡結構設計在網絡規劃階段，需設計合理的網絡結構。一方面通過在關鍵網絡節點和標識解析節點采用雙機熱備和負載均衡 等技術，

18、應對業務高峰時期突發的大數據流量和意外故障引發的業務連續性問題，確保網絡長期穩定可靠運行。另一方面通過合理的網絡結構和設置提高網絡的靈活性和可擴展 性，為后續網絡擴容做好準備。網絡邊界安全根據工業互聯網中網絡設備和業務系統的重要程度將整個網絡劃分成不同的安全域，形成縱深防御體系。安全域是一個邏輯區域，同一安全域中的設備資產具有相同或相近的安全屬性，如安全級別、安全威脅、安全脆弱性等，同一安全域內的系統相互信任。在安全域之間采用網絡邊界控制設備，以邏輯串接的方式進行部署，對安全域邊界進行監視， 識別邊界上的入侵行為并進行有效阻斷。網絡接入認證接入網絡的設備與標識解析節點應該具有唯一性標識， 網絡

19、應對接入的設備與標識解析節點進行身份認證，保證合法接入和合法連接，對非法設備與標識解析節點的接入行為進行阻斷與告警，形成網絡可信接入機制。網絡接入認證可采用基于數字證書的身份認證等機制來實現。通信和傳輸保護通信和傳輸保護是指采用相關技術手段來保證通信過程中的機密性、完整性和有效性，防止數據在網絡傳輸過程 中被竊取或篡改，并保證合法用戶對信息和資源的有效使用。同時，在標識解析體系的建設過程中，需要對解析節點中存 儲以及在解析過程中傳輸的數據進行安全保護。具體包括：通過加密等方式保證非法竊取的網絡傳輸數據無法 被非法用戶識別和提取有效信息，確保數據加密不會對任何其他工業互聯網系統的性能產生負面影響

20、。在標識解析體系的各類解析節點與標識查詢節點之間建立解析數據安全傳 輸通道，采用國密局批準使用的加密算法及加密設備，為標識解析請求及解析結果的傳輸提供機密性與完整性保障。網絡傳輸的數據采取校驗機制，確保被篡改的信息能夠被接收方有效鑒別。應確保接收方能夠接收到網絡數據，并且能夠被合法用戶正常使用。網絡設備安全防護為了提高網絡設備與標識解析節點自身的安全性，保障其正常運行，網絡設備與標識解析節點需要采取一系列安全防護措施，主要包括：對登錄網絡設備與標識解析節點進行運維的用戶進 行身份鑒別，并確保身份鑒別信息不易被破解與冒用；對遠程登錄網絡設備與標識解析節點的源地址進行 限制；對網絡設備與標識解析節

21、點的登錄過程采取完備的 登錄失敗處理措施；啟用安全的登錄方式（如 SSH 或 HTTPS 等）。安全監測審計網絡安全監測指通過漏洞掃描工具等方式探測網絡設 備與標識解析節點的漏洞情況，并及時提供預警信息。網絡安全審計指通過鏡像或代理等方式分析網絡與標識解析系統中的流量，并記錄網絡與標識解析系統中的系統活動和用戶活動等各類操作行為以及設備運行信息，發現系統中現有的和潛在的安全威脅，實時分析網絡與標識解析系統中發生的安全事件并告警。同時記錄內部人員的錯誤操作和越權操作，并進行及時告警，減少內部非惡意操作導致的安全隱患。（四）應用安全工業互聯網應用主要包括工業互聯網平臺與工業應用 程序兩大類，其范圍

22、覆蓋智能化生產、網絡化協同、個性化定制、服務化延伸等方面。目前工業互聯網平臺面臨的安全風險主要包括數據泄露、篡改、丟失、權限控制異常、系統漏洞利用、賬戶劫持、設備接入安全等。對工業應用程序而言，最大的風險來自安全漏洞，包括開發過程中編碼不符合安全規范而導致的軟件本身的漏洞以及由于使用不安全的 第三方庫而出現的漏洞等。相應地，工業互聯網應用安全也應從工業互聯網平臺安全與工業應用程序安全兩方面進行防護。對于工業互聯網平臺，可采取的安全措施包括安全審計、認證授權、DDOS 攻擊防護等。對于工業應用程序，建議采用全生命周期的安全防護，在應用程序的開發過程中進行代碼審計并對開發人員進行培訓，以減少漏洞的

23、引入；對運行中的應用程序定期進行漏洞排查，對應用程序的內部流程進行審核和測試，并對公開漏洞和后門并加以修補；對應用程序的行為進行實時監測， 以發現可疑行為并進行阻止，從而降低未公開漏洞帶來的危 害。1、平臺安全安全審計安全審計主要是指對平臺中與安全有關的活動的相關 信息進行識別、記錄、存儲和分析。平臺建設過程中應考慮具備一定的安全審計功能，將平臺與安全有關的信息進行有效識別、充分記錄、長時間的存儲和自動分析。能對平臺的安全狀況做到持續、動態、實時的有依據的安全審計，并向用戶提供安全審計的標準和結果。認證授權工業互聯網平臺用戶分屬不同企業，需要采取嚴格的認證授權機制保證不同用戶能夠訪問不同的數據

24、資產。同時， 認證授權需要采用更加靈活的方式，確保用戶間可以通過多種方式將數據資產分模塊分享給不同的合作伙伴。DDoS 防御部署 DDoS 防御系統，在遭受 DDoS 攻擊時，保證平臺用戶的正常使用。平臺抗 DDoS 的能力應在用戶協議中作為產品技術參數的一部分明確指出。安全隔離平臺不同用戶之間應當采取必要的措施實現充分隔離，防止蠕蟲病毒等安全威脅通過平臺向不同用戶擴散。平臺不同應用之間也要采用嚴格的隔離措施，防止單個應用的漏洞影響其他應用甚至整個平臺的安全。安全監測應對平臺實施集中、實時的安全監測，監測內容包括各種物理和虛擬資源的運行狀態等。通過對系統運行參數（如網絡流量、主機資源和存儲等）

25、以及各類日志進行分析，確保工業互聯網平臺提供商可執行故障管理、性能管理和自動檢修管理，從而實現平臺運行狀態的實時監測。補丁升級工業互聯網平臺搭建在眾多底層軟件和組件基礎之上。 由于工業生產對于運行連續性的要求較高，中斷平臺運行進行補丁升級的代價較大。因此平臺在設計之初就應當充分考慮如何對平臺進行補丁升級的問題。虛擬化安全虛擬化是邊緣計算和云計算的基礎，為避免虛擬化出現安全問題影響上層平臺的安全，在平臺的安全防護中要充分考慮虛擬化安全。虛擬化安全的核心是實現不同層次及不同用戶的有效隔離，其安全增強可以通過采用虛擬化加固等防護措施來實現。2、工業應用程序安全代碼審計代碼審計指檢查源代碼中的缺點和錯

26、誤信息，分析并找到這些問題引發的安全漏洞，并提供代碼修訂措施和建議。 工業應用程序在開發過程中應該進行必要的代碼審計，發現代碼中存在的安全缺陷并給出相應的修補建議。人員培訓企業應對工業應用程序開發者進行軟件源代碼安全培訓，包括：了解應用程序安全開發生命周期（SDL）的每個 環節，如何對應用程序進行安全架構設計，具備所使用編程 語言的安全編碼常識，了解常見源代碼安全漏洞的產生機理、導致后果及防范措施，熟悉安全開發標準，指導開發人員進 行安全開發，減少開發者引入的漏洞和缺陷等，從而提高工 業應用程序安全水平。漏洞發現漏洞發現是指基于漏洞數據庫，通過掃描等手段對指定工業應用程序的安全脆弱性進行檢測，

27、發現可利用漏洞的一種安全檢測行為。在應用程序上線前和運行過程中，要定期對其進行漏洞發現，及時發現漏洞并采取補救措施。審核測試對工業應用程序進行審核測試是為了發現功能和邏輯上的問題。在上線前對其進行必要的審核測試，有效避免信息泄露、資源浪費或其他影響應用程序可用性的安全隱患。行為監測和異常阻止對工業應用程序進行實時的行為監測，通過靜態行為規則匹配或者機器學習的方法，發現異常行為，發出警告或者阻止高危行為，從而降低影響。（五）數據安全工業互聯網相關的數據按照其屬性或特征，可以分為四大類：設備數據、業務系統數據、知識庫數據、用戶個人數據。根據數據敏感程度的不同，可將工業互聯網數據分為一般數據、重要數

28、據和敏感數據三種。工業互聯網數據涉及數據采集、傳輸、存儲、處理等各個環節。隨著工廠數據由少量、單一、單向向大量、多維、雙向轉變，工業互聯網數據體量不斷增大、種類不斷增多、結構日趨復雜，并出現數據在工廠內部與外部網絡之間的雙向流動共享。由此帶來的安全風險主要包括數據泄露、非授權分析、用戶個人信息泄露等。對于工業互聯網的數據安全防護，應采取明示用途、數據加密、訪問控制、業務隔離、接入認證、數據脫敏等多種防護措施，覆蓋包括數據收集、傳輸、存儲、處理等在內的全生命周期的各個環節。數據收集工業互聯網平臺應遵循合法、正當、必要的原則收集與使用數據及用戶信息，公開數據收集和使用的規則，向用戶明示收集使用數據

29、的目的、方式和范圍，經過用戶的明確授權同意并簽署相關協議后才能收集相關數據。授權協議必須遵循用戶意愿，不得以拒絕提供服務等形式強迫用戶同意數據采集協議。另外，工業互聯網平臺不得收集與其提供的服務無關的數據及用戶信息，不得違反法律、行政法規的規定和雙方約定收集、使用數據及用戶信息，并應當依照法律、行政法規的規定和與用戶的約定處理其保存的數據及個人信息。數據傳輸為防止數據在傳輸過程中被竊聽而泄露，工業互聯網服務提供商應根據不同的數據類型以及業務部署情況，采用有效手段確保數據傳輸安全。例如通過 SSL 保證網絡傳輸數據信息的機密性、完整性與可用性，實現對工業現場設備與工業互聯網平臺之間、工業互聯網平

30、臺中虛擬機之間、虛擬機與存儲資源之間以及主機與網絡設備之間的數據安全傳輸， 并為平臺的維護管理提供數據加密通道，保障維護管理過程的數據傳輸安全。數據存儲訪問控制數據訪問控制需要保證不同安全域之間的數據不可直 接訪問，避免存儲節點的非授權接入，同時避免對虛擬化環境數據的非授權訪問。存儲業務的隔離借助交換機，將數據根據訪問邏輯劃分到不同的區域內， 使得不同區域中的設備相互間不能直接訪問，從而實現網絡 中設備之間的相互隔離。存儲節點接入認證對于存儲節點的接入認證可通過成熟的標準技術，包括iSCSI 協議本身的資源隔離、CHAP（Challenge Handshake Authentication P

31、rotocol）等，也可通過在網絡層面劃分 VLAN 或設置訪問控制列表等來實現。虛擬化環境數據訪問控制在虛擬化系統上對每個卷定義不同的訪問策略，以保障沒有訪問該卷權限的用戶不能訪問，各個卷之間互相隔離。存儲加密工業互聯網平臺運營商可根據數據敏感度采用分等級 的加密存儲措施（如不加密、部分加密、完全加密等）。建議平臺運營商按照國家密碼管理有關規定使用和管理密碼 設施，并按規定生成、使用和管理密鑰。同時針對數據在工業互聯網平臺之外加密之后再傳輸到工業互聯網平臺中存 儲的場景，應確保工業互聯網平臺運營商或任何第三方無法對客戶的數據進行解密。備份和恢復用戶數據作為用戶托管在工業互聯網服務提供商的數據

32、資產，服務提供商有妥善保管的義務。應當采取技術措施 和其他必要措施，防止信息泄露、毀損、丟失。在發生或者 可能發生個人信息泄露、毀損、丟失的情況時，應當立即采 取補救措施，按照規定及時告知用戶并向有關主管部門報告。工業互聯網服務提供商應當根據用戶業務需求、與用戶簽訂的服務協議制定必要的數據備份策略，定期對數據進行備份。當發生數據丟失事故時能及時恢復一定時間前備份的數據，從而降低用戶的損失。數據處理使用授權數據處理過程中，工業互聯網服務提供商要嚴格按照法 律法規以及在與用戶約定的范圍內處理相關數據，不得擅自 擴大數據使用范圍，使用中要采取必要的措施防止用戶數據 泄露。如果處理過程中發生大規模用戶

33、數據泄露的安全事件， 應當及時告知用戶和上級主管部門，對于造成用戶經濟損失 的應當給予賠償。數據銷毀在資源重新分配給新的租戶之前，必須對存儲空間中的數據進行徹底擦除，防止被非法惡意恢復。應根據不同的數據類型以及業務部署情況，選擇采用如下操作方式：在邏輯卷回收時對邏輯卷的所有 bit 位進行清零，并利用“0”或隨機數進行多次覆寫；在非高安全場景，系統默認將邏輯卷的關鍵信息（如元數據、索引項、卷前 10M 等）進行清零；在涉及敏感數據的高安全場景，當數據中心的物理硬盤需要更換時系統管理員可采用消磁或物理粉碎等措施保證數據徹底清除。數據脫敏當工業互聯網平臺中存儲的工業互聯網數據與用戶個人信息需要從平

34、臺中輸出或與第三方應用進行共享時，應當 在輸出或共享前對這些數據進行脫敏處理。脫敏應采取不可 恢復的手段，避免數據分析方通過其他手段對敏感數據復原。此外數據脫敏后不應影響業務連續性，避免對系統性能造成 較大影響。（六）監測感知監測感知是指部署相應的監測措施，主動發現來自系統內外部的安全風險，具體措施包括數據采集、收集匯聚、特征提取、關聯分析、狀態感知等。數據采集數據采集指對工業現場網絡及工業互聯網平臺中各類 數據進行采集，為網絡異常分析、設備預測性維護等提供數據來源。收集匯聚對于數據的收集匯聚主要分為兩個方面。一是對SCADA、MES、ERP 等工業控制系統及應用系統所產生的關鍵工業互聯網數據

35、進行匯聚，包括產品全生命周期的各類數據的同步采集、管理、存儲及查詢，為后續過程提供數據來源。二是對全網流量進行監聽，并將監聽過程中采集到的數據進行匯聚。特征提取特征提取是指對數據特征進行提取、篩選、分類、優先級排序、可讀等處理，從而實現從數據到信息的轉化過程， 該過程主要是針對單個設備或單個網絡的縱向數據分析。信息主要包括內容和情景兩方面，內容指工業互聯網中的設備信號處理結果、監控傳輸特性、性能曲線、健康狀況、報警信息、DNC 及SCADA 網絡流量等；情景指設備的運行工況、維護保養記錄、人員操作指令、人員訪問狀態、生產任務目標、行業銷售機理等。關聯分析關聯分析基于大數據進行橫向大數據分析和多

36、維分析， 通過將運行機理、運行環境、操作內容、外部威脅情報等有機結合，利用群體經驗預測單個設備的安全情況，或根據歷史狀況和當前狀態的差異進行關聯分析，進而發現網絡及系統的異常狀態。狀態感知狀態感知基于關聯分析過程，實現對工業互聯網相關企業網絡運行規律、異常情況、安全目標、安全態勢、業務背景等的監測感知，確定安全基線，結合大數據分析等相關技術，發現潛在安全威脅、預測黑客攻擊行為。（七）處置恢復處置恢復機制是確保落實工業互聯網信息安全管理，支撐工業互聯網系統與服務持續運行的保障。通過處置恢復機制，在風險發生時災備恢復組織能根據預案及時采取措施進行應對，及時恢復現場設備、工業控制系統、網絡、工業互聯

37、網平臺、工業應用程序等的正常運行，防止重要數據丟失， 并通過數據收集與分析機制，及時更新優化防護措施，形成持續改進的防御閉環。處置恢復機制主要包括響應決策、備份恢復、分析評估等。響應決策對于工業互聯網災難恢復過程中的決策與響應，需預先 制定相應的處置策略，針對不同風險等級制定相應預案措施。處置恢復工作需要在處置恢復組織的領導下進行，通過實時 監測工業互聯網系統各類數據，在突發災難時通過相應機制 進行應對。處置恢復組織架構處置恢復規劃領導組:是實施處置恢復規劃工作的組 織領導機構，應由單位高層領導擔任組長，領導和決策處置恢復規劃中的重大事宜。處置恢復現場實施組:負責對處置恢復工作進行需求 分析、

38、規劃并確立處置恢復策略，制訂處置恢復預案。處置恢復日常運行組:負責災難備份中心日常管理，處置恢復預案的教育、培訓、演練、維護和管理，突發事件發生時的損失控制和損害評估，災難發生后恢復技術支持及外部協作等。災難風險分析與管理工業互聯網較傳統信息系統架構更為復雜，處置恢復組織應根據工業互聯網系統架構進行風險識別，并對風險按照類別與等級、風險影響程度、風險發生幾率和風險時長等因素進行評估，依照風險處置優先級別制定防范措施與解決預案，將實際情況與之進行匹配，并進行適當的調整以滿足實施的有效性。災難數據監測工業互聯網系統架構包括多個層級與數據接口，針對可能發生的風險所在的層級，應采取相應的措施降低災難發

39、生的幾率。處置恢復日常運行組可以通過對設備層、網絡層、 控制層、應用層、數據層等部署監測機制，對工業互聯網系統運行中的數據狀態進行定期監測，感知潛在的安全風險與系統異常，由處置恢復實施組通過恢復策略進行相應處置。災難恢復決策應建立災難恢復的處理決策與異常處置規則，當發生突發災難事件時，若災難事件超出解決范圍或響應時間過長， 處置恢復實施組應遵循規則向上級組織進行匯報與處理。針對異常的災難恢復事件，處置恢復領導小組應召集專業人員評估突發事件，確認突發事件對工業互聯網系統造成的影響程度，進而確定下一步采取的措施，并將最新信息通知給處置恢復實施組，確保處置恢復工作的及時性。災難恢復響應應建立災難恢復

40、的響應規則，在事件發生時，處置恢復實施組收到處置恢復領導小組的決策后根據相應的處置恢 復策略及時做出響應，迅速進行災難恢復工作。當處置恢復實施組無法進行響應或響應時間過長時，應及時向處置恢復領導小組進行匯報，保障災難恢復工作的持續性。備份恢復為確保工業互聯網平臺持續運作，應對重要系統進行災難備份。企業應根據系統備份能力進行分級，按需求目標制訂相應的備份恢復預案。為確保備份恢復預案順利進行，企業可建立專門的災難備份中心與處置恢復組織，根據處置恢復策略進行維護管理，并定期進行災難恢復預案演練，確保預案的有效性。備份能力等級的定義根據企業不同的業務類型與系統特點，對備份能力等級進行劃分，依照等級的不

41、同采取不同的備份策略與應對措施。備份能力的需求確立企業通過對其業務影響程度的分析與風險評估，確定工業互聯網系統的備份能力等級需求及備份前所需的資源。備份恢復策略制定依據企業現有的或行業通用規范準則制定適合自身的 備份恢復策略，有條件的情況下可對制定的策略進行有效性與實用性方面的驗證。災難備份中心的建設、運行和維護管理有條件的企業可建立專門的災難備份中心，在災難發生時迅速進行備份恢復工作，確保將損害降到最低。企業根據業務需求，成立專職的或兼職的災難備份中心的運行和維護管理團隊進行日常維護或危機處理。處置恢復預案的演練與管理企業應定期對制定的處置恢復計劃進行驗證及防災演 習，來不斷適應環境或技術的

42、變化，確保計劃的有效性。分析評估分析評估風險是工業互聯網系統優化防護措施、形成閉環防御不可缺少的一個重要環節。通過分析識別系統面臨的風險來制定相應的響應預案，并依據安全事件處理評估結果進行持續修正，從而達到改進處置恢復策略的目的。風險分析企業可采用定性或定量的分析方法對安全事件造成的 各種影響進行等級判斷：定量分析：以量化方法，評估業務功能的中斷可能給企業帶來的直接經濟損失和間接經濟損失。定性分析：運用歸納與演繹、分析與綜合以及抽象等方法評估業務功能的中斷可能給企業帶來的非經濟損失，包括企業聲譽、顧客忠誠度、社會與政治影響等。風險定義與預案制定通過對工業互聯網系統面臨的內外部風險進行識別和定義，結合企業自身安全框架分析評估風險發生的可能性， 從而制定適合企業自身需要的處置恢復機制。處置恢復效果評估當企業發生安全事件后，要及時分析事件的影響范圍與程度，評估企業處置恢復方案的適用性與有效性。處置恢復方案改進通過分析結果，對工業互聯網系統面臨的風險進行確認， 分析總結此次事件處置恢復所消耗的資源成本以及風險造成的損失，檢驗處置恢復預案的落實與管理是否符合處置恢 復目標的要求，并通過實際案