1

CONTENTS

01

工業互聯網安全的內涵與范疇···············4

02

工業互聯網安全需求···························6

2.1工業互聯網安全現狀與問題················6

2.2工業互聯網安全發展趨勢···················7

2.35G+工業互聯網安全亟需關注············10

03

目工業互聯網安全架構的定位與作用·······11

錄

04

工業互聯網安全總體架構····················13

4.1體系架構設計方法論·······················13

4.2體系架構設計原則··························13

4.3工業互聯網安全體系架構··················14

4.45G+工業互聯網安全參考架構············15

4.5工業互聯網安全+AI參考架構············16

05

安全業務視圖···································18

5.1總體業務視圖·······························19

5.2行業維度·····································20

5.3企業維度·····································21

5.4建設維度·····································21

5.5安全能力·····································21

3

09

安全標準··························································85

9.1工業安全國際標準·············································87

9.2工業安全國家標準·············································89

9.3云計算安全國際標準··········································89

9.4云計算安全國家標準··········································89

9.55G安全國際標準··············································90

06

安全功能視圖·································239.65G安全國家標準··············································90

6.1工業互聯網安全特殊性····················239.7AI安全國際標準···············································91

6.2總體功能視圖·····························259.8AI安全國家標準···············································94

6.3防護對象維度·····························25

6.4防護措施維度·····························27

6.5防護管理維度·····························3110

垂直行業應用實踐··············································94

10.1讓集團多工廠安全的網絡互聯以滿足個性化制造·········94

0710.2讓數字化采油更安全·········································105

安全實施視圖·································3310.35G+智能制造安全解決方案································111

7.1安全實施總體框架··························33

10.2智能電網安全+AI解決方案································117

7.2邊緣安全防護系統實施·····················34

7.3企業安全防護系統實施·····················39

7.4企業安全管理平臺實施····················42

7.5省/行業級安全平臺實施···················4511

工業互聯網安全發展展望····································124

7.6國家級安全平臺實施························46

0812

安全技術視圖·································47關于六方云·····················································125

8.1安全技術體系總覽··························4712.1六方云新一代工業互聯網安全體系·························126

8.25G+工業互聯網安全·······················4912.2六方云5+1工業互聯網安全產品體系······················126

8.3工業互聯網安全+AI························67參考資料··································································127

4

01

工業互聯網安全的內涵與范疇

面對第四次工業革命與新一輪數字化浪潮，全球領先國家無不將制造業

數字化作為強化本國未來產業競爭力的戰略方向。眾多國家在推進制造業數

字化的過程中，都提出了工業數字化革命的參考架構，如德國推出工業4.0

參考架構RAMI4.0、美國推出工業互聯網參考架構IIRA、日本推出工業價

值鏈參考架構IVRA，其核心目的是以參考架構來凝聚產業共識與各方力量，

指導技術創新和研發產品解決方案，引導制造企業開展應用探索與實踐，并

組織標準體系建設與標準制定，從而推動一個創新型領域從概念走向落地。

六方云2015年，中國提出了《中國制造2025》戰略，總體思路是堅持走中國

特色新型工業化道路，促進制造業創新發展，提質增效，加快新一代信息技

術與制造業融合，推進智能制造，滿足經濟社會發展和國防建設對重大技術

裝備需求，通過“三步走”實現制造強國的戰略目標。

在新一代信息技術與制造技術深度融合的背景下，在工業數字化、網絡

化、智能化轉型需求的帶動下，以泛在互聯、全面感知、智能優化、安全穩

固為特征的工業互聯網應運而生。工業互聯網作為全新工業生態、關鍵基礎

設施和新型應用模式，通過人、機、物的全面互聯，實現人、物品、機器、

車間、企業等全要素以及設計、研發、生產、管理、服務等全產業鏈各環節

的泛在互聯。為縮短產品上市周期的產品價值鏈，提高生產率的業務價值鏈，

提升業務靈活性的資產價值鏈等全價值鏈的全面連接，工業互聯網正在全球

范圍內不斷顛覆傳統制造模式、生產組織方式和產業形態，推動傳統產業加

快轉型升級、新興產業加速發展壯大。因此，工業互聯網是實體經濟數字化

轉型的關鍵支撐，也是實現工業革命的重要基石。

工業互聯網安全的內涵與范疇5

2017年11月27日，國務院發布了《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》，提出

要加快發展工業互聯網，構建網絡、平臺、安全三大功能體系，強化工業互聯網安全保障，突出強調了工業互聯網

安全的基礎性和戰略性地位，為今后我國工業互聯網安全工作制定了時間表和路線圖，根據國務院發布的《指導意

見》，工業互聯網包括網絡、平臺和安全三大體系，網絡體系是基礎，平臺體系是核心，安全體系是保障。

工業互聯網三大核心要素包括智能設備、智能系統、智能決策。（1）智能設備：安裝了各種傳感器，能夠收集

生產過程中產生的數據；（2）智能系統：包括許多傳統的網絡系統，同時也包括在機隊和網絡間廣泛部署且內置

軟件的機械裝置的組合，隨著加入工業互聯網的機床和設備增加，機械裝置在機隊和網絡間的協同效應就可以實現。

智能系統需具備四大特征：網絡協同、更優維修、智能恢復和智能學習；（3）智能決策：是工業互聯網的長期愿景，

它是工業互聯網的元素按設備、按系統組合的過程中所收集知識的頂點。

工業互聯網的網絡體系將連接對象延伸到機器設備、工業產品和工業服務中，以實現人、機器、車間、企業等

主體在設計、研發、生產、管理、服務等產業鏈各環節的全要素的泛在互聯及數據的順暢流通，從而形成工業智能

化的“血液循環系統”。工業互聯網平臺是工業互聯網三大核心要素之一的智能決策的承載者，是工業全要素鏈接

的樞紐與工業資源配置的核心，在工業互聯網體系架構中具有至關重要的地位。目前工業互聯網平臺的發展正處于

規?；瘮U張期，以美、德為代表的世界主要國家紛紛將工業互聯網平臺作為戰略重點，各國領軍企業通過發展工業

互聯網平臺，不斷鞏固和強化他們在制造業的地位。工業互聯網安全是工業信息安全的核心，直接決定工業生產安全，

更關乎經濟發展、社會穩定乃至國家安全。工業互聯網安全從三大核心要素的角度來看，包括智能設備安全、智能

系統安全和智能決策安全，其中智能決策安全主要體現在工業互聯網平臺安全。

在“工業4.0”及《中國制造2025》的大潮下，工業控制系統正朝著高度信息化方向發展，越來越多的工控系

統及設備接入互聯網，讓更多的網絡攻擊手段有了可乘之機，網絡空間的安全問題開始延伸到工控系統中，工業互

聯網安全是工業互聯網業務目標達成、功能正常運行、建設順利實施的重要保障。

新一代信息技術在加速信息化與工業化深度融合發展的同時，也帶來了日趨嚴峻的信息安全問題。工業信息化、

自動化、網絡化、智能化等基礎設施是工業的核心組成部分，是工業各行業、企業的神經中樞，工業互聯網安全的

核心任務就是要確保這些工業神經中樞的安全。工業互聯網安全事關經濟發展、社會穩定和國家安全，是網絡安全

的重要組成。

從內容來看，工業互聯網安全涉及工業領域各個環節，包括工業控制系統信息安全（簡稱工控安全）、工業大

數據安全、工業云安全、工業電子商務安全等內容。

隨著IT與OT加速融合一體化，工業互聯網的快速發展為工業信息系統的整體安全防護帶來更大的挑戰。目前，

工業互聯網平臺安全、工業網絡基礎設施安全、工業數據安全以及IT/OT的融合安全等領域的技術研究和產品應用

均處于起步階段，但隨著防護對象保障需求的變化，工業信息安全產業的邊界也將不斷延伸擴展。六方云

6工業互聯網安全的內涵與范疇

02

工業互聯網安全需求

2.1工業互聯網安全現狀與問題

當前，工業系統安全保障體系建設已較為完備，伴隨新一代信息通信技

術與工業經濟的深度融合，工業互聯網步入深耕落地階段，工業互聯網安全

保障體系建設的重要性越發凸顯。世界各主要發達國家均高度重視工業互聯

網的發展，并將安全放在了突出位置，發布了一系列指導文件和規范指南，

為工業互聯網相關企業部署安全防護提供了可借鑒的模式，從一定程度上保

障了工業互聯網的健康有序發展，但隨著工業互聯網安全攻擊日益呈現出的

六方云新型化、多樣化、復雜化，現有的工業互聯網安全保障體系還不夠完善，暴

露出一些問題：

?數據隱私和數據安全防護缺乏有效手段

工業互聯網平臺采集、存儲和利用的數據資源存在數據體量大、種類多、

關聯性強、價值分布不均等特點，數據隱私與安全主要關注：

（1）數據包含了敏感或個人隱私信息，因此數據在價值挖掘使用和發

布的場景中可能會給個人、第三方和國家帶來危害和損失，因此對隱私和重

要數據的處理、使用、操作、發布、交換等生產流通環節都有安全與合規的

要求；

（2）數據需要多方的多維度融合才能創造價值，但往往每方都有自己

數據的產權保護、個人數據和重要數據的合規責任，因此需要更安全的數據

融合環境；

（3）生產數據的每個環節需要相應的安全控制。工業互聯網要健康、

工業互聯網安全需求7

順利地發展，首要要解決企業對數據和隱私的擔憂。

?OT與IT兩個領域人員融合較慢，安全意識亟需提升

工業現場缺乏信息安全專家，對工業系統的信息安全關注度和重視度都不高，信息安全專家在面對生產優先的

工業系統往往束手無策、畏手畏腳。大部分工業互聯網相關企業重發展輕安全，對網絡安全風險認識不足。此外，

很多智能工廠內部未部署安全控制器、安全開關、安全光幕、報警裝置、防爆產品等，并缺乏針對性的工業生產安

全意識培訓和操作流程規范，使得人身安全難以得到保證。

?工業信息安全存在先天不足，安全防護能力難以快速提升

工控系統和設備在設計之初缺乏安全考慮，自身計算資源和存儲空間有限，大部分不能支持復雜的安全防護策略，

很難確保系統和設備的安全可靠。同時，當前專業工業信息安全企業和解決方案較少，工業企業風險發現、應急處

置等網絡安全防護能力普遍較弱。同時，工業生產迭代周期長，安全防護部署滯后整體水平低，存量設備難以快速

進行安全防護升級換代，整體安全防護能力提升時間長。

2.2工業互聯網安全發展趨勢

總體趨勢：傳統的安全防御技術已無法抗衡新的安全威脅，防護理念將從被動防護轉向主動防御。

?融合安全技術成為OT與IT融合趨勢下的必然選擇

工業互聯網是滿足工業智能化發展需求，具有低時延、高可靠、廣覆蓋特點的關鍵網絡基礎設施，是新一代信

息通信技術與先進制造業深度融合所形成的新興業態與應用模式。

工業控制系統面臨安全事件危害范圍擴大、危害程度加深、信息安全與功能安全問題交織等安全風險；控制環

境方面表現為信息技術（IT）與操作技術（OT）融合，控制網絡由封閉走向開放；控制布局方面表現為控制范圍

從局部擴展至全局，并伴隨著控制監測上移與實時控制下移。

工業互聯網安全所采用的技術必須具備IT安全、OT安全、IT與OT融合安全技術(工業VPN、工業NAT、

工業入侵檢測、工控網絡接入控制、無需依賴外部特征庫的AI智能分析與檢測)等才能夠滿足工業互聯網安全建

設目標，從而使得工業防護系統既防護OT內部威脅，也防護IT外部威脅。

?工業互聯網未知威脅防范成為難點

新基建筑牢基礎并加速工業數字化轉型，強化工業互聯網建設、催生5G/IOT等新場景機會。數字化轉型時代，

經濟利益驅動網絡攻擊不斷升級，關鍵基礎設施和工業互聯網保護面臨更大挑戰。

首先，超大規模泄露已趨于常態化。據報道“每月上億條信息泄露，涉及政府數據、醫療信息、賬戶憑證、企

業用戶信息等敏感數據，平均數據泄露成本高達392萬美元”。

其次，勒索軟件手段升級、加大賭注。勒索軟件轉向有針對性威脅，80%六方云的攻擊針對企業，其中68%的要錢，

并演進為兩階段攻擊。攻擊目標從盲目感染到針對財務/ERP等高價值資產，手段從釣魚方式投遞到利用APT高危

漏洞，套現方式變為先在互聯網部分公開竊取數據催繳贖金，獲取贖金后，繼續販賣竊取的信息。

最后，關鍵基礎設施面臨更大的風險。90%的受訪企業在過去兩年遭遇過網絡攻擊，其中一半的網絡攻擊造成

關鍵基礎設施的“停轉”。

0Day漏洞依然是最有效的攻擊工具，一些組織依然不計成本來購買并自己挖掘0Day漏洞來進行攻擊，針對

0Day漏洞的網絡流量入侵，惡意文件攻擊檢測成為關鍵。

（1）APT主要利用未公開的漏洞，來繞過基于已知特征的IPS防御。根據美國Rand國家智庫2018年的報道：

在7.6萬CVE漏洞中，未公開的漏洞利用工具占87.2%，貢獻了50%的攻擊事件。由于獲得和開發漏洞利用工具

的成本高，這些未公開的漏洞利用工具主要用于具備高攻擊價值的目標。而這些未公開的利用漏洞利用工具都沒有

IPS簽名特征，可直接穿透IPS設備。

（2）海量惡意軟件變異頻繁，無法準確檢測。據報道，互聯網上大約每天33萬、全年1.2億個惡意軟件變種，

安全分析人員無法分析海量惡意樣本，導致大部分惡意變種都不能檢測出來。

（3）黑客也利用AI來發起高效攻擊。美國安全企業ZeroFOX公司于2017年發起了一項實驗，希望測試AI

8工業互聯網安全需求

在發動網絡釣魚攻擊方面是否比人類更為擅長。該公司利用AI發起魚叉式釣魚，AI攻擊機器監控社交媒體上的用

戶行為，而后創建并發布自己的釣魚誘餌，以6.75條/分鐘的速度向800多名用戶發送魚叉式釣魚推文，快速引

誘到275名受害者。人類攻擊者則以1.075條/分鐘的速度發送推文，且這種方式僅吸引到49名用戶。AI攻擊成

功率可達到人類攻擊者的6倍，傳統安全防護技術顯得力不從心。

在實現態勢感知的過程中，對采集的大量安全數據如何進行分析，發現潛在風險一直是個難點，尤其是面對工

業互聯網平臺復雜的架構。面對這一難題，應當引入目前已經逐漸成熟的機器學習技術，通過AI的助力去認知網絡、

學習現狀、總結風險，從而將主動防御這一目標落實，實現更高的安全防護水平。

?云平臺成為安全防護的重點

未來制造系統將呈現扁平化特征，傳統以ISA-95為代表的“金字塔”體系結構被逐漸打破，ERP、MES、

PLM等處于不同層次的管理功能基于平臺實現集成融合應用，工業互聯網平臺將成為未來制造系統的中樞與核心

環節。借助平臺提供的數據流暢傳遞和業務高效協同能力，能夠第一時間將生產現場數據反饋到管理系統進行精準

決策，也能夠及時將管理決策指令傳遞到生產現場進行執行，通過高效、直接的扁平化管理實現制造效率的全面提升。

平臺作為工業互聯網的核心，匯聚了各類工業資源，因而在未來的防護中，對于平臺的安全防護將備受重視。

平臺使用者與提供商之間的安全認證、設備和行為的識別、敏感數據的共享等安全技術將成為剛需。

當前工業互聯網平臺主要采用云計算和大數據技術搭建而成，針對云平臺的保護顯得尤為重要。企業工業互聯

網云平臺有如下安全風險或難題需要解決：

（1）云內更多東西訪問，邊界防護失效:缺乏威脅隔離機制，網絡威脅一旦進入云平臺內部，可以肆意橫向蔓延；

（2）流量流向不可視：用戶無法直觀感受到虛機之間數據流量大小、流向變化；

（3）威脅態勢無感知，虛擬層漏洞不易修復：云內主機成倍增加，橫向訪問占據80%以上，安全態勢難以全

局掌控；

（4）安全策略調整不靈活：云內IP地址動態分配、虛機遷移隨時發生，安全策略需自動跟隨；

（5）網絡邊界消失，硬件設備無法部署：虛機位置不確定、IP地址動態分配、VLAN隔離方式太復雜，業務

區域邊界不確定；

（6）關鍵數據被竊取：相較于外部攻擊，惡意的內部人員造成的危害風險更大，而缺乏相關審計措施。

?內生安全防御和補償式安全防御將長期并存

內生安全防御通常在設備層面通過對設備芯片與操作系統進行安全加固，并對設備配置進行優化的方式實現應

用程序脆弱性分析。可通過引入漏洞挖掘技術，對工業互聯網應用及控制系統采取靜態挖掘、動態挖掘，實現對自

身隱患的常態化排查；各類通信協議安全保障機制可在新版本協議中加入數據加密、身份驗證、訪問控制等機制提

升其安全性。

但另一方面，工業現場還存在大量的不安全控制協議、不安全的工業設備、不可靠的工控網絡、不安全的工業六方云

軟件等，而更新這些系統又顯得不現實，而且周期特別長，同時完全采用內生安全防御方式，在某些情況下并非經

濟高效，所以采用類似網關的補充式安全防御也非常必要。

?工業互聯網安全防護自動化與智能化將不斷發展

國務院關于深化“互聯網+先進制造業”發展工業互聯網的指導意見中支持，工業互聯網通過系統構建網絡、

平臺、安全三大功能體系，向數字化、網絡化和智能化轉型，形成智能化發展的新興業態和應用模式。在“工業互

聯網+安全生產”新型基礎設施三大體系中，網絡是基礎，平臺是核心，安全是保障。

工業互聯網攻擊專業化、行為國家化、波及關聯嚴重，具有攻擊手段高、攻擊24小時持續不間斷、攻擊對象

種類多等特點，對安全防護人員和技術提出更高的要求，對日益復雜、APT頻發、花樣百出的安全威脅，亟需提出

智能化安全防御方法。

因此，未來對于工業互聯網安全防護的思維模式將從傳統的事件響應式向持續智能響應式轉變，通過自適應、

自學習、自動化改進，構建全面的預測、基礎防護、響應和恢復能力，抵御不斷演變的高級威脅。工業互聯網安全

架構的重心也將從被動防護向持續普遍性的監測響應及自動化、智能化的安全防護轉移，從而構建智能化安全的體

工業互聯網安全需求9

系架構，為我國工業互聯網戰略發展提供安全支撐。

?對大數據的保護將成為防護熱點

工業大數據的不斷發展，對數據分類分級保護、審計和流動追溯、大數據分析價值保護、用戶隱私保護等提出

了更高的要求。未來對于數據的分類分級保護以及審計和流動追溯將成為防護熱點。

首先是應用數據領域的安全解決方案。簡單講就是web應用DLP+應用數據對象的安全管理。前者用于發現

在各種內部業務人員、外包人員（如客服）、合作伙伴（如加盟網店）必須使用敏感數據的場景下，由這些已經有

權限訪問敏感數據的人員或主機發起的數據濫用、數據竊取的風險，并能針對泄露事件快速溯源定位到可疑對象，

從而建立起威懾能力；后者則用于對應用系統上流動的敏感數據類型、數量、數據載體、涉敏數據接口、暴露面、

數據流向、訪問者、操作行為多個對象進行識別，監控狀態變化、分析變化影響和異常分析，以提供給數據安全管

理人員感知企業數據在業務層的流動態勢并輔助進行風險評估。

其次是大數據平臺安全方案。簡單講就是針對大數據平臺（Hadoop以及相關組件）的4A（帳號、認證、授權、

審計）+數據運維和分析的安全管理。前者提供如賬號映射（開源大數據平臺不支持LDAP）、細粒度權限（可以

對表的字段級進行控制）、高危操作識別和攔截、審計等能力，給數據運維和分析場景提供更安全可靠的環境。后

者則對用于對數據庫和大數據平臺及其組件上流動的敏感數據類型、數量、導入和分發數據載體/模型、數據流向、

訪問者、操作行為多個對象進行識別，監控狀態變化、分析變化影響和異常，以提供給數據安全管理人員全面感知

企業數據在運維和分析場景的流動態勢并輔助進行風險評估。

再次是數據地圖。主要圍繞隱私合規要求，梳理和識別隱私數據做分類分級、隱私數據的數據流（采集點、存

儲地域、使用系統和用途、外流去向）、分析隱私數據的授權信息，并按數據主體匯集數據，以提供數據主體權利

的支持（這些均是滿足GDPR、個人信息安全規范合規要求的點）。

?工業互聯網安全態勢監測與感知將成為重要技術手段

借助人工智能、大數據分析以及邊緣計算等技術，基于協議深度解析及事件關聯分析機制，分析工業互聯網當

前運行狀態并預判未來安全走勢，實現對工業互聯網安全的全局掌控，并在出現安全威脅時通過網絡中各類設備的

協同聯動機制及時進行抑制，阻止安全威脅的繼續蔓延。

?5G+工業互聯網應用及安全保障成為國家戰略發展重點

5G具備大帶寬、低時延、海量連接的網絡特性，能夠提供端到端毫秒級時延和接近100%的高可靠性通信保障，

能夠滿足工業大數據無線傳輸和工業領域大量即時處理的需求。

在國家大力推動5G全面協同發展的指導方針和行動計劃下，作為賦能5G應用重點領域的5G+工業互聯網將

深化行業融合應用，包括推進5G模組與AR/VR、遠程操控設備、機器視覺、AGV等工業終端的深度融合，加快

利用5G改造工業內網，打造5G全連接工業示范標桿，形成信息技術網絡與生產控制網絡融合的網絡部署模式，

推動“5G+工業互聯網”服務于生產核心環節。圍繞研發設計、生產制造、運營管理、產品服務等環節，聚焦“5G+六方云

工業互聯網”發展重點行業，打造典型應用場景，持續開展“5G+工業互聯網”試點示范，支持5G在智能制造領

域的深化應用，鼓勵建設“5G+工業互聯網”融合應用先導區，拓展5G應用領域等。

國家《5G應用“揚帆”行動計劃（2021-2023年）》（下稱“行動計劃”）的總體目標是到2023年，在垂直

行業領域，大型工業企業的5G應用滲透率超過35%，電力、采礦等領域5G應用實現規模化復制推廣。與此同時，

隨著5G的大規模應用，網絡安全也面臨更大的挑戰，需要顯著增強關鍵基礎支撐能力，進一步提升5G應用安全

保障能力。《行動計劃》中計劃到2023年底，打造10-20個5G應用安全創新示范中心，樹立3-5個區域示范標桿，

基本形成與5G應用發展相適應的安全保障體系。具體措施包括：

第一，加強5G應用安全風險評估。

構建5G應用安全風險全生命周期安全管理機制，指導企業將5G應用安全風險評估機制納入5G應用研發推廣

工作流程，同步規劃建設運行安全管理和技術措施，并與5G應用同步實施。做好5G應用及關鍵信息基礎設施監

督檢查，提升5G應用安全水平。

第二，開展5G應用安全示范推廣。

鼓勵各地方和企業打造5G應用安全創新示范中心，研發標準化、模塊化、可復制、易推廣的5G應用安全解

10工業互聯網安全需求

決方案，開展5G網絡安全技術應用試點示范和推廣應用，推動最佳實踐在工業、能源、交通、醫療等重點行業頭

部企業落地普及。在5G應用中推廣使用商用密碼，做好密碼應用安全性評估。

第三，提升5G應用安全評測認證能力。

支持與國際接軌的5G安全評測機構建設，構建5G應用與網絡基礎設施安全評價體系，開展5G應用與基礎設

施安全評測和能力認證。

第四，強化5G應用安全供給支撐服務。

支持5G安全科技創新與核心技術轉化，加強5G安全服務模式創新，推動5G安全技術合作和能力共享，鼓勵

跨行業、跨領域制定融合應用場景安全服務方案。加強5G網絡安全威脅信息發現共享與協同處置。

2.35G+工業互聯網安全亟需關注

中國信通院提出“5G+工業互聯網”發展指數模型，從發展環境、基礎設施、產業生態、創新突破四個維度總

結5G+工業互聯網發展趨勢。同理，也可以從這個維度來看5G+工業互聯網安全發展趨勢。

工業互聯網是中國制造強國戰略的核心支撐，5G是中國網絡強國戰略的核心支撐，因此5G+工業互聯網成為

中國兩大強國戰略的堅強支撐。

5G具備大帶寬、低時延、海量連接的網絡特性，能夠提供端到端毫秒級時延和接近100%的高可靠性通信保障，

能夠滿足工業大數據無線傳輸和工業領域大量即時處理的需求。

據統計，2020年全國5G基站建設近70萬個，應用于工業互聯網的5G基站共有3.2萬個。在國家大力推動

5G全面協同發展的指導方針和行動計劃下，作為賦能5G應用重點領域的5G+工業互聯網將深化行業融合應用，

包括推進5G模組與AR/VR、遠程操控設備、機器視覺、AGV等工業終端的深度融合，加快利用5G改造工業內網，

打造5G全連接工業示范標桿，形成信息技術網絡與生產控制網絡融合的網絡部署模式，推動“5G+工業互聯網”

服務于生產核心環節。圍繞研發設計、生產制造、運營管理、產品服務等環節，聚焦“5G+工業互聯網”發展重點

行業，打造典型應用場景，持續開展“5G+工業互聯網”試點示范，支持5G在智能制造領域的深化應用，鼓勵建

設“5G+工業互聯網”融合應用先導區，拓展5G應用領域等。

國家《5G應用“揚帆”行動計劃（2021-2023年）》（下稱“行動計劃”）的總體目標是到2023年，在垂直

行業領域，大型工業企業的5G應用滲透率超過35%，電力、采礦等領域5G應用實現規?；瘡椭仆茝V。與此同時，

隨著5G的大規模應用，網絡安全也面臨更大的挑戰，需要顯著增強關鍵基礎支撐能力，進一步提升5G應用安全

保障能力?！缎袆佑媱潯分杏媱澋?023年底，打造10-20個5G應用安全創新示范中心，樹立3-5個區域示范標桿，

基本形成與5G應用發展相適應的安全保障體系。具體措施包括：

第一，加強5G應用安全風險評估。

構建5G應用安全風險全生命周期安全管理機制，指導企業將5G應用安全風險評估機制納入5G應用研發推廣

工作流程，同步規劃建設運行安全管理和技術措施，并與六方云5G應用同步實施。做好5G應用及關鍵信息基礎設施監

督檢查，提升5G應用安全水平。

第二，開展5G應用安全示范推廣。

鼓勵各地方和企業打造5G應用安全創新示范中心，研發標準化、模塊化、可復制、易推廣的5G應用安全解

決方案，開展5G網絡安全技術應用試點示范和推廣應用，推動最佳實踐在工業、能源、交通、醫療等重點行業頭

部企業落地普及。在5G應用中推廣使用商用密碼，做好密碼應用安全性評估。

第三，提升5G應用安全評測認證能力。

支持與國際接軌的5G安全評測機構建設，構建5G應用與網絡基礎設施安全評價體系，開展5G應用與基礎設

施安全評測和能力認證。

第四，強化5G應用安全供給支撐服務。

支持5G安全科技創新與核心技術轉化，加強5G安全服務模式創新，推動5G安全技術合作和能力共享，鼓勵

跨行業、跨領域制定融合應用場景安全服務方案。加強5G網絡安全威脅信息發現共享與協同處置。

工業互聯網安全需求11

03

工業互聯網安全架構的定位與作用

工業互聯網安全是工業互聯網保障體系。

2015年，面對第四次工業革命與新一輪數字化浪潮，中國提出了《中

國制造2025》戰略，明確工業互聯網是實體經濟數字化轉型的關鍵支撐，

也是實現工業革命的重要基石。

2017年，國務院發布了《關于深化“互聯網+先進制造業”發展工業

互聯網的指導意見》，提出要加快發展工業互聯網，構建網絡、平臺、安全

三大功能體系，強化工業互聯網安全保障，并突出強調了工業互聯網安全的

六方云基礎性和戰略性地位，為今后我國工業互聯網安全工作制定了時間表和路線

圖。

2018年，中國工業互聯網產業聯盟發布了《工業互聯網安全框架》。

美國工業互聯網聯盟從工業物聯網系統IIOT、工業功能IIRA、工業安全

框架IISF三個角度來梳理構建工業互聯網，IISF即《IndustrialInternet

ofThingsVolumeG4:SecurityFramework》，從防護對象、防護管理

和防護措施三個角度系統分別闡述了工業互聯網安全框架。防護對象包括設

備終端、網絡、應用、數據等，防護措施包括威脅防護、監測感知、處置恢

復等，防護管理包括安全目標、風險評估和安全策略配置等。

隨著工業互聯網的發展，工業互聯網面臨越來越嚴峻的安全挑戰，工業

互聯網安全架構也需要重新定義與構建。鑒于一般以參考架構來凝聚產業共

識與各方力量、指導技術創新和產品解決方案研發、引導制造企業開展應用

探索與實踐、組織標準體系建設與標準制定，從而推動一個創新型領域從概

念走向落地，六方云結合自身對工業互聯網以及工業信息安全的深刻理解，

12工業互聯網安全架構的定位與作用

參考了中國工業互聯網產業聯盟發布的《工業互聯網體系架構（版本2.0）》及《工業互聯網安全框架》，美國工

業互聯網安全參考架構（IIRAG4）和美國國土安全部發布《物聯網安全指導原則》，發布本工業互聯網安全架構

白皮書。其核心目的是以工業互聯網安全參考架構來凝聚產業共識與各方力量，指導工業互聯網安全技術創新和產

品解決方案研發，助力工業互聯網從概念走向落地，引導工業企業在開展工業互聯網建設的同時實現安全保障同步

規劃、同步建設與同步實施。

六方云

工業互聯網安全架構的定位與作用13

04

工業互聯網安全總體架構

4.1體系架構設計方法論

本工業互聯網安全架構白皮書的體系架構，參考了主流的安全架構設

計方法論，包括以ISO、IEC、IEEE42010和TOGAF為代表的系統與軟

件工程架構方法論，美國提出的PDRR模型、P2DR模型、IATF框架、黃

金標準框架方法論，Gartner提出的AdaptiveSecurityArchitecture模

型（CARTA屬于自適應架構3.0），Forrester提出的ZeroTrust模型及

MITREATT&CK框架為代表的安全架構方法論；同時借鑒了安全相關參

六方云考架構的設計理念和關鍵要素，包括聯盟發布的工業互聯網架構2.0為代表

的工業互聯網架構，美國工業互聯網安全參考架構（IIRAG4）為代表的工

業互聯網安全架構，IEC62443為代表的工業通信網絡信息安全標準，工業

和信息化部印發《工業控制系統信息安全事件應急管理工作指南》，中國等

級保護2.0標準等。

4.2體系架構設計原則

本工業互聯網安全架構白皮書的體系架構設計原則，總體上遵循等級保

護2.0技術要求和關鍵信息基礎設施保護要求。

等保2.0提出“分等級保護、突出重點、積極防御、綜合防護”的基本

原則，建立具有動態防御、主動防御、縱深防御、精準防護、整體防護、聯

防聯控六大安全能力的“打防管控”一體化網絡安全綜合防御體系。

關鍵信息基礎設施的安全保護提出“重點保護、整體防護、動態風控、

14工業互聯網安全總體架構

協同參與”的基本

原則，建立網絡安全綜合防御體系。重點保護是指關鍵信息基礎設施網絡安全保護應首先符合網絡安全等級保

護政策及GB/T22239-2019等標準相關要求，在此基礎上加強關鍵信息基礎設施關鍵業務的安全保護；整體防護

是指基于關鍵信息基礎設施承載的業務，對業務所涉及的多個網絡和信息系統（含工業控制系統）等進行全面防護；

動態風控是指以風險管理為指導思想，根據關鍵信息基礎設施所面臨的安全風險對其安全控制措施進行調整，以及

時有效地防范應對安全風險；協同參與是指關鍵信息基礎設施安全保護所涉及的利益相關方，共同參與關鍵

信息基礎設施的安全保護工作。

4.3工業互聯網安全體系架構

圖3-1工業互聯網安全體系架構

工業互聯網安全體系架構參照ISO/IEC/IEEE42010標準以及TOGAF架構開發方法，基于安全需求，從利益

相關者、垂直行業、安全視角三個角度出發，構建業務、功能、實施、技術四個視圖。六方云

從利益相關者角度看，工業互聯網安全相關者包括產業、企業和工業互聯網安全受益消費者。

從垂直行業橫向的角度看，工業互聯網安全架構指導電力、石油石化、軌交、鋼鐵生產和高端設備制造等領域

的安全建設，同時工業互聯網安全架構實施要取得良好效果，也需要將不同行業和地區的人才組織在一個開放的知

識框架內，使人才作為垂直行業工業互聯網安全創新的核心動力之一。

從安全視角看，可以從安全業務、安全功能、安全實施、安全技術四個視圖來構建工業互聯網安全體系。

?安全業務視圖

明確企業在建設工業互聯網時在安全體系方面要實現的目標、方向、業務場景及相應的安全防護能力。安全業

務視圖主要用于指導企業在商業層面明確工業互聯網安全的定位和作用，提出的安全能力需求對于后續功能架構設

計有重要指引。

?安全功能視圖

明確企業在建設工業互聯網安全時要實現的核心功能、基本原理和關鍵要素。安全功能架構主要用于指導企業

工業互聯網安全總體架構15

構建工業互聯網安全的支撐能力與核心功能，并為后續工業互聯網安全實施框架的制定提供參考。

?安全實施視圖

描述各項安全功能在企業落地實施的安全層級結構、安全軟硬件系統和部署方式。安全實施框架結合聯盟在工

業互聯網架構2.0中提出了設備層、邊緣層、企業層、產業層四層組成的實施框架層級劃分，明確了各層級的安全

的系統架構、部署方式以及不同系統之間關系。實施框架主要為企業提供工業互聯網安全具體落地的統籌規劃與建

設方案，進一步可用于指導企業技術選型與系統搭建。

?安全技術視圖

闡述了工業互聯網安全業務、功能、實施所需要的技術體系與技術措施。

4.45G+工業互聯網安全參考架構

圖3-25G+工業互聯網安全參考架構

5G+工業互聯網安全參考架構是基于制度建設，以我國的安全政策，相關法律和行業安全規劃為主要指導原則，

以產業支撐等全局視野統籌安排，融合5G和工業互聯網，為滿足工業互聯網安全的各個層面需求而構建的一體化

安全防御體系。其包括安全技術、安全管理、安全運維及安全生態四大體系部分。

?安全技術體系六方云

安全技術體系是依據信息安全等級保護等安全要求，構建對工業控制、感知終端、網絡通信、系統及應用的安

全防護，以及數據安全保障。

?安全管理體系

安全管理體系是依據信息安全等級保護等安全要求，ISO27001標準，管理和規范安全機構、安全制度、安全

人員及安全建設等方面。

?安全運維體系

安全運維體系針對工業互聯網，參考工業互聯網產業聯盟（AII）等組織標準，有效地將技術和管理結合起來，

保障工業互聯網的安全運行。

?安全生態體系

安全生態體系主要是明確產業鏈各不同主體的責任和義務，加強協同合作。

在5G+工業互聯網安全參考架構中，按照不同層級來看，主要包括如下幾方面：

16工業互聯網安全總體架構

第一，企業工業互聯網安全技術方案層

企業工業互聯網安全技術方案需要符合等保要求，以《網絡安全等級保護基本要求》《網絡安全等級保護安全

設計技術要求》等國家標準文件為依據，按照安全措施的保護能力級別滿足要求，構建包括物理環境安全，通信網

絡安全，區域邊界安全，計算環境安全和安全管理中心的工業智能化發展的安全可信環境。

第二，5G+工業互聯網場景化安全能力定制層

作為工業互聯網的重要基礎設施，5G在使能工業互聯網的過程中，要結合具體的業務場景，基于5G網絡自身

的安全能力提供定制化的安全方案，來滿足工業互聯網自身的等級保護需求。

第三，5G網絡安全能力層

要具備靈活的5G網絡安全能力，參照ITUX.805定義的安全體系架構和3GPPTS33.501等5G安全規范，并

遵循《電信網和互聯網管理安全等級保護要求》，通過提供無線接入安全、5GC安全、MEC安全、切片安全及管

理安全端到端的安全通信能力。

4.5工業互聯網安全+AI參考架構

六方云圖3-3工業互聯網安全+AI參考架構

截至目前，網絡安全技術經歷了兩次進階:訪問控制、特征比對，迫切需要“行為分析”的第三次進階;截至目前，

網絡安全能力經歷了兩次革命：數字化、服務化，迫切需要“自動化、智能化”的第三次革命；AI技術已經在語音

識別、人臉識別、視頻處理、人機交互等領域獲得巨大成功，其被認為是目前實現“安全行為分析”、“安全能力

自動化和智能化”的最好和最現實的手段。

工業互聯網安全+AI參考架構分為基