工業(yè)互聯(lián)網(wǎng)安全白皮書

1、工業(yè)互聯(lián)網(wǎng)安全白皮書目錄 HYPERLINK l _bookmark0 一、 工業(yè)互聯(lián)網(wǎng)安全概述1 HYPERLINK l _bookmark1 （一） 工業(yè)互聯(lián)網(wǎng)概念內涵1 HYPERLINK l _bookmark2 （二） 工業(yè)互聯(lián)網(wǎng)安全框架內容與范圍2 HYPERLINK l _bookmark3 二、 相關網(wǎng)絡安全框架分析3 HYPERLINK l _bookmark4 （一） 傳統(tǒng)網(wǎng)絡安全框架3 HYPERLINK l _bookmark5 （二） 工業(yè)互聯(lián)網(wǎng)安全框架8 HYPERLINK l _bookmark6 （三） 相關框架共性分析及經(jīng)驗借鑒10 HYPERLINK l _

2、bookmark7 三、 工業(yè)互聯(lián)網(wǎng)安全框架設計12 HYPERLINK l _bookmark8 （一） 設計思路12 HYPERLINK l _bookmark9 （二） 安全框架13 HYPERLINK l _bookmark10 （三） 防護對象視角16 HYPERLINK l _bookmark11 （四） 防護措施視角17 HYPERLINK l _bookmark12 （五） 防護管理視角18 HYPERLINK l _bookmark13 四、 工業(yè)互聯(lián)網(wǎng)安全防護措施實施20 HYPERLINK l _bookmark14 （一） 設備安全21 HYPERLINK l _boo

3、kmark15 （二） 控制安全23 HYPERLINK l _bookmark16 （三） 網(wǎng)絡安全27 HYPERLINK l _bookmark17 （四） 應用安全31 HYPERLINK l _bookmark18 （五） 數(shù)據(jù)安全35 HYPERLINK l _bookmark19 （六） 監(jiān)測感知39 HYPERLINK l _bookmark20 （七） 處置恢復41 HYPERLINK l _bookmark21 五、 工業(yè)互聯(lián)網(wǎng)安全發(fā)展趨勢與展望46 PAGE 50 PAGE 49 一、 工業(yè)互聯(lián)網(wǎng)安全概述（一）工業(yè)互聯(lián)網(wǎng)概念內涵工業(yè)互聯(lián)網(wǎng)是滿足工業(yè)智能化發(fā)展需求，具有低時

4、延、 高可靠、廣覆蓋特點的關鍵網(wǎng)絡基礎設施，是新一代信息通信技術與先進制造業(yè)深度融合所形成的新興業(yè)態(tài)與應用模式。工業(yè)互聯(lián)網(wǎng)深刻變革傳統(tǒng)工業(yè)的創(chuàng)新、生產(chǎn)、管理、服務方式，催生新技術、新模式、新業(yè)態(tài)、新產(chǎn)業(yè)，正成為繁榮數(shù)字經(jīng)濟的新基石、創(chuàng)新網(wǎng)絡國際治理的新途徑和統(tǒng)籌兩個強國建設的新引擎。工業(yè)互聯(lián)網(wǎng)包括網(wǎng)絡、平臺、安全三大體系。其中，網(wǎng)絡體系是基礎。工業(yè)互聯(lián)網(wǎng)將連接對象延伸到工業(yè)全系統(tǒng)、全產(chǎn)業(yè)鏈、全價值鏈，可實現(xiàn)人、物品、機器、車間、企業(yè) 等全要素，以及設計、研發(fā)、生產(chǎn)、管理、服務等各環(huán)節(jié)的 泛在深度互聯(lián)。平臺體系是核心。工業(yè)互聯(lián)網(wǎng)平臺作為工業(yè) 智能化發(fā)展的核心載體，實現(xiàn)海量異構數(shù)據(jù)匯聚與建模分析、

5、工業(yè)制造能力標準化與服務化、工業(yè)經(jīng)驗知識軟件化與模塊 化、以及各類創(chuàng)新應用開發(fā)與運行，支撐生產(chǎn)智能決策、業(yè) 務模式創(chuàng)新、資源優(yōu)化配置和產(chǎn)業(yè)生態(tài)培育。安全體系是保 障。建設滿足工業(yè)需求的安全技術體系和管理體系，增強設備、網(wǎng)絡、控制、應用和數(shù)據(jù)的安全保障能力，識別和抵御安全威脅，化解各種安全風險，構建工業(yè)智能化發(fā)展的安全可信環(huán)境。（二）工業(yè)互聯(lián)網(wǎng)安全框架內容與范圍工業(yè)領域的安全一般分為三類，信息安全（Security）、功能安全（Functional Safety）和物理安全（Physical Safety）。傳統(tǒng)工業(yè)控制系統(tǒng)安全最初多關注功能安全與物理安全，即防止工業(yè)安全相關系統(tǒng)或設備的功能失效

6、，當失效或故障發(fā)生時，保證工業(yè)設備或系統(tǒng)仍能保持安全條件或進入到安全狀態(tài)。近年來，隨著工業(yè)控制系統(tǒng)信息化程度的不斷加深， 針對工業(yè)控制系統(tǒng)的信息安全問題不斷凸顯，業(yè)界對信息安全的重視程度逐步提高。與傳統(tǒng)的工控系統(tǒng)安全和互聯(lián)網(wǎng)安全相比，工業(yè)互聯(lián)網(wǎng)的安全挑戰(zhàn)更為艱巨：一方面，工業(yè)互聯(lián)網(wǎng)安全打破了以往相對明晰的責任邊界，其范圍、復雜度、風險度產(chǎn)生的影響要大得多，其中工業(yè)互聯(lián)網(wǎng)平臺安全、數(shù)據(jù)安全、聯(lián)網(wǎng)智能設備安全等問題越發(fā)突出；另一方面，工業(yè)互聯(lián)網(wǎng)安全工作需要從制度建設、國家能力、產(chǎn)業(yè)支持等更全局的視野來統(tǒng)籌安排，目前很多企業(yè)還沒有意識到安全部署的必要性與緊迫性，安全管理與風險防范控制工作亟需加強。因

7、此，工業(yè)互聯(lián)網(wǎng)安全框架需要統(tǒng)籌考慮信息安全、功能安全與物理安全，聚焦信息安全，主要解決工業(yè)互聯(lián)網(wǎng)面臨的網(wǎng)絡攻擊等新型風險，并考慮其信息安全防護措施的部署可能對功能安全和物理安全帶來的影響。由于物理安全相關防護措施較為通用，故在本框架中不作重要考慮，主要對工業(yè)互聯(lián)網(wǎng)的信息安全與功能安全進行討論。二、 相關網(wǎng)絡安全框架分析（一）傳統(tǒng)網(wǎng)絡安全框架1、OSI 安全體系結構OSI 安全體系結構是國際標準化組織（ISO）在對 OSI 開放系統(tǒng)互聯(lián)環(huán)境的安全性深入研究的基礎上提出的。它定義了為保證 OSI 參考模型的安全應具備 5 類安全服務，包括鑒別服務、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性和不可抵賴性， 以

8、及為實現(xiàn)這 5 類安全服務所應具備的 8 種安全機制，包括加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完整性、鑒別交換、業(yè)務流填充、路由控制以及公證。OSI 安全體系結構如圖 1 所示， 安全體系結構中的 5 類安全服務及 8 種安全機制可根據(jù)所防護網(wǎng)絡的具體要求適當?shù)嘏渲糜?OSI 參考模型的 7 個層次中。圖 1 OSI 安全體系結構OSI 安全體系結構針對 OSI 參考模型中層次的不同，部署不同的安全服務與安全機制，體現(xiàn)出分層防護的思想，具有很好的靈活性。然而，OSI 安全體系結構專注于網(wǎng)絡通信系統(tǒng)，其應用范圍具有一定的局限性。同時，OSI 安全體系結構實現(xiàn)的是對網(wǎng)絡的靜態(tài)安全防護，而網(wǎng)絡的安全防護具

9、有動態(tài)性，該體系結構對于持續(xù)變化的內外部安全威脅缺乏足夠的監(jiān)測與應對能力。此外，OSI 安全體系結構主要從技術層面出發(fā)對網(wǎng)絡的安全防護問題進行討論，未考慮管理在安全防護中的地位和作用。面對更復雜更全面的安全保障要求，僅依靠 OSI 安全體系結構是遠遠不夠的。2、P2DR 模型P2DR（Policy Protection Detection Response）模型是美國ISS 公司提出的動態(tài)網(wǎng)絡安全體系模型。P2DR 模型建立在基于時間的安全理論基礎之上，將網(wǎng)絡安全的實施分為防護、檢測和響應三個階段。在整體安全策略的指導下部署安全防護措施，實時檢測網(wǎng)絡中出現(xiàn)的風險，對風險及時進行處置， 并對處置

10、過程中的經(jīng)驗進行總結以便對防護措施進行調整和完善。這使得防護、檢測和響應組成了如圖 2 所示的動態(tài)安全循環(huán)，從而保證網(wǎng)絡的安全。圖 2 P2DR 模型P2DR 模型是一種基于閉環(huán)控制的動態(tài)安全模型，適用于需要長期持續(xù)安全防護的網(wǎng)絡系統(tǒng)。從總體上來講，該模型與 OSI 安全體系結構一樣，都局限于從技術上考慮網(wǎng)絡的安全問題，忽視了管理對于安全防護的重要性，在模型的具體實施過程中極有可能因安全策略執(zhí)行的不當影響安全防 護效果。3、信息保障技術框架IATF（Information Assurance Technical Framework，信息保障技術框架）是美國國家安全局于 1998 年提出的，該框

11、架縱深防御策略KMI/PKI監(jiān)測&響應計算環(huán)境網(wǎng)絡邊界支撐性基礎設施網(wǎng)絡&基礎設施縱深防御區(qū)域劃分操作技術人安全三要素安全保障提出保障信息系統(tǒng)安全應具備的三個核心要素，即人、技術和操作。其中，人這一要素包括保障人身安全、對人員進行培訓、制定安全管理制度等，強調了人作為防護措施的具體實施者在安全防護中的重要地位。技術這一要素強調要在正確的安全策略指導下采取措施來為信息系統(tǒng)提供安全保障 服務并對入侵行為進行檢測。操作這一要素則明確了要保證信息系統(tǒng)的日常安全應采取的具體防護手段。此外，該框架將網(wǎng)絡系統(tǒng)的安全防護分為網(wǎng)絡和基礎設施防御、網(wǎng)絡邊界防御、局域計算環(huán)境防御和支撐性基礎設施防御四部分。在每個部

12、分中 IATF 都描述了其特有的安全需求和相應的可供選擇的技術措施，為更好地理解網(wǎng)絡安全的不同方面、分析網(wǎng)絡系統(tǒng)的安全需求以及選取恰當?shù)陌踩烙鶛C制提供了 依據(jù)。IATF 的具體內容如圖 3 所示。圖 3 信息保障技術框架IATF 通過對上述四個部分分別部署安全保障機制，形成對網(wǎng)絡系統(tǒng)的縱深防御，從而降低安全風險，保障網(wǎng)絡系統(tǒng)的安全性。但 IATF 與 OSI 安全體系結構一樣，實現(xiàn)的都是對網(wǎng)絡系統(tǒng)的靜態(tài)安全防護，并未對網(wǎng)絡系統(tǒng)部署動態(tài)持續(xù)的安全防護措施。4、IEC62443管理信息層現(xiàn)場設備層Internet防火墻離心泵路由器數(shù)據(jù)單向傳輸裝置交換機路由器交換機PLC2斷路器身份認證系統(tǒng)交換機

13、PLC3閘閥辦公終端遠程訪問公共歷史服務器服務器內部歷史服務器服務器1入侵檢測PLC1工程師站操作員站現(xiàn)場控制層IEC62443 是國際電工委員會工業(yè)過程測量、控制與自動化/網(wǎng)絡與系統(tǒng)信息安全工作組（IEC/TC65/WG10）與國際自動化協(xié)會（ISA99）共同制定的工業(yè)控制系統(tǒng)安全防護系列標準。該標準將工業(yè)控制系統(tǒng)按照控制和管理的等級劃分成相對封閉的區(qū)域，區(qū)域之間的數(shù)據(jù)通訊通過管道進行，通過在管道上安裝信息安全管理設備來實現(xiàn)分級保護，進而實現(xiàn)如圖 4 所示的控制系統(tǒng)的網(wǎng)絡安全縱深防御。圖 4 IEC62443 實施案例IEC62443 系列標準中對于安全技術與安全管理的實施均提出了要求，但從

14、總體上來看，與 OSI 安全體系結構和IATF 一樣，實現(xiàn)的都是靜態(tài)安全防護。而工業(yè)互聯(lián)網(wǎng)的安全防護是一個動態(tài)過程，需要根據(jù)外部環(huán)境的變化不斷進行調整。在工業(yè)互聯(lián)網(wǎng)安全框架的設計中，需要將動態(tài)防護的理念納入其中。（二）工業(yè)互聯(lián)網(wǎng)安全框架1、美國工業(yè)互聯(lián)網(wǎng)聯(lián)盟（IIC）的 IISF2016 年 9 月 19 日，美國工業(yè)互聯(lián)網(wǎng)聯(lián)盟（IIC）正式發(fā)布工業(yè)互聯(lián)網(wǎng)安全框架（IISF）1.0 版本，擬通過該框架的發(fā)布為工業(yè)互聯(lián)網(wǎng)安全研究與實施提供理論指導。IISF 的實現(xiàn)主要從功能視角出發(fā)，定義了如圖 5 所示的六個功能，即端點保護、通信&連接保護、安全監(jiān)測&分析、安全配置管理、數(shù)據(jù)保護以及安全模型&策

15、略，并將這六個功能分為三個層次。其中頂層包括端點保護、通信&連接保護、安全監(jiān)測&分析以及安全配置管理四個功能，為工業(yè)互聯(lián)網(wǎng)中的終端設備及設備之間的通信提供保護，對用于這些設備與通信的安全防護機制進行配置，并監(jiān)測工業(yè)互聯(lián)網(wǎng)運行過程中出現(xiàn)的安全風險。在四個功能之下是一個通用的數(shù)據(jù)保護層，對這四個功能中產(chǎn)生的數(shù)據(jù)提供保護。在最下層是覆蓋整個工業(yè)互聯(lián)網(wǎng)的安全模型與策略，它將上述五個功能緊密結合起來，實現(xiàn)端到端的安全防護。圖 5 美國工業(yè)互聯(lián)網(wǎng)安全實施框架總的來看，美國 IISF 聚焦于 IT 安全，側重于安全實施， 明確了具體的安全措施，對于工業(yè)互聯(lián)網(wǎng)安全框架的設計具有很好的借鑒意義。2、德國工業(yè) 4

16、.0 安全框架德國工業(yè) 4.0 注重安全實施，由網(wǎng)絡安全組牽頭出版了工業(yè) 4.0 安全指南、跨企業(yè)安全通信、安全身份標識等一系列指導性文件，指導企業(yè)加強安全防護。德國雖然從多個角度對安全提出了要求，但是并未形成成熟的安全體系框架。但安全作為新的商業(yè)模式的推動者，在工業(yè) 4.0 參考架構（RAMI 4.0）中起到了承載和連接所有結構元素的骨架作用。德國 RAMI 4.0 從 CPS 功能視角、全生命周期價值鏈視角和全層級工業(yè)系統(tǒng)視角三個視角構建了如圖 6 所示的工業(yè)參考架構。從 CPS 功能視角看，安全應用于所有不同層次，因此安全風險必須做整體考慮；從全生命周期價值鏈視角看，對象的所有者必須考慮

17、全生命周期的安全性；從全層級工業(yè)系統(tǒng)視角看，需要對所有資產(chǎn)進行安全風險分析，并對資產(chǎn)所有者提供實時保護措施。圖 6 工業(yè) 4.0 參考架構（RAMI 4.0）德國 RAMI 4.0 采用了分層的基本安全管理思路，側重于防護對象的管理。在工業(yè)互聯(lián)網(wǎng)安全框架的設計過程中可借鑒這一思路，并且從實施的角度將管理與技術相結合，更好地指導工業(yè)互聯(lián)網(wǎng)企業(yè)部署安全實施。（三）相關框架共性分析及經(jīng)驗借鑒通過對以上相關網(wǎng)絡安全框架的分析，總結出以下三方面的共性特征，在工業(yè)互聯(lián)網(wǎng)安全框架的設計中值得思考并充分借鑒。1、分類別部署安全防護措施上述相關網(wǎng)絡安全框架中大多都體現(xiàn)出分類別部署安全防護措施的思想。例如在 OS

18、I 安全體系結構中根據(jù)網(wǎng)絡層次的不同部署相應的安全防護措施，IATF、IEC62443 通過劃分不同的功能域來部署相應的安全防護措施，美國 IISF 與德國工業(yè) 4.0 框架中則根據(jù)資產(chǎn)類型的不同分別闡述其安全防護措施。工業(yè)互聯(lián)網(wǎng)安全框架在設計時可根據(jù)防護對象的不同部署針對性的安全防護措施，更好地發(fā)揮安全防護措施的防護效果。構建動態(tài)安全模型成為主流P2DR 模型、美國 IISF 及德國工業(yè) 4.0 框架中均強調對安全風險進行持續(xù)的監(jiān)測與響應，充分說明相對安全觀已成為目前安全界的共識。為應對不斷變化的安全風險，工業(yè)互聯(lián)網(wǎng)安全框架的設計需將動態(tài)與持續(xù)性安全防護納入其中。技術手段與管理手段相結合IA

19、TF、IEC62443、美國 IISF 及德國工業(yè) 4.0 框架等在設計過程中均強調了技術手段與管理手段相結合的重要性。設計工業(yè)互聯(lián)網(wǎng)安全框架時，需充分借鑒技管相結合的思路， 雙重保障，從而更好地幫助工業(yè)互聯(lián)網(wǎng)相關企業(yè)提升安全防護能力。三、 工業(yè)互聯(lián)網(wǎng)安全框架設計（一）設計思路本工業(yè)互聯(lián)網(wǎng)安全框架是在充分借鑒傳統(tǒng)網(wǎng)絡安全框 架和國外相關工業(yè)互聯(lián)網(wǎng)安全框架的基礎上，并結合我國工業(yè)互聯(lián)網(wǎng)的特點提出的，旨在指導工業(yè)互聯(lián)網(wǎng)相關企業(yè)開展安全防護體系建設，提升安全防護能力。對于工業(yè)互聯(lián)網(wǎng)安全框架的構建，可以從以下三方面進行闡述：第一，明確安全防護對象是前提。安全防護對象的確定是一個根本問題，是明確工業(yè)互聯(lián)

20、網(wǎng)安全防護工作范疇的基礎，并為防護工作的實施指明方向。在傳統(tǒng)網(wǎng)絡安全框架與國外相關工業(yè)互聯(lián)網(wǎng)安全框架中，都明確界定了防護對象。2016 年 8 月工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟（AII）發(fā)布的工業(yè)互聯(lián)網(wǎng)體系架構（版本 1.0）中的安全體系部分也從防護對象角度提出了工業(yè)互聯(lián)網(wǎng)安全的五大重點方向，即設備安全、控制安全、網(wǎng)絡安全、應用安全和數(shù)據(jù)安全。因此本框架充分借鑒這一思路，將設備、控制、網(wǎng)絡、應用、數(shù)據(jù)作為工業(yè)互聯(lián)網(wǎng)安全防護的研究對象。第二，部署安全防護措施是關鍵。工業(yè)互聯(lián)網(wǎng)安全框架的實施離不開安全防護措施的部署。在諸多傳統(tǒng)網(wǎng)絡安全框架中都將安全防護措施作為框架的重要組成部分。OSI 安全框架中闡述的安全服

21、務與安全機制即是針對不同防護對象部署了相應的防護措施。在 P2DR 等安全模型中引入了動態(tài)安全的理念，除了部署靜態(tài)的安全防護措施外，還增加了監(jiān)測響應、處置恢復等環(huán)節(jié)，形成了動態(tài)、閉環(huán)的安全防護部署機制。設計工業(yè)互聯(lián)網(wǎng)安全框架的過程中，需要結合工業(yè)互聯(lián)網(wǎng)安全防護的特殊要求，采取靜態(tài)防護與動態(tài)防護措施相結合的方式，及時發(fā)現(xiàn)并加以有效處置安全事件。第三，落實安全防護管理是重要保障。在網(wǎng)絡安全防護領域有“三分技術、七分管理”的傳統(tǒng)。傳統(tǒng)網(wǎng)絡安全框架IATF、IEC62443 等均強調了管理對于網(wǎng)絡安全防護的重要性。國外工業(yè)互聯(lián)網(wǎng)安全相關框架也將管理與技術相結合， 強調技術與管理并重。設計工業(yè)互聯(lián)網(wǎng)安全

22、框架的過程中， 需要將技術與管理有效結合，構建科學完備的安全防護管理體系，指導工業(yè)互聯(lián)網(wǎng)相關企業(yè)提升安全防護管理水平。綜上所述，工業(yè)互聯(lián)網(wǎng)安全框架的構建需要包含防護對象、防護措施以及防護管理三個方面，從三個不同的視角指導企業(yè)開展工業(yè)互聯(lián)網(wǎng)安全防護工作。（二）安全框架工業(yè)互聯(lián)網(wǎng)安全框架從防護對象、防護措施及防護管理三個視角構建。針對不同的防護對象部署相應的安全防護措施，根據(jù)實時監(jiān)測結果發(fā)現(xiàn)網(wǎng)絡中存在的或即將發(fā)生的安全問題并及時做出響應。同時加強防護管理，明確基于安全目標的可持續(xù)改進的管理方針，從而保障工業(yè)互聯(lián)網(wǎng)的安全。 工業(yè)互聯(lián)網(wǎng)安全框架如圖 7 所示。圖 7 工業(yè)互聯(lián)網(wǎng)安全框架其中，防護對象視

23、角涵蓋設備、控制、網(wǎng)絡、應用和數(shù) 據(jù)五大安全重點；防護措施視角包括威脅防護、監(jiān)測感知和 處置恢復三大環(huán)節(jié)，威脅防護環(huán)節(jié)針對五大防護對象部署主 被動安全防護措施，監(jiān)測感知和處置恢復環(huán)節(jié)通過信息共享、監(jiān)測預警、應急響應等一系列安全措施、機制的部署增強動 態(tài)安全防護能力；防護管理視角根據(jù)工業(yè)互聯(lián)網(wǎng)安全目標對 其面臨的安全風險進行安全評估，并選擇適當?shù)陌踩呗宰?為指導，實現(xiàn)防護措施的有效部署。工業(yè)互聯(lián)網(wǎng)安全框架的三個防護視角之間相對獨立，但 彼此之間又相互關聯(lián)。從防護對象視角來看，安全框架中的 每個防護對象，都需要采用一系列合理的防護措施并依據(jù)完 備的防護管理流程對其進行安全防護；從防護措施視角來看

24、，每一類防護措施都有其適用的防護對象，并在具體防護管理流程指導下發(fā)揮作用；從防護管理視角來看，防護管理流程的實現(xiàn)離不開對防護對象的界定，并需要各類防護措施的有機結合使其能夠順利運轉。工業(yè)互聯(lián)網(wǎng)安全框架的三個防護視角相輔相成、互為補充，形成一個完整、動態(tài)、持續(xù)的防護體系。本工業(yè)互聯(lián)網(wǎng)安全框架與美國 IIC 的IISF 雖呈現(xiàn)視角有 不同，但設計思路有共通之處，在防護內容上也具有一定的 對應關系。圖8 展示了工業(yè)互聯(lián)網(wǎng)安全框架與美國IIC 的IISF 之間的映射關系。其中，防護對象視角中的五大防護對象對 應了美國 IIC 的 IISF 中的端點保護、通信&連接保護以及數(shù)據(jù)保護中所界定的防護對象；防

25、護措施視角中的三類安全技 術手段與美國 IIC 的 IISF 中的端點保護、通信&連接保護、數(shù)據(jù)保護、安全監(jiān)測&分析以及安全配置管理中提出的防護 技術手段相對應；防護管理視角中的內容與美國 IIC 的 IISF 中的安全模型&策略具有對應關系。由此可以看出，二者均 從指導企業(yè)開展工業(yè)互聯(lián)網(wǎng)安全工作出發(fā)，強調技管結合、動靜互補，持續(xù)提升企業(yè)的工業(yè)互聯(lián)網(wǎng)安全防護能力。工業(yè) 互聯(lián)網(wǎng)安全框架的提出，有助于深化我國工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián) 盟與其他國際組織的合作與交流，對于我國企業(yè)與國際接軌、開拓海外市場也具有積極意義。設備控制網(wǎng)絡應用數(shù)據(jù)131.防護對象視角：應 用網(wǎng)數(shù)控 制絡據(jù)設 備處監(jiān) 置威 測 恢脅 感

26、 復防 知護22.防護措施視角：威脅防護監(jiān)測感知處置恢復3.防護管理視角：安全目標、風險評估、安全策略防護對象映射防護措施映射防護管理映射圖 8 工業(yè)互聯(lián)網(wǎng)安全框架與美國 IIC 的 IISF 的映射關系（三）防護對象視角防護對象視角主要包括設備、控制、網(wǎng)絡、應用、數(shù)據(jù)五大防護對象，如圖 9 所示。具體內容包括：1、設備安全：包括工廠內單點智能器件、成套智能終端等智能設備的安全，以及智能產(chǎn)品的安全，具體涉及操作系統(tǒng)/應用軟件安全與硬件安全兩方面。2、控制安全：包括控制協(xié)議安全、控制軟件安全以及控制功能安全。3、網(wǎng)絡安全：包括承載工業(yè)智能生產(chǎn)和應用的工廠內部網(wǎng)絡、外部網(wǎng)絡及標識解析系統(tǒng)等的安全。

27、4、應用安全：包括工業(yè)互聯(lián)網(wǎng)平臺安全與工業(yè)應用程序安全。5、數(shù)據(jù)安全：包括涉及采集、傳輸、存儲、處理等各個環(huán)節(jié)的數(shù)據(jù)以及用戶信息的安全。圖 9 防護對象視角（四）防護措施視角為幫助相關企業(yè)應對工業(yè)互聯(lián)網(wǎng)所面臨的各種挑戰(zhàn)，防護措施視角從生命周期、防御遞進角度明確安全措施，實現(xiàn)動態(tài)、高效的防御和響應。防護措施視角主要包括威脅防護、監(jiān)測感知和處置恢復三大環(huán)節(jié)，如圖 10 所示。圖 10 防護措施視角1、威脅防護：針對五大防護對象，部署主被動防護措施， 阻止外部入侵，構建安全運行環(huán)境，消減潛在安全風險。2、監(jiān)測感知：部署相應的監(jiān)測措施，實時感知內部、外部的安全風險。3、處置恢復：建立響應恢復機制，及時

28、應對安全威脅， 并及時優(yōu)化防護措施，形成閉環(huán)防御。（五）防護管理視角防護管理視角的設立，旨在指導企業(yè)構建持續(xù)改進的安全防護管理方針，在明確防護對象及其所需要達到的安全目標后，對于其可能面臨的安全風險進行評估，找出當前與安全目標之間存在的差距，制定相應的安全防護策略，提升安全防護能力，并在此過程中不斷對管理流程進行改進。防護措施視角的內容如圖 11 所示。1、安全目標圖 11 防護措施視角為確保工業(yè)互聯(lián)網(wǎng)的正常運轉和安全可信，應對工業(yè)互聯(lián)網(wǎng)設定合理的安全目標，并根據(jù)相應的安全目標進行風險評估和安全策略的選擇實施。工業(yè)互聯(lián)網(wǎng)安全目標并非是單一的，需要結合工業(yè)互聯(lián)網(wǎng)不同的安全需求進行明確。工業(yè)互聯(lián)網(wǎng)

29、安全包括保密性、完整性、可用性、可靠性、彈性和隱私安全六大目標，這些目標相互補充，共同構成了保障工業(yè)互聯(lián)網(wǎng)安全的關鍵特性。保密性：確保信息在存儲、使用、傳輸過程中不會泄露給非授權用戶或實體。完整性：確保信息在存儲、使用、傳輸過程中不會被非授權用戶篡改，同時還要防止授權用戶對系統(tǒng)及信息進行不恰當?shù)拇鄹?，保持信息內、外部表示的一致性?？捎眯裕捍_保授權用戶或實體對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源。可靠性：確保工業(yè)互聯(lián)網(wǎng)系統(tǒng)在其壽命區(qū)間內以及在正常運行條件下能夠正確執(zhí)行指定功能。彈性：確保工業(yè)互聯(lián)網(wǎng)系統(tǒng)在受到攻擊或破壞后恢復正常功能。隱私安全：確保工業(yè)互聯(lián)網(wǎng)系統(tǒng)內用

30、戶的隱私安全。2、風險評估為管控風險，必須定期對工業(yè)互聯(lián)網(wǎng)系統(tǒng)的各安全要素進行風險評估。對應工業(yè)互聯(lián)網(wǎng)整體安全目標，分析整個工業(yè)互聯(lián)網(wǎng)系統(tǒng)的資產(chǎn)、脆弱性和威脅，評估安全隱患導致安全事件的可能性及影響，結合資產(chǎn)價值，明確風險的處置措施，包括預防、轉移、接受、補償、分散等，確保在工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)私密性、數(shù)據(jù)傳輸安全性、設備接入安全性、平臺 訪問控制安全性、平臺攻擊防范安全性等方面提供可信服務， 并最終形成風險評估報告。3、安全策略工業(yè)互聯(lián)網(wǎng)安全防護的總體策略，是要構建一個能覆蓋安全業(yè)務全生命周期的，以安全事件為核心，實現(xiàn)對安全事件的“預警、檢測、響應”動態(tài)防御體系。能夠在攻擊發(fā)生前進行有效的預警和防

31、護，在攻擊中進行有效的攻擊檢測， 在攻擊后能快速定位故障，進行有效響應，避免實質損失的發(fā)生。安全策略中描述了工業(yè)互聯(lián)網(wǎng)總體的安全考慮，并定義了保證工業(yè)互聯(lián)網(wǎng)日常正常運行的指導方針及安全模型。通過結合安全目標以及風險評估結果，明確當前工業(yè)互聯(lián)網(wǎng)各方面的安全策略，包括對設備、控制、網(wǎng)絡、應用、數(shù)據(jù)等防護對象應采取的防護措施，以及監(jiān)測響應及處置恢復措施等。同時，為打造持續(xù)安全的工業(yè)互聯(lián)網(wǎng)，面對不斷出現(xiàn)的新的威脅，需不斷完善安全策略。四、 工業(yè)互聯(lián)網(wǎng)安全防護措施實施工業(yè)互聯(lián)網(wǎng)安全框架在實施過程中的重點是針對防護 對象采取行之有效的防護措施。為此，本章針對工業(yè)互聯(lián)網(wǎng)安全的五大防護對象面臨的安全威脅，分別

32、介紹其可采取的安全防護措施，并對監(jiān)測感知與處置恢復兩類貫穿工業(yè)互聯(lián)網(wǎng)全系統(tǒng)的防護措施進行介紹，為企業(yè)部署工業(yè)互聯(lián)網(wǎng)安全防護工作提供參考。（一）設備安全工業(yè)互聯(lián)網(wǎng)的發(fā)展使得現(xiàn)場設備由機械化向高度智能 化發(fā)生轉變，并產(chǎn)生了嵌入式操作系統(tǒng)+微處理器+應用軟件的新模式，這就使得未來海量智能設備可能會直接暴露在網(wǎng)絡攻擊之下，面臨攻擊范圍擴大、擴散速度增加、漏洞影響擴大等威脅。工業(yè)互聯(lián)網(wǎng)設備安全指工廠內單點智能器件以及成套 智能終端等智能設備的安全，具體應分別從操作系統(tǒng)/應用軟件安全與硬件安全兩方面出發(fā)部署安全防護措施，可采用的安全機制包括固件安全增強、惡意軟件防護、設備身份鑒別與訪問控制、漏洞修復等。1

33、、操作系統(tǒng)/應用軟件安全固件安全增強工業(yè)互聯(lián)網(wǎng)設備供應商需要采取措施對設備固件進行 安全增強，阻止惡意代碼傳播與運行。工業(yè)互聯(lián)網(wǎng)設備供應商可從操作系統(tǒng)內核、協(xié)議棧等方面進行安全增強，并力爭實現(xiàn)對于設備固件的自主可控。漏洞修復加固設備操作系統(tǒng)與應用軟件中出現(xiàn)的漏洞對于設備來說 是最直接也是最致命的威脅。設備供應商應對工業(yè)現(xiàn)場中常見的設備與裝置進行漏洞掃描與挖掘，發(fā)現(xiàn)操作系統(tǒng)與應用軟件中存在的安全漏洞，并及時對其進行修復。補丁升級管理工業(yè)互聯(lián)網(wǎng)企業(yè)應密切關注重大工業(yè)互聯(lián)網(wǎng)現(xiàn)場設備 的安全漏洞及補丁發(fā)布，及時采取補丁升級措施，并在補丁安裝前對補丁進行嚴格的安全評估和測試驗證。2、硬件安全硬件安全增強

34、對于接入工業(yè)互聯(lián)網(wǎng)的現(xiàn)場設備，應支持基于硬件特征的唯一標識符，為包括工業(yè)互聯(lián)網(wǎng)平臺在內的上層應用提供基于硬件標識的身份鑒別與訪問控制能力，確保只有合法的設備能夠接入工業(yè)互聯(lián)網(wǎng)并根據(jù)既定的訪問控制規(guī)則向其 他設備或上層應用發(fā)送或讀取數(shù)據(jù)。此外，應支持將硬件級部件（安全芯片或安全固件）作為系統(tǒng)信任根，為現(xiàn)場設備的安全啟動以及數(shù)據(jù)傳輸機密性和完整性保護提供支持。運維管控工業(yè)互聯(lián)網(wǎng)企業(yè)應在工業(yè)現(xiàn)場網(wǎng)絡重要控制系統(tǒng)（如機組主控 DCS 系統(tǒng)）的工程師站、操作員站和歷史站部署運維管控系統(tǒng)，實現(xiàn)對外部存儲器（如 U 盤）、鍵盤和鼠標等使用 USB 接口的硬件設備的識別，對外部存儲器的使用進行嚴格控制。同時，

35、注意部署的運維管控系統(tǒng)不能影響生產(chǎn)控制區(qū)各系統(tǒng)的正常運行。（二）控制安全工業(yè)互聯(lián)網(wǎng)使得生產(chǎn)控制由分層、封閉、局部逐步向扁平、開放、全局方向發(fā)展。其中在控制環(huán)境方面表現(xiàn)為信息技術（IT）與操作技術（OT）融合，控制網(wǎng)絡由封閉走向開放；在控制布局方面表現(xiàn)為控制范圍從局部擴展至全局，并伴隨著控制監(jiān)測上移與實時控制下移。上述變化改變了傳統(tǒng)生產(chǎn)控制過程封閉、可信的特點，造成安全事件危害范圍擴大、危害程度加深、信息安全與功能安全問題交織等后果。對于工業(yè)互聯(lián)網(wǎng)控制安全防護，主要從控制協(xié)議安全、 控制軟件安全及控制功能安全三個方面考慮，可采用的安全機制包括協(xié)議安全加固、軟件安全加固、惡意軟件防護、補丁升級、漏

36、洞修復、安全監(jiān)測審計等。1、控制協(xié)議安全身份認證為了確?？刂葡到y(tǒng)執(zhí)行的控制命令來自合法用戶，必須對使用系統(tǒng)的用戶進行身份認證，未經(jīng)認證的用戶所發(fā)出的控制命令不被執(zhí)行。在控制協(xié)議通信過程中，一定要加入認證方面的約束，避免攻擊者通過截獲報文獲取合法地址建立會話，影響控制過程安全。訪問控制不同的操作類型需要不同權限的認證用戶來操作，如果沒有基于角色的訪問機制，沒有對用戶權限進行劃分，會導致任意用戶可以執(zhí)行任意功能。傳輸加密在控制協(xié)議設計時，應根據(jù)具體情況，采用適當?shù)募用艽胧ＷC通信雙方的信息不被第三方非法獲取。健壯性測試控制協(xié)議在應用到工業(yè)現(xiàn)場之前應通過健壯性測試工 具的測試，測試內容可包括風暴測

37、試、飽和測試、語法測試、模糊測試等。2、控制軟件安全軟件防篡改工業(yè)互聯(lián)網(wǎng)中的控制軟件可歸納為數(shù)據(jù)采集軟件、組態(tài) 軟件、過程監(jiān)督與控制軟件、單元監(jiān)控軟件、過程仿真軟件、 過程優(yōu)化軟件、專家系統(tǒng)、人工智能軟件等類型。軟件防篡 改是保障控制軟件安全的重要環(huán)節(jié)，具體措施包括以下幾種：控制軟件在投入使用前應進行代碼測試，以檢查軟件中的公共缺陷。采用完整性校驗措施對控制軟件進行校驗，及時發(fā)現(xiàn)軟件中存在的篡改情況。對控制軟件中的部分代碼進行加密。做好控制軟件和組態(tài)程序的備份工作。認證授權控制軟件的應用要根據(jù)使用對象的不同設置不同的權 限，以最小的權限完成各自的任務。惡意軟件防護對于控制軟件應采取惡意代碼檢測

38、、預防和恢復的控制措施。控制軟件惡意代碼防護具體措施包括：在控制軟件上安裝惡意代碼防護軟件或獨立部署惡 意代碼防護設備，并及時更新惡意代碼軟件和修復軟件版本和惡意代碼庫，更新前應進行安全性和兼容性測試。防護軟件包括病毒防護、入侵檢測、入侵防御等具有病毒查殺和阻止入侵行為的軟件；防護設備包括防火墻、網(wǎng)閘、入侵檢測系統(tǒng)、入侵防御系統(tǒng)等具有防護功能的設備。應注意防止在實施維護和緊急規(guī)程期間引入惡意代碼。建議控制軟件的主要生產(chǎn)廠商采用特定的防病毒工具。在某些情況下，控制軟件的供應商需要對其產(chǎn)品線的防 病毒工具版本進行回歸測試，并提供相關的安裝和配置文檔。采用具有白名單機制的產(chǎn)品，構建可信環(huán)境，抵御零日

39、漏洞和有針對性地攻擊。補丁升級更新控制軟件的變更和升級需要在測試系統(tǒng)中經(jīng)過仔細的 測試，并制定詳細的回退計劃。對重要的補丁需盡快測試和部署。對于服務包和一般補丁，僅對必要的補丁進行測試和部署。漏洞修復加固控制軟件的供應商應及時對控制軟件中出現(xiàn)的漏洞進 行修復或提供其他替代解決方案，如關閉可能被利用的端口等。協(xié)議過濾采用工業(yè)防火墻對協(xié)議進行深度過濾，對控制軟件與設備間的通信內容進行實時跟蹤，同時確保協(xié)議過濾不得影響通信性能。安全監(jiān)測審計通過對工業(yè)互聯(lián)網(wǎng)中的控制軟件進行安全監(jiān)測審計可 及時發(fā)現(xiàn)網(wǎng)絡安全事件，避免發(fā)生安全事故，并可以為安全事故的調查提供詳實的數(shù)據(jù)支持。目前許多安全產(chǎn)品廠商已推出了各自

40、的監(jiān)測審計平臺，可實現(xiàn)協(xié)議深度解析、攻擊異常檢測、無流量異常檢測、重要操作行為審計、告警日志審計等功能。3、控制功能安全要考慮功能安全和信息安全的協(xié)調能力，使得信息安全不影響功能安全，功能安全在信息安全的防護下更好地執(zhí)行安全功能?，F(xiàn)階段功能安全具體措施主要包括：確定可能的危險源、危險狀況和傷害事件，獲取已確定危險的信息（如持續(xù)時間、強度、毒性、暴露限度、機械力、爆炸條件、反應性、易燃性、脆弱性、信息丟失等）。確定控制軟件與其他設備或軟件（已安裝的或將被安裝的）以及與其他智能化系統(tǒng)（已安裝的或將被安裝的） 之間相互作用所產(chǎn)生的危險狀況和傷害事件，確定引發(fā)事故的事件類型（如元器件失效、程序故障、人

41、為錯誤，以及能導致危險事件發(fā)生的相關失效機制）。結合典型生產(chǎn)工藝、加工制造過程、質量管控等方面的特征，分析安全影響?？紤]自動化、一體化、信息化可能導致的安全失控狀態(tài)，確定需要采用的監(jiān)測、預警或報警機制、故障診斷與恢復機制、數(shù)據(jù)收集與記錄機制等。明確操作人員在對智能化系統(tǒng)執(zhí)行操作過程中可 能產(chǎn)生的合理可預見的誤用以及智能化系統(tǒng)對于人員惡意 攻擊操作的防護能力。智能化裝備和智能化系統(tǒng)對于外界實物、電、磁場、輻射、火災、地震等情況的抵抗或切斷能力，以及在發(fā)生異常擾動或中斷時的檢測和處理能力。（三）網(wǎng)絡安全工業(yè)互聯(lián)網(wǎng)的發(fā)展使得工廠內部網(wǎng)絡呈現(xiàn)出 IP 化、無線化、組網(wǎng)方式靈活化與全局化的特點，工廠外網(wǎng)

42、呈現(xiàn)出信息網(wǎng)絡與控制網(wǎng)絡逐漸融合、企業(yè)專網(wǎng)與互聯(lián)網(wǎng)逐漸融合以及產(chǎn)品服務日益互聯(lián)網(wǎng)化的特點。這就造成傳統(tǒng)互聯(lián)網(wǎng)中的網(wǎng)絡安全問題開始向工業(yè)互聯(lián)網(wǎng)蔓延，具體表現(xiàn)為以下幾個方面：工業(yè)互聯(lián)協(xié)議由專有協(xié)議向以太網(wǎng)/IP 協(xié)議轉變，導致攻擊門檻極大降低；現(xiàn)有一些 10M / 100M 工業(yè)以太網(wǎng)交換機（通常是非管理型交換機）缺乏抵御日益嚴重的 DDoS 攻擊的能力；工廠網(wǎng)絡互聯(lián)、生產(chǎn)、運營逐漸由靜態(tài)轉變?yōu)閯討B(tài)， 安全策略面臨嚴峻挑戰(zhàn)等。此外，隨著工廠業(yè)務的拓展和新技術的不斷應用，今后還會面臨 5G/SDN 等新技術引入、工廠內外網(wǎng)互聯(lián)互通進一步深化等帶來的安全風險。工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全防護應面向工廠內部網(wǎng)絡、

43、外部網(wǎng) 絡及標識解析系統(tǒng)等方面，具體包括網(wǎng)絡結構優(yōu)化、邊界安 全防護、接入認證、通信內容防護、通信設備防護、安全監(jiān)測審計等多種防護措施，構筑全面高效的網(wǎng)絡安全防護體系。優(yōu)化網(wǎng)絡結構設計在網(wǎng)絡規(guī)劃階段，需設計合理的網(wǎng)絡結構。一方面通過在關鍵網(wǎng)絡節(jié)點和標識解析節(jié)點采用雙機熱備和負載均衡 等技術，應對業(yè)務高峰時期突發(fā)的大數(shù)據(jù)流量和意外故障引發(fā)的業(yè)務連續(xù)性問題，確保網(wǎng)絡長期穩(wěn)定可靠運行。另一方面通過合理的網(wǎng)絡結構和設置提高網(wǎng)絡的靈活性和可擴展 性，為后續(xù)網(wǎng)絡擴容做好準備。網(wǎng)絡邊界安全根據(jù)工業(yè)互聯(lián)網(wǎng)中網(wǎng)絡設備和業(yè)務系統(tǒng)的重要程度將整個網(wǎng)絡劃分成不同的安全域，形成縱深防御體系。安全域是一個邏輯區(qū)域，同一安

44、全域中的設備資產(chǎn)具有相同或相近的安全屬性，如安全級別、安全威脅、安全脆弱性等，同一安全域內的系統(tǒng)相互信任。在安全域之間采用網(wǎng)絡邊界控制設備，以邏輯串接的方式進行部署，對安全域邊界進行監(jiān)視， 識別邊界上的入侵行為并進行有效阻斷。網(wǎng)絡接入認證接入網(wǎng)絡的設備與標識解析節(jié)點應該具有唯一性標識， 網(wǎng)絡應對接入的設備與標識解析節(jié)點進行身份認證，保證合法接入和合法連接，對非法設備與標識解析節(jié)點的接入行為進行阻斷與告警，形成網(wǎng)絡可信接入機制。網(wǎng)絡接入認證可采用基于數(shù)字證書的身份認證等機制來實現(xiàn)。通信和傳輸保護通信和傳輸保護是指采用相關技術手段來保證通信過程中的機密性、完整性和有效性，防止數(shù)據(jù)在網(wǎng)絡傳輸過程 中

45、被竊取或篡改，并保證合法用戶對信息和資源的有效使用。同時，在標識解析體系的建設過程中，需要對解析節(jié)點中存 儲以及在解析過程中傳輸?shù)臄?shù)據(jù)進行安全保護。具體包括：通過加密等方式保證非法竊取的網(wǎng)絡傳輸數(shù)據(jù)無法 被非法用戶識別和提取有效信息，確保數(shù)據(jù)加密不會對任何其他工業(yè)互聯(lián)網(wǎng)系統(tǒng)的性能產(chǎn)生負面影響。在標識解析體系的各類解析節(jié)點與標識查詢節(jié)點之間建立解析數(shù)據(jù)安全傳 輸通道，采用國密局批準使用的加密算法及加密設備，為標識解析請求及解析結果的傳輸提供機密性與完整性保障。網(wǎng)絡傳輸?shù)臄?shù)據(jù)采取校驗機制，確保被篡改的信息能夠被接收方有效鑒別。應確保接收方能夠接收到網(wǎng)絡數(shù)據(jù)，并且能夠被合法用戶正常使用。網(wǎng)絡設備安全

46、防護為了提高網(wǎng)絡設備與標識解析節(jié)點自身的安全性，保障其正常運行，網(wǎng)絡設備與標識解析節(jié)點需要采取一系列安全防護措施，主要包括：對登錄網(wǎng)絡設備與標識解析節(jié)點進行運維的用戶進 行身份鑒別，并確保身份鑒別信息不易被破解與冒用；對遠程登錄網(wǎng)絡設備與標識解析節(jié)點的源地址進行 限制；對網(wǎng)絡設備與標識解析節(jié)點的登錄過程采取完備的 登錄失敗處理措施；啟用安全的登錄方式（如 SSH 或 HTTPS 等）。安全監(jiān)測審計網(wǎng)絡安全監(jiān)測指通過漏洞掃描工具等方式探測網(wǎng)絡設 備與標識解析節(jié)點的漏洞情況，并及時提供預警信息。網(wǎng)絡安全審計指通過鏡像或代理等方式分析網(wǎng)絡與標識解析系統(tǒng)中的流量，并記錄網(wǎng)絡與標識解析系統(tǒng)中的系統(tǒng)活動和

47、用戶活動等各類操作行為以及設備運行信息，發(fā)現(xiàn)系統(tǒng)中現(xiàn)有的和潛在的安全威脅，實時分析網(wǎng)絡與標識解析系統(tǒng)中發(fā)生的安全事件并告警。同時記錄內部人員的錯誤操作和越權操作，并進行及時告警，減少內部非惡意操作導致的安全隱患。（四）應用安全工業(yè)互聯(lián)網(wǎng)應用主要包括工業(yè)互聯(lián)網(wǎng)平臺與工業(yè)應用 程序兩大類，其范圍覆蓋智能化生產(chǎn)、網(wǎng)絡化協(xié)同、個性化定制、服務化延伸等方面。目前工業(yè)互聯(lián)網(wǎng)平臺面臨的安全風險主要包括數(shù)據(jù)泄露、篡改、丟失、權限控制異常、系統(tǒng)漏洞利用、賬戶劫持、設備接入安全等。對工業(yè)應用程序而言，最大的風險來自安全漏洞，包括開發(fā)過程中編碼不符合安全規(guī)范而導致的軟件本身的漏洞以及由于使用不安全的 第三方庫而出現(xiàn)

48、的漏洞等。相應地，工業(yè)互聯(lián)網(wǎng)應用安全也應從工業(yè)互聯(lián)網(wǎng)平臺安全與工業(yè)應用程序安全兩方面進行防護。對于工業(yè)互聯(lián)網(wǎng)平臺，可采取的安全措施包括安全審計、認證授權、DDOS 攻擊防護等。對于工業(yè)應用程序，建議采用全生命周期的安全防護，在應用程序的開發(fā)過程中進行代碼審計并對開發(fā)人員進行培訓，以減少漏洞的引入；對運行中的應用程序定期進行漏洞排查，對應用程序的內部流程進行審核和測試，并對公開漏洞和后門并加以修補；對應用程序的行為進行實時監(jiān)測， 以發(fā)現(xiàn)可疑行為并進行阻止，從而降低未公開漏洞帶來的危 害。1、平臺安全安全審計安全審計主要是指對平臺中與安全有關的活動的相關 信息進行識別、記錄、存儲和分析。平臺建設過

49、程中應考慮具備一定的安全審計功能，將平臺與安全有關的信息進行有效識別、充分記錄、長時間的存儲和自動分析。能對平臺的安全狀況做到持續(xù)、動態(tài)、實時的有依據(jù)的安全審計，并向用戶提供安全審計的標準和結果。認證授權工業(yè)互聯(lián)網(wǎng)平臺用戶分屬不同企業(yè)，需要采取嚴格的認證授權機制保證不同用戶能夠訪問不同的數(shù)據(jù)資產(chǎn)。同時， 認證授權需要采用更加靈活的方式，確保用戶間可以通過多種方式將數(shù)據(jù)資產(chǎn)分模塊分享給不同的合作伙伴。DDoS 防御部署 DDoS 防御系統(tǒng)，在遭受 DDoS 攻擊時，保證平臺用戶的正常使用。平臺抗 DDoS 的能力應在用戶協(xié)議中作為產(chǎn)品技術參數(shù)的一部分明確指出。安全隔離平臺不同用戶之間應當采取必要

50、的措施實現(xiàn)充分隔離，防止蠕蟲病毒等安全威脅通過平臺向不同用戶擴散。平臺不同應用之間也要采用嚴格的隔離措施，防止單個應用的漏洞影響其他應用甚至整個平臺的安全。安全監(jiān)測應對平臺實施集中、實時的安全監(jiān)測，監(jiān)測內容包括各種物理和虛擬資源的運行狀態(tài)等。通過對系統(tǒng)運行參數(shù)（如網(wǎng)絡流量、主機資源和存儲等）以及各類日志進行分析，確保工業(yè)互聯(lián)網(wǎng)平臺提供商可執(zhí)行故障管理、性能管理和自動檢修管理，從而實現(xiàn)平臺運行狀態(tài)的實時監(jiān)測。補丁升級工業(yè)互聯(lián)網(wǎng)平臺搭建在眾多底層軟件和組件基礎之上。 由于工業(yè)生產(chǎn)對于運行連續(xù)性的要求較高，中斷平臺運行進行補丁升級的代價較大。因此平臺在設計之初就應當充分考慮如何對平臺進行補丁升級的問

51、題。虛擬化安全虛擬化是邊緣計算和云計算的基礎，為避免虛擬化出現(xiàn)安全問題影響上層平臺的安全，在平臺的安全防護中要充分考慮虛擬化安全。虛擬化安全的核心是實現(xiàn)不同層次及不同用戶的有效隔離，其安全增強可以通過采用虛擬化加固等防護措施來實現(xiàn)。2、工業(yè)應用程序安全代碼審計代碼審計指檢查源代碼中的缺點和錯誤信息，分析并找到這些問題引發(fā)的安全漏洞，并提供代碼修訂措施和建議。 工業(yè)應用程序在開發(fā)過程中應該進行必要的代碼審計，發(fā)現(xiàn)代碼中存在的安全缺陷并給出相應的修補建議。人員培訓企業(yè)應對工業(yè)應用程序開發(fā)者進行軟件源代碼安全培訓，包括：了解應用程序安全開發(fā)生命周期（SDL）的每個 環(huán)節(jié)，如何對應用程序進行安全架構設

52、計，具備所使用編程 語言的安全編碼常識，了解常見源代碼安全漏洞的產(chǎn)生機理、導致后果及防范措施，熟悉安全開發(fā)標準，指導開發(fā)人員進 行安全開發(fā)，減少開發(fā)者引入的漏洞和缺陷等，從而提高工 業(yè)應用程序安全水平。漏洞發(fā)現(xiàn)漏洞發(fā)現(xiàn)是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對指定工業(yè)應用程序的安全脆弱性進行檢測，發(fā)現(xiàn)可利用漏洞的一種安全檢測行為。在應用程序上線前和運行過程中，要定期對其進行漏洞發(fā)現(xiàn)，及時發(fā)現(xiàn)漏洞并采取補救措施。審核測試對工業(yè)應用程序進行審核測試是為了發(fā)現(xiàn)功能和邏輯上的問題。在上線前對其進行必要的審核測試，有效避免信息泄露、資源浪費或其他影響應用程序可用性的安全隱患。行為監(jiān)測和異常阻止對工業(yè)應用程序進

53、行實時的行為監(jiān)測，通過靜態(tài)行為規(guī)則匹配或者機器學習的方法，發(fā)現(xiàn)異常行為，發(fā)出警告或者阻止高危行為，從而降低影響。（五）數(shù)據(jù)安全工業(yè)互聯(lián)網(wǎng)相關的數(shù)據(jù)按照其屬性或特征，可以分為四大類：設備數(shù)據(jù)、業(yè)務系統(tǒng)數(shù)據(jù)、知識庫數(shù)據(jù)、用戶個人數(shù)據(jù)。根據(jù)數(shù)據(jù)敏感程度的不同，可將工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和敏感數(shù)據(jù)三種。工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)涉及數(shù)據(jù)采集、傳輸、存儲、處理等各個環(huán)節(jié)。隨著工廠數(shù)據(jù)由少量、單一、單向向大量、多維、雙向轉變，工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)體量不斷增大、種類不斷增多、結構日趨復雜，并出現(xiàn)數(shù)據(jù)在工廠內部與外部網(wǎng)絡之間的雙向流動共享。由此帶來的安全風險主要包括數(shù)據(jù)泄露、非授權分析、用戶個人信息泄露等。對于工

54、業(yè)互聯(lián)網(wǎng)的數(shù)據(jù)安全防護，應采取明示用途、數(shù)據(jù)加密、訪問控制、業(yè)務隔離、接入認證、數(shù)據(jù)脫敏等多種防護措施，覆蓋包括數(shù)據(jù)收集、傳輸、存儲、處理等在內的全生命周期的各個環(huán)節(jié)。數(shù)據(jù)收集工業(yè)互聯(lián)網(wǎng)平臺應遵循合法、正當、必要的原則收集與使用數(shù)據(jù)及用戶信息，公開數(shù)據(jù)收集和使用的規(guī)則，向用戶明示收集使用數(shù)據(jù)的目的、方式和范圍，經(jīng)過用戶的明確授權同意并簽署相關協(xié)議后才能收集相關數(shù)據(jù)。授權協(xié)議必須遵循用戶意愿，不得以拒絕提供服務等形式強迫用戶同意數(shù)據(jù)采集協(xié)議。另外，工業(yè)互聯(lián)網(wǎng)平臺不得收集與其提供的服務無關的數(shù)據(jù)及用戶信息，不得違反法律、行政法規(guī)的規(guī)定和雙方約定收集、使用數(shù)據(jù)及用戶信息，并應當依照法律、行政法規(guī)的規(guī)

55、定和與用戶的約定處理其保存的數(shù)據(jù)及個人信息。數(shù)據(jù)傳輸為防止數(shù)據(jù)在傳輸過程中被竊聽而泄露，工業(yè)互聯(lián)網(wǎng)服務提供商應根據(jù)不同的數(shù)據(jù)類型以及業(yè)務部署情況，采用有效手段確保數(shù)據(jù)傳輸安全。例如通過 SSL 保證網(wǎng)絡傳輸數(shù)據(jù)信息的機密性、完整性與可用性，實現(xiàn)對工業(yè)現(xiàn)場設備與工業(yè)互聯(lián)網(wǎng)平臺之間、工業(yè)互聯(lián)網(wǎng)平臺中虛擬機之間、虛擬機與存儲資源之間以及主機與網(wǎng)絡設備之間的數(shù)據(jù)安全傳輸， 并為平臺的維護管理提供數(shù)據(jù)加密通道，保障維護管理過程的數(shù)據(jù)傳輸安全。數(shù)據(jù)存儲訪問控制數(shù)據(jù)訪問控制需要保證不同安全域之間的數(shù)據(jù)不可直 接訪問，避免存儲節(jié)點的非授權接入，同時避免對虛擬化環(huán)境數(shù)據(jù)的非授權訪問。存儲業(yè)務的隔離借助交換機，將

56、數(shù)據(jù)根據(jù)訪問邏輯劃分到不同的區(qū)域內， 使得不同區(qū)域中的設備相互間不能直接訪問，從而實現(xiàn)網(wǎng)絡 中設備之間的相互隔離。存儲節(jié)點接入認證對于存儲節(jié)點的接入認證可通過成熟的標準技術，包括iSCSI 協(xié)議本身的資源隔離、CHAP（Challenge Handshake Authentication Protocol）等，也可通過在網(wǎng)絡層面劃分 VLAN 或設置訪問控制列表等來實現(xiàn)。虛擬化環(huán)境數(shù)據(jù)訪問控制在虛擬化系統(tǒng)上對每個卷定義不同的訪問策略，以保障沒有訪問該卷權限的用戶不能訪問，各個卷之間互相隔離。存儲加密工業(yè)互聯(lián)網(wǎng)平臺運營商可根據(jù)數(shù)據(jù)敏感度采用分等級 的加密存儲措施（如不加密、部分加密、完全加密等）

57、。建議平臺運營商按照國家密碼管理有關規(guī)定使用和管理密碼 設施，并按規(guī)定生成、使用和管理密鑰。同時針對數(shù)據(jù)在工業(yè)互聯(lián)網(wǎng)平臺之外加密之后再傳輸?shù)焦I(yè)互聯(lián)網(wǎng)平臺中存 儲的場景，應確保工業(yè)互聯(lián)網(wǎng)平臺運營商或任何第三方無法對客戶的數(shù)據(jù)進行解密。備份和恢復用戶數(shù)據(jù)作為用戶托管在工業(yè)互聯(lián)網(wǎng)服務提供商的數(shù)據(jù)資產(chǎn)，服務提供商有妥善保管的義務。應當采取技術措施 和其他必要措施，防止信息泄露、毀損、丟失。在發(fā)生或者 可能發(fā)生個人信息泄露、毀損、丟失的情況時，應當立即采 取補救措施，按照規(guī)定及時告知用戶并向有關主管部門報告。工業(yè)互聯(lián)網(wǎng)服務提供商應當根據(jù)用戶業(yè)務需求、與用戶簽訂的服務協(xié)議制定必要的數(shù)據(jù)備份策略，定期對數(shù)

58、據(jù)進行備份。當發(fā)生數(shù)據(jù)丟失事故時能及時恢復一定時間前備份的數(shù)據(jù)，從而降低用戶的損失。數(shù)據(jù)處理使用授權數(shù)據(jù)處理過程中，工業(yè)互聯(lián)網(wǎng)服務提供商要嚴格按照法 律法規(guī)以及在與用戶約定的范圍內處理相關數(shù)據(jù)，不得擅自 擴大數(shù)據(jù)使用范圍，使用中要采取必要的措施防止用戶數(shù)據(jù) 泄露。如果處理過程中發(fā)生大規(guī)模用戶數(shù)據(jù)泄露的安全事件， 應當及時告知用戶和上級主管部門，對于造成用戶經(jīng)濟損失 的應當給予賠償。數(shù)據(jù)銷毀在資源重新分配給新的租戶之前，必須對存儲空間中的數(shù)據(jù)進行徹底擦除，防止被非法惡意恢復。應根據(jù)不同的數(shù)據(jù)類型以及業(yè)務部署情況，選擇采用如下操作方式：在邏輯卷回收時對邏輯卷的所有 bit 位進行清零，并利用“0”

59、或隨機數(shù)進行多次覆寫；在非高安全場景，系統(tǒng)默認將邏輯卷的關鍵信息（如元數(shù)據(jù)、索引項、卷前 10M 等）進行清零；在涉及敏感數(shù)據(jù)的高安全場景，當數(shù)據(jù)中心的物理硬盤需要更換時系統(tǒng)管理員可采用消磁或物理粉碎等措施保證數(shù)據(jù)徹底清除。數(shù)據(jù)脫敏當工業(yè)互聯(lián)網(wǎng)平臺中存儲的工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)與用戶個人信息需要從平臺中輸出或與第三方應用進行共享時，應當 在輸出或共享前對這些數(shù)據(jù)進行脫敏處理。脫敏應采取不可 恢復的手段，避免數(shù)據(jù)分析方通過其他手段對敏感數(shù)據(jù)復原。此外數(shù)據(jù)脫敏后不應影響業(yè)務連續(xù)性，避免對系統(tǒng)性能造成 較大影響。（六）監(jiān)測感知監(jiān)測感知是指部署相應的監(jiān)測措施，主動發(fā)現(xiàn)來自系統(tǒng)內外部的安全風險，具體措施包括數(shù)據(jù)

60、采集、收集匯聚、特征提取、關聯(lián)分析、狀態(tài)感知等。數(shù)據(jù)采集數(shù)據(jù)采集指對工業(yè)現(xiàn)場網(wǎng)絡及工業(yè)互聯(lián)網(wǎng)平臺中各類 數(shù)據(jù)進行采集，為網(wǎng)絡異常分析、設備預測性維護等提供數(shù)據(jù)來源。收集匯聚對于數(shù)據(jù)的收集匯聚主要分為兩個方面。一是對SCADA、MES、ERP 等工業(yè)控制系統(tǒng)及應用系統(tǒng)所產(chǎn)生的關鍵工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)進行匯聚，包括產(chǎn)品全生命周期的各類數(shù)據(jù)的同步采集、管理、存儲及查詢，為后續(xù)過程提供數(shù)據(jù)來源。二是對全網(wǎng)流量進行監(jiān)聽，并將監(jiān)聽過程中采集到的數(shù)據(jù)進行匯聚。特征提取特征提取是指對數(shù)據(jù)特征進行提取、篩選、分類、優(yōu)先級排序、可讀等處理，從而實現(xiàn)從數(shù)據(jù)到信息的轉化過程， 該過程主要是針對單個設備或單個網(wǎng)絡的縱向數(shù)據(jù)分