工業(yè)互聯(lián)網(wǎng)安全框架

1、工業(yè)互聯(lián)網(wǎng)安全框架工業(yè)互聯(lián)網(wǎng)安全概述相關(guān)網(wǎng)絡(luò)安全框架分析工業(yè)互聯(lián)網(wǎng)安全框架設(shè)計(jì)工業(yè)互聯(lián)網(wǎng)安全防護(hù)措施實(shí)施工業(yè)互聯(lián)網(wǎng)安全發(fā)展趨勢(shì)與展望1234523繁榮數(shù)字經(jīng)濟(jì)新基石工業(yè)互聯(lián)網(wǎng)是滿足工業(yè)智能化發(fā)展需求，具有低時(shí)延、高可靠、廣覆蓋特點(diǎn)的關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施，是新一代信息 通信技術(shù)與先進(jìn)制造業(yè)深度融合所形成的新興業(yè)態(tài)與應(yīng)用模式。創(chuàng)新網(wǎng)絡(luò)國(guó)際治理新途徑統(tǒng)籌兩個(gè)強(qiáng)國(guó)建設(shè)新引擎工業(yè)互聯(lián)網(wǎng)深刻變革傳統(tǒng)工業(yè)的創(chuàng)新、生產(chǎn)、管理、服務(wù)方式， 催生新技術(shù)、新模式、新業(yè)態(tài)、新產(chǎn)業(yè)（一）工業(yè)互聯(lián)網(wǎng)發(fā)展具有重大意義3（二）工業(yè)互聯(lián)網(wǎng)的三大體系海量數(shù)據(jù)匯聚與建模分析制造能力標(biāo)準(zhǔn)化與服務(wù)化工業(yè)知識(shí)軟件化與模塊化各類創(chuàng)新應(yīng)用開(kāi)發(fā)與

2、運(yùn)行支撐生產(chǎn)智能決策、業(yè)務(wù)模式 創(chuàng)新、資源優(yōu)化配置、產(chǎn)業(yè)生 態(tài)培育網(wǎng)絡(luò)體系是基礎(chǔ)平臺(tái)體系是核心安全體系是保障全要素：人、物品、機(jī)器、 車(chē)間、企業(yè)等各環(huán)節(jié)：設(shè)計(jì)、研發(fā)、生產(chǎn)、 管理、服務(wù)實(shí)現(xiàn)泛在深度互聯(lián)將連接對(duì)象延伸到工業(yè)全系統(tǒng)、 全產(chǎn)業(yè)鏈、全價(jià)值鏈：工業(yè)智能化發(fā)展的核心載體：工業(yè)智能化的安全可信環(huán)境：建設(shè)滿足工業(yè)需求的安全技術(shù) 和管理體系增強(qiáng)設(shè)備、網(wǎng)絡(luò)、控制、應(yīng)用 和數(shù)據(jù)的安全保障能力識(shí)別和抵御安全威脅化解各種安全風(fēng)險(xiǎn)45十九大報(bào)告促進(jìn)實(shí)體經(jīng)濟(jì)振興、加快轉(zhuǎn)型升級(jí)引導(dǎo)企業(yè)提高網(wǎng)絡(luò)安全防護(hù)能力圍 繞汽車(chē)、電子、能源、航空航天等重 點(diǎn)制造領(lǐng)域建設(shè)網(wǎng)絡(luò)和平臺(tái)安全保障 管理與技術(shù)體系深化“互聯(lián)網(wǎng)+先進(jìn)制

3、造業(yè)”發(fā)展工業(yè)互聯(lián) 網(wǎng)的指導(dǎo)意見(jiàn)加快建設(shè)制造強(qiáng)國(guó)，加快發(fā)展先進(jìn) 制造業(yè)，推動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)、人 工智能和實(shí)體經(jīng)濟(jì)深度融合推動(dòng)新型工業(yè)化、信息化、城鎮(zhèn)化、 農(nóng)業(yè)現(xiàn)代化同步發(fā)展苗圩部長(zhǎng)解讀十九大報(bào)告實(shí)施工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展戰(zhàn)略， 加快構(gòu)建新一代信息基礎(chǔ)設(shè)施， 打造網(wǎng)絡(luò)、平臺(tái)、安全三大體 系，搶占數(shù)字經(jīng)濟(jì)發(fā)展主動(dòng)權(quán) 和話語(yǔ)權(quán)深入實(shí)施工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展戰(zhàn)略， 開(kāi)展工業(yè)互聯(lián)網(wǎng)發(fā)展“323”行動(dòng)，實(shí) 施工業(yè)互聯(lián)網(wǎng)三年行動(dòng)計(jì)劃實(shí)施工 業(yè)互聯(lián)網(wǎng)安全防護(hù)提升工程苗部長(zhǎng)部署2018年工業(yè)和信息化工作（三）國(guó)家高度重視工業(yè)互聯(lián)網(wǎng)發(fā)展，安全成為工業(yè)互聯(lián)網(wǎng)關(guān)鍵要素聯(lián)盟已發(fā)布的工業(yè)互聯(lián)網(wǎng)體系架構(gòu)（版本1.0）工業(yè)互聯(lián)網(wǎng)安全

4、體系設(shè)備控制應(yīng)用網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容聚焦網(wǎng)絡(luò)安全，主要解決工業(yè)互聯(lián)網(wǎng)面臨的網(wǎng)絡(luò)攻擊等新型風(fēng)險(xiǎn)，同時(shí)考慮與功能安全和物理安全的關(guān)系明確5大安全防護(hù)對(duì)象工業(yè)互聯(lián)網(wǎng)安全框架指導(dǎo)工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)部署安全措施（四）工業(yè)互聯(lián)網(wǎng)安全框架的重要性提 升 安 全 能 力6工業(yè)互聯(lián)網(wǎng)安全概述相關(guān)網(wǎng)絡(luò)安全框架分析 工業(yè)互聯(lián)網(wǎng)安全框架設(shè)計(jì)工業(yè)互聯(lián)網(wǎng)安全防護(hù)措施實(shí)施工業(yè)互聯(lián)網(wǎng)安全發(fā)展趨勢(shì)與展望123457（一）傳統(tǒng)網(wǎng)絡(luò)安全框架分析OSI安全體系結(jié)構(gòu)OSI安全體系結(jié)構(gòu)定義了5大類安全服務(wù)和8類安全機(jī)制，可根據(jù)具體系統(tǒng)適當(dāng)?shù)嘏渲糜贠SI模型的七層協(xié)議中。突出特點(diǎn)：采用了分層的思想，層與層間相互 獨(dú)立，具有很好的靈活性。局限性：只

5、專注于網(wǎng)絡(luò)通信系統(tǒng)和靜態(tài)防護(hù)技 術(shù)，對(duì)于持續(xù)變化的內(nèi)外部安全威脅缺乏足夠的監(jiān) 測(cè)與應(yīng)對(duì)能力，因而無(wú)法滿足更復(fù)雜更全面的信息 保障的要求。8（一）傳統(tǒng)網(wǎng)絡(luò)安全框架分析P2DR模型P2DR模型引入動(dòng)態(tài)安全的理念，將網(wǎng)絡(luò)安全的實(shí)施分為防護(hù)、檢測(cè)和響應(yīng)三個(gè)階段。在整體安全策略的指導(dǎo)下部 署安全防護(hù)措施。響應(yīng)Response發(fā)現(xiàn)并及時(shí)截?cái)嗫梢蓴?shù) 據(jù)并啟動(dòng)相關(guān)報(bào)警信息防護(hù)Protection部署防護(hù)手段阻止安全威脅檢 測(cè) Detection 對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)測(cè) 和定期檢查，建立完 善的審計(jì)系統(tǒng)突出特點(diǎn)：基于閉環(huán)控制的 動(dòng)態(tài)安全模型。適用于需要長(zhǎng) 期持續(xù)安全防護(hù)的系統(tǒng)。局限性：局限于從技術(shù)上考 慮網(wǎng)絡(luò)的安全

6、問(wèn)題，忽視了管 理對(duì)于安全防護(hù)的重要性。9（一）傳統(tǒng)網(wǎng)絡(luò)安全框架分析IATFIATF提出保障信息系統(tǒng)安全應(yīng)具備的三個(gè)核心要素：即人、技術(shù)和操作。同時(shí)，將網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)分為網(wǎng)絡(luò)和基礎(chǔ)設(shè)施防御、網(wǎng)絡(luò)邊界防御、計(jì)算環(huán)境防御和支撐性基礎(chǔ)設(shè)施防御四部分。突出特點(diǎn)：通過(guò)對(duì)四個(gè)部分分別部署安全保障機(jī)制，形成對(duì)網(wǎng)絡(luò)系統(tǒng)的縱深防御，最大限度降低安全風(fēng)險(xiǎn)，從而保障系統(tǒng) 的安全性。局限性：實(shí)現(xiàn)的都是對(duì)網(wǎng)絡(luò)系統(tǒng)的靜態(tài)安全防護(hù)，并未對(duì)網(wǎng)絡(luò)系統(tǒng)部署動(dòng)態(tài)持續(xù)的安全防護(hù)措施。10縱深防御區(qū)域劃分網(wǎng)絡(luò)&基礎(chǔ) 設(shè)施網(wǎng)絡(luò)邊界計(jì)算環(huán)境支撐性基礎(chǔ)設(shè)施KMI/PKI監(jiān)測(cè)&響應(yīng)人技術(shù)操作安全保障縱深防御策略 安全三要素11（一）傳統(tǒng)安

7、全框架分析IEC62443IEC62443將工業(yè)控制系統(tǒng)按照控制和管理的等級(jí)劃分成相對(duì)封閉的區(qū)域，區(qū)域之間的數(shù)據(jù)通訊通過(guò)管道進(jìn)行，通 過(guò)在管道上安裝信息安全管理設(shè)備來(lái)實(shí)現(xiàn)分級(jí)保護(hù)，進(jìn)而實(shí)現(xiàn)控制網(wǎng)絡(luò)的縱深防御?，F(xiàn)場(chǎng)控制層管理信息層現(xiàn)場(chǎng)設(shè)備層斷路器離心泵閘閥Internet防火墻路由器交換機(jī)遠(yuǎn)程訪問(wèn) 服務(wù)器公共歷史 服務(wù)器內(nèi)部歷史 服務(wù)器服務(wù)器1交換機(jī)路由器PLC1PLC2PLC3數(shù)據(jù)單向傳輸裝置工程師站操作員站辦公終端交換機(jī)入侵檢測(cè)身份認(rèn) 證系統(tǒng)邊界隔離區(qū)域劃分按照業(yè)務(wù)不同 劃分安全區(qū)域鏈路防護(hù)構(gòu)建VPN 等安全 傳輸通道， 實(shí)現(xiàn) 對(duì)鏈路傳輸數(shù)據(jù) 的安全防護(hù)通信管控基于協(xié)議深度解 析， 實(shí)現(xiàn)對(duì)通

8、信 內(nèi)容的全面管控加入防火墻、單 向傳輸?shù)妊b置實(shí) 現(xiàn)對(duì)網(wǎng)絡(luò)邊界的 隔離防護(hù)突出特點(diǎn)：采用縱深防御的安全防護(hù)策略，將技術(shù)與管理有機(jī)結(jié)合。局限性：實(shí)現(xiàn)的是靜態(tài)安全防護(hù)，沒(méi)有考慮動(dòng)態(tài)安全防護(hù)的思路。（二）美國(guó)IIC工業(yè)互聯(lián)網(wǎng)安全框架分析美國(guó)IISF從實(shí)施視角出發(fā)，以安全模型和策略作為總體指導(dǎo)，部署通信、端點(diǎn)、數(shù)據(jù)、配置管理、監(jiān)測(cè)分析等方面 的安全措施。端點(diǎn)保護(hù)終端-云數(shù)據(jù)保護(hù)安全模型&策略安全配置&管理安全監(jiān)測(cè)&分析通信&連接保護(hù)安全模型&策略數(shù)據(jù)保護(hù)安全策略 終端安全策略 安全策略通信&連通性 安全策略監(jiān)測(cè)&分析 .安全配置&管理終端識(shí)別管理終端配置&管理 終端監(jiān)測(cè)&分析 通信配置&管理.安全監(jiān)測(cè)

9、&分析數(shù)據(jù)保護(hù)的監(jiān)測(cè)&分析 監(jiān)測(cè)的安全模型&策略 .通信&連接保護(hù)網(wǎng)絡(luò)配置&管理 網(wǎng)絡(luò)監(jiān)測(cè)&分析 通信終端保護(hù) 連通性的物理安全 .端點(diǎn)保護(hù)終端標(biāo)識(shí) 終端信任根 終端物理安全 終端數(shù)據(jù)保護(hù) .數(shù)據(jù)保護(hù)靜態(tài)數(shù)據(jù) 動(dòng)態(tài)數(shù)據(jù) 使用數(shù)據(jù) .突出特點(diǎn)：美國(guó)IISF聚焦于IT安全，側(cè)重于安全實(shí)施，明確了具體的安全措施。1213（二）德國(guó)工業(yè)4.0架構(gòu)中的安全德國(guó)工業(yè)4.0并未專門(mén)針對(duì)安全提出相應(yīng)的安全架構(gòu)。安全作為新的商業(yè)模式的推動(dòng)者，在RAMI 4.0中起到了承 載和連接所有結(jié)構(gòu)元素的骨架的作用。1、CPS功能視角安全應(yīng)用于所有不同 層次，安全風(fēng)險(xiǎn)必須做整體考慮。2、價(jià)值鏈視角對(duì)象的所有者必須考 慮其整

10、個(gè)生命周期的 安全性。3、工業(yè)系統(tǒng)視角所有對(duì)象/資產(chǎn)需要 安全方面的考慮（風(fēng) 險(xiǎn)分析），并需要對(duì) 象/資產(chǎn)所有者提供 其對(duì)象/資產(chǎn)相關(guān)的 安全特性，來(lái)對(duì)其實(shí) 時(shí)保護(hù)措施。工業(yè)4.0參考架構(gòu)（RAMI 4.0） 信息 集成資產(chǎn)1 業(yè)務(wù) 功能 23功能圖層CPS功 通信 能突出特點(diǎn)：德國(guó)RAMI 4.0采用了分層的基本安全管理思路，側(cè)重于防護(hù)對(duì)象的管理。（三）共性分析及經(jīng)驗(yàn)借鑒分類別部署安全防護(hù)措施根據(jù)安全需求確定具體分類標(biāo)準(zhǔn)：安全防護(hù)對(duì)象（OSI安全體系結(jié)構(gòu)，美國(guó)IIC工業(yè)互聯(lián)網(wǎng)安全框架，德國(guó)工業(yè) 4.0安全框架）；安全防護(hù)流程（P2DR模型）；安全區(qū)域（IATF、IEC62443）；1動(dòng)態(tài)安全

11、模型成為主流相對(duì)安全觀已成為共識(shí)，為應(yīng)對(duì)不斷變化的安全風(fēng)險(xiǎn)，工業(yè)互聯(lián)網(wǎng)安全框架應(yīng)是動(dòng)態(tài)的、持續(xù)的：P2DR模型，美國(guó)IIC工業(yè)互聯(lián)網(wǎng)安全框架，德國(guó)工業(yè)4.0架構(gòu)中的安全2“技術(shù)手段+管理手段“相結(jié)合在安全模型中融入完善的安全管理機(jī)制能夠更好的發(fā)揮模型的安全保障能力：IATF、IEC62443、美國(guó)IIC工業(yè)互聯(lián)網(wǎng)安全框架314工業(yè)互聯(lián)網(wǎng)安全概述相關(guān)網(wǎng)絡(luò)安全框架分析 工業(yè)互聯(lián)網(wǎng)安全框架設(shè)計(jì)工業(yè)互聯(lián)網(wǎng)安全防護(hù)措施實(shí)施工業(yè)互聯(lián)網(wǎng)安全發(fā)展趨勢(shì)與展望1234515（一）工業(yè)互聯(lián)網(wǎng)安全框架設(shè)計(jì)思路防護(hù)措施視角：部署安全 防護(hù)措施是關(guān)鍵。防護(hù)管理視角：落實(shí)安全防護(hù)管理是重要保障。防護(hù)管理視角防護(hù)措施視角防護(hù)

12、對(duì)象視角防護(hù)對(duì)象視角：明確安全防護(hù)對(duì)象是前提。需從防護(hù)對(duì)象視角、防護(hù)措施視角及防護(hù)管理視角三大視角出發(fā)構(gòu)建工業(yè)互聯(lián)網(wǎng)安全框架，引導(dǎo)企業(yè)全面部署安全防護(hù)措施。1617（二）從三個(gè)視角構(gòu)建工業(yè)互聯(lián)網(wǎng)安全框架網(wǎng)絡(luò)應(yīng) 用數(shù)據(jù)設(shè) 備控 制威 脅 防 護(hù)感123.防護(hù)管理視角：安全目標(biāo)、風(fēng)險(xiǎn)評(píng)估、安全策略32.防護(hù)措施 視角：威脅防護(hù)監(jiān)測(cè)感知處置恢復(fù)1.防護(hù)對(duì)象 視角：設(shè)備控制網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)處監(jiān)置測(cè)恢復(fù)知工業(yè)互聯(lián)網(wǎng)安全框架的三個(gè)防護(hù)視角之間相對(duì)獨(dú)立，又相輔相成、互為補(bǔ)充，形成一個(gè)完整、動(dòng)態(tài)、持 續(xù)的防護(hù)體系。18（三）中美工業(yè)互聯(lián)網(wǎng)安全框架對(duì)比分析中美工業(yè)互聯(lián)網(wǎng)安全框架雖呈現(xiàn)視角有不同，但兩者設(shè)計(jì)思路趨于一

13、致，在防護(hù)內(nèi)容上也具有一致的對(duì)應(yīng)關(guān)系。 均從指導(dǎo)企業(yè)部署工業(yè)互聯(lián)網(wǎng)安全實(shí)施角度出發(fā)，強(qiáng)調(diào)技管結(jié)合、動(dòng)靜互補(bǔ)，全面持續(xù)提升工業(yè)互聯(lián)網(wǎng)安全防 護(hù)能力。網(wǎng)絡(luò)應(yīng) 用數(shù)據(jù)設(shè) 備控 制威 脅 防 護(hù)監(jiān) 測(cè) 感 知1233.防護(hù)管理視角：安全目標(biāo)、風(fēng)險(xiǎn)評(píng)估、安全策略2.防護(hù)措施視角：威脅防護(hù)監(jiān)測(cè)感知處置恢復(fù)1.防護(hù)對(duì)象視角：設(shè)備控制應(yīng)用網(wǎng)絡(luò)數(shù)據(jù)處 置 恢 復(fù)防護(hù)對(duì)象映射 防護(hù)措施映射 防護(hù)管理映射19中國(guó)工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟（AII）發(fā)布工業(yè)互聯(lián)網(wǎng)體系架構(gòu)（版本1.0），提出工業(yè)互聯(lián)網(wǎng)安全體系架構(gòu)，聚 焦設(shè)備、控制、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)五大安全重點(diǎn)。安全防護(hù)對(duì)象設(shè)備安全控制安全網(wǎng)絡(luò)安全應(yīng)用安全數(shù)據(jù)安全（四）工業(yè)互

14、聯(lián)網(wǎng)安全框架分析防護(hù)對(duì)象視角（五）工業(yè)互聯(lián)網(wǎng)安全框架分析防護(hù)措施視角為應(yīng)對(duì)工業(yè)互聯(lián)網(wǎng)所面臨的各種安全威脅，主要從威脅防護(hù)、監(jiān)測(cè)感知和處置恢復(fù)三大環(huán)節(jié)構(gòu)建防護(hù)措施視角。威脅防護(hù)監(jiān)測(cè)感知處置恢復(fù)針對(duì)五大防護(hù)對(duì)象，部署主被動(dòng)防護(hù)措施， 阻止外部入侵，構(gòu)建安全運(yùn)行環(huán)境，消減潛 在安全風(fēng)險(xiǎn)。部署相應(yīng)的監(jiān)測(cè) 措施， 實(shí)時(shí)感知 內(nèi)部、外部的安 全風(fēng)險(xiǎn)。建立響應(yīng)恢復(fù)機(jī) 制， 及時(shí)應(yīng)對(duì)安 全威脅， 并及時(shí) 優(yōu)化防護(hù)措施， 形成閉環(huán)防御。防護(hù)措施視角從生命周期、防御遞進(jìn)角度明確安全措施，從而實(shí)現(xiàn)動(dòng)態(tài)、高效的防御和響應(yīng)。20（六）工業(yè)互聯(lián)網(wǎng)安全框架分析防護(hù)管理視角安 全 策 略風(fēng) 險(xiǎn) 評(píng) 估安 全 目 標(biāo)防護(hù)管理視

15、角的設(shè)立，旨在指導(dǎo)企業(yè)構(gòu)建持續(xù)改進(jìn)的安全防護(hù)管理方針，在明確防護(hù)對(duì)象及其所需要達(dá)到的安全 目標(biāo)后，對(duì)于其可能面臨的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，找出當(dāng)前與安全目標(biāo)之間存在的差距，制定相應(yīng)的安全防護(hù)策略， 提升安全防護(hù)能力，并在此過(guò)程中不斷對(duì)管理流程進(jìn)行改進(jìn)。保密性完整性可用性可靠性彈性隱私安全從工業(yè)互聯(lián)網(wǎng)總體安全 考慮， 定義保證工業(yè)互 聯(lián)網(wǎng)正常運(yùn)行的指導(dǎo)方 針及安全模型， 結(jié)合安 全目標(biāo)以及風(fēng)險(xiǎn)評(píng)估結(jié) 果， 明確當(dāng)前工業(yè)互聯(lián) 網(wǎng)各方面的安全策略， 并不斷進(jìn)行完善。分析工業(yè)互聯(lián)網(wǎng)系統(tǒng)的資產(chǎn)、脆弱性和威脅，明確風(fēng)險(xiǎn)處置措施，確保工業(yè)互聯(lián)網(wǎng)數(shù) 據(jù)安全性、設(shè)備接入安全性、平臺(tái)安全性等，并最終形成風(fēng)險(xiǎn)評(píng)估報(bào)告。2

16、1工業(yè)互聯(lián)網(wǎng)安全概述相關(guān)網(wǎng)絡(luò)安全框架分析 工業(yè)互聯(lián)網(wǎng)安全框架設(shè)計(jì)工業(yè)互聯(lián)網(wǎng)安全防護(hù)措施實(shí)施工業(yè)互聯(lián)網(wǎng)安全發(fā)展趨勢(shì)與展望1234522工業(yè)互聯(lián)網(wǎng)安全框架實(shí)施過(guò)程中的重點(diǎn)包括：針對(duì)工業(yè)互聯(lián)網(wǎng)五大安全防護(hù)對(duì)象面臨的安全風(fēng)險(xiǎn)采取的相應(yīng)安全防 護(hù)措施，以及貫穿工業(yè)互聯(lián)網(wǎng)全系統(tǒng)的監(jiān)測(cè)感知與處置恢復(fù)兩大類防護(hù)措施。（一）工業(yè)互聯(lián)網(wǎng)安全防護(hù)措施實(shí)施設(shè)備安全設(shè)備安全防護(hù)措施操作系統(tǒng)/應(yīng)用軟件安全硬件安全固件安全增強(qiáng)漏洞修復(fù)加固補(bǔ)丁升級(jí)管理嵌入式操作系統(tǒng)+微處理器+應(yīng)用軟件智能機(jī)器安全風(fēng)險(xiǎn)分析設(shè)備變化機(jī)械化高度智能化攻擊直達(dá)設(shè)備控制系統(tǒng)智能設(shè)備攻擊范圍擴(kuò)大擴(kuò)散速度增加漏洞影響擴(kuò)大特定型號(hào)設(shè)備海量 通用設(shè)備硬件安全

17、增強(qiáng)運(yùn)維管控2324（二）工業(yè)互聯(lián)網(wǎng)安全防護(hù)措施實(shí)施控制安全安全風(fēng)險(xiǎn)分析控制環(huán)境： IT與OT融合 封閉到開(kāi)放 工廠控制： 局部到全局 控制監(jiān)測(cè)上移 實(shí)時(shí)控制下移扁平 開(kāi)放 全局分層 封閉 局部控制變化攻擊從IT層滲透到OT層OT層環(huán)境：可信不可信攻擊從工廠外滲透到工廠內(nèi)工廠內(nèi)環(huán)境：封閉開(kāi)放攻擊難度大大降低IT和OT隔離（OT環(huán)境可信）控制協(xié)議、軟件安全機(jī)制缺失IT和OT融合（OT環(huán)境不可信） 控制協(xié)議、軟件脆弱性暴露信息安全與功能安全問(wèn)題交織信息安全問(wèn)題功能安全失效信息安全防護(hù)功能安全能力下降控制功能安全控制協(xié)議安全控制軟件安全身份認(rèn)證訪問(wèn)控制傳輸加密健壯性測(cè)試控制安全防護(hù)措施軟件防篡改認(rèn)證

18、授權(quán)惡意軟件防護(hù)補(bǔ)丁升級(jí)更新漏洞修復(fù)加固協(xié)議過(guò)濾安全監(jiān)測(cè)審計(jì)物理安全環(huán) 境防護(hù)兼容性驗(yàn)證工藝流程安 全防護(hù)提升人員安 全意識(shí).（三）工業(yè)互聯(lián)網(wǎng)安全防護(hù)措施實(shí)施應(yīng)用安全設(shè)計(jì)協(xié)同+供應(yīng)鏈協(xié)同+制造協(xié)同+服務(wù)協(xié)同+用戶全流程參與+產(chǎn)品服務(wù)延伸安全風(fēng)險(xiǎn)分析應(yīng)用變化安全保護(hù)需求不同不同業(yè)務(wù)平面有不同的服務(wù)安全需求Eg. 航天二院導(dǎo)彈協(xié)同設(shè)計(jì) VS 濰柴動(dòng)力全球協(xié)同設(shè)計(jì)網(wǎng)絡(luò)安全隔離能力要求高支持百萬(wàn)級(jí)VPN隔離及用戶量增長(zhǎng)業(yè)務(wù)應(yīng)用安全保障能力要求高百級(jí)業(yè)務(wù)平面安全服務(wù)保障DDOS防護(hù)認(rèn)證授權(quán)安全審計(jì)平臺(tái)安全補(bǔ)丁升級(jí)安全監(jiān)測(cè)安全隔離.漏洞發(fā)現(xiàn)人員培訓(xùn)代碼審計(jì)行為監(jiān)測(cè)和異常阻止審核測(cè)試工業(yè)應(yīng)用程序安全.應(yīng)用安

19、全防護(hù)措施25（四）工業(yè)互聯(lián)網(wǎng)安全防護(hù)措施實(shí)施網(wǎng)絡(luò)安全工廠內(nèi)網(wǎng)： 以太網(wǎng)IP化 無(wú)線化靈活組網(wǎng) 全局組網(wǎng) 工廠外網(wǎng)：IT與互聯(lián)網(wǎng)融合 OT與互聯(lián)網(wǎng)融合企業(yè)專網(wǎng)與互聯(lián)網(wǎng)融合產(chǎn) 品服務(wù)與互聯(lián)網(wǎng)融合統(tǒng)一靈活 全局異構(gòu)剛性局部網(wǎng)絡(luò)變化安全風(fēng)險(xiǎn)分析攻擊門(mén)檻降低專有協(xié)議以太網(wǎng)/IP協(xié)議易受DDOS攻擊現(xiàn)有10M/100M工業(yè)以太網(wǎng)交換機(jī) 性能低，難以抵抗廣播風(fēng)暴等DOS 攻擊安全策略面臨挑戰(zhàn)靜態(tài)動(dòng)態(tài)無(wú)線網(wǎng)絡(luò)風(fēng)險(xiǎn)5G/SDN等新技術(shù)風(fēng)險(xiǎn)工廠內(nèi)外網(wǎng)互聯(lián)互通風(fēng)險(xiǎn)工廠內(nèi)網(wǎng)工廠外網(wǎng)優(yōu)化網(wǎng)絡(luò)網(wǎng)絡(luò)邊界 結(jié)構(gòu)設(shè)計(jì)安全網(wǎng)絡(luò)接入通信和傳 認(rèn)證輸保護(hù)網(wǎng)絡(luò)設(shè)備安全監(jiān)測(cè)安全防護(hù)審計(jì)網(wǎng)絡(luò)安全防護(hù)措施26（五）工業(yè)互聯(lián)網(wǎng)安全防護(hù)措施實(shí)

20、施數(shù)據(jù)安全安全風(fēng)險(xiǎn)分析體量大、種類多+結(jié)構(gòu)復(fù)雜+IT和OT雙向流動(dòng)+廠內(nèi)外雙向流動(dòng)數(shù)據(jù)變化大量 多維 雙向少量 單一 單向數(shù)據(jù)泄露風(fēng)險(xiǎn)增大生產(chǎn)數(shù)據(jù)從OTIT，從廠內(nèi)廠外數(shù)據(jù)保護(hù)難度增大體量大、種類多、保護(hù)需求不同、 流動(dòng)方向和路徑復(fù)雜大數(shù)據(jù)分析催生價(jià)值保護(hù)需求生產(chǎn)數(shù)據(jù)價(jià)值低大數(shù)據(jù)分析產(chǎn)生 價(jià)值（推斷出工藝、導(dǎo)彈射程等敏 感信息）用戶隱私數(shù)據(jù)泄露風(fēng)險(xiǎn)工廠外個(gè)性化定制、服務(wù)化轉(zhuǎn)型涉 及大量用戶隱私數(shù)據(jù)數(shù)據(jù)收集數(shù)據(jù)傳輸數(shù)據(jù)處理數(shù)據(jù)存儲(chǔ)明示用途數(shù)據(jù)加密 訪問(wèn)控制 業(yè)務(wù)隔離 接入認(rèn)證數(shù)據(jù)脫敏.數(shù)據(jù)安全防護(hù)措施27（六）工業(yè)互聯(lián)網(wǎng)安全防護(hù)措施實(shí)施監(jiān)測(cè)感知監(jiān)測(cè)感知是指部署相應(yīng)的監(jiān)測(cè)措施，主動(dòng)發(fā)現(xiàn)來(lái)自系統(tǒng)內(nèi)外部的安全風(fēng)險(xiǎn)，具體措施包括數(shù)據(jù)采集、收集匯聚、特 征提取、關(guān)聯(lián)分析、狀態(tài)感知等。對(duì)工業(yè)現(xiàn)場(chǎng)網(wǎng)絡(luò)及工業(yè)互聯(lián)網(wǎng)平臺(tái)中 各類數(shù)據(jù)進(jìn)行采集，為網(wǎng)絡(luò)異常分析、 設(shè)備預(yù)測(cè)性維護(hù)等提供數(shù)據(jù)來(lái)源。對(duì)工業(yè)控制系統(tǒng)及應(yīng)用系統(tǒng) 所產(chǎn)生的關(guān)鍵工業(yè)數(shù)據(jù)進(jìn)行 匯聚對(duì)全網(wǎng)流量進(jìn)行監(jiān)聽(tīng)與存儲(chǔ)對(duì)數(shù)據(jù)特征進(jìn)行提取、篩選、分