工业互联网平台安全白皮书,工业互联网平台标准化白皮书

('工业互联网平台安全白皮书（报告来源/作者：国家工业信息安全发展研究中心和工业信息安全产业发展联盟）本白皮书旨在共商工业互联网平台安全，共筑产业生态，主要分为六个部分。第一部分介绍了国内外工业互联网平台发展情况。第二部分梳理了工业互联网平台安全防护现状。第三部分分析了工业互联网平台安全需求与边界。第四部分提出了包含防护对象、安全角色、安全威胁、安全措施、生命周期五大视角的工业互联网平台安全参考框架。第五部分汇编总结了保障工业互联网平台安全的关键技术。第六部分从政策标准、安全技术、产业协同三个方面对工业互联网平台安全发展进行展望。一、工业互联网平台发展情况（一）工业互联网平台概述国际主流工业大国都在大力推进工业互联网建设，并以工业互联网平台为引擎，探索工业制造业数字化、智能化转型发展新模式。工业互联网平台是面向制造业数字化、网络化、智能化需求，构建基于海量数据采集、汇聚、分析的服务体系，支撑制造资源泛在连接、弹性供给、高效配置的工业云平台。目前，业界已基本形成智能终端（边缘）+云架构+工业APP的工业互联网平台技术架构，一方面平台承载工业知识与微服务，向上支撑工业APP和云化工业软件的开发和部署，为企业客户提供各类应用服务；另一方面工业互联网平台向下实现海量的多源设备、异构系统的数据采集、交互和传输，支持软硬件资源和开发工具的接入、控制及应用。随着国内外对工业互联网平台变革性质和重要作用的认识不断深入，制造企业、自动化企业、通信企业、互联网企业等各类主体聚焦自身核心能力，基于公有云、私有云或混合云构建面向不同行业领域、不同技术架构、不同运行模式的工业互联网平台，旨在提升设备连接、设备管理、数据存储及处理、数据高级分析、软件应用管理、平台应用开发、整合集成等服务能力，用于满足工业领域设备产品管理、业务运营优化、社会化资源协作三个方面的需求，以实现降低成本提高效率、提升产品和服务品质、创造新价值四大成效。针对工业应用场景，工业互联网平台通过各类机器设备、人、业务系统的互联，促进数据跨系统、端到云的流动，基于数据分析、建模和应用，实现数据驱动的生产、运营闭环优化，形成新的业务模式和新的业态。与传统工业IT架构相比，工业互联网平台促使流程驱动的业务系统转变为数据驱动的应用范式，为工业企业提供了基于数据的新技术、新方法、新服务和新价值。（二）全球工业互联网平台在国际经济开放融合的背景下，随着5G网络、人工智能、大数据等新兴技术的发展，全球工业互联网平台保持高速增长态势。据咨询机构IoTAnalytics的统计，2021年全球工业互联网平台（包括物联网平台）公司数量达到620个，各类企业围绕工业互联网平台的参与热情和布局力度持续高涨。1.制造巨头凭借已有工业积淀拓展平台市场制造巨头凭借主机厂优势，打开工业互联网平台市场。西门子MindSphere平台和通用电器Predix平台从关键通用设备入手，借助在底层工业装置的数据采集、工业知识的封装和复用、信息资产建模等方面的优势，基于自有系统，实现工业现场设备、工业数据、企业运营数据、人员及其他资产的相互连接；库卡KUKAConnect平台、安川电机MMcloud平台、霍尼韦某某Sentience平台等通过机器人、机床等设备优势，开展工业设备数据的深层次采集，为各家企业提供状态监控、设备维护提醒、实时故障发现等产品增值性服务。2.工业互联网平台对不同工业场景形成适配IT优势企业以数据算法、通信连接等为切入点，探索工业应用场景。在数据算法方面，以微软、亚马某某代表的互联网巨头为平台提供各类大数据、人工智能通用算法框架和工具，与工业企业客户联合进行研发，形成可视化管理、质量分析优化、预测性维护等工业解决方案；在底层连接方面，思科等通信巨头也开始将平台连接和服务能力向工厂内渗透，从各种工业以太网和现场总线中获取实时生产数据，支撑形成工业智能应用。制造企业以行业领域深耕为基础，打造行业领域竞争力。在电气领域，ABB、菲尼克斯电气、施耐德电气以电力电气、自动化行业为主，提供端到端的工业数字化解决方案；在工程机械领域，卡特比勒、小松、日立等平台面向工程机械领域资源调配、设备运维、供应链协同方面的需求，提供设备预测性维护、备品备件管理、智慧施工、互联网金融等能力。3.数据驱动的工业互联网平台应用更加活跃数据成为工业互联网平台的生产资料，科技企业成为应用引领者。数据连接方面，SieraaWiless、Telit、DeviceInsight等M2M通信充分发挥在数据连接方面的技术优势，结合工业互联网平台，帮助工业企业实现资产的远程连接和在线管理；数据分析方面，Uptake、C3IoT、Mnubo、Particle等国际工业互联网、物将工业大数据、人工智能技术与工业互联网平台进行深度结合，满足工业领域日益深入的数据分析需求；数据应用方面，日立Lumada、东芝SPINEX、富士机械NEXIM平台基于数据改善生产制造过程，优化自身价值链和降低运营成本。此外，制造企业与软件企业的战略合作促进了数据的深度应用，PTC与罗克韦某某合作推出ThingWorx，提供面向生产过程可视化的数据汇聚和高级生产分析功能，帮助管理者直观地了解工厂运行状态。（三）我国工业互联网平台2021年，我国工业互联网平台初步展现多元化发展态势，覆盖原材料、装备机械、消费品、电子、交通等多种行业及场景。工业互联网平台应用与创新走深走实，在行业和区域中赋能工业数字化转型效果逐渐凸显，充满活力的产业生态体系加速形成。1.工业互联网平台应用由政策驱动转向市场主导随着工业互联网平台、网络、安全等配套政策趋于完善，工业互联网平台的发展与应用已经成为工业企业构建网络化协同、规模化定制、服务型制造等新模式、新业态、新动能。海尔COSMOPlat平台打造了包括大数据、供应链、协同制造、智能维保等170多个专业解决方案，覆盖房车、建陶、纺织、模具、机床、农业等15个行业生态。阿里云通过SupET“1+N”工业互联网平台，为100余家中小信息化服务商、大数据创新企业和信息工程服务企业提供服务，实现云端工业APP一站式开发、托管、集成、运维和交易。航天云网INDICS平台以云制造为核心，立足航空航天领域，面向电子信息、工程机械、汽车制造等行业提供应用服务。树根互联“根云”平台提供快速物联、设备预测性维护、配件预测管理、大数据AI等能力，与行业巨头联合打造“机床云”、“纺织云”、“3D打印共享云”、“空压机云”、“电机云”、“注塑云”、“筑工云”等数十个垂直行业云平台。2.新一代信息技术为工业互联网应用落地提供新场景大数据、人工智能、5G、区块链等新一代信息技术日趋成熟，涌现出更多“平台+新技术”的创新解决方案。东方某某Cloudiip平台、富士康“工业富联”平台、紫光云引擎“芯云”平台等通过“平台+5G”融合应用，实现高某某、低时延、高通量的数据集成，催生数字化工业灵活组网、智能终端远程控制、全场景运营优化等模式；中国电信工业互联网开放平台、杭州汽轮工业互联网服务平台等开展“平台+4K高清视频”融合探索，实现高精度、异构图像视频数据分析，催生智能产品检测、设备远程运维等模式；华为FusionPlant平台、中兴ThingxCloud兴云平台等通过“平台+VR”融合应用，实现三维动态视景快速生成与分析，催生人机协同工作、产品自动化分拣、产品设计可视化等模式。3.面向特定行业领域的系统解决方案成为应用聚焦点工业互联网平台在各行业领域中应用的深度和广度不断拓展，平台产业链图谱更加完善。行业龙头围绕行业痛点挖掘深度应用。在石化行业，石化盈科面向生产过程复杂、生产工序间耦合度高的流程行业，开发基于ProMACE工业互联网平台的生产计划、调度、操作全过程管控方案。在工程机械行业，徐工集团、三一重工、中联重科等国内企业和Uptake等国外企业以远程运维为切入点，日本小松以智慧施工为切入点，加速推动工程机械行业向设备维护智能化、综合解决方案“交钥匙化”方向加速转型。在汽车行业，北汽新能源打造了“北汽云”京津冀地区产业协同工业互联网平台，形成汽车个性化定制、质量大数据分析、车联网等解决方案。部分企业发挥协同优势整合产业链上下游资源。在后市场领域，众能联合整合豪士科、捷尔杰、Haulotte、临工重机等工程机械产品，构建物联网智能平台，实现物流、租赁、服务全业务链条融合。随着工业互联网创新发展战略的深入推进，工业互联网平台赋能水平显著提升，基于平台的制造业生态体系日趋完善。工业互联网创新发展工程实施3年来平台方向共支持了226个创新工程项目，累计带动社会资本投资近254亿元，建设19个创新体验和推广中心，5个工业互联网实训基地和长三角工业互联网示范区。重点工业互联网平台平均工业设备连接数达到65万某某、工业APP达到1950个、工业模型数突破830个，平台活跃开发者人数超过3800人，在钢铁、石化、机械、轻工、电子等领域催生了一批新模式新业态，显著带动行业转型升级。二、工业互联网平台安全防护现状纵观全球工业互联网平台安全态势，发达国家从工业控制系统、物联网、云平台、大数据等不同角度推动工业互联网平台安全发展，我国重点围绕工业互联网安全，出台政策文件，制定安全标准，规范企业加强工业互联网平台安全。然而，我国工业互联网平台安全保障能力建设仍处于起步阶段，亟需提升企业安全防护意识，突破相关核心技术，支撑我国工业互联网平台健康发展。（一）工业互联网平台安全顶层设计1.主要发达国家工业互联网平台安全顶层设计美国、欧盟、日本及其它发达国家尚未出台专门针对工业互联网平台安全的指导性文件，当前主要围绕工业控制系统、物联网、云平台等角度出台政策与标准体系，推进工业互联网平台安全防护工作。美国政府和行业联盟出台政策、标准与规范指南文件，积极引导工业互联网安全发展。政府层面，2021年，美国发布《国家网络安全保护法》，将工控系统列为网络安全重点保护对象。之后，相继发布《网络安全国家行动计划》《物联网安全战略原则》《美国国土安全部工业控制系统能力增强法案》《缓解云漏洞指南》，从工业控制系统安全、物联网安全、云安全等角度提出相应保障策略。行业联盟层面，2021年以来，美国工业互联网联盟（IIC）发布《工业物联网安全框架》《端安全最佳实践》，提出工业物联网安全的六大内容。此后，相继发布《商业视角下的工业互联网安全概括》《工业互联网安全成熟度模型》《云计算关键领域安全指南》等多个指导性文件，并举办多次安全论坛，推进安全解决方案落地实施。欧盟高度重视工业战略下的网络安全问题。2021年，发布《未来经济复苏与增长：建设一个更强的欧洲工业》，强调提升工控系统的安全防护能力。2021年欧洲网络与信息安全局（ENISA）相继发布《工业控制系统网络安全白皮书》《智能制造背景下的物联网安全实践》《工业-网络安全挑战和建议》，给出工业下的网络安全建议。2021年，欧盟发布《增强欧盟未来工业的战略价值链》报告，指出增强工业互联网战略价值链需大力发展欧洲网络安全产业。德国加快推进“工业”战略实施，同步强调安全保障工作。2021年，德国政府推出《德国工业战略计划实施建议》，提出保障工业安全的措施建议。随后，德国工业平台发布《工业安全指南》《跨企业安全通信》《安全身份标识》等指导性文件，提出以信息物理系统平台为核心的分层次安全管理思路。日本持续推进面向制造的网络安全。2021年，发布《网络安全基本法》，强调电力等基础设施运营方的网络安全要求2021年，成立“工业网络安全促进机构（ICPA）”，抵御关键基础设施攻击。2021年，日本提出“互联工业”战略，强调网络安全的重要性，成立“工业网络安全卓越中心”，旨在保护工业基础设施免受网络攻击。其他国家也将基础设施和工业控制系统安全作为网络安全的重点。2021年，新加坡发布《国家网络安全策略》，建立强健的基础设施网络；澳大利亚发布《澳大利亚网络安全战略》，重视国家重要基础设施；以色列发布“前进”网络安全产业计划，重视工业系统安全。2.我国工业互联网平台安全顶层设计一方面，出台政策文件指导工业互联网平台安全保障体系建设。2021年，国务院发布《关于深化“互联网+先进制造业”发展工业互联网的指导意见》，提出要加强安全防护能力，重点突破工业互联网平台安全等产品研发，建立与工业互联网发展相匹配的技术保障能力。2021年，工信部印发《工业互联网平台建设及推广指南》提出要完善工业互联网平台安全保障体系，制定完善工业信息安全管理等政策法规，明确安全防护要求。同年，发布《工业互联网平台评价方法》，将安全可靠作为评价工业互联网平台安全能力的一个方面，要求在平台中建立安全防护机制，确保关键零部件和软件应用安全可靠。2021年，工信部等十部门印发《加强工业互联网安全工作的指导意见》，指出要支持工业互联网安全科技创新，加大对工业互联网安全技术研发和成果转化的支持力度，强化平台安全等相关核心技术研究。2021年3月4日，中共中央政治局常务委员会在会议中强调，要加快新型基础设施建设进度，工业互联网等七大领域被纳入“新基建”体系。3月20日，工信部发布《关于推动工业互联网加快发展的通知》，提出要加快健全安全保障体系，完善安全技术监测体系，健全安全工作机制，加强安全技术产品创新，督促指导企业提升安全水平。另一方面，加速推进工业互联网平台安全标准化工作。2021年，信安标委发布《信息安全技术工业互联网平台安全要求及评估规范（征求意见稿）》，明确工业互联网平台各层次的安全管理与安全技术防护要求，并提出相应的安全评估方法。国家烟草专卖局率先召集烟草领域、安全领域专家形成《烟草行业卷烟制造工业互联网平台通用技术要求标准（草案）》，对中国烟及各下属单位卷烟制造工业互联网平台安全要求进行规定。此外，国家工业信息安全发展研究中心2021年发布《工业信息安全标准化白皮书》，对构建工业互联网平台安全标准体系等提供指导。（二）工业互联网平台安全建设发展多样化我国工业互联网平台已经从概念普及进入实践深耕阶段，国内各大主流平台逐步实现了用户、设备、产品和企业的全方位连接，平台安全体系建设取得初步成效。当前，国内工业互联网平台安全处于工业企业、平台企业、安全企业、互联网企业、硬件企业多方共建状态。1.工业企业自建工业互联网平台并实施安全加固龙头工业企业和大型智能面向工业转型发展需求构建工业互联网平台，同步实施安全加固。从综合安全防护的角度出发，在平台各层次及数据方面部署相应安全防护措施。例如，中国航天科工集团旗下航天云网Indics工业互联网平台，构建了涵盖设备、网络、控制、应用、数据的完整安全保障体系。海尔COSMOPlat工业互联网平台自主研发海安盾安全防护系统，以工业IaaS层的虚拟化安全、主机安全为重点，形成集态势感知、业务系统安全分析、漏洞发现为一体的安全解决方案。2.平台企业输出具备一定安全能力的工业互联网平台大型制造企业及互联网企业依托自身特色打造工业互联网平台，孵化独立运营的平台服务，向其他企业输出具备一定安全能力的工业互联网平台。例如，寄云科技NeuSeer工业互联网平台为能源化工企业提供安全生产管控能力，降低安全管理的人工依赖，提升安全管理水平。树根互联根云平台聚焦PaaS和SaaS层安全，支持平台主机、应用的安全审计和工业APP上线前安全检测与加固。东方某某Cloudiip工业互联网平台支持海量大数据的接入、存储、分析和模型共享并保障数据安全。阿里云工业互联网平台将安全技术进行解构、重组，打造完整可靠、可信的安全生态系统，提升平台服务的内生安全能力。浪潮云洲工业互联网平台发布云数据铁笼IDS，为多方安全计算场景提供第三方支持和服务，解决数据隐私泄露问题，并提供基于区块链的数据计算全流程安全审计。3.安全企业输出平台安全解决方案安全企业利用自身积累的安全经验为工业互联网平台提供安全解决方案，除提供资产测绘、杀毒软件、防火墙、入侵检测、流量审计、安全监测等传统安全软件外，还通过SaaS服务模式输出安全能力，为工业互联网平台提供技术支撑。例如，阿里云盾提供了DDoS防护、主机入侵防护、Web应用防火墙、态势感知等一站式安全产品及服务，助力提升工业互联网平台安全防护水平。360、启明星辰等安全厂商为航天云网Indics工业互联网平台建立病毒库、漏洞库及防护工具库，支持平台入侵检测、漏洞扫描和主动防御。长扬科技打造了工控安全评估工控等保检查、工业防火墙、工控主机卫士、统一安全管理、安全态势感知等多种安全产品，支持工业互联网平台安全防护。4.互联网企业输出集成安全能力的平台系统及软件互联网企业依托系统、软件专精优势，为工业互联网平台提供安全的操作系统、虚拟化软件、数据库、大数据分析模型等。例如，东土科技发布了Intewell工业互联网操作系统，依托国产自主、安全可靠的“道系统”，面向智能装备、智能制造等多领域提供国产设备软件基础运行平台。以阿里云关系型数据库为代表的安全数据库、以阿里云大数据计算服务为代表的安全大数据服务和安全虚拟化系统也在业界广泛使用。5.硬件企业研发集成安全能力的硬件设备设备安全是确保工业互联网平台上层系统及软件安全的基础，硬件企业研发集成安全能力的工业控制设备、安全路由、安全网关、安全边缘节点、可信服务器等，为工业互联网平台提供基于硬件的安全防护能力。例如，中电智科面向国家重要基础设施应用，研发了安全增强型PLC，可满足各种控制规模、不同安全要求的自动化应用场景。华为、深信服等研发了安全网关、安全路由器，增强工业网络及平台网络的通信安全性。大唐高鸿依托其自主研发的硬件平台，搭载国产可信芯片，研制了可信服务器，为用户构建从基础设施层到应用系统层的安全计算环境。（三）我国工业互联网平台安全能力现状工业互联网平台是业务交互的桥梁和数据汇聚分析的中心，联结全生产链各个环节实现协同制造，平台高复杂性、开放性和异构性的特点加剧了其所面临的安全风险。1.工业互联网平台是网络攻击的重要目标CNCERT发布的《2021年我国互联网网络安全态势综述》指出，我国根云、航天云网、OneNET、COSMOPlat、奥普云、机智云等大型工业互联网平台，持续遭受来自境外的网络攻击，平均攻击次数达90次/日，较上一年（2021年）提升了43%，攻击类型涉及远程代码执行、拒绝服务、Web漏洞利用等。2021年工信部对20家典型工业互联网龙头企业的213个重要工业互联网平台开展安全检查评估发现，平台企业用户普遍认为业务上云的同时网络安全责任“一迁了之”，漠视安全漏洞，对已知已报漏洞尤其是弱口令、跨站攻击、恶意程序注入等常见漏洞未及时跟踪处置；对外包云服务的安全管控意识不强，对云平台、办公网及生产控制网互联互通后的整体安全态势感知能力不足。2021年工信部组织的对某典型工业互联网平台攻防演练活动中，攻击方探测到平台各类信息化系统100多个，发现高危漏洞20多个，通过利用漏洞可获得平台内网系统控制权、窃取敏感信息，以此为跳板，进而对内网其他设备、系统和网络发起渗透，最终可导致企业工业互联网平台及相关设备网络瘫痪。2.工业互联网平台安全能力的侧重点内容过长，仅展示头部和尾部部分文字预览，全文请查看图片预览。专项人才，加大对技术研发和成果转化的支持力度，鼓励高校、科研院所、安全企业、平台企业和工业企业联合开展工业互联网平台安全复合型人才，依托工业信息安全产业发展联盟推动人才资质评估认证。二是加快工业互联网平台企业与安全企业联合协同。工业企业本身网络安全技术不高，人才储备不足，面临设备部署成本高、防御效果难评估、安全运维投入大、应急响应预案不充分等问题，而且由于生产技术保密等各种考虑，其与网络安全企业的合作不够深入。着力推广工业互联网平台企业、工业企业、安全企业的联合协同，整合各自优势资源、采用多种合作形式，实现工业互联网平台安全建设和推广，提升平台安全服务水平。三是推进工业互联网平台安全国际合作交流。大力推进国际合作，营造国内外协同的良好环境，促进国际交流、产业优势、技术优势互补。合理搭乘一带一路的发展模式快车，加强与国际工业互联网相关联盟、龙头的交流、研讨，大力推进和推广国际合作，开展具有全球化、前沿技术性的技术合作和应用创新共同打造新世纪的工业互联网安全平台。/（报告观点属于原作者，仅供参考。报告来源/作者：国家工业信息安全发展研究中心和工业信息安全产业发展联盟）[文章尾部最后500字内容到此结束,中间部分内容请查看底下的图片预览]',)