工业互联网安全保护方案.docx

工业互联网安全保护方案一、工业互联网安全概述1（一）工业互联网概念内涵1（二）工业互联网安全框架内容与范围2二、工业互联网安全防护方案20（一）设备安全21（二）控制安全23（三）网络安全27（四）应用安全31（五）数据安全35（六）监测感知39（七）处置恢复41三、工业互联网安全发展趋势与展望46（一）工业互联网概念内涵工业互联网是满足工业智能化发展需求，具有低时延、 高可靠、广覆盖特点的关键网络基础设施，是新一代信息通 信技术与先进制造业深度融合所形成的新兴业态与应用模 式。工业互联网深刻变革传统工业的创新、生产、管理、服 务方式，催生新技术、新模式、新业态、新产业，正成为繁 荣数字经济的新基石、创新网络国际治理的新途径和统筹两 个强国建设的新引擎。工业互联网包括网络、平台、安全三大体系。其中，网络 体系是基础。工业互联网将连接对象延伸到工业全系统、全产 业链、全价值链，可实现人、物品、机器、车间、企业 等全 要素，以及设计、研发、生产、管理、服务等各环节的 泛在 深度互联。平台体系是核心。工业互联网平台作为工业智能 化发展的核心载体，实现海量异构数据汇聚与建模分析、工业 制造能力标准化与服务化、工业经验知识软件化与模块 化、 以及各类创新应用开发与运行，支撑生产智能决策、业 务模 式创新、资源优化配置和产业生态培育。安全体系是保 障。 建设满足工业需求的安全技术体系和管理体系，增强设备、网 络、控制、应用和数据的安全保障能力，识别和抵御安全威胁，化解各种安全风险，构建工业智能化发展的安全 可信环境。(二) 工业互联网安全框架内容与范围工业领域的安全一般分为三类，信息安全(Security )> 功能安全(Functional Safety)和物理安全(Physical Safety)。 传统工业控制系统安全最初多关注功能安全与物理安全，即 防止工业安全相关系统或设备的功能失效，当失效或故障发 生时，保证工业设备或系统仍能保持安全条件或进入到安全 状态。近年来，随着工业控制系统信息化程度的不断加深，针 对工业控制系统的信息安全问题不断凸显，业界对信息安全 的重视程度逐步提高。与传统的工控系统安全和互联网安全相比，工业互联网 的安全挑战更为艰巨：一方面，工业互联网安全打破了以往 相对明晰的责任边界，其范围、复杂度、风险度产生的影响 要大得多，其中工业互联网平台安全、数据安全、联网智能 设备安全等问题越发突出；另一方面，工业互联网安全工作 需要从制度建设、国家能力、产业支持等更全局的视野来统 筹安排，目前很多企业还没有意识到安全部署的必要性与紧 迫性，安全管理与风险防范控制工作亟需加强。因此，工业互联网安全框架需要统筹考虑信息安全、功 能安全与物理安全，聚焦信息安全，主要解决工业互联网面 临的网络攻击等新型风险，并考虑其信息安全防护措施的部 署可能对功能安全和物理安全带来的影响。由于物理安全相 关防护措施较为通用，故在本框架中不作重要考虑，主要对 工业互联网的信息安全与功能安全进行讨论。工业互联网安全防护方案工业互联网安全框架在实施过程中的重点是针对防护 对象采取行之有效的防护措施。为此，本章针对工业互联网 安全的五大防护对象面临的安全威胁，分别介绍其可采取的 安全防护措施，并对监测感知与处置恢复两类贯穿工业互联 网全系统的防护措施进行介绍，为企业部署工业互联网安全 防护工作提供参考。（一）设备安全工业互联网的发展使得现场设备由机械化向高度智能 化发生转变，并产生了嵌入式操作系统+微处理器+应用软 件的新模式，这就使得未来海量智能设备可能会直接暴露在 网络攻击之下，面临攻击范围扩大、扩散速度增加、漏洞影 响扩大等威胁。工业互联网设备安全指工厂内单点智能器件以及成套 智能终端等智能设备的安全，具体应分别从操作系统/应用 软件安全与硬件安全两方面出发部署安全防护措施，可采用 的安全机制包括固件安全增强、恶意软件防护、设备身份鉴 别与访问控制、漏洞修复等。1、操作系统/应用软件安全（1）固件安全增强工业互联网设备供应商需要采取措施对设备固件进行4 安全增强，阻止恶意代码传播与运行。工业互联网设备供应 商可从操作系统内核、协议栈等方面进行安全增强，并力争 实现对于设备固件的自主可控。（2）漏洞修复加固设备操作系统与应用软件中出现的漏洞对于设备来说 是最直接也是最致命的威胁。设备供应商应对工业现场中常 见的设备与装置进行漏洞扫描与挖掘，发现操作系统与应用 软件中存在的安全漏洞，并及时对其进行修复。（3）补丁升级管理工业互联网企业应密切关注重大工业互联网现场设备 的安全漏洞及补丁发布，及时采取补丁升级措施，并在补丁 安装前对补丁进行严格的安全评估和测试验证。2、硬件安全（1）硬件安全增强对于接入工业互联网的现场设备，应支持基于硬件特征 的唯一标识符，为包括工业互联网平台在内的上层应用提供 基于硬件标识的身份鉴别与访问控制能力，确保只有合法的 设备能够接入工业互联网并根据既定的访问控制规则向其他 设备或上层应用发送或读取数据。此外，应支持将硬件级部 件（安全芯片或安全固件）作为系统信任根，为现场设备的 安全启动以及数据传输机密性和完整性保护提供支持。（2）运维管控工业互联网企业应在工业现场网络重要控制系统（如机 组主控DCS系统）的工程师站、操作员站和历史站部署运维 管控系统，实现对外部存储器（如U盘）、键盘和鼠标等使 用USB接口的硬件设备的识别，对外部存储器的使用进行 严格控制。同时，注意部署的运维管控系统不能影响生产 控制区各系统的正常运行。（二）控制安全工业互联网使得生产控制由分层、封闭、局部逐步向扁 平、开放、全局方向发展。其中在控制环境方面表现为信息 技术（IT）与操作技术（OT）融合，控制网络由封闭走向开 放；在控制布局方面表现为控制范围从局部扩展至全局，并 伴随着控制监测上移与实时控制下移。上述变化改变了传统 生产控制过程封闭、可信的特点，造成安全事件危害范围扩大、 危害程度加深、信息安全与功能安全问题交织等后果。对于工业互联网控制安全防护，主要从控制协议安全、 控制软件安全及控制功能安全三个方面考虑，可采用的安全 机制包括协议安全加固、软件安全加固、恶意软件防护、补 丁升级、漏洞修复、安全监测审计等。1、控制协议安全（1）身份认证为了确保控制系统执行的控制命令来自合法用户，必须 对使用系统的用户进行身份认证，未经认证的用户所发出的 控制命令不被执行。在控制协议通信过程中，一定要加入认 证方面的约束，避免攻击者通过截获报文获取合法地址建立 会话，影响控制过程安全。（2）访问控制不同的操作类型需要不同权限的认证用户来操作，如果 没有基于角色的访问机制，没有对用户权限进行划分，会导 致任意用户可以执行任意功能。（3）传输加密在控制协议设计时，应根据具体情况，采用适当的加密 措施，保证通信双方的信息不被第三方非法获取。（4）健壮性测试控制协议在应用到工业现场之前应通过健壮性测试工具的测试，测试内容可包括风暴测试、饱和测试、语法测试、 模糊测试等。2、控制软件安全（1）软件防篡改工业互联网中的控制软件可归纳为数据采集软件、组态 软件、过程监督与控制软件、单元监控软件、过程仿真软件过 程优化软件、专家系统、人工智能软件等类型。软件防篡改是 保障控制软件安全的重要环节，具体措施包括以下几种： 控制软件在投入使用前应进行代码测试，以检查软件中的公共缺陷。 采用完整性校验措施对控制软件进行校验，及时发现 软件中存在的篡改情况。 对控制软件中的部分代码进行加密。 做好控制软件和组态程序的备份工作。（2）认证授权控制软件的应用要根据使用对象的不同设置不同的权 限，以最小的权限完成各自的任务。（3）恶意软件防护对于控制软件应采取恶意代码检测、预防和恢复的控制 措施。控制软件恶意代码防护具体措施包括： 在控制软件上安装恶意代码防护软件或独立部署恶 意代码防护设备，并及时更新恶意代码软件和修复软件版本 和恶意代码库，更新前应进行安全性和兼容性测试。防护软 件包括病毒防护、入侵检测、入侵防御等具有病毒查杀和阻 止入侵行为的软件；防护设备包括防火墙、网闸、入侵检测 系统、入侵防御系统等具有防护功能的设备。应注意防止在 实施维护和紧急规程期间引入恶意代码。 建议控制软件的主要生产厂商采用特定的防病毒工 具。在某些情况下，控制软件的供应商需要对其产品线的防 病毒工具版本进行回归测试，并提供相关的安装和配置文 档。 采用具有白名单机制的产品，构建可信环境，抵御零 日漏洞和有针对性地攻击。（4）补丁升级更新控制软件的变更和升级需要在测试系统中经过仔细的 测试，并制定详细的回退计划。对重要的补丁需尽快测试和 部署。对于服务包和一般补丁，仅对必要的补丁进行测试和 部署。（5）漏洞修复加固控制软件的供应商应及时对控制软件中出现的漏洞进 行修复或提供其他替代解决方案，如关闭可能被利用的端 口等。（6）协议过滤采用工业防火墙对协议进行深度过滤，对控制软件与设 备间的通信内容进行实时跟踪，同时确保协议过滤不得影响 通信性能。（7）安全监测审计通过对工业互联网中的控制软件进行安全监测审计可 及时发现网络安全事件，避免发生安全事故，并可以为安全 事故的调查提供详实的数据支持。目前许多安全产品厂商已 推出了各自的监测审计平台，可实现协议深度解析、攻击异 常检测、无流量异常检测、重要操作行为审计、告警日志审 计等功能。3、控制功能安全要考虑功能安全和信息安全的协调能力，使得信息安全 不影响功能安全，功能安全在信息安全的防护下更好地执行 安全功能。现阶段功能安全具体措施主要包括：（1）确定可能的危险源、危险状况和伤害事件，获取已 确定危险的信息（如持续时间、强度、毒性、暴露限度、机 械力、爆炸条件、反应性、易燃性、脆弱性、信息丢失等）确定控制软件与其他设备或软件（已安装的或将被 安装的）以及与其他智能化系统（已安装的或将被安装的）之 间相互作用所产生的危险状况和伤害事件，确定引发事故的 事件类型（如元器件失效、程序故障、人为错误，以及能导 致危险事件发生的相关失效机制）。结合典型生产工艺、加工制造过程、质量管控等方 面的特征，分析安全影响。 考虑自动化、一体化、信息化可能导致的安全失控 状态，确定需要采用的监测、预警或报警机制、故障诊断与 恢复机制、数据收集与记录机制等。 明确操作人员在对智能化系统执行操作过程中可 能产生的合理可预见的误用以及智能化系统对于人员恶意攻 击操作的防护能力。 智能化装备和智能化系统对于外界实物、电、磁 场、辐射、火灾、地震等情况的抵抗或切断能力，以及在发生异常扰动或中断时的检测和处理能力。（三）网络安全工业互联网的发展使得工厂内部网络呈现出IP化、无线 化、组网方式灵活化与全局化的特点，工厂外网呈现出信息 网络与控制网络逐渐融合、企业专网与互联网逐渐融合以及 产品服务日益互联网化的特点。这就造成传统互联网中的网 络安全问题开始向工业互联网蔓延，具体表现为以下几个方 面：工业互联协议由专有协议向以太网IP协议转变，导致攻 击门槛极大降低；现有一些10M / 100M工业以太网交换机 （通常是非管理型交换机）缺乏抵御日益严重的DDoS攻击 的能力；工厂网络互联、生产、运营逐渐由静态转变为动态， 安全策略面临严峻挑战等。此外，随着工厂业务的拓展和新技 术的不断应用，今后还会面临5G/SDN等新技术引入、工厂 内外网互联互通进一步深化等带来的安全风险。工业互联网网络安全防护应面向工厂内部网络、外部网 络及标识解析系统等方面，具体包括网络结构优化、边界安 全防护、接入认证、通信内容防护、通信设备防护、安全监测 审计等多种防护措施，构筑全面高效的网络安全防护体系。（1）优化网络结构设计在网络规划阶段，需设计合理的网络结构。一方面通过 在关键网络节点和标识解析节点采用双机热备和负载均衡等 技术，应对业务高峰时期突发的大数据流量和意外故障引发 的业务连续性问题，确保网络长期稳定可靠运行。另一方面 通过合理的网络结构和设置提高网络的灵活性和可扩展性， 为后续网络扩容做好准备。（2）网络边界安全根据工业互联网中网络设备和业务系统的重要程度将 整个网络划分成不同的安全域，形成纵深防御体系。安全域 是一个逻辑区域，同一安全域中的设备资产具有相同或相近 的安全属性，如安全级别、安全威胁、安全脆弱性等，同一 安全域内的系统相互信任。在安全域之间采用网络边界控制 设备，以逻辑串接的方式进行部署，对安全域边界进行监视， 识别边界上的入侵行为并进行有效阻断。（3）网络接入认证接入网络的设备与标识解析节点应该具有唯一性标识， 网络应对接入的设备与标识解析节点进行身份认证，保证合 法接入和合法连接，对非法设备与标识解析节点的接入行为 进行阻断与告警，形成网络可信接入机制。网络接入认证可 采用基于数字证书的身份认证等机制来实现。（4）通信和传输保护通信和传输保护是指采用相关技术手段来保证通信过程中 的机密性、完整性和有效性，防止数据在网络传输过程中被 窃取或篡改，并保证合法用户对信息和资源的有效使用。同时，在标识解析体系的建设过程中，需要对解析节点中存 储 以及在解析过程中传输的数据进行安全保护。具体包括： 通过加密等方式保证非法窃取的网络传输数据无法 被非法用户识别和提取有效信息，确保数据加密不会对任 何其他工业互联网系统的性能产生负面影响。在标识解析体 系的各类解析节点与标识查询节点之间建立解析数据安全传 输通道，采用国密局批准使用的加密算法及加密设备，为标 识解析请求及解析结果的传输提供机密性与完整性保障。 网络传输的数据采取校验机制，确保被篡改的信息能 够被接收方有效鉴别。 应确保接收方能够接收到网络数据，并且能够被合法 用户正常使用。（5）网络设备安全防护为了提高网络设备与标识解析节点自身的安全性，保障 其正常运行，网络设备与标识解析节点需要采取一系列安全 防护措施，主要包括： 对登录网络设备与标识解析节点进行运维的用户进 行身份鉴别，并确保身份鉴别信息不易被破解与冒用； 对远程登录网络设备与标识解析节点的源地址进行 限制； 对网络设备与标识解析节点的登录过程采取完备的 登录失败处理措施; 启用安全的登录方式（如SSH或HTTPS等）。（6）安全监测审计网络安全监测指通过漏洞扫描工具等方式探测网络设 备与标识解析节点的漏洞情况，并及时提供预警信息。网络 安全审计指通过镜像或代理等方式分析网络与标识解析系 统中的流量，并记录网络与标识解析系统中的系统活动和用 户活动等各类操作行为以及设备运行信息，发现系统中现有 的和潜在的安全威胁，实时分析网络与标识解析系统中发生 的安全事件并告警。同时记录内部人员的错误操作和越权操作， 并进行及时告警，减少内部非恶意操作导致的安全隐患。（四）应用安全工业互联网应用主要包括工业互联网平台与工业应用 程序两大类，其范围覆盖智能化生产、网络化协同、个性化 定制、服务化延伸等方面。目前工业互联网平台面临的安全 风险主要包括数据泄露、篡改、丢失、权限控制异常、系统 漏洞利用、账户劫持、设备接入安全等。对工业应用程序而 言，最大的风险来自安全漏洞，包括开发过程中编码不符合 安全规范而导致的软件本身的漏洞以及由于使用不安全的第 三方库而出现的漏洞等。相应地，工业互联网应用安全也应从工业互联网平台安 全与工业应用程序安全两方面进行防护。对于工业互联网平台，可采取的安全措施包括安全审计、认证授权、DDOS攻击 防护等。对于工业应用程序，建议采用全生命周期的安全防 护，在应用程序的开发过程中进行代码审计并对开发人员进 行培训，以减少漏洞的引入；对运行中的应用程序定期进行 漏洞排查，对应用程序的内部流程进行审核和测试，并对公 开漏洞和后门并加以修补；对应用程序的行为进行实时监测， 以发现可疑行为并进行阻止，从而降低未公开漏洞带来的危 害。1、平台安全（1）安全审计安全审计主要是指对平台中与安全有关的活动的相关 信息进行识别、记录、存储和分析。平台建设过程中应考虑 具备一定的安全审计功能，将平台与安全有关的信息进行有 效识别、充分记录、长时间的存储和自动分析。能对平台的 安全状况做到持续、动态、实时的有依据的安全审计，并向 用户提供安全审计的标准和结果。（2）认证授权工业互联网平台用户分属不同企业，需要采取严格的认 证授权机制保证不同用户能够访问不同的数据资产。同时认 证授权需要采用更加灵活的方式，确保用户间可以通过多种 方式将数据资产分模块分享给不同的合作伙伴。（3）DDoS 防御部署DDoS防御系统，在遭受DDoS攻击时，保证平台 用户的正常使用。平台抗DDoS的能力应在用户协议中作为 产品技术参数的一部分明确指出。（4）安全隔离平台不同用户之间应当采取必要的措施实现充分隔离，防止蠕虫病毒等安全威胁通过平台向不同用户扩散。平 台不同应用之间也要采用严格的隔离措施，防止单个应用的 漏洞影响其他应用甚至整个平台的安全。（5）安全监测应对平台实施集中、实时的安全监测，监测内容包括各 种物理和虚拟资源的运行状态等。通过对系统运行参数（如 网络流量、主机资源和存储等）以及各类日志进行分析，确 保工业互联网平台提供商可执行故障管理、性能管理和自动 检修管理，从而实现平台运行状态的实时监测。（6）补丁升级工业互联网平台搭建在众多底层软件和组件基础之上。 由于工业生产对于运行连续性的要求较高，中断平台运行进 行补丁升级的代价较大。因此平台在设计之初就应当充分考 虑如何对平台进行补丁升级的问题。（7）虚拟化安全虚拟化是边缘计算和云计算的基础，为避免虚拟化出现 安全问题影响上层平台的安全，在平台的安全防护中要充分 16 考虑虚拟化安全。虚拟化安全的核心是实现不同层次及不同 用户的有效隔离，其安全增强可以通过采用虚拟化加固等防 护措施来实现。2、工业应用程序安全（1）代码审计代码审计指检查源代码中的缺点和错误信息，分析并找 到这些问题引发的安全漏洞，并提供代码修订措施和建议工 业应用程序在开发过程中应该进行必要的代码审计，发现代 码中存在的安全缺陷并给出相应的修补建议。（2）人员培训企业应对工业应用程序开发者进行软件源代码安全培 训，包括：了解应用程序安全开发生命周期（SDL）的每 个 环节，如何对应用程序进行安全架构设计，具备所使用编 程 语言的安全编码常识，了解常见源代码安全漏洞的产生机 理、导致后果及防范措施，熟悉安全开发标准，指导开发人员 进行安全开发，减少开发者引入的漏洞和缺陷等，从而提高 工 业应用程序安全水平。（3）漏洞发现漏洞发现是指基于漏洞数据库，通过扫描等手段对指定 工业应用程序的安全脆弱性进行检测，发现可利用漏洞的一 种安全检测行为。在应用程序上线前和运行过程中，要定期 对其进行漏洞发现，及时发现漏洞并采取补救措施。（4）审核测试对工业应用程序进行审核测试是为了发现功能和逻辑上 的问题。在上线前对其进行必要的审核测试，有效避免信 息 泄露、资源浪费或其他影响应用程序可用性的安全隐患。（5）行为监测和异常阻止对工业应用程序进行实时的行为监测，通过静态行为规 则匹配或者机器学习的方法，发现异常行为，发出警告或者 阻止高危行为，从而降低影响。（五）数据安全工业互联网相关的数据按照其属性或特征，可以分为四 大类：设备数据、业务系统数据、知识库数据、用户个人数 据。根据数据敏感程度的不同，可将工业互联网数据分为一 般数据、重要数据和敏感数据三种。工业互联网数据涉及数 据采集、传输、存储、处理等各个环节。随着工厂数据由少 量、单一、单向向大量、多维、双向转变，工业互联网数据 体量不断增大、种类不断增多、结构日趋复杂，并出现数据 在工厂内部与外部网络之间的双向流动共享。由此带来的安 全风险主要包括数据泄露、非授权分析、用户个人信息泄露 等。对于工业互联网的数据安全防护，应采取明示用途、数 据加密、访问控制、业务隔离、接入认证、数据脱敏等多种 防护措施，覆盖包括数据收集、传输、存储、处理等在内的 18 全生命周期的各个环节。1. 数据收集工业互联网平台应遵循合法、正当、必要的原则收集与 使用数据及用户信息，公开数据收集和使用的规则，向用户 明示收集使用数据的目的、方式和范围，经过用户的明确授 权同意并签署相关协议后才能收集相关数据。授权协议必须 遵循用户意愿，不得以拒绝提供服务等形式强迫用户同意数 据采集协议。另外，工业互联网平台不得收集与其提供的服务无关的 数据及用户信息，不得违反法律、行政法规的规定和双方约 定收集、使用数据及用户信息，并应当依照法律、行政法规 的规定和与用户的约定处理其保存的数据及个人信息。2. 数据传输为防止数据在传输过程中被窃听而泄露，工业互联网服 务提供商应根据不同的数据类型以及业务部署情况，采用有 效手段确保数据传输安全。例如通过SSL保证网络传输数据 信息的机密性、完整性与可用性，实现对工业现场设备与工 业互联网平台之间、工业互联网平台中虚拟机之间、虚拟机 与存储资源之间以及主机与网络设备之间的数据安全传输并 为平台的维护管理提供数据加密通道，保障维护管理过程的 数据传输安全。3. 数据存储(1) 访问控制数据访问控制需要保证不同安全域之间的数据不可直 接访问，避免存储节点的非授权接入，同时避免对虚拟化环 境数据的非授权访问。 存储业务的隔离借助交换机，将数据根据访问逻辑划分到不同的区域内， 使得不同区域中的设备相互间不能直接访问，从而实现网络 中设备之间的相互隔离。 存储节点接入认证对于存储节点的接入认证可通过成熟的标准技术，包括 iSCSI 协议本身的资源隔离、CHAP(Challenge Handshake Authentication Protocol)等，也可通过在网络层面划分VLAN 或设置访问控制列表等来实现。 虚拟化环境数据访问控制在虚拟化系统上对每个卷定义不同的访问策略，以保障 没有访问该卷权限的用户不能访问，各个卷之间互相隔离。(2) 存储加密工业互联网平台运营商可根据数据敏感度采用分等级 的加密存储措施(如不加密、部分加密、完全加密等)。 建议平台运营商按照国家密码管理有关规定使用和管理密码 设施，并按规定生成、使用和管理密钥。同时针对数据在工 业互联网平台之外加密之后再传输到工业互联网平台中存储 的场景，应确保工业互联网平台运营商或任何第三方无法对 客户的数据进行解密。（3）备份和恢复用户数据作为用户托管在工业互联网服务提供商的数据资产，服务提供商有妥善保管的义务。应当采取技术措 施和其他必要措施，防止信息泄露、毁损、丢失。在发生或 者可能发生个人信息泄露、毁损、丢失的情况时，应当立即 采取补救措施，按照规定及时告知用户并向有关主管部门报 告。工业互联网服务提供商应当根据用户业务需求、与用户签 订的服务协议制定必要的数据备份策略，定期对数据进行备 份。当发生数据丢失事故时能及时恢复一定时间前备份的数 据，从而降低用户的损失。4. 数据处理（1）使用授权数据处理过程中，工业互联网服务提供商要严格按照法 律法规以及在与用户约定的范围内处理相关数据，不得擅自 扩大数据使用范围，使用中要采取必要的措施防止用户数据 泄露。如果处理过程中发生大规模用户数据泄露的安全事件， 应当及时告知用户和上级主管部门，对于造成用户经济损失 的应当给予赔偿。（2）数据销毁在资源重新分配给新的租户之前，必须对存储空间中的 数据进行彻底擦除，防止被非法恶意恢复。应根据不同的数 据类型以及业务部署情况，选择采用如下操作方式： 在逻辑卷回收时对逻辑卷的所有bit位进行清零，并 利用“0”或随机数进行多次覆写；在非高安全场景，系 统默认将逻辑卷的关键信息（如元数据、索引项、卷前10M 等）进行清零；在涉及敏感数据的高安全场景，当数据中心 的物理硬盘需要更换时系统管理员可采用消磁或物理粉碎等 措施保证数据彻底清除。（3）数据脱敏当工业互联网平台中存储的工业互联网数据与用户个人 信息需要从平台中输出或与第三方应用进行共享时，应当 在输出或共享前对这些数据进行脱敏处理。脱敏应采取不可 恢复的手段，避免数据分析方通过其他手段对敏感数据复原。 此外数据脱敏后不应影响业务连续性，避免对系统性能造成 较大影响。（六）监测感知监测感知是指部署相应的监测措施，主动发现来自系统 内外部的安全风险，具体措施包括数据采集、收集汇聚、特 征提取、关联分析、状态感知等。（1）数据采集数据采集指对工业现场网络及工业互联网平台中各类 数据进行采集，为网络异常分析、设备预测性维护等提供数 据来源。（2）收集汇聚对于数据的收集汇聚主要分为两个方面。一是对SCADA、 MES、ERP等工业控制系统及应用系统所产生的关键工业互 联网数据进行汇聚，包括产品全生命周期的各类数据的同步 采集、管理、存储及查询，为后续过程提供数据来源。二是 对全网流量进行监听，并将监听过程中采集到的数据进行汇 聚。（3）特征提取特征提取是指对数据特征进行提取、筛选、分类、优先 级排序、可读等处理，从而实现从数据到信息的转化过程，该 过程主要是针对单个设备或单个网络的纵向数据分析。信息 主要包括内容和情景两方面，内容指工业互联网中的设备信 号处理结果、监控传输特性、性能曲线、健康状况、报警信 息 DNC及SCADA网络流量等；情景指设备的运行工况、维 护保养记录、人员操作指令、人员访问状态、生产任务目标、 行业销售机理等。（4）关联分析关联分析基于大数据进行横向大数据分析和多维分析， 通过将运行机理、运行环境、操作内容、外部威胁情报等有 机结合，利用群体经验预测单个设备的安全情况，或根据历 史状况和当前状态的差异进行关联分析，进而发现网络及系 统的异常状态。（5）状态感知状态感知基于关联分析过程，实现对工业互联网相关企 业网络运行规律、异常情况、安全目标、安全态势、业务背 景等的监测感知，确定安全基线，结合大数据分析等相关技 术，发现潜在安全威胁、预测黑客攻击行为。（七）处置恢复处置恢复机制是确保落实工业互联网信息安全管理，支 撑工业互联网系统与服务持续运行的保障。通过处置恢复机 制，在风险发生时灾备恢复组织能根据预案及时采取措施进 行应对，及时恢复现场设备、工业控制系统、网络、工业互 联网平台、工业应用程序等的正常运行，防止重要数据丢失， 并通过数据收集与分析机制，及时更新优化防护措施，形成 持续改进的防御闭环。处置恢复机制主要包括响应决策、备 份恢复、分析评估等。1. 响应决策对于工业互联网灾难恢复过程中的决策与响应，需预先 制定相应的处置策略，针对不同风险等级制定相应预案措施。 处置恢复工作需要在处置恢复组织的领导下进行，通过实时 监测工业互联网系统各类数据，在突发灾难时通过相应机制进行应对。（1）处置恢复组织架构 处置恢复规划领导组是实施处置恢复规划工作的组 织领导机构，应由单位高层领导担任组长，领导和决策处置 恢复规划中的重大事宜。 处置恢复现场实施组负责对处置恢复工作进行需求 分析、规划并确立处置恢复策略，制订处置恢复预案。 处置恢复日常运行组:负责灾难备份中心日常管理，处 置恢复预案的教育、培训、演练、维护和管理，突发事件发 生时的损失控制和损害评估，灾难发生后恢复技术支持及外 部协作等。（2）灾难风险分析与管理工业互联网较传统信息系统架构更为复杂，处置恢复组 织应根据工业互联网系统架构进行风险识别，并对风险按照 类别与等级、风险影响程度、风险发生几率和风险时长等因 素进行评估，依照风险处置优先级别制定防范措施与解决预 案，将实际情况与之进行匹配，并进行适当的调整以满足实 施的有效性。（3）灾难数据监测工业互联网系统架构包括多个层级与数据接口，针对可 能发生的风险所在的层级，应采取相应的措施降低灾难发生 的几率。处置恢复日常运行组可以通过对设备层、网络层控25 制层、应用层、数据层等部署监测机制，对工业互联网系统 运行中的数据状态进行定期监测，感知潜在的安全风险与系 统异常，由处置恢复实施组通过恢复策略进行相应处置。（4）灾难恢复决策应建立灾难恢复的处理决策与异常处置规则，当发生突 发灾难事件时，若灾难事件超出解决范围或响应时间过长处 置恢复实施组应遵循规则向上级组织进行汇报与处理。针对 异常的灾难恢复事件，处置恢复领导小组应召集专业人员评 估突发事件，确认突发事件对工业互联网系统造成的影响程 度，进而确定下一步采取的措施，并将最新信息通知给处置 恢复实施组，确保处置恢复工作的及时性。（5）灾难恢复响应应建立灾难恢复的响应规则，在事件发生时，处置恢复 实施组收到处置恢复领导小组的决策后根据相应的处置恢复 策略及时做出响应，迅速进行灾难恢复工作。当处置恢复实 施组无法进行响应或响应时间过长时，应及时向处置恢复领 导小组进行汇报，保障灾难恢复工作的持续性。2. 备份恢复为确保工业互联网平台持续运作，应对重要系统进行灾 难备份。企业应根据系统备份能力进行分级，按需求目标制 订相应的备份恢复预案。为确保备份恢复预案顺利进行，企 业可建立专门的灾难备份中心与处置恢复组织，根据处置恢 复策略进行维护管理，并定期进行灾难恢复预案演练，确保 预案的有效性。（1）备份能力等级的定义根据企业不同的业务类型与系统特点，对备份能力等级 进行划分，依照等级的不同采取不同的备份策略与应对措施。（2）备份能力的需求确立企业通过对其业务影响程度的分析与风险评估，确定工 业互联网系统的备份能力等级需求及备份前所需的资源。（3）备份恢复策略制定依据企业现有的或行业通用规 范准则制定适合自身的 备份恢复策略，有条件的情况下可对制定的策略进行有效性 与实用性方面的验证。（4）灾难备份中心的建设、运行和维护管理有条件的企业可建立专门的灾难备份中心，在灾难发生 时迅速进行备份恢复工作，确保将损害降到最低。企业根据 业务需求，成立专职的或兼职的灾难备份中心的运行和维护 管理团队进行日常维护或危机处理。（5）处置恢复预案的演练与管理企业应定期对制定的处置恢复计划进行验证及防灾演 习，来不断适应环境或技术的变化，确保计划的有效性。3. 分析评估分析评估风险是工业互联网系统优化防护措施、形成闭环防御不可缺少的一个重要环节。通过分析识别系统面临的 风险来制定相应的响应预案，并依据安全事件处理评估结果 进行持续修正，从而达到改进处置恢复策略的目的。（1）风险分析企业可采用定性或定量的分析方法对安全事件造成的 各种影响进行等级判断： 定量分析：以量化方法，评估业务功能的中断可能给 企业带来的直接经济损失和间接经济损失。 定性分析：运用归纳与演绎、分析与综合以及抽象等 方法评估业务功能的中断可能给企业带来的非经济损失，包 括企业声誉、顾客忠诚度、社会与政治影响等。（2）风险定义与预案制定通过对工业互联网系统面临的内外部风险进行识别和定 义，结合企业自身安全框架分析评估风险发生的可能性从而 制定适合企业自身需要的处置恢复机制。（3）处置恢复效果评估当企业发生安全事件后，要及时分析事件的影响范围与 程度，评估企业处置恢复方案的适用性与有效性。（4）处置恢复方案改进通过分析结果，对工业互联网系统面临的风险进行确认， 分析总结此次事件处置恢复所消耗的资源成本以及风险造成的 损失，检验处置恢复预案的落实与管理是否符合处置恢复目 28 标的要求，并通过实际案例的处理经验不断改进处置恢复准 则。三、工业互联网安全发展趋势与展望本工业互联网安全框架的提出，对于企业开展工业互联 网安全防护体系建设，全面提升安全防护能力具有重要的借 鉴意义。工业互联网安全防护作为未来工业互联网发展的一 个重点关注方面，要求工业互联网安全框架在工业互联网快 速发展中不断更新与完善。未来工业互联网安全防护工作有 以下几个方面值得关注。一是安全防护智能化将不断发展。未来对于工业互联网 安全防护的思维模式将从传统的事件响应式向持续智能响应 式转变，旨在构建全面的预测、基础防护、响应和恢复能力， 抵御不断演变的高级威胁。此外，未来将有更多企业建成安 全数据仓库，利用机器学习、深度学习等人工智能技术分析 处理安全大数据，不断改善安全防御体系。工业互联网安全 架构的重心也将从被动防护向持续普遍性的监测响应及自动 化、智能化的安全防护转移。二是工业互联网平台安全在工业互联网安全防护中的 地位将日益凸显。工业互联网平台作为工业互联网发展的核 心，汇聚了各类工业资源，因而在工业互联网安全防护未来 的发展过程中，对于平台的安全防护将备受重视。届时，工 业互联网平台使用者与提供商之间的安全认证、设备和行为 的识别、敏感数据共享等安全技术将成为刚需。基于云访问安全代理、软件定义安全、远程浏览器等技术的安全解决方 案和模型将有效提升工业互联网平台的安全可视性、合规性、 数据安全和威胁保护能力。三是对工业互联网大数据的分类分级保护、审计和流动 追溯将成为防护热点。工厂数据由少量、单一、单向向大量、多 维、双向转变，具体表现为工业互联网数据体量大、种类多、 结构复杂，并在IT和OT层、工厂内外双向流动共享。工业 大数据的不断发展，对数据分类分级保护、审计和流动追 溯、大数据分析价值保护、用户隐私保护等提出了更高的要 求。未来对于数据的分类分级保护以及审计和流动追溯将成 为防护热点。四是对于工业互联网现场设备的安全监测与威胁处置 要求越发迫切。工业互联网现场设备的智能化发展将使安全 问题在工业互联网生产场景中被逐步放大，仅靠拦截将无法 应对新形势下的安全挑战。未来要力争在对于工业互联网现 场设备的安全监测、内存保护、漏洞利用阻断等终端防护技 术方面将取得创新突破，有针对性地保护工业互联网现场设 备，并对攻击行为进行快速响应。五是信息共享和联动处置机制呼声日高。面对不断变化 的网络安全威胁，企业仅仅依靠自身力量远远不够，需要与 政府和其他企业统一认识、密切配合已成为安全界的共识未 来通过建立健全运转灵活、反应灵敏的信息共享与联动处