资源描述
工业互联网平台 安全白皮书(2020) 工业互联网安全系列研究报告 国家工业信息安全发展研究中心 CHINA INDUSTRIAL CONTROL SYSTEMS CYBER EMERGENCY RESPONSE TEAM 工业信息安全产业发展联盟 National Industrial Security Industry Alliance 版权申明 本白皮书版权属于国家工业信息安全发展研究中心和工 业 信 息 安 全 产 业 发 展 联 盟 ,并 受 法 律 保 护 。转 载 、摘 编 或 利 用 其 它 方 式 使 用 本 白 皮 书 文 字 或 观 点 的 ,应 注 明“ 来 源 :国 家 工 业信息安全发展研究中心和工业信息安全产业发展联盟”。 违反上述声明者,将追究其相关法律责任。 国家工业信息安全发展研究中心(工业和信息化部电子 第 一 研 究 所 )简 称 国 家 工 信 安 全 中 心 ,是 工 业 和 信 息 化 部 直 属 事 业 单 位 ,是 我 国 工 业 领 域 国 家 级 信 息 安 全 研 究 与 推 进 机 构。为加快推进工业信息安全技术研发和保障能力建设,更 好地推动工业信息安全事业发展,国家工信安全中心于 2018 年 9月成立保障技术所。 自 成 立 以 来 ,保 障 技 术 所 始 终 坚 持 贯 彻 落 实 总 体 国 家 安 全观,以护航制造强国和网络强国建设为重点,围绕新一代 信息技术与制造业融合带来的安全需求,以“风险可发现、可 防范、可处置”为保障目标,面向工业控制系统、工业互联网、 工 业 云、工 业 大 数 据 、新 一 代 信 息 技 术 等 领 域 开 展 核 心 安 全 技术攻关, 2018年以来承担 40余 个 工 控 安 全 、工 业 互 联 网 安 全专项和重大课题,构建保障技术平台和专业技术力量,有 力支撑主管部门完成工控安全、工业互联网安全等相关监督 指导工作,帮助工业互联网企业提升安全保障能力。保障技 术所建立了扎实的技术与服务能力,包括工业信息安全技术 保 障 平 台 建 设、工 业 信 息 安 全 实 验 室 建 设 支 撑 、工 业 互 联 网 安 全 技 术 服 务 与 咨 询 、工 业 互 联 网 数 据 安 全 监 测 与 防 护、工 业数据安全交换共享、工业互联网标识解析建设与安全认 证、标准研究与对标评估、安全评估评测等。 序 国家工业 信息 安全发展研究 中心 保障技术所联合业界单位,推出了工业互联网平台安 全 工 业 互 联 网 边 缘 计 算 安 全 工 业 互 联 网 标 识 解 析 安 全工业互联网数据安全等系列白皮书,可为业界开展工 业 互 联 网 安 全 相 关 工 作 提 供 参 考 。由 于 成 稿 仓 促 ,加 之 水 平 有限,报告中难免有疏漏和错误之处,恳请批评指正。在此 对于给予白皮书编制和发布等提供指导、支持、帮助的单位 和个人一并表达感谢。 编写组 2020年 12月 工业互联网平台是面向制造业数字化、网络化、智能化 需求而构建的,基于云平台的海量数据采集、汇聚、分析和 服务体系,支持制造资源实现泛在连接、弹性供给、高效配 置。一方面,工业互联网平台是业务交互的桥梁和数据汇聚 分析的中心,连接大量工业控制系统和设备,与工业生产和 企业经营密切相关。其高复杂性、开放性和异构性加剧其面 临的安全风险,一旦平台遭入侵或攻击,将可能造成工业生 产 停 滞 ,波 及 范 围 不 仅 是 单 个 企 业 ,更 可 延 伸 至 整 个 产 业 生 态,对国民经济造成重创,影响社会稳定,甚至对国家安全构 成威胁。保障工业互联网平台安全,是保障制造强国与网络 强国建设的主要抓手。另一方面工业互联网平台上承应用生 态 、下 连 系 统 设 备 ,是 设 计 、制 造 、销 售 、物 流 、服 务 等 全 生 产 链各环节实现协同制造的“纽带”,是海量工业数据采集、汇 聚 、分 析 和 服 务 的“ 载 体 ”,是 连 接 设 备 、软 件 、产 品 、工 厂 、 人等工业全要素的“枢纽”。因此,做好工业互联网平台安全 保障工作,是确保工业互联网应用生态、工业数据、工业系统 设备等安全的重要保证。工业互联网平台作为工业互联网的 重 要 关 键 ,面 临 着 更 具 挑 战 的 安 全 风 险 ,加 快 提 升 工 业 互 联 网平台安全保障能力迫在眉睫。 在 这 样 的 背 景 下 ,国 家 工 业 信 息 安 全 发 展 研 究 中 心 会 同 工业信息安全产业发展联盟,联合相关企事业单位,共同研 白皮书编写说明 国家工业 信息 安全发展研究 中心 究编写工业互联网平台安全白皮书( 2020)。希 望 提 高 业 界对工业互联网平台安全风险及相关防护技术的重视、达成 共识,以推动工业互联网平台安全发展,为工业互联网健康 发展保驾护航。 本白皮书旨在共商工业互联网平台安全,共筑产业生态, 主要分为六个部分。第一部分介绍了国内外工业互联网平台 发 展 情 况 。第 二 部 分 梳 理 了 工 业 互 联 网 平 台 安 全 防 护 现 状 。 第三部分分析了工业互联网平台安全需求与边界。第四部分 提 出 了 包 含 防 护 对 象 、安 全 角 色 、安 全 威 胁 、安 全 措 施 、生 命 周期五大视角的工业互联网平台安全参考框架。第五部分汇 编总结了保障工业互联网平台安全的关键技术。第六部分从 政策标准、安全技术、产业协同三个方面对工业互联网平台 安全发展进行展望。 编写组 主编:主编: 陈 雪 鸿 、李 俊 编写单位和成员: 编写单位和成员: 国家工业信息安全发展研究中心 国家工业信息安全发展研究中心 北京大学 北京大学 沈 晴 霓 、方 跃 坚 杭州海康威视数字技术股份有限公司 杭州海康威视数字技术股份有限公司 王滨、王星 中国科学院信息工程研究所 中国科学院信息工程研究所 郝 志 宇 、王 雅 哲、崔 磊 、 霍冬冬 北京东方国信科技股份有限公司 北京东方国信科技股份有限公司 敖志强、孙广明 北京六方云信息技术有限公司 北京六方云信息技术有限公司 李 江 力 、赵 学 全 广州安加互联科技有限公司 广州安加互联科技有限公司 彭 卓 、何 立 林 武汉大学 武汉大学 赵 波 、赵 鹏 远 广州大学 广州大学 殷 丽 华 、罗 熙 启明星辰信息技术集团股份有限公司 启明星辰信息技术集团股份有限公司 雷慧桃 海 尔 数字 科 技(上 海)有 限公司 海 尔 数字 科 技(上 海)有 限公司 莫止卿 青岛海尔工业智能研究院 青岛海尔工业智能研究院 陈 启 龙 、欧 阳 佩 佩 浪潮云信息技术有限公司 浪潮云信息技术有限公司 李 传 忠 、黄 先 芝 腾 讯云 计 算(北 京)有限责任公司 腾 讯云 计 算(北 京)有限责任公司 李 向 前 、王 朋 群 王 冲 华 、樊 佩 茹 、周 昊 、 余 果 、林 晨 、杨 帅 锋 、张 雪 莹 、江 浩 、孙 岩 、李 耀 兵 、 夏 宜 君 、张 莹 、李 红 飞 国家工业 信息 安全发展研究 中心 东南大学 东南大学 黄杰 众能联合数字技术有限公司 众能联合数字技术有限公司 张海港 中国联通研究院 中国联通研究院 徐 雷 、于 城 阿里云计算有限公司 阿里云计算有限公司 郑景鑫 中国电子科技集团公司信息科学研究院 中国电子科技集团公司信息科学研究院 张 德 、方 赴 洋 北京信息科技大学 北京信息科技大学 张 仰 森 、李 军 华东师范大学 华东师范大学 刘虹 陕西省网络与信息安全测评中心 陕西省网络与信息安全测评中心 杨帆 上海工业控制安全创新科技有限公司 上海工业控制安全创新科技有限公司 杨昆 北京神州慧安科技有限公司 北京神州慧安科技有限公司 刘 瑛 、项 立 洋 恒安嘉新(北 京)科 技 股份公司 恒安嘉新(北 京)科 技 股份公司 王 泽 政 、李 鹏 超 北京交通大学 北京交通大学 陶耀东 亚 信 科 技(成 都)有 限公司 亚 信 科 技(成 都)有 限公司 吴天飞 绿盟科技集团股份有限公司 绿盟科技集团股份有限公司 王 晓 鹏 、张 涛 长 扬 科 技(北 京)有 限公司 长 扬 科 技(北 京)有 限公司 汪 义 舟 、张 亚 京 山东省电子信息产品检验院 山东省电子信息产品检验院 李侠 哈尔滨安天科技集团股份有限公司 哈尔滨安天科技集团股份有限公司 王 乃 青、刘 佳 男 用友网络科技股份有限公司 用友网络科技股份有限公司 杨宝刚 杭州安恒信息技术股份有限公司 杭州安恒信息技术股份有限公司 冀宗玉 北京立思辰信息安全科技集团 北京立思辰信息安全科技集团 佟海燕 一 、工 业 互 联 网 平台 发 展 情 况 (一)工业 互 联 网 平台概 述 (二)全球 工业互联网平台 (三)我国工业互联网平台 二、工业互联网平台安全防护现状 (一)工业互联网平台安全顶层设计 (二)工业互联网平台安全建设发展多样化 (三)我国工业互联网平台安全能力现状 三、工业互联网平台安全需求与边界 (一)工业互联网平台安全需求特征 (二)工业 互 联 网 平台 安 全 边 界 四、工业互联网平台安全参考框架 (一)安全防护对象视角 (二)安全角色视角 (三)安全威胁 视角 (四)安全措施视角 (五)生命周期 视角 五 、工 业 互 联 网 平台 安 全 关 键 技 术 六、工业互联网平台安全发展展望 (一)政 策 标 准 (二)安全技 术 (三)产业 协 同 1 8 19 1 2 4 8 11 14 19 23 25 46 53 25 28 31 37 43 53 54 56 目录 CONTENTS 国家工业 信息 安全发展研究 中心 工业互联网平台安全白皮书(2020 ) 一 、工 业 互 联 网 平 台 发 展 情 况 ( 一 )工 业 互 联 网 平 台 概 述 国际主流工业大国都在大力推进工业互联网建设,并以 工业互联网平台为引擎,探索工业制造业数字化、智能化转 型 发 展 新 模 式 。工 业 互 联 网 平 台 是 面 向 制 造 业 数 字 化 、网 络 化、智能化需求,构建基于海量数据采集、汇聚、分析的服务 体系,支撑制造资源泛在连接、弹性供给、高效配置的工业 云 平 台 。目 前 ,业 界 已 基 本 形 成 智 能 终 端( 边 缘 ) +云架构 +工 业 APP的工业互联网平台技术架构,一方面平台承载工业知 识 与 微 服 务 ,向 上 支 撑 工 业 APP和云化工业软件的开发和部 署,为企业客户提供各类应用服务;另一方面工业互联网平台 向下实现海量的多源设备、异构系统的数据采集、交互和传 输,支持软硬件资源和开发工具的接入、控制及应用。 随着国内外对工业互联网平台变革性质和重要作用的认 识不断深入,制造企业、自动化企业、通信企业、互联网企业 等各类主体聚焦自身核心能力,基于公有云、私有云或混合 云构建面向不同行业领域、不同技术架构、不同运行模式的 工业互联网平台,旨在提升设备连接、设备管理、数据存储及 处理、数据高级分析、软件应用管理、平台应用开发、整合集 成等服务能力,用于满足工业领域设备产品管理、业务运营优 化、社会化资源协作三个方面的需求,以实现降低成本、提高 1 | 国家工业信息安全发展研究中心工业信息安全产业发展联盟 国家工业 信息 安全发展研究 中心 工业互联网平台安全白皮书(2020 ) 效率、提升产品和服务品质、创造新价值四大成效。 针对工业应用场景,工业互联网平台通过各类机器设 备、人、业务系统的互联,促进数据跨系统、端到云的流动, 基于数据分析、建模和应用,实现数据驱动的生产、运营闭环 优化,形成新的业务模式和新的业态。与传统工业 IT架构相 比,工业互联网平台促使流程驱动的业务系统转变为数据驱 动的应用范式,为工业企业提供了基于数据的新技术、新方 法 、新 服 务 和 新 价 值 。 ( 二 )全 球 工 业 互 联 网 平 台 在国际经济开放融合的背景下,随着 5G网 络 、人 工 智 能、大数据等新兴技术的发展,全球工业互联网平台保持 高 速 增 长 态 势 。据 咨 询 机 构 IoT Analytics的统计, 2019年 全球工业互联网平台(包括物联网平台)公司数量达到 620 个,各类企业围绕工业互联网平台的参与热情和布局力度 持续高涨。 1.制造巨头凭借已有工业积淀拓展平台市场 制造巨头凭借已有工业积淀拓展平台市场 制造巨头凭借主机厂优势,打开工业互联网平台市场。 制造巨头凭借主机厂优势,打开工业互联网平台市场。 西门子 MindSphere平台和通用电器 Predix平台从关键通用 设备入手,借助在底层工业装置的数据采集、工业知识的封 装和复用、信息资产建模等方面的优势,基于自有系统,实现 工业现场设备、工业数据、企业运营数据、人员及其他资产 的 相 互 连 接 ;库 卡 KUKA Connect平 台 、安 川 电 机 MMcloud | 2 国家工业信息安全发展研究中心工业信息安全产业发展联盟 国家工业 信息 安全发展研究 中心 工业互联网平台安全白皮书(2020 ) 平 台、霍 尼韦 尔 Sentience平 台 等 通 过 机 器 人 、机 床 等 设 备 优 势,开展工业设备数据的深层次采集,为各家企业提供状态 监控、设备维护提醒、实时故障发现等产品增值性服务。 2.工业互联网平台对不同工业场景形成适配 工业互联网平台对不同工业场景形成适配 IT优势企业以数据算法、通信连接等为切入点,探索工 优势企业以数据算法、通信连接等为切入点,探索工 业应用场景。 业应用场景。 在数据算法方面,以微软、亚马逊为代表的互联 网巨头为平台提供各类大数据、人工智能通用算法框架和工 具,与工业企业客户联合进行研发,形成可视化管理、质量分 析优化、预测性维护等工业解决方案;在底层连接方面, 思思 科科 等通信巨头也开始将平台连接和服务能力向工厂内渗透, 从各种工业以太网和现场总线中获取实时生产数据,支撑形 成工业智能应用。制造企业以行业领域深耕为基础,打造行 业领域竞争力。在电气领域, ABB、菲 尼 克 斯 电 气 、施 耐 德 电 气以电力电气、自动化行业为主,提供端到端的工业数字化解 决方案;在工程机械领域,卡特比勒、小松、日立等平台面向 工程机械领域资源调配、设备运维、供应链协同方面的需求, 提供设备预测性维护、备品备件管理、智慧施工、互联网金 融等能力。 3.数据驱动的工业互联网平台应用更加活跃 数据驱动的工业互联网平台应用更加活跃 数据成为工业互联网平台的生产资料,科技企业成为 数据成为工业互联网平台的生产资料,科技企业成为 应用引领者。 应用引领者。 数据连接方面, Sieraa Wiless、 Telit、 Device Insight等 M2M通信领域公司充分发挥在数据连接方面 3 | 国家工业信息安全发展研究中心工业信息安全产业发展联盟 国家工业 信息 安全发展研究 中心 工业互联网平台安全白皮书(2020 ) 的技术优势,结合工业互联网平台,帮助工业企业实现 资 产 的 远 程 连 接 和 在 线 管 理 ;数 据 分 析 方 面 , Uptake、 C3IoT、 Mnubo、 Particle等国际工业互联网、物联网公司将 工业大数据、人工智能技术与工业互联网平台进行深度结 合,满足工业领域日益深入的数据分析需求;数据应用方面, 日立 Lumada、东 芝 SPINEX、富 士 机 械 NEXIM平台基于数 据改善生产制造过程,优化自身价值链和降低运营成本。此 外,制造企业与软件企业的战略合作促进了数据的深度应 用, PTC与罗克韦尔合作推出 ThingWorx,提 供 面 向 生 产 过 程可视化的数据汇聚和高级生产分析功能,帮助管理者直观 地了解工厂运行状态。 ( 三 )我 国 工 业 互 联 网 平 台 2020年,我国工业互联网平台初步展现多元化发展态 势 ,覆 盖 原 材 料 、装 备 、机 械 、消 费 品 、电 子 、交 通 等 多 种 行 业 及场景。工业互联网平台应用与创新走深走实,在行业和区 域中赋能工业数字化转型效果逐渐凸显,充满活力的产业生 态体系加速形成。 1.工业互联网平台应用由政策驱动转向市场主导 工业互联网平台应用由政策驱动转向市场主导 随着工业互联网平台、网络、安全等配套政策趋于完 善,工业互联网平台的发展与应用已经成为工业企业构建网 络 化 协 同 、规 模 化 定 制 、服 务 型 制 造 等 新 模 式 、新 业 态 、新 动 能 。海 尔 COSMOPlat平 台 打 造了 包 括 大 数 据 、供 应 链 、协 | 4 国家工业信息安全发展研究中心工业信息安全产业发展联盟 国家工业 信息 安全发展研究 中心 工业互联网平台安全白皮书(2020 ) 同 制 造 、智 能 维 保 等 170多个专业解决方案,覆盖房车、建 陶、纺织、模具、机床、农业等 15个行业生态。阿里云通过 SupET“ 1+N”工 业 互 联 网 平 台 ,为 100余家中小信息化服务 商、大数据创新企业和信息工程服务企业提供服务,实现云 端工业 APP一 站 式 开 发、托 管、集 成 、运 维 和 交 易 。航 天 云 网 INDICS平台以云制造为核心,立足航空航天领域,面向电 子 信 息 、工 程 机 械 、汽 车 制 造 等 行 业 提 供 应 用 服 务 。树 根 互 联“根云”平台提供快速物联、设备预测性维护、配件预测管 理 、大 数 据 AI等 能 力 , 与 行 业 巨 头 联 合 打 造 “ 机 床 云 ” 、“ 纺 织 云 ” 、“ 3D打 印 共 享 云 ” 、“ 空 压 机 云 ” 、“ 电 机 云 ” 、“ 注 塑 云”、“筑工云”等数十个垂直行业云平台。 2.新一代信息技术为工业互联网应用落地提供新场景 新一代信息技术为工业互联网应用落地提供新场景 大数据、人工智能、 5G、区 块 链 等 新 一 代 信 息 技 术 日 趋 成 熟 ,涌 现 出 更 多“ 平 台 +新技术”的创新解决方案。东方国 信 Cloudiip平台、富士康“工业富联”平台、紫光云引擎“芯 云”平台等通过“平台 +5G”融合应用,实现高可靠、低时延、 高通量的数据集成,催生数字化工业灵活组网、智能终端远 程 控 制 、全 场 景 运 营 优 化 等 模 式 ;中 国 电 信 工 业 互 联 网 开 放 平台、杭州汽轮工业互联网服务平台等开展“平台 +4K/8K高 清视频”融合探索,实现高精度、异构图像视频数据分析,催 生智能产品检测、设备远程运维等模式;华为 FusionPlant平 台 、中 兴 ThingxCloud兴云平台等通过“平台 +VR/AR”融 合 5 | 国家工业信息安全发展研究中心工业信息安全产业发展联盟 国家工业 信息 安全发展研究 中心 工业互联网平台安全白皮书(2020 ) 应用,实现三维动态视景快速生成与分析,催生人机协同工 作 、产 品 自 动 化 分 拣 、产 品 设 计 可 视 化 等 模 式 。 3.面向特定行业领域的系统解决方案成为应用聚焦点 面向特定行业领域的系统解决方案成为应用聚焦点 工业互联网平台在各行业领域中应用的深度和广度不断 拓展,平台产业链图谱更加完善。行业龙头围绕行业痛点挖 掘深度应用。在石化行业,石化盈科面向生产过程复杂、生产 工序间耦合度高的流程行业,开发基于 ProMACE工业互联 网平台的生产计划、调度、操作全过程管控方案。在工程机 械行业,徐工集团、三一重工、中联重科等国内企业和 Uptake 等国外企业以远程运维为切入点,日本小松以智慧施工为切 入点,加速推动工程机械行业向设备维护智能化、综合解决 方案“交钥匙化”方向加速转型。在汽车行业,北汽新能源打 造了“北汽云”京津冀地区产业协同工业互联网平台,形成汽 车个性化定制、质量大数据分析、车联网等解决方案。部分 企业发挥协同优势整合产业链上下游资源。在后市场领域, 众能联合整合豪士科、捷尔杰、 Haulotte、临 工 重 机 等 工 程 机械产品,构建物联网智能平台,实现物流、租赁、服务全业 务链条融合。 随着工业互联网创新发展战略的深入推进,工业互联网 平台赋能水平显著提升,基于平台的制造业生态体系日趋完 善。工业互联网创新发展工程实施 3年来,平台方向共支持了 226个 创 新 工 程 项 目 ,累 计 带 动 社 会 资 本 投 资 近 254亿 元 ,建 | 6 国家工业信息安全发展研究中心工业信息安全产业发展联盟 国家工业 信息 安全发展研究 中心 工业互联网平台安全白皮书(2020 ) 设 19个创新体验和推广中心, 5个工业互联网实训基地和长 三角工业互联网示范区。重点工业互联网平台平均工业设备 连接数达到 65万台、工 业 APP达到 1950个 、工 业 模 型 数 突 破 830个 ,平 台 活 跃 开 发 者 人 数 超 过 3800人 ,在 钢 铁 、石 化 、机 械、轻工、电子等领域催生了一批新模式新业态,显著带动行 业转型升级。 7 | 国家工业信息安全发展研究中心工业信息安全产业发展联盟 国家工业 信息 安全发展研究 中心 工业互联网平台安全白皮书(2020 ) 二、工业互联网平台安全防护现状 纵观全球工业互联网平台安全态势,发达国家从工业 控制系统、物联网、云平台、大数据等不同角度推动工业互联 网平台安全发展,我国重点围绕工业互联网安全,出台政策 文件,制定安全标准,规范企业加强工业互联网平台安全。 然而,我国工业互联网平台安全保障能力建设仍处于起步阶 段,亟需提升企业安全防护意识,突破相关核心技术,支撑我 国工业互联网平台健康发展。 ( 一 )工 业 互 联 网 平 台 安 全 顶 层 设 计 1.主要发达国家工业互联网平台安全顶层设计 主要发达国家工业互联网平台安全顶层设计 美 国 、欧 盟 、日 本 及 其 它 发 达 国 家 尚 未 出 台 专 门 针 对 工 业互联网平台安全的指导性文件,当前主要围绕工业控制系 统、物联网、云平台等角度出台政策与标准体系,推进工业互 联网平台安全防护工作。 美国美国 政府和行业联盟出台政策、标准与规范指南文件, 积极引导工业互联网安全发展。 政府层面, 政府层面, 2014年 ,美 国 发 布 国家网络安全保护法,将工控系统列为网络安全重点保 护对象。之后,相继发布网络安全国家行动计划物联网 安全战略原则美国国土安全部工业控制系统能力增强法 案缓解云漏洞指南,从工业控制系统安全、物联网安 全、云安全等角度提出相应保障策略。 行业联盟层面, 行业联盟层面, 2016 | 8 国家工业信息安全发展研究中心工业信息安全产业发展联盟 国家工业 信息 安全发展研究 中心 工业互联网平台安全白皮书(2020 ) 年 以 来 ,美 国 工 业 互 联 网 联 盟( IIC)发 布 工 业 物 联 网 安 全 框架端安全最佳实践,提出工业物联网安全的六大内 容。此后,相继发布商业视角下的工业互联网安全概括 工业互联网安全成熟度模型云计算关键领域安全指南 V4.0等多个指导性文件,并举办多次安全论坛,推进安全 解决方案落地实施。 欧盟高度欧盟高度 重视工业战略下的网络安全问题。 2012年 ,发 布未来经济复苏与增长:建设一个更强的欧洲工业,强调 提升工控系统的安全防护能力。 2013年 ,欧 洲 网 络 与 信 息 安 全 局( ENISA)相继发布工业控制系统网络安全白皮书 智能制造背景下的物联网安全实践工业 4.0-网络安全 挑战和建议,给出工业 4.0下的网络安全建议。 2019年 ,欧 盟 发 布 增 强 欧 盟 未 来 工 业 的 战 略 价 值 链 报 告 ,指 出 增 强工业互联网战略价值链需大力发展欧洲网络安全产业。 德国德国 加快推进“工业 4.0”战略实施,同步强调安全保障工 作。 2013年,德国政府推出德国工业 4.0战略计划实施建 议,提出保障工业 4.0安 全 的 措 施 建 议 。随 后,德 国 工 业 4.0 平 台发 布 工 业 4.0安全指南跨企业安全通信安全身 份标识等指导性文件,提出以信息物理系统平台为核心的 分层次安全管理思路。 日本日本 持续推进面向制造的网络安全。 2014年 ,发 布 网 络安全基本法,强调电力等基础设施运营方的网络安全要 9 | 国家工业信息安全发展研究中心工业信息安全产业发展联盟 国家工业 信息 安全发展研究 中心 工业互联网平台安全白皮书(2020 ) 求。 2016年 ,成 立“ 工 业 网 络 安 全 促 进 机 构( ICPA)”,抵 御 关键基础设施攻击。 2017年 ,日 本 提 出“ 互 联 工 业 ”战 略 ,强 调网络安全的重要性,成立“工业网络安全卓越中心”,旨在 保护工业基础设施免受网络攻击。 其他国家其他国家 也将基础设施和工业控制系统安全作为网络 安全的重点。 2016年 ,新 加 坡 发 布 国 家 网 络 安 全 策 略 ,建 立强健的基础设施网络;澳大利亚发布澳大利亚网络安全 战略,重视国家重要基础设施;以色列发布“前进 2.0”网 络 安全产业计划,重视工业系统安全。 2.我国工业互联网平台安全顶层设计 我国工业互联网平台安全顶层设计 一 方 面 ,出 台 政策文件政策文件 指导工业互联网平台安全保障 体系建设。 2017年 ,国 务 院 发 布 关 于 深 化“ 互 联 网 +先进制 造 业 ”发 展 工 业 互 联 网 的 指 导 意 见 ,提 出 要 加 强 安 全 防 护 能力,重点突破工业互联网平台安全等产品研发,建立与工 业互联网发展相匹配的技术保障能力。 2018年 ,工 信 部 印 发 工业互联网平台建设及推广指南提出要完善工业互联 网平台安全保障体系,制定完善工业信息安全管理等政策法 规,明确安全防护要求。同年,发布工业互联网平台评价方 法,将安全可靠作为评价工业互联网平台安全能力的一个 方面,要求在平台中建立安全防护机制,确保关键零部件和 软件应用安全可靠。 2019年,工信部等十部门印发加强工业 互联网安全工作的指导意见,指出要支持工业互联网安全 | 10 国家工业信息安全发展研究中心工业信息安全产业发展联盟 国家工业 信息 安全发展研究 中心 工业互联网平台安全白皮书(2020 ) 科技创新,加大对工业互联网安全技术研发和成果转化的支 持力度,强化平台安全等相关核心技术研究。 2020年 3月 4日, 中共中央政治局常务委员会在会议中强调,要加快新型基础 设施建设进度,工业互联网等七大领域被纳入“新基建”体 系。 3月 20日,工 信 部 发 布 关 于 推 动 工 业 互 联 网 加 快 发 展 的 通知,提出要加快健全安全保障体系,完善安全技术监测 体系,健全安全工作机制,加强安全技术产品创新,督促指 导企业提升安全水平。 另一方面,加速推进工业互联网平台安全 标准化 工 作。 2019年,信安标委发布信息安全技术 工业互联网平台 安全要求及评估规范(征求意见稿),明确工业互联网平台 各层次的安全管理与安全技术防护要求,并提出相应的安全 评估方法。国家烟草专卖局率先召集烟草领域、安全领域专 家形成烟草行业卷烟制造工业互联网平台通用技术要求标 准(草案),对中国烟草总公司及各下属单位卷烟制造工业 互联网平台安全要求进行规定。此外,国家工业信息安全发 展研究中心 2019年 发 布 工 业 信 息 安 全 标 准 化 白 皮 书 ,对 构 建工业互联网平台安全标准体系等提供指导。 (二)工业互联网平台安全建设发展多样化 我国工业互联网平台已经从概念普及进入实践深耕阶 段,国内各大主流平台逐步实现了用户、设备、产品和企业的 全方位连接,平台安全体系建设取得初步成效。当前,国内工 11 | 国家工业信息安全发展研究中心工业信息安全产业发展联盟 国家工业 信息 安全发展研究 中心 工业互联网平台安全白皮书(2020 ) 业互联网平台安全处于工业企业、平台企业、安全企业、互联 网企业、硬件企业多方共建状态。 1.工业企业自建工业互联网平台并实施安全加固 工业企业自建工业互联网平台并实施安全加固 龙头工业企业和大型智能制造公司面向工业转型发展需 求构建工业互联网平台,同步实施安全加固。从综合安全防 护的角度出发,在平台各层次及数据方面部署相应安全防护 措施。例如,中国航天科工集团旗下航天云网 Indics工业互联 网平台,构建了涵盖设备、网络、控制、应用、数据的完整安 全 保 障 体 系 。海 尔 COSMOPlat工业互联网平台自主研发海 安 盾 安 全 防 护 系 统 ,以 工 业 IaaS层的虚拟化安全、主机安全 为重点,形成集态势感知、业务系统安全分析、漏洞发现为一 体的安全解决方案。 2.平台企业输出具备一定安全能力的工业互联网平台 平台企业输出具备一定安全能力的工业互联网平台 大型制造企业及互联网企业依托自身特色打造工业互 联网平台,孵化独立运营的平台服务,向其他企业输出具备 一定安全能力的工业互联网平台。例如,寄云科技 NeuSeer 工业互联网平台为能源化工企业提供安全生产管控能力,降 低安全管理的人工依赖,提升安全管理水平。树根互联根 云平台聚焦 PaaS和 SaaS层安全,支持平台主机、应用的安全 审计和工业 APP上 线 前 安 全 检 测 与 加 固 。东 方 国 信 Cloudiip 工 业 互 联 网 平 台 支 持 海 量 大 数 据 的 接 入 、存 储 、分 析 和 模 型 共享,并保障数据安全。阿里云工业互联网平台将安全技术 | 12 国家工业信息安全发展研究中心工业信息安全产业发展联盟 国家工业 信息 安全发展研究 中心 工业互联网平台安全白皮书(2020 ) 进 行 解 构 、重 组 ,打 造 完 整 、可 靠 、可 信 的 安 全 生 态 系 统 ,提 升平台服务的内生安全能力。浪潮云洲工业互联网平台发布 云数据铁笼 IDS,为 多 方 安 全 计 算 场 景 提 供 第 三 方 支 持 和 服 务,解决数据隐私泄露问题,并提供基于区块链的数据计算 全流程安全审计。 3.安全企业输出平台安全解决方案 安全企业输出平台安全解决方案 安全企业利用自身积累的安全经验为工业互联网平台提 供安全解决方案,除提供资产测绘、杀毒软件、防火墙、入侵 检测、流量审计、安全监测等传统安全软件外,还通过 SaaS 服务模式输出安全能力,为工业互联网平台提供技术支撑。 例 如 ,阿 里 云 盾 提 供了 DDoS防护、主机入侵防护、 Web应用 防火墙、态势感知等一站式安全产品及服务,助力提升工业 互联网平台安全防护水平。 360、启明星辰等安全厂商为航天 云网 Indics工业互联网平台建立病毒库、漏洞库及防护工具 库,支持平台入侵检测、漏洞扫描和主动防御。长扬科技打造 了工 控 安 全 评 估 、工 控 等 保 检 查 、工 业 防 火 墙 、工 控 主 机 卫 士、统一安全管理、安全态势感知等多种安全产品,支持工业 互联网平台安全防护。 4.互联网企业输出集成安全能力的平台系统及软件 互联网企业输出集成安全能力的平台系统及软件 互联网企业依托系统、软件专精优势,为工业互联网平 台提供安全的操作系统、虚拟化软件、数据库、大数据分析 模型等。例如,东土科技发布了 Intewell工业互联网操作系 13 | 国家工业信息安全发展研究中心工业信息安全产业发展联盟 国家工业 信息 安全发展研究 中心 工业互联网平台安全白皮书(2020 ) 统,依托国产自主、安全可靠的“道系统”,面向智能装备、智 能制造等多领域提供国产设备软件基础运行平台。以阿里云 关系型数据库为代表的安全数据库、以阿里云大数据计算服 务为代表的安全大数据服务和安全虚拟化系统也在业界广泛 使用。 5.硬件企业研发集成安全能力的硬件设备 硬件企业研发集成安全能力的硬件设备 设备安全是确保工业互联网平台上层系统及软件安全 的基础,硬件企业研发集成安全能力的工业控制设备、安全 路 由 、安 全 网 关 、安 全 边 缘 节 点 、可 信 服 务 器 等 ,为 工 业 互 联 网平台提供基于硬件的安全防护能力。例如,中电智科面向 国家重要基础设施应用,研发了安全增强型 PLC,可 满 足 各 种控制规模、不同安全要求的自动化应用场景。华为、深信服 等研发了安全网关、安全路由器,增强工业网络及平台网络的 通 信 安 全 性 。大 唐 高 鸿 依 托 其 自 主 研 发 的 硬 件 平 台 ,搭 载 国 产可信芯片,研制了可信服务器,为用户构建从基础设施层 到应用系统层的安全计算环境。 ( 三 )我 国 工 业 互 联 网 平 台 安 全 能 力 现 状 工业互联网平台是业务交互的桥梁和数据汇聚分析的 中心,联结全生产链各个环节实现协同制造,平台高复杂性、 开放性和异构性的特点加剧了其所面临的安全风险。 | 14 国家工业信息安全发展研究中心工业信息安全产业发展联盟 国家工业 信息 安全发展研究 中心 工业互联网平台安全白皮书(2020 ) 1.工业互联网平台是网络攻击的重要目标 工业互联网平台是网络攻击的重要目标 CNCERT发布 的 2019年我国互联网网络安全态势综述 指 出 ,我 国 根 云 、航 天 云 网 、 OneNET、 COSMOPlat、奥 普 云 、 机智云等大型工业互联网平台,持续遭受来自境外的网络攻 击 ,平 均 攻 击 次 数 达 90次 /日,较 上 一 年( 2018年)提升了 43%, 攻 击 类 型 涉 及 远 程 代 码 执 行 、拒 绝 服 务 、 Web漏洞利用等。 2018年工信部对 20家典型工业互联网龙头企业的 213个 重要工业互联网平台开展安全检查评估发现,平台企业用户 普遍认为业务上云的同时网络安全责任“一迁了之”,漠视安 全漏洞,对已知已报漏洞尤其是弱口令、跨站攻击、恶意程序 注入等常见漏洞未及时跟踪处置;对外包云服务的安全管控 意识不强,对云平台、办公网及生产控制网互联互通后的整 体安全态势感知能力不足。 2019年工信部组织的对某典型工 业互联网平台攻防演练活动中,攻击方探测到平台各类信息 化系统 100多个,发现高危漏洞 20多 个 ,通 过 利 用 漏 洞 可 获 得 平台内网系统控制权、窃取敏感信息,以此为跳板,进而对内 网其他设备、系统和网络发起渗透,最终可导致企业工业互 联网平台及相关设备网络瘫痪。 2.工业互联网平台安全能力的侧重点与薄弱点 工业互联网平台安全能力的侧重点与薄弱点 本白皮书编制组设计了工业互联网平台安全能力评价模 型,对我国典型工业互联网平台现有安全能力进行调研,分 析结果如表 1所示。 15 | 国家工业信息安全发展研究中心工业信息安全产业发展联盟 国家工业 信息 安全发展研究 中心 工业互联网平台安全白皮书(2020 ) 工业数据安全能力侧重于数据加密传输、加密存储等,在 数据分类分级、访问控制、敏感数据识别和保护等方面较为薄 弱。 工业应用层安全能力侧重于身份认证、权限控制、安全审 计等,在应用安全加固、统一安全运维等方面还有待提高。 表 1. 典型工业互联网平台安全能力侧重点与薄弱点 平台对象 平台对象 安全能力侧重点 安全能力侧重点 安全能力薄弱点 安全能力薄弱点 工业数据 数据加密传输、数据加 密存储等 工业数据分类分级、 细 粒 度 访 问 控 制 、敏 感数据识别和保护等 工业应用层 身 份 认 证 、权 限 控 制 、 安全审计等 工业应用安全加固、 统 一 安 全 运 维 、应 用 日志分析等 工业云平台 服务层 数 据 访 问 控 制 、安 全 服 务 组 件 、接 口 安 全 等 微 服 务 组 件 安 全 、工 业应用开发环境安全 等 工业云基础 设施层 抗 D D O S 攻 击 、访 问 控 制 、边 界 网 络 安 全
展开阅读全文