5G 工業(yè)互聯(lián)網(wǎng)一體化全程可信-“元信任”安全解決方案白皮書-2023.12

參與編寫單位：中國移動通信集團有限公司中國信息通信研究院國家工業(yè)信息安全發(fā)展研究中心中國人民財產(chǎn)保險股份有限公司北京啟明星辰信息安全技術(shù)有限公司華為技術(shù)有限公司江蘇洋河酒廠股份有限公司編寫組人員：袁捷、魏冰、謝瑋、張峰、文靜、馮媛、朱同先、楊鵬、邱勤、王國宇、何異舟、孫倩文、董航、李曉婷、丁雨晗、江為強、夏羿、熊誠鋒、韓明偉、姚卓、谷寶晶、高亮、于樂、鄭國忠、徐迪、廖婷、梁豪斌、朱運發(fā)、趙威、付超、岳玲、常珊珊、張紫光、秦巖、姜一嬌、石磊、馬禹昇、王昊、郝森參、李楠、史修報、徐思嘉、徐天妮、王光濤、郭中元、祁文博、徐嘉偉、李明培、苑雪梅、李雅璇前言當(dāng)前，以

5G、工業(yè)互聯(lián)網(wǎng)為代表的新技術(shù)和新型基礎(chǔ)設(shè)施，譜寫著各自的使命與能力，不斷推動數(shù)字經(jīng)濟與實體經(jīng)濟進一步融合。近期，工業(yè)和信息化部在“2023

全球工業(yè)互聯(lián)網(wǎng)大會”公布了我國

5G+工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)規(guī)?；厩闆r，截至

2023

年

10

月，“我國

5G

行業(yè)虛擬專網(wǎng)超

2

萬個，工業(yè)互聯(lián)網(wǎng)核心產(chǎn)業(yè)規(guī)模超

1.2

萬億元”，充分說明

5G+工業(yè)互聯(lián)網(wǎng)融合創(chuàng)新模式已經(jīng)成為新型工業(yè)化的關(guān)鍵基礎(chǔ)設(shè)施和重要驅(qū)動力量。5G

大帶寬、低時延、海量連接等特性極大豐富了工業(yè)互聯(lián)網(wǎng)的功能和場景，推動工業(yè)互聯(lián)網(wǎng)轉(zhuǎn)型升級。在

5G

與工業(yè)互聯(lián)網(wǎng)融合創(chuàng)新發(fā)展中，推動制造業(yè)從單點、局部的信息技術(shù)應(yīng)用向數(shù)字化、網(wǎng)絡(luò)化和智能化轉(zhuǎn)變，其疊加倍增效應(yīng)和巨大應(yīng)用潛力正在持續(xù)釋放。與此同時，5G

也打破了傳統(tǒng)工業(yè)互聯(lián)網(wǎng)封閉的網(wǎng)絡(luò)環(huán)境，工業(yè)網(wǎng)絡(luò)的邊界不斷外延，更多的工業(yè)設(shè)備暴露于公網(wǎng)之中，網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)數(shù)據(jù)更易遭受破壞、更改、泄露，工業(yè)系統(tǒng)連續(xù)可靠運行、工業(yè)網(wǎng)絡(luò)的持續(xù)服務(wù)面臨越來越多的挑戰(zhàn)，工業(yè)互聯(lián)網(wǎng)安全亟需突破傳統(tǒng)“打補丁”的防護方式，進入全新的安全防護階段。2020

年，中國移動牽頭發(fā)布《5G+工業(yè)互聯(lián)網(wǎng)安全白皮書》，面向

5G+工業(yè)互聯(lián)網(wǎng)安全需求提出“定制的

5G+工業(yè)互聯(lián)網(wǎng)場景化安全能力”。在此基礎(chǔ)之上，中國移動基于對

5G網(wǎng)絡(luò)和工業(yè)互聯(lián)網(wǎng)融合發(fā)展中面臨的網(wǎng)絡(luò)安全挑戰(zhàn)與深刻理解，突破傳統(tǒng)安全防護理念，從運營商全程全網(wǎng)的角度出發(fā)，安全防護從“以漏洞為核心”轉(zhuǎn)向“以身份為核心”，創(chuàng)新打造“IT+CT

聯(lián)防聯(lián)控”的

5G+工業(yè)互聯(lián)網(wǎng)一1體化全程可信“元信任”安全解決方案，從

9

個方面構(gòu)建安全防護機制，推動

5G+工業(yè)互聯(lián)網(wǎng)安全由“單點可控”邁向“全程可信”。2目錄一、

5G+工業(yè)互聯(lián)網(wǎng)發(fā)展趨勢..........................................................................................................5（一）

全球趨勢

..........................................................................................................................5（二）

我國趨勢

..........................................................................................................................5二、

5G+工業(yè)互聯(lián)網(wǎng)安全政策與標(biāo)準(zhǔn).............................................................................................6（一）

安全政策

..........................................................................................................................6（二）

安全標(biāo)準(zhǔn)

..........................................................................................................................8三、

5G+工業(yè)互聯(lián)網(wǎng)安全挑戰(zhàn)..........................................................................................................9（一）

網(wǎng)絡(luò)安全挑戰(zhàn)..................................................................................................................9（二）

終端安全挑戰(zhàn)................................................................................................................10（三）

數(shù)據(jù)安全挑戰(zhàn)................................................................................................................10（四）

工業(yè)

AI

安全挑戰(zhàn)...........................................................................................................11（五）

工業(yè)云安全挑戰(zhàn).............................................................................................................11（六）

軟件供應(yīng)鏈安全挑戰(zhàn)

....................................................................................................11（七）

運營安全挑戰(zhàn)................................................................................................................12四、

5G+工業(yè)互聯(lián)網(wǎng)“元信任”安全解決方案................................................................................12（一）

身份可信保障................................................................................................................13（二）

網(wǎng)絡(luò)可信保障................................................................................................................14（三）

終端可信保障................................................................................................................16（四）

數(shù)據(jù)可信保障................................................................................................................18（五）

應(yīng)用可信保障................................................................................................................193（六）

工業(yè)

AI

可信保障.........................................................................................................

20（七）

軟件供應(yīng)鏈可信保障

...................................................................................................21（八）

運營可信保障...............................................................................................................

22（九）

“元信任”網(wǎng)絡(luò)安全保險

...............................................................................................

23五、

典型案例實踐

...........................................................................................................................

26（一）應(yīng)用簡介

.........................................................................................................................

26（二）安全需求

.........................................................................................................................

26（三）安全方案

.........................................................................................................................

27（四）實施效果

.........................................................................................................................

28六、展望..............................................................................................................................................

28七、附錄

1（縮略語表）

..................................................................................................................

30八、

附錄

2（參考文獻）.................................................................................................................314一、5G+工業(yè)互聯(lián)網(wǎng)發(fā)展趨勢（一）全球趨勢國際電信聯(lián)盟定義了

5G

的八大關(guān)鍵性能指標(biāo)，主要典型應(yīng)用場景有三類，一是增強移動寬帶（滿足流量暴漲時極致體驗需求）、二是低時延高可靠（滿足垂直行業(yè)應(yīng)用需求）、三是海量機器類通信（滿足以傳感和數(shù)據(jù)采集應(yīng)用需求），其中，低時延高可靠和海量機器類通信兩類應(yīng)用場景主要面向工業(yè)需求設(shè)計。隨著

5G

的能力不斷發(fā)展，以及客觀的工業(yè)無線化訴求驅(qū)動，5G

將逐步深入到核心生產(chǎn)環(huán)節(jié)，成為主要的生產(chǎn)網(wǎng)絡(luò)技術(shù)之一。目前

5G+工業(yè)互聯(lián)網(wǎng)的融合應(yīng)用已在智慧礦山、智慧城市、智慧交通、智慧工廠和應(yīng)急等多個垂直行業(yè)落地應(yīng)用，并逐步走向成熟。隨著以

5G、工業(yè)互聯(lián)網(wǎng)為代表的新基建加速落地，全球范圍內(nèi)工業(yè)無線網(wǎng)絡(luò)以每年

30%的速度增長，各大企業(yè)對于“5G+工業(yè)互聯(lián)網(wǎng)”的認(rèn)知度快速提升，全球移動產(chǎn)業(yè)探索“5G+工業(yè)互聯(lián)網(wǎng)”步伐逐步加快。歐盟將發(fā)展

5G

作為構(gòu)建“單一數(shù)字市場”的關(guān)鍵舉措，重點放在

5G

垂直行業(yè)如汽車、醫(yī)療及電力領(lǐng)域的應(yīng)用。美國

5G

發(fā)展規(guī)劃重點在于建立共通的

5G

軟件標(biāo)準(zhǔn)，使之適用于任何

5G硬件設(shè)備，以擺脫對

5G

設(shè)備商的依賴。（二）我國趨勢2023

年中國

5G

發(fā)展大會上，工業(yè)和信息化部公布

5G

行業(yè)虛擬專網(wǎng)超

2

萬個，其中

29%的虛擬專網(wǎng)都跟工業(yè)互聯(lián)網(wǎng)相關(guān)。全國各地積極引導(dǎo)利用

5G

技術(shù)進行產(chǎn)業(yè)集群網(wǎng)絡(luò)升級改造、推進融合應(yīng)用，加速培育

5G+電子信息、5G+裝備制造等優(yōu)勢行業(yè)和特色產(chǎn)業(yè)，帶動新型工業(yè)設(shè)備、網(wǎng)絡(luò)、軟件加快創(chuàng)新突破，有力支撐產(chǎn)業(yè)基礎(chǔ)高級化和產(chǎn)業(yè)鏈現(xiàn)代化。5當(dāng)下，5G

網(wǎng)絡(luò)應(yīng)用已在工業(yè)互聯(lián)網(wǎng)領(lǐng)域深度滲透，進入高價值核心業(yè)務(wù)場景，面向原材料、裝備、消費品、電子等制造領(lǐng)域，以及采礦、港口、電力等重點垂直行業(yè)?！?G+工業(yè)互聯(lián)網(wǎng)”融合應(yīng)用從垂直大類走向細(xì)分集群，從服務(wù)企業(yè)走向融入生產(chǎn)，從改變通信模式走向重塑生產(chǎn)流程。表

1.5G+工業(yè)互聯(lián)網(wǎng)典型業(yè)務(wù)場景描述業(yè)

務(wù)

資產(chǎn)管理場

景遠(yuǎn)

程

控

制

-

機

器

視

遠(yuǎn)

程

控

遠(yuǎn)程控制

遠(yuǎn)

程

控

AR遠(yuǎn)程

全

方

位場內(nèi)產(chǎn)線設(shè)

覺質(zhì)檢備控制制-場內(nèi)

-AGV

控

制

-

場

內(nèi)

協(xié)作園

區(qū)

安防產(chǎn)

線

設(shè)備控制制產(chǎn)

線

設(shè)備控制業(yè)

務(wù)

1.室內(nèi)定位

2.設(shè)備剪辮

3.邊

緣

4.

自

動

5.智能物

6.

PLC

控

7.

AR

應(yīng)

8.園區(qū)安場

景子AI

檢測

測試流制用防名

分類細(xì)

分

資產(chǎn)盤點通用設(shè)備程

產(chǎn)

品

質(zhì)

自

動

老

AGV量

檢

測

化測試；

度；自

動

加

物流配送

PLC

遠(yuǎn)程

AR本地

（

身

份物

料

透

明

程序加載；

料

、

印

載

OS；

調(diào)度；

控制。

導(dǎo)引；

識別）；可視；

視

頻

監(jiān)

控

刷

、

組

自

動

加

園區(qū)自動

在

線

維

移

動

巡人員定位。

5G

化；調(diào)PLC

實時

AR遠(yuǎn)程

園

區(qū)

智場

景

資

源

實

時

序加載；描述

調(diào)度；

自動化設(shè)備采集；

指導(dǎo)；

能

安

防（來裝

、

包

載測試。

駕駛。修。邏；手

持

終

端

裝等）；生

產(chǎn)

安全監(jiān)控。5G

化。智

能

掃碼。二、5G+工業(yè)互聯(lián)網(wǎng)安全政策與標(biāo)準(zhǔn)（一）安全政策近年來，世界各國都在積極開展

5G

融合應(yīng)用探索，垂直行業(yè)融合應(yīng)用已經(jīng)開始落地商用?？v觀全球各國，產(chǎn)業(yè)政策出臺早、推動力度大的國家/地區(qū)，5G行業(yè)應(yīng)用發(fā)展也相對較快，成熟應(yīng)用落地的成功案例較多。韓國以國家戰(zhàn)略的形式布局

5G

創(chuàng)新應(yīng)用，政府層面大力推動

5G

行業(yè)應(yīng)用發(fā)展，致力于促進相關(guān)新興產(chǎn)業(yè)發(fā)展，引領(lǐng)全球市場。歐盟各國、日本、澳大利亞、新加坡等通過設(shè)立創(chuàng)6新計劃、專門項目，引導(dǎo)先進制造企業(yè)開展

5G

應(yīng)用的試點示范。我國高度重視

5G

行業(yè)應(yīng)用發(fā)展，先后出臺了多項促進

5G

行業(yè)應(yīng)用發(fā)展的政策性文件，5G

與垂直行業(yè)的融合應(yīng)用蓬勃發(fā)展，已形成系統(tǒng)領(lǐng)先優(yōu)勢。表

2.我國近年來

5G+工業(yè)互聯(lián)網(wǎng)相關(guān)政策時間政策名稱要求2023

年

7

月

工信部印發(fā)《工業(yè)互聯(lián)網(wǎng)專項工作

深化“5G+工業(yè)互聯(lián)網(wǎng)”發(fā)展，制定實施“5G+工業(yè)互組

2023

年工作計劃》聯(lián)網(wǎng)”512

升級版工作方案。推動不少于

3000

家企業(yè)建設(shè)

5G

工廠，建成不少于

300

家

5G

工廠，打造

30

個試點標(biāo)桿。2023

年

5

月

工信部等

14

部門聯(lián)合印發(fā)《關(guān)于進

要推進“雙千兆”網(wǎng)絡(luò)統(tǒng)籌集約建設(shè)，強化

5G基站一步深化電信基礎(chǔ)設(shè)施共建共享促

站址及機房、室內(nèi)分布系統(tǒng)的建設(shè)需求統(tǒng)籌。進“雙千兆”網(wǎng)絡(luò)高質(zhì)量發(fā)展的實施意見》2022

年

11

月

工信部、發(fā)改委、國資委聯(lián)合印發(fā)

將

5G

作為經(jīng)濟發(fā)展的新動能，提出要“深化‘5G+《關(guān)于鞏固回升向好趨勢加力振作

工業(yè)互聯(lián)網(wǎng)’融合應(yīng)用，加快

5G

全連接工廠建設(shè)，工業(yè)經(jīng)濟的通知》推動各地高質(zhì)量建設(shè)工業(yè)互聯(lián)網(wǎng)示范區(qū)和‘5G+工業(yè)互聯(lián)網(wǎng)’融合應(yīng)用先導(dǎo)區(qū)”。2022

年

9

月

工信部印發(fā)《5G

全連接工廠建設(shè)指

建設(shè)內(nèi)容中明確要求網(wǎng)絡(luò)安全三同步建設(shè)，支持企南》業(yè)建設(shè)產(chǎn)線級、車間級、工廠級等不同類型

5G

全連接工廠，著重在單一生產(chǎn)環(huán)節(jié)、業(yè)務(wù)單元的設(shè)備連接、數(shù)據(jù)采集和

5G

融合應(yīng)用創(chuàng)新方面能力建設(shè)。推動

5G

與工業(yè)應(yīng)用的融合向縱深發(fā)展，為“5G+工業(yè)互聯(lián)網(wǎng)”發(fā)展的下一階段指明了方向。2022

年

6

月

工信部、發(fā)改委、財政部、生態(tài)環(huán)境

推動

5G、云計算、邊緣計算、物聯(lián)網(wǎng)、大數(shù)據(jù)、部、國務(wù)院國資委、市場監(jiān)管總局聯(lián)

人工智能等數(shù)字技術(shù)在節(jié)能提效領(lǐng)域的研發(fā)應(yīng)用，合印發(fā)《工業(yè)能效提升行動計劃》

積極構(gòu)建面向能效管理的數(shù)字孿生系統(tǒng)；提高“工業(yè)互聯(lián)網(wǎng)+能效管理”創(chuàng)新能力。2022

年

3

月

國務(wù)院印發(fā)《2022

年政府工作報

提出“加快發(fā)展工業(yè)互聯(lián)網(wǎng)”，“推進

5G

規(guī)模化商告》用”，“強化網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個人信息保護”。2022

年

2

月

工信部印發(fā)《關(guān)于做好工業(yè)領(lǐng)域數(shù)

明確提出決定在原計劃基礎(chǔ)上擴大工業(yè)領(lǐng)域數(shù)據(jù)據(jù)安全管理試點工作的通知》

安全管理試點范圍。2021

年

5

月工信部印發(fā)《“5G+工業(yè)互聯(lián)網(wǎng)”典

對

5G

在工業(yè)中的應(yīng)用落地起到了重要的指導(dǎo)作型應(yīng)用場景和重點行業(yè)實踐》用。內(nèi)網(wǎng)建設(shè)改造覆蓋

10

個重點行業(yè)，形成至少20

大典型工業(yè)應(yīng)用場景。明確將“5G+工業(yè)互聯(lián)網(wǎng)”的網(wǎng)絡(luò)和數(shù)據(jù)安全作為關(guān)鍵問題進行深入研究。72020

年

12

月

工信部印發(fā)《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展

在

10

個重點行業(yè)打造

30

個

5G

全連接工廠；推動行動計劃（2021-2023

年）》5G

應(yīng)用從外圍輔助環(huán)節(jié)向核心生產(chǎn)環(huán)節(jié)滲透，加快典型場景推廣；建設(shè)

10

個“5G+工業(yè)互聯(lián)網(wǎng)”融合應(yīng)用先導(dǎo)區(qū)等。（二）安全標(biāo)準(zhǔn)標(biāo)準(zhǔn)化工作是指導(dǎo)工業(yè)互聯(lián)網(wǎng)安全關(guān)鍵技術(shù)發(fā)展的重要手段。國際層面，以美國為代表的發(fā)達(dá)國家和國際組織早已發(fā)布多項相關(guān)政策。我國的工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域標(biāo)準(zhǔn)體系建設(shè)雖然起步較晚但發(fā)展迅速，至今已相繼出臺《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理體系標(biāo)準(zhǔn)》、《工業(yè)控制系統(tǒng)信息安全防護指南》、《信息安全技術(shù)

網(wǎng)絡(luò)安全等級保護基本要求》等多部工業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)規(guī)范，涉及工控安全、工業(yè)互聯(lián)網(wǎng)安全等多個細(xì)分領(lǐng)域。各項標(biāo)準(zhǔn)落地實施，極大促進了工業(yè)企業(yè)數(shù)智化轉(zhuǎn)型，強化了工業(yè)互聯(lián)網(wǎng)企業(yè)安全防護能力，助力了工業(yè)互聯(lián)網(wǎng)企業(yè)健康發(fā)展，本白皮書中主要羅列了當(dāng)前各行業(yè)應(yīng)用較多的相關(guān)標(biāo)準(zhǔn)和標(biāo)準(zhǔn)要求概述。表

3.國內(nèi)外工業(yè)互聯(lián)網(wǎng)相關(guān)標(biāo)準(zhǔn)規(guī)范國外標(biāo)準(zhǔn)標(biāo)準(zhǔn)名稱NIST《制造業(yè)與工業(yè)控制系統(tǒng)安全

指導(dǎo)企業(yè)從異常行為檢測、應(yīng)用程序白名單等方面開展設(shè)備防護保障能力評估》

和系統(tǒng)評估。標(biāo)準(zhǔn)要求NIST《制造業(yè)網(wǎng)絡(luò)安全框架簡介》

從風(fēng)險管理的角度指導(dǎo)工業(yè)企業(yè)開展網(wǎng)絡(luò)安全防護。IEC

62443《工業(yè)過程測量、控制和

標(biāo)準(zhǔn)分為四個部分，12

個文檔。第一部分是通用標(biāo)準(zhǔn)，第二部分自動化

網(wǎng)絡(luò)與系統(tǒng)信息安全》是策略和規(guī)程，第三部分提出系統(tǒng)級的措施，第四部分提出組件級的措施。NIST《SP800-82

工業(yè)控制系統(tǒng)

指南概述了

ICS

和典型的系統(tǒng)拓?fù)浣Y(jié)構(gòu)，指出了對于這些系統(tǒng)的(ICS)

安全指南》典型威脅和脆弱點所在，為消減相關(guān)風(fēng)險提供了建議性的安全對策。同時，根據(jù)

ICS

的潛在風(fēng)險和影響水平的不同，指出了保障的不同方法和技術(shù)手段。該指南適用于電力、水利、石化、交通、化工、制藥等行業(yè)的

ICS

系統(tǒng)。國內(nèi)標(biāo)準(zhǔn)標(biāo)準(zhǔn)名稱標(biāo)準(zhǔn)要求《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理體

明確了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理體系，指導(dǎo)企業(yè)采取必要的措系標(biāo)準(zhǔn)》（GB/T20690-2006）

施確保工業(yè)網(wǎng)絡(luò)安全?！缎畔踩夹g(shù)網(wǎng)絡(luò)安全等級保

工業(yè)企業(yè)網(wǎng)絡(luò)安全建設(shè)需滿足等保

2.0

的相關(guān)要求，公安部門依護基本要求》（GB/T22239-2019）

法進行安全檢查。8《工業(yè)控制系統(tǒng)信息安全防護指

指南注重防護要求的可執(zhí)行性，從管理、技術(shù)兩方面明確工業(yè)企南》

業(yè)工控安全防護要求?！豆I(yè)控制系統(tǒng)信息安全第

1

部

規(guī)定了工業(yè)控制系統(tǒng)（SCADA、DCS，PLC，PCS

等）信息安全分：評估規(guī)范》（GB30976.1-2014）

評估的目標(biāo)、評估的內(nèi)容、實施過程等?！豆I(yè)控制系統(tǒng)信息安全第

2部分

規(guī)定了對工業(yè)控制系統(tǒng)的信息安全解決方案的安全性進行驗收的驗收規(guī)范》（GB/T30976.2-2014）

流程、測試內(nèi)容、方法及應(yīng)達(dá)到的要求。GB/T

33009.4-2016

工業(yè)自動化

規(guī)定了集散控制系統(tǒng)(DCS)在投運前,后的風(fēng)險和脆弱性檢測,對和控制系統(tǒng)網(wǎng)絡(luò)安全集散控制系

DCS

軟件、以太網(wǎng)網(wǎng)絡(luò)通信協(xié)議與工業(yè)控制網(wǎng)絡(luò)協(xié)議的風(fēng)險與脆統(tǒng)（DCS）弱性檢測提出具體的要求。GB/T33009.1-2016《工業(yè)自動化和

規(guī)定了集散控制系統(tǒng)在運行和維護過程中應(yīng)具備的安全能力、防控制系統(tǒng)網(wǎng)絡(luò)安全

集散控制系

護技術(shù)要求和安全防護區(qū)域的劃分，并對過程監(jiān)控層、現(xiàn)場控制統(tǒng)（DCS）第

1

部分：防護要求》

層和現(xiàn)場設(shè)備層的防護要點、防護設(shè)備以及防護技術(shù)提出了具體的要求。GB/T33009.2-2016《工業(yè)自動化和

規(guī)定了集散控制系統(tǒng)信息安全管理體系及其相關(guān)安全管理要素的控制系統(tǒng)網(wǎng)絡(luò)安全

集散控制系

具體要求。統(tǒng)（DCS）第

2

部分：管理要求》GB/T33009.3-2016《工業(yè)自動化和

規(guī)定了集散控制系統(tǒng)的安全風(fēng)險評估等級劃分、評估的對象及實控制系統(tǒng)網(wǎng)絡(luò)安全

集散控制系

施流程，以及安全措施有效性測試。統(tǒng)（DCS）第

3

部分：評估指南》GB/T33008.1-2016《工業(yè)自動化和

規(guī)定了可編程序控制器(PLC)系統(tǒng)的信息安全要求，包括

PLC

直接控制系統(tǒng)網(wǎng)絡(luò)安全

可編程序控

或間接與其他系統(tǒng)通信的信息安全要求。制器（PLC）》工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級防護系列規(guī)范：《工業(yè)互聯(lián)網(wǎng)平臺企業(yè)安全防護規(guī)范》規(guī)范面向重點行業(yè)、重要工業(yè)領(lǐng)域的工業(yè)互聯(lián)網(wǎng)企業(yè)，根據(jù)企業(yè)所屬行業(yè)網(wǎng)絡(luò)安全影響程度分級評定，根據(jù)不同的分級結(jié)果，要求落實與自身等級相適應(yīng)的安全防護措施。指導(dǎo)企業(yè)開展分類分級管理，落實安全主體責(zé)任，增強網(wǎng)絡(luò)安全意識、提升網(wǎng)絡(luò)安全防護能力?！堵?lián)網(wǎng)工業(yè)企業(yè)安全防護規(guī)范》《工業(yè)互聯(lián)網(wǎng)標(biāo)識企業(yè)安全防護規(guī)范》《工業(yè)互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全防護規(guī)范》三、5G+工業(yè)互聯(lián)網(wǎng)安全挑戰(zhàn)5G

與工業(yè)互聯(lián)網(wǎng)的深度融合勢必將大量的

ICT

系統(tǒng)威脅和挑戰(zhàn)帶入工業(yè)網(wǎng)絡(luò)，因此

5G+工業(yè)互聯(lián)網(wǎng)與傳統(tǒng)的工控系統(tǒng)安全和互聯(lián)網(wǎng)安全相比，其安全挑戰(zhàn)更為復(fù)雜。（一）網(wǎng)絡(luò)安全挑戰(zhàn)5G

網(wǎng)絡(luò)的服務(wù)化架構(gòu)使網(wǎng)絡(luò)功能以通用接口對外呈現(xiàn)，可以實現(xiàn)靈活的網(wǎng)9絡(luò)部署和管理，伴隨接口開放，通用接口在身份認(rèn)證、訪問控制、通信加密等方面都面臨潛在的風(fēng)險，安全方案設(shè)計的缺陷會導(dǎo)致泛洪攻擊、資源濫用等風(fēng)險。此外，邊緣計算節(jié)點的安全機制缺失或策略錯誤配置可能導(dǎo)致非授權(quán)的邊緣計算網(wǎng)關(guān)接入、邊緣節(jié)點過載、邊界開放

API

接口濫用等風(fēng)險；網(wǎng)絡(luò)切片技術(shù)的使用可能面臨非授權(quán)用戶接入網(wǎng)絡(luò)切片等風(fēng)險。整體來看，隨著

5G

網(wǎng)絡(luò)與工業(yè)業(yè)務(wù)發(fā)展，工業(yè)系統(tǒng)、應(yīng)用逐步云化部署，5G

網(wǎng)絡(luò)切片、SDN/NFV

等新技術(shù)在工業(yè)網(wǎng)絡(luò)中逐步應(yīng)用，切片安全、鏈路安全、云網(wǎng)安全等相關(guān)風(fēng)險也在不斷提高。（二）終端安全挑戰(zhàn)5G+工業(yè)互聯(lián)網(wǎng)接入終端種類增多、數(shù)量巨大，工業(yè)互聯(lián)網(wǎng)終端設(shè)備計算能力和安全防護措施較弱。工業(yè)網(wǎng)關(guān)、機器人等終端設(shè)備與平臺的交互，涉及工業(yè)控制協(xié)議、控制軟件等風(fēng)險點，在設(shè)計之初可能未考慮完整性、身份校驗等安全需求，持續(xù)面臨病毒、木馬、漏洞等安全挑戰(zhàn)。伴隨工業(yè)互聯(lián)網(wǎng)終端的大量接入，偽造的、被劫持的、包含病毒或惡意程序的、缺少基本安全防護能力的終端可能將終端安全風(fēng)險通過

5G

網(wǎng)絡(luò)進行傳播和擴大。（三）數(shù)據(jù)安全挑戰(zhàn)隨著

5G

網(wǎng)絡(luò)在工業(yè)互聯(lián)網(wǎng)領(lǐng)域的大規(guī)模推廣應(yīng)用，數(shù)據(jù)安全風(fēng)險不斷多樣化。5G

網(wǎng)絡(luò)基于

NFV、云計算、虛擬化技術(shù)使得安全邊界模糊，流量不可見。邊緣計算造成網(wǎng)絡(luò)及用戶數(shù)據(jù)下沉至網(wǎng)絡(luò)邊緣，數(shù)據(jù)安全管理責(zé)任界定、網(wǎng)絡(luò)邊緣數(shù)據(jù)隔離與保護的挑戰(zhàn)明顯；虛擬化技術(shù)帶來的網(wǎng)絡(luò)邊界模糊增加了數(shù)據(jù)保護的難度；網(wǎng)絡(luò)切片技術(shù)對數(shù)據(jù)的安全隔離與保護提出更高要求；接入設(shè)備數(shù)量的快速增長和防護措施能力的差異導(dǎo)致數(shù)據(jù)泄漏風(fēng)險點增多、違法有害信息管控難度增大。MEC

節(jié)點位于網(wǎng)絡(luò)邊緣，處于運營商控制較弱的開放網(wǎng)絡(luò)環(huán)境中，數(shù)10據(jù)竊取、泄露的風(fēng)險相對較高，對數(shù)據(jù)采集、存儲、傳輸、處理等方面的安全性提出了更高的要求。近年來，在工業(yè)互聯(lián)網(wǎng)領(lǐng)域，供應(yīng)鏈攻擊、勒索軟件攻擊、地緣政治相關(guān)黑客攻擊等網(wǎng)絡(luò)威脅持續(xù)上升，尤其是針對工業(yè)互聯(lián)網(wǎng)領(lǐng)域的勒索攻擊逐漸成為黑客獲利的最佳途徑，工控系統(tǒng)一旦被入侵輕則會破壞生產(chǎn)環(huán)境、造成設(shè)備停機、被勒索錢財，重則會直接上升到國家安全層面。（四）工業(yè)

AI

安全挑戰(zhàn)隨著

AI

技術(shù)在工業(yè)領(lǐng)域逐步應(yīng)用，由于

AI

模型的不可解釋性，在模型中植入的惡意后門難以被檢測；AI

芯片和軟件編碼都可能存在漏洞或后門；訓(xùn)練模型時，面對惡意樣本無法給出正確的判斷結(jié)果，工業(yè)領(lǐng)域在享受

AI

帶來的便利和高效的同時，也為傳統(tǒng)工業(yè)控制系統(tǒng)帶來的網(wǎng)絡(luò)安全問題，尤其是隱私泄露。一旦企業(yè)敏感數(shù)據(jù)被泄露，可能會被網(wǎng)絡(luò)黑客用于惡意用途。（五）工業(yè)云安全挑戰(zhàn)工業(yè)云相對于傳統(tǒng)的云平臺更易成為網(wǎng)絡(luò)攻擊的目標(biāo)，工業(yè)云承載著重點工業(yè)領(lǐng)域的關(guān)鍵業(yè)務(wù)系統(tǒng)，同時越來越多生產(chǎn)組件、控制系統(tǒng)直接或間接與互聯(lián)網(wǎng)連接，工業(yè)云及虛擬化平臺自身的安全脆弱性及漏洞日漸突出，所使用的開源軟件安全問題層出不窮。此外，工業(yè)云在提供服務(wù)時向用戶開放

API

接口，在一定程度上加大了暴露面風(fēng)險；工業(yè)云環(huán)境下安全風(fēng)險跨域傳播的級聯(lián)效應(yīng)愈發(fā)明顯，包括工業(yè)云中，研發(fā)、生產(chǎn)、管理、消費各環(huán)節(jié)的橫向風(fēng)險傳播，以及互聯(lián)網(wǎng)通過工業(yè)云向工業(yè)企業(yè)管理網(wǎng)、生產(chǎn)網(wǎng)的縱向風(fēng)險傳播。（六）軟件供應(yīng)鏈安全挑戰(zhàn)我國工業(yè)互聯(lián)網(wǎng)中大量的工業(yè)軟件和中間件開源部分占比較大，開源技術(shù)在推動工業(yè)互聯(lián)網(wǎng)快速發(fā)展的同時也引入了大量的安全風(fēng)險。根據(jù)新思科技11（Synopsys）《2023

年開源安全和風(fēng)險分析(OSSRA)

報告》數(shù)據(jù)顯示，檢查的開源代碼庫中有

48%包含高風(fēng)險漏洞。因此，位于軟件供應(yīng)鏈（軟件生產(chǎn)到交付運營的全過程）源頭位置的開源軟件一旦存在安全問題，與之存在依賴關(guān)系的工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)也將同樣存在安全缺陷并隨著不斷復(fù)用造成安全問題烈性傳播，呈現(xiàn)典型“攻擊一點、傷及一片”的特點。此外，開源軟件作者主要通過開源許可協(xié)議對其知識產(chǎn)權(quán)進行許可與約束，若開源軟件使用者未依照相應(yīng)的開源許可協(xié)議使用開源軟件，將可能面臨知識產(chǎn)權(quán)及合規(guī)風(fēng)險。當(dāng)前最常用的

6

個開源許可協(xié)議，沒有在知識產(chǎn)權(quán)層面上對我國進行管制。需重點關(guān)注在當(dāng)今復(fù)雜國際形勢下，開源許可被重新制定，以致開源項目只能在一定范圍內(nèi)被使用和發(fā)布，從而給我國造成知識產(chǎn)權(quán)方面的風(fēng)險。（七）運營安全挑戰(zhàn)5G

技術(shù)與工業(yè)互聯(lián)網(wǎng)深度融合，涉及端到端安全、通信網(wǎng)絡(luò)安全、應(yīng)用安全、終端安全等問題，導(dǎo)致相關(guān)方安全責(zé)任界定困難；5G

網(wǎng)絡(luò)面臨的

IT

化網(wǎng)絡(luò)設(shè)施安全風(fēng)險、通信網(wǎng)絡(luò)安全風(fēng)險會影響工業(yè)互聯(lián)網(wǎng)系統(tǒng)的穩(wěn)定運行；同時，工業(yè)互聯(lián)網(wǎng)系統(tǒng)的安全漏洞、錯誤安全配置等原因可能將應(yīng)用自身安全風(fēng)險向

5G網(wǎng)絡(luò)傳導(dǎo)。四、5G+工業(yè)互聯(lián)網(wǎng)“元信任”安全解決方案工業(yè)互聯(lián)網(wǎng)體系將連接對象延伸到工業(yè)全系統(tǒng)、全產(chǎn)業(yè)鏈、全價值鏈，打通了“人、機、料、法、環(huán)”全要素，實現(xiàn)工業(yè)制造各流程的深度互聯(lián)，促進了端到端網(wǎng)絡(luò)、5G、邊緣計算等關(guān)鍵技術(shù)與工業(yè)互聯(lián)網(wǎng)的融合應(yīng)用，以致單一的解決方案無法滿足工業(yè)互聯(lián)網(wǎng)的整體安全需求。中國移動立足通信運營商全程全網(wǎng)的優(yōu)勢，創(chuàng)新提出了以“身份為核心”，“IT+CT

聯(lián)防聯(lián)控”的

5G+工業(yè)互聯(lián)網(wǎng)一體化全12程可信“元信任”安全解決方案。本白皮書從身份可信、網(wǎng)絡(luò)可信、終端可信、數(shù)據(jù)可信、應(yīng)用可信、AI

可信、軟件供應(yīng)鏈可信、運營可信、“元信任”網(wǎng)絡(luò)安全保險

9

個方面提供了“元信任”安全技術(shù)實現(xiàn)方案。圖

1.5G+智慧工廠安全的“元信任”解決方案架構(gòu)（一）身份可信保障“元信任”安全解決方案身份認(rèn)證防護體系提供可信的來訪身份核驗?zāi)芰腿肟诩壉Ｕ??；谝苿雍诵木W(wǎng)+SIM

卡安全芯片為工業(yè)互聯(lián)網(wǎng)用戶及相關(guān)設(shè)備提供便捷、安全的號卡身份準(zhǔn)入認(rèn)證。結(jié)合安全網(wǎng)關(guān)先認(rèn)證后連接、動態(tài)訪問控制等特性，建立可信通信鏈路并分配對應(yīng)的訪問權(quán)限，未經(jīng)授權(quán)不能訪問業(yè)務(wù)信息，利用通信網(wǎng)絡(luò)全鏈路可管、可控的特點，實現(xiàn)身份可信、過程可溯源的安全需求，身份準(zhǔn)入認(rèn)證流程采用二次認(rèn)證機制，可分為設(shè)備準(zhǔn)入認(rèn)證與網(wǎng)關(guān)訪問鑒權(quán)兩部分：設(shè)備準(zhǔn)入認(rèn)證（一次認(rèn)證）：設(shè)備入網(wǎng)階段，工業(yè)互聯(lián)網(wǎng)設(shè)備中的

SIM

卡與13運營商移動網(wǎng)核心網(wǎng)關(guān)啟動

AKA

鑒權(quán)認(rèn)證，并通過安全網(wǎng)關(guān)連接統(tǒng)一身份認(rèn)證平臺，識別并獲取

SIM

卡關(guān)聯(lián)的設(shè)備標(biāo)識，完成設(shè)備準(zhǔn)入認(rèn)證。網(wǎng)關(guān)訪問鑒權(quán)（二次認(rèn)證）：在設(shè)備準(zhǔn)入認(rèn)證完成后，此時設(shè)備尚未能與業(yè)務(wù)系統(tǒng)建立連接，而需根據(jù)設(shè)備身份驗證憑據(jù)，通過數(shù)據(jù)流傳遞到安全網(wǎng)關(guān)側(cè)，再次與統(tǒng)一身份認(rèn)證平臺確認(rèn)憑據(jù)有效性，確權(quán)通過后建立可信通信鏈路，同時分配權(quán)限策略與訪問范圍，完成二次認(rèn)證。圖

2.“元信任”身份可信保障機制（二）網(wǎng)絡(luò)可信保障“元信任”安全解決方案在工業(yè)互聯(lián)網(wǎng)電信設(shè)備網(wǎng)元級可信保障中，通過安全加固、安全校驗、安全監(jiān)控、安全響應(yīng)機制，確保電信設(shè)備全生命周期安全。1、安全加固安全根技術(shù)：硬件芯片安全（硬件安全根、芯片自身安全），系統(tǒng)安全（指令安全、安全保護），開源組件安全（開源組件管理、漏洞追蹤管理），數(shù)據(jù)安全（可信計算/機密計算、證書/密鑰管理）。安全左移：安全全面融入開發(fā)流程，通過明確責(zé)任、開展培訓(xùn)、開發(fā)工具和建立流程確保安全戰(zhàn)略執(zhí)行到位。14最小裁剪：冗余代碼裁剪、冗余端口關(guān)閉、冗余賬號刪除、低安全級別加密功能去除等。2、安全校驗軟件校驗：確保軟硬件被正確按照設(shè)計集成。通過硬件可信根逐層校驗，對固件、操作系統(tǒng)、虛擬化軟件和電信軟件、補丁等進行校驗，判斷是否被正確的加載，確保沒有被篡改。遠(yuǎn)程校驗：確保軟硬件被正確按照預(yù)期運行。進程運行狀態(tài)，靜態(tài)數(shù)據(jù)庫鏈接/動態(tài)數(shù)據(jù)庫鏈接狀態(tài)，內(nèi)核模塊運行狀態(tài)的校驗和比對。配置核查：確認(rèn)設(shè)備安全功能按照設(shè)計配置。提供安全配置工具，確保安全功能被正確開啟，保證設(shè)備滿足安全合規(guī)。3、安全監(jiān)控系統(tǒng)層面：系統(tǒng)內(nèi)部數(shù)據(jù)，文件、進程、端口、賬號按需訪問，精細(xì)化控制?；跇I(yè)務(wù)需要，對于賬戶、文件、進程進行按需白名單創(chuàng)建和訪問監(jiān)控，提供系統(tǒng)內(nèi)部的操作系統(tǒng)級別的安全監(jiān)控。網(wǎng)絡(luò)層面：設(shè)備、網(wǎng)元、虛擬機的

TCP/IP

層面按需訪問，精細(xì)化控制?；跇I(yè)務(wù)需要，對于通信端口進行白名單訪問監(jiān)控，網(wǎng)絡(luò)層訪問層面微隔離按需訪問。信令層面：網(wǎng)元信令（應(yīng)用層）按需訪問，精細(xì)化控制。基于業(yè)務(wù)需要和特征，對于信令流量進行白名單訪問監(jiān)控，實現(xiàn)信令層面安全保護。4、安全響應(yīng)威脅處置：網(wǎng)元層面發(fā)現(xiàn)威脅，安全管理模塊根據(jù)業(yè)務(wù)需要和特征提出可信檢驗、異常分析、威脅處置建議。15威脅同步：上送中國移動安全中臺，安全中臺決策通過

SOAR

機制，決定安全事件威脅成立方式。漏洞通知：發(fā)現(xiàn)安全漏洞，會基于自身漏洞管理體系，進行漏洞紕漏，并且給出修改建議，提升運維效率。圖

3.“元信任”網(wǎng)元級可信機制（三）終端可信保障“元信任”安全解決方案在保障工業(yè)互聯(lián)網(wǎng)終端安全可信方面，考慮了工業(yè)控制系統(tǒng)專用設(shè)備的安全防護，也做好通用

PC、服務(wù)器的安全防護，面向終端設(shè)備實施分層分域安全策略，構(gòu)建多技術(shù)融合安全防護體系。終端設(shè)備安全：對于智能終端設(shè)備可采用“元信任”安全解決方案中本質(zhì)內(nèi)生的號、卡及通信安全體系加強終端設(shè)備身份鑒別與訪問控制，同時采用固件安全增強、漏洞修復(fù)等安全策略，確保終端設(shè)備自身的安全。對于傳統(tǒng)

PC、服務(wù)器等終端，也可采用輕量級無

UI、無感知終端代理的終端安全防護方案，通過白名單、身份認(rèn)證、安全基線檢測和終端安全事件審計等技術(shù)進行智能終端的安全防護；對于傳感器、專用工控設(shè)備、物聯(lián)網(wǎng)終端等可采用輕量化標(biāo)識密鑰技術(shù)，通16過設(shè)備專用標(biāo)識，進行工業(yè)互聯(lián)網(wǎng)資產(chǎn)標(biāo)識識別、接入安全認(rèn)證，通過設(shè)備標(biāo)識、違規(guī)介入管控等，實現(xiàn)工業(yè)互聯(lián)網(wǎng)專用終端設(shè)備的資產(chǎn)梳理和可信接入管理。終端控制安全：通過采取控制協(xié)議安全機制、終端內(nèi)置控制軟件安全加固、指令安全審計、確?？刂栖浖踩涂刂茀f(xié)議安全。通過采用專用通信協(xié)議、密碼技術(shù)進行身份認(rèn)證、數(shù)據(jù)加密技術(shù)確?？刂葡到y(tǒng)執(zhí)行的控制命令來自合法用戶，對通信雙方進行身份認(rèn)證，未經(jīng)認(rèn)證的控制命令不被執(zhí)行。在控制協(xié)議通信過程中加入身份認(rèn)證，避免攻擊者通過截獲報文獲取合法地址建立會話，影響控制過程安全。保證通信雙方的信息不被第三方非法獲取，業(yè)務(wù)運行環(huán)境安全可靠。終端通信安全：通過通信雙方的雙向設(shè)備認(rèn)證、數(shù)據(jù)源真實性與完整性認(rèn)證、數(shù)據(jù)的安全傳輸、數(shù)據(jù)的安全共享，終端設(shè)備指紋識別等技術(shù)，對工控網(wǎng)絡(luò)內(nèi)部各類應(yīng)用數(shù)據(jù)的采集與監(jiān)控，保障通信網(wǎng)絡(luò)設(shè)備可信接入。對于自主可控終端，在方案設(shè)計時可考慮采用標(biāo)識密碼技術(shù)，使接入網(wǎng)絡(luò)的設(shè)備具有唯一性標(biāo)識，網(wǎng)絡(luò)應(yīng)對接入的終端設(shè)備進行身份認(rèn)證，保證合法接入和合法連接，對非法終端設(shè)備的接入行為進行阻斷與告警，形成通信可信接入機制。對于服務(wù)器、通用

PC等終端設(shè)備可采用先認(rèn)證后連接的入網(wǎng)管控方式，對于終端設(shè)備接入進行驗證的管理，實現(xiàn)終端設(shè)備安全接入認(rèn)證、傳輸加密、安全基線掃描、環(huán)境感知數(shù)據(jù)上報等，保證接入終端的可靠性，數(shù)據(jù)傳輸?shù)臋C密性和完整性。實現(xiàn)在終端訪問應(yīng)用資源的動作是一個安全的、可溯源的、可管可控的過程。通過終端設(shè)備自身安全、終端控制安全、終端通信安全，確保接入到網(wǎng)絡(luò)中的設(shè)備具有唯一標(biāo)識、違規(guī)接入進行管控等，實現(xiàn)工業(yè)互聯(lián)網(wǎng)終端設(shè)備資產(chǎn)梳理和統(tǒng)一管理。17（四）數(shù)據(jù)可信保障在

5G+工業(yè)互聯(lián)網(wǎng)場景下，數(shù)據(jù)的生命周期包括數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)交換和數(shù)據(jù)銷毀六個階段。不同生命周期階段面臨不同的安全風(fēng)險，“元信任”安全解決方案采取不同的技術(shù)手段應(yīng)對安全風(fēng)險。數(shù)據(jù)采集：在組織機構(gòu)內(nèi)部系統(tǒng)中新生成數(shù)據(jù)，或從外部收集數(shù)據(jù)的過程。5G+工業(yè)互聯(lián)網(wǎng)中的數(shù)據(jù)主要分為三部分：各類生產(chǎn)資料的實時工況數(shù)據(jù)、各類信息化系統(tǒng)產(chǎn)生的數(shù)據(jù)、各類產(chǎn)品的設(shè)計研發(fā)數(shù)據(jù)?？赏ㄟ^開展數(shù)據(jù)采集合規(guī)性檢查，部署工業(yè)防火墻、數(shù)據(jù)標(biāo)識與溯源、傳感器可信安全檢測等能力來降低數(shù)據(jù)被劫持、控制指令被惡意篡改、傳感器失效導(dǎo)致數(shù)據(jù)失真等風(fēng)險。數(shù)據(jù)傳輸：數(shù)據(jù)依托

5G

傳輸網(wǎng)絡(luò)、工業(yè)現(xiàn)場總線、工業(yè)以太網(wǎng)等信道資源，數(shù)據(jù)在組織機構(gòu)內(nèi)部，從一個實體流動到另一個實體的過程，進而通過傳輸實現(xiàn)數(shù)據(jù)的遷移、匯聚、擴散等功能?？赏ㄟ^部署

VPN、加密機、工業(yè)防火墻、完整性校驗、工業(yè)防病毒等能力來降低傳輸數(shù)據(jù)被嗅探、被攻擊者攔截和傳輸數(shù)據(jù)包被修改等風(fēng)險。數(shù)據(jù)存儲：數(shù)據(jù)以任何數(shù)字格式進行物理存儲或云存儲的持久化階段。可通過部署工業(yè)防火墻、身份認(rèn)證與訪問控制、數(shù)據(jù)脫敏、工業(yè)審計、存儲數(shù)據(jù)加密、數(shù)據(jù)水印、數(shù)據(jù)災(zāi)備等能力來降低工業(yè)數(shù)據(jù)被嗅探和竊取、未授權(quán)訪問、云平臺數(shù)據(jù)泄露和被篡改等風(fēng)險。數(shù)據(jù)處理：在

5G+工業(yè)互聯(lián)網(wǎng)系統(tǒng)內(nèi)針對數(shù)據(jù)進行計算、分析、可視化等操作的階段?？赏ㄟ^部署存儲數(shù)據(jù)加密、機密計算、身份認(rèn)證與訪問控制、IDS

等能力來降低數(shù)據(jù)被未授權(quán)查看、使用、惡意篡改、偽造、分析處理算法和模型解析等活動帶來不準(zhǔn)確的風(fēng)險。18數(shù)據(jù)交換：數(shù)據(jù)由工業(yè)組織機構(gòu)與外部組織機構(gòu)或個人交互的階段?？赏ㄟ^部署隱私計算服務(wù)、數(shù)據(jù)水印、數(shù)據(jù)脫敏等能力來降低工業(yè)數(shù)據(jù)被逾期交易、共享數(shù)據(jù)未授權(quán)交易、數(shù)據(jù)合作共享使用等風(fēng)險。數(shù)據(jù)銷毀：對數(shù)據(jù)及數(shù)據(jù)的存儲介質(zhì)通過相應(yīng)的操作，使數(shù)據(jù)徹底消除且無法恢復(fù)。具體的安全應(yīng)對措施包括使用專業(yè)多次邏輯擦除工具、效果檢查工具，完善數(shù)據(jù)銷毀流程管理制度，做好數(shù)據(jù)銷毀過程記錄等來降低數(shù)據(jù)被刻意恢復(fù)、數(shù)據(jù)銷毀不徹底等風(fēng)險。（五）應(yīng)用可信保障基于中國移動云網(wǎng)的內(nèi)生安全能力，“元信任”安全解決方案從安全掃描、安全監(jiān)測、安全防護、安全可視化四個方面建設(shè)覆蓋應(yīng)用系統(tǒng)全生命周期的可信防護體系。圖

4.“元信任”應(yīng)用安全可信防護安全掃描：在保證應(yīng)用系統(tǒng)正常對外提供服務(wù)的前提下，建立定期“漏洞掃描+人工稽核”應(yīng)用安全評估機制，提前發(fā)現(xiàn)應(yīng)用系統(tǒng)隱藏的安全隱患，及時打補19丁修復(fù)。安全監(jiān)測：利用分布式撥測節(jié)點，為應(yīng)用提供多維度的帶外安全監(jiān)測，監(jiān)測能力覆蓋網(wǎng)頁篡改監(jiān)測、DNS

劫持檢測、釣魚網(wǎng)站檢測等多個維度，實現(xiàn)對業(yè)務(wù)平臺安全風(fēng)險的實時預(yù)警。安全防護：分析應(yīng)用系統(tǒng)的流量特征，通過高級威脅檢測引擎，識別并攔截惡意攻擊請求，保證正常的業(yè)務(wù)流量安全到達(dá)業(yè)務(wù)服務(wù)器。安全可視化：面向應(yīng)用系統(tǒng)提供態(tài)勢感知、安全報表及攻擊溯源功能，滿足多樣化安全運營管理要求。（六）工業(yè)

AI

可信保障人工智能技術(shù)廣泛地應(yīng)用于預(yù)測維護、過程優(yōu)化、質(zhì)量控制、自動化機器人、智能監(jiān)控等領(lǐng)域。人工智能技術(shù)在工業(yè)互聯(lián)網(wǎng)中有助于提高生產(chǎn)效率、降低成本、提高安全性和可持續(xù)性，從而推動工業(yè)領(lǐng)域的數(shù)字化轉(zhuǎn)型和智能化。然而由于人工智能技術(shù)自身的脆弱性，“元信任”安全解決方案通過增強模型算法魯棒性、防范模型算法竊取攻擊和防范模型算法篡改攻擊三種技術(shù)手段保障工業(yè)互聯(lián)網(wǎng)中人工智能技術(shù)的安全性。增強模型算法魯棒性：在開發(fā)階段，采取預(yù)防措施，包括進行對抗性訓(xùn)練、過濾惡意樣本等，以增強模型的防御能力；在測試階段，綜合使用含有對抗噪聲、自然噪聲、系統(tǒng)噪聲、偽造、模仿、隨機、無意義等類型的數(shù)據(jù)以測試算法的魯棒性；在運行階段，持續(xù)監(jiān)控和修復(fù)模型的漏洞，以確保其穩(wěn)定和可靠地運行。防范模型算法竊取攻擊：防范非法獲取，加密存儲和傳輸模型文件，設(shè)置權(quán)限和訪問控制，定期檢測模型保護措施，防止非法獲取，實施安全保障和審計日志，并定期檢測安全系統(tǒng)和防護配置；防范逆向攻擊，限制信息反饋量，遵循最20小特權(quán)原則，設(shè)置算法探測頻率限制。防范模型算法篡改攻擊：防范后門攻擊，設(shè)計輸入預(yù)處理方案，過濾可能觸發(fā)后門攻擊的輸入，引入算法應(yīng)用預(yù)處理模塊，對輸入進行預(yù)處理，建立后門檢測機制，定期掃描和檢測算法后門。（七）軟件供應(yīng)鏈可信保障面向工業(yè)互聯(lián)網(wǎng)軟件供應(yīng)鏈安全挑戰(zhàn)，“元信任”安全解決方案通過提供軟件供應(yīng)鏈資產(chǎn)透明化，安全漏洞檢測精準(zhǔn)化、知識產(chǎn)權(quán)合規(guī)化和運行監(jiān)測動態(tài)化四大技術(shù)能力，實現(xiàn)軟件源頭清晰化、使用過程標(biāo)準(zhǔn)化、運行監(jiān)測動態(tài)化。圖

5.“元信任”軟件供應(yīng)鏈開源安全治理透明化的軟件資產(chǎn)：支持以“最小化元素清單”為單位，提取供應(yīng)鏈開源軟件的成分單元，輸出軟件物料清單（SBOM），理清源頭資產(chǎn)清單，包括軟件成分中各種依賴關(guān)系（包括直接依賴、間接依賴、多層依賴），并支持生成完整的軟件成分全量樹，確保軟件供應(yīng)鏈資產(chǎn)透明化、可視化和完整性。精準(zhǔn)化的漏洞檢測：依托指紋識別、模糊

Hash

匹配、關(guān)鍵污染源調(diào)用等核心檢測技術(shù)，實現(xiàn)對供應(yīng)鏈開源軟件精準(zhǔn)化的安全檢測，保障供應(yīng)鏈開源軟件的安全性，同步實現(xiàn)對檢出漏洞提供全路徑定位信息和詳細(xì)的修復(fù)方案，為安全漏洞精準(zhǔn)定位和快速修復(fù)提供保障。合規(guī)化的軟件許可：實現(xiàn)基于軟件物料清單對供應(yīng)鏈軟件成分中的軟件許可協(xié)議的全面梳理，理清軟件成分中的許可協(xié)議，針對高風(fēng)險開源軟件許可成分21及時替換或隔離，做到工業(yè)互聯(lián)網(wǎng)軟件許可風(fēng)險的提前卡位布局。動態(tài)化的運行監(jiān)測：與

CVE、CNNVD、CNVD

等權(quán)威情報機構(gòu)和知名社區(qū)進行聯(lián)動，定時收集各類漏洞信息，動態(tài)化的對軟件物料清單中的開源軟件成分進行輪詢，根據(jù)安全漏洞等級發(fā)出不同等級的預(yù)警，實現(xiàn)威脅常態(tài)化的監(jiān)測與漏洞“一鍵式”排查，精準(zhǔn)定位到產(chǎn)品/責(zé)任人，助力提升安全運維效率。（八）運營可信保障“元信任”安全解決方案在運營可信方面，遵循

NIST

IPDRR理念，從風(fēng)險識別、安全防御、安全檢測、安全響應(yīng)和安全恢復(fù)五個方面建設(shè)覆蓋應(yīng)用系統(tǒng)全生命周期的可信運營體系。風(fēng)險識別：整合設(shè)備自身信息以及與業(yè)務(wù)資產(chǎn)的相關(guān)信息，實現(xiàn)對全口徑業(yè)務(wù)資產(chǎn)信息的精確獲取和深入識別，形成企業(yè)端口級精準(zhǔn)資產(chǎn)清單。在此基礎(chǔ)上，結(jié)合基線管理平臺通過對設(shè)備軟硬件配置、系統(tǒng)漏洞、網(wǎng)絡(luò)行為等多維度信息進行巡檢，實時、動態(tài)發(fā)現(xiàn)并防范潛在的安全威脅，提高企業(yè)風(fēng)險應(yīng)對的時效性和精確性。安全防御：基于訪問控制、數(shù)據(jù)安全、安全策略、安全運維等技術(shù)，對工業(yè)互聯(lián)網(wǎng)資產(chǎn)進行安全防御。如實施嚴(yán)格的訪問控制，詳細(xì)記錄和管理所有在網(wǎng)絡(luò)中流轉(zhuǎn)的數(shù)據(jù)，在必要時對其進行限制。安全檢測：聚類多個主流安全廠商設(shè)備來源的安全告警信息，實現(xiàn)數(shù)據(jù)標(biāo)準(zhǔn)化，并通過

AI

技術(shù)實現(xiàn)告警精準(zhǔn)聚合，對事件進行智能分析與研判，保證企業(yè)網(wǎng)絡(luò)安全實時性。安全響應(yīng)：基于先進的自動化編排技術(shù)，對接處置平臺和安全設(shè)備，自動下達(dá)與執(zhí)行處置指令，如

IP

封堵和流量清洗等。通過自動化響應(yīng)操作大幅提升應(yīng)22急速度，減少人為錯誤，提高企業(yè)安全防護效能。安全恢復(fù)：綜合根據(jù)系統(tǒng)重要程度，制定安全恢復(fù)分級實施方案。如關(guān)鍵級系統(tǒng)可采用虛擬補丁技術(shù)或者熱補丁技術(shù)，盡快恢復(fù)服務(wù)并確保數(shù)據(jù)的完整性。針對一般級失陷系統(tǒng)，正常按照進行離網(wǎng)、殺毒、重裝、恢復(fù)。圖

6.“元信任”安全運營流程（九）“元信任”網(wǎng)絡(luò)安全保險2023

年

7

月，工業(yè)和信息化部、國家金融監(jiān)督管理總局聯(lián)合印發(fā)了《關(guān)于促進網(wǎng)絡(luò)安全保險規(guī)范健康發(fā)展的意見》（工信部聯(lián)網(wǎng)安

[2023]

95

號），指導(dǎo)通信行業(yè)、網(wǎng)絡(luò)安全企業(yè)、保險公司開展網(wǎng)絡(luò)安全保險創(chuàng)新工作，鼓勵面向網(wǎng)絡(luò)安全產(chǎn)品開發(fā)網(wǎng)絡(luò)安全專門保險。在工業(yè)和信息化部的指導(dǎo)下，中國移動聯(lián)合中國人民財產(chǎn)保險股份有限公司以“元信任”解決方案為核心，創(chuàng)新打造“元信任”網(wǎng)絡(luò)安全保險標(biāo)準(zhǔn)化產(chǎn)品，通過“元信任”安全技術(shù)+保險金融的組合模式全面兜底工業(yè)互聯(lián)網(wǎng)企業(yè)安全風(fēng)險，本章節(jié)重點從“元信任”網(wǎng)絡(luò)安全保險的風(fēng)險評估模型、保險責(zé)任描述以及特點三個23方面重點闡述。“元信任”網(wǎng)絡(luò)安全保險風(fēng)險評估模型：“元信任”安全解決方案為工業(yè)互聯(lián)網(wǎng)企業(yè)極大削減自身網(wǎng)絡(luò)安全風(fēng)險，但是工業(yè)互聯(lián)網(wǎng)企業(yè)遺留網(wǎng)絡(luò)安全風(fēng)險仍具有一定復(fù)雜性和動態(tài)性。為保證遺留風(fēng)險識別的準(zhǔn)確性，為保險責(zé)任提供詳細(xì)的數(shù)據(jù)支持，依托行業(yè)風(fēng)險態(tài)勢、攻擊面管理、成熟度評估以及網(wǎng)絡(luò)安全風(fēng)險量化等模型在投保前對被保企業(yè)進行遺留網(wǎng)絡(luò)安全風(fēng)險分析和評估。表

4.“元信任”網(wǎng)絡(luò)安全保險風(fēng)險評估模型模型名稱描述行業(yè)風(fēng)險態(tài)勢模型基于穆迪行業(yè)熱圖和風(fēng)險計算方式構(gòu)建，利用百萬級別企業(yè)信息進行分析，涵蓋《國民經(jīng)濟行業(yè)分類》劃分行業(yè)，分析系統(tǒng)角色重要性、數(shù)字化程度、安全水平、攻擊頻率等要素，輸出各行業(yè)風(fēng)險敞口大小、事件發(fā)生可能性及資產(chǎn)影響程度等結(jié)果。攻擊面管理模型成熟度評估模型對企業(yè)信息系統(tǒng)進行掃描，從

9

大維度和數(shù)百個安全指標(biāo)檢查暴露面，反映信息系統(tǒng)上的技術(shù)脆弱性，從外部分析網(wǎng)絡(luò)安全風(fēng)險水平。基于

NIST

的

CSF

框架、歐美成熟度評估模型構(gòu)建，利用層次分析法進行分析，分析識別、保護、檢測、響應(yīng)和恢復(fù)等要素，從內(nèi)部分析網(wǎng)絡(luò)安全風(fēng)險水平。風(fēng)險量化評估模型結(jié)合行業(yè)風(fēng)險態(tài)勢模型、攻擊面管理模型、成熟度評估模型的結(jié)果，根據(jù)網(wǎng)絡(luò)安全的整體宏觀態(tài)勢進行模擬，使用企業(yè)宏觀經(jīng)營數(shù)據(jù)量化攻擊概率、損失及風(fēng)險值，以貨幣化的形式呈現(xiàn)，更加直觀地反映網(wǎng)絡(luò)安全風(fēng)險水平。通過企業(yè)內(nèi)部的成熟度模型、外部的攻擊面管理模型進行立體透視分析，實戰(zhàn)模擬攻擊者視角的風(fēng)險量化模型與宏觀行業(yè)風(fēng)險態(tài)勢模型的結(jié)合，全面把控企業(yè)網(wǎng)絡(luò)安全風(fēng)險的真實狀況。網(wǎng)絡(luò)安全保險科技模型“元信任”網(wǎng)絡(luò)安全保險責(zé)任：“元信任”網(wǎng)絡(luò)安全保險方案涵蓋了七項責(zé)任，旨在全面補償因網(wǎng)絡(luò)安全事故造成的各項損失。具體保障責(zé)任如下：表

5.“元信任”網(wǎng)絡(luò)安全保險責(zé)任說明保險責(zé)任保險責(zé)任說明(1)

營業(yè)中斷損失因發(fā)生網(wǎng)絡(luò)安全事故，造成計算機系統(tǒng)全部或部分中斷，導(dǎo)致被保險人營業(yè)受到干擾或中斷，由此而產(chǎn)生的毛利潤損失。(2)

網(wǎng)絡(luò)勒索損失(3)

網(wǎng)絡(luò)詐騙損失被保險人因計算機系統(tǒng)遭受安全威脅造成的勒索損失。因第三方欺騙性濫用或操控被保險人計算機系統(tǒng)，第三方發(fā)出欺騙性電子指令或經(jīng)篡改的信息導(dǎo)致的網(wǎng)絡(luò)欺詐損失。(4)

網(wǎng)絡(luò)安全責(zé)任因網(wǎng)絡(luò)安全事故直接引起第三者非信息泄露的損失，依法應(yīng)由被保險24人承擔(dān)的經(jīng)濟賠償責(zé)任。(5)

保密責(zé)任被保險人由于疏忽或過失行為造成第三者的個人信息泄露或公司信息泄露，依法應(yīng)由被保險人承擔(dān)的經(jīng)濟賠償責(zé)任。(6)

事故響應(yīng)費用名譽恢復(fù)公關(guān)費用：被保險人因保險事故引發(fā)負(fù)面媒體事件所直接導(dǎo)致自身的聲譽損害，在公關(guān)期限內(nèi)為恢復(fù)被保險人的聲譽而聘請相關(guān)媒體提供服務(wù)的必要、合理的費用。通知費用：被保險人需要通知下列一方或多方所產(chǎn)生的費用①依法應(yīng)通知履行個人信息保護職責(zé)的部門；②主動通知數(shù)據(jù)被不當(dāng)泄露的個人或公司；③聘請第三方提供通知服務(wù)。監(jiān)測費用：被保險人因發(fā)生個人信息泄露，為用戶提供信用監(jiān)測、身份盜竊監(jiān)測、社交媒體監(jiān)測、信用凍結(jié)、欺詐預(yù)警服務(wù)或防欺詐軟件等所需的必要、合理的監(jiān)測費用。(7)

數(shù)據(jù)修復(fù)費用和被保險人因發(fā)生網(wǎng)絡(luò)安全事故，產(chǎn)生的與下述事項有關(guān)的合理、必要的費用：硬件改善費用①評估數(shù)據(jù)是否能夠恢復(fù)、重建或重新收集；②恢復(fù)、重建或重新收集數(shù)據(jù)；③從被保險人的計算機系統(tǒng)移除惡意軟件或程序；④被保險人安裝更加安全和更高效率版本的計算機系統(tǒng)而發(fā)生的必要的硬件改善費用?！霸湃巍本W(wǎng)絡(luò)安全保險特點：相對比行業(yè)已有基于傳統(tǒng)安全防護產(chǎn)品或安全服務(wù)的網(wǎng)絡(luò)安全保險，“元信任”網(wǎng)絡(luò)安全保險在面向工業(yè)互聯(lián)網(wǎng)企業(yè)提供全程全網(wǎng)的安全防護基礎(chǔ)上，還具備以下三大優(yōu)勢：一是更全面的保障，“元信任”網(wǎng)絡(luò)安全保險為工業(yè)互聯(lián)網(wǎng)企業(yè)在中國移動“元信任”安全解決方案保障之外附加保險金融補償方案，重點保障工業(yè)互聯(lián)網(wǎng)企業(yè)因網(wǎng)絡(luò)安全事件所造成的營業(yè)中斷、網(wǎng)絡(luò)安全勒索、網(wǎng)絡(luò)安全詐騙、網(wǎng)絡(luò)安全責(zé)任、保密責(zé)任、事故響應(yīng)費用、數(shù)據(jù)修復(fù)費用和硬件改善費用共計

7

個方面的損失。二是更可靠的守護，市場上常規(guī)網(wǎng)絡(luò)安全保險業(yè)務(wù)，被保企業(yè)客戶無法進行專業(yè)的風(fēng)險防護，面向不可預(yù)見、日益復(fù)雜的網(wǎng)絡(luò)安全攻擊態(tài)勢，全部依賴保險公司提供的網(wǎng)絡(luò)安全保險進行“兜底”承擔(dān)，以致保險金融方案與企業(yè)網(wǎng)絡(luò)安全需求形成對抗的局面。而在“元信任”網(wǎng)絡(luò)安全保險責(zé)任框架之下，被保企業(yè)不僅可25以享受中國移動全程全網(wǎng)的可靠防護，提升企業(yè)網(wǎng)絡(luò)安全風(fēng)險管理水平，被保企業(yè)也以更低的費率獲得更高的保額以及更加便捷的網(wǎng)絡(luò)安全保險投保流程。三是更多的增值服務(wù)，相較于市場上常規(guī)網(wǎng)絡(luò)安全保險業(yè)務(wù)，在“元信任”網(wǎng)絡(luò)安全保險可為被保企業(yè)提供保前、保中，保后全流程增值服務(wù)，如企業(yè)網(wǎng)絡(luò)信息系統(tǒng)安全風(fēng)險篩查、企業(yè)網(wǎng)絡(luò)信息系統(tǒng)安全成熟的評估、7x24

小時網(wǎng)絡(luò)安全風(fēng)險監(jiān)測、網(wǎng)絡(luò)安全風(fēng)險咨詢以及安全加固建議等系列增值服務(wù)。五、典型案例實踐（一）應(yīng)用簡介江蘇洋河酒廠股份有限公司（以下簡稱“洋河股份”）作為國家大型一類企業(yè)，總資產(chǎn)

638.11

億元，是行業(yè)內(nèi)擁有兩大“中國名酒”企業(yè)。洋河股份面向自身工作區(qū)內(nèi)數(shù)字化、智能化轉(zhuǎn)型安全需求，基于中國移動“元信任”安全解決方案，全面提升了自身云、網(wǎng)、端側(cè)與運營安全能力，強化了網(wǎng)絡(luò)安全風(fēng)險應(yīng)對能力，并依托“元信任”網(wǎng)絡(luò)安全保險對企業(yè)遺留風(fēng)險進行全面兜底。（二）安全需求在洋河股份擁抱

5G

和數(shù)智化轉(zhuǎn)型過程中，銷售渠道人員方面，洋河股份全國渠道網(wǎng)點超過

50

萬家，渠道人員超

100

萬，海量渠道身份管控難度大；5G

與工業(yè)場景融合方面，海量終端的接入、IT/OT

的融合，帶來了設(shè)備安全、應(yīng)用安全、數(shù)據(jù)安全等工業(yè)互聯(lián)網(wǎng)安全新挑戰(zhàn)；政府監(jiān)管方面，洋河股份作為地方頭部國企，不僅要滿足安全合規(guī)要求，平均每年還需參加國家級、省級、市級

3-4

次的攻防演習(xí)，以往缺乏長期專業(yè)的安全運營能力。26圖

7.洋河股份

5G+智慧工廠安全需求（三）安全方案在安全技術(shù)防護方面，重點引入“元信任”安全解決方案身份可信、數(shù)據(jù)可信、終端可信、運營可信等安全能力，實現(xiàn)對洋河股份海量渠道人員身份、接入終端、工業(yè)數(shù)據(jù)的安全管控及其整體網(wǎng)絡(luò)安全態(tài)勢的運營分析；在遺留安全風(fēng)險應(yīng)對方面，通過“元信任”網(wǎng)絡(luò)安全保險對自身殘余風(fēng)險進行兜底，保險的金融杠桿特性保障企業(yè)網(wǎng)絡(luò)信息資產(chǎn)安然無虞。圖

8.洋河股份

5G+智慧工廠“元信任”安全解決方案27（四）實施效果在安全技術(shù)防護成效方面，自

2023

年

3

月至

10

月期間，“元信任”安全解決方案已累計為洋河股份累計處理

1.5

萬條安全事件，攔截

2.6

萬次

SQL

注入、XSS

攻擊、代碼注入等惡意

Web

應(yīng)用攻擊，攔截

1.2

萬次非信任身份訪問；在遺留安全風(fēng)險應(yīng)對成效方面，全國首個"元信任"網(wǎng)絡(luò)安全保險保單（保單號：PLC9202332010000000001）以高金融杠桿兜底洋河股份在網(wǎng)絡(luò)安全事故響應(yīng)、網(wǎng)絡(luò)安全責(zé)任、保密責(zé)任、數(shù)據(jù)修復(fù)等方面可能造成的損失，通過“元信任”安全技術(shù)+保險金融的組合模式給予了洋河股份自身數(shù)字化安全轉(zhuǎn)型更大的信心。六、展望5G+工業(yè)互聯(lián)網(wǎng)的深度融合不僅促進企業(yè)數(shù)字化轉(zhuǎn)型，更是推動了產(chǎn)業(yè)升級和高質(zhì)量發(fā)展，為實現(xiàn)新型工業(yè)化的提供了強勁動力。面向未來，5G-A、5GRedCap、確定性網(wǎng)絡(luò)、通感一體的

5G

新技術(shù)將為工業(yè)互聯(lián)網(wǎng)低時延、可靠性網(wǎng)絡(luò)提供更好、更敏捷的網(wǎng)絡(luò)支持，安全作為

5G+工業(yè)互聯(lián)網(wǎng)的重要基石也將在政策支持、標(biāo)準(zhǔn)建設(shè)、防護模式上形成更加有利的局面。一是工業(yè)互聯(lián)網(wǎng)安全發(fā)展將持續(xù)得到國家政策大力支持。黨的二十大報告提出“統(tǒng)籌發(fā)展和安全”，《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和

2035

年遠(yuǎn)景目標(biāo)綱要》提出“積極穩(wěn)妥發(fā)展工業(yè)互聯(lián)網(wǎng)”，工信部《5G

全連接工廠建設(shè)指南》全文

12

次提到