工業(yè)互聯(lián)網(wǎng)安全架構白皮書V2.0

1

CONTENTS

01

工業(yè)互聯(lián)網(wǎng)安全的內涵與范疇···············4

02

工業(yè)互聯(lián)網(wǎng)安全需求···························6

2.1工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀與問題················6

2.2工業(yè)互聯(lián)網(wǎng)安全發(fā)展趨勢···················7

2.35G+工業(yè)互聯(lián)網(wǎng)安全亟需關注············10

03

目工業(yè)互聯(lián)網(wǎng)安全架構的定位與作用·······11

錄

04

工業(yè)互聯(lián)網(wǎng)安全總體架構····················13

4.1體系架構設計方法論·······················13

4.2體系架構設計原則··························13

4.3工業(yè)互聯(lián)網(wǎng)安全體系架構··················14

4.45G+工業(yè)互聯(lián)網(wǎng)安全參考架構············15

4.5工業(yè)互聯(lián)網(wǎng)安全+AI參考架構············16

05

安全業(yè)務視圖···································18

5.1總體業(yè)務視圖·······························19

5.2行業(yè)維度·····································20

5.3企業(yè)維度·····································21

5.4建設維度·····································21

5.5安全能力·····································21

3

09

安全標準··························································85

9.1工業(yè)安全國際標準·············································87

9.2工業(yè)安全國家標準·············································89

9.3云計算安全國際標準··········································89

9.4云計算安全國家標準··········································89

9.55G安全國際標準··············································90

06

安全功能視圖·································239.65G安全國家標準··············································90

6.1工業(yè)互聯(lián)網(wǎng)安全特殊性····················239.7AI安全國際標準···············································91

6.2總體功能視圖·····························259.8AI安全國家標準···············································94

6.3防護對象維度·····························25

6.4防護措施維度·····························27

6.5防護管理維度·····························3110

垂直行業(yè)應用實踐··············································94

10.1讓集團多工廠安全的網(wǎng)絡互聯(lián)以滿足個性化制造·········94

0710.2讓數(shù)字化采油更安全·········································105

安全實施視圖·································3310.35G+智能制造安全解決方案································111

7.1安全實施總體框架··························33

10.2智能電網(wǎng)安全+AI解決方案································117

7.2邊緣安全防護系統(tǒng)實施·····················34

7.3企業(yè)安全防護系統(tǒng)實施·····················39

7.4企業(yè)安全管理平臺實施····················42

7.5省/行業(yè)級安全平臺實施···················4511

工業(yè)互聯(lián)網(wǎng)安全發(fā)展展望····································124

7.6國家級安全平臺實施························46

0812

安全技術視圖·································47關于六方云·····················································125

8.1安全技術體系總覽··························4712.1六方云新一代工業(yè)互聯(lián)網(wǎng)安全體系·························126

8.25G+工業(yè)互聯(lián)網(wǎng)安全·······················4912.2六方云5+1工業(yè)互聯(lián)網(wǎng)安全產品體系······················126

8.3工業(yè)互聯(lián)網(wǎng)安全+AI························67參考資料··································································127

4

01

工業(yè)互聯(lián)網(wǎng)安全的內涵與范疇

面對第四次工業(yè)革命與新一輪數(shù)字化浪潮，全球領先國家無不將制造業(yè)

數(shù)字化作為強化本國未來產業(yè)競爭力的戰(zhàn)略方向。眾多國家在推進制造業(yè)數(shù)

字化的過程中，都提出了工業(yè)數(shù)字化革命的參考架構，如德國推出工業(yè)4.0

參考架構RAMI4.0、美國推出工業(yè)互聯(lián)網(wǎng)參考架構IIRA、日本推出工業(yè)價

值鏈參考架構IVRA，其核心目的是以參考架構來凝聚產業(yè)共識與各方力量，

指導技術創(chuàng)新和研發(fā)產品解決方案，引導制造企業(yè)開展應用探索與實踐，并

組織標準體系建設與標準制定，從而推動一個創(chuàng)新型領域從概念走向落地。

六方云2015年，中國提出了《中國制造2025》戰(zhàn)略，總體思路是堅持走中國

特色新型工業(yè)化道路，促進制造業(yè)創(chuàng)新發(fā)展，提質增效，加快新一代信息技

術與制造業(yè)融合，推進智能制造，滿足經(jīng)濟社會發(fā)展和國防建設對重大技術

裝備需求，通過“三步走”實現(xiàn)制造強國的戰(zhàn)略目標。

在新一代信息技術與制造技術深度融合的背景下，在工業(yè)數(shù)字化、網(wǎng)絡

化、智能化轉型需求的帶動下，以泛在互聯(lián)、全面感知、智能優(yōu)化、安全穩(wěn)

固為特征的工業(yè)互聯(lián)網(wǎng)應運而生。工業(yè)互聯(lián)網(wǎng)作為全新工業(yè)生態(tài)、關鍵基礎

設施和新型應用模式，通過人、機、物的全面互聯(lián)，實現(xiàn)人、物品、機器、

車間、企業(yè)等全要素以及設計、研發(fā)、生產、管理、服務等全產業(yè)鏈各環(huán)節(jié)

的泛在互聯(lián)。為縮短產品上市周期的產品價值鏈，提高生產率的業(yè)務價值鏈，

提升業(yè)務靈活性的資產價值鏈等全價值鏈的全面連接，工業(yè)互聯(lián)網(wǎng)正在全球

范圍內不斷顛覆傳統(tǒng)制造模式、生產組織方式和產業(yè)形態(tài)，推動傳統(tǒng)產業(yè)加

快轉型升級、新興產業(yè)加速發(fā)展壯大。因此，工業(yè)互聯(lián)網(wǎng)是實體經(jīng)濟數(shù)字化

轉型的關鍵支撐，也是實現(xiàn)工業(yè)革命的重要基石。

工業(yè)互聯(lián)網(wǎng)安全的內涵與范疇5

2017年11月27日，國務院發(fā)布了《關于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見》，提出

要加快發(fā)展工業(yè)互聯(lián)網(wǎng)，構建網(wǎng)絡、平臺、安全三大功能體系，強化工業(yè)互聯(lián)網(wǎng)安全保障，突出強調了工業(yè)互聯(lián)網(wǎng)

安全的基礎性和戰(zhàn)略性地位，為今后我國工業(yè)互聯(lián)網(wǎng)安全工作制定了時間表和路線圖，根據(jù)國務院發(fā)布的《指導意

見》，工業(yè)互聯(lián)網(wǎng)包括網(wǎng)絡、平臺和安全三大體系，網(wǎng)絡體系是基礎，平臺體系是核心，安全體系是保障。

工業(yè)互聯(lián)網(wǎng)三大核心要素包括智能設備、智能系統(tǒng)、智能決策。（1）智能設備：安裝了各種傳感器，能夠收集

生產過程中產生的數(shù)據(jù)；（2）智能系統(tǒng)：包括許多傳統(tǒng)的網(wǎng)絡系統(tǒng)，同時也包括在機隊和網(wǎng)絡間廣泛部署且內置

軟件的機械裝置的組合，隨著加入工業(yè)互聯(lián)網(wǎng)的機床和設備增加，機械裝置在機隊和網(wǎng)絡間的協(xié)同效應就可以實現(xiàn)。

智能系統(tǒng)需具備四大特征：網(wǎng)絡協(xié)同、更優(yōu)維修、智能恢復和智能學習；（3）智能決策：是工業(yè)互聯(lián)網(wǎng)的長期愿景，

它是工業(yè)互聯(lián)網(wǎng)的元素按設備、按系統(tǒng)組合的過程中所收集知識的頂點。

工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡體系將連接對象延伸到機器設備、工業(yè)產品和工業(yè)服務中，以實現(xiàn)人、機器、車間、企業(yè)等

主體在設計、研發(fā)、生產、管理、服務等產業(yè)鏈各環(huán)節(jié)的全要素的泛在互聯(lián)及數(shù)據(jù)的順暢流通，從而形成工業(yè)智能

化的“血液循環(huán)系統(tǒng)”。工業(yè)互聯(lián)網(wǎng)平臺是工業(yè)互聯(lián)網(wǎng)三大核心要素之一的智能決策的承載者，是工業(yè)全要素鏈接

的樞紐與工業(yè)資源配置的核心，在工業(yè)互聯(lián)網(wǎng)體系架構中具有至關重要的地位。目前工業(yè)互聯(lián)網(wǎng)平臺的發(fā)展正處于

規(guī)?；瘮U張期，以美、德為代表的世界主要國家紛紛將工業(yè)互聯(lián)網(wǎng)平臺作為戰(zhàn)略重點，各國領軍企業(yè)通過發(fā)展工業(yè)

互聯(lián)網(wǎng)平臺，不斷鞏固和強化他們在制造業(yè)的地位。工業(yè)互聯(lián)網(wǎng)安全是工業(yè)信息安全的核心，直接決定工業(yè)生產安全，

更關乎經(jīng)濟發(fā)展、社會穩(wěn)定乃至國家安全。工業(yè)互聯(lián)網(wǎng)安全從三大核心要素的角度來看，包括智能設備安全、智能

系統(tǒng)安全和智能決策安全，其中智能決策安全主要體現(xiàn)在工業(yè)互聯(lián)網(wǎng)平臺安全。

在“工業(yè)4.0”及《中國制造2025》的大潮下，工業(yè)控制系統(tǒng)正朝著高度信息化方向發(fā)展，越來越多的工控系

統(tǒng)及設備接入互聯(lián)網(wǎng)，讓更多的網(wǎng)絡攻擊手段有了可乘之機，網(wǎng)絡空間的安全問題開始延伸到工控系統(tǒng)中，工業(yè)互

聯(lián)網(wǎng)安全是工業(yè)互聯(lián)網(wǎng)業(yè)務目標達成、功能正常運行、建設順利實施的重要保障。

新一代信息技術在加速信息化與工業(yè)化深度融合發(fā)展的同時，也帶來了日趨嚴峻的信息安全問題。工業(yè)信息化、

自動化、網(wǎng)絡化、智能化等基礎設施是工業(yè)的核心組成部分，是工業(yè)各行業(yè)、企業(yè)的神經(jīng)中樞，工業(yè)互聯(lián)網(wǎng)安全的

核心任務就是要確保這些工業(yè)神經(jīng)中樞的安全。工業(yè)互聯(lián)網(wǎng)安全事關經(jīng)濟發(fā)展、社會穩(wěn)定和國家安全，是網(wǎng)絡安全

的重要組成。

從內容來看，工業(yè)互聯(lián)網(wǎng)安全涉及工業(yè)領域各個環(huán)節(jié)，包括工業(yè)控制系統(tǒng)信息安全（簡稱工控安全）、工業(yè)大

數(shù)據(jù)安全、工業(yè)云安全、工業(yè)電子商務安全等內容。

隨著IT與OT加速融合一體化，工業(yè)互聯(lián)網(wǎng)的快速發(fā)展為工業(yè)信息系統(tǒng)的整體安全防護帶來更大的挑戰(zhàn)。目前，

工業(yè)互聯(lián)網(wǎng)平臺安全、工業(yè)網(wǎng)絡基礎設施安全、工業(yè)數(shù)據(jù)安全以及IT/OT的融合安全等領域的技術研究和產品應用

均處于起步階段，但隨著防護對象保障需求的變化，工業(yè)信息安全產業(yè)的邊界也將不斷延伸擴展。六方云

6工業(yè)互聯(lián)網(wǎng)安全的內涵與范疇

02

工業(yè)互聯(lián)網(wǎng)安全需求

2.1工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀與問題

當前，工業(yè)系統(tǒng)安全保障體系建設已較為完備，伴隨新一代信息通信技

術與工業(yè)經(jīng)濟的深度融合，工業(yè)互聯(lián)網(wǎng)步入深耕落地階段，工業(yè)互聯(lián)網(wǎng)安全

保障體系建設的重要性越發(fā)凸顯。世界各主要發(fā)達國家均高度重視工業(yè)互聯(lián)

網(wǎng)的發(fā)展，并將安全放在了突出位置，發(fā)布了一系列指導文件和規(guī)范指南，

為工業(yè)互聯(lián)網(wǎng)相關企業(yè)部署安全防護提供了可借鑒的模式，從一定程度上保

障了工業(yè)互聯(lián)網(wǎng)的健康有序發(fā)展，但隨著工業(yè)互聯(lián)網(wǎng)安全攻擊日益呈現(xiàn)出的

六方云新型化、多樣化、復雜化，現(xiàn)有的工業(yè)互聯(lián)網(wǎng)安全保障體系還不夠完善，暴

露出一些問題：

?數(shù)據(jù)隱私和數(shù)據(jù)安全防護缺乏有效手段

工業(yè)互聯(lián)網(wǎng)平臺采集、存儲和利用的數(shù)據(jù)資源存在數(shù)據(jù)體量大、種類多、

關聯(lián)性強、價值分布不均等特點，數(shù)據(jù)隱私與安全主要關注：

（1）數(shù)據(jù)包含了敏感或個人隱私信息，因此數(shù)據(jù)在價值挖掘使用和發(fā)

布的場景中可能會給個人、第三方和國家?guī)砦：蛽p失，因此對隱私和重

要數(shù)據(jù)的處理、使用、操作、發(fā)布、交換等生產流通環(huán)節(jié)都有安全與合規(guī)的

要求；

（2）數(shù)據(jù)需要多方的多維度融合才能創(chuàng)造價值，但往往每方都有自己

數(shù)據(jù)的產權保護、個人數(shù)據(jù)和重要數(shù)據(jù)的合規(guī)責任，因此需要更安全的數(shù)據(jù)

融合環(huán)境；

（3）生產數(shù)據(jù)的每個環(huán)節(jié)需要相應的安全控制。工業(yè)互聯(lián)網(wǎng)要健康、

工業(yè)互聯(lián)網(wǎng)安全需求7

順利地發(fā)展，首要要解決企業(yè)對數(shù)據(jù)和隱私的擔憂。

?OT與IT兩個領域人員融合較慢，安全意識亟需提升

工業(yè)現(xiàn)場缺乏信息安全專家，對工業(yè)系統(tǒng)的信息安全關注度和重視度都不高，信息安全專家在面對生產優(yōu)先的

工業(yè)系統(tǒng)往往束手無策、畏手畏腳。大部分工業(yè)互聯(lián)網(wǎng)相關企業(yè)重發(fā)展輕安全，對網(wǎng)絡安全風險認識不足。此外，

很多智能工廠內部未部署安全控制器、安全開關、安全光幕、報警裝置、防爆產品等，并缺乏針對性的工業(yè)生產安

全意識培訓和操作流程規(guī)范，使得人身安全難以得到保證。

?工業(yè)信息安全存在先天不足，安全防護能力難以快速提升

工控系統(tǒng)和設備在設計之初缺乏安全考慮，自身計算資源和存儲空間有限，大部分不能支持復雜的安全防護策略，

很難確保系統(tǒng)和設備的安全可靠。同時，當前專業(yè)工業(yè)信息安全企業(yè)和解決方案較少，工業(yè)企業(yè)風險發(fā)現(xiàn)、應急處

置等網(wǎng)絡安全防護能力普遍較弱。同時，工業(yè)生產迭代周期長，安全防護部署滯后整體水平低，存量設備難以快速

進行安全防護升級換代，整體安全防護能力提升時間長。

2.2工業(yè)互聯(lián)網(wǎng)安全發(fā)展趨勢

總體趨勢：傳統(tǒng)的安全防御技術已無法抗衡新的安全威脅，防護理念將從被動防護轉向主動防御。

?融合安全技術成為OT與IT融合趨勢下的必然選擇

工業(yè)互聯(lián)網(wǎng)是滿足工業(yè)智能化發(fā)展需求，具有低時延、高可靠、廣覆蓋特點的關鍵網(wǎng)絡基礎設施，是新一代信

息通信技術與先進制造業(yè)深度融合所形成的新興業(yè)態(tài)與應用模式。

工業(yè)控制系統(tǒng)面臨安全事件危害范圍擴大、危害程度加深、信息安全與功能安全問題交織等安全風險；控制環(huán)

境方面表現(xiàn)為信息技術（IT）與操作技術（OT）融合，控制網(wǎng)絡由封閉走向開放；控制布局方面表現(xiàn)為控制范圍

從局部擴展至全局，并伴隨著控制監(jiān)測上移與實時控制下移。

工業(yè)互聯(lián)網(wǎng)安全所采用的技術必須具備IT安全、OT安全、IT與OT融合安全技術(工業(yè)VPN、工業(yè)NAT、

工業(yè)入侵檢測、工控網(wǎng)絡接入控制、無需依賴外部特征庫的AI智能分析與檢測)等才能夠滿足工業(yè)互聯(lián)網(wǎng)安全建

設目標，從而使得工業(yè)防護系統(tǒng)既防護OT內部威脅，也防護IT外部威脅。

?工業(yè)互聯(lián)網(wǎng)未知威脅防范成為難點

新基建筑牢基礎并加速工業(yè)數(shù)字化轉型，強化工業(yè)互聯(lián)網(wǎng)建設、催生5G/IOT等新場景機會。數(shù)字化轉型時代，

經(jīng)濟利益驅動網(wǎng)絡攻擊不斷升級，關鍵基礎設施和工業(yè)互聯(lián)網(wǎng)保護面臨更大挑戰(zhàn)。

首先，超大規(guī)模泄露已趨于常態(tài)化。據(jù)報道“每月上億條信息泄露，涉及政府數(shù)據(jù)、醫(yī)療信息、賬戶憑證、企

業(yè)用戶信息等敏感數(shù)據(jù)，平均數(shù)據(jù)泄露成本高達392萬美元”。

其次，勒索軟件手段升級、加大賭注。勒索軟件轉向有針對性威脅，80%六方云的攻擊針對企業(yè)，其中68%的要錢，

并演進為兩階段攻擊。攻擊目標從盲目感染到針對財務/ERP等高價值資產，手段從釣魚方式投遞到利用APT高危

漏洞，套現(xiàn)方式變?yōu)橄仍诨ヂ?lián)網(wǎng)部分公開竊取數(shù)據(jù)催繳贖金，獲取贖金后，繼續(xù)販賣竊取的信息。

最后，關鍵基礎設施面臨更大的風險。90%的受訪企業(yè)在過去兩年遭遇過網(wǎng)絡攻擊，其中一半的網(wǎng)絡攻擊造成

關鍵基礎設施的“停轉”。

0Day漏洞依然是最有效的攻擊工具，一些組織依然不計成本來購買并自己挖掘0Day漏洞來進行攻擊，針對

0Day漏洞的網(wǎng)絡流量入侵，惡意文件攻擊檢測成為關鍵。

（1）APT主要利用未公開的漏洞，來繞過基于已知特征的IPS防御。根據(jù)美國Rand國家智庫2018年的報道：

在7.6萬CVE漏洞中，未公開的漏洞利用工具占87.2%，貢獻了50%的攻擊事件。由于獲得和開發(fā)漏洞利用工具

的成本高，這些未公開的漏洞利用工具主要用于具備高攻擊價值的目標。而這些未公開的利用漏洞利用工具都沒有

IPS簽名特征，可直接穿透IPS設備。

（2）海量惡意軟件變異頻繁，無法準確檢測。據(jù)報道，互聯(lián)網(wǎng)上大約每天33萬、全年1.2億個惡意軟件變種，

安全分析人員無法分析海量惡意樣本，導致大部分惡意變種都不能檢測出來。

（3）黑客也利用AI來發(fā)起高效攻擊。美國安全企業(yè)ZeroFOX公司于2017年發(fā)起了一項實驗，希望測試AI

8工業(yè)互聯(lián)網(wǎng)安全需求

在發(fā)動網(wǎng)絡釣魚攻擊方面是否比人類更為擅長。該公司利用AI發(fā)起魚叉式釣魚，AI攻擊機器監(jiān)控社交媒體上的用

戶行為，而后創(chuàng)建并發(fā)布自己的釣魚誘餌，以6.75條/分鐘的速度向800多名用戶發(fā)送魚叉式釣魚推文，快速引

誘到275名受害者。人類攻擊者則以1.075條/分鐘的速度發(fā)送推文，且這種方式僅吸引到49名用戶。AI攻擊成

功率可達到人類攻擊者的6倍，傳統(tǒng)安全防護技術顯得力不從心。

在實現(xiàn)態(tài)勢感知的過程中，對采集的大量安全數(shù)據(jù)如何進行分析，發(fā)現(xiàn)潛在風險一直是個難點，尤其是面對工

業(yè)互聯(lián)網(wǎng)平臺復雜的架構。面對這一難題，應當引入目前已經(jīng)逐漸成熟的機器學習技術，通過AI的助力去認知網(wǎng)絡、

學習現(xiàn)狀、總結風險，從而將主動防御這一目標落實，實現(xiàn)更高的安全防護水平。

?云平臺成為安全防護的重點

未來制造系統(tǒng)將呈現(xiàn)扁平化特征，傳統(tǒng)以ISA-95為代表的“金字塔”體系結構被逐漸打破，ERP、MES、

PLM等處于不同層次的管理功能基于平臺實現(xiàn)集成融合應用，工業(yè)互聯(lián)網(wǎng)平臺將成為未來制造系統(tǒng)的中樞與核心

環(huán)節(jié)。借助平臺提供的數(shù)據(jù)流暢傳遞和業(yè)務高效協(xié)同能力，能夠第一時間將生產現(xiàn)場數(shù)據(jù)反饋到管理系統(tǒng)進行精準

決策，也能夠及時將管理決策指令傳遞到生產現(xiàn)場進行執(zhí)行，通過高效、直接的扁平化管理實現(xiàn)制造效率的全面提升。

平臺作為工業(yè)互聯(lián)網(wǎng)的核心，匯聚了各類工業(yè)資源，因而在未來的防護中，對于平臺的安全防護將備受重視。

平臺使用者與提供商之間的安全認證、設備和行為的識別、敏感數(shù)據(jù)的共享等安全技術將成為剛需。

當前工業(yè)互聯(lián)網(wǎng)平臺主要采用云計算和大數(shù)據(jù)技術搭建而成，針對云平臺的保護顯得尤為重要。企業(yè)工業(yè)互聯(lián)

網(wǎng)云平臺有如下安全風險或難題需要解決：

（1）云內更多東西訪問，邊界防護失效:缺乏威脅隔離機制，網(wǎng)絡威脅一旦進入云平臺內部，可以肆意橫向蔓延；

（2）流量流向不可視：用戶無法直觀感受到虛機之間數(shù)據(jù)流量大小、流向變化；

（3）威脅態(tài)勢無感知，虛擬層漏洞不易修復：云內主機成倍增加，橫向訪問占據(jù)80%以上，安全態(tài)勢難以全

局掌控；

（4）安全策略調整不靈活：云內IP地址動態(tài)分配、虛機遷移隨時發(fā)生，安全策略需自動跟隨；

（5）網(wǎng)絡邊界消失，硬件設備無法部署：虛機位置不確定、IP地址動態(tài)分配、VLAN隔離方式太復雜，業(yè)務

區(qū)域邊界不確定；

（6）關鍵數(shù)據(jù)被竊?。合噍^于外部攻擊，惡意的內部人員造成的危害風險更大，而缺乏相關審計措施。

?內生安全防御和補償式安全防御將長期并存

內生安全防御通常在設備層面通過對設備芯片與操作系統(tǒng)進行安全加固，并對設備配置進行優(yōu)化的方式實現(xiàn)應

用程序脆弱性分析?？赏ㄟ^引入漏洞挖掘技術，對工業(yè)互聯(lián)網(wǎng)應用及控制系統(tǒng)采取靜態(tài)挖掘、動態(tài)挖掘，實現(xiàn)對自

身隱患的常態(tài)化排查；各類通信協(xié)議安全保障機制可在新版本協(xié)議中加入數(shù)據(jù)加密、身份驗證、訪問控制等機制提

升其安全性。

但另一方面，工業(yè)現(xiàn)場還存在大量的不安全控制協(xié)議、不安全的工業(yè)設備、不可靠的工控網(wǎng)絡、不安全的工業(yè)六方云

軟件等，而更新這些系統(tǒng)又顯得不現(xiàn)實，而且周期特別長，同時完全采用內生安全防御方式，在某些情況下并非經(jīng)

濟高效，所以采用類似網(wǎng)關的補充式安全防御也非常必要。

?工業(yè)互聯(lián)網(wǎng)安全防護自動化與智能化將不斷發(fā)展

國務院關于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見中支持，工業(yè)互聯(lián)網(wǎng)通過系統(tǒng)構建網(wǎng)絡、

平臺、安全三大功能體系，向數(shù)字化、網(wǎng)絡化和智能化轉型，形成智能化發(fā)展的新興業(yè)態(tài)和應用模式。在“工業(yè)互

聯(lián)網(wǎng)+安全生產”新型基礎設施三大體系中，網(wǎng)絡是基礎，平臺是核心，安全是保障。

工業(yè)互聯(lián)網(wǎng)攻擊專業(yè)化、行為國家化、波及關聯(lián)嚴重，具有攻擊手段高、攻擊24小時持續(xù)不間斷、攻擊對象

種類多等特點，對安全防護人員和技術提出更高的要求，對日益復雜、APT頻發(fā)、花樣百出的安全威脅，亟需提出

智能化安全防御方法。

因此，未來對于工業(yè)互聯(lián)網(wǎng)安全防護的思維模式將從傳統(tǒng)的事件響應式向持續(xù)智能響應式轉變，通過自適應、

自學習、自動化改進，構建全面的預測、基礎防護、響應和恢復能力，抵御不斷演變的高級威脅。工業(yè)互聯(lián)網(wǎng)安全

架構的重心也將從被動防護向持續(xù)普遍性的監(jiān)測響應及自動化、智能化的安全防護轉移，從而構建智能化安全的體

工業(yè)互聯(lián)網(wǎng)安全需求9

系架構，為我國工業(yè)互聯(lián)網(wǎng)戰(zhàn)略發(fā)展提供安全支撐。

?對大數(shù)據(jù)的保護將成為防護熱點

工業(yè)大數(shù)據(jù)的不斷發(fā)展，對數(shù)據(jù)分類分級保護、審計和流動追溯、大數(shù)據(jù)分析價值保護、用戶隱私保護等提出

了更高的要求。未來對于數(shù)據(jù)的分類分級保護以及審計和流動追溯將成為防護熱點。

首先是應用數(shù)據(jù)領域的安全解決方案。簡單講就是web應用DLP+應用數(shù)據(jù)對象的安全管理。前者用于發(fā)現(xiàn)

在各種內部業(yè)務人員、外包人員（如客服）、合作伙伴（如加盟網(wǎng)店）必須使用敏感數(shù)據(jù)的場景下，由這些已經(jīng)有

權限訪問敏感數(shù)據(jù)的人員或主機發(fā)起的數(shù)據(jù)濫用、數(shù)據(jù)竊取的風險，并能針對泄露事件快速溯源定位到可疑對象，

從而建立起威懾能力；后者則用于對應用系統(tǒng)上流動的敏感數(shù)據(jù)類型、數(shù)量、數(shù)據(jù)載體、涉敏數(shù)據(jù)接口、暴露面、

數(shù)據(jù)流向、訪問者、操作行為多個對象進行識別，監(jiān)控狀態(tài)變化、分析變化影響和異常分析，以提供給數(shù)據(jù)安全管

理人員感知企業(yè)數(shù)據(jù)在業(yè)務層的流動態(tài)勢并輔助進行風險評估。

其次是大數(shù)據(jù)平臺安全方案。簡單講就是針對大數(shù)據(jù)平臺（Hadoop以及相關組件）的4A（帳號、認證、授權、

審計）+數(shù)據(jù)運維和分析的安全管理。前者提供如賬號映射（開源大數(shù)據(jù)平臺不支持LDAP）、細粒度權限（可以

對表的字段級進行控制）、高危操作識別和攔截、審計等能力，給數(shù)據(jù)運維和分析場景提供更安全可靠的環(huán)境。后

者則對用于對數(shù)據(jù)庫和大數(shù)據(jù)平臺及其組件上流動的敏感數(shù)據(jù)類型、數(shù)量、導入和分發(fā)數(shù)據(jù)載體/模型、數(shù)據(jù)流向、

訪問者、操作行為多個對象進行識別，監(jiān)控狀態(tài)變化、分析變化影響和異常，以提供給數(shù)據(jù)安全管理人員全面感知

企業(yè)數(shù)據(jù)在運維和分析場景的流動態(tài)勢并輔助進行風險評估。

再次是數(shù)據(jù)地圖。主要圍繞隱私合規(guī)要求，梳理和識別隱私數(shù)據(jù)做分類分級、隱私數(shù)據(jù)的數(shù)據(jù)流（采集點、存

儲地域、使用系統(tǒng)和用途、外流去向）、分析隱私數(shù)據(jù)的授權信息，并按數(shù)據(jù)主體匯集數(shù)據(jù)，以提供數(shù)據(jù)主體權利

的支持（這些均是滿足GDPR、個人信息安全規(guī)范合規(guī)要求的點）。

?工業(yè)互聯(lián)網(wǎng)安全態(tài)勢監(jiān)測與感知將成為重要技術手段

借助人工智能、大數(shù)據(jù)分析以及邊緣計算等技術，基于協(xié)議深度解析及事件關聯(lián)分析機制，分析工業(yè)互聯(lián)網(wǎng)當

前運行狀態(tài)并預判未來安全走勢，實現(xiàn)對工業(yè)互聯(lián)網(wǎng)安全的全局掌控，并在出現(xiàn)安全威脅時通過網(wǎng)絡中各類設備的

協(xié)同聯(lián)動機制及時進行抑制，阻止安全威脅的繼續(xù)蔓延。

?5G+工業(yè)互聯(lián)網(wǎng)應用及安全保障成為國家戰(zhàn)略發(fā)展重點

5G具備大帶寬、低時延、海量連接的網(wǎng)絡特性，能夠提供端到端毫秒級時延和接近100%的高可靠性通信保障，

能夠滿足工業(yè)大數(shù)據(jù)無線傳輸和工業(yè)領域大量即時處理的需求。

在國家大力推動5G全面協(xié)同發(fā)展的指導方針和行動計劃下，作為賦能5G應用重點領域的5G+工業(yè)互聯(lián)網(wǎng)將

深化行業(yè)融合應用，包括推進5G模組與AR/VR、遠程操控設備、機器視覺、AGV等工業(yè)終端的深度融合，加快

利用5G改造工業(yè)內網(wǎng)，打造5G全連接工業(yè)示范標桿，形成信息技術網(wǎng)絡與生產控制網(wǎng)絡融合的網(wǎng)絡部署模式，

推動“5G+工業(yè)互聯(lián)網(wǎng)”服務于生產核心環(huán)節(jié)。圍繞研發(fā)設計、生產制造、運營管理、產品服務等環(huán)節(jié)，聚焦“5G+六方云

工業(yè)互聯(lián)網(wǎng)”發(fā)展重點行業(yè)，打造典型應用場景，持續(xù)開展“5G+工業(yè)互聯(lián)網(wǎng)”試點示范，支持5G在智能制造領

域的深化應用，鼓勵建設“5G+工業(yè)互聯(lián)網(wǎng)”融合應用先導區(qū)，拓展5G應用領域等。

國家《5G應用“揚帆”行動計劃（2021-2023年）》（下稱“行動計劃”）的總體目標是到2023年，在垂直

行業(yè)領域，大型工業(yè)企業(yè)的5G應用滲透率超過35%，電力、采礦等領域5G應用實現(xiàn)規(guī)?；瘡椭仆茝V。與此同時，

隨著5G的大規(guī)模應用，網(wǎng)絡安全也面臨更大的挑戰(zhàn)，需要顯著增強關鍵基礎支撐能力，進一步提升5G應用安全

保障能力。《行動計劃》中計劃到2023年底，打造10-20個5G應用安全創(chuàng)新示范中心，樹立3-5個區(qū)域示范標桿，

基本形成與5G應用發(fā)展相適應的安全保障體系。具體措施包括：

第一，加強5G應用安全風險評估。

構建5G應用安全風險全生命周期安全管理機制，指導企業(yè)將5G應用安全風險評估機制納入5G應用研發(fā)推廣

工作流程，同步規(guī)劃建設運行安全管理和技術措施，并與5G應用同步實施。做好5G應用及關鍵信息基礎設施監(jiān)

督檢查，提升5G應用安全水平。

第二，開展5G應用安全示范推廣。

鼓勵各地方和企業(yè)打造5G應用安全創(chuàng)新示范中心，研發(fā)標準化、模塊化、可復制、易推廣的5G應用安全解

10工業(yè)互聯(lián)網(wǎng)安全需求

決方案，開展5G網(wǎng)絡安全技術應用試點示范和推廣應用，推動最佳實踐在工業(yè)、能源、交通、醫(yī)療等重點行業(yè)頭

部企業(yè)落地普及。在5G應用中推廣使用商用密碼，做好密碼應用安全性評估。

第三，提升5G應用安全評測認證能力。

支持與國際接軌的5G安全評測機構建設，構建5G應用與網(wǎng)絡基礎設施安全評價體系，開展5G應用與基礎設

施安全評測和能力認證。

第四，強化5G應用安全供給支撐服務。

支持5G安全科技創(chuàng)新與核心技術轉化，加強5G安全服務模式創(chuàng)新，推動5G安全技術合作和能力共享，鼓勵

跨行業(yè)、跨領域制定融合應用場景安全服務方案。加強5G網(wǎng)絡安全威脅信息發(fā)現(xiàn)共享與協(xié)同處置。

2.35G+工業(yè)互聯(lián)網(wǎng)安全亟需關注

中國信通院提出“5G+工業(yè)互聯(lián)網(wǎng)”發(fā)展指數(shù)模型，從發(fā)展環(huán)境、基礎設施、產業(yè)生態(tài)、創(chuàng)新突破四個維度總

結5G+工業(yè)互聯(lián)網(wǎng)發(fā)展趨勢。同理，也可以從這個維度來看5G+工業(yè)互聯(lián)網(wǎng)安全發(fā)展趨勢。

工業(yè)互聯(lián)網(wǎng)是中國制造強國戰(zhàn)略的核心支撐，5G是中國網(wǎng)絡強國戰(zhàn)略的核心支撐，因此5G+工業(yè)互聯(lián)網(wǎng)成為

中國兩大強國戰(zhàn)略的堅強支撐。

5G具備大帶寬、低時延、海量連接的網(wǎng)絡特性，能夠提供端到端毫秒級時延和接近100%的高可靠性通信保障，

能夠滿足工業(yè)大數(shù)據(jù)無線傳輸和工業(yè)領域大量即時處理的需求。

據(jù)統(tǒng)計，2020年全國5G基站建設近70萬個，應用于工業(yè)互聯(lián)網(wǎng)的5G基站共有3.2萬個。在國家大力推動

5G全面協(xié)同發(fā)展的指導方針和行動計劃下，作為賦能5G應用重點領域的5G+工業(yè)互聯(lián)網(wǎng)將深化行業(yè)融合應用，

包括推進5G模組與AR/VR、遠程操控設備、機器視覺、AGV等工業(yè)終端的深度融合，加快利用5G改造工業(yè)內網(wǎng)，

打造5G全連接工業(yè)示范標桿，形成信息技術網(wǎng)絡與生產控制網(wǎng)絡融合的網(wǎng)絡部署模式，推動“5G+工業(yè)互聯(lián)網(wǎng)”

服務于生產核心環(huán)節(jié)。圍繞研發(fā)設計、生產制造、運營管理、產品服務等環(huán)節(jié)，聚焦“5G+工業(yè)互聯(lián)網(wǎng)”發(fā)展重點

行業(yè)，打造典型應用場景，持續(xù)開展“5G+工業(yè)互聯(lián)網(wǎng)”試點示范，支持5G在智能制造領域的深化應用，鼓勵建

設“5G+工業(yè)互聯(lián)網(wǎng)”融合應用先導區(qū)，拓展5G應用領域等。

國家《5G應用“揚帆”行動計劃（2021-2023年）》（下稱“行動計劃”）的總體目標是到2023年，在垂直

行業(yè)領域，大型工業(yè)企業(yè)的5G應用滲透率超過35%，電力、采礦等領域5G應用實現(xiàn)規(guī)?；瘡椭仆茝V。與此同時，

隨著5G的大規(guī)模應用，網(wǎng)絡安全也面臨更大的挑戰(zhàn)，需要顯著增強關鍵基礎支撐能力，進一步提升5G應用安全

保障能力?！缎袆佑媱潯分杏媱澋?023年底，打造10-20個5G應用安全創(chuàng)新示范中心，樹立3-5個區(qū)域示范標桿，

基本形成與5G應用發(fā)展相適應的安全保障體系。具體措施包括：

第一，加強5G應用安全風險評估。

構建5G應用安全風險全生命周期安全管理機制，指導企業(yè)將5G應用安全風險評估機制納入5G應用研發(fā)推廣

工作流程，同步規(guī)劃建設運行安全管理和技術措施，并與六方云5G應用同步實施。做好5G應用及關鍵信息基礎設施監(jiān)

督檢查，提升5G應用安全水平。

第二，開展5G應用安全示范推廣。

鼓勵各地方和企業(yè)打造5G應用安全創(chuàng)新示范中心，研發(fā)標準化、模塊化、可復制、易推廣的5G應用安全解

決方案，開展5G網(wǎng)絡安全技術應用試點示范和推廣應用，推動最佳實踐在工業(yè)、能源、交通、醫(yī)療等重點行業(yè)頭

部企業(yè)落地普及。在5G應用中推廣使用商用密碼，做好密碼應用安全性評估。

第三，提升5G應用安全評測認證能力。

支持與國際接軌的5G安全評測機構建設，構建5G應用與網(wǎng)絡基礎設施安全評價體系，開展5G應用與基礎設

施安全評測和能力認證。

第四，強化5G應用安全供給支撐服務。

支持5G安全科技創(chuàng)新與核心技術轉化，加強5G安全服務模式創(chuàng)新，推動5G安全技術合作和能力共享，鼓勵

跨行業(yè)、跨領域制定融合應用場景安全服務方案。加強5G網(wǎng)絡安全威脅信息發(fā)現(xiàn)共享與協(xié)同處置。

工業(yè)互聯(lián)網(wǎng)安全需求11

03

工業(yè)互聯(lián)網(wǎng)安全架構的定位與作用

工業(yè)互聯(lián)網(wǎng)安全是工業(yè)互聯(lián)網(wǎng)保障體系。

2015年，面對第四次工業(yè)革命與新一輪數(shù)字化浪潮，中國提出了《中

國制造2025》戰(zhàn)略，明確工業(yè)互聯(lián)網(wǎng)是實體經(jīng)濟數(shù)字化轉型的關鍵支撐，

也是實現(xiàn)工業(yè)革命的重要基石。

2017年，國務院發(fā)布了《關于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)

互聯(lián)網(wǎng)的指導意見》，提出要加快發(fā)展工業(yè)互聯(lián)網(wǎng)，構建網(wǎng)絡、平臺、安全

三大功能體系，強化工業(yè)互聯(lián)網(wǎng)安全保障，并突出強調了工業(yè)互聯(lián)網(wǎng)安全的

六方云基礎性和戰(zhàn)略性地位，為今后我國工業(yè)互聯(lián)網(wǎng)安全工作制定了時間表和路線

圖。

2018年，中國工業(yè)互聯(lián)網(wǎng)產業(yè)聯(lián)盟發(fā)布了《工業(yè)互聯(lián)網(wǎng)安全框架》。

美國工業(yè)互聯(lián)網(wǎng)聯(lián)盟從工業(yè)物聯(lián)網(wǎng)系統(tǒng)IIOT、工業(yè)功能IIRA、工業(yè)安全

框架IISF三個角度來梳理構建工業(yè)互聯(lián)網(wǎng)，IISF即《IndustrialInternet

ofThingsVolumeG4:SecurityFramework》，從防護對象、防護管理

和防護措施三個角度系統(tǒng)分別闡述了工業(yè)互聯(lián)網(wǎng)安全框架。防護對象包括設

備終端、網(wǎng)絡、應用、數(shù)據(jù)等，防護措施包括威脅防護、監(jiān)測感知、處置恢

復等，防護管理包括安全目標、風險評估和安全策略配置等。

隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，工業(yè)互聯(lián)網(wǎng)面臨越來越嚴峻的安全挑戰(zhàn)，工業(yè)

互聯(lián)網(wǎng)安全架構也需要重新定義與構建。鑒于一般以參考架構來凝聚產業(yè)共

識與各方力量、指導技術創(chuàng)新和產品解決方案研發(fā)、引導制造企業(yè)開展應用

探索與實踐、組織標準體系建設與標準制定，從而推動一個創(chuàng)新型領域從概

念走向落地，六方云結合自身對工業(yè)互聯(lián)網(wǎng)以及工業(yè)信息安全的深刻理解，

12工業(yè)互聯(lián)網(wǎng)安全架構的定位與作用

參考了中國工業(yè)互聯(lián)網(wǎng)產業(yè)聯(lián)盟發(fā)布的《工業(yè)互聯(lián)網(wǎng)體系架構（版本2.0）》及《工業(yè)互聯(lián)網(wǎng)安全框架》，美國工

業(yè)互聯(lián)網(wǎng)安全參考架構（IIRAG4）和美國國土安全部發(fā)布《物聯(lián)網(wǎng)安全指導原則》，發(fā)布本工業(yè)互聯(lián)網(wǎng)安全架構

白皮書。其核心目的是以工業(yè)互聯(lián)網(wǎng)安全參考架構來凝聚產業(yè)共識與各方力量，指導工業(yè)互聯(lián)網(wǎng)安全技術創(chuàng)新和產

品解決方案研發(fā)，助力工業(yè)互聯(lián)網(wǎng)從概念走向落地，引導工業(yè)企業(yè)在開展工業(yè)互聯(lián)網(wǎng)建設的同時實現(xiàn)安全保障同步

規(guī)劃、同步建設與同步實施。

六方云

工業(yè)互聯(lián)網(wǎng)安全架構的定位與作用13

04

工業(yè)互聯(lián)網(wǎng)安全總體架構

4.1體系架構設計方法論

本工業(yè)互聯(lián)網(wǎng)安全架構白皮書的體系架構，參考了主流的安全架構設

計方法論，包括以ISO、IEC、IEEE42010和TOGAF為代表的系統(tǒng)與軟

件工程架構方法論，美國提出的PDRR模型、P2DR模型、IATF框架、黃

金標準框架方法論，Gartner提出的AdaptiveSecurityArchitecture模

型（CARTA屬于自適應架構3.0），F(xiàn)orrester提出的ZeroTrust模型及

MITREATT&CK框架為代表的安全架構方法論；同時借鑒了安全相關參

六方云考架構的設計理念和關鍵要素，包括聯(lián)盟發(fā)布的工業(yè)互聯(lián)網(wǎng)架構2.0為代表

的工業(yè)互聯(lián)網(wǎng)架構，美國工業(yè)互聯(lián)網(wǎng)安全參考架構（IIRAG4）為代表的工

業(yè)互聯(lián)網(wǎng)安全架構，IEC62443為代表的工業(yè)通信網(wǎng)絡信息安全標準，工業(yè)

和信息化部印發(fā)《工業(yè)控制系統(tǒng)信息安全事件應急管理工作指南》，中國等

級保護2.0標準等。

4.2體系架構設計原則

本工業(yè)互聯(lián)網(wǎng)安全架構白皮書的體系架構設計原則，總體上遵循等級保

護2.0技術要求和關鍵信息基礎設施保護要求。

等保2.0提出“分等級保護、突出重點、積極防御、綜合防護”的基本

原則，建立具有動態(tài)防御、主動防御、縱深防御、精準防護、整體防護、聯(lián)

防聯(lián)控六大安全能力的“打防管控”一體化網(wǎng)絡安全綜合防御體系。

關鍵信息基礎設施的安全保護提出“重點保護、整體防護、動態(tài)風控、

14工業(yè)互聯(lián)網(wǎng)安全總體架構

協(xié)同參與”的基本

原則，建立網(wǎng)絡安全綜合防御體系。重點保護是指關鍵信息基礎設施網(wǎng)絡安全保護應首先符合網(wǎng)絡安全等級保

護政策及GB/T22239-2019等標準相關要求，在此基礎上加強關鍵信息基礎設施關鍵業(yè)務的安全保護；整體防護

是指基于關鍵信息基礎設施承載的業(yè)務，對業(yè)務所涉及的多個網(wǎng)絡和信息系統(tǒng)（含工業(yè)控制系統(tǒng)）等進行全面防護；

動態(tài)風控是指以風險管理為指導思想，根據(jù)關鍵信息基礎設施所面臨的安全風險對其安全控制措施進行調整，以及

時有效地防范應對安全風險；協(xié)同參與是指關鍵信息基礎設施安全保護所涉及的利益相關方，共同參與關鍵

信息基礎設施的安全保護工作。

4.3工業(yè)互聯(lián)網(wǎng)安全體系架構

圖3-1工業(yè)互聯(lián)網(wǎng)安全體系架構

工業(yè)互聯(lián)網(wǎng)安全體系架構參照ISO/IEC/IEEE42010標準以及TOGAF架構開發(fā)方法，基于安全需求，從利益

相關者、垂直行業(yè)、安全視角三個角度出發(fā)，構建業(yè)務、功能、實施、技術四個視圖。六方云

從利益相關者角度看，工業(yè)互聯(lián)網(wǎng)安全相關者包括產業(yè)、企業(yè)和工業(yè)互聯(lián)網(wǎng)安全受益消費者。

從垂直行業(yè)橫向的角度看，工業(yè)互聯(lián)網(wǎng)安全架構指導電力、石油石化、軌交、鋼鐵生產和高端設備制造等領域

的安全建設，同時工業(yè)互聯(lián)網(wǎng)安全架構實施要取得良好效果，也需要將不同行業(yè)和地區(qū)的人才組織在一個開放的知

識框架內，使人才作為垂直行業(yè)工業(yè)互聯(lián)網(wǎng)安全創(chuàng)新的核心動力之一。

從安全視角看，可以從安全業(yè)務、安全功能、安全實施、安全技術四個視圖來構建工業(yè)互聯(lián)網(wǎng)安全體系。

?安全業(yè)務視圖

明確企業(yè)在建設工業(yè)互聯(lián)網(wǎng)時在安全體系方面要實現(xiàn)的目標、方向、業(yè)務場景及相應的安全防護能力。安全業(yè)

務視圖主要用于指導企業(yè)在商業(yè)層面明確工業(yè)互聯(lián)網(wǎng)安全的定位和作用，提出的安全能力需求對于后續(xù)功能架構設

計有重要指引。

?安全功能視圖

明確企業(yè)在建設工業(yè)互聯(lián)網(wǎng)安全時要實現(xiàn)的核心功能、基本原理和關鍵要素。安全功能架構主要用于指導企業(yè)

工業(yè)互聯(lián)網(wǎng)安全總體架構15

構建工業(yè)互聯(lián)網(wǎng)安全的支撐能力與核心功能，并為后續(xù)工業(yè)互聯(lián)網(wǎng)安全實施框架的制定提供參考。

?安全實施視圖

描述各項安全功能在企業(yè)落地實施的安全層級結構、安全軟硬件系統(tǒng)和部署方式。安全實施框架結合聯(lián)盟在工

業(yè)互聯(lián)網(wǎng)架構2.0中提出了設備層、邊緣層、企業(yè)層、產業(yè)層四層組成的實施框架層級劃分，明確了各層級的安全

的系統(tǒng)架構、部署方式以及不同系統(tǒng)之間關系。實施框架主要為企業(yè)提供工業(yè)互聯(lián)網(wǎng)安全具體落地的統(tǒng)籌規(guī)劃與建

設方案，進一步可用于指導企業(yè)技術選型與系統(tǒng)搭建。

?安全技術視圖

闡述了工業(yè)互聯(lián)網(wǎng)安全業(yè)務、功能、實施所需要的技術體系與技術措施。

4.45G+工業(yè)互聯(lián)網(wǎng)安全參考架構

圖3-25G+工業(yè)互聯(lián)網(wǎng)安全參考架構

5G+工業(yè)互聯(lián)網(wǎng)安全參考架構是基于制度建設，以我國的安全政策，相關法律和行業(yè)安全規(guī)劃為主要指導原則，

以產業(yè)支撐等全局視野統(tǒng)籌安排，融合5G和工業(yè)互聯(lián)網(wǎng)，為滿足工業(yè)互聯(lián)網(wǎng)安全的各個層面需求而構建的一體化

安全防御體系。其包括安全技術、安全管理、安全運維及安全生態(tài)四大體系部分。

?安全技術體系六方云

安全技術體系是依據(jù)信息安全等級保護等安全要求，構建對工業(yè)控制、感知終端、網(wǎng)絡通信、系統(tǒng)及應用的安

全防護，以及數(shù)據(jù)安全保障。

?安全管理體系

安全管理體系是依據(jù)信息安全等級保護等安全要求，ISO27001標準，管理和規(guī)范安全機構、安全制度、安全

人員及安全建設等方面。

?安全運維體系

安全運維體系針對工業(yè)互聯(lián)網(wǎng)，參考工業(yè)互聯(lián)網(wǎng)產業(yè)聯(lián)盟（AII）等組織標準，有效地將技術和管理結合起來，

保障工業(yè)互聯(lián)網(wǎng)的安全運行。

?安全生態(tài)體系

安全生態(tài)體系主要是明確產業(yè)鏈各不同主體的責任和義務，加強協(xié)同合作。

在5G+工業(yè)互聯(lián)網(wǎng)安全參考架構中，按照不同層級來看，主要包括如下幾方面：

16工業(yè)互聯(lián)網(wǎng)安全總體架構

第一，企業(yè)工業(yè)互聯(lián)網(wǎng)安全技術方案層

企業(yè)工業(yè)互聯(lián)網(wǎng)安全技術方案需要符合等保要求，以《網(wǎng)絡安全等級保護基本要求》《網(wǎng)絡安全等級保護安全

設計技術要求》等國家標準文件為依據(jù)，按照安全措施的保護能力級別滿足要求，構建包括物理環(huán)境安全，通信網(wǎng)

絡安全，區(qū)域邊界安全，計算環(huán)境安全和安全管理中心的工業(yè)智能化發(fā)展的安全可信環(huán)境。

第二，5G+工業(yè)互聯(lián)網(wǎng)場景化安全能力定制層

作為工業(yè)互聯(lián)網(wǎng)的重要基礎設施，5G在使能工業(yè)互聯(lián)網(wǎng)的過程中，要結合具體的業(yè)務場景，基于5G網(wǎng)絡自身

的安全能力提供定制化的安全方案，來滿足工業(yè)互聯(lián)網(wǎng)自身的等級保護需求。

第三，5G網(wǎng)絡安全能力層

要具備靈活的5G網(wǎng)絡安全能力，參照ITUX.805定義的安全體系架構和3GPPTS33.501等5G安全規(guī)范，并

遵循《電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級保護要求》，通過提供無線接入安全、5GC安全、MEC安全、切片安全及管

理安全端到端的安全通信能力。

4.5工業(yè)互聯(lián)網(wǎng)安全+AI參考架構

六方云圖3-3工業(yè)互聯(lián)網(wǎng)安全+AI參考架構

截至目前，網(wǎng)絡安全技術經(jīng)歷了兩次進階:訪問控制、特征比對，迫切需要“行為分析”的第三次進階;截至目前，

網(wǎng)絡安全能力經(jīng)歷了兩次革命：數(shù)字化、服務化，迫切需要“自動化、智能化”的第三次革命；AI技術已經(jīng)在語音

識別、人臉識別、視頻處理、人機交互等領域獲得巨大成功，其被認為是目前實現(xiàn)“安全行為分析”、“安全能力

自動化和智能化”的最好和最現(xiàn)實的手段。

工業(yè)互聯(lián)網(wǎng)安全+AI參考架構分為基