1.2.4 工业互联网安全体系概述

工业互联网安全是工业生产运行过程中的信息安全、功能安全与物理安全的统称，涉及工业互联网领域的各个环节，其核心任务是通过监测预警、应急响应、检测评估、功能测试等手段确保工业互联网健康有序发展。

2016年8月，中国AII发布《工业互联网体系架构1.0》，提出工业互联网安全体系架构，聚焦设备、控制、网络、应用、数据五大安全重点，明确五大安全重点是构建完整工业互联网安全框架的前提。《工业互联网体系架构1.0》中的安全体系如图1-7所示。

设备安全指工厂内生产设备、单点智能装备器件与产品，以及成套智能终端等智能设备的安全，具体包括生产设备安全、智能装备与产品安全、智能终端安全。其中，生产设备安全是在生产现场与生产过程直接相关的设备安全，例如，数控机床安全、工业机器人安全、印染机安全等。智能装备与产品安全是大型的具有感知、分析、推理、决策、控制功能的智能制造装备与产品的安全，例如，智能化大型机械安全、3D打印机安全、智能汽车安全等。智能终端安全指采集、处理、传输数据的智能终端设备的安全，例如，智能传感器安全、智能电表安全、数据采集网关安全等。

控制安全主要包括控制软件安全和控制协议安全。控制软件安全是控制系统或智能调节器实现过程控制的各种通用或专用程序的安全，例如，组态软件（WinCC、STEP 7、组态王）等。控制协议安全是指用于工业控制过程的通信协议安全，例如OPC、Modbus、S7、DNP3等协议的安全。

图1-7 《工业互联网体系架构1.0》中的安全体系

网络安全包括工厂内网安全、工厂外网安全、标识解析安全等方面。工厂内网安全指用于连接工厂内各种要素，包括人员、机器、材料、环境等网络的安全。工厂外网安全指用于连接智能工厂、分支机构、上下游协作企业、工业互联网平台、智能产品与用户等主体的网络安全。标识解析安全主要涉及标识编码安全、标识采集安全、标识解析安全和信息共享安全4个方面。

应用安全包括平台安全、软件安全、云化应用安全等。平台安全逐渐成为工业互联网安全关注的焦点，包括支撑工业互联网平台运行的各类虚拟资源的安全（如虚拟机、容器等），以及工业互联网平台核心功能的安全（如工业大数据相关组件、开发工具、微服务组件库等）。

2018年11月，中国AII正式发布了《工业互联网安全框架》，该框架从防护对象、防护措施、防护管理3个视角出发，针对不同的防护对象部署相应的安全防护措施，根据实时监测结果发现网络中存在的或即将发生的安全问题并及时做出响应；同时加强防护管理，明确基于安全目标的可持续改进的管理方针，从而保障工业互联网的安全。工业互联网安全框架如图1-8所示。工业互联网安全框架的提出，对于企业开展工业互联网安全防护体系建设，全面提升安全防护能力具有重要的借鉴意义。

图1-8 工业互联网安全框架

由图1-8可以看到，从防护对象视角来看，延续了《工业互联网体系架构1.0》中的五大安全防护对象；从防护措施视角来看，从事前、事中、事后全面部署，采用了处置恢复、监测感知、威胁防护一整套安全防护措施；从防护管理视角来看，充分考虑了安全管理的重要性，与安全防护技术互为补充，更好地构筑了工业互联网安全防护体系。

工业互联网安全框架的3个防护视角之间相对独立，但彼此又相互关联。从防护对象视角来看，安全框架中的每个防护对象都需要采用一系列合理的防护措施，并依据完备的防护管理流程对其进行安全防护；从防护措施视角来看，每一类防护措施都有其适用的防护对象，并在具体防护管理流程的指导下发挥作用；从防护管理视角来看，防护管理流程的实现离不开对防护对象的界定，并需要各类防护措施的有机结合使其能够顺利运转。工业互联网安全框架的3个防护视角相辅相成、互为补充，形成一个完整、动态、持续的防护体系。