2017年11月27日，國務院正式印發(fā)《關于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見》（以下簡稱《意見》）。明確將安全作為工業(yè)互聯(lián)網(wǎng)三大功能體系之一，要求把握好安全與發(fā)展的辯證關系，堅持工業(yè)互聯(lián)網(wǎng)安全保障手段同步規(guī)劃、同步建設、同步運行，提升工業(yè)互聯(lián)網(wǎng)安全防護能力。此后的政策文件一直在不斷跟進、貫徹落實《指導意見》的要求。2021年3月，工信部發(fā)布的《2021年工業(yè)和信息化標準工作重點》立足于制造強國、網(wǎng)絡強國、質(zhì)量強國和數(shù)字中國的建設全局，大力實施標準升級行動，提倡大力發(fā)展團體標準，統(tǒng)籌推進工業(yè)互聯(lián)網(wǎng)、標識解析、平臺和安全標準的制定，大力開展“5G+工業(yè)互聯(lián)網(wǎng)”和工業(yè)互聯(lián)網(wǎng)大數(shù)據(jù)中心的標準研究，支持工業(yè)互聯(lián)網(wǎng)+安全生產(chǎn)等行業(yè)行動和安全標準的制定。

       2021年4月10日，CITE2021 工業(yè)互聯(lián)網(wǎng)發(fā)展與安全峰會在深圳召開，國家工業(yè)信息安全發(fā)展研究中心標準質(zhì)量處處長陳雪鴻在會上做了《工業(yè)互聯(lián)網(wǎng)安全標準進展簡介》主題演講。

國家工業(yè)信息安全發(fā)展研究中心標準質(zhì)量處處長 陳雪鴻

什么是工業(yè)互聯(lián)網(wǎng)安全？

       “各種安全理念實際上在我們各種文件和標準中已經(jīng)產(chǎn)生了一定的交叉”，陳雪鴻表示。如下圖所示，工業(yè)信息安全是最大的概念，其子集是工業(yè)互聯(lián)網(wǎng)安全。工業(yè)數(shù)據(jù)安全、工業(yè)平臺安全、工業(yè)云安全、工業(yè)物聯(lián)網(wǎng)安全、工業(yè)控制系統(tǒng)安全產(chǎn)生了一定的交叉。另外，工業(yè)互聯(lián)網(wǎng)的兩大屬性是“工業(yè)”和“互聯(lián)”，但在實際工業(yè)生產(chǎn)經(jīng)營過程中，無論是離散工業(yè)還是流程工業(yè)中，均存在未連入工業(yè)互聯(lián)網(wǎng)的工業(yè)系統(tǒng)和設備，其信息安全屬于工業(yè)信息安全范疇，但尚不屬于工業(yè)互聯(lián)網(wǎng)安全。因此，還存在一種非聯(lián)網(wǎng)工控系統(tǒng)安全。

工業(yè)互聯(lián)網(wǎng)安全在保障誰？

        陳雪鴻表示，想要了解清楚工業(yè)互聯(lián)網(wǎng)安全需區(qū)分保障對象是什么，區(qū)分保障對象就要明白安全保障的重點。

       工業(yè)互聯(lián)網(wǎng)安全保障主要分為設備安全、控制安全、網(wǎng)絡安全、標識解析安全、平臺安全和數(shù)據(jù)安全，分別對應不同的保障對象。其中，設備安全主要指接入工業(yè)互聯(lián)網(wǎng)的終端設備的安全，重點是加強設備自身安全、完善終端接入安全認證；控制安全主要指PLC、SCADA、DCS等工業(yè)控制系統(tǒng)安全，既要提升自主可控的工控系統(tǒng)比例，又要將安全問題考慮到生產(chǎn)設計中；平臺安全主要指工業(yè)云平臺的安全，重點是加強工業(yè)云服務網(wǎng)絡安全管理，明確平臺管理和運行主體責任；數(shù)據(jù)安全主要指工業(yè)生產(chǎn)業(yè)務活動中的數(shù)據(jù)安全問題，要建立數(shù)據(jù)分級分類管理制度，形成數(shù)據(jù)流動管理機制，解決數(shù)據(jù)流動方向和路徑復雜導致的數(shù)據(jù)安全防護難度增大等問題；網(wǎng)絡安全主要指工業(yè)企業(yè)管理網(wǎng)、控制網(wǎng)和外網(wǎng)的安全，確保傳輸安全和運行安全。

       其中，我國控制安全的基礎相對比較薄弱。由于我國自主可控能力較弱，對于控制安全而言即需要提升自主安全的可控體系。中國電子在自主可控安全方面做了很多嘗試，同時將安全的問題考慮到生產(chǎn)設計中。由于很多工控系統(tǒng)是帶病運行的，因此一旦上線運行之后再改造安全就會非常困難。另外，如下圖所示，工業(yè)互聯(lián)網(wǎng)的業(yè)態(tài)也涉及到多種安全責任主體。

工業(yè)互聯(lián)網(wǎng)安全標準體系進展如何？

       談及工業(yè)互聯(lián)網(wǎng)安全標準體系的進展，陳雪鴻首先對比了國內(nèi)外工業(yè)互聯(lián)網(wǎng)標準體系的發(fā)展趨勢。“國外工業(yè)互聯(lián)網(wǎng)的安全標準最主要的特點是與其他的體系融合發(fā)展，”陳雪鴻如是說，“美國方面在工業(yè)互聯(lián)網(wǎng)標準組織方面在國際比較領先，對于物聯(lián)網(wǎng)、工業(yè)數(shù)據(jù)、工業(yè)云等方面的標準，專門成立工業(yè)互聯(lián)網(wǎng)聯(lián)盟（IIC）來開展工業(yè)互聯(lián)網(wǎng)安全標準和行業(yè)實踐研究；歐盟各國工業(yè)互聯(lián)網(wǎng)安全相關標準以關鍵基礎設施安全為重心?！?/p>

       國內(nèi)工業(yè)互聯(lián)網(wǎng)的標準發(fā)展趨勢主要表現(xiàn)在四個方面：

       第一，推進完善各個領域的標準計劃，構(gòu)建“綜合標準路線圖”；第二，加快研制急需專用標準，比如說平臺、標識解析、應用，主抓重點領域及易受威脅領域，如車聯(lián)網(wǎng)、家電等工業(yè)互聯(lián)網(wǎng)已得到應用的領域；第三，加強綜合防護，加快關鍵信息基礎設施安全標準研制；第四，瞄準新技術、新應用安全需求開展標準化工作。

       國內(nèi)工業(yè)互聯(lián)網(wǎng)標準目前有三大現(xiàn)狀：工業(yè)控制系統(tǒng)安全標準制定推進成效顯著，工業(yè)互聯(lián)網(wǎng)網(wǎng)絡、數(shù)據(jù)、平臺安全標準加緊研制（但是國際標準尚未形成），以及正在逐步推進工業(yè)互聯(lián)網(wǎng)安全體系框架類標準的制定。從這樣的現(xiàn)狀中也體現(xiàn)出三大趨勢：標準研制體系化、標準影響擴大化以及標準合作國際化。

       之后，陳雪鴻為大家展示了具體標準體系的制定進展情況：

• 工控安全標準體系框架

       全國信息安全標準化技術委員會（TC260），開展工控安全標準研制，提出工控安全標準體系框架。

• 物聯(lián)網(wǎng)安全標準體系

       2019年10月，全國信息安全標準化技術委員會（TC260），發(fā)布《物聯(lián)網(wǎng)安全標準化白皮書》（2019版），提出物聯(lián)網(wǎng)安全標準體系框架。

• 數(shù)據(jù)安全標準體系

       2020年5月，全國信息安全標準化技術委員會（TC260），大數(shù)據(jù)特別工作組年度第一次會議周討論《數(shù)據(jù)安全標準體系研究報告》，提出數(shù)據(jù)安全標準體系。

• 云計算綜合標準化體系

       2015年11月，工信部發(fā)布《云計算綜合標準化體系建設指南》（工信廳信軟〔2015〕132號)，提出云計算標準體系。

• 智能制造標準體系

      2018年8月，工信部、國家標準化管理委員聯(lián)合發(fā)布《國家智能制造標準體系建設指南（2018年版）》，提出智能制造標準體系。

• 工業(yè)互聯(lián)網(wǎng)標準體系框架

       2016年8月，工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟，提出工業(yè)互聯(lián)網(wǎng)標準體系框架。其中把工業(yè)互聯(lián)網(wǎng)標準體系分為總體類標準、技術工信標準和應用標準，在基礎工信標準里面提出安全標準，安全標準是有安全基礎支撐的標準，管理級服務的標準，網(wǎng)絡安全、控制安全、應用安全和數(shù)據(jù)安全的標準。

• 工業(yè)互聯(lián)網(wǎng)標準體系

       2019年1月，工業(yè)和信息化部、國家標準化管理委員會發(fā)布《工業(yè)互聯(lián)網(wǎng)綜合標準化體系建設指南》，提出工業(yè)互聯(lián)網(wǎng)標準體系，把工業(yè)互聯(lián)網(wǎng)標準體系分為基礎、共性、總體、應用三大類。同時在總體標準里面提出安全標準。安全標準區(qū)分為設備安全、控制系統(tǒng)安全、網(wǎng)絡安全、數(shù)據(jù)安全、平臺安全、應用程序安全以及安全管理。

       陳雪鴻之后介紹了國家工業(yè)信息安全發(fā)展研究中心在工業(yè)互聯(lián)網(wǎng)安全標準化方面作出的工作，包括成立WG7（工業(yè)信息安全標準組），致力于研究推進標準的促進以及工業(yè)信息標準體系的推進；牽頭參與的TC260標準研制工作；2019年12月，國家工業(yè)信息安全發(fā)展研究中心依托工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟，發(fā)布《工業(yè)信息安全標準化白皮書（2019版）》，提出工業(yè)信息安全標準體系框架。

       目前國內(nèi)已制定/發(fā)布主要工控安全標準如下表所示：

       目前國內(nèi)已制定/發(fā)布主要云安全標準如下表所示：

       目前國內(nèi)已制定/發(fā)布主要數(shù)據(jù)安全相關標準如下表所示：

       目前國內(nèi)已開展工業(yè)互聯(lián)網(wǎng)安全國家標準研制的立項較少，主要標準如下表所示：

       陳雪鴻最后分享了對于工業(yè)互聯(lián)網(wǎng)安全標準體系下一步的工作思考：

       第一，  定期更新，及時梳理新技術、新概念新標準，為制定工業(yè)互聯(lián)網(wǎng)的安全標準提供體系化的思考；

       第二，  加強溝通交流，在相關主管部門的指導和協(xié)調(diào)下，充分發(fā)揮各標準化技術委員會的作用，加強溝通合作。同時，標準承研單位在標準研制過程中積極與相關標準化技術委員會進行溝通確認，充分考慮標準的銜接性和實用性，避免出現(xiàn)標準重復、沖突等現(xiàn)象。

       第三，  加快研制與落地，加快急需標準的研制，加強標準的宣貫、培訓和試點的應用，發(fā)揮標準引導的作用。同時加強各個標委會的溝通與交流，在相關主管部門的指導和協(xié)調(diào)下，工信部給國標委專門致函要求工業(yè)互聯(lián)網(wǎng)的相關標準一定要得到工信部的認同之后才能進行相應的發(fā)布。