工業(yè)互聯(lián)網(wǎng)實(shí)現了全系統、全產(chǎn)業(yè)鏈和全生命周期的互聯(lián)互通，而與此同時(shí)，互聯(lián)互通的實(shí)現也打破傳統工業(yè)相對封閉可信的生產(chǎn)環(huán)境，導致攻擊路徑大大增加?，F場(chǎng)控制層、集中調度層、企業(yè)管理層之間直接通過(guò)以太網(wǎng)甚至是互聯(lián)網(wǎng)承載數據通信，越來(lái)越多的生產(chǎn)組件和服務(wù)直接或間接與互聯(lián)網(wǎng)連接，攻擊者從研發(fā)端、管理端、消費端、生產(chǎn)端都有可能實(shí)現對工業(yè)互聯(lián)網(wǎng)的攻擊或病毒傳播。這也直接導致工業(yè)互聯(lián)網(wǎng)數據保護難度加大。工業(yè)互聯(lián)網(wǎng)數據種類(lèi)和保護需求多樣，數據流動(dòng)方向和路徑復雜，研發(fā)設計數據、內部生產(chǎn)管理數據、操作控制數據以及企業(yè)外部數據等，可能分布在大數據平臺、用戶(hù)端、生產(chǎn)終端、設計服務(wù)器等多種設施上，僅依托單點(diǎn)、離散的數據保護措施難以有效保護工業(yè)互聯(lián)網(wǎng)中流動(dòng)的工業(yè)數據安全。

從現實(shí)來(lái)看，下層工業(yè)控制網(wǎng)絡(luò )安全性考慮也還不充分。傳統模式下，工業(yè)控制網(wǎng)絡(luò )未與外部互聯(lián)網(wǎng)直接聯(lián)通，安全認證機制，訪(fǎng)問(wèn)控制手段需求并不迫切。然而，在工業(yè)互聯(lián)網(wǎng)環(huán)境下，攻擊者一旦通過(guò)互聯(lián)網(wǎng)通道進(jìn)入下層工業(yè)控制網(wǎng)，只需掌握通信協(xié)議就可以很容易對工業(yè)控制網(wǎng)絡(luò )實(shí)現常見(jiàn)的拒絕服務(wù)攻擊、中間人攻擊等，輕則影響生產(chǎn)數據采集和控制指令的及時(shí)性和正確性，重則造成物理設施被破壞。

從平臺建設來(lái)看，虛擬化等平臺技術(shù)成為趨勢，這也加大了工業(yè)數據保護難度。工業(yè)互聯(lián)網(wǎng)平臺中多個(gè)客戶(hù)共享計算資源，虛擬機之間的隔離和防護容易受到攻擊，跨虛擬機的非授權訪(fǎng)問(wèn)風(fēng)險突出。而且目前多數集團或工業(yè)企業(yè)內部的生產(chǎn)業(yè)務(wù)平臺安全設計不足。工業(yè)企業(yè)往往更加注重業(yè)務(wù)平臺的功能性，在設計之初很少考慮安全架構，可能存在權限繞過(guò)、緩沖區溢出等安全設計缺陷，為網(wǎng)絡(luò )攻擊提供路徑。

工業(yè)互聯(lián)網(wǎng)的相關(guān)定義和技術(shù)架構尚未在國際范圍內得到充分統一，工業(yè)互聯(lián)網(wǎng)在我國的提出和推進(jìn)也仍然處于初級階段。與傳統消費互聯(lián)網(wǎng)和商業(yè)互聯(lián)網(wǎng)相比，作為新生事物的工業(yè)互聯(lián)網(wǎng)需要更高標準的信息安全要求；與傳統工業(yè)控制系統相比，工業(yè)互聯(lián)網(wǎng)的安全覆蓋面更為復雜。當前，我國僅從工業(yè)互聯(lián)網(wǎng)的某些局部元素層面開(kāi)展了相關(guān)安全保障工作，且工業(yè)互聯(lián)網(wǎng)安全保障可能涉及多個(gè)責任部門(mén)，需要充分協(xié)作、形成合力，打造針對我國工業(yè)互聯(lián)網(wǎng)的整體安全保障工作機制。

安全是工業(yè)互聯(lián)網(wǎng)的三大核心內容之一。在工業(yè)互聯(lián)網(wǎng)總體框架下，安全既是一套獨立功能體系，又滲透融合在網(wǎng)絡(luò )和平臺建設使用的全過(guò)程，為網(wǎng)絡(luò )、平臺提供安全保障。構建工業(yè)互聯(lián)網(wǎng)安全保障體系可從平臺、網(wǎng)絡(luò )、終端、數據四個(gè)方面考慮，涉及工業(yè)控制系統安全、企業(yè)信息管理系統安全、企業(yè)控制網(wǎng)絡(luò )及管理網(wǎng)安全、互聯(lián)網(wǎng)寬帶網(wǎng)絡(luò )安全、工業(yè)云安全和工業(yè)大數據安全等內容。

在傳統工業(yè)制造階段，工業(yè)信息安全作為生產(chǎn)安全的重要組成部分，由工業(yè)企業(yè)作為其安全責任主體，責任邊界較為清晰。當前工業(yè)互聯(lián)互通階段，工業(yè)信息安全主要表征為工業(yè)互聯(lián)網(wǎng)安全，工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)和數據在設備層、數據采集層、基礎網(wǎng)絡(luò )層、IaaS層、工業(yè)互聯(lián)網(wǎng)平臺層、工業(yè)應用層等多個(gè)層級間流轉，安全責任主體涉及工業(yè)企業(yè)、設備供應商、基礎電信運營(yíng)商、IaaS網(wǎng)絡(luò )服務(wù)商、工業(yè)互聯(lián)網(wǎng)平臺運營(yíng)商、工業(yè)應用提供商等，安全責任界定和安全監管難度加大。

工業(yè)互聯(lián)網(wǎng)平臺是工業(yè)互聯(lián)網(wǎng)實(shí)施落地與生態(tài)構建的關(guān)鍵載體，其安全是工業(yè)互聯(lián)網(wǎng)安全的核心和關(guān)鍵。目前，工業(yè)互聯(lián)網(wǎng)平臺安全問(wèn)題主要包括：一是海量設備和系統的接入加大平臺安全防護難度；二是云及虛擬化平臺自身的安全脆弱性日益凸顯；三是API 接口開(kāi)放加大了工業(yè)互聯(lián)網(wǎng)平臺面臨的安全風(fēng)險；四是云環(huán)境下安全風(fēng)險跨域傳播的級聯(lián)效應愈發(fā)明顯；五是云服務(wù)模式導致安全主體責任不清晰；六是集團或工業(yè)企業(yè)內部的生產(chǎn)業(yè)務(wù)平臺安全設計不足。

工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò )從建設和管理邊界上可以劃分成企業(yè)內網(wǎng)和企業(yè)外網(wǎng)。其中，企業(yè)內網(wǎng)包含有生產(chǎn)網(wǎng)、控制網(wǎng)、企業(yè)管理網(wǎng)及集團專(zhuān)用網(wǎng)；企業(yè)外網(wǎng)主要指基于國家骨干網(wǎng)、接入網(wǎng)和城域網(wǎng)建立的互聯(lián)網(wǎng)寬帶網(wǎng)絡(luò )。在內網(wǎng)側，安全問(wèn)題主要包括：一是傳統靜態(tài)防護策略和安全域劃分方法不能滿(mǎn)足工業(yè)企業(yè)網(wǎng)絡(luò )復雜多變、靈活組網(wǎng)的需求；二是工業(yè)互聯(lián)網(wǎng)涉及不同網(wǎng)絡(luò )在通信協(xié)議、數據格式、傳輸速率等方面的差異性，異構網(wǎng)絡(luò )的融合面臨極大挑戰；三是工業(yè)領(lǐng)域傳統協(xié)議和網(wǎng)絡(luò )體系結構設計之初基本沒(méi)有考慮安全性，安全認證機制和訪(fǎng)問(wèn)控制手段缺失。在外網(wǎng)側，需要在傳統互聯(lián)網(wǎng)安全的基礎上，進(jìn)一步強化面向工業(yè)互聯(lián)網(wǎng)的IPv6安全、軟件定義網(wǎng)絡(luò )（SDN）安全、工業(yè)互聯(lián)網(wǎng)標識解析安全、5G等新型蜂窩移動(dòng)通信技術(shù)安全等。

工業(yè)互聯(lián)網(wǎng)中的終端是指工業(yè)領(lǐng)域應用的產(chǎn)品、系統、設備，包含工業(yè)生產(chǎn)控制設備、工業(yè)網(wǎng)絡(luò )通信設備、工業(yè)主機設備、工業(yè)生產(chǎn)信息系統、工業(yè)網(wǎng)絡(luò )安全設備和其他工業(yè)設備/系統。終端安全問(wèn)題形勢嚴峻，主要表現在以下方面：一是傳統工業(yè)環(huán)境中海量工業(yè)軟硬件在生產(chǎn)設計時(shí)并未過(guò)多地考慮安全問(wèn)題，可能存在大量安全漏洞；二是由于我國工業(yè)設備自主可控仍處于較低水平，大部分核心設備以國外設備為主；三是我國大部分重要工業(yè)設備日常運維和設備維修也嚴重依賴(lài)國外廠(chǎng)商，存在被境外機構操控的風(fēng)險。

工業(yè)數據是指工業(yè)領(lǐng)域中，在業(yè)務(wù)活動(dòng)和過(guò)程中所產(chǎn)生、采集、處理、存儲、傳輸和使用的數據的綜合。目前，企業(yè)通過(guò)工業(yè)數據的分析和應用可以去預測需求、預測制造，整合產(chǎn)業(yè)鏈和價(jià)值鏈，發(fā)現用戶(hù)的價(jià)值缺口，發(fā)現和管理不可見(jiàn)的問(wèn)題，實(shí)現為用戶(hù)提供定制化的產(chǎn)品和服務(wù)，是企業(yè)獲取持續競爭優(yōu)勢的核心要素。工業(yè)互聯(lián)網(wǎng)使數據存在的范圍和邊界發(fā)生了根本變化，給數據安全帶來(lái)巨大挑戰。

做好工業(yè)互聯(lián)網(wǎng)安全的整體保障，才能為工業(yè)互聯(lián)網(wǎng)提供一個(gè)安全可靠的發(fā)展環(huán)境。當前，應牢牢把握工業(yè)互聯(lián)網(wǎng)發(fā)展的關(guān)鍵窗口期，堅持以“本質(zhì)安全、內外兼顧、業(yè)務(wù)優(yōu)先、隱私可控”為安全保障原則，從加強政策規劃指引、夯實(shí)基礎性工作、打造公共服務(wù)平臺、促進(jìn)產(chǎn)業(yè)發(fā)展等多方面入手，建立全面保障工業(yè)互聯(lián)網(wǎng)設備安全、網(wǎng)絡(luò )安全、平臺安全和數據安全的新型縱深防御安全架構，從整體上強化我國工業(yè)互聯(lián)網(wǎng)安全防護水平。

2017年12月，工業(yè)和信息化部發(fā)布了《工業(yè)控制系統信息安全行動(dòng)計劃（2018—2020年）》，提出在工控系統信息安全保障體系建設中，落實(shí)企業(yè)主體責任，因地制宜分類(lèi)指導，堅持技術(shù)和管理并重等指導策略，以及落實(shí)企業(yè)主體責任和監督管理責任以提升安全管理水平，建設全國工控安全監測網(wǎng)絡(luò )和實(shí)施信息共享工程以提升態(tài)勢感知能力，加強防護技術(shù)研究和建立健全標準體系以提升安全防護能力，開(kāi)展信息通報預警和建設國家應急資源庫以提升應急處置能力，培育龍頭骨干企業(yè)和創(chuàng )建國家新型工業(yè)信息安全示范基地，以提升產(chǎn)業(yè)發(fā)展能力等具體措施。

在已形成的工業(yè)控制系統在線(xiàn)監測預警能力基礎上，建設面向公共互聯(lián)網(wǎng)、企業(yè)內網(wǎng)/專(zhuān)網(wǎng)和工業(yè)控制網(wǎng)絡(luò )的國家級工業(yè)互聯(lián)網(wǎng)監測預警與態(tài)勢感知平臺，結合在線(xiàn)監測、誘捕探測、結構化/非結構化威脅數據感知等手段，通過(guò)大數據分析技術(shù)，形成全天候、全方位感知工業(yè)互聯(lián)網(wǎng)安全態(tài)勢的能力。

健全工業(yè)互聯(lián)網(wǎng)安全防護體系，檢查評估必不可少：首先，建立面向工業(yè)企業(yè)的工業(yè)互聯(lián)網(wǎng)安全檢查和安全評估常態(tài)化工作機制，通過(guò)檢查評估及時(shí)發(fā)現工業(yè)互聯(lián)網(wǎng)的設備、網(wǎng)絡(luò )、平臺和數據安全問(wèn)題，指導工業(yè)企業(yè)提升工業(yè)互聯(lián)網(wǎng)安全防護水平。同時(shí)，探索開(kāi)展工業(yè)互聯(lián)網(wǎng)平臺第三方安全審查，確保工業(yè)互聯(lián)網(wǎng)平臺產(chǎn)品和服務(wù)的安全性、可控性。研究工業(yè)互聯(lián)網(wǎng)平臺上線(xiàn)前安全測試制度，及時(shí)發(fā)現平臺安全漏洞、配置不合理、非授權訪(fǎng)問(wèn)、身份冒用、不必要網(wǎng)絡(luò )服務(wù)開(kāi)放等安全隱患，確保平臺上線(xiàn)后運行安全。

建設工業(yè)互聯(lián)網(wǎng)風(fēng)險信息通報與應急處置工作體系，建設工業(yè)互聯(lián)網(wǎng)安全應急專(zhuān)業(yè)技術(shù)隊伍，提高應對工業(yè)互聯(lián)網(wǎng)安全事件和重大風(fēng)險的組織協(xié)調與應急處置水平，預防和減少安全事件造成的損失和危害，形成集工業(yè)互聯(lián)網(wǎng)安全風(fēng)險信息的收集、匯總、核查研判、通報發(fā)布、消減處置、跟蹤復查等于一體的閉環(huán)應急處置工作機制。