随着信息化和工業化的深度融合，傳統的工業生産系統逐步由單機走向互聯，由封閉走向開放，極大促進了工業生産的網絡化、智能化、協同化。但同時也帶來了工業信息安全風險隐患，加強工業信息安全标準化工作、發揮标準在工業信息安全建設中的引導作用，已成為保障工業信息安全的一項重要工作。然而，當前我國工業信息安全相關概念頗多，工業互聯網安全、工業控制系統安全、工業物聯網安全、工業雲安全、工業互聯網平台安全、工業數據安全等概念相互交叉重疊，甚至同一個名詞在不同的領域會有不同的含義，概念的模糊不清使得在标準研制、應用等過程中存在概念理解偏差、條款解讀不到位等問題。此外，我國工業信息安全标準重複和缺失現象并存，體系化建設不足，标準化工作相對滞後。因此，為體系化推進工業信息安全标準化建設，急需厘清工業信息安全相關概念，建立完善工業信息安全标準體系，更加科學地指導工業信息安全标準化工作。

一、工業信息安全概念與内涵

工業信息安全是近年來新興的一個概念。國内最早包含工業信息安全一詞的官方政府文件是《國務院關于深化制造業與互聯網融合發展的指導意見》(國發〔2016〕28号)，該文件的7項重點任務之一就是“提高工業信息系統安全水平”，明确規定要“制定完善工業信息安全管理等政策法規，健全工業信息安全标準體系……提升工業信息安全監測、評估、驗證和應急處置等能力”。

直觀理解，一切涉及工業領域的信息安全都屬于工業信息安全範疇，其内涵十分豐富。從重要性來看，工業信息安全是網絡安全的重要組成，是國家總體安全觀在工業領域的重點體現，事關經濟發展、社會穩定和國家安全，做好工業信息安全工作是關系國計民生和國家長治久安的大事；從保障内容來看，工業信息安全泛指各工業相關領域的信息安全，包括工業控制系統安全、工業互聯網安全、工業互聯網平台安全、工業物聯網安全、工業數據安全、工業雲安全等，相關概念之間的關系如圖1所示。

其中，工業互聯網安全屬于工業信息安全的子集，因為工業互聯網的兩大屬性是“工業”和“互聯”，而實際工業生産經營過程中，還存在未連入工業互聯網的工業系統和設備，其信息安全也屬于工業信息安全範疇。工業互聯網包括工業雲、工業數據、工業控制系統、工業物聯網及其他新興的工業互聯網形态。工業雲是工業互聯網平台及工業物聯網的基礎技術。工業互聯網平台除工業雲外，還包括邊緣層、工業應用以及平台上的工業數據，并且與工業物聯網有交叉關系。工業控制系統的硬件構件與物聯網之間存在交叉關系。由此，各相關對象之間的安全關系也有了對應關系。

綜上，與傳統計算機網絡安全相比，工業信息安全在保障對象、安全需求等方面有其特殊性。例如，工業信息安全的主要目的是确保工業(産業)發展的安全，其保護需求往往融合考慮了信息安全、功能安全和生産安全等多種安全需求，更側重于維護生産或運行過程的可靠穩定。工業屬性帶來的保護場景多樣、安全措施通用性較差等給工業信息安全帶來了挑戰，傳統的網絡安全保障體系已難以做到全面有效防護，亟待建立更專業的工業信息安全保障體系。

二、工業信息安全标準體系建設思路及框架

2019年3月8日，工業和信息化部與國家标準化管理委員會聯合發布《工業互聯網綜合标準化體系建設指南》，該指南第三章明确提出工業互聯網标準體系框架，框架對安全标準進行了系統的描述。2019年5月13日，《信息安全技術網絡安全等級保護基本要求》(GB/T 22239-2019)、《信息安全技術網絡安全等級保護測評要求》(GB/T28448-2019)等标準正式發布，等保2.0時代正式來臨。相較于等保1.0标準，等保2.0标準擴展了雲計算、移動互聯、物聯網、工業控制以及大數據安全等新技術新應用的安全保護要求，保護對象更加全面，内涵更加豐富。其中，等保2.0标準安全框架明确提出了“應針對等級保護對象特點建立安全技術體系和安全管理體系，構建具備相應等級安全保護能力的網絡安全綜合防禦體系”。依據《工業互聯網綜合标準化體系建設指南》及等保2.0标準的安全框架的要求，本文按照多維考慮、橫向分類、縱向分層的總體思想，構建了如圖2所示的工業信息安全标準體系框架。其中基礎共性标準是指基礎性、綱領性、框架性等方面的标準。橫向分類是指從多個維度分類提出工業信息安全标準，包括但不限于以下4個維度。

(1)生命周期安全防護：從設計、制造、集成、運行維護等工業産品全生命周期的安全需求出發，分别制定标準；

(2)基礎安全防護：包括設備和控制安全、平台安全、虛拟化安全、數據安全、标識解析安全、網絡和應用安全等；

(3)産品和服務安全：包括人提供的服務、雲、雲服務、服務類産品等的相關安全标準；

(4)安全監督管理：明确廠商、集成商、用戶、服務商、設計院等角色的安全主體責任，方便相關政府部門的安全監督管理。

分類、分層設計的目的是按照工業企業、邊緣接入、工業雲、工業APP等豎向層次提出工業領域的安全标準。

與等保2.0标準安全框架相比，本框架囊括了工業互聯網全生命周期安全技術和安全管理标準，這與等保2.0标準的要求相一緻。同時，本框架還擴展了安全服務标準要求，将安全技術要求從全生命周期安全防護和基礎安全防護2個角度進行細化。這樣更符合工業領域“流程化” 生産和管理的情況，從而能夠更全面、清晰地為工業互聯網安全标準的制定提供參考。

三、工業信息安全标準體系完善及落地

為加快推進工業信息安全标準體系的建設，下一步應重點從體系完善和标準落地方面着手，讓工業信息安全标準體系真正發揮指導性作用。

一是加強科研機構、高校、企業等各相關主體的合作，聯合多方共同完善标準體系。組織工業企業、工業互聯網平台企業、系統集成商、相關科研院所及研究機構等，共同編寫《工業信息安全标準化白皮書》等研究成果，建立完善科學、合理、可操作的工業信息安全标準體系。

二是按照标準體系開展标準研制，通過試點應用提高标準體系和相關标準的實用性。圍繞行業發展需求、企業需求等，切實發揮标準體系的指導作用，加快研制急需專用标準，并加強标準宣貫培訓和試點應用，解決行業、企業在工業信息安全管理和防護中的痛點、難點，及時根據技術的發展和企業的實際應用需求制定相關标準。

三是充分發揮各标準技術委員會的作用，加強各标準委員會的協調合作，指導相應的成員單位按照标準體系厘清标準定位、做好标準銜接。當前，國内有TC260、TC573、TC124等多個标準技術委員會緻力于信息安全标準化工作。其中，全國信息化和工業化融合管理标準化技術委員會(TC573)是在信息化和工業化融合(以下簡稱兩化融合)趨勢下成立的标準化工作組織，設有兩化融合管理體系(WG1)、工業互聯網管理(WG6)、工業信息安全(WG7)等标準工作組。WG7是國内建立的首個工業信息安全标準工作組，緻力于工業信息安全、工業互聯網安全等相關标準的研究、制修訂及宣貫培訓等工作。為進一步推進工業信息安全、工業互聯網安全等标準的制修訂和落地實施，WG7工作組應加強指導工作組各成員單位按照标準體系開展工業信息安全、工業互聯網安全等标準的研究及制修訂工作，并積極推動标準在相關行業企業的試點應用工作，确保工作組推行的标準在行業企業的适用性。同時，加強與其他标準技術委員會或工作組之間的交流合作，逐步形成分工明确、定位清晰、重點突出、相互補充的标準工作格局。

(原載于《保密科學技術》雜志2019年7月刊)

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!