2017年11月27日，國務院正式印發《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》（以下簡稱《意見》）。明確將安全作為工業互聯網三大功能體系之一，要求把握好安全與發展的辯證關系，堅持工業互聯網安全保障手段同步規劃、同步建設、同步運行，提升工業互聯網安全防護能力。此后的政策文件一直在不斷跟進、貫徹落實《指導意見》的要求。2021年3月，工信部發布的《2021年工業和信息化標準工作重點》立足于制造強國、網絡強國、質量強國和數字中國的建設全局，大力實施標準升級行動，提倡大力發展團體標準，統籌推進工業互聯網、標識解析、平臺和安全標準的制定，大力開展“5G+工業互聯網”和工業互聯網大數據中心的標準研究，支持工業互聯網+安全生產等行業行動和安全標準的制定。

       2021年4月10日，CITE2021 工業互聯網發展與安全峰會在深圳召開，國家工業信息安全發展研究中心標準質量處處長陳雪鴻在會上做了《工業互聯網安全標準進展簡介》主題演講。

國家工業信息安全發展研究中心標準質量處處長 陳雪鴻

什么是工業互聯網安全？

       “各種安全理念實際上在我們各種文件和標準中已經產生了一定的交叉”，陳雪鴻表示。如下圖所示，工業信息安全是最大的概念，其子集是工業互聯網安全。工業數據安全、工業平臺安全、工業云安全、工業物聯網安全、工業控制系統安全產生了一定的交叉。另外，工業互聯網的兩大屬性是“工業”和“互聯”，但在實際工業生產經營過程中，無論是離散工業還是流程工業中，均存在未連入工業互聯網的工業系統和設備，其信息安全屬于工業信息安全范疇，但尚不屬于工業互聯網安全。因此，還存在一種非聯網工控系統安全。

工業互聯網安全在保障誰？

        陳雪鴻表示，想要了解清楚工業互聯網安全需區分保障對象是什么，區分保障對象就要明白安全保障的重點。

       工業互聯網安全保障主要分為設備安全、控制安全、網絡安全、標識解析安全、平臺安全和數據安全，分別對應不同的保障對象。其中，設備安全主要指接入工業互聯網的終端設備的安全，重點是加強設備自身安全、完善終端接入安全認證；控制安全主要指PLC、SCADA、DCS等工業控制系統安全，既要提升自主可控的工控系統比例，又要將安全問題考慮到生產設計中；平臺安全主要指工業云平臺的安全，重點是加強工業云服務網絡安全管理，明確平臺管理和運行主體責任；數據安全主要指工業生產業務活動中的數據安全問題，要建立數據分級分類管理制度，形成數據流動管理機制，解決數據流動方向和路徑復雜導致的數據安全防護難度增大等問題；網絡安全主要指工業企業管理網、控制網和外網的安全，確保傳輸安全和運行安全。

       其中，我國控制安全的基礎相對比較薄弱。由于我國自主可控能力較弱，對于控制安全而言即需要提升自主安全的可控體系。中國電子在自主可控安全方面做了很多嘗試，同時將安全的問題考慮到生產設計中。由于很多工控系統是帶病運行的，因此一旦上線運行之后再改造安全就會非常困難。另外，如下圖所示，工業互聯網的業態也涉及到多種安全責任主體。

工業互聯網安全標準體系進展如何？

       談及工業互聯網安全標準體系的進展，陳雪鴻首先對比了國內外工業互聯網標準體系的發展趨勢?！皣夤I互聯網的安全標準最主要的特點是與其他的體系融合發展，”陳雪鴻如是說，“美國方面在工業互聯網標準組織方面在國際比較領先，對于物聯網、工業數據、工業云等方面的標準，專門成立工業互聯網聯盟（IIC）來開展工業互聯網安全標準和行業實踐研究；歐盟各國工業互聯網安全相關標準以關鍵基礎設施安全為重心?！?/p>

       國內工業互聯網的標準發展趨勢主要表現在四個方面：

       第一，推進完善各個領域的標準計劃，構建“綜合標準路線圖”；第二，加快研制急需專用標準，比如說平臺、標識解析、應用，主抓重點領域及易受威脅領域，如車聯網、家電等工業互聯網已得到應用的領域；第三，加強綜合防護，加快關鍵信息基礎設施安全標準研制；第四，瞄準新技術、新應用安全需求開展標準化工作。

       國內工業互聯網標準目前有三大現狀：工業控制系統安全標準制定推進成效顯著，工業互聯網網絡、數據、平臺安全標準加緊研制（但是國際標準尚未形成），以及正在逐步推進工業互聯網安全體系框架類標準的制定。從這樣的現狀中也體現出三大趨勢：標準研制體系化、標準影響擴大化以及標準合作國際化。

       之后，陳雪鴻為大家展示了具體標準體系的制定進展情況：

• 工控安全標準體系框架

       全國信息安全標準化技術委員會（TC260），開展工控安全標準研制，提出工控安全標準體系框架。

• 物聯網安全標準體系

       2019年10月，全國信息安全標準化技術委員會（TC260），發布《物聯網安全標準化白皮書》（2019版），提出物聯網安全標準體系框架。

• 數據安全標準體系

       2020年5月，全國信息安全標準化技術委員會（TC260），大數據特別工作組年度第一次會議周討論《數據安全標準體系研究報告》，提出數據安全標準體系。

• 云計算綜合標準化體系

       2015年11月，工信部發布《云計算綜合標準化體系建設指南》（工信廳信軟〔2015〕132號)，提出云計算標準體系。

• 智能制造標準體系

      2018年8月，工信部、國家標準化管理委員聯合發布《國家智能制造標準體系建設指南（2018年版）》，提出智能制造標準體系。

• 工業互聯網標準體系框架

       2016年8月，工業互聯網產業聯盟，提出工業互聯網標準體系框架。其中把工業互聯網標準體系分為總體類標準、技術工信標準和應用標準，在基礎工信標準里面提出安全標準，安全標準是有安全基礎支撐的標準，管理級服務的標準，網絡安全、控制安全、應用安全和數據安全的標準。

• 工業互聯網標準體系

       2019年1月，工業和信息化部、國家標準化管理委員會發布《工業互聯網綜合標準化體系建設指南》，提出工業互聯網標準體系，把工業互聯網標準體系分為基礎、共性、總體、應用三大類。同時在總體標準里面提出安全標準。安全標準區分為設備安全、控制系統安全、網絡安全、數據安全、平臺安全、應用程序安全以及安全管理。

       陳雪鴻之后介紹了國家工業信息安全發展研究中心在工業互聯網安全標準化方面作出的工作，包括成立WG7（工業信息安全標準組），致力于研究推進標準的促進以及工業信息標準體系的推進；牽頭參與的TC260標準研制工作；2019年12月，國家工業信息安全發展研究中心依托工業信息安全產業發展聯盟，發布《工業信息安全標準化白皮書（2019版）》，提出工業信息安全標準體系框架。

       目前國內已制定/發布主要工控安全標準如下表所示：

       目前國內已制定/發布主要云安全標準如下表所示：

       目前國內已制定/發布主要數據安全相關標準如下表所示：

       目前國內已開展工業互聯網安全國家標準研制的立項較少，主要標準如下表所示：

       陳雪鴻最后分享了對于工業互聯網安全標準體系下一步的工作思考：

       第一，  定期更新，及時梳理新技術、新概念新標準，為制定工業互聯網的安全標準提供體系化的思考；

       第二，  加強溝通交流，在相關主管部門的指導和協調下，充分發揮各標準化技術委員會的作用，加強溝通合作。同時，標準承研單位在標準研制過程中積極與相關標準化技術委員會進行溝通確認，充分考慮標準的銜接性和實用性，避免出現標準重復、沖突等現象。

       第三，  加快研制與落地，加快急需標準的研制，加強標準的宣貫、培訓和試點的應用，發揮標準引導的作用。同時加強各個標委會的溝通與交流，在相關主管部門的指導和協調下，工信部給國標委專門致函要求工業互聯網的相關標準一定要得到工信部的認同之后才能進行相應的發布。