關(guān)基保護實踐中的工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全風險及防護對策研究

王奕鈞 黃長慧 賈艷 郝艷 陳晨 公安部第一研究所

引言

近年來，隨著以大數(shù)據(jù)技術(shù)、云計算和邊緣計算等技術(shù)為代表的新一代數(shù)字技術(shù)的興起，全球開始進入數(shù)字經(jīng)濟時代，并開始與傳統(tǒng)產(chǎn)業(yè)加速融合，“工業(yè)互聯(lián)網(wǎng)”開始嶄露頭角。根據(jù)工業(yè)互聯(lián)網(wǎng)聯(lián)盟對工業(yè)互聯(lián)網(wǎng)的定義：工業(yè)互聯(lián)網(wǎng)是互聯(lián)網(wǎng)和新一代信息技術(shù)與工業(yè)系統(tǒng)全方位深度融合所形成的產(chǎn)業(yè)和應(yīng)用生態(tài)，是工業(yè)智能化發(fā)展的關(guān)鍵綜合信息基礎(chǔ)設(shè)施[1]。工業(yè)互聯(lián)網(wǎng)正在深刻改變傳統(tǒng)制造業(yè)的生成方式、組織方式和商業(yè)模式，也不斷推動了全球工業(yè)制造業(yè)的快速發(fā)展。我國也正在全面體系化的推進著工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展，在黨中央、國務(wù)院的決策部署下，我國工業(yè)互聯(lián)網(wǎng)頂層設(shè)計已經(jīng)明確。2023年全國工業(yè)和信息化工作會議更是作出部署，要“完善工業(yè)互聯(lián)網(wǎng)技術(shù)體系、標準體系、應(yīng)用體系”[2]。預計2023年，我國將繼續(xù)加大對工業(yè)互聯(lián)網(wǎng)的支持力度，持續(xù)打出央地協(xié)同的政策“組合拳”。

針對工業(yè)領(lǐng)域的惡意攻擊持續(xù)增加，敵對組織、黑客團伙一直在探測、驗證更多的有效攻擊渠道、攻擊方式，實現(xiàn)對工業(yè)領(lǐng)域關(guān)鍵系統(tǒng)的成功入侵與破壞。無論是愈加成熟的高級持續(xù)性威脅（Advanced Persistent Threat，APT）攻擊，還是新興的勒索攻擊，都在給工業(yè)生產(chǎn)帶來極為嚴重的影響，并造成愈加巨大的損失。烏克蘭斷網(wǎng)事件、西班牙Iberdrola電力公司遭遇WannaCry勒索、特斯拉公司計算資源被植入挖礦軟件等攻擊事件，攻擊者都實現(xiàn)了對工業(yè)網(wǎng)絡(luò)和互聯(lián)網(wǎng)絡(luò)的攻擊穿透、侵襲滲透與盜取破壞[3]。隨著工業(yè)互聯(lián)網(wǎng)系統(tǒng)建設(shè)的加速推進，必然會帶來更多的防御縫隙和攻擊暴露面，而我國的工業(yè)互聯(lián)網(wǎng)已廣泛應(yīng)用于能源、電力、交通、軍工、航空航天、醫(yī)療等涉及國計民生的傳統(tǒng)產(chǎn)業(yè)，并且涉及到國家關(guān)鍵信息基礎(chǔ)設(shè)施，因此其安全防護工作尤為重要。

公安部高度重視國內(nèi)重要信息系統(tǒng)尤其是關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護工作，在深入貫徹實施網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，組織全國公安機關(guān)不斷加強網(wǎng)絡(luò)安全保衛(wèi)工作，維護國家關(guān)鍵信息基礎(chǔ)設(shè)施安全[4]。在開展關(guān)鍵信息基礎(chǔ)設(shè)施保護的實踐過程中發(fā)現(xiàn)，我國工業(yè)互聯(lián)網(wǎng)依然存在諸多安全風險，主要表現(xiàn)在設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、應(yīng)用安全和數(shù)據(jù)安全五個方面。

一、工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全風險

工業(yè)互聯(lián)網(wǎng)打破了傳統(tǒng)工業(yè)的封閉環(huán)境，其范圍、復雜度和安全風險都會隨之增加，在開展關(guān)鍵信息基礎(chǔ)設(shè)施保護的工作過程中發(fā)現(xiàn)，針對工業(yè)系統(tǒng)的網(wǎng)絡(luò)安全問題開始不斷暴露，網(wǎng)絡(luò)安全風險將成為工業(yè)互聯(lián)網(wǎng)的主要安全風險。通過分析工業(yè)互聯(lián)網(wǎng)的架構(gòu)和組成元素的特殊性，可以從設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、應(yīng)用安全和數(shù)據(jù)安全五個方面總結(jié)分析出工業(yè)互聯(lián)網(wǎng)面臨的網(wǎng)絡(luò)安全風險[5]。

（一）設(shè)備安全

原本相對封閉的傳統(tǒng)生產(chǎn)設(shè)備的信息化程度不高、智能化水平不高，大量設(shè)備安全性十分薄弱，本身存在可以被利用的安全漏洞，隨著工業(yè)互聯(lián)網(wǎng)終端設(shè)備“智能化、網(wǎng)絡(luò)化、扁平化”的發(fā)展趨勢，生產(chǎn)環(huán)節(jié)中人機交互的過程和邊界逐漸被壓縮、取代甚至消失，這將導致海量設(shè)備直接暴露在網(wǎng)絡(luò)攻擊之下，現(xiàn)有的存量設(shè)備面對著巨大的安全風險。

首先，工業(yè)互聯(lián)網(wǎng)中的設(shè)備種類繁多、生產(chǎn)廠家遍布全球，各種設(shè)備采用不同的操作系統(tǒng)，相同的操作系統(tǒng)不同版本間的功能也存在差異。由于缺乏工業(yè)設(shè)備的準入標準，同一版本的操作系統(tǒng)，不同廠家也對其做了定制化的修改，這就為存量設(shè)備網(wǎng)絡(luò)安全改造增加了很多困難。

其次，工業(yè)互聯(lián)網(wǎng)中的控制、生產(chǎn)設(shè)備對于可靠性、實時性和穩(wěn)定性的要求很高。網(wǎng)絡(luò)安全功能的引入會增加開銷和延遲，甚至會影響原本穩(wěn)定的工業(yè)設(shè)備功能，引入新的安全防護設(shè)備也會打破原本穩(wěn)定的工業(yè)網(wǎng)絡(luò)結(jié)構(gòu)。如何平衡功能穩(wěn)定和網(wǎng)絡(luò)安全，成為最具挑戰(zhàn)的技術(shù)難題。

最后，互聯(lián)網(wǎng)上廣泛使用的攻擊手段可以平移攻擊工業(yè)互聯(lián)網(wǎng)中的智能化、嵌入式設(shè)備。工業(yè)互聯(lián)網(wǎng)的智能化發(fā)展依賴大量的嵌入式、高性能設(shè)備，這些設(shè)備形成的網(wǎng)絡(luò)攻擊暴露面突破口數(shù)量龐大，木馬、病毒、APT等攻擊都可以通過網(wǎng)絡(luò)滲透到這些工業(yè)設(shè)備中，并以指數(shù)級的速度、層出不窮的手段感染擴散，最終對終端造成業(yè)務(wù)破壞或者進行惡意控制形成“僵尸網(wǎng)絡(luò)”。

（二）控制安全

工業(yè)控制系統(tǒng)廣泛運用于能源、電力、交通、軍工、航空航天、醫(yī)療以及市政等領(lǐng)域，用于控制關(guān)鍵生產(chǎn)設(shè)備的運行。隨著工控系統(tǒng)越來越開放，控制系統(tǒng)與外界的隔離逐漸被打破，隨著黑客攻擊技術(shù)的不斷發(fā)展，工控系統(tǒng)的安全隱患問題日益嚴峻，任何一點遭受攻擊都有可能導致整個系統(tǒng)癱瘓。

首先，傳統(tǒng)的工業(yè)控制系統(tǒng)缺乏網(wǎng)絡(luò)安全的頂層設(shè)計。傳統(tǒng)的工業(yè)控制安全主要專注于控制過程的功能安全；現(xiàn)有控制協(xié)議、控制軟件的設(shè)計基于信息網(wǎng)絡(luò)和控制網(wǎng)絡(luò)相對隔離，以及控制網(wǎng)絡(luò)相對可信這兩個前提；并且需要滿足高實時性和高可靠性的要求。因此，諸如認證、授權(quán)、加密等安全功能或者被弱化或者被舍棄，生產(chǎn)控制網(wǎng)絡(luò)安全防御頂層設(shè)計的缺失成為工業(yè)互聯(lián)網(wǎng)演進過程中的重要安全問題。

其次，對控制層設(shè)備開展安全防護面臨諸多困難?？刂茖釉O(shè)備對實時性、可靠性的嚴苛要求導致傳統(tǒng)的互聯(lián)網(wǎng)信息安全技術(shù)難以直接應(yīng)用到工業(yè)現(xiàn)場。傳統(tǒng)控制層設(shè)備主要使用物理隔離的手段，隨著工業(yè)互聯(lián)網(wǎng)的“互聯(lián)互通”，使得控制層開始暴露給外部公共網(wǎng)絡(luò)，破壞了物理隔離的安全保障。此外，控制層設(shè)備通常會常年運行，受各種因素影響，控制層設(shè)備幾乎從不進行軟硬件升級，其安全漏洞難以及時消除，存在極大的安全隱患。

再次，傳統(tǒng)控制環(huán)境中的工業(yè)協(xié)議將面臨很多網(wǎng)絡(luò)安全問題。例如基于微軟的DCOM協(xié)議改造形成的OPC協(xié)議，但由于DCOM協(xié)議本身就存在安全隱患，因此OPC協(xié)議也極易被黑客攻擊利用。再比如DNP3.0協(xié)議，設(shè)計時在鏈路層報文頭中包含數(shù)據(jù)長度值、功能碼、限定詞，功能碼和限定詞可以限定數(shù)據(jù)部分的大小，但協(xié)議實現(xiàn)時并未對三者之間的計算關(guān)系進行校驗，直接導致非法構(gòu)造的數(shù)據(jù)會被接受，進而引起緩沖區(qū)溢出。

最后，隨著工控系統(tǒng)越來越開放，高級持續(xù)性威脅（Advanced Persistent Threat，APT）成為威脅最大的攻擊。工業(yè)互聯(lián)網(wǎng)的發(fā)展使得控制網(wǎng)絡(luò)逐漸暴露在APT攻擊的攻擊范圍之內(nèi)，但APT攻擊往往長期經(jīng)營、高度隱蔽，由多種攻擊手段聯(lián)合組成，因此需要多種安全監(jiān)測手段，甚至還需要人工介入輔助分析和識別，才能發(fā)現(xiàn)潛伏在工業(yè)互聯(lián)網(wǎng)上的APT攻擊線索和事件，因此目前工業(yè)互聯(lián)網(wǎng)缺少對APT攻擊有效的檢測和防護能力。

（三）網(wǎng)絡(luò)安全

隨著工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)IP協(xié)議化和無線化的發(fā)展導致很多工業(yè)現(xiàn)場層網(wǎng)絡(luò)協(xié)議向IP協(xié)議轉(zhuǎn)變，無線的引入在帶來便捷的同時也將網(wǎng)絡(luò)邊界變得模糊不清，“端到端”的發(fā)展思路將工業(yè)互聯(lián)網(wǎng)的邊界不斷外擴，這些都使傳統(tǒng)互聯(lián)網(wǎng)的安全風險直接平移到工業(yè)互聯(lián)網(wǎng)中，但是同時受限于工業(yè)互聯(lián)網(wǎng)的特殊性，又不能將互聯(lián)網(wǎng)成熟的網(wǎng)絡(luò)安全方案應(yīng)用其中。

首先，在互聯(lián)網(wǎng)中針對TCP/IP協(xié)議的攻擊手段與方法已經(jīng)非常成熟和普遍，而這些手段和方法同樣可以在工業(yè)物聯(lián)網(wǎng)中直接使用。例如：以太網(wǎng)IP協(xié)議逐漸取代專有協(xié)議成為工業(yè)互聯(lián)協(xié)議的主流，直接降低了攻擊工業(yè)互聯(lián)網(wǎng)的技術(shù)門檻；工業(yè)互聯(lián)網(wǎng)中使用的以外網(wǎng)交換機多為10M/100M的性能偏低的設(shè)備，互聯(lián)網(wǎng)上流行的DDoS攻擊輕松對工業(yè)互聯(lián)網(wǎng)造成局部癱瘓；工廠中的網(wǎng)絡(luò)互聯(lián)、生產(chǎn)、運營逐漸向互聯(lián)網(wǎng)上追求效率最大化、分析智能化、配置動態(tài)化方向進化，靜態(tài)的安全防護策略如何適配調(diào)整也成了工業(yè)互聯(lián)網(wǎng)安全的瓶頸。

其次，由于組網(wǎng)方便、不受物理隔離的限制，無線互聯(lián)技術(shù)也在逐漸向工業(yè)領(lǐng)域滲透。目前無線互聯(lián)技術(shù)主要應(yīng)用于信息采集、非實時控制和工廠內(nèi)部信息傳輸，主要包括Wi-Fi、Zigbee、2G/3G/LTE、WIA-PA、WirelessHART等。無線網(wǎng)絡(luò)協(xié)議本身接入、傳輸都存在安全缺陷，極易受到非法入侵、信息泄露、拒絕服務(wù)等攻擊。

最后，為了提升生產(chǎn)效率，在工業(yè)互聯(lián)網(wǎng)上承載了工廠從生產(chǎn)需求起至產(chǎn)品交付乃至運維的“端到端”的生產(chǎn)服務(wù)模式，因此工業(yè)互聯(lián)網(wǎng)需要應(yīng)對更靈活的組網(wǎng)需求，致使網(wǎng)絡(luò)拓撲變得更加復雜，進而導致傳統(tǒng)的防護策略和防護手段的防護效果大打折扣。同時，工業(yè)生產(chǎn)對信息交互實時性、可靠性具有較高的要求，難以接受復雜的安全機制，使得工業(yè)互聯(lián)網(wǎng)的防護邊界在不斷外擴的同時安全機制、防護能力沒有同步加強。

（四）應(yīng)用安全

工業(yè)互聯(lián)網(wǎng)應(yīng)用主要包括工業(yè)互聯(lián)網(wǎng)平臺與工業(yè)應(yīng)用程序兩大類，其范圍覆蓋智能化生產(chǎn)、網(wǎng)絡(luò)化協(xié)同、個性化定制、服務(wù)化延伸等方面。隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，支撐工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)運行的應(yīng)用軟件及平臺大幅增加，如WEB、企業(yè)資源計劃（ERP）、產(chǎn)品數(shù)據(jù)管理（PDM）、客戶關(guān)系管理（CRM）以及正越來越多企業(yè)使用的云平臺及服務(wù)等。這些應(yīng)用軟件面臨傳統(tǒng)的病毒、木馬、漏洞等安全挑戰(zhàn)。云平臺及服務(wù)也面臨著虛擬化中常見的違規(guī)接入、內(nèi)部入侵、多租戶風險、跳板入侵、內(nèi)部外聯(lián)、社工攻擊等內(nèi)外部安全挑戰(zhàn)。另外，隨著其他新技術(shù)的引用，比如人工智能和區(qū)塊鏈等技術(shù)的引入，這些新技術(shù)的使用也會將安全風險引入到工業(yè)互聯(lián)網(wǎng)當中。

同時，隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，未來會出現(xiàn)數(shù)量龐大的百萬級的工業(yè)應(yīng)用程序App，而且業(yè)務(wù)多種多樣[6]，其中有多數(shù)工業(yè)App和生產(chǎn)設(shè)備有很大的關(guān)聯(lián)，通過App可以監(jiān)測和控制生產(chǎn)設(shè)備的運行及業(yè)務(wù)狀態(tài)，因此工業(yè)應(yīng)用程序App也是十分關(guān)鍵的攻擊入口之一。由于受編程語言的限制，App本身的安全強度不夠，攻擊者只需具備一定的技術(shù)功底，就可以輕松發(fā)現(xiàn)App內(nèi)的核心信息或者直接進行控制。而工業(yè)互聯(lián)網(wǎng)數(shù)量龐大的工業(yè)App，業(yè)務(wù)不同，安全需求也各不相同，如何進行安全防護和統(tǒng)一的安全管理面臨巨大的挑戰(zhàn)。

（五）數(shù)據(jù)安全

數(shù)據(jù)安全遍布工業(yè)互聯(lián)網(wǎng)各個環(huán)節(jié)，在工業(yè)互聯(lián)網(wǎng)各個節(jié)點流動，所有的管理數(shù)據(jù)和操作數(shù)據(jù)都不斷產(chǎn)生并且存儲在工業(yè)互聯(lián)網(wǎng)云平臺中，同時其安全挑戰(zhàn)也將貫穿于數(shù)據(jù)產(chǎn)生、使用、傳輸、存儲、共享和銷毀整個數(shù)據(jù)生命周期中。

數(shù)據(jù)是工業(yè)互聯(lián)網(wǎng)的核心。工業(yè)數(shù)據(jù)包括工業(yè)領(lǐng)域信息化應(yīng)用中所產(chǎn)生的數(shù)據(jù)，主要有現(xiàn)場設(shè)備數(shù)據(jù)、生產(chǎn)管理數(shù)據(jù)和外部數(shù)據(jù)。工業(yè)數(shù)據(jù)體量大、種類多、結(jié)構(gòu)復雜，正在由少量的、單一的、單向的數(shù)據(jù)向大量的、多維的、雙向的數(shù)據(jù)轉(zhuǎn)變。大量機器設(shè)備的高頻數(shù)據(jù)和互聯(lián)網(wǎng)數(shù)據(jù)持續(xù)涌入，數(shù)據(jù)體量巨大，而且數(shù)據(jù)分布廣泛，分布于機器設(shè)備、工業(yè)產(chǎn)品、系統(tǒng)管理、互聯(lián)網(wǎng)等各個環(huán)節(jié)，既有結(jié)構(gòu)化和半結(jié)構(gòu)化的傳感數(shù)據(jù)，也有非結(jié)構(gòu)化數(shù)據(jù)，數(shù)據(jù)處理需求多種多樣，如生產(chǎn)現(xiàn)場要求實現(xiàn)實時時間分析達到毫秒級，管理與決策應(yīng)用需要支持交互式批量數(shù)據(jù)分析。另外，工業(yè)互聯(lián)網(wǎng)標識解析系統(tǒng)中存儲了大量涉及到國計民生的敏感數(shù)據(jù)，也需要提供隱私保護、真實認證、抗攻擊能力等。這些工業(yè)數(shù)據(jù)在信息網(wǎng)絡(luò)和控制網(wǎng)絡(luò)之間、工廠內(nèi)外雙向流動共享，不管數(shù)據(jù)是通過大數(shù)據(jù)平臺存儲，還是分布在用戶、生產(chǎn)終端、設(shè)計服務(wù)器等多種設(shè)備上，海量數(shù)據(jù)都將面臨數(shù)據(jù)丟失、泄露、篡改等安全威脅。

因此，工業(yè)領(lǐng)域業(yè)務(wù)應(yīng)用復雜，數(shù)據(jù)量龐大，數(shù)據(jù)種類和保護需求多樣，數(shù)據(jù)流動方向和路徑復雜，但是目前針對數(shù)據(jù)的生產(chǎn)、存儲、傳輸、使用、共享和銷毀，在各個層面上都缺乏對數(shù)據(jù)統(tǒng)一的安全管理，對重要工業(yè)數(shù)據(jù)以及用戶數(shù)據(jù)的保護也帶來極大的安全挑戰(zhàn)。

二、防護對策

GB/T 39204-2022《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求》（以下簡稱《關(guān)保要求》）于2023年5月1日正式實施，作為我國首個關(guān)保國家標準，對關(guān)保落地實施有著十分重要的指導意義。《關(guān)保要求》承接了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等國家法律法規(guī)，在網(wǎng)絡(luò)安全等級保護的基礎(chǔ)上，為全面開展關(guān)保提出了更加全面、更加細致的操作性要求。對工業(yè)互聯(lián)網(wǎng)的安全防護也應(yīng)參照《關(guān)保要求》從分析識別、安全防護、檢測評估、監(jiān)測預警、主動防御、事件處置六個方面開展。

首先，分析識別網(wǎng)絡(luò)邊緣設(shè)備和提升安全接入管控能力。圍繞工業(yè)互聯(lián)網(wǎng)平臺邊緣計算層對設(shè)備安全管控、接入認證、權(quán)限控制等安全能力的需求，開展互聯(lián)網(wǎng)暴露面資產(chǎn)測繪，突破邊緣設(shè)備可信接入、快速鑒權(quán)、動態(tài)阻攔、追蹤溯源等關(guān)鍵技術(shù)，實現(xiàn)邊緣層設(shè)備、系統(tǒng)接入平臺的可信、可管、可控、可審計和可追溯。

其次，建立工業(yè)互聯(lián)網(wǎng)平臺安全綜合防御體系。圍繞工業(yè)互聯(lián)網(wǎng)平臺各層次中關(guān)鍵硬件、軟件組件的安全需求，結(jié)合平臺安全參考框架，從安全防護對象、安全角色、安全威脅、安全措施、生命周期五個視角統(tǒng)籌規(guī)劃工業(yè)互聯(lián)網(wǎng)平臺安全建設(shè)，圍繞設(shè)備、網(wǎng)絡(luò)、系統(tǒng)、服務(wù)、數(shù)據(jù)等重點領(lǐng)域，在平臺各層面部署安全技術(shù)與安全管理措施，建立工業(yè)互聯(lián)網(wǎng)平臺安全綜合防御體系，提升平臺綜合防御能力。

再次，完善工業(yè)互聯(lián)網(wǎng)相關(guān)設(shè)備檢測并建立準入機制。梳理工業(yè)互聯(lián)網(wǎng)關(guān)鍵設(shè)備，對設(shè)備進行分類分級；完善相關(guān)安全標準規(guī)范，建立體系健全的工業(yè)互聯(lián)網(wǎng)設(shè)備安全監(jiān)管和安全準入機制，保證設(shè)備在使用前進行嚴格的安全檢測。

同時，建立常態(tài)化監(jiān)測預警、快速響應(yīng)機制。與各網(wǎng)絡(luò)安全監(jiān)管部門、行業(yè)內(nèi)上下級單位、外部網(wǎng)絡(luò)安全企業(yè)建立通報預警通道、網(wǎng)絡(luò)安全信息共享機制。監(jiān)測網(wǎng)絡(luò)關(guān)鍵節(jié)點部署攻擊監(jiān)測設(shè)備、關(guān)鍵業(yè)務(wù)所涉及的系統(tǒng)，收集網(wǎng)絡(luò)內(nèi)網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各類設(shè)備和系統(tǒng)的安全日志，采用人工智能、大數(shù)據(jù)分析等技術(shù)自動化關(guān)聯(lián)分析各類信息，生成網(wǎng)絡(luò)安全預警信息，并對預警進行響應(yīng)。

另外，研究工業(yè)互聯(lián)網(wǎng)平臺敏感數(shù)據(jù)可信交換與威脅情報共享機制。隨著工業(yè)互聯(lián)網(wǎng)平臺業(yè)務(wù)場景對數(shù)據(jù)分析決策的多樣化，對平臺數(shù)據(jù)資源開放共享、互聯(lián)互通的要求日益提高，不同行業(yè)、領(lǐng)域平臺間數(shù)據(jù)交互需求日益增多，數(shù)據(jù)的攻擊面被進一步擴大。需結(jié)合工業(yè)數(shù)據(jù)分級分類相關(guān)標準，圍繞工業(yè)互聯(lián)網(wǎng)平臺敏感數(shù)據(jù)可信交換共享的需求，研究敏感數(shù)據(jù)識別、標記、保護、跨平臺流動管控、審計、用戶差異化訪問及相關(guān)軟件和進程的安全保護等技術(shù)，確保敏感數(shù)據(jù)在不同域工業(yè)互聯(lián)網(wǎng)平臺間交換共享過程的安全可信。建立網(wǎng)絡(luò)威脅情報共享機制，實現(xiàn)基于威脅情報的協(xié)同防御體系，了解攻擊者的目標、手段以及慣用手法，了解攻擊鏈條，才有可能發(fā)現(xiàn)APT等高級別威脅。

最后，加快工業(yè)互聯(lián)網(wǎng)企業(yè)與安全企業(yè)聯(lián)合協(xié)同。工業(yè)企業(yè)本身網(wǎng)絡(luò)安全技術(shù)不高，人才儲備不足，面臨設(shè)備部署成本高、防御效果難評估、安全運維投入大、應(yīng)急響應(yīng)預案不充分等問題，而且由于生產(chǎn)技術(shù)保密等各種考慮，其與網(wǎng)絡(luò)安全企業(yè)的合作不夠深入。著力推廣工業(yè)互聯(lián)網(wǎng)平臺企業(yè)、工業(yè)企業(yè)、安全企業(yè)的聯(lián)合協(xié)同，整合各自優(yōu)勢資源、采用多種合作形式，實現(xiàn)工業(yè)互聯(lián)網(wǎng)平臺安全建設(shè)和推廣，提升平臺安全服務(wù)水平。

三、結(jié)語

當傳統(tǒng)的工業(yè)制造與新興信息技術(shù)、互聯(lián)網(wǎng)技術(shù)相融合后，一個全新的工業(yè)時代正在人們面前徐徐拉開序幕，工業(yè)互聯(lián)網(wǎng)正是這一發(fā)展進程的產(chǎn)物。由于工業(yè)互聯(lián)網(wǎng)廣泛應(yīng)用于能源、電力、交通、軍工、航空航天、醫(yī)療以及市政等領(lǐng)域，涉及到眾多國家關(guān)鍵基礎(chǔ)設(shè)施，因此對工業(yè)互聯(lián)網(wǎng)的安全防護工作就顯得尤為重要。但是對工業(yè)互聯(lián)網(wǎng)的防護是一項長期性、高難度、高復雜性的系統(tǒng)工程，仍然需要各行業(yè)主管單位開展頂層設(shè)計，完善網(wǎng)絡(luò)安全制度、標準指引工業(yè)互聯(lián)網(wǎng)安全發(fā)展；需要研發(fā)創(chuàng)新防護手段，對工業(yè)互聯(lián)網(wǎng)平臺、工業(yè)控制系統(tǒng)、工業(yè)大數(shù)據(jù)系統(tǒng)開展攻擊防護、漏洞挖掘、入侵發(fā)現(xiàn)、態(tài)勢感知等安全防護工作[7]；打造安全監(jiān)測預警和防護處置平臺，實現(xiàn)對工業(yè)現(xiàn)場生產(chǎn)設(shè)備的實時威脅監(jiān)測、威脅預警、威脅分析、威脅定位和快速處置，有針對性地保護工業(yè)互聯(lián)網(wǎng)設(shè)備；依托網(wǎng)絡(luò)與信息安全信息通報機制，開展監(jiān)管單位、主管單位與企業(yè)間的網(wǎng)絡(luò)安全信息共享與協(xié)調(diào)聯(lián)動工作，全面提升我國工業(yè)互聯(lián)網(wǎng)的安全防護水平，保證我國工業(yè)互聯(lián)網(wǎng)的健康發(fā)展。