工业互联网数字孪生-工业互联网安全框架研究

工业互联网安全框架研究 1 概志 意见}后, 工业互联网成为中国制造业发展的重要方 向,也是建设制造强国的重要抓手。 伴随着新一代信息技术向传统产业融合洪透.世 在市场环境.科技革命和产业转型的综合作 界范围内新一轮工业革命引发了制造模式.生产方式 用 下, 制造模式旺现出智能化生产,个性化定制,网络 和组织形态的变革, 推动着智能制造.网络制造和服。。 化 协同和服务化延伸趋势。系统措建以网络 .平台、 务型制造等新型制千模式渭现, 人生出赤字驱动和两 。。 安 全为核心的功能体系,为建设制造强国网络强国提 化融合的工业新业态。世界各国积极抢抓新一轮工业 。 供 关键支择和重要机明, 为经济转型升级和供给例结 革命的机过,德国工业 4.0、美国先进制造伙伴计划、。。 构 性改革提供新动能, 为制造资源优化配置和效率提 中国制造2025 等一系列国家战略相经推出,工业互联 。 升 提供新手段 网发展的国际这争日趋油烈，2017 年国务院发布{关 工业互联网打破了传统工业相对封闭可信的环 于深化 互联网+先进制造业"发展工业互联网的指导 。。 境,导致病毒.木马和网络攻击等安全风险对工业生 产和关键基础设施的威胁日益加剧,一旦受到安全攻 改期 2019.02.28 击,不仅会造成巨大的经济损失, 甚至会危及公众生  活和国家安全。因此保障工业互联网的安全可控是 。 出了人工业互联网体系架构》 涵盖了工业互联网的内 通、 确保智能制造在生产领域实施的必要前所。 业务需求,体系架构、关刍要素和实施目标。2016 年 12 工业互联网的发展而着多种安全问题,工业互 。。 月,日本工业价值链促进会 (VI 发布了4日本互联工业价 联网安全是全局的、多层次`多维度的系统性安全 各 各人过让全全必的放生用作关多村久直全。 值和的战隐实施私交》,提出了新一代工业 互联网参考 协和夺二丰 二和全帮且生汪下人全二。架 构 【Industrial Value Chan Reference Ar 和和协同层安全威及 从体系加的角度.安全不助可 。 chitecture ,成为指导日本产业界发展工业王联网的顶 分为设备层安全威且.网络层安全威胁,应用层安全厂 。 民权村 腑,数据层安全万二.控制层安全威胁,人员管理万助和 2016年9月 甘国工业王联网联盟1 发布了 高级持续性威及 代业互联网安全框加),定义了工业互联网的五大安 数字化.网络化,智能化生产设备安全,训到滑生 产 全特性, 即信息安全.功能安全可靠性、漳性和隐私 模式下的网络安全, 生产控制系统安全,应用安全，工 安全 从商业、功能和实现角度提出了工业互联网建 业数据和用户数据安全成为工业互联网刍康有序 发展 。设和部署实施的指导准则~ 更待解决的问题。工业互联网安全保障体系作为支撑 为推动工业互联网安全, 工全部相继发布了《工 智能化生产的安全防护保障以及工业互联网应用安全 。 业控制系统信息安全防护指南《工业控制系统信息 运行和持续服务的前提条件,具有重要的研究意义， 安全事件应急管理工人指南)工业控制系统信息安 央 全防护能力评估工作管理办法》和《工业控制系统信 2 标准体系 息安全行动计划 人2018一2020) }等指导文件。 标准是指导工业互联网发展的依据和准则,是确 2018 年 2 月.中国工业互联网产业联盟 AI] 发 保工业互联网健康发展的前提条件。我国工业互联 了《工业巨联网安全框架 计论黎》,为中国工业互联 网的发展基础和水平与发达国家相比,存在较大网相关企业构建安全体系提供顶层框架模型,为应对 差 中,标准体系的不完善是其中重要原因之一。在发 。 日益增长的安全威助和实施部村安全防护措施提供 展 工业互联网的党争中,标准成为了各国相继争夺的。。 有效指导- 战略制高点。只有形成了科学成规范的综合标准 中国通信标准化协会(CCSA) 已经立项了《工业互 体 系,才能在技术产品和服务方面取得系统性推进 。 联网平台安全防护要求)《工业互联网数据安全保护 的优势 要求》《工业互联网安全接入技术要求》《工业巨联网 目前, 以国际电工委员会 IE .美国工业互联网 。。 网络安全总体要求}等相关标准 联盟 (1Q .德国电工电子与信息技术标准化委员全 中国工业互联网产业联时AI) 在人工业互联网体系 DK昌 和中国工业巨联网产业联盟 All 为代表的相 关 。 架构 咕本 1.0)}中提出了工业互联网标准体系建设的 组织均在积极布局和推进工业互联网标准化工作。 总体思路、基本原则标准体系框架,重点标准化方 各， 总体而言,工业互联网标准化还处于起步阶段,将面 。 具体如图 1 所示。在安全标准方面主要包括安全 基础 俐长期的探索与研究过程,标准组织多将工作重点放。 支择标准\安全管理及服务标准设备安全标准、网络 在了顶层设计.参考架构.基础共性,黑求用例、关键 安全标准,控制安全标准,应用安全标准、孝据安全标准 技术和安全等方面 等. 德国电工电子与信息技术标准化委员会 DKB 于 3 安全框架 2015 年4 月发布了工业 4.0 参考架构模型 RAMI4.0 从产品生命周期/价值链、层级和架构 3 个维度对工业 安全是保障工业互联网健康有序发展的前提。 4.0 进行猫述。美国工业互联网联盟于 2015 年 6 月发 。 明确安全防护对象, 有效地识别和防范安全威助，建 布了氏业互联网参考架析》.提出了一大方法论和模 立叶穿全产业链、全生命周期的安全体系,将安全风险 型, 以业务价值驱动系统设计, 以孝据驱动调到端的 业 化解于未然,对工业互联网发展具有重要意义= 务优化,2016 年 8 月中国工业互联网产业联盟也扒 工业互联网安全框架作为工业互联网安全体系 的顶层设计和实施网要,指导着安全防护措施的 部 团、实施和评估, 促进工业互联网企业的系统性安 全 54 2019o4DTPT  开业人 IE 和允化和标准 本 网做协同时痊 站标闪| 务化下人标准 测评人时间 [| 人 | 困1 工业瑟联网安全标准体和| 防护能力的提升,为工业互联网数字化.网络化.智能 3.1 美国1C 工业互联网安全框架 化发展提供安全可信环境- 美国工业互联网联盟在人工业互联网参考架构》 工业领域的安全可分为信息安全、功能安全和物 。 中提出了一个标准化的开放式体系架构,定义了业 人和全作这二全 务、用途、功能和执行 4 个层面的组件, 并建议从上述 注的重点。 信 全 设计 从业 和人 人区和和。 人 的重视需要对工业互联网安全框可的功能安全物。。 务视角保 人 再安全和信息安全进行统等考虑,建立面向工业需求开设施是重点考认因妆” 从用这视角汪实和控制不 的雪宇技术入管洒体素 同训点的能力,保障活动进行过程中员到器的安全管 传统的网络安全杠梨包括以下内容; 理，从动能视角关注数据流和控制流在控制城.操作 二,信息域,应用和和业务域的完整性保密性和可用 旨 051 安全体系,定义了 5 类安全服务和 8 灶安全 性。从执行视角保障庙到端的安全包括终测安全、通 日 P2DR Policy protection Detection Responsa 模 。 信安全 ,数据安全 首理和控制安全、信息交换安全 型 从部署安全防护,检测安全风险,响应处置风险 3个。 等 方面形成一个良性反馈,动态调节的安全外环。 在工业互联安全的统等考上中 应所间传统的 信息保障技术扯架Information Assurance 。 上 和 OT 分而治之的思维模式,将两者合而治之, 这也 Technical Frameworl 通过对基础没施.计算环境.网 。 是工业互联网参考架构 IRA将 站 和 OT 的功能在一和 络边界等方面的安全防护, 保障人、技术和操作 3 个核 。 下的功能城中直行融合的原因所在 全全要 为进一步加强工业互联风安全研究和实施.美国 由 IEC62443工业控制系统安全防护标准 按时分 。 工业互联站联盟人1Q 发布了人开业互联加安全本总》， 层分域分级的控制和管理理念进行安全纵深防彻 从吉攻视重出伏 定祥了3个层次的5个安全管 几 日 PC4R Perception Connection Conversion Cyber 时 和和 Cognition Response 模型由信息感知,数据汇集、转化 一 > ， 和 网吉 "了知预测和响应决生等6 个半东过程。 数据保护层和安全杞型策政司主要提供朗层支持- 外 英点保护 实现设备在边缘个和云侧的防御 - 点 和okecok ak 下全人生和中工业于风本本人们 这 通信和这接保护 利用端点的身份标识与授权能 力实现链路层面的认证和授权, 主要关注点包括信息  spawa ol 1 | om 二 和 号 昌 0 时 05 关 06 安全村上| 。 |区 Si 图2 功能视角下的工业互联网安全杠荣 流的完整性和保密性。 为了与嵌点和适信保护实现协 ee 同,在整个运行周 - 期,监控与分析和安全配置管理必须在系统层面相应 at 启动， 在安全杠荣的基础上,美国工业互联网联盟 IO EECTTTYTT 发布了人物联网安全成度模型 挤述与预期用途》 并目标。 上在基于治理.支持和强化三大核心要素, 提供一大 。 3.3 中国工业互联网产业联盟安全框架 通用的物联网安全成热度异型用于安全评估, 并帮助 基于以上国外网络安全框架的分析. 归纳出 3 方 工业互联网企业定义预期达到的安全成熟目标,， 面的共性认知 分类分层分级分姬部署安全防护 3.2 德国工业4.0 架构安全框架 措 施 站有持续性和反馈性的动态安全模型更适合工 德国工业4.0的战略杠架可以归纳为-1438， 时 互联网场景 技术和管理手段相结合,物理设备和 模型 即 1 个网络 (信息物理系统网绝| ,4 大主题名能 。 数字资产保护并重的思路更利于提升安全防护能力- 工厂、智能生产、智能物流和智能服务) , 3 项集成 (模