隨著信息化和工業(yè)化的深度融合，傳統(tǒng)的工業(yè)生產(chǎn)系統(tǒng)逐步由單機走向互聯(lián)，由封閉走向開放，極大促進了工業(yè)生產(chǎn)的網(wǎng)絡(luò)化、智能化、協(xié)同化。但同時也帶來了工業(yè)信息安全風(fēng)險隱患，加強工業(yè)信息安全標(biāo)準(zhǔn)化工作、發(fā)揮標(biāo)準(zhǔn)在工業(yè)信息安全建設(shè)中的引導(dǎo)作用，已成為保障工業(yè)信息安全的一項重要工作。然而，當(dāng)前我國工業(yè)信息安全相關(guān)概念頗多，工業(yè)互聯(lián)網(wǎng)安全、工業(yè)控制系統(tǒng)安全、工業(yè)物聯(lián)網(wǎng)安全、工業(yè)云安全、工業(yè)互聯(lián)網(wǎng)平臺安全、工業(yè)數(shù)據(jù)安全等概念相互交叉重疊，甚至同一個名詞在不同的領(lǐng)域會有不同的含義，概念的模糊不清使得在標(biāo)準(zhǔn)研制、應(yīng)用等過程中存在概念理解偏差、條款解讀不到位等問題。此外，我國工業(yè)信息安全標(biāo)準(zhǔn)重復(fù)和缺失現(xiàn)象并存，體系化建設(shè)不足，標(biāo)準(zhǔn)化工作相對滯后。因此，為體系化推進工業(yè)信息安全標(biāo)準(zhǔn)化建設(shè)，急需厘清工業(yè)信息安全相關(guān)概念，建立完善工業(yè)信息安全標(biāo)準(zhǔn)體系，更加科學(xué)地指導(dǎo)工業(yè)信息安全標(biāo)準(zhǔn)化工作。

一、工業(yè)信息安全概念與內(nèi)涵

工業(yè)信息安全是近年來新興的一個概念。國內(nèi)最早包含工業(yè)信息安全一詞的官方政府文件是《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》（國發(fā)〔2016〕28號），該文件的7項重點任務(wù)之一就是“提高工業(yè)信息系統(tǒng)安全水平”，明確規(guī)定要“制定完善工業(yè)信息安全管理等政策法規(guī)，健全工業(yè)信息安全標(biāo)準(zhǔn)體系……提升工業(yè)信息安全監(jiān)測、評估、驗證和應(yīng)急處置等能力”。

直觀理解，一切涉及工業(yè)領(lǐng)域的信息安全都屬于工業(yè)信息安全范疇，其內(nèi)涵十分豐富。從重要性來看，工業(yè)信息安全是網(wǎng)絡(luò)安全的重要組成，是國家總體安全觀在工業(yè)領(lǐng)域的重點體現(xiàn)，事關(guān)經(jīng)濟發(fā)展、社會穩(wěn)定和國家安全，做好工業(yè)信息安全工作是關(guān)系國計民生和國家長治久安的大事；從保障內(nèi)容來看，工業(yè)信息安全泛指各工業(yè)相關(guān)領(lǐng)域的信息安全，包括工業(yè)控制系統(tǒng)安全、工業(yè)互聯(lián)網(wǎng)安全、工業(yè)互聯(lián)網(wǎng)平臺安全、工業(yè)物聯(lián)網(wǎng)安全、工業(yè)數(shù)據(jù)安全、工業(yè)云安全等，相關(guān)概念之間的關(guān)系如圖1所示。

其中，工業(yè)互聯(lián)網(wǎng)安全屬于工業(yè)信息安全的子集，因為工業(yè)互聯(lián)網(wǎng)的兩大屬性是“工業(yè)”和“互聯(lián)”，而實際工業(yè)生產(chǎn)經(jīng)營過程中，還存在未連入工業(yè)互聯(lián)網(wǎng)的工業(yè)系統(tǒng)和設(shè)備，其信息安全也屬于工業(yè)信息安全范疇。工業(yè)互聯(lián)網(wǎng)包括工業(yè)云、工業(yè)數(shù)據(jù)、工業(yè)控制系統(tǒng)、工業(yè)物聯(lián)網(wǎng)及其他新興的工業(yè)互聯(lián)網(wǎng)形態(tài)。工業(yè)云是工業(yè)互聯(lián)網(wǎng)平臺及工業(yè)物聯(lián)網(wǎng)的基礎(chǔ)技術(shù)。工業(yè)互聯(lián)網(wǎng)平臺除工業(yè)云外，還包括邊緣層、工業(yè)應(yīng)用以及平臺上的工業(yè)數(shù)據(jù)，并且與工業(yè)物聯(lián)網(wǎng)有交叉關(guān)系。工業(yè)控制系統(tǒng)的硬件構(gòu)件與物聯(lián)網(wǎng)之間存在交叉關(guān)系。由此，各相關(guān)對象之間的安全關(guān)系也有了對應(yīng)關(guān)系。  

圖1  工業(yè)信息安全概念圖

綜上，與傳統(tǒng)計算機網(wǎng)絡(luò)安全相比，工業(yè)信息安全在保障對象、安全需求等方面有其特殊性。例如，工業(yè)信息安全的主要目的是確保工業(yè)（產(chǎn)業(yè)）發(fā)展的安全，其保護需求往往融合考慮了信息安全、功能安全和生產(chǎn)安全等多種安全需求，更側(cè)重于維護生產(chǎn)或運行過程的可靠穩(wěn)定。工業(yè)屬性帶來的保護場景多樣、安全措施通用性較差等給工業(yè)信息安全帶來了挑戰(zhàn)，傳統(tǒng)的網(wǎng)絡(luò)安全保障體系已難以做到全面有效防護，亟待建立更專業(yè)的工業(yè)信息安全保障體系。

二、工業(yè)信息安全標(biāo)準(zhǔn)體系建設(shè)思路及框架

2019年3月8日，工業(yè)和信息化部與國家標(biāo)準(zhǔn)化管理委員會聯(lián)合發(fā)布《工業(yè)互聯(lián)網(wǎng)綜合標(biāo)準(zhǔn)化體系建設(shè)指南》，該指南第三章明確提出工業(yè)互聯(lián)網(wǎng)標(biāo)準(zhǔn)體系框架，框架對安全標(biāo)準(zhǔn)進行了系統(tǒng)的描述。2019年5月13日，《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》（GB/T 22239-2019）、《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》（GB/T28448-2019）等標(biāo)準(zhǔn)正式發(fā)布，等保2.0時代正式來臨。相較于等保1.0標(biāo)準(zhǔn)，等保2.0標(biāo)準(zhǔn)擴展了云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制以及大數(shù)據(jù)安全等新技術(shù)新應(yīng)用的安全保護要求，保護對象更加全面，內(nèi)涵更加豐富。其中，等保2.0標(biāo)準(zhǔn)安全框架明確提出了“應(yīng)針對等級保護對象特點建立安全技術(shù)體系和安全管理體系，構(gòu)建具備相應(yīng)等級安全保護能力的網(wǎng)絡(luò)安全綜合防御體系”。依據(jù)《工業(yè)互聯(lián)網(wǎng)綜合標(biāo)準(zhǔn)化體系建設(shè)指南》及等保2.0標(biāo)準(zhǔn)的安全框架的要求，本文按照多維考慮、橫向分類、縱向分層的總體思想，構(gòu)建了如圖2所示的工業(yè)信息安全標(biāo)準(zhǔn)體系框架。其中基礎(chǔ)共性標(biāo)準(zhǔn)是指基礎(chǔ)性、綱領(lǐng)性、框架性等方面的標(biāo)準(zhǔn)。橫向分類是指從多個維度分類提出工業(yè)信息安全標(biāo)準(zhǔn)，包括但不限于以下4個維度。

（1）生命周期安全防護：從設(shè)計、制造、集成、運行維護等工業(yè)產(chǎn)品全生命周期的安全需求出發(fā)，分別制定標(biāo)準(zhǔn)；

（2）基礎(chǔ)安全防護：包括設(shè)備和控制安全、平臺安全、虛擬化安全、數(shù)據(jù)安全、標(biāo)識解析安全、網(wǎng)絡(luò)和應(yīng)用安全等；

（3）產(chǎn)品和服務(wù)安全：包括人提供的服務(wù)、云、云服務(wù)、服務(wù)類產(chǎn)品等的相關(guān)安全標(biāo)準(zhǔn)；

（4）安全監(jiān)督管理：明確廠商、集成商、用戶、服務(wù)商、設(shè)計院等角色的安全主體責(zé)任，方便相關(guān)政府部門的安全監(jiān)督管理。

分類、分層設(shè)計的目的是按照工業(yè)企業(yè)、邊緣接入、工業(yè)云、工業(yè)APP等豎向?qū)哟翁岢龉�業(yè)領(lǐng)域的安全標(biāo)準(zhǔn)。

與等保2.0標(biāo)準(zhǔn)安全框架相比，本框架囊括了工業(yè)互聯(lián)網(wǎng)全生命周期安全技術(shù)和安全管理標(biāo)準(zhǔn)，這與等保2.0標(biāo)準(zhǔn)的要求相一致。同時，本框架還擴展了安全服務(wù)標(biāo)準(zhǔn)要求，將安全技術(shù)要求從全生命周期安全防護和基礎(chǔ)安全防護2個角度進行細(xì)化。這樣更符合工業(yè)領(lǐng)域“流程化” 生產(chǎn)和管理的情況，從而能夠更全面、清晰地為工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的制定提供參考。

圖2  工業(yè)信息安全標(biāo)準(zhǔn)體系框架

三、工業(yè)信息安全標(biāo)準(zhǔn)體系完善及落地

為加快推進工業(yè)信息安全標(biāo)準(zhǔn)體系的建設(shè)，下一步應(yīng)重點從體系完善和標(biāo)準(zhǔn)落地方面著手，讓工業(yè)信息安全標(biāo)準(zhǔn)體系真正發(fā)揮指導(dǎo)性作用。

一是加強科研機構(gòu)、高校、企業(yè)等各相關(guān)主體的合作，聯(lián)合多方共同完善標(biāo)準(zhǔn)體系。組織工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺企業(yè)、系統(tǒng)集成商、相關(guān)科研院所及研究機構(gòu)等，共同編寫《工業(yè)信息安全標(biāo)準(zhǔn)化白皮書》等研究成果，建立完善科學(xué)、合理、可操作的工業(yè)信息安全標(biāo)準(zhǔn)體系。

二是按照標(biāo)準(zhǔn)體系開展標(biāo)準(zhǔn)研制，通過試點應(yīng)用提高標(biāo)準(zhǔn)體系和相關(guān)標(biāo)準(zhǔn)的實用性。圍繞行業(yè)發(fā)展需求、企業(yè)需求等，切實發(fā)揮標(biāo)準(zhǔn)體系的指導(dǎo)作用，加快研制急需專用標(biāo)準(zhǔn)，并加強標(biāo)準(zhǔn)宣貫培訓(xùn)和試點應(yīng)用，解決行業(yè)、企業(yè)在工業(yè)信息安全管理和防護中的痛點、難點，及時根據(jù)技術(shù)的發(fā)展和企業(yè)的實際應(yīng)用需求制定相關(guān)標(biāo)準(zhǔn)。

三是充分發(fā)揮各標(biāo)準(zhǔn)技術(shù)委員會的作用，加強各標(biāo)準(zhǔn)委員會的協(xié)調(diào)合作，指導(dǎo)相應(yīng)的成員單位按照標(biāo)準(zhǔn)體系厘清標(biāo)準(zhǔn)定位、做好標(biāo)準(zhǔn)銜接。當(dāng)前，國內(nèi)有TC260、TC573、TC124等多個標(biāo)準(zhǔn)技術(shù)委員會致力于信息安全標(biāo)準(zhǔn)化工作。其中，全國信息化和工業(yè)化融合管理標(biāo)準(zhǔn)化技術(shù)委員會（TC573）是在信息化和工業(yè)化融合（以下簡稱兩化融合）趨勢下成立的標(biāo)準(zhǔn)化工作組織，設(shè)有兩化融合管理體系（WG1）、工業(yè)互聯(lián)網(wǎng)管理（WG6）、工業(yè)信息安全（WG7）等標(biāo)準(zhǔn)工作組。WG7是國內(nèi)建立的首個工業(yè)信息安全標(biāo)準(zhǔn)工作組，致力于工業(yè)信息安全、工業(yè)互聯(lián)網(wǎng)安全等相關(guān)標(biāo)準(zhǔn)的研究、制修訂及宣貫培訓(xùn)等工作。為進一步推進工業(yè)信息安全、工業(yè)互聯(lián)網(wǎng)安全等標(biāo)準(zhǔn)的制修訂和落地實施，WG7工作組應(yīng)加強指導(dǎo)工作組各成員單位按照標(biāo)準(zhǔn)體系開展工業(yè)信息安全、工業(yè)互聯(lián)網(wǎng)安全等標(biāo)準(zhǔn)的研究及制修訂工作，并積極推動標(biāo)準(zhǔn)在相關(guān)行業(yè)企業(yè)的試點應(yīng)用工作，確保工作組推行的標(biāo)準(zhǔn)在行業(yè)企業(yè)的適用性。同時，加強與其他標(biāo)準(zhǔn)技術(shù)委員會或工作組之間的交流合作，逐步形成分工明確、定位清晰、重點突出、相互補充的標(biāo)準(zhǔn)工作格局。

（原載于《保密科學(xué)技術(shù)》雜志2019年7月刊）