（一）工業(yè)互聯(lián)網(wǎng)設備的安全防護概念

工業(yè)互聯(lián)網(wǎng)設備指在新一代信息技術與工業(yè)生產、制造、運營、管理等環(huán)節(jié)的融合應用過程中，通過有線或無線方式接入工業(yè)互聯(lián)網(wǎng)網(wǎng)絡的裝置或設備，具有類型、功能、應用形態(tài)多樣的特點。工業(yè)互聯(lián)網(wǎng)設備分為：工業(yè)控制設備，如可編輯邏輯控制器（PLC）、遠程終端單元（RTU）；工業(yè)網(wǎng)絡和安全設備，如工業(yè)交換機、工業(yè)防火墻；工業(yè)智能終端設備，如數(shù)據(jù)采集網(wǎng)關、視頻監(jiān)控設備、物聯(lián)網(wǎng)相關設備。從設備安全性及其應用過程防護的角度來看，工業(yè)互聯(lián)網(wǎng)設備的安全防護細分為硬件安全、網(wǎng)絡通信安全、系統(tǒng)服務安全、應用開發(fā)安全、數(shù)據(jù)安全等（見圖1）。

硬件安全，包括設備調試接口權限控制、芯片安全保護、防范針對設備功耗等信息進行統(tǒng)計分析所伴生的威脅風險。目前多數(shù)的網(wǎng)絡設備、物聯(lián)網(wǎng)設備保留了硬件調試接口，部分接口甚至無需驗證即可獲取權限操作，極有可能成為惡意攻擊、數(shù)據(jù)竊取的入口，進而導致設備密鑰、認證等信息泄漏。

網(wǎng)絡通信安全，包括通信認證鑒權、通信加密， 后者進一步劃分為網(wǎng)絡層加密、傳輸層加密、應用層數(shù)據(jù)加密等。若設備網(wǎng)絡通信的訪問權限控制不足，攻擊者即可通過身份偽造在設備間、設備與主機系統(tǒng)間實施“中間人攻擊”，極有可能快速傳播形成僵尸網(wǎng)絡，僵尸網(wǎng)絡進而作為被控端對網(wǎng)絡實施大規(guī)模攻擊。此外，設備的通信加密能力不足，容易出現(xiàn)黑客竊取用戶或設備的身份信息、重要工業(yè)數(shù)據(jù)泄露等情況。

系統(tǒng)服務安全，包括設備操作系統(tǒng)的權限控制、基線安全配置，系統(tǒng)更新的安全機制保護，系統(tǒng)入侵防范、惡意代碼防范等。攻擊者可利用設備系統(tǒng)（或固件）存在的漏洞或缺陷入侵設備，在升級過程中植入惡意代碼，增加了事后溯源與排查難度。

應用開發(fā)安全，包括組件資源間的訪問控制與用戶的認證授權、外部接口安全、配置文件及重要數(shù)據(jù)的安全保護、通信協(xié)議加密、第三方組件庫漏洞隱患排查、代碼自身安全設計等。若設備自身安全機制不足，攻擊者即可利用應用安全漏洞或缺陷入侵設備和系統(tǒng)，發(fā)起針對性攻擊。

數(shù)據(jù)安全，包括數(shù)據(jù)完整性、隱私性、可用性保護，防范數(shù)據(jù)不被竊取、監(jiān)聽、篡改。工業(yè)企業(yè)加快數(shù)字化轉型，開始規(guī)?；渴饠?shù)據(jù)采集、邊緣計算等物聯(lián)和智能化設備，工業(yè)生產過程及業(yè)務數(shù)據(jù)、用戶信息的開放共享和流動利用呈指數(shù)型增長的趨勢。不少工業(yè)設備、工業(yè)網(wǎng)絡中依然存在著明文傳輸數(shù)據(jù)的現(xiàn)象，難以發(fā)現(xiàn)針對設備進行的非侵入、被動式數(shù)據(jù)監(jiān)聽活動；若設備本身的數(shù)據(jù)防護、隱私保護機制不足，關鍵工藝參數(shù)、流程數(shù)據(jù)等信息存在被泄露或被惡意控制篡改的風險。

（二）工業(yè)互聯(lián)網(wǎng)設備的安全防護需求分析

工業(yè)互聯(lián)網(wǎng)設備的功能安全、網(wǎng)絡與數(shù)據(jù)安全等，需要結合實際應用形態(tài)下的網(wǎng)絡安全漏洞隱患防范排查與解決，基于設備的應用周期、智能化屬性等實施差異化的管理防護。

部分設備在設計開發(fā)環(huán)節(jié)沒有周到考慮網(wǎng)絡安全問題，長期不間斷運行的工作方式導致難以進行深度安全檢測或部署安全防護措施，存在不同程度的漏洞及隱患。根據(jù)中國國家信息安全漏洞共享平臺（CNVD）統(tǒng)計，與工業(yè)控制系統(tǒng)設備相關的漏洞數(shù)量為 2955 個（截至 2020 年 12 月），年度新增工業(yè)控制系統(tǒng)設備漏洞數(shù)量為 593 個。根據(jù)中國信息通信研究院工業(yè)互聯(lián)網(wǎng)設備安全評測和相關監(jiān)測結果，有相當數(shù)量的工業(yè)互聯(lián)網(wǎng)設備存在指令篡改、敏感信息獲取、權限繞過等中高風險漏洞，部分工業(yè)安全設備甚至存在高危漏洞，安全防護能力明顯不足。我國部分工業(yè)互聯(lián)網(wǎng)設備系統(tǒng)持續(xù)遭受了來自境外的定向掃描和惡意感染，僵尸網(wǎng)絡、木馬、蠕蟲、病毒等攻擊感染，網(wǎng)頁攻擊、系統(tǒng)攻擊的頻率和數(shù)量不斷加大；在我國工業(yè)領域應用廣泛的羅克韋爾 PLC、西門子視窗控制中心等均存在嚴重高危漏洞。因此，工業(yè)互聯(lián)網(wǎng)設備的漏洞深度安全檢測，尤其是無損安全檢測與防護，成為工業(yè)企業(yè)、設備供應商普遍性的迫切需求。

從設備應用周期、適用的網(wǎng)絡安全防護措施角度看，工業(yè)互聯(lián)網(wǎng)設備需要開展差異化、分類分級的網(wǎng)絡安全管理與防護。一類是已經(jīng)應用部署的“存量”設備，由于自身資源、性能受限，加之長時間運轉，極有可能長期未開展網(wǎng)絡安全檢測，威 脅隱患難以完全掌握；針對這類設備的安全防護需 要具體分析實際應用情況，通過防護措施疊加、監(jiān) 測感知等手段強化風險防控。另一類是新投入應用 的“增量”設備，尤其是具有遠程控制、數(shù)據(jù)采集 分析、計算處理功能的智能化設備，多使用通用操作系統(tǒng)（如嵌入式 Linux 等），一定程度上降低了 攻擊者的入侵難度；部分智能化設備若遭受惡意 控制和攻擊，可能具備大規(guī)模主動擴散能力、變成 “跳板”后成為智能化攻擊的一環(huán)；針對這類設備的安全防護需要融合設備自身功能、應用場景、支 撐業(yè)務需求，強化自身硬件安全保護、網(wǎng)絡通信、數(shù)據(jù)安全等機制設計，采取網(wǎng)絡安全感知、監(jiān)測預 警、應急處置等措施。

（一）安全監(jiān)管和審查

傳統(tǒng)工業(yè)強國的網(wǎng)絡安全法律、監(jiān)管措施持續(xù)升級，逐步強化網(wǎng)絡安全審查，涉及相關設備產品安全性和安全能力審查，設備產品開發(fā)、設計、應用等全周期及各環(huán)節(jié)的安全機制。

美國將網(wǎng)絡安全審查上升為國家戰(zhàn)略和國際競爭手段，其網(wǎng)絡安全審查覆蓋了政府采購、關鍵信息基礎設施保護、外國投資、供應鏈，建立了較完備的審查機構、程序、標準規(guī)范。其中，供應鏈審查制度是美國網(wǎng)絡安全審查的重點方面，具有代表性；針對相關技術、設備產品等供應鏈的安全審查內容和范圍逐漸完備，發(fā)布了一系列強制性安全審查規(guī)范并要求企業(yè)簽署網(wǎng)絡安全協(xié)議。2000 年，美國國家電信與信息系統(tǒng)安全委員會發(fā)布了《國家信息系統(tǒng)安全保障采購政策》，要求入侵檢測、防火墻、操作系統(tǒng)、數(shù)據(jù)庫管理等方面的產品，必須經(jīng)過國家信息保障聯(lián)盟（NIAP）通用準則評估與認證體系框架下的風險評估和認證。2015 年，美國財政部、商務部要求國家標準技術研究院（NIST） 依據(jù)相關技術標準開展供應鏈安全風險審查。2020 年，美國頒布《物聯(lián)網(wǎng)網(wǎng)絡安全改進法案》， 禁止聯(lián)邦機構購買任何不符合最低安全標準的物聯(lián)網(wǎng)設備，要求 NIST 發(fā)布聯(lián)邦政府使用物聯(lián)網(wǎng)設備的標準和指南。

英國要求相關設備產品通過政府通信總部制定的通信電子安全小組安全認證后才能銷售。俄羅斯工業(yè)和貿易部重點針對外資進入的戰(zhàn)略性產業(yè)交易進行安全審查。

（二）安全檢測認證

網(wǎng)絡安全檢測認證是設備產品進入市場應用前的重要環(huán)節(jié)，在部分國家也屬于法律強制要求的環(huán)節(jié)。目前，國際網(wǎng)絡信息安全認證測評體系趨于穩(wěn)定，國際通用認證準則逐步建立，國際通用認證規(guī)則（CC）和歐洲創(chuàng)建的信息技術安全評估準則（IT-SEC）并存。

各國的網(wǎng)絡安全檢測認證多由相關機構或協(xié)會負責，委托實驗室、企業(yè)、專業(yè)機構具體實施。測評體系通常由 1 個測評認證協(xié)調組織、1 個測評認證實體、多個技術檢測機構組成。例如，美國由NIAP 管理，授權給相關實驗室、公司等測評機構， 目前只頒發(fā)通用準則證書；英國由通信電子安全局管理，德國由信息安全局管理，均將檢測認證授權給商業(yè)性評估機構，頒布 ITSEC、CC 兩種證書。

各國重點圍繞設備產品的安全合規(guī)、功能、安全保證、可控等方面開展測評認證標準建設，劃分功能級別、保證級別以滿足不同部門、行業(yè)、用戶的需求，其中功能、安全保證評估是測評認證的核心內容。美國、歐洲、國際標準化組織都在建立基于測評的“保護輪廓”，強調功能評估、安全性評估并分別開展定級。國際標準化組織推出的國際通用準則是目前最全面的評價準則，與 ITSEC 一起成為通用測評方法。此外，美國、德國等注重推行國防、政府、商用共享的測評體系，通過劃分級別和輪廓，滿足不同對象的安全要求。

在工業(yè)互聯(lián)網(wǎng)設備安全測評認證方面，國際性機構和一些國家分別建立了各有側重的認證體系。① ISA Secure 認證體系是國際自動化協(xié)會安全合規(guī)學會（ISCI）推動建立的一套國際認可體系，旨在提供通用的工業(yè)設備認證、處理工業(yè)設備安全方面需求、簡化業(yè)主設備采購流程和設備供應商設備保險流程；ISA Secure 對工業(yè)自動化、控制類產品及系統(tǒng)進行獨立認證，確保網(wǎng)絡攻擊防護能力并消除已知漏洞。② NIST 認證體系指由 NIST 牽頭、相關行業(yè)主管機構和行業(yè)協(xié)會參與建立的標準認證體系，涵蓋國家標準、行業(yè)規(guī)范、檢測認證；在實施方面，推動形成覆蓋電力、天然氣、石油、核能等行業(yè)的安全標準認證體系，成為美國乃至國際安全界廣泛認可的事實標準和權威指南。③萊茵認證體系指由德國技術監(jiān)督協(xié)會（經(jīng)德國政府授權和委托）開展的工業(yè)設備、技術產品安全認證及質量保證評估審核；提供嵌入式系統(tǒng)及設備、智能電子設備的認證服務，工業(yè)信息技術安全檢查、滲透測試、風險分析、安全手冊、安全培訓等服務，覆蓋航空航天、汽車交通、化工、能源、制造業(yè)與工業(yè)機械、電力等領域。

（一）安全監(jiān)管和審查方面的基本情況

在安全監(jiān)管方面，《網(wǎng)絡安全法》《網(wǎng)絡安全審查辦法》等國家法律規(guī)章陸續(xù)出臺，逐步建立了針對關鍵信息基礎設施的網(wǎng)絡安全審查辦法、針對網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產品的強制性檢測認證要求?！毒W(wǎng)絡關鍵設備和網(wǎng)絡安全專用產品目錄（第一批）》要求，列入目錄的設備或產品，應按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或安全檢測符合要求后方可銷售或提供。在政策要求方面，《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見》要求，加強工業(yè)生產、主機、智能終端等設備安全接入和防護，強化控制網(wǎng)絡協(xié)議、裝置裝備、工業(yè)軟件的安全保障，推動設備制造商、自動化集成商與安全企業(yè)加強合作，提升設備和控制系統(tǒng)的本質安全。

（二）安全檢測認證方面的基本情況

網(wǎng)絡和信息安全測評認證體系主要由國家認證認可監(jiān)督管理委員會管理，國家信息安全測評認證管理委員會、中國網(wǎng)絡安全審查技術與認證中心、相關實驗室及測評機構等共同推進實施，基本形成了監(jiān)管機構、國家認證實體、授權測評機構的綜合推進體系。也要注意到，現(xiàn)有的測評認證體系重點關注通用基礎設備產品、以醫(yī)療為代表的部分行業(yè)領域專用關鍵設備，缺乏對工業(yè)控制設備、大型自動化設備、工業(yè)網(wǎng)絡通信設備等關鍵工業(yè)互聯(lián)網(wǎng)設備的規(guī)范性、通用性網(wǎng)絡安全測評認證。

在工業(yè)互聯(lián)網(wǎng)設備安全相關的標準和評測方面，我國發(fā)布了《工業(yè)控制系統(tǒng)專用防火墻技術要求》《信息安全技術 工業(yè)控制系統(tǒng)測控終端安全要求》《電力監(jiān)控系統(tǒng)安全防護規(guī)定》等國家及行業(yè)相關標準；在物聯(lián)網(wǎng)設備終端安全防護方面，我國發(fā)布了《信息安全技術 智能聯(lián)網(wǎng)設備口令保護指南》《信息安全技術 網(wǎng)絡和終端設備隔離部件安全技術要求》等標準或指南。近年來，中國信息通信研究院等單位結合工業(yè)互聯(lián)網(wǎng)行業(yè)的應用保障需求，推動了《工業(yè)互聯(lián)網(wǎng)設備安全防護要求》等標準的發(fā)布，開展了工業(yè)互聯(lián)網(wǎng)設備安全測試評估工作，建立了工業(yè)互聯(lián)網(wǎng)安全評估機構和隊伍。

（三）存在問題分析

一是工業(yè)互聯(lián)網(wǎng)設備安全的專門管理辦法、檢測認證體系缺乏。盡管行業(yè)主管部門制定了相關政策標準，但強制要求和體系化程度不足，缺乏對新技術、新應用形態(tài)的網(wǎng)絡安全適應性要求。工業(yè)互聯(lián)網(wǎng)設備安全防護還基本處于行業(yè)自律的層次。

二是“網(wǎng)絡關鍵設備和安全產品目錄”對工業(yè)互聯(lián)網(wǎng)關鍵設備覆蓋不足，未納入目錄的產品缺乏必要且體系化的網(wǎng)絡安全審查。工業(yè)生產裝備、關鍵設備、工業(yè)互聯(lián)網(wǎng)安全專用產品等關鍵設備產品的安全性、防護能力難以保證，使得工業(yè)生產、業(yè)務運行面臨安全威脅，設備供應鏈存在未知風險。

三是工業(yè)互聯(lián)網(wǎng)設備種類多、數(shù)量大，目前的安全防護能力和保障水平無法適應產業(yè)轉型升級需求。PLC、工業(yè)主機、工業(yè)防火墻等工業(yè)設備自身的安全運行要求尚未明晰，設備在網(wǎng)絡化、數(shù)字化應用過程中的安全標準規(guī)范等比較缺乏，專門的評估評測規(guī)范和實施體系有待完善。已有網(wǎng)絡安全檢測認證體系無法滿足實際應用、市場需求、他國網(wǎng)絡安全審查等的要求。

四是工業(yè)互聯(lián)網(wǎng)設備及產品安全相關的國家標準較少，強制性網(wǎng)絡安全標準缺乏，評估檢測流程方法、機構人員、認證體系明顯缺失。目前，工業(yè)互聯(lián)網(wǎng)設備自身的安全性難以滿足不同行業(yè)要求、市場級別需求，同時國產工業(yè)互聯(lián)網(wǎng)設備產品在走向國際市場時也缺乏權威測評認證，難以適應國際互認、他國網(wǎng)絡安全審查的要求。

鑒于工業(yè)互聯(lián)網(wǎng)設備類型多樣、體量較大，安全管理較為分散、行業(yè)自律水平不一等實際情況， 應從國家、行業(yè)、應用等角度統(tǒng)籌規(guī)劃，強化國家監(jiān)管、行業(yè)認證、網(wǎng)絡安全工程應用。本文論證了我國工業(yè)互聯(lián)網(wǎng)設備網(wǎng)絡安全管理與防護的具體實施路徑（見圖2），旨在健全工業(yè)互聯(lián)網(wǎng)設備的適應性策略與能力，分類分級實施安全評估和管理，完善標準規(guī)范、檢測認證、風險管理應急處置等機制。

一是建立設備自身安全策略和基礎能力集，包括設備安全架構設計、安全基線配置、可信根驗證和分類分級防護的基本要求。構建設備自身的安全“基線”，強化設備的內生安全能力。

二是結合設備的網(wǎng)絡安全風險、保護價值、發(fā)生事件的安全影響，針對不同種類、應用場景的工業(yè)互聯(lián)網(wǎng)設備開展分類分級評估。建立分類分級目錄，形成重點保護設備及其安全策略并納入網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產品目錄，高效開展強制性安全檢測認證和審查。

三是完善工業(yè)互聯(lián)網(wǎng)設備的安全防護規(guī)范、分類分級防護要求。針對不同類別和防護級別的設備， 做好應用開發(fā)安全、系統(tǒng)服務安全、硬件安全、網(wǎng)絡通信安全、數(shù)據(jù)安全等技術防護要求，形成設備的網(wǎng)絡安全差異化、精細化管理模式。

四是建立工業(yè)互聯(lián)網(wǎng)設備網(wǎng)絡安全檢測評估體系。加強設備進入市場前的網(wǎng)絡安全試驗驗證、準入審核、測試認證以及應用過程中常態(tài)化的安全風險評估，以評促建，形成設備安全防護閉環(huán)。

五是強化工業(yè)互聯(lián)網(wǎng)設備安全風險管理和應急處置，包括針對關鍵工業(yè)互聯(lián)網(wǎng)設備的網(wǎng)絡安全態(tài)勢感知與監(jiān)測預警，行業(yè)側 / 企業(yè)側的應急響應、事件處置的工具平臺及機制方法。實時掌握設備安全態(tài)勢和風險視圖，為風險預警和應急工作提供常態(tài)化技術手段。

（一）從國家層面完善工業(yè)互聯(lián)網(wǎng)設備的網(wǎng)絡安全準入機制

建議主管部門研究制定工業(yè)互聯(lián)網(wǎng)設備安全相關管理辦法，頒布工業(yè)互聯(lián)網(wǎng)設備安全強制標準和行業(yè)規(guī)范。強化工業(yè)互聯(lián)網(wǎng)設備的設計、開發(fā)、實施、運行維護等全生命周期過程的網(wǎng)絡安全規(guī)范要求，為企業(yè)產品安全開發(fā)、第三方機構測試認證、設備部署運行提供依據(jù)?！毒W(wǎng)絡關鍵設備和網(wǎng)絡安全專用產品目錄（第一批）》發(fā)布后，目錄中的設備產品檢測認證工作已逐步展開，但工業(yè)互聯(lián)網(wǎng)設備等暫未提及的設備仍處于監(jiān)管盲區(qū)。建議研究梳理工業(yè)互聯(lián)網(wǎng)關鍵設備并將之列為“網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產品”，對設備進行分類分級；完善相關安全標準規(guī)范，建立體系健全的工業(yè)互聯(lián)網(wǎng)設備安全監(jiān)管和安全準入機制，保證設備在進入市場銷售或使用前進行嚴格的安全檢測。

（二）建立設備網(wǎng)絡安全檢測認證體系

建議建立工業(yè)互聯(lián)網(wǎng)設備安全測試認證體系， 加強安全測試驗證，特別是針對工業(yè)設備在工業(yè)現(xiàn)場環(huán)境下的安全試驗驗證、無損檢測、工業(yè)級安全防護應用。推動工業(yè)互聯(lián)網(wǎng)設備安全相關測評認證中心建設，圍繞設備安全性、防護水平等設計安全認證級別，開展設備的網(wǎng)絡安全分類分級管理和差異化防護。向不同部門、行業(yè)、企業(yè)，提供安全級別選擇，準確劃分設備安全能力層級，提升市場良性競爭環(huán)境，促進廠商升級自身設備的安全性。推動安全檢測認證和設備能力提升，匹配工業(yè)互聯(lián)網(wǎng)設備的工業(yè)環(huán)境適用性、硬件安全、系統(tǒng) / 固件安全、應用安全、數(shù)據(jù)安全、接入安全等要求，構建設備安全功能、抗?jié)B透、惡意代碼防范、抗分布式拒絕服務攻擊、漏洞隱患防護等能力。

（三）促進設備網(wǎng)絡安全架構研究和工程應用

建議在工業(yè)互聯(lián)網(wǎng)設備設計階段，充分考慮安全性因素，增強包括硬件安全、接入認證安全、數(shù)據(jù)傳輸安全、代碼安全、系統(tǒng)服務安全在內的設備安全防護綜合能力；建立設備的可信計算環(huán)境，引入硬件信任根對系統(tǒng)啟動、應用運行、參數(shù)修改等行為進行可信驗證。在設備安全基線配置方面，建議督促設備廠商在產品部署時向用戶明示安全使用準則，使用技術手段保證設備的基線配置安全。工業(yè)相關設備制造商、自動化集成商與研究機構、安全企業(yè)等應加強合作，加快區(qū)塊鏈、國產密碼、可信計算等新技術應用進度，推動設備本質安全和技術產品研究創(chuàng)新。

（四）強化設備的網(wǎng)絡安全風險監(jiān)測感知

工業(yè)互聯(lián)網(wǎng)設備種類多，適用不同行業(yè)和場景的防護技術能力差異較大。建議對于工業(yè)（尤其是制造業(yè)），推動行業(yè)性的設備采購與應用、網(wǎng)絡化改造等安全測試評估，加強工業(yè)生產裝備、工業(yè)主機、相關智能終端的安全監(jiān)測和管理。建議主管部門引導行業(yè)加強工業(yè)互聯(lián)網(wǎng)設備的安全監(jiān)測和應急處置能力，加強設備的安全監(jiān)測感知、態(tài)勢研判、信息共享通報、應急處置，及時預警木馬感染、病毒或主機受控等網(wǎng)絡攻擊事件；建立工業(yè)互聯(lián)網(wǎng)設備安全檢測、應急響應工具庫，漏洞庫、威脅情報庫等安全知識庫，快速實施應急處置，防止黑客利用漏洞進行更廣泛的攻擊。