1  前 言

2022年下半年，全國工業互聯網安全深度行在各個省份都已經陸續開展起來，各類活動也正在如火如荼地進行著，為加快提升我國工業互聯網安全保障水平各項工作真正落到實處。其中，深度行活動包括分類分級管理、政策標準宣貫、資源池建設、應急演練、人才培訓、賽事活動等6項內容，分類分級管理和政策標準宣貫2項為必選內容。

圖 1?1 《關于開展工業互聯網安全深度行活動的通知》(工信廳網安函〔2022〕97號)

作為工業互聯網企業需要引起高度重視，積極響應深度行活動，落實主體責任，統籌推動工業互聯網企業網絡安全分類分級管理及安全防護工作，切實保障我國各項工業生產活動安全穩定、萬無一失。

2  安全深度行的必要性

工業和信息化部發布最新統計數據顯示，今年一季度，我國工業互聯網產業規模首次突破10000億元，據中商產業研究院預測，2022年我國工業互聯網產業經濟產業增加值規模將超5萬億元。依據行業整體大發展趨勢與國家政策扶持，越來越多的工業互聯網企業基于創新與轉型升級賦能快速發展，基本形成行業體系與格局;工業互聯網在研發設計、生產制造、運營管理等各個環節得以廣泛應用，伴隨著5G技術、數字孿生等新型應用，行業應用也正在不斷深化?；诰W絡建設、平臺賦能、新型應用等，實現產品協同設計、生產監控與優化、制造與工藝管理、運營決策管理、資源配置優化等效果，而作為重要保障的安全建設相對滯后，面臨著嚴峻挑戰。

工業互聯網包括三大體系：網絡、平臺和安全，網絡是工業互聯網互聯的基礎，平臺是工業互聯網發展的核心，安全是工業互聯網的保障，三者相輔相成、必不可缺;基于工業互聯網的總體發展與安全建設狀況，2021年1月13日，工業和信息化部印發《開展工業互聯網企業網絡安全分類分級管理試點工作的通知》，啟動部署分類分級試點工作。2022年5月13日，工業和信息化部辦公廳《關于開展工業互聯網安全深度行活動的通知》正式發布，加快提升我國工業互聯網安全保障水平，組織開展工業互聯網安全深度行活動。

圖 2?1 工業互聯網企業相關政策指導文件

在工業和信息化部辦公廳《關于開展工業互聯網安全深度行活動的通知》中規定在11月底前，各地工業和信息化主管部門、通信管理局聯合第三方專業機構組織開展本地深度行活動，推進網絡安全分類分級管理、政策宣貫及其他活動。并于12月16日前，完成本地深度行活動總結，形成書面報告上報工業和信息化部(網絡安全管理局)。

至此，全國各地主管部門都相應展開深度行活動，深度踐行工業互聯網企業網絡安全分類分級管理及政策標準宣貫，以及其他有利于提升我國工業互聯網安全保障水平的各項工作。

3  安全深度行下網絡安全分類分級管理的開展

日前，各省份都相應展開了工業互聯網企業網絡安全分類分級管理工作，對于工業互聯網企業(聯網工業企業、平臺企業、標識解析企業)，應該履行工業互聯網安全管理主體責任,按照有關規定開展自主定級、安全評估、安全整改、應急保障等工作,落實安全防護規范要求,保障工業互聯網安全穩定運行。本文主要針對聯網工業企業為對象展開網絡安全分類分級管理工作推進的說明，企業應當主動開展自主定級工作，根據評級結果結合《工業互聯網企業網絡安全分類分級管理指南(試行)》中的安全防護要求進行安全評估、安全整改與建設，提高本企業的網絡安全保障水平。

圖 3?1 工業互聯網企業網絡安全分類分級管理指南(試行)

3.1 聯網工業企業自主定級

聯網工業企業是應用工業互聯網的企業簡稱，主要是指將新一代信息通信技術與工業系統深度融合，推動企業模型化研發、智能化制造、網絡化協同、個性化定制、數字化管理、服務化延伸，實現智能控制、運營優化和生產組織方式的變革，主要涉及原材料工業、裝備工業、消費品工業和電子信息制造業等行業。

由聯網工業企業根據工業互聯網企業網絡安全分類分級評定規則結合自身實際情況進行初步自主定級，上報至地方主管部門進行核查確認，各地工業和信息化主管部門、通信管理局與企業建立工作機制，開展抽查、通報、完善安全防護形成閉環流程，幫助企業落實安全防護機制，保障生產工業活動有序、可靠、持續進行。

依據工業互聯網企業網絡安全分類分級評定規則進行評分，聯網工業企業參照行業重要性、企業規模、安全風險程度等因素，將企業網絡安全等級由高到低劃分為三級、二級、一級。

工業互聯網企業定級采用計分方式進行，滿分100分。具體評分細則參考工業互聯網企業安全分類分級評定規則按照聯網工業企業定級方法進行計分。

依據評級結果針對工業互聯網企業網絡安全防護進行建設及完善，主動展開相關重要工作，有效應對網絡安全風險，提升網絡安全保障水平。

3.2 企業網絡安全防護

工業互聯網企業應根據企業網絡安全防護要求落實相關措施，值得注意的是一級工業互聯網企業需參照二級企業相關要求落實安全防護措施，意味著三個等級的工業互聯網企業都有責任、義務進行網絡安全防護相關建設。各地、各級工業和信息化主管部門定期會對本行政區域內工業互聯網企業進行網絡安全工作指導、抽查及通報，省級主管部門進行安全監管。

(1)建立健全網絡安全責任制

落實工業互聯網企業主要負責人為網絡安全第一負責人，開展網絡安全責任制、網絡安全管理制度、應急處置機制等安全工作的推進、落實及完善。

(2)落實網絡安全總體規劃

企業應當根據自身信息化實際發展情況，結合網絡安全總體規劃制定合理、穩定、持續、可行的安全建設方案，依據業務劃分不同區域、數據，展開分區分域重點防護，保障生產活動安全。

(3)建設網絡安全監測預警平臺

企業應建立網絡安全監測預警平臺，與省級平臺對接，完善工作機制，建立持續、有效協同工作，加強安全監測技術能力，規避重大網絡安全風險與隱患。

三級工業互聯網企業建設企業級工業互聯網安全監測平臺，并接入屬地省級工業互聯網安全監測平臺;

鼓勵二級工業互聯網企業積極建設企業級工業互聯網安全監測平臺，并接入屬地省級工業互聯網安全監測平臺。

(4)開展符合性評測與風險評估

企業在落實安全防護措施及建立網絡安全監測預警平臺后，仍需對于企業的風險實現閉環管理工作，以管理風險為核心，不斷完善企業安全防護能力。

三級工業互聯網企業每年開展一次符合性評測和風險評估;

二級工業互聯網企業每兩年開展一次符合性評測和風險評估。

(5)完善網絡安全事件應急方法

企業應當意識到網絡安全不存在“絕對安全”的狀態，當發現重大網絡安全風險和事件時，應具備安全應急處理能力，能夠快速、及時、有效處理相關安全問題和事件，及時向主管部門、通信管理局報告。

三級工業互聯網企業每年至少開展一次應急演練;

二級工業互聯網企業每兩年至少開展一次應急演練。

4  積極踐行網絡安全分類分級管理

4.1落實網絡安全責任制，建立安全管理制度

落實工業互聯網企業法人代表、經營負責人第一責任者的責任，對本企業安全生產工作負全面責任，統籌企業內網絡安全防護各項工作的有序開展，有效保障企業內工業生產活動安全;成立網絡安全小組，明確工業互聯網安全相關責任部門和責任人，依法落實企業主體責任。通過網絡安全責任制，建立安全工作責任人劃分與問責機制，有效保障各項安全工作能夠落實到位，建設并完善一套能夠依據企業實際情況且適用的網絡安全管理制度，從管理機構與人員、資產管理、安全原則、安全設計、安全運維等多個維度進行規范，把安全工作落到實處;可借鑒聯網工業企業安全防護規范(試行)中的安全管理要求，包括安全管理制度、安全管理機構和人員、安全建設管理、安全運維管理等。

圖 4?1 網絡安全管理要求

4.2 制定總體規劃，安全防護規范

聯網工業企業按照《工業互聯網企業網絡安全分類分級管理指南(試行)》的級別劃分，采取不同程度的安全防護，圍繞企業自身信息化、數字化發展現狀，基于國際、國內標準及行業標準建設一套符合工業互聯網企業安全防護體系，有效保障企業的設備安全、控制安全、網絡安全、數據安全等。

依據《工業互聯網企業網絡安全分類分級管理指南(試行)》的安全防護要求，對于制造執行層、集中監控層、過程控制層的設備安全、控制安全、網絡安全、數據安全展開相應的安全建設，結合實際場景與情況進行總體規劃;劃分生產業務區域與管理信息區域，基于生產業務的重要性，優先對于生產業務網絡的各個區域進行安全防護，可參考下圖工控安全防護體系規劃進行分期建設。

圖 4?2 工業互聯網企業工控安全防護體系規劃

(1)設備安全防護方案

設備安全防護主要從終端計算機、控制設備、存儲介質三個維度展開，對不同的設備進行不同程度、不同要求的防護。在終端計算機、控制設備的安全防護中可采用工控主機衛士，實現防病毒、接入認證、安全加固等安全防護效果;可結合實際生產業務使用的系統、應用、組態軟件建立可信的白名單環境，阻止非授權的應用、惡意代碼程序及病毒等程序的運行，具備已知、未知病毒的防護能力;結合雙因子認證機制，提升設備使用人員的合法性;通過安全基線加固技術，提升主機操作系統安全等級。

在移動介質的安全防護中采用移動介質安檢站，結合“工控主機衛士+安全U盤”構建移動存儲介質全生命周期管控方案，對于生產車間內部使用的移動介質進行綜合管控，實現安全殺毒、權限管理、數據擺渡等安全效果，降低通過移動介質引入病毒的風險，有效保障工業設備的安全性。

圖 4?3 移動存儲介質全生命周期管控

(2)控制安全防護方案

控制安全主要針對聯網控制系統、組態軟件、工業數據庫、配置與運維安全提出相關規范。在聯網控制系統與網絡安全防護中實現狀態監測、流量采集與行為分析、異常告警、入侵告警的要求，可采用工控安全監測與審計系統，基于工控協議深度解析技術，智能學習建立業務系統安全通信模型，對聯網控制系統與網絡進行流量實時分析，分析生產網絡攻擊流量和異常行為，進行及時發現、報告并處理。

針對聯網控制系統、工業數據庫等產生的日志進行管理與備份，定期進行審計分析，實現關聯分析、事件管理，及時發現安全問題與風險，可采用日志審計與分析系統，對于聯網控制系統、工業數據庫進行日志收集，實現日志數據和告警數據關聯分析，及時對安全事件進行追溯或干預。

在運維安全要求中加強對于技術服務、運維服務的網絡安全管理能力，在安全得到保障下進行遠程維護、技術服務，采用安全運維管理系統，針對聯網控制系統、工業數據庫、服務器及其他設備等資源的運維與操作進行身份認證、權限控制及行為審計，加強用戶授權、審計管理，提高運維安全能力。

(3)網絡安全防護方案

在網絡安全防護要求中，對于組網、架構、連接、網絡設備、安全設備提出具體安全要求。在組網與架構安全中實現分區分域，不同區域、層級之間實現安全邊界防護能力，企業管理層與制造執行層之間采用工控安全隔離與信息交換系統，制造執行層相比于企業管理層安全等級更高，必須保證其安全性，實現兩者之間的物理隔離，規避外部的攻擊的同時，避免內部生產數據與信息的泄漏，建立可控的信息交換通道。

不同區域之間應實現訪問控制，采用工業防火墻，對不同區域間的訪問行為進行管控，對于非授權連接行為進行攔截以及審計記錄;對各控制系統和設備使用的工業控制協議進行深度識別及解析，建立工業控制協議白名單訪問控制策略，保證只有可信任的指令和消息才能在網絡上傳輸。配備硬件級安全策略寫保護功能，與生產業務起到“同頻共振”效果，極端情況下仍能有效保障生產工業活動正常運行。

圖 4?4 硬件級安全策略寫保護

在網絡邊界防護中，采取入侵防范、惡意代碼防范等措施，可采用高級威脅檢測系統，對于實時通信的數據流量進行拆包分析，利用入侵檢測、病毒木馬檢測、未知威脅沙箱行為檢測、惡意流量人工智能檢測等技術，實現已知、未知威脅的全面檢測，起到快速告警、及時響應的安全防護作用。

在安全設備要求中，合理部署安全設備，完善網絡安全防護，可在安全管理中心區域部署統一安全管理平臺，通過統一安全管理平臺實現對全網的安全設備、安全事件、安全策略、安全運維進行統一集中的監控、調度、預警和管理，減輕網絡安全系統的運維工作量。采用工控漏洞掃描平臺，針對主機類、網絡類、安全類等各式設備及應用系統等進行漏洞掃描，解決漏洞防護、設備基線核查、弱口令等問題，構建漏洞管理閉環流程，提高設備層的安全指數，減少生產網絡中存在的風險。

(4)數據安全防護方案

應按照《工業互聯網企業數據安全防護規范(試行)》對聯網工業企業所使用的數據進行分類分級，依據分級要求采取對應的數據安全防護措施?？稍贛ES服務器、WMS服務器、實時數據庫服務器以及其他區域重要的服務器上部署主機防勒索系統，基于主動防御理念有效防范千變萬化的勒索病毒攻擊，通過基于底層驅動感知的勒索行為監測、主動誘捕、數據智能備份及恢復等功能實現數據安全的有效保障，達到事前防御、事中檢測/阻斷、事后恢復的重要數據安全保護效果。

圖 4?5 主機防勒索系統保障數據安全

4.3 工業互聯網安全監測平臺建設

工業互聯網企業網絡安全分類分級指南(試行)明確要求三級工業互聯網企業建設完善企業級工業互聯網安全監測平臺，并接入省級以上工業互聯網安全監測平臺;二級工業互聯網企業應當積極建設企業級工業互聯網安全監測平臺，并與省級工業互聯網安全監測平臺對接。

工業互聯網企業應當在建設安全防護體系與安全管理制度的基礎上，完善建設工業互聯網安全監測平臺，整體上為企業安全運營提供資產管理、漏洞管理、風險評估、監測預警、攻擊溯源、趨勢預測、協同聯動等能力，一方面提供工業互聯網企業整體的資產態勢、運行態勢、攻擊態勢、脆弱性態勢、事件態勢各類宏觀態勢;另一方面提供安全事件的智能分析，解決由于海量告警導致產生的運維壓力。整體構成了安全風險主動排查、安全狀態主動監測，安全事件主動響應的全方位的主動安全防御體系。

圖 4?6 工業互聯網安全監測平臺

工業互聯網企業依托安全監測平臺實現網絡安全監測預警與信息通報制度，可建立與省級以上工業互聯網安全監測平臺聯動工作機制，雙重監測機制保障企業網絡安全風險及隱患及時發現通報，預防重大網絡安全事件的發生。

4.4 落實防護措施，風險閉環管理

工業互聯網企業網絡安全分類分級指南(試行)明確要求三級工業互聯網企業每年開展一次符合性評測和風險評估，二級工業互聯網企業每兩年開展一次符合性評測和風險評估。企業可參考2022年4月份正式新發布GB/T 20984-2007《信息安全技術 信息安全風險評估規范》開展信息安全風險評估工作，圍繞風險評估實施流程進行工作開展，企業可基于工控漏洞掃描平臺或其他風險評估工具建立風險識別、分析的過程，定期對于生產業務區域、管理信息區域的網絡、系統、設備定期展開風險評估，依據評估報告，有重點、分步驟開展網絡安全設計、安全測試、安全整改等工作，形成風險的閉環管理。必要時，可結合第三方專業測評機構進行符合性評測和風險評估，進一步提高風險閉環管理能力，以較小的風險管理成本獲得工業企業可靠生產的高效益。

圖 4?7 風險評估實施流程

4.5 定期舉辦應急演練活動，健全安全應急預案制度

工業互聯網企業網絡安全分類分級指南(試行)明確三級工業互聯網企業每年至少開展一次應急演練，二級工業互聯網企業每兩年至少開展一次應急演練。應急演練作為在事件真正發生前應急響應預備性工作，其重要性不言而喻;網絡安全小組應該應當制定本行業、本領域的網絡安全事件應急預案，并定期組織演練，檢驗企業當前的安全防護和應急處置能力。

在此基礎之上，更應不斷健全本企業安全應急預案制度，除了定期舉行應急演練外，還應該對于不同等級的緊急事件根據對業務的影響程度進行明確劃分，明確事件類型、處置手段、處置責任人，預設檢測方案、抑制方案、根除方案、恢復方案、跟蹤方案，第一時間根據應急小組的研判結果進行快速響應。

當安全緊急事件發生時，立馬啟動應急預案，盡早準確得出研判結果，快速響應、處置問題與風險，以達到不影響業務系統穩定運行的效果，從而保障工業互聯網企業工業活動正常運行。

圖 4?8 安全應急響應流程

5  結語

工業互聯網是未來的發展趨勢和各國之間的競爭核心，已經在全世界引起了高度重視，與國家發展、經濟走向息息相關。工業互聯網企業在高速發展的同時應該更加重視安全建設，安全保障水平與安全管理制度同步到位，有效保障企業內各項工業生產活動安全穩定、萬無一失;目前，威努特已協助多家工業互聯網企業入選工信部工業互聯網網絡安全分類分級管理優秀試點企業，形成可復制可推廣的工業互聯網網絡安全分類分級管理模式，具備工業互聯網網絡安全典型解決方案的實踐經驗與建設能力。

來源：威努特工控安全