2020年6月13日，由CIO時代學院主辦，小魚易連協辦的“2020中國製造業數字化高峰論壇”於線上成功舉辦。超過1000位相關從業者通過CIO時代APP和“數字化建設”xiaochengxuzaixiancanyulebencihuodong。baijiaqiyetongguopingtaiyixunizhanweidexingshijinxingpinpaihechanpinzhanshi。guojiagongyexinxianquanfazhanyanjiuzhongxinhexiaolongweidajiadailai“從工控安全到工業互聯網安全-下一代工業信息安全的視界”的主題分享
，以下為演講實錄：

“工業信息安全”的提出

首先跟大家探討工業信息安全的概念。2014年2月份以前由工信部信息安全協調司來負責協調指導“工業控製係統安全”。到2014年的2月27日

，工信部信息安全協調司劃歸到新成立的中央網信辦，之後部領導批示
，要研究工控安全的下一步的工作思路和工作重點。在2015年的中期，部信息化和軟件服務業司成立，其中職能上就明確寫到了

，要統籌指導工業領域的信息安全。

在2015年底的時候
，信軟司開始起草國發的28號文
，研究建立工業信息安全的國家級機構。 2016年的國發28號文，即《國務院關於深化製造業與互聯網融合發展的指導意見》
，裏麵明確提出了依托現有的科研機構，建立國家工業信息安全保障中心。這一個文件提出了工業信息安全的概念之後，在2017年的1月份，中編辦正式批複我們單位更名為叫國家工業信息安全發展研究中心，作為國家級的工業信息安全的專業機構正式成立。

“工業信息安全”的概念內涵

工業信息安全的概念覆蓋了工業生態鏈上的所有的信息安全，涉及到工業控製係統
、工業網絡、工業大數據、工業雲等多個方麵。隨著時代的發展，工業信息安全的概念和內涵也在不斷的演進，不斷的變化
，不斷的升級。工業信息安全1.0
，我們理解的就是工業控製係統的安全。2.0是工業互聯網的安全，隨著工業數字化的轉型，3.0目前是探索階段還沒有個完全的明確，我們需要在了解工業信息安全為什麼會變化的基礎上

，根據發展的趨勢
，工業信息安全3.0會變成什麼樣子，麵對未來的變化，我們要做什麼樣的準備
？

如何理解工控安全

首先介紹一下工業控製係統，一方麵工業控製係統廣泛適用於在工業生產過程的控製，是工業生產的核心大腦。另一方麵
，目前80%以上的國家關鍵基礎設施以及智慧城市業務係統都是依賴於工業控製係統進行控製的。很顯然工業控製係統的安全至關重要。

yugongyekongzhixitongxiangbishizhuanyoudekongzhixitong，zhuanyoudekongzhixitongdeguimojiaoxiao，meiyourenjijiemian。zhuanyekongzhixitongzhuyaozaijunshilingyuheshenghuolingyuyouyixiefenbu
，biruzaijunshilingyulimian，feixingqidezitaikongzhi，huolizhihuikongzhi，daodandeshitukongzhi，chezaiwuqidekongzhidengfangmian；在日常生活中也比較常見的，如汽車發動機的控製
，空調溫度的控製、洗衣機程序控製等的方麵。

工業控製係統和專有的控製係統都屬於自動化控製係統
，是實現生產控製自動化的主要的手段。那什麼是自動化？自動化是指機器設備

、係統或過程（生產
、管理過程），在沒有人或較少人直接參與的情況下，按照人的要求，通過自動檢測、信息處理、分析判斷，操縱控製，實現預期目標的過程。

自動控製係統：是(shi)在(zai)無(wu)人(ren)直(zhi)接(jie)參(can)與(yu)下(xia)可(ke)使(shi)生(sheng)產(chan)過(guo)程(cheng)或(huo)其(qi)他(ta)過(guo)程(cheng)按(an)期(qi)望(wang)規(gui)律(lv)或(huo)預(yu)定(ding)程(cheng)序(xu)進(jin)行(xing)的(de)控(kong)製(zhi)係(xi)統(tong)。自(zi)動(dong)控(kong)製(zhi)係(xi)統(tong)是(shi)實(shi)現(xian)自(zi)動(dong)化(hua)的(de)主(zhu)要(yao)手(shou)段(duan)。從(cong)學(xue)術(shu)上(shang)來(lai)講(jiang)，自(zi)動(dong)控(kong)製(zhi)係(xi)統(tong)的(de)基(ji)本(ben)組(zu)成(cheng)的(de)單(dan)元(yuan)有(you)控(kong)製(zhi)器(qi)
、執行器、傳感器、被控製對象（人機界麵HMI），通過這些單元組成了具有測量
、反饋、執zhi行xing等deng功gong能neng的de係xi統tong。舉ju個ge例li就jiu像xiang人ren本ben身shen就jiu是shi一yi個ge自zi動dong控kong製zhi係xi統tong，人ren的de走zou路lu的de過guo程cheng當dang中zhong，眼yan睛jing是shi傳chuan感gan器qi，大da腦nao是shi控kong製zhi器qi
，四si肢zhi是shi一yi個ge執zhi行xing器qi，大da腦nao給gei四si肢zhi下xia達da指zhi令ling，眼yan睛jing測ce量liang我wo們men走zou路lu是shi否fou偏pian差cha的de方fang向xiang
，四si肢zhi是shi用yong來lai執zhi行xing大da腦nao下xia達da的de這zhe種zhong全quan新xin的de指zhi令ling
，共gong同tong完wan成cheng人ren體ti的de走zou路lu的de一yi種zhong任ren務wu。

那na麼me如ru果guo部bu件jian出chu現xian了le故gu障zhang，比bi如ru說shuo喝he多duo了le
，那na麼me就jiu會hui發fa現xian眼yan睛jing看kan著zhe花hua了le
，四si肢zhi就jiu可ke能neng失shi去qu控kong製zhi了le
，就jiu像xiang我wo們men人ren體ti的de自zi動dong控kong製zhi發fa生sheng安an全quan問wen題ti一yi樣yang。那na麼me自zi動dong控kong製zhi係xi統tong中zhong的de傳chuan感gan器qi和he控kong製zhi器qi執zhi行xing器qi任ren何he一yi個ge組zu成cheng的de部bu分fen如ru出chu現xian的de問wen題ti，那na麼me整zheng個ge自zi動dong控kong製zhi係xi統tong也ye就jiu會hui出chu現xian一yi些xie安an全quan的de問wen題ti。

自動控製係統有三個核心的性能指標，穩定
、快(kuai)速(su)和(he)準(zhun)確(que)。穩(wen)定(ding)性(xing)是(shi)指(zhi)係(xi)統(tong)運(yun)行(xing)時(shi)輸(shu)出(chu)值(zhi)的(de)穩(wen)定(ding)

，即(ji)使(shi)受(shou)到(dao)幹(gan)擾(rao)，它(ta)也(ye)能(neng)夠(gou)重(zhong)新(xin)恢(hui)複(fu)到(dao)平(ping)衡(heng)。快(kuai)速(su)性(xing)的(de)是(shi)指(zhi)係(xi)統(tong)能(neng)夠(gou)快(kuai)速(su)進(jin)入(ru)一(yi)個(ge)穩(wen)定(ding)的(de)狀(zhuang)態(tai)，並(bing)且(qie)它(ta)誤(wu)差(cha)較(jiao)小(xiao)。準(zhun)確(que)性(xing)指(zhi)係(xi)統(tong)在(zai)一(yi)個(ge)平(ping)衡(heng)穩(wen)定(ding)的(de)工(gong)作(zuo)狀(zhuang)態(tai)下(xia)，能(neng)保(bao)持(chi)輸(shu)出(chu)的(de)精(jing)度(du)。所(suo)以(yi)自(zi)動(dong)控(kong)製(zhi)係(xi)統(tong)安(an)全(quan)的(de)本(ben)質(zhi)是(shi)通(tong)過(guo)物(wu)理(li)攻(gong)擊(ji)、網絡攻擊和其他的幹擾，直接或間接的影響了自動控製係統的穩定性
、快kuai速su性xing和he準zhun確que性xing，從cong而er破po壞huai其qi自zi動dong控kong製zhi的de過guo程cheng
，其qi中zhong網wang絡luo攻gong擊ji造zao成cheng的de問wen題ti是shi控kong製zhi係xi統tong的de信xin息xi安an全quan問wen題ti，其qi他ta的de破po壞huai和he幹gan擾rao造zao成cheng的de問wen題ti
，是shi控kong製zhi係xi統tong的de功gong能neng安an全quan的de問wen題ti。

在工業領域，工業控製係統經曆了從模擬控製到數字化計算控製的變革。上世紀的60年代的開始
，計算機控製係統的應用，我們誕生了PLC、DCS等deng現xian代dai數shu字zi化hua工gong業ye控kong製zhi設she備bei
，取qu代dai了le傳chuan統tong的de計ji電dian器qi和he單dan元yuan儀yi表biao，發fa展zhan了le控kong製zhi總zong線xian，工gong業ye以yi太tai網wang等deng現xian場chang數shu據ju采cai集ji和he通tong訊xun技ji術shu，提ti高gao了le工gong業ye數shu據ju交jiao流liu的de一yi個ge速su度du、深(shen)度(du)和(he)廣(guang)度(du)
，而(er)且(qie)像(xiang)英(ying)特(te)爾(er)的(de)這(zhe)種(zhong)技(ji)術(shu)體(ti)係(xi)開(kai)始(shi)替(ti)代(dai)了(le)工(gong)業(ye)企(qi)業(ye)原(yuan)有(you)的(de)專(zhuan)有(you)的(de)一(yi)些(xie)操(cao)作(zuo)係(xi)統(tong)
，在(zai)一(yi)定(ding)程(cheng)度(du)上(shang)開(kai)放(fang)結(jie)構(gou)也(ye)帶(dai)來(lai)了(le)網(wang)絡(luo)安(an)全(quan)的(de)問(wen)題(ti)。

工業控製係統架構

工業控製係統的體係架構從底層往上看，主要分為5個層次：設備層，控製層、製造執行層、企業管理層和外部應用。最底層的設備層是典型的代表，有我們傳感器
、儀器儀表和被控製的主設備等。其上的控製層典型的代表是PLC、RTU、DCS，之後是製造的執行層
，一般是工作流與製造執行係統，如MES/PLM，再往上是企業管理層
，一般是ERP/SAP/OA等。最頂端的是最外部應用。

工業控製係統的第一類關鍵組件工業控製器，典型的工業控製器就有plc
、rtu和DCs等。工業控製去的體係結構一般包括硬件（CPU和網絡模塊），實時操作係統（vs work
，rt Linux）
，語言編譯程序和用戶的應用程序的4個部分。

工業控製係統的第二類關鍵組件是工業主機，典型的代表是操作站、工程師站
、HMI；第di三san類lei關guan鍵jian組zu件jian是shi控kong製zhi網wang絡luo
，控kong製zhi網wang絡luo上shang的de通tong訊xun協xie議yi分fen兩liang類lei
，非fei以yi太tai網wang的de通tong訊xun協xie議yi和he以yi太tai網wang的de通tong信xin協xie議yi。當dang前qian越yue來lai越yue多duo的de工gong業ye控kong製zhi協xie議yi開kai始shi采cai用yong了le這zhe種zhong開kai放fang的de標biao準zhun化hua的de以yi太tai網wang的de協xie議yi。

工業控製係統安全隱患

從工業空氣係統安全隱患，從上麵的分析可以得出有4個(ge)主(zhu)要(yao)存(cun)在(zai)的(de)方(fang)向(xiang)，一(yi)是(shi)工(gong)業(ye)主(zhu)機(ji)存(cun)在(zai)的(de)漏(lou)洞(dong)，病(bing)毒(du)感(gan)染(ran)的(de)載(zai)體(ti)，或(huo)作(zuo)為(wei)跳(tiao)板(ban)向(xiang)下(xia)攻(gong)擊(ji)的(de)一(yi)個(ge)生(sheng)產(chan)係(xi)統(tong)。二(er)是(shi)工(gong)業(ye)網(wang)絡(luo)邊(bian)緣(yuan)安(an)全(quan)防(fang)護(hu)不(bu)足(zu)，工(gong)業(ye)網(wang)絡(luo)成(cheng)為(wei)病(bing)毒(du)傳(chuan)播(bo)的(de)通(tong)道(dao)。三(san)是(shi)工(gong)業(ye)控(kong)製(zhi)設(she)備(bei)存(cun)在(zai)的(de)脆(cui)弱(ruo)性(xing)，成(cheng)為(wei)病(bing)毒(du)攻(gong)擊(ji)的(de)對(dui)象(xiang)或(huo)感(gan)染(ran)的(de)載(zai)體(ti)。四(si)是(shi)工(gong)業(ye)的(de)數(shu)據(ju)保(bao)護(hu)不(bu)到(dao)位(wei)，被(bei)篡(cuan)改(gai)
、被竊取、被加密鎖定。這幾年發生的典型的工業控製係統安全比較多，如2011年的震網病毒，2015年的烏克蘭的電網的大麵積的停電
，2016年的PLC_Blaster病毒,三一重工工程機械的失聯
，2018年台積電,2019年，委內瑞拉大麵積的停電等事件。

工業生產模式的演進：工業互聯網

黨dang的de十shi九jiu大da指zhi出chu
，人ren們men日ri益yi增zeng長chang的de物wu質zhi文wen化hua同tong落luo後hou的de社she會hui生sheng產chan之zhi間jian的de矛mao盾dun變bian化hua為wei人ren民min日ri益yi增zeng長chang的de美mei好hao的de生sheng活huo的de需xu求qiu和he不bu平ping衡heng不bu充chong分fen發fa展zhan之zhi間jian的de矛mao盾dun，最zui後hou帶dai來lai了le整zheng個ge的de在zai經jing濟ji運yun行xing領ling域yu主zhu要yao集ji中zhong在zai供gong給gei側ce。

製造業的轉型升級也是深化供給側改革,以傳統消費者重視性價比、產品性能、耐用性相比，現在的消費者更加重視個性化
、內(nei)容(rong)服(fu)務(wu)和(he)靈(ling)活(huo)性(xing)
，對(dui)應(ying)到(dao)咱(zan)們(men)工(gong)業(ye)企(qi)業(ye)的(de)變(bian)化(hua)是(shi)傳(chuan)統(tong)工(gong)業(ye)企(qi)業(ye)大(da)規(gui)模(mo)的(de)製(zhi)造(zao)
，標(biao)準(zhun)化(hua)的(de)生(sheng)產(chan)，降(jiang)低(di)邊(bian)界(jie)成(cheng)本(ben)的(de)核(he)心(xin)競(jing)爭(zheng)力(li)，要(yao)轉(zhuan)化(hua)為(wei)當(dang)前(qian)定(ding)製(zhi)化(hua)服(fu)務(wu)，更(geng)小(xiao)的(de)生(sheng)產(chan)規(gui)模(mo)
，更(geng)快(kuai)的(de)交(jiao)付(fu)周(zhou)期(qi)。

因此現代工業企業在經曆從生產驅動到消費者為中心的價值的創造:在zai多duo數shu的de產chan品pin供gong過guo於yu求qiu的de市shi場chang環huan境jing下xia
，傳chuan統tong產chan業ye的de價jia值zhi鏈lian中zhong以yi供gong給gei為wei導dao向xiang的de商shang業ye模mo式shi逐zhu步bu式shi微wei，那na麼me以yi消xiao費fei者zhe需xu求qiu為wei中zhong心xin的de價jia值zhi創chuang造zao日ri趨qu顯xian現xian。

現代的企業要做的是全局優化配置，客戶定位研發設計

、產品質量效率
、排產供應鏈交付周期

、庫(ku)存(cun)管(guan)理(li)等(deng)
，通(tong)過(guo)數(shu)字(zi)化(hua)轉(zhuan)化(hua)來(lai)實(shi)現(xian)賦(fu)能(neng)。而(er)工(gong)業(ye)互(hu)聯(lian)網(wang)正(zheng)好(hao)是(shi)工(gong)業(ye)企(qi)業(ye)數(shu)字(zi)化(hua)轉(zhuan)型(xing)的(de)重(zhong)要(yao)的(de)途(tu)徑(jing)，是(shi)推(tui)動(dong)製(zhi)造(zao)業(ye)高(gao)質(zhi)量(liang)發(fa)展(zhan)的(de)一(yi)個(ge)重(zhong)要(yao)的(de)抓(zhua)手(shou)。

2017年10月份，國務院專門印發了《深化互聯網加先進製造業發展工業互聯網的指導意見》。指導意見裏麵明確提出工業互聯網與數字化
、網絡化、智(zhi)能(neng)化(hua)為(wei)主(zhu)要(yao)特(te)征(zheng)的(de)新(xin)工(gong)業(ye)革(ge)命(ming)的(de)關(guan)鍵(jian)基(ji)礎(chu)設(she)施(shi)
，加(jia)快(kuai)其(qi)發(fa)展(zhan)，有(you)利(li)於(yu)加(jia)速(su)智(zhi)能(neng)製(zhi)造(zao)發(fa)展(zhan)，更(geng)大(da)範(fan)圍(wei)更(geng)高(gao)效(xiao)。對(dui)更(geng)精(jing)準(zhun)的(de)優(you)化(hua)生(sheng)產(chan)和(he)服(fu)務(wu)的(de)資(zi)源(yuan)配(pei)置(zhi)，促(cu)進(jin)傳(chuan)統(tong)產(chan)業(ye)的(de)轉(zhuan)型(xing)升(sheng)級(ji)。

工業互聯網有三個特征，一個數字化
、網絡化和智能化
，這3個特征支撐著工業資源的優化配置。

在zai數shu字zi化hua方fang麵mian
，目mu前qian工gong業ye互hu聯lian網wang主zhu要yao的de體ti現xian在zai數shu字zi化hua的de采cai集ji

，數shu字zi化hua的de設she計ji，數shu字zi化hua的de生sheng產chan製zhi造zao，數shu字zi化hua的de管guan理li，數shu字zi化hua建jian模mo等deng技ji術shu的de應ying用yong。在zai網wang絡luo化hua的de特te征zheng
，包bao括kuo像xiang5g等新一代信息基礎設施，那麼工業是以以太網、工業以太網邊緣計算，業務協同在智能化的特征，包括大數據、人ren工gong智zhi能neng等deng智zhi能neng技ji術shu的de運yun用yong，全quan生sheng命ming周zhou期qi的de智zhi能neng化hua的de優you化hua
，生sheng產chan製zhi造zao係xi統tong本ben身shen的de智zhi能neng化hua
，工gong控kong係xi統tong到dao工gong業ye互hu聯lian網wang製zhi造zao資zi源yuan的de接jie入ru方fang式shi範fan圍wei，以yi工gong業ye生sheng產chan的de數shu據ju的de去qu向xiang
，以yi資zi源yuan優you化hua配pei置zhi的de主zhu體ti都dou發fa生sheng了le變bian化hua。

namezhizaoziyuancongxiangduifengbideshengchankongzhiwangluojierudaolexiangduikaifangdegongyehulianwangpingtai，gongyeshujucongliuxiangqiyebendigulideyewuxitong，daoliuxianglewaibudeyunduandepingtaihulianhutong，ziyuanyouhuapeizhidezhuti
，conggongyeqiyezijishishiyouhuadaoyituogongyehulianwangpingtaiyouhuapeizhi。zaizhegeguochengzhong，gongyeshengchanzhengjinglicongneibushuzihuadaopingtaifunengchanyelianxiezuodefazhanqushi，shiconggongyexinxianquandeshuxing
，congzhizaoyeyanshendaolehulianwang。

從廣義的角度來看
，整個工業互聯網安全涉及到六大安全的問題：設備的安全


，控製的安全
，網絡的安全
、標識解析的安全，平台的安全
、數據的安全，其中標識解析的安全，平台的安全，數據的安全，是新生的安全問題，標識的安全是工業互聯網安全的新問題。

標識解析是工業互聯網的重要網絡基礎設施，為工業設備、機器等提供編碼、注冊與解析服務，並通過標識實現對異主

、異地

、異構信息的智能關聯。

gongyehulianwangbiaoshideshuliangshiyiqianyiji，bingfajiexiqingqiukedadaoqianwanliangji。rucidadebiaoshijiexidejiexiyaoqiu
，duianquanbaozhangnenglitichulefeichanggaodeyaoqiu。dangqianbiaoshijiexitixishicaiqufencengfuwumoshi
，baokuojujuefuwudegongjibiaoshi
、劫持、重定向攻擊等方麵，工業互聯網標誌當前采取樹狀的分層服務模式，在根節點鏡像節點標識解析服務器，緩存與代理服務器、客戶端主機等方麵。

yidanshuxingjiegoudegenjiedianbeipohuaile，tajiuhuidaozhiyuyezijiedianzhijianjiubukeda
，jiubunengdadaolexinxidejiaohu。pingtaideanquanshigongyehulianwanganquandelingyigexinwenti。pingtaideanquanbaokuo5個方麵的安全邊緣層，工業IaaS層、工業PasS層、工業SaaS層(ceng)和(he)平(ping)台(tai)數(shu)據(ju)安(an)全(quan)，其(qi)中(zhong)邊(bian)緣(yuan)層(ceng)設(she)備(bei)的(de)安(an)全(quan)防(fang)護(hu)能(neng)力(li)的(de)脆(cui)弱(ruo)，虛(xu)擬(ni)機(ji)的(de)逃(tao)逸(yi)，微(wei)服(fu)務(wu)組(zu)件(jian)的(de)漏(lou)洞(dong)，工(gong)業(ye)應(ying)用(yong)缺(que)乏(fa)安(an)全(quan)設(she)計(ji)規(gui)範(fan)，都(dou)帶(dai)來(lai)了(le)平(ping)台(tai)安(an)全(quan)的(de)問(wen)題(ti)。

數shu據ju安an全quan是shi工gong業ye互hu聯lian網wang越yue來lai越yue重zhong視shi的de安an全quan問wen題ti，數shu據ju是shi工gong業ye互hu聯lian網wang重zhong要yao的de生sheng產chan要yao素su。與yu傳chuan統tong的de互hu聯lian網wang的de內nei容rong的de數shu據ju相xiang比bi，工gong業ye的de數shu據ju包bao括kuo生sheng產chan控kong製zhi係xi統tong的de數shu據ju，運yun行xing的de數shu據ju，生sheng產chan監jian測ce的de數shu據ju等deng類lei型xing的de數shu據ju。數shu據ju安an全quan包bao括kuo傳chuan輸shu、存儲、訪問、遷移、跨境等環節中的安全，列入數據傳輸過程中被偵聽、攔截
、篡改

、阻斷敏感信息明文存儲或者被竊取等等都會帶來安全的威脅。

新一代技術大規模的應用帶來了安全問題。比如數據采集端的設備亦成為網絡攻擊的載體或者跳板，5G基於服務的網絡體係帶來安全隱患
，邊緣計算的安全防護能力的不足，數字孿生技術被破解造成的物理空間的虛假映射等風險。

從剛才說的工業信息安全1.0到工業信息安全2.0
，從工控安全到工業互聯網安全，在安全的屬性，主體責任
、安全管理部門
、主管部門，包括保護的對象
，主要的威脅防護技術、手段等7gefangmiandoufashengleyixiebianhua。nameyugonggonganquanxiangbi，gongyehulianwangdeanquandebaohudeduixiangdefanweigengda，mianlingengduodeanquanweixie，xuyaofanghudejishushouduanyehuigengjiaduoyang。

未來工業信息安全的視界

未來的工業形態朝著標準化的工業數據采集
，突破連接和信息共享的壁壘，突破虛擬和現實的界限
、數據即資產
、zhihuixingziyuandeyouhuapeizhi
，gengkuaidexinxijishugexindengfangmianfazhan。yinciweilaidegongyexinxianquanxiangduiyingdeyehuimianlindeyixietiaozhan
，bianyuanjisuanchengweizhongdiangongjidelujing
，xinyidaidewangluoxinxidejichusheshidebanshengdeanquandewentihuigengjiatuchu、虛擬現實和數字仿真的安全

，數據分級分類的治理及可信交互共享、人工智能的安全、風險應對周期越來越短等安全風險。所以未來我們要敢於去研究，敢於去想象，敢於去做好
，提前做好準備。

weilaiwomenyaoduigongyefazhanbiangequshibenzhidetezhengjikenengchanshengdeanquandeyingxiangjinrushenrudeyanjiu，weiyuchoumoutichuyingduideyixiecuoshi
，zuohaoqianzhanxingdezhanlvebushuhezhengcezhunbei
，baozhengwoguogongyechangqianquanjiankangkechixudefazhan。

今天我的報告就介紹到這兒，謝謝大家。