2020年6月13日，由CIO時代學院主辦，小魚易連協辦的“2020中國製造業數字化高峰論壇”於線上成功舉辦。超過1000位相關從業者通過CIO時代APP和“數字化建設”xiaochengxuzaixiancanyulebencihuodong。baijiaqiyetongguopingtaiyixunizhanweidexingshijinxingpinpaihechanpinzhanshi。guojiagongyexinxianquanfazhanyanjiuzhongxinhexiaolongweidajiadailai“從工控安全到工業互聯網安全-下一代工業信息安全的視界”的主題分享，以下為演講實錄：

“工業信息安全”的提出

首先跟大家探討工業信息安全的概念。2014年2月份以前由工信部信息安全協調司來負責協調指導“工業控製係統安全”。到2014年的2月27日
，工信部信息安全協調司劃歸到新成立的中央網信辦，之後部領導批示
，要研究工控安全的下一步的工作思路和工作重點。在2015年的中期，部信息化和軟件服務業司成立，其中職能上就明確寫到了，要統籌指導工業領域的信息安全。

在2015年底的時候，信軟司開始起草國發的28號文，研究建立工業信息安全的國家級機構。 2016年的國發28號文，即《國務院關於深化製造業與互聯網融合發展的指導意見》，裏麵明確提出了依托現有的科研機構，建立國家工業信息安全保障中心。這一個文件提出了工業信息安全的概念之後

，在2017年的1月份
，中編辦正式批複我們單位更名為叫國家工業信息安全發展研究中心，作為國家級的工業信息安全的專業機構正式成立。

“工業信息安全”的概念內涵

工業信息安全的概念覆蓋了工業生態鏈上的所有的信息安全
，涉及到工業控製係統
、工業網絡、工業大數據、工業雲等多個方麵。隨著時代的發展，工業信息安全的概念和內涵也在不斷的演進，不斷的變化，不斷的升級。工業信息安全1.0，我們理解的就是工業控製係統的安全。2.0是工業互聯網的安全，隨著工業數字化的轉型

，3.0目前是探索階段還沒有個完全的明確
，我們需要在了解工業信息安全為什麼會變化的基礎上，根據發展的趨勢，工業信息安全3.0會變成什麼樣子
，麵對未來的變化，我們要做什麼樣的準備？

如何理解工控安全

首先介紹一下工業控製係統，一方麵工業控製係統廣泛適用於在工業生產過程的控製，是工業生產的核心大腦。另一方麵
，目前80%以上的國家關鍵基礎設施以及智慧城市業務係統都是依賴於工業控製係統進行控製的。很顯然工業控製係統的安全至關重要。

與yu工gong業ye控kong製zhi係xi統tong相xiang比bi是shi專zhuan有you的de控kong製zhi係xi統tong
，專zhuan有you的de控kong製zhi係xi統tong的de規gui模mo較jiao小xiao
，沒mei有you人ren機ji界jie麵mian。專zhuan業ye控kong製zhi係xi統tong主zhu要yao在zai軍jun事shi領ling域yu和he生sheng活huo領ling域yu有you一yi些xie分fen布bu，比bi如ru在zai軍jun事shi領ling域yu裏li麵mian
，飛fei行xing器qi的de姿zi態tai控kong製zhi
，火huo力li指zhi揮hui控kong製zhi，導dao彈dan的de試shi圖tu控kong製zhi

，車che載zai武wu器qi的de控kong製zhi等deng方fang麵mian；在日常生活中也比較常見的，如汽車發動機的控製，空調溫度的控製
、洗衣機程序控製等的方麵。

工業控製係統和專有的控製係統都屬於自動化控製係統，是實現生產控製自動化的主要的手段。那什麼是自動化？自動化是指機器設備、係統或過程（生產、管理過程），在沒有人或較少人直接參與的情況下，按照人的要求，通過自動檢測

、信息處理
、分析判斷，操縱控製，實現預期目標的過程。

自動控製係統：是shi在zai無wu人ren直zhi接jie參can與yu下xia可ke使shi生sheng產chan過guo程cheng或huo其qi他ta過guo程cheng按an期qi望wang規gui律lv或huo預yu定ding程cheng序xu進jin行xing的de控kong製zhi係xi統tong。自zi動dong控kong製zhi係xi統tong是shi實shi現xian自zi動dong化hua的de主zhu要yao手shou段duan。從cong學xue術shu上shang來lai講jiang，自zi動dong控kong製zhi係xi統tong的de基ji本ben組zu成cheng的de單dan元yuan有you控kong製zhi器qi
、執行器、傳感器


、被控製對象（人機界麵HMI），通過這些單元組成了具有測量


、反饋、zhixingdenggongnengdexitong。jugelijiuxiangrenbenshenjiushiyigezidongkongzhixitong

，rendezouludeguochengdangzhong，yanjingshichuanganqi，danaoshikongzhiqi，sizhishiyigezhixingqi，danaogeisizhixiadazhiling，yanjingceliangwomenzoulushifoupianchadefangxiang
，sizhishiyonglaizhixingdanaoxiadadezhezhongquanxindezhiling，gongtongwanchengrentidezouludeyizhongrenwu。

那(na)麼(me)如(ru)果(guo)部(bu)件(jian)出(chu)現(xian)了(le)故(gu)障(zhang)，比(bi)如(ru)說(shuo)喝(he)多(duo)了(le)，那(na)麼(me)就(jiu)會(hui)發(fa)現(xian)眼(yan)睛(jing)看(kan)著(zhe)花(hua)了(le)
，四(si)肢(zhi)就(jiu)可(ke)能(neng)失(shi)去(qu)控(kong)製(zhi)了(le)

，就(jiu)像(xiang)我(wo)們(men)人(ren)體(ti)的(de)自(zi)動(dong)控(kong)製(zhi)發(fa)生(sheng)安(an)全(quan)問(wen)題(ti)一(yi)樣(yang)。那(na)麼(me)自(zi)動(dong)控(kong)製(zhi)係(xi)統(tong)中(zhong)的(de)傳(chuan)感(gan)器(qi)和(he)控(kong)製(zhi)器(qi)執(zhi)行(xing)器(qi)任(ren)何(he)一(yi)個(ge)組(zu)成(cheng)的(de)部(bu)分(fen)如(ru)出(chu)現(xian)的(de)問(wen)題(ti)，那(na)麼(me)整(zheng)個(ge)自(zi)動(dong)控(kong)製(zhi)係(xi)統(tong)也(ye)就(jiu)會(hui)出(chu)現(xian)一(yi)些(xie)安(an)全(quan)的(de)問(wen)題(ti)。

自動控製係統有三個核心的性能指標，穩定、kuaisuhezhunque。wendingxingshizhixitongyunxingshishuchuzhidewending
，jishishoudaoganrao，tayenenggouzhongxinhuifudaopingheng。kuaisuxingdeshizhixitongnenggoukuaisujinruyigewendingdezhuangtai
，bingqietawuchajiaoxiao。zhunquexingzhixitongzaiyigepinghengwendingdegongzuozhuangtaixia，nengbaochishuchudejingdu。suoyizidongkongzhixitonganquandebenzhishitongguowuligongji、網絡攻擊和其他的幹擾，直接或間接的影響了自動控製係統的穩定性
、kuaisuxinghezhunquexing，congerpohuaiqizidongkongzhideguocheng，qizhongwangluogongjizaochengdewentishikongzhixitongdexinxianquanwenti，qitadepohuaiheganraozaochengdewenti，shikongzhixitongdegongnenganquandewenti。

在工業領域，工業控製係統經曆了從模擬控製到數字化計算控製的變革。上世紀的60年代的開始
，計算機控製係統的應用，我們誕生了PLC
、DCS等deng現xian代dai數shu字zi化hua工gong業ye控kong製zhi設she備bei
，取qu代dai了le傳chuan統tong的de計ji電dian器qi和he單dan元yuan儀yi表biao，發fa展zhan了le控kong製zhi總zong線xian
，工gong業ye以yi太tai網wang等deng現xian場chang數shu據ju采cai集ji和he通tong訊xun技ji術shu，提ti高gao了le工gong業ye數shu據ju交jiao流liu的de一yi個ge速su度du
、深(shen)度(du)和(he)廣(guang)度(du)，而(er)且(qie)像(xiang)英(ying)特(te)爾(er)的(de)這(zhe)種(zhong)技(ji)術(shu)體(ti)係(xi)開(kai)始(shi)替(ti)代(dai)了(le)工(gong)業(ye)企(qi)業(ye)原(yuan)有(you)的(de)專(zhuan)有(you)的(de)一(yi)些(xie)操(cao)作(zuo)係(xi)統(tong)，在(zai)一(yi)定(ding)程(cheng)度(du)上(shang)開(kai)放(fang)結(jie)構(gou)也(ye)帶(dai)來(lai)了(le)網(wang)絡(luo)安(an)全(quan)的(de)問(wen)題(ti)。

工業控製係統架構

工業控製係統的體係架構從底層往上看，主要分為5個層次：設備層，控製層、製造執行層

、企業管理層和外部應用。最底層的設備層是典型的代表，有我們傳感器

、儀器儀表和被控製的主設備等。其上的控製層典型的代表是PLC
、RTU
、DCS，之後是製造的執行層

，一般是工作流與製造執行係統，如MES/PLM
，再往上是企業管理層，一般是ERP/SAP/OA等。最頂端的是最外部應用。

工業控製係統的第一類關鍵組件工業控製器，典型的工業控製器就有plc

、rtu和DCs等。工業控製去的體係結構一般包括硬件（CPU和網絡模塊）
，實時操作係統（vs work，rt Linux）
，語言編譯程序和用戶的應用程序的4個部分。

工業控製係統的第二類關鍵組件是工業主機，典型的代表是操作站
、工程師站、HMI；第(di)三(san)類(lei)關(guan)鍵(jian)組(zu)件(jian)是(shi)控(kong)製(zhi)網(wang)絡(luo)
，控(kong)製(zhi)網(wang)絡(luo)上(shang)的(de)通(tong)訊(xun)協(xie)議(yi)分(fen)兩(liang)類(lei)，非(fei)以(yi)太(tai)網(wang)的(de)通(tong)訊(xun)協(xie)議(yi)和(he)以(yi)太(tai)網(wang)的(de)通(tong)信(xin)協(xie)議(yi)。當(dang)前(qian)越(yue)來(lai)越(yue)多(duo)的(de)工(gong)業(ye)控(kong)製(zhi)協(xie)議(yi)開(kai)始(shi)采(cai)用(yong)了(le)這(zhe)種(zhong)開(kai)放(fang)的(de)標(biao)準(zhun)化(hua)的(de)以(yi)太(tai)網(wang)的(de)協(xie)議(yi)。

工業控製係統安全隱患

從工業空氣係統安全隱患，從上麵的分析可以得出有4個ge主zhu要yao存cun在zai的de方fang向xiang，一yi是shi工gong業ye主zhu機ji存cun在zai的de漏lou洞dong
，病bing毒du感gan染ran的de載zai體ti，或huo作zuo為wei跳tiao板ban向xiang下xia攻gong擊ji的de一yi個ge生sheng產chan係xi統tong。二er是shi工gong業ye網wang絡luo邊bian緣yuan安an全quan防fang護hu不bu足zu，工gong業ye網wang絡luo成cheng為wei病bing毒du傳chuan播bo的de通tong道dao。三san是shi工gong業ye控kong製zhi設she備bei存cun在zai的de脆cui弱ruo性xing
，成cheng為wei病bing毒du攻gong擊ji的de對dui象xiang或huo感gan染ran的de載zai體ti。四si是shi工gong業ye的de數shu據ju保bao護hu不bu到dao位wei，被bei篡cuan改gai、被竊取、被加密鎖定。這幾年發生的典型的工業控製係統安全比較多
，如2011年的震網病毒，2015年的烏克蘭的電網的大麵積的停電，2016年的PLC_Blaster病毒,三一重工工程機械的失聯
，2018年台積電,2019年
，委內瑞拉大麵積的停電等事件。

工業生產模式的演進：工業互聯網

dangdeshijiudazhichu，renmenriyizengchangdewuzhiwenhuatongluohoudeshehuishengchanzhijiandemaodunbianhuaweirenminriyizengchangdemeihaodeshenghuodexuqiuhebupinghengbuchongfenfazhanzhijiandemaodun，zuihoudailailezhenggedezaijingjiyunxinglingyuzhuyaojizhongzaigonggeice。

製造業的轉型升級也是深化供給側改革,以傳統消費者重視性價比、產品性能、耐用性相比，現在的消費者更加重視個性化、內nei容rong服fu務wu和he靈ling活huo性xing，對dui應ying到dao咱zan們men工gong業ye企qi業ye的de變bian化hua是shi傳chuan統tong工gong業ye企qi業ye大da規gui模mo的de製zhi造zao，標biao準zhun化hua的de生sheng產chan，降jiang低di邊bian界jie成cheng本ben的de核he心xin競jing爭zheng力li
，要yao轉zhuan化hua為wei當dang前qian定ding製zhi化hua服fu務wu，更geng小xiao的de生sheng產chan規gui模mo，更geng快kuai的de交jiao付fu周zhou期qi。

因此現代工業企業在經曆從生產驅動到消費者為中心的價值的創造:在zai多duo數shu的de產chan品pin供gong過guo於yu求qiu的de市shi場chang環huan境jing下xia，傳chuan統tong產chan業ye的de價jia值zhi鏈lian中zhong以yi供gong給gei為wei導dao向xiang的de商shang業ye模mo式shi逐zhu步bu式shi微wei，那na麼me以yi消xiao費fei者zhe需xu求qiu為wei中zhong心xin的de價jia值zhi創chuang造zao日ri趨qu顯xian現xian。

現代的企業要做的是全局優化配置，客戶定位研發設計、產品質量效率、排產供應鏈交付周期、kucunguanlideng
，tongguoshuzihuazhuanhualaishixianfuneng。ergongyehulianwangzhenghaoshigongyeqiyeshuzihuazhuanxingdezhongyaodetujing，shituidongzhizaoyegaozhiliangfazhandeyigezhongyaodezhuashou。

2017年10月份
，國務院專門印發了《深化互聯網加先進製造業發展工業互聯網的指導意見》。指導意見裏麵明確提出工業互聯網與數字化、網絡化、zhinenghuaweizhuyaotezhengdexingongyegemingdeguanjianjichusheshi，jiakuaiqifazhan
，youliyujiasuzhinengzhizaofazhan
，gengdafanweigenggaoxiao。duigengjingzhundeyouhuashengchanhefuwudeziyuanpeizhi
，cujinchuantongchanyedezhuanxingshengji。

工業互聯網有三個特征，一個數字化、網絡化和智能化，這3個特征支撐著工業資源的優化配置。

在zai數shu字zi化hua方fang麵mian，目mu前qian工gong業ye互hu聯lian網wang主zhu要yao的de體ti現xian在zai數shu字zi化hua的de采cai集ji

，數shu字zi化hua的de設she計ji

，數shu字zi化hua的de生sheng產chan製zhi造zao，數shu字zi化hua的de管guan理li
，數shu字zi化hua建jian模mo等deng技ji術shu的de應ying用yong。在zai網wang絡luo化hua的de特te征zheng
，包bao括kuo像xiang5g等新一代信息基礎設施，那麼工業是以以太網、工業以太網邊緣計算，業務協同在智能化的特征
，包括大數據、人(ren)工(gong)智(zhi)能(neng)等(deng)智(zhi)能(neng)技(ji)術(shu)的(de)運(yun)用(yong)
，全(quan)生(sheng)命(ming)周(zhou)期(qi)的(de)智(zhi)能(neng)化(hua)的(de)優(you)化(hua)，生(sheng)產(chan)製(zhi)造(zao)係(xi)統(tong)本(ben)身(shen)的(de)智(zhi)能(neng)化(hua)，工(gong)控(kong)係(xi)統(tong)到(dao)工(gong)業(ye)互(hu)聯(lian)網(wang)製(zhi)造(zao)資(zi)源(yuan)的(de)接(jie)入(ru)方(fang)式(shi)範(fan)圍(wei)
，以(yi)工(gong)業(ye)生(sheng)產(chan)的(de)數(shu)據(ju)的(de)去(qu)向(xiang)，以(yi)資(zi)源(yuan)優(you)化(hua)配(pei)置(zhi)的(de)主(zhu)體(ti)都(dou)發(fa)生(sheng)了(le)變(bian)化(hua)。

那(na)麼(me)製(zhi)造(zao)資(zi)源(yuan)從(cong)相(xiang)對(dui)封(feng)閉(bi)的(de)生(sheng)產(chan)控(kong)製(zhi)網(wang)絡(luo)接(jie)入(ru)到(dao)了(le)相(xiang)對(dui)開(kai)放(fang)的(de)工(gong)業(ye)互(hu)聯(lian)網(wang)平(ping)台(tai)，工(gong)業(ye)數(shu)據(ju)從(cong)流(liu)向(xiang)企(qi)業(ye)本(ben)地(di)孤(gu)立(li)的(de)業(ye)務(wu)係(xi)統(tong)，到(dao)流(liu)向(xiang)了(le)外(wai)部(bu)的(de)雲(yun)端(duan)的(de)平(ping)台(tai)互(hu)聯(lian)互(hu)通(tong)，資(zi)源(yuan)優(you)化(hua)配(pei)置(zhi)的(de)主(zhu)體(ti)
，從(cong)工(gong)業(ye)企(qi)業(ye)自(zi)己(ji)實(shi)施(shi)優(you)化(hua)到(dao)依(yi)托(tuo)工(gong)業(ye)互(hu)聯(lian)網(wang)平(ping)台(tai)優(you)化(hua)配(pei)置(zhi)。在(zai)這(zhe)個(ge)過(guo)程(cheng)中(zhong)，工(gong)業(ye)生(sheng)產(chan)正(zheng)經(jing)曆(li)從(cong)內(nei)部(bu)數(shu)字(zi)化(hua)到(dao)平(ping)台(tai)賦(fu)能(neng)產(chan)業(ye)鏈(lian)協(xie)作(zuo)的(de)發(fa)展(zhan)趨(qu)勢(shi)，是(shi)從(cong)工(gong)業(ye)信(xin)息(xi)安(an)全(quan)的(de)屬(shu)性(xing)，從(cong)製(zhi)造(zao)業(ye)延(yan)伸(shen)到(dao)了(le)互(hu)聯(lian)網(wang)。

從廣義的角度來看，整個工業互聯網安全涉及到六大安全的問題：設備的安全，控製的安全，網絡的安全、標識解析的安全，平台的安全
、數據的安全，其中標識解析的安全，平台的安全，數據的安全，是新生的安全問題，標識的安全是工業互聯網安全的新問題。

標識解析是工業互聯網的重要網絡基礎設施
，為工業設備、機器等提供編碼
、注冊與解析服務，並通過標識實現對異主、異地、異構信息的智能關聯。

工gong業ye互hu聯lian網wang標biao識shi的de數shu量liang是shi以yi千qian億yi計ji，並bing發fa解jie析xi請qing求qiu可ke達da到dao千qian萬wan量liang級ji。如ru此ci大da的de標biao識shi解jie析xi的de解jie析xi要yao求qiu，對dui安an全quan保bao障zhang能neng力li提ti出chu了le非fei常chang高gao的de要yao求qiu。當dang前qian標biao識shi解jie析xi體ti係xi是shi采cai取qu分fen層ceng服fu務wu模mo式shi
，包bao括kuo拒ju絕jue服fu務wu的de攻gong擊ji標biao識shi、劫持
、重定向攻擊等方麵，工業互聯網標誌當前采取樹狀的分層服務模式
，在根節點鏡像節點標識解析服務器，緩存與代理服務器、客戶端主機等方麵。

一yi旦dan樹shu形xing結jie構gou的de根gen節jie點dian被bei破po壞huai了le
，它ta就jiu會hui導dao致zhi於yu葉ye子zi節jie點dian之zhi間jian就jiu不bu可ke達da，就jiu不bu能neng達da到dao了le信xin息xi的de交jiao互hu。平ping台tai的de安an全quan是shi工gong業ye互hu聯lian網wang安an全quan的de另ling一yi個ge新xin問wen題ti。平ping台tai的de安an全quan包bao括kuo5個方麵的安全邊緣層，工業IaaS層
、工業PasS層、工業SaaS層(ceng)和(he)平(ping)台(tai)數(shu)據(ju)安(an)全(quan)，其(qi)中(zhong)邊(bian)緣(yuan)層(ceng)設(she)備(bei)的(de)安(an)全(quan)防(fang)護(hu)能(neng)力(li)的(de)脆(cui)弱(ruo)，虛(xu)擬(ni)機(ji)的(de)逃(tao)逸(yi)，微(wei)服(fu)務(wu)組(zu)件(jian)的(de)漏(lou)洞(dong)，工(gong)業(ye)應(ying)用(yong)缺(que)乏(fa)安(an)全(quan)設(she)計(ji)規(gui)範(fan)
，都(dou)帶(dai)來(lai)了(le)平(ping)台(tai)安(an)全(quan)的(de)問(wen)題(ti)。

shujuanquanshigongyehulianwangyuelaiyuezhongshideanquanwenti，shujushigongyehulianwangzhongyaodeshengchanyaosu。yuchuantongdehulianwangdeneirongdeshujuxiangbi，gongyedeshujubaokuoshengchankongzhixitongdeshuju，yunxingdeshuju
，shengchanjiancedeshujudengleixingdeshuju。shujuanquanbaokuochuanshu

、存儲
、訪問、遷移、跨境等環節中的安全，列入數據傳輸過程中被偵聽、攔截、篡改、阻斷敏感信息明文存儲或者被竊取等等都會帶來安全的威脅。

新一代技術大規模的應用帶來了安全問題。比如數據采集端的設備亦成為網絡攻擊的載體或者跳板，5G基於服務的網絡體係帶來安全隱患，邊緣計算的安全防護能力的不足，數字孿生技術被破解造成的物理空間的虛假映射等風險。

從剛才說的工業信息安全1.0到工業信息安全2.0
，從工控安全到工業互聯網安全，在安全的屬性，主體責任、安全管理部門、主管部門，包括保護的對象，主要的威脅防護技術、手段等7gefangmiandoufashengleyixiebianhua。nameyugonggonganquanxiangbi
，gongyehulianwangdeanquandebaohudeduixiangdefanweigengda，mianlingengduodeanquanweixie
，xuyaofanghudejishushouduanyehuigengjiaduoyang。

未來工業信息安全的視界

未來的工業形態朝著標準化的工業數據采集，突破連接和信息共享的壁壘
，突破虛擬和現實的界限
、數據即資產、智zhi慧hui型xing資zi源yuan的de優you化hua配pei置zhi，更geng快kuai的de信xin息xi技ji術shu革ge新xin等deng方fang麵mian發fa展zhan。因yin此ci未wei來lai的de工gong業ye信xin息xi安an全quan相xiang對dui應ying的de也ye會hui麵mian臨lin的de一yi些xie挑tiao戰zhan
，邊bian緣yuan計ji算suan成cheng為wei重zhong點dian攻gong擊ji的de路lu徑jing，新xin一yi代dai的de網wang絡luo信xin息xi的de基ji礎chu設she施shi的de伴ban生sheng的de安an全quan的de問wen題ti會hui更geng加jia突tu出chu
、虛擬現實和數字仿真的安全，數據分級分類的治理及可信交互共享、人工智能的安全、風險應對周期越來越短等安全風險。所以未來我們要敢於去研究
，敢於去想象，敢於去做好，提前做好準備。

未(wei)來(lai)我(wo)們(men)要(yao)對(dui)工(gong)業(ye)發(fa)展(zhan)變(bian)革(ge)趨(qu)勢(shi)本(ben)質(zhi)的(de)特(te)征(zheng)及(ji)可(ke)能(neng)產(chan)生(sheng)的(de)安(an)全(quan)的(de)影(ying)響(xiang)進(jin)入(ru)深(shen)入(ru)的(de)研(yan)究(jiu)
，未(wei)雨(yu)綢(chou)繆(mou)提(ti)出(chu)應(ying)對(dui)的(de)一(yi)些(xie)措(cuo)施(shi)，做(zuo)好(hao)前(qian)瞻(zhan)性(xing)的(de)戰(zhan)略(lve)部(bu)署(shu)和(he)政(zheng)策(ce)準(zhun)備(bei)，保(bao)證(zheng)我(wo)國(guo)工(gong)業(ye)長(chang)期(qi)安(an)全(quan)健(jian)康(kang)可(ke)持(chi)續(xu)的(de)發(fa)展(zhan)。

今天我的報告就介紹到這兒
，謝謝大家。