作者孫利民博士：係中國科學院信息工程研究所研究員，博士生導師
，物聯網安全北京市重點實驗室主任，中國工業互聯網研究院特邀專家

基於信息技術與工業技術深度融合的工業互聯網，正在改變現代工業的設計、shengchanheyingyongmoshi，yijiwomendeshenghuofangshi
，yishangshengweiwoguojianshezhizaoqiangguodeguojiazhanlve。muqianwangluokongjiandeduikangyiyanbianchengdaguojianduikangdeshouxuanzhanchang，gongyehulianwangguangfanshejidaonengyuan、智能製造、交通
、電子與通信等眾多重要行業或領域，其安全關乎國計民生、公共利益和國家安全。震網病毒、烏克蘭和委內瑞拉電網事件等說明工業互聯網已經成為國家間對抗的重要目標，工業互聯網安全形勢不容樂觀。工信部等十部門於2019年8月28日印發《加強工業互聯網安全工作的指導意見》（簡稱《指導意見》）是非常必要、非常及時的，為我國工業互聯網安全指明了階段目標和實施策略。

工業互聯網安全涉及到諸多行業和領域，與數千家工業互聯網企業、管理機構
、用戶單位緊密相關。《指導意見》的落地是一個大的係統工程
，如何結合我國具體情況與國際形勢進一步落實《指導意見》

，值得我們每一個工業互聯網安全從業者深入思考和探討。

我wo國guo工gong業ye互hu聯lian網wang安an全quan現xian狀zhuang令ling人ren堪kan憂you。第di一yi，我wo國guo基ji礎chu設she施shi和he高gao端duan製zhi造zao企qi業ye中zhong存cun在zai大da量liang的de國guo外wai工gong業ye設she備bei
，這zhe些xie工gong業ye係xi統tong在zai相xiang當dang長chang的de時shi間jian內nei還hai會hui繼ji續xu使shi用yong
；同時
，由於技術水平和製造能力的限製，國內高端數控機床
、高端發動機、發電控製係統，以及高端PLC器(qi)件(jian)等(deng)工(gong)控(kong)設(she)備(bei)依(yi)賴(lai)國(guo)外(wai)發(fa)達(da)國(guo)家(jia)，這(zhe)些(xie)核(he)心(xin)元(yuan)器(qi)件(jian)和(he)設(she)備(bei)的(de)內(nei)部(bu)機(ji)理(li)和(he)通(tong)信(xin)協(xie)議(yi)往(wang)往(wang)不(bu)被(bei)我(wo)們(men)掌(zhang)握(wo)，以(yi)及(ji)自(zi)身(shen)存(cun)在(zai)設(she)計(ji)漏(lou)洞(dong)和(he)被(bei)植(zhi)入(ru)後(hou)門(men)的(de)問(wen)題(ti)

，造(zao)成(cheng)重(zhong)要(yao)工(gong)業(ye)資(zi)產(chan)和(he)裝(zhuang)備(bei)製(zhi)造(zao)信(xin)息(xi)可(ke)能(neng)被(bei)國(guo)外(wai)非(fei)法(fa)收(shou)集(ji)。在(zai)國(guo)際(ji)開(kai)發(fa)
、合作的大環境下，如何保證現有進口工控設備的安全成為我國工業互聯網安全必須麵對的重要核心問題之一。

dier
，woguodegongyejishuheanquanjishuyuguojizuifadaguojiacunzaiyidingdechaju，gongyehulianwangshebeijiqianquanchanpindeyanfanenglijidaitigao。gongyehulianwangjiansheyuanquanbaozhangxuyaodaliangdegongyehulianwanganquanzhuanyerencai，ranerwoguomuqianzhefangmiandeanquanrencaiquekouhenda
，gongyehulianwanganquanshejidaogongyekongzhiyuzidonghua、電子信息通信、網絡安全等多個學科，這種多學科交叉對工業互聯網安全人才的培養增加了難度。

第三，工業互聯網涉及不同行業的重要程度和安全需求不同，其安全防護水平和優先級也要區別對待。例如軍工高端製造和能源電力（發電與電網）等行業涉及到國家安全，也是其它工業互聯網行業的基礎和支撐。因此
，此類行業的安全應成為首要考慮和關注的重點。

如何使工業互聯網安全的指導意見發揮作用，我們作為安全科研機構結合自己的基礎積累和研發經驗，提出如下建議：

第一，遵照《指導意見》中提出的工業互聯網安全要有頂層設計的指導原則，結合我國工業互聯網的現狀和技術水平，“從外到內、從表到裏”difenjieduanshishi。shouxianyutongshizhangwogongkongxitongheanquanzhishideyanfarenyuanhenshao，xianyougongkonghulianwanganquanchanpinjibenchuyuchushijieduan
，muqiangongyehulianwangdeanquanfanganzhuyaoshiwaibuweixieweidushihuowangluoliubiaomianshidefanghu，henshaoshenrudaogongyehulianwangdehexinbujian，zheyingzhujianshenrudaoPLC、工控組態軟件和數控機床等核心元器件的安全

，把工控係統的功能安全與信息安全結合起來
，實現工業互聯網的內置安全。

第二
，工業互聯網安全的首要任務是建立安全檢查和風險識別的能力。開放、合作、博弈、對抗的國際環境下
，針對現階段我國關鍵基礎設施,特別是采用國外工控設備的重要設施和高端製造企業，如何檢測是否已被攻擊
、發fa現xian現xian有you係xi統tong存cun在zai安an全quan隱yin患huan，是shi各ge個ge工gong業ye互hu聯lian網wang企qi業ye首shou先xian要yao解jie決jue心xin頭tou之zhi患huan的de問wen題ti。對dui重zhong要yao基ji礎chu設she施shi的de攻gong擊ji往wang往wang是shi國guo家jia級ji的de高gao隱yin蔽bi行xing為wei
，如ru何he發fa現xian高gao隱yin蔽bi攻gong擊ji或huo未wei知zhi攻gong擊ji是shi一yi個ge有you挑tiao戰zhan性xing的de難nan題ti
，需xu要yao多duo維wei度du的de協xie同tong才cai能neng發fa現xian高gao隱yin蔽bi攻gong擊ji。其qi中zhong
，高gao仿fang真zhen、高交互的專用工業入侵誘捕係統（蜜罐/蜜網）是(shi)在(zai)工(gong)控(kong)企(qi)業(ye)發(fa)現(xian)未(wei)知(zhi)攻(gong)擊(ji)的(de)一(yi)種(zhong)最(zui)有(you)效(xiao)工(gong)具(ju)。然(ran)而(er)當(dang)前(qian)隻(zhi)有(you)少(shao)量(liang)工(gong)業(ye)互(hu)聯(lian)網(wang)企(qi)業(ye)內(nei)部(bu)署(shu)工(gong)控(kong)蜜(mi)罐(guan)，而(er)且(qie)其(qi)對(dui)蜜(mi)罐(guan)數(shu)據(ju)深(shen)入(ru)分(fen)析(xi)發(fa)現(xian)攻(gong)擊(ji)的(de)能(neng)力(li)也(ye)急(ji)需(xu)加(jia)強(qiang)。同(tong)時(shi)，應(ying)加(jia)強(qiang)企(qi)業(ye)內(nei)部(bu)

、行業、quanguoshenzhiquanqiugongkonganquantaishidedeganzhihefenxinengli，tongguozaiquanqiuhulianwangshangdaliangbushuduoleixingdemiguanxitong，youzhuyuzhudongjiancehebeidongyoubuxiangjiehedifaxianwangluogongjihuodongqingkuangheweizhigongjiyangbentezheng。

第三，《指導意見》要求對重點行業和領域要高度重視重點布局，發電行業、電網係統、軍工製造企業
、軌道交通、三(san)峽(xia)水(shui)利(li)等(deng)是(shi)工(gong)業(ye)互(hu)聯(lian)網(wang)安(an)全(quan)防(fang)護(hu)的(de)重(zhong)中(zhong)之(zhi)重(zhong)，需(xu)要(yao)多(duo)部(bu)門(men)相(xiang)互(hu)協(xie)助(zhu)，進(jin)行(xing)針(zhen)對(dui)性(xing)的(de)技(ji)術(shu)攻(gong)關(guan)，具(ju)備(bei)發(fa)現(xian)高(gao)等(deng)級(ji)網(wang)絡(luo)攻(gong)擊(ji)的(de)能(neng)力(li)
，提(ti)出(chu)多(duo)種(zhong)深(shen)度(du)安(an)全(quan)防(fang)護(hu)的(de)體(ti)係(xi)化(hua)方(fang)案(an)。

第四，針對多個重要工業互聯網行業

，分別構建特定的工業互聯網攻防演練靶場和仿真測試平台，為工控漏洞挖掘、安全威脅感知
、網wang絡luo攻gong防fang對dui抗kang與yu安an全quan防fang護hu等deng關guan鍵jian技ji術shu研yan究jiu提ti供gong符fu合he真zhen實shi現xian場chang實shi際ji的de基ji礎chu科ke研yan平ping台tai。同tong時shi，加jia強qiang工gong業ye互hu聯lian網wang和he網wang絡luo安an全quan複fu合he型xing高gao端duan人ren才cai的de培pei養yang
，建jian立li一yi批pi工gong業ye互hu聯lian網wang安an全quan重zhong點dian實shi驗yan室shi
，在zai研yan究jiu生sheng學xue科ke建jian設she中zhong增zeng加jia工gong業ye聯lian網wang安an全quan方fang向xiang，加jia大da工gong業ye互hu聯lian網wang人ren才cai的de培pei養yang力li度du。

第五
，構建工業互聯網安全資源庫，如工業協議庫、安全漏洞庫
、惡意代碼病毒庫和安全威脅信息庫等，以及安全應急處置、安全事件現場取證等工具集。由於工業互聯網行業眾多
，控製協議、shebeileixinghewangluoxingtaichayihenda，butongxingyezaikaolvgongyehulianwangtongyongxuqiuqingkuangxiayaogoujianbenxingyezhuanyonganquanziyuankuheanquangongjuji，bingzaixingyeneipeixunhetuiguangyingyongdetongshi，zhuyianquanziyuankuzishendeanquanhefangxielouwenti。