当前，无论工业界还是学术界，对工业互联网安全这种新型又复杂的事物都处于探索阶段。发展工业互联网安全，究竟要解决什么样的问题？

　　对此，国家工业信息安全发展研究中心保障技术所工业互联网安全研究部主任王冲华在2020年第三届“工业安全大会（ICSISIA青年科技论坛）”上指出，工业互联网已逐渐成为网络安全的主战场，工业互联网安全的本质是解决工业企业、工业互联网平台企业、工业互联网基础设施运营企业的安全问题。

　　“工业互联网安全是一个非常新而又复杂的事物，它面临着很多新型的问题和挑战都急需解决。我认为，没有说哪个专家可以说自己已经将工业互联网理解得非常透彻。”

　　不断演变与升级的工业信息安全

　　近年来，学术界对工业互联网的研究正在以不同的角度开展。在王冲华整理的近两年网络安全领域的著名会议中，所设置的话题与工业互联网安全相关的包括：物联网安全LOT、安全影响物理世界、信息物理系统安全等。

　　而工业界对工业互联网安全的关注程度也在逐渐上升。2014年，工业信息安全的概念在我国被提出。2016年国务院发布《关于深化制造业与互联网融合发展的指导意见》，第一次真正提出工业信息安全的概念，并提出要制订、完善工业信息安全的管理等政策法规，依托现有的科研机构，建设国家工业信息安全的保障中心。2017年，我国成立工业信息安全发展研究中心。

　　那么，如何理解工业互联网与工控安全，以及与消费互联网安全的区别？

　　事实上，工业信息安全的概念和内涵也在不断演进、变化与升级。在王冲华看来，主要体现在三个方面：首先，制造资源的接入方式和范围发生变化，即从相对封闭的生产控制网络到相对开放的工业互联网平台；其次，工业生产数据的去向发生了变化，它从流向工业企业本地、孤立的业务系统，发展到流向外部的云端平台；第三，优化资源主体发生变化，从工业企业自身持续优化，再到通过工业互联网平台去优化配置。

　　工控系统的工控安全，通常以传统的制造业属性为主；而在工业互联网中，则同时包含了制造业和互联网的多样属性。

　　工业互联网与传统消费互联网也存在区别。传统消费互联网的网络层级比较少，基于TCP/IP通信协议的安全机制也较为完善，而且对网络时延的容忍度也比较高；运行的信息系统更加关注保密性和完整性，数据安全以信息数据保护为重点，遭到网络攻击多会面临经济上的损失。

　　工业互联网的安全特征

　　相比传统的消费互联网安全，工业互联网安全则有一些新的特征。首先是防护对象扩大，安全场景更加丰富。

　　王冲华说：“传统安全更关注网络设施性系统，工业互联网把安全扩展延伸到工厂内部，并伴随多种信息安全的防护对象，包括设备、控制、网络、标识解析、平台数据等。”

　　第二个新特征是，工业互联网安全的连接范围更广，安全威胁更延伸到物理事件；第三是工业互联网缺乏安全机制的协议种类也非常多，扩充难度比较大；第四，工业互联网的数据种类非常多样，缺乏防护重点。

　　他认为：“工业互联网数据的种类保护，涉及到研发数据、内部生产管理数据、操作控制数据等。仅仅依托传统的单点弥散的数据保护措施可能难以保护，难以有效地去保护现有工业互联网数据安全的需求。”

　　第一， 在网络安全和生产安全的交织下，安全事件的危害更加严重，以及新型技术会带来的一些安全新风险。

　　三大企业的安全问题是本质

　　去年12月，工业和信息化部发布了关于《工业互联网企业网络安全分类分级指南（试行）》（征求意见稿），明确提出将工业互联网的企业分为三类：应用工业互联网的工业企业、工业互联网的平台企业，以及工业互联网基础设施运营企业。

　　王冲华指出：“为什么提出这三大企业？其实是从三大类型企业的角度，去将工业互联网安全的要素梳理清楚。”

　　而三个不同的类型企业是不同的责任主体，可就此划分出工业互联网可能涉及的六大安全问题，即控制安全、设备安全、网络安全、标识解析安全，以及平台安全与数据安全。

　　设备和控制作为工业互联网数据的来源，也是工业互联网安全保障的重点；网络和标识解析是工业互联网的基础设施连接着平台、平台企业以及工业企业；平台处于工业互联网的云侧，它连接着大量的工业设备和存储的大量的工业数据，也是工业互联网安全保障的核心；数据则贯穿于三大工业互联网企业，包括数据采集、传输、存储、使用等全流程的安全问题。

　　“工业互联网安全的本质是解决工业企业、工业互联网平台企业、工业互联网基础设施运营企业的安全问题。”王冲华表示。

　　2019年8月，我国工信部、教育部等十部门印发了《加强工业互联网安全工作的指导意见》，提出了七项的重点工作，包括责任落实、构建管理体系、企业工业互联网安全防护水平，数据安全的保护能力、建设技术的手段、加强工业互联网安全公共的服务能力，以及推动科技创新。今年以来，迅速走红的“新基建”概念中也包括了工业互联网。

　　王冲华透露，不久前立项的一项标准就是工业互联网安全体系框架，目的是将工业互联网安全的框架、安全问题、安全保障能力等梳理清晰。“这一标准从安全战略保障、安全管理保障、安全技术保障，以及安全运营等四个方面提出工业互联网安全的一些体系及框架。”

　　如安全技术保障被分为六个安全要素，即数据、平台、标识解析、网络、设备、控制。“这六大安全要素针对前面提到的三种类型的工业互联网企业去一一对应，去梳理相关的安全问题。”

　　此外，据了解，目前针对工业互联网安全体系框架标准，相关部门已经立项并形成草案。