1  前 言

2022年下半年，全國工業(yè)互聯(lián)網安全深度行在各個省份都已經陸續(xù)開展起來，各類活動也正在如火如荼地進行著，為加快提升我國工業(yè)互聯(lián)網安全保障水平各項工作真正落到實處。其中，深度行活動包括分類分級管理、政策標準宣貫、資源池建設、應急演練、人才培訓、賽事活動等6項內容，分類分級管理和政策標準宣貫2項為必選內容。

圖 1?1 《關于開展工業(yè)互聯(lián)網安全深度行活動的通知》(工信廳網安函〔2022〕97號)

作為工業(yè)互聯(lián)網企業(yè)需要引起高度重視，積極響應深度行活動，落實主體責任，統(tǒng)籌推動工業(yè)互聯(lián)網企業(yè)網絡安全分類分級管理及安全防護工作，切實保障我國各項工業(yè)生產活動安全穩(wěn)定、萬無一失。

2  安全深度行的必要性

工業(yè)和信息化部發(fā)布最新統(tǒng)計數(shù)據(jù)顯示，今年一季度，我國工業(yè)互聯(lián)網產業(yè)規(guī)模首次突破10000億元，據(jù)中商產業(yè)研究院預測，2022年我國工業(yè)互聯(lián)網產業(yè)經濟產業(yè)增加值規(guī)模將超5萬億元。依據(jù)行業(yè)整體大發(fā)展趨勢與國家政策扶持，越來越多的工業(yè)互聯(lián)網企業(yè)基于創(chuàng)新與轉型升級賦能快速發(fā)展，基本形成行業(yè)體系與格局;工業(yè)互聯(lián)網在研發(fā)設計、生產制造、運營管理等各個環(huán)節(jié)得以廣泛應用，伴隨著5G技術、數(shù)字孿生等新型應用，行業(yè)應用也正在不斷深化?；诰W絡建設、平臺賦能、新型應用等，實現(xiàn)產品協(xié)同設計、生產監(jiān)控與優(yōu)化、制造與工藝管理、運營決策管理、資源配置優(yōu)化等效果，而作為重要保障的安全建設相對滯后，面臨著嚴峻挑戰(zhàn)。

工業(yè)互聯(lián)網包括三大體系：網絡、平臺和安全，網絡是工業(yè)互聯(lián)網互聯(lián)的基礎，平臺是工業(yè)互聯(lián)網發(fā)展的核心，安全是工業(yè)互聯(lián)網的保障，三者相輔相成、必不可缺;基于工業(yè)互聯(lián)網的總體發(fā)展與安全建設狀況，2021年1月13日，工業(yè)和信息化部印發(fā)《開展工業(yè)互聯(lián)網企業(yè)網絡安全分類分級管理試點工作的通知》，啟動部署分類分級試點工作。2022年5月13日，工業(yè)和信息化部辦公廳《關于開展工業(yè)互聯(lián)網安全深度行活動的通知》正式發(fā)布，加快提升我國工業(yè)互聯(lián)網安全保障水平，組織開展工業(yè)互聯(lián)網安全深度行活動。

圖 2?1 工業(yè)互聯(lián)網企業(yè)相關政策指導文件

在工業(yè)和信息化部辦公廳《關于開展工業(yè)互聯(lián)網安全深度行活動的通知》中規(guī)定在11月底前，各地工業(yè)和信息化主管部門、通信管理局聯(lián)合第三方專業(yè)機構組織開展本地深度行活動，推進網絡安全分類分級管理、政策宣貫及其他活動。并于12月16日前，完成本地深度行活動總結，形成書面報告上報工業(yè)和信息化部(網絡安全管理局)。

至此，全國各地主管部門都相應展開深度行活動，深度踐行工業(yè)互聯(lián)網企業(yè)網絡安全分類分級管理及政策標準宣貫，以及其他有利于提升我國工業(yè)互聯(lián)網安全保障水平的各項工作。

3  安全深度行下網絡安全分類分級管理的開展

日前，各省份都相應展開了工業(yè)互聯(lián)網企業(yè)網絡安全分類分級管理工作，對于工業(yè)互聯(lián)網企業(yè)(聯(lián)網工業(yè)企業(yè)、平臺企業(yè)、標識解析企業(yè))，應該履行工業(yè)互聯(lián)網安全管理主體責任,按照有關規(guī)定開展自主定級、安全評估、安全整改、應急保障等工作,落實安全防護規(guī)范要求,保障工業(yè)互聯(lián)網安全穩(wěn)定運行。本文主要針對聯(lián)網工業(yè)企業(yè)為對象展開網絡安全分類分級管理工作推進的說明，企業(yè)應當主動開展自主定級工作，根據(jù)評級結果結合《工業(yè)互聯(lián)網企業(yè)網絡安全分類分級管理指南(試行)》中的安全防護要求進行安全評估、安全整改與建設，提高本企業(yè)的網絡安全保障水平。

圖 3?1 工業(yè)互聯(lián)網企業(yè)網絡安全分類分級管理指南(試行)

3.1 聯(lián)網工業(yè)企業(yè)自主定級

聯(lián)網工業(yè)企業(yè)是應用工業(yè)互聯(lián)網的企業(yè)簡稱，主要是指將新一代信息通信技術與工業(yè)系統(tǒng)深度融合，推動企業(yè)模型化研發(fā)、智能化制造、網絡化協(xié)同、個性化定制、數(shù)字化管理、服務化延伸，實現(xiàn)智能控制、運營優(yōu)化和生產組織方式的變革，主要涉及原材料工業(yè)、裝備工業(yè)、消費品工業(yè)和電子信息制造業(yè)等行業(yè)。

由聯(lián)網工業(yè)企業(yè)根據(jù)工業(yè)互聯(lián)網企業(yè)網絡安全分類分級評定規(guī)則結合自身實際情況進行初步自主定級，上報至地方主管部門進行核查確認，各地工業(yè)和信息化主管部門、通信管理局與企業(yè)建立工作機制，開展抽查、通報、完善安全防護形成閉環(huán)流程，幫助企業(yè)落實安全防護機制，保障生產工業(yè)活動有序、可靠、持續(xù)進行。

依據(jù)工業(yè)互聯(lián)網企業(yè)網絡安全分類分級評定規(guī)則進行評分，聯(lián)網工業(yè)企業(yè)參照行業(yè)重要性、企業(yè)規(guī)模、安全風險程度等因素，將企業(yè)網絡安全等級由高到低劃分為三級、二級、一級。

工業(yè)互聯(lián)網企業(yè)定級采用計分方式進行，滿分100分。具體評分細則參考工業(yè)互聯(lián)網企業(yè)安全分類分級評定規(guī)則按照聯(lián)網工業(yè)企業(yè)定級方法進行計分。

依據(jù)評級結果針對工業(yè)互聯(lián)網企業(yè)網絡安全防護進行建設及完善，主動展開相關重要工作，有效應對網絡安全風險，提升網絡安全保障水平。

3.2 企業(yè)網絡安全防護

工業(yè)互聯(lián)網企業(yè)應根據(jù)企業(yè)網絡安全防護要求落實相關措施，值得注意的是一級工業(yè)互聯(lián)網企業(yè)需參照二級企業(yè)相關要求落實安全防護措施，意味著三個等級的工業(yè)互聯(lián)網企業(yè)都有責任、義務進行網絡安全防護相關建設。各地、各級工業(yè)和信息化主管部門定期會對本行政區(qū)域內工業(yè)互聯(lián)網企業(yè)進行網絡安全工作指導、抽查及通報，省級主管部門進行安全監(jiān)管。

(1)建立健全網絡安全責任制

落實工業(yè)互聯(lián)網企業(yè)主要負責人為網絡安全第一負責人，開展網絡安全責任制、網絡安全管理制度、應急處置機制等安全工作的推進、落實及完善。

(2)落實網絡安全總體規(guī)劃

企業(yè)應當根據(jù)自身信息化實際發(fā)展情況，結合網絡安全總體規(guī)劃制定合理、穩(wěn)定、持續(xù)、可行的安全建設方案，依據(jù)業(yè)務劃分不同區(qū)域、數(shù)據(jù)，展開分區(qū)分域重點防護，保障生產活動安全。

(3)建設網絡安全監(jiān)測預警平臺

企業(yè)應建立網絡安全監(jiān)測預警平臺，與省級平臺對接，完善工作機制，建立持續(xù)、有效協(xié)同工作，加強安全監(jiān)測技術能力，規(guī)避重大網絡安全風險與隱患。

三級工業(yè)互聯(lián)網企業(yè)建設企業(yè)級工業(yè)互聯(lián)網安全監(jiān)測平臺，并接入屬地省級工業(yè)互聯(lián)網安全監(jiān)測平臺;

鼓勵二級工業(yè)互聯(lián)網企業(yè)積極建設企業(yè)級工業(yè)互聯(lián)網安全監(jiān)測平臺，并接入屬地省級工業(yè)互聯(lián)網安全監(jiān)測平臺。

(4)開展符合性評測與風險評估

企業(yè)在落實安全防護措施及建立網絡安全監(jiān)測預警平臺后，仍需對于企業(yè)的風險實現(xiàn)閉環(huán)管理工作，以管理風險為核心，不斷完善企業(yè)安全防護能力。

三級工業(yè)互聯(lián)網企業(yè)每年開展一次符合性評測和風險評估;

二級工業(yè)互聯(lián)網企業(yè)每兩年開展一次符合性評測和風險評估。

(5)完善網絡安全事件應急方法

企業(yè)應當意識到網絡安全不存在“絕對安全”的狀態(tài)，當發(fā)現(xiàn)重大網絡安全風險和事件時，應具備安全應急處理能力，能夠快速、及時、有效處理相關安全問題和事件，及時向主管部門、通信管理局報告。

三級工業(yè)互聯(lián)網企業(yè)每年至少開展一次應急演練;

二級工業(yè)互聯(lián)網企業(yè)每兩年至少開展一次應急演練。

4  積極踐行網絡安全分類分級管理

4.1落實網絡安全責任制，建立安全管理制度

落實工業(yè)互聯(lián)網企業(yè)法人代表、經營負責人第一責任者的責任，對本企業(yè)安全生產工作負全面責任，統(tǒng)籌企業(yè)內網絡安全防護各項工作的有序開展，有效保障企業(yè)內工業(yè)生產活動安全;成立網絡安全小組，明確工業(yè)互聯(lián)網安全相關責任部門和責任人，依法落實企業(yè)主體責任。通過網絡安全責任制，建立安全工作責任人劃分與問責機制，有效保障各項安全工作能夠落實到位，建設并完善一套能夠依據(jù)企業(yè)實際情況且適用的網絡安全管理制度，從管理機構與人員、資產管理、安全原則、安全設計、安全運維等多個維度進行規(guī)范，把安全工作落到實處;可借鑒聯(lián)網工業(yè)企業(yè)安全防護規(guī)范(試行)中的安全管理要求，包括安全管理制度、安全管理機構和人員、安全建設管理、安全運維管理等。

圖 4?1 網絡安全管理要求

4.2 制定總體規(guī)劃，安全防護規(guī)范

聯(lián)網工業(yè)企業(yè)按照《工業(yè)互聯(lián)網企業(yè)網絡安全分類分級管理指南(試行)》的級別劃分，采取不同程度的安全防護，圍繞企業(yè)自身信息化、數(shù)字化發(fā)展現(xiàn)狀，基于國際、國內標準及行業(yè)標準建設一套符合工業(yè)互聯(lián)網企業(yè)安全防護體系，有效保障企業(yè)的設備安全、控制安全、網絡安全、數(shù)據(jù)安全等。

依據(jù)《工業(yè)互聯(lián)網企業(yè)網絡安全分類分級管理指南(試行)》的安全防護要求，對于制造執(zhí)行層、集中監(jiān)控層、過程控制層的設備安全、控制安全、網絡安全、數(shù)據(jù)安全展開相應的安全建設，結合實際場景與情況進行總體規(guī)劃;劃分生產業(yè)務區(qū)域與管理信息區(qū)域，基于生產業(yè)務的重要性，優(yōu)先對于生產業(yè)務網絡的各個區(qū)域進行安全防護，可參考下圖工控安全防護體系規(guī)劃進行分期建設。

圖 4?2 工業(yè)互聯(lián)網企業(yè)工控安全防護體系規(guī)劃

(1)設備安全防護方案

設備安全防護主要從終端計算機、控制設備、存儲介質三個維度展開，對不同的設備進行不同程度、不同要求的防護。在終端計算機、控制設備的安全防護中可采用工控主機衛(wèi)士，實現(xiàn)防病毒、接入認證、安全加固等安全防護效果;可結合實際生產業(yè)務使用的系統(tǒng)、應用、組態(tài)軟件建立可信的白名單環(huán)境，阻止非授權的應用、惡意代碼程序及病毒等程序的運行，具備已知、未知病毒的防護能力;結合雙因子認證機制，提升設備使用人員的合法性;通過安全基線加固技術，提升主機操作系統(tǒng)安全等級。

在移動介質的安全防護中采用移動介質安檢站，結合“工控主機衛(wèi)士+安全U盤”構建移動存儲介質全生命周期管控方案，對于生產車間內部使用的移動介質進行綜合管控，實現(xiàn)安全殺毒、權限管理、數(shù)據(jù)擺渡等安全效果，降低通過移動介質引入病毒的風險，有效保障工業(yè)設備的安全性。

圖 4?3 移動存儲介質全生命周期管控

(2)控制安全防護方案

控制安全主要針對聯(lián)網控制系統(tǒng)、組態(tài)軟件、工業(yè)數(shù)據(jù)庫、配置與運維安全提出相關規(guī)范。在聯(lián)網控制系統(tǒng)與網絡安全防護中實現(xiàn)狀態(tài)監(jiān)測、流量采集與行為分析、異常告警、入侵告警的要求，可采用工控安全監(jiān)測與審計系統(tǒng)，基于工控協(xié)議深度解析技術，智能學習建立業(yè)務系統(tǒng)安全通信模型，對聯(lián)網控制系統(tǒng)與網絡進行流量實時分析，分析生產網絡攻擊流量和異常行為，進行及時發(fā)現(xiàn)、報告并處理。

針對聯(lián)網控制系統(tǒng)、工業(yè)數(shù)據(jù)庫等產生的日志進行管理與備份，定期進行審計分析，實現(xiàn)關聯(lián)分析、事件管理，及時發(fā)現(xiàn)安全問題與風險，可采用日志審計與分析系統(tǒng)，對于聯(lián)網控制系統(tǒng)、工業(yè)數(shù)據(jù)庫進行日志收集，實現(xiàn)日志數(shù)據(jù)和告警數(shù)據(jù)關聯(lián)分析，及時對安全事件進行追溯或干預。

在運維安全要求中加強對于技術服務、運維服務的網絡安全管理能力，在安全得到保障下進行遠程維護、技術服務，采用安全運維管理系統(tǒng)，針對聯(lián)網控制系統(tǒng)、工業(yè)數(shù)據(jù)庫、服務器及其他設備等資源的運維與操作進行身份認證、權限控制及行為審計，加強用戶授權、審計管理，提高運維安全能力。

(3)網絡安全防護方案

在網絡安全防護要求中，對于組網、架構、連接、網絡設備、安全設備提出具體安全要求。在組網與架構安全中實現(xiàn)分區(qū)分域，不同區(qū)域、層級之間實現(xiàn)安全邊界防護能力，企業(yè)管理層與制造執(zhí)行層之間采用工控安全隔離與信息交換系統(tǒng)，制造執(zhí)行層相比于企業(yè)管理層安全等級更高，必須保證其安全性，實現(xiàn)兩者之間的物理隔離，規(guī)避外部的攻擊的同時，避免內部生產數(shù)據(jù)與信息的泄漏，建立可控的信息交換通道。

不同區(qū)域之間應實現(xiàn)訪問控制，采用工業(yè)防火墻，對不同區(qū)域間的訪問行為進行管控，對于非授權連接行為進行攔截以及審計記錄;對各控制系統(tǒng)和設備使用的工業(yè)控制協(xié)議進行深度識別及解析，建立工業(yè)控制協(xié)議白名單訪問控制策略，保證只有可信任的指令和消息才能在網絡上傳輸。配備硬件級安全策略寫保護功能，與生產業(yè)務起到“同頻共振”效果，極端情況下仍能有效保障生產工業(yè)活動正常運行。

圖 4?4 硬件級安全策略寫保護

在網絡邊界防護中，采取入侵防范、惡意代碼防范等措施，可采用高級威脅檢測系統(tǒng)，對于實時通信的數(shù)據(jù)流量進行拆包分析，利用入侵檢測、病毒木馬檢測、未知威脅沙箱行為檢測、惡意流量人工智能檢測等技術，實現(xiàn)已知、未知威脅的全面檢測，起到快速告警、及時響應的安全防護作用。

在安全設備要求中，合理部署安全設備，完善網絡安全防護，可在安全管理中心區(qū)域部署統(tǒng)一安全管理平臺，通過統(tǒng)一安全管理平臺實現(xiàn)對全網的安全設備、安全事件、安全策略、安全運維進行統(tǒng)一集中的監(jiān)控、調度、預警和管理，減輕網絡安全系統(tǒng)的運維工作量。采用工控漏洞掃描平臺，針對主機類、網絡類、安全類等各式設備及應用系統(tǒng)等進行漏洞掃描，解決漏洞防護、設備基線核查、弱口令等問題，構建漏洞管理閉環(huán)流程，提高設備層的安全指數(shù)，減少生產網絡中存在的風險。

(4)數(shù)據(jù)安全防護方案

應按照《工業(yè)互聯(lián)網企業(yè)數(shù)據(jù)安全防護規(guī)范(試行)》對聯(lián)網工業(yè)企業(yè)所使用的數(shù)據(jù)進行分類分級，依據(jù)分級要求采取對應的數(shù)據(jù)安全防護措施?？稍贛ES服務器、WMS服務器、實時數(shù)據(jù)庫服務器以及其他區(qū)域重要的服務器上部署主機防勒索系統(tǒng)，基于主動防御理念有效防范千變萬化的勒索病毒攻擊，通過基于底層驅動感知的勒索行為監(jiān)測、主動誘捕、數(shù)據(jù)智能備份及恢復等功能實現(xiàn)數(shù)據(jù)安全的有效保障，達到事前防御、事中檢測/阻斷、事后恢復的重要數(shù)據(jù)安全保護效果。

圖 4?5 主機防勒索系統(tǒng)保障數(shù)據(jù)安全

4.3 工業(yè)互聯(lián)網安全監(jiān)測平臺建設

工業(yè)互聯(lián)網企業(yè)網絡安全分類分級指南(試行)明確要求三級工業(yè)互聯(lián)網企業(yè)建設完善企業(yè)級工業(yè)互聯(lián)網安全監(jiān)測平臺，并接入省級以上工業(yè)互聯(lián)網安全監(jiān)測平臺;二級工業(yè)互聯(lián)網企業(yè)應當積極建設企業(yè)級工業(yè)互聯(lián)網安全監(jiān)測平臺，并與省級工業(yè)互聯(lián)網安全監(jiān)測平臺對接。

工業(yè)互聯(lián)網企業(yè)應當在建設安全防護體系與安全管理制度的基礎上，完善建設工業(yè)互聯(lián)網安全監(jiān)測平臺，整體上為企業(yè)安全運營提供資產管理、漏洞管理、風險評估、監(jiān)測預警、攻擊溯源、趨勢預測、協(xié)同聯(lián)動等能力，一方面提供工業(yè)互聯(lián)網企業(yè)整體的資產態(tài)勢、運行態(tài)勢、攻擊態(tài)勢、脆弱性態(tài)勢、事件態(tài)勢各類宏觀態(tài)勢;另一方面提供安全事件的智能分析，解決由于海量告警導致產生的運維壓力。整體構成了安全風險主動排查、安全狀態(tài)主動監(jiān)測，安全事件主動響應的全方位的主動安全防御體系。

圖 4?6 工業(yè)互聯(lián)網安全監(jiān)測平臺

工業(yè)互聯(lián)網企業(yè)依托安全監(jiān)測平臺實現(xiàn)網絡安全監(jiān)測預警與信息通報制度，可建立與省級以上工業(yè)互聯(lián)網安全監(jiān)測平臺聯(lián)動工作機制，雙重監(jiān)測機制保障企業(yè)網絡安全風險及隱患及時發(fā)現(xiàn)通報，預防重大網絡安全事件的發(fā)生。

4.4 落實防護措施，風險閉環(huán)管理

工業(yè)互聯(lián)網企業(yè)網絡安全分類分級指南(試行)明確要求三級工業(yè)互聯(lián)網企業(yè)每年開展一次符合性評測和風險評估，二級工業(yè)互聯(lián)網企業(yè)每兩年開展一次符合性評測和風險評估。企業(yè)可參考2022年4月份正式新發(fā)布GB/T 20984-2007《信息安全技術 信息安全風險評估規(guī)范》開展信息安全風險評估工作，圍繞風險評估實施流程進行工作開展，企業(yè)可基于工控漏洞掃描平臺或其他風險評估工具建立風險識別、分析的過程，定期對于生產業(yè)務區(qū)域、管理信息區(qū)域的網絡、系統(tǒng)、設備定期展開風險評估，依據(jù)評估報告，有重點、分步驟開展網絡安全設計、安全測試、安全整改等工作，形成風險的閉環(huán)管理。必要時，可結合第三方專業(yè)測評機構進行符合性評測和風險評估，進一步提高風險閉環(huán)管理能力，以較小的風險管理成本獲得工業(yè)企業(yè)可靠生產的高效益。

圖 4?7 風險評估實施流程

4.5 定期舉辦應急演練活動，健全安全應急預案制度

工業(yè)互聯(lián)網企業(yè)網絡安全分類分級指南(試行)明確三級工業(yè)互聯(lián)網企業(yè)每年至少開展一次應急演練，二級工業(yè)互聯(lián)網企業(yè)每兩年至少開展一次應急演練。應急演練作為在事件真正發(fā)生前應急響應預備性工作，其重要性不言而喻;網絡安全小組應該應當制定本行業(yè)、本領域的網絡安全事件應急預案，并定期組織演練，檢驗企業(yè)當前的安全防護和應急處置能力。

在此基礎之上，更應不斷健全本企業(yè)安全應急預案制度，除了定期舉行應急演練外，還應該對于不同等級的緊急事件根據(jù)對業(yè)務的影響程度進行明確劃分，明確事件類型、處置手段、處置責任人，預設檢測方案、抑制方案、根除方案、恢復方案、跟蹤方案，第一時間根據(jù)應急小組的研判結果進行快速響應。

當安全緊急事件發(fā)生時，立馬啟動應急預案，盡早準確得出研判結果，快速響應、處置問題與風險，以達到不影響業(yè)務系統(tǒng)穩(wěn)定運行的效果，從而保障工業(yè)互聯(lián)網企業(yè)工業(yè)活動正常運行。

圖 4?8 安全應急響應流程

5  結語

工業(yè)互聯(lián)網是未來的發(fā)展趨勢和各國之間的競爭核心，已經在全世界引起了高度重視，與國家發(fā)展、經濟走向息息相關。工業(yè)互聯(lián)網企業(yè)在高速發(fā)展的同時應該更加重視安全建設，安全保障水平與安全管理制度同步到位，有效保障企業(yè)內各項工業(yè)生產活動安全穩(wěn)定、萬無一失;目前，威努特已協(xié)助多家工業(yè)互聯(lián)網企業(yè)入選工信部工業(yè)互聯(lián)網網絡安全分類分級管理優(yōu)秀試點企業(yè)，形成可復制可推廣的工業(yè)互聯(lián)網網絡安全分類分級管理模式，具備工業(yè)互聯(lián)網網絡安全典型解決方案的實踐經驗與建設能力。

來源：威努特工控安全