圍繞“産業大腦+未來工廠”的資料安全技術體系建設

01-背景

目前，全球工業新舊動能加速轉換，恰逢百年變局與新冠疫情疊加影響，經濟下行壓力持續增大，全球産業分工體系面臨重大變化，“中國制造”正面臨發達國家“高端回流”和開發中國家“低端分流”的雙向擠壓。黨的二十大提出，未來五年是全面建設社會主義現代化國家開局起步的關鍵時期，要堅持以推動高品質發展為主體，推進新型工業化，推動制造業高端化、智能化、綠色化發展，建構新一代資訊技術、人工智能等一批新增長引擎，促進數字經濟和實體經濟深度融合。

“産業大腦+未來工廠”是以數字化融通打造數字化生态。産業級工業網際網路将連結各産業鍊企業資料中心，形成大中小企業協同數字化架構，彙內建區域級工業網際網路即形成區域産業大資料中心或企業端資料倉。将企業端資料倉與政府端資料倉統籌處理并上傳至産業大腦，即可實作全資料的共享流動，形成資料價值鍊的閉環，完成數字經濟系統建設的核心。

“産業大腦+未來工廠”在改變産業生态的同時，也面臨更多的安全性的挑戰，目前，全球各國不斷重視并持續更新工業網際網路安全防禦體系，但針對工業網際網路的攻擊威脅不斷加劇，全球工業網際網路安全發展仍面臨着巨大挑戰。2021年11月，丹麥風力渦輪機巨頭維斯塔斯遭遇網絡攻擊，破壞了其部分内部IT基礎設施并導緻尚未明确的資料洩露；2022年3月，日本豐田供應商“小島沖壓工業株式會社”遭到了網絡攻擊，導緻豐田在日本國内的14家工廠全部停工；2022年5月下旬，富士康在蒂華納（墨西哥）的生産工廠受到勒索軟體攻擊，并被要求支付贖金……資料安全事件已經影響到經濟社會正常運作，也為大陸工業安全敲響了警鐘。是以，提升大陸工業網際網路資料安全能力刻不容緩。

02-建設必要性

“産業大腦+未來工廠”作為數字經濟與實體經濟深度融合的應用模式，需要高度重視資料安全建設，保障資料的合法合規、可靠可控、安全可信。

目前網絡安全法、資料安全法、個人資訊保護法、資料出境安全評估辦法、工業和資訊化領域資料安全管理辦法及行業标準體系對工業領域，從資料安全治理（如分類分級、安全管理）、資料保護（防洩漏、防篡改、加密、備份恢複等）、資料共享、資料出境、資料合規等方面提出了具體要求。

同時，“産業大腦+未來工廠”涉及國家重要基礎設施和關鍵資訊基礎設施，具有重要戰略意義和價值，可能引發惡意競争和敵對勢力的攻擊。

03-資料安全概要建設

1.“産業大腦+未來工廠”的安全問題

新技術引進帶來新的安全風險。大規模物聯網裝置使用和多網融合（如現場總線、區域網路、無線網等），加之移動邊緣計算、網絡功能虛拟化、網絡切片等新技術應用，導緻充滿不确定因素和未知因素，資訊傳輸以及通信資訊的安全性和保密性無法得到有效保障。

裝置上雲互聯後帶來新的安全風險。随着工業企業上雲，現代行業裝置的發展使得網絡開放性變大、包容性變強，許多工業網際網路裝置出現并且得到快速發展，但長時間下來，暴露在外的裝置容易受到破壞；工業網際網路裝置較多、安全管理性能差、裝置老舊且更新速度慢，導緻無法及時檢測或修複漏洞，存在較大安全隐患。

資料互聯互通後帶來新的安全風險。“産業大腦+未來工廠”擁有更多效率上的優勢，能夠以極快的速度實作資訊的傳遞與處理，對于同一時間的資料收集與處理數量更多。利用雲-邊-端相關技術，能夠實作資訊資料的互通互享，各個資料交叉傳輸、多元傳輸等。這種資料傳輸處理上的多樣性盡管帶來諸多便捷，友善從業人員的資料處理，但也為資料安全保護工作帶來更多的挑戰。工業資料由于類型之間的差異性和資料特點的差異性較大，傳統的網絡安全保護工作也很難實作有效的資料保護處理。

邊界模糊後資料生命周期各階段安全風險。采集階段-“産業大腦+未來工廠”涉及企業個體、産業協同、政府等多方面，資料分布在海量裝置、系統之中。不僅資料孤島現象嚴重，各廠家資料接口規範不統一，而且各廠商多采用自家的私有協定，工業協定多樣且大多封閉，導緻資料難識别、難解析；傳輸階段-“産業大腦+未來工廠”場景涉及雲計算、大資料、人工智能等多種技術的應用，且資料在工廠外流動更加複雜多元。大流量、虛拟化、網絡分散等環境下難以有效捕捉追溯敏感資料和安全威脅；存儲階段-存儲階段極易形成資料彙聚，需根據資料類别和等級采用劃分區域、設定通路權限、加密存儲等多種手段。然而“産業大腦+未來工廠”資料形态多樣、格式複雜，使得資料分類分級管理與防護難度大；使用階段-對資料進行分析利用是資料作為生産要素的重要途徑，然而資料權責難定、安全可信賦能難等阻礙資料有序安全共享；交換共享階段-“産業大腦+未來工廠”涉及産業鍊上-中-下遊、多個領域、多個層次的資料交換和共享，資料流動性高，難以實作有效管控；其它方面-在多源接入過程中的資料采集、協定轉換、邊緣計算等行為，容易遭受資料篡改、資料竊取、終端漏洞被攻擊等風險。涉及大量低防護的工業裝置接入網際網路，存在大量高危漏洞，易成為攻擊目标。

2.重點隐患行業

( 1 ) 制造業是“産業大腦+未來工廠”的主要應用場景，也是惡意網絡行為的重點攻擊對象，涉及計算機、通信、電子裝置、汽車、醫藥、紡織等多個子行業。

( 2 ) 電力、能源、交通等國家重要基礎設施和關鍵資訊基礎設施，是“産業大腦+未來工廠”的重要支撐，也是網絡攻擊者的重點目标，一旦遭受攻擊，可能造成嚴重的社會經濟影響。

( 3 ) 車聯網、醫療器械等新興領域，是“産業大腦+未來工廠”的創新應用方向，也是網絡攻擊者的新趨向，涉及大量使用者資料和個人隐私，面臨洩露風險。

3.資料安全技術體系建設架構

圍繞“産業大腦+未來工廠”的資料安全體系非傳統隻針對資料生命周期下的資料通路控制、資料加密、資料審計等方面建設，而是一個更廣泛、更複雜的概念，涉及裝置、控制、網絡、平台、工業APP、辨別解析、資料等多方面安全建設。是以，“産業大腦+未來工廠”的資料安全體系建設從應用場景角度，包括了傳統網絡安全、雲安全、工控安全、資料安全等大部分技術領域。

“産業大腦+未來工廠”打破了原有企業間、政企間相對割裂情況，通過“上雲用數賦智”。建構了“政府引導—平台賦能—龍頭引領—協會服務—機構支撐”的聯合推進機制,帶動企業數智化轉型的同時，使其産業間更加群聚化、融合化與集中化。是以，原有以企業為機關相對獨立的防護手段應進一步提升，強化與工業網際網路融合貫通能力，使工業網際網路在賦能業務的同時，還可以賦能安全。

“産業大腦+未來工廠”資料安全架構圖

将事件管理與安全防禦體系融入産業鍊中，實作對不同角色進行保護。未來工廠（企業側）方面，針對現場控制層、集中監控層、MES層與企業管理層不同場景,提供工控安全、終端安全、網絡安全與資料安全技術保障能力。産業大腦（雲端）方面，分别對網絡側、Iaas側、Paas側、Saas側，建構雲安全、網絡安全、終端安全與資料安全技術保障能力。通過安全态勢感覺與營運管理平台，将産業大腦與未來工廠進行有效結合，實作雲端保障的同時，向企業端安全賦能。