1、 工业信息安全产业发展联盟 2019 年 12 月 工业信息安全标准化 白皮书 （2019 版) 版权说明 本白皮书版权属于工业信息安全产业发展联盟，并受法 律保护。转载、摘编或利用其它方式使用本白皮书文字或者 观点的， 应注明“来源： 工业信息安全标准化白皮书 （2019 版）”。违反上述声明者，工业信息安全产业发展联盟将追究 其相关法律责任。 牵头编写单位：牵头编写单位：国家工业信息安全发展研究中心 联合编写单位：联合编写单位：中国电子技术标准化研究院、广州赛宝认证 中心服务有限公司、 国家信息技术安全研究中心、 清华大学、 北京东方国信科技股份有限公司、恒安嘉新（北京）科技股 份公司、上

2、海观安信息技术股份有限公司、上海云剑信息技 术有限公司、湖北省电子信息产品质量监督检验院、长扬科 技（北京）有限公司、北京威努特技术有限公司、中国电子 信息产业集团有限公司第六研究所、国网电子商务有限公司、 中国科学院大学、北京网藤科技有限公司、北京亚控科技发 展有限公司、北京华电天仁电力控制技术有限公司、中国电 力企业联合会科技开发服务中心、新华水力发电有限公司、 深圳融安网络科技有限公司、北京杉树岭网络科技有限公司、 武汉亿博斯特科技有限公司 编写人员编写人员：陈雪鸿、李俊、杨帅锋、柳彩云、刘贤刚、李尧、 刘克松、方进社、曾珍珍、李霞、叶晓俊、王晨、敖志强、 孙广明、傅强、王泽政、谢江、王

3、勇、徐煦、陈斯、黄浚哲、 汪义舟、严美玉、黄敏、王绍杰、王栋、张玉清、杨毅宇、 张馨元、张硕、陆秋明、成忠庆、陈仲亿、刘森、孙昶辉、 王嵘、陈桂耀、汪敦全、梁鼎铭、刘畅、李伟斌、李春、李 蜀斌、孙岩、李耀兵、王冲华、江浩、张雪莹、毕婷、赵千、 周昊、高建磊、樊佩茹、余果、李赟 编写说明 随着信息化和工业化的深度融合，传统的工业生产系统 逐步由单机走向互联，由封闭走向开放，极大促进了工业生 产的网络化、协同化，同时也加强了工业互联网安全的级联 效应。尤其是电力行业，已经出现了多起因工业互联网安全 问题引发的停电事故。在工业互联网安全形势日益严峻的当 下，亟需加强工业信息安全标准化工作，奠定两化融

4、合的安 全基石。 我国高度重视网络安全，2016 年颁布网络安全法， 对网络运行安全、监测预警与应急处置、法律责任等方面作 出规定，也提出了制定完善网络安全标准的相关要求。为贯 彻落实网络安全法，推进当前及未来一段时间工业信息 安全标准化工作，推动解决标准缺失、滞后、交叉重复、体 系化不足等问题，为工业信息安全标准研究与制定提供参考， 工业信息安全产业发展联盟组织撰写工业信息安全标准化 白皮书，旨在厘清工业信息安全概念与内涵，梳理已有的 工业信息安全标准及未来拟制定的国家标准，形成全面布局、 重点突出的工业信息安全标准体系。与当前已发布的工业 互联网平台标准化白皮书（2018）工业互联网标准体

5、系 （2.0）工业信息安全态势白皮书（2017）中国工业 信息安全产业发展白皮书等白皮书相比，本白皮书首次明 确界定了工业信息安全相关概念之间的关系，全面分析了当 前工业信息安全标准化工作中存在的问题，并梳理总结了国 内外工业信息安全相关标准情况。在此基础上，本白皮书提 出了工业信息安全标准体系框架。 工业信息安全产业发展联盟将密切关注工业信息安全 领域的技术与标准发展动向，持续推出工业信息安全标准化 等系列白皮书，为工业信息安全标准研制和安全防护建设提 供参考。 目 录 一、 工业信息安全概念和内涵 . 1 二、 工业信息安全标准现状、发展趋势和问题 . 5 （一） 工业信息安全标准化发展现

6、状及趋势 . 5 1.国外工业信息安全标准的发展现状及趋势 . 5 2.国内工业信息安全标准的发展现状及趋势 . 10 （二） 工业信息安全标准化工作存在的问题 . 13 三、 工业信息安全标准体系 . 14 （一）总体思路及目标 . 15 （二）工业信息安全标准体系框架 . 16 1.基础共性类标准 . 18 2.安全防护类标准 . 18 3.安全服务类标准 . 20 4.垂直行业类标准 . 21 （三）重点标准化方向 . 22 四、 下一步工作建议 . 24 附件 1：缩略语. 26 附件 2：已发布、制定中的工业信息安全标准 . 28 1 一、一、工业信息安全概念和内涵 工业信息安全是近

7、年来的一个新兴概念。2016 年，国 务院关于深化制造业与互联网融合发展的指导意见（国发 201628 号）首次提出工业信息安全，并明确规定要“制 定完善工业信息安全管理等政策法规，健全工业信息安全标 准体系提升工业信息安全监测、评估、验证和应急处置 等能力”。 工业信息安全是工业领域信息安全的总称，涉及工业领 域各个环节，包括工业控制系统安全、工业数据安全、工业 云安全等内容。其本质是确保工业生产运营流程不被攻击或 破坏，实现稳定的生产过程，完成既定的生产目标，保障生 产执行过程的要素不被篡改或盗取。从重要性来看，工业信 息安全是网络安全的重要组成，是国家总体安全观在工业领 域的重点体现，其

8、事关经济发展、社会稳定和国家安全，做 好工业信息安全工作是关系国计民生和国家长治久安的大 事； 从保障对象来看， 工业信息安全涉及工业控制系统安全、 工业互联网平台安全、工业物联网安全、工业数据安全、工 业云安全等，相关概念的定义如表 1 所示。 2 表 1 工业信息安全相关概念定义 序号序号 名词名词 定义定义 1 工业信息安全 工业信息安全指对工业领域信息的 可用性、完整性、保密性等的保持， 涉及工业领域生产和运营的各个环 节的安全， 包括工业控制系统信息安 全、工业数据安全、工业云安全等。 2 工业互联网 工业互联网是满足工业智能化发展 需求，在工业（公共）领域中由人、 设备和系统、数据

9、等相互连接的网 络，是具有低时延、高可靠、广覆盖 特点的新型网络基础设施。 3 工业控制系统 工业控制系统是一个通用术语， 它包 括多种工业生产中使用的控制系统， 包 括 监 控 和 数 据 采 集 系 统 （SCADA） 、 分布式控制系统 （DCS） 和其他较小的控制系统， 如可编程逻 辑控制器（PLC），现已广泛应用于 工业部门和关键基础设施中。 4 工业互联网平台 工业互联网平台是边缘数据采集系 统、云计算基础设施及其上的开发、 应用、服务等软件的集合，是面向工 业数字化、网络化、智能化需求，构 建基于海量数据采集、汇聚、分析的 服务体系，是支撑制造资源泛在连 接、弹性供给、高效配置的

10、载体。 3 5 工业物联网 工业物联网是物联网在工业领域中 各类应用的总成， 是实现广义工业领 域范围的智慧应用及信息共享的基 础平台。 6 工业数据 工业数据是指在工业领域中， 围绕典 型智能制造模式，从客户需求到销 售、订单、计划、研发、设计、工艺、 制造、采购、供应、库存、发货和交 付、售后服务、运维、报废或回收再 制造等整个产品全生命周期各个环 节所产生的各类数据及相关技术和 应用的总称。 7 工业云 工业云是一种面向工业的通过网络 将弹性的、可共享的资源和业务能 力， 以按需自服务方式供应和管理的 模式。 从概念定义来看，工业互联网安全属于工业信息安全的 子集。工业互联网的两大属性是

11、“工业”和“互联”，而在实际 工业生产经营过程中，无论是离散工业还是流程工业中，均 存在未连入工业互联网的工业系统和设备，其信息安全属于 工业信息安全范畴，但尚不属于工业互联网安全。工业互联 网覆盖工业云、工业数据、工业控制系统、工业物联网及其 他新兴的工业互联网形态。其中，工业云是工业互联网平台 及工业物联网的基础技术，而工业互联网平台是传统工业云 平台的迭代升级。工业互联网平台除工业云外，还包括边缘 4 层、工业应用以及平台上的工业数据，并且与工业物联网有 交叉关系。此外，工业控制系统的硬件构件与工业物联网之 间也存在交叉关系。 各相关对象之间的安全关系如图 1 所示。 图图 1 主要对主

12、要对概念范围和边界概念范围和边界进行区分进行区分，对各概念的交叉和包对各概念的交叉和包 含关系含关系进行直观展示，而进行直观展示，而非严格非严格的的集合图集合图。 图 1 工业信息安全概念关系图 综上所述，与传统计算机网络安全相比，工业信息安全 在保障目标对象、安全需求等方面具有其特殊性。例如，工 业信息安全的主要目的是确保工业（产业）发展的安全，其 保护需求往往融合考虑了信息安全、功能安全和生产安全等 多种安全需求，更侧重于维护生产运行过程的可靠稳定。工 业属性带来的保护场景多样、安全措施通用性较差等给工业 信息安全带来了挑战，传统的网络安全保障体系已难以做到 全面有效防护，亟需建立针对性强

13、、特色鲜明的工业信息安 5 全保障体系。 二、工业信息安全标准现状、发展趋势和问题 （一） 工业信息安全标准化发展现状及趋势 1 1国外工业信息安全标准的发展国外工业信息安全标准的发展现状现状及及趋势趋势 1.1 发展现状发展现状 1.1.1 国际工国际工业业信息安全标准信息安全标准多为多为电力领域电力领域工控安全工控安全标标 准准 工控安全国际标准主要集中在电力系统信息安全领域， 国际电工委员会（IEC）、电气和电子工程师协会（IEEE）和 国际自动化协会 （ISA） 等都致力于工控安全国际标准建设。 IEC 在 2016 至 2019 年间发布的电力系统信息安全相关标准 有 10 个，例如

14、 2018 年 11 月发布了电力系统管理及信息 交换：数据和通信安全性第 4 部分：MMS 及其衍生物的概 要（IEC 62351-4），为基于制造消息规范的应用程序握手 期间的身份验证明确了传输层和应用层的安全要求； IEEE 于 2013 年更新发布了变电站 IED 网络安全功能标准（IEEE 1686-2013），解决了 IED 访问、操作、配置、固件修订和 数据检索方面的安全问题，且研究制定了新版本的变电站 串行链路网络安全的机密协议试行标准（IEEE P1711）， 为变电站串行链路定义了一种安全通信加密协议，保护了异 步串行通信的完整性和（可选）保密性。此外，通用的工业 6 信息

15、安全国际标准方面，IEC 和 ISA 一直积极研制工业过 程测量、 控制和自动化 网络与系统信息安全 （IEC 62443） ， 于 2018 年 1 月发布了 IEC 62443-4-1，2019 年 2 月发布了 IEC 62443-4-2 部分。IEC 62443 从信息安全的通用方面、针 对用户的信息安全程序、针对系统集成商保护系统所需信息 安全技术要求、针对制造商提供的单个部件的信息安全技术 要求四个方面，提出工控安全要求。 1.1.2 美国美国体系化开展体系化开展工业信息安全标准工业信息安全标准化工作化工作 美国国家标准与技术研究院（NIST）、美国国土安全部 （DHS）等机构致力

16、于美国工业信息安全标准的建设，在工 业信息安全标准方面不断加强投入。在工控安全方面，发布 了一系列工控安全的指南和规范性文件，包括工业控制系 统信息安全指南（NIST SP 800-82） 系统保护轮廓工业 控制系统（NIST IR 7176） 中等健壮环境下的 SCADA 系 统现场设备保护概况等。在电力、石油、天然气、核电等 领域，美国也发布了一系列典型行业的工控安全标准，例如 管道 SCADA 安全 （API1164） 智能电网安全指南 （NIST IR 7628）等。此外，2007 年美国 ISA 成立安全复合型研究 院 ISCI， 专门从事安全标准的符合性认证工作， 目前 ISCI

17、已 经推出嵌入式设备安全保证 （EDSA） 认证、 系统安全保证认 证（SSA）和安全开发生命周期保证认证（SDLA）。 在物联网安全方面， 美国政府多措并举加强物联网安全。 7 2015 年，美国联邦贸易委员会发布物联网产品安全高级指 南，投入 1.6 亿美元推动“智慧城市”计划，将物联网应用 试验平台建设作为首要任务。2016 年 2 月，成立物联网标准 组织“Open Connectivity Foundation”，致力于物联网产业标准 制定。2016 年 5 月，NIST 发布了网络物理系统框架。 2016 年 9 月，美国白宫再次追加预算 8000 万美元，集中于 城市服务等领域的

18、物联网技术应用。2016 年 11 月美国国土 安全部发布确保物联网安全的战略原则，面向物联网设 备和系统开发商、管理者及个人提出了一组网络安全实践准 则建议。具体到工业物联网安全方面，美国成立工业互联网 联盟（IIC），负责对工业物联网安全进行研究，已发布了一 系列成果。如 2016 年 9 月 19 日，IIC 发布工业物联网安全 框架 （IISF） ， 定义了工业互联网可信体系的五大关键特性， 即信息安全、功能安全、可靠性、弹性和隐私安全，拟通过 该框架的发布为工业互联网安全研究与实施部署提供指导。 在工业数据和工业云安全方面，NIST 于 2012 年 6 月启 动了大数据相关基本概念

19、、技术和标准需求的研究，2013 年 5 月成立了 NIST 大数据公开工作组（NBG-PWG），2015 年 9 月发布了NIST 大数据互操作框架（第一版）（NIST SP 1500）系列标准。2013 年 7 月，发布了NIST 云计算标 准路线图（第二版）（SP500-291）。 8 1.1.3 欧盟各国工业信息安全标准以基础设施为重心欧盟各国工业信息安全标准以基础设施为重心 近年来，欧盟发布了“欧洲关键基础设施保护项目 （EPCIP）”，成立了工控安全应急响应组（ICS-CSIRT），负 责对各类工控安全事件响应分析、共享信息，协调各成员国 实施关键基础设施保护计划。此外，欧盟国家根

20、据各自国情 关注特定领域的工控安全标准建设，例如荷兰国际仪器用户 协会（WIB）2006 年发布过程控制域（PCD）供应商安 全需求，挪威石油工业协会（OLF）2009 年发布过程控 制、 安全和支撑ICT系统的信息安全基线要求 （OLF Guideline NO.104）和工程、采购及试用阶段中过程控制、安全和 支撑 ICT 系统的信息安全的实施 （OLF Guideline NO.110） ， 瑞典民防应急局（MSB）2010 年发布工业控制系统安全加 强指南。德国作为传统汽车产业强国，对自动驾驶技术与 产业发展持积极态度。2017 年 6 月，德国颁布道路交通法 第八修正案与自动驾驶道德

21、准则，成为自动驾驶领域 立法的“先行者”。此外，作为工业 4.0 的先行者，德国还发 布了工业 4.0 安全指南，对工业 4.0 背景下的风险分析、 网络划分、用户账户、安全协议等进行约定，旨在确保工业 4.0 中设施设备、系统运行等方面的安全。 1.2 发展趋势发展趋势 随着新工业革命时代的到来，美国、欧盟等发达国家和 9 组织将在未来的一段时间内，加快工业互联网网络安全、数 据安全、平台安全、关键信息基础设施安全等方面的标准研 究和制定，逐步完善工业信息安全标准路线图。 一是一是继续完善各领域标准工作计划。2019 年 5 月，美国 能源部发布能源行业网络安全多年计划，为能源部网络 安全、

22、能源安全和应急响应办公室（CESER）勾画了一个“综 合战略”， 确定了美国能源部未来五年力图实现的目标和计划。 将来，发达国家将会继续进行统筹规划，在工业信息安全各 个领域勾画标准蓝图，指导标准研究制定。 二是二是加快研制重点行业领域标准。 在统筹规划的基础上， 发达国家将进行分类施策，主抓重点行业领域及易受威胁领 域的工业信息安全标准，如电力领域。加快指导制定相关行 业领域标准，“分行业、分重点”实现标准先行。 三是三是加快研究关键信息基础设施安全标准。美国、欧盟 一直以来都将关键信息基础设施保护作为重点，随着当前关 键信息基础设施安全形势日趋严峻，“网络战”成为各国关注 的焦点，发达国家

23、将继续加强关键信息基础设施安全标准研 制，强化关键信息基础设施保护。 四是四是瞄准新技术新应用安全需求，开展标准研制工作。 随着工业互联网、 人工智能、 工业大数据等技术的快速发展， 美国、欧盟等发达国家将会针对相关技术、应用及时研制标 准，规范新技术新应用的发展，同时确保其在新技术新应用 10 国际标准研制中的领先地位。 2 2. .国内工业信息安全标准的发展国内工业信息安全标准的发展现状及现状及趋势趋势 2.1 发展现状发展现状 当前，我国工业信息安全标准加快推进，主要呈现以下 三个特点： （1） 工业控制工业控制系统安全系统安全标准制定推进成效显著。标准制定推进成效显著。 我国在 21

24、世纪初期便开展对于工业控制系统安全标准的研制工作， 一批工业控制系统基础类安全标准已发布和实施。例如我国 于 2011 年发布了GB/T 26333-2010 工业控制网络安全风险 评估规范，2014 年发布了GB/T 30976.1-2014 工控系统 信息安全第 1 部分：评估规范 GB/T 30976.2-2014 工控系 统信息安全第 2 部分：验收规范等标准，填补了我国工业 控制系统安全标准的空白，使工业控制系统安全工作有标准 可依。此外，我国通过在信息系统安全等级保护中增加工控 安全等保扩展要求、建立新标准体系等多种方式，进一步加 紧更新细化完善工控安全标准，并研究制定了GB/T

25、32919- 2016信息安全技术工业控制系统 安全控制应用指南GB/T 36323-2018 信息安全技术工业控制系统 安全管理基本要求 GB/T 36324-2018 信息安全技术工业控制系统信息安全分 级规范GB/T 25070-2019 信息安全技术 网络安全等级保 护安全设计技术要求等标准 30 余项。 11 （2）工业互联网网络、数据、平台安全标准正在加紧研工业互联网网络、数据、平台安全标准正在加紧研 制，制， 但但目前还难以满足工业互联网发展的安全需求。目前还难以满足工业互联网发展的安全需求。 随着 关 于深化“互联网+先进制造业”发展工业互联网的指导意见 加强工业互联网安全工作

26、的指导意见等政策文件的发布 实施，工业互联网安全体系架构进一步明确，但工业互联网 安全标准化工作还在起步阶段。从工业互联网综合标准化 体系建设指南的内容来看，20170373-T-604 工业通信网 络和系统安全术语、概述和模型2017-0960T-YD 工业互 联网网络安全总体要求2018-0179T-YD 工业互联网安全 接入技术要求等网络安全标准， 20181369T-YD 工业互联 网数据安全保护要求 等数据安全标准， 2018-1396T-YD 工 业互联网平台安全防护要求GSJCPZT0247-2019 工业互 联网 安全体系框架 GSJCPZT0246-2019 工业互联网平台

27、质量管理要求等平台安全标准正在加紧制定中。 （3）工业工业信息安全体系框架类标准信息安全体系框架类标准亟待填补。亟待填补。目前，尚 未有正式发布的工业信息安全体系框架类标准。随着工业互 联网的快速发展，工业信息安全概念的范围逐渐扩展，各类 工业信息安全标准逐步推进。同时，工业领域新技术新应用 标准也在加紧研制中，但相关标准间缺乏严格的逻辑关联， 亟需开展工业信息安全体系框架类标准制定，为工业信息安 全标准的研制提供思路和方向。 12 2.2 发展趋势发展趋势 未来，我国工业信息安全标准将主要呈现“体系化、国际 化、影响扩大化”三方面的趋势。 2.2.1 标准研制标准研制体系化体系化 下一步，

28、国内工业信息安全领域标准将逐步制定和完善， 工作管理和技术支撑体系将更加健全， 以“安全促发展， 发展 保安全”的产业生态体系将逐步形成。 具体而言， 相关行业企 业、科研院所将通过深入分析新背景下工业领域面临的信息 安全问题和标准化需求，借鉴其他国外信息安全标准体系的 先进经验， 建立网络安全、 平台安全、 数据安全、 设备安全、 应用安全等相关标准，以及面向安全服务、行业需求等的系 列标准。此外，各行业将积极向电力行业看齐，制定符合本 行业特征的工业信息安全标准规范，以指导和规范本行业的 工业信息安全工作。 2.2.2 标准合作标准合作国际化国际化 我国的工业信息安全标准化工作起步较晚，大

29、多数的工 业信息安全国际标准是在欧美发达国家的标准基础上制定 产生的，借鉴国外的成熟先进经验对我国的工业信息安全标 准化建设十分必要。 未来，我国的工业信息安全标准化工作者将积极参与国 际标准化活动，密切关注国际工业信息安全标准的发展动态， 13 加强与国外专家的技术交流和沟通，在翻译和消化国外类似 标准规范的同时，有计划、有重点地参与和主动承担国际标 准的起草工作，包括标准试验验证和讨论等，逐步使我国的 工业信息安全标准化工作与国际标准化工作的计划、进度以 及试验验证等接轨。 2.2.3 标标准影响扩大化准影响扩大化 未来， 标准的研制将对“产学研用”均有更大的推动作用。 “产”：标准的制定

30、、发布将大力促进产业的发展，推动 产业往更安全、更可靠、更成熟的方向前行。 “学”：标准的广泛制定和应用需求将吸引更多工业信息 安全人才投身标准建设中，为标准工作添砖加瓦。 “研”：工业信息安全标准的技术要求、管理要求等将为 学术研究提供参考，推动工业信息安全技术深挖，引导未来 新技术新应用发展，促进学术研究和标准研究相互借鉴和融 合。 “用”：标准在引导未来新技术新应用发展的基础上，更 加注重实用性和可操作性。标准的宣贯培训和试点示范将会 增多，对行业企业的指导作用将逐步加强，在行业企业中的 应用将更为广泛。 （二） 工业信息安全标准化工作存在的问题 当前，我国工业信息安全标准化工作整体而言

31、还处于起 14 步阶段， 存在“合作交流较少、 概念统一性差、 体系建设不足、 落地应用困难”等问题。具体有以下表现： “合作交流较少合作交流较少”：当前，我国有多个标准化技术委员会 致力于工业信息安全标准的研制，有助于工业信息安全标准 的全面快速发展。但是各标准化技术委员会、标准工作组之 间合作交流较少，一定程度上存在标准交叉、重复的现象。 “概念统一性差概念统一性差”：当前，我国工业信息安全相关标准中 的概念统一化不足， 基本概念和术语界定存在不一致。 此外， 部分引入的国外标准中，其术语定义更多是根据字面意思直 接翻译外文，与我国相关概念的实际内涵有偏差，导致实际 应用困难。 “体系体系

32、化化建设建设不足不足”：当前，我国工业信息安全标准建设 不完善，一定程度上存在新旧标准关系不清、衔接性差、关 联性不强的问题，通用标准和具备工业特色的标准还未有效 衔接互补。 “落地落地应用困应用困难难”：一是行业标准缺乏，不同行业工业信 息安全需求差异大，通用性国家标准很难满足行业需求，导 致在实际应用中标准落地的指导性意义不强；二是标准宣贯 不足，企业在标准应用中存在理解偏差等问题，导致标准应 用不合规。 三、工业信息安全标准体系 2019 年以来， 我国工业信息安全标准体系建设取得积极 15 进展。3 月，工业和信息化部和国家标准化管理委员会联合 发布工业互联网综合标准化体系建设指南，其

33、中第三章 明确提出工业互联网标准体系框架，该体系框架从设备安全、 控制系统安全、网络安全、数据安全、平台安全、应用程序 安全、安全管理 7 个方面对工业互联网安全标准进行规划。 8 月，工信部、教育部等十部门联合印发加强工业互联网 安全工作的指导意见，指出要建立工业互联网安全标准体 系， 推动工业互联网设备、 控制、 网络 （含标识解析系统） 、 平台、数据等重点领域安全标准的研究制定，建设安全技术 与标准试验验证环境，支持专业机构、企业积极参与相关国 际标准制定，加快标准落地实施。 （一）总体思路及目标 本白皮书根据加强工业互联网安全工作的指导意见 等文件精神，以及工业互联网综合标准化体系建

34、设指南 和网络安全等级保护 2.0 安全框架的具体要求，按照多维考多维考 虑虑、纵向分层、纵向分层、横向分类横向分类的总体思想，构建工业信息安全标 准体系框架，以指导标准编写单位体系化开展标准研制。其 中纵向分层指按照工业企业、边缘接入、工业云平台、工业 应用等自下而上的层次，纵向覆盖工业领域的相关安全标准。 横向分类是指从多个维度分类提出工业信息安全标准，包括 但不限于以下四个维度： 基础共性类：制定框架类、术语类标准规范； 16 安全防护类：制定设备和控制安全、平台安全、数据安 全、标识解析安全、网络和通信安全、应用安全、安全管理 等相关安全标准； 安全服务类：制定检查评估、检测认证、应急

35、响应、监 测预警、运维服务等安全服务类标准； 垂直行业类：制定汽车等典型行业应用标准。 （二）工业信息安全标准体系框架 工业信息安全标准体系主要由基础共性类标准、安全防 护类标准、安全服务类标准、垂直行业类标准组成，如图 2 所示。 17 工业信息安全标准体系 基础共性类标准安全防护类标准 术 语 定 义 安 全 架 构 与 模 型 设 备 和 控 制 安 全 边 缘 计 算 安 全 平 台 安 全 数 据 安 全 标 识 解 析 安 全 网 络 和 通 信 安 全 应 用 安 全 运 营 者 安 全 产 品 全 生 命 周 期 安 全 供 应 链 安 全 设 备 安 全 工 业 控 制 系

36、统 安 全 平 台 安 全 防 护 平 台 运 营 安 全 虚 拟 化 安 全 数 据 安 全 分 类 分 级 数 据 安 全 防 护 重 要 数 据 识 别 标 识 编 码 安 全 解 析 与 交 互 处 理 安 全 工 厂 网 络 安 全 网 络 接 入 安 全 通 信 网 络 安 全 垂直行业类标准 汽 车 钢 铁 石 油 化 工 . 安全服务类标准 检 查 评 估 态 势 感 知 及 预 警 应 急 服 务 运 维 服 务 检 测 认 证 安 全 管 理 图 2 工业信息安全标准体系框架 18 1 1. .基础共性基础共性类标准类标准 包括术语定义、安全架构与模型等标准，主要目的是规

37、范工业信息安全相关概念、体系架构，明确界定工业信息安 全的对象、边界、各部分的层级关系和内在联系，为其它相 关标准的制定提供参考。 1.1 术语和定义术语和定义 主要规范工业信息安全相关术语、概念，划分工业信息 安全相关概念定义边界，统一定义语义，方便行业企业制定 其它标准。 1.2 安全架构与模型安全架构与模型 主要规范工业信息安全标准体系、体系架构及参考架构， 明确各研究对象之间的关系。 2 2. .安全安全防护类标准防护类标准 包括工业信息安全涉及的设备安全、控制安全、边缘计 算安全、平台安全、数据安全、标识解析安全、网络和通信 安全、应用安全、安全管理。 2.1 设备和控制安全设备和控

38、制安全 包括设备安全和控制安全两部分。设备安全主要规范工 业领域中的关键设备及产品安全。控制安全主要规范工业控 制系统自身安全及控制协议安全。在开展相关标准研制时， 19 可分别按照离散工业和流程工业的特点，对设备及控制系统 提出相应的安全标准。 2.2 边缘计算边缘计算安全安全 主要规范工业领域中的边缘设备安全、边缘智能安全等。 包括边缘云安全、边缘网关安全、边缘设备接口安全等相关 标准。 2.3 平台安全平台安全 主要提出工业互联网平台运行安全、工业微服务安全、 平台互通安全等相关标准。 2.4 数据安全数据安全 主要提出工业领域数据安全分类分级、安全防护、安全 共享、安全评估、重要数据识

39、别、数据安全成熟度模型等相 关标准。 2.5 标识解析安全标识解析安全 主要规范标识解析及解析中的数据交互安全要求，包括 编码与存储、标识数据采集、标识解析、异构标识互操作等 过程中的安全标准。 2.6 网络和网络和通信通信安全安全 主要包括工业内外网接入安全、现场总线通信安全、工 业无线通信安全等相关标准。 20 2.7 应用安全应用安全 主要包括工业 APP 等应用的开发安全、测试安全、运行 安全等。 2.8 安全安全管理管理 主要包括工业运营者安全要求、产品全生命周期安全及 供应链安全等标准。其中，工业运营者安全包括工业信息安 全各相关主体的安全管理要求，如工控厂商安全管理要求、 集成商

40、安全管理要求、设计院安全管理要求、用户企业安全 管理要求等。产品全生命周期安全包括产品建设、运行、维 护等全生命周期的安全管理要求。供应链安全要求主要规范 工业生产经营过程中的供应链安全管理。 3 3. .安全服务类标准安全服务类标准 主要规范工业领域安全服务的方法、流程等要求。包括 检查评估、态势感知及监测预警、应急响应、检测认证、运 维服务等。 3.1 检查评估检查评估 主要规范工业领域系统、设备、产品等的安全检查、安 全评估要素、方法和流程，提出安全检查指标、评估方法、 评估模型等。 21 3.2 态势感知及态势感知及预警预警 主要规范工业控制系统、工业现场等的安全态势感知、 监测预警服

41、务的安全要求。包括态势感知及监测预警系统建 设规范、态势感知及监测预警技术规范、态势感知及监测预 警体系建设等标准。 3.3 应急服务应急服务 主要规范工业控制系统、工业现场、工业互联网平台、 工业数据等出现安全问题时的应急服务安全要求。包括应急 服务流程、应急服务规则、应急处置方式等标准。 3.4 运维服务运维服务 主要规范工业控制系统、工业现场、工业互联网平台、 工业数据等的安全运行维护操作规程、操作方式等。 3.5 检测认证检测认证 主要为工业控制系统、工业互联网平台、工业数据等的 安全检测认证提供标准参考。 4 4. .垂直行业类标准垂直行业类标准 在基础共性类标准、安全防护类标准、安

42、全服务类标准 的基础上，面向汽车、钢铁、石油化工等重点行业领域，结 合行业特色和需求，研制更具针对性、对行业更有指导作用 的工业信息安全国家标准。 22 （三）重点标准化方向 未来， 工业信息安全标准化工作应坚持“统筹规划、 重点 突出、 急用先行”的原则， 加快急需工业信息安全标准研制和 标准体系建设，加强标准落地应用。 表 2 工业信息安全重点标准化方向 标准类别标准类别 标准名称标准名称 标准内容标准内容 基础共性类 安全架构 与模型 工业信息安全 工业互 联网安全体系框架 基于工业互联网的架 构、 安全防护需求等， 从 设备和控制安全、平台 安全、 数据安全、 网络和 应用安全等维度，

43、研究 提出工业互联网安全体 系框架。 安全防护类 设备和控 制安全 工业信息安全 工业互 联网设备安全接入要求 针对工业控制设备、智 能终端等工业互联网设 备接入工业互联网平台 时存在的安全问题及接 入需求，从设备接入前 安全评估、接入过程安 全控制、接入后安全检 测等方面，提出工业互 联网设备安全接入要 求。 23 工业互联 网平台安 全 工业信息安全 工业互 联网平台服务安全要求 针对工业互联网平台提 供的服务，提出工业互 联网平台服务安全要 求，包括平台开发服务 安全、工业 APP 服务安 全等。 边缘计算 安全 工业信息安全 边缘计 算安全要求 对工业互联网平台底层 的边缘计算过程提出

44、安 全要求，包括边缘计算 中的数据安全要求、边 缘计算节点安全要求 等。 数据安全 工业信息安全 工业互 联网数据分类分级与安 全防护指南 从落实主体安全责任的 角度，对工业互联网数 据提出分类方法，从数 据遭破坏产生的后果影 响程度提出数据分级方 法，从安全管理和技术 的角度，对工业互联网 数据提出不同级别的安 全防护要求。 工业信息安全 工业互 联网数据交换共享安全 针对工业互联网数据交 换与共享中的互信互 任、权限控制、责任界 定、 安全共享等方面， 提 出工业互联网数据安全 交换共享模型和要求。 24 工业信息安全 工业互 联网数据安全评估指标 体系 根据工业互联网数据特 点，从安全性

45、、可控性、 透明性等方面提出数据 安全评估指标体系。 标识解析 安全 工业信息安全 标识解 析与交互处理安全要求 根据工业互联网标识解 析面临的安全问题，提 出标识解析过程以及标 识在各解析节点间的交 互安全要求。 安全服务类 安全测试 与评估 工业信息安全 工业互 联网安全测试与评估指 南 面向工业互联网平台、 工业数据等，提出安全 测试和评估的内容、方 法和工作流程。 四、下一步工作建议 下一步应重点从以下三个方面，加快开展工业信息安全 标准化工作： 一是一是定期更新。定期更新。根据标准化工作进展、行业企业建议以 及新技术新应用的发展情况，定期更新发布工业信息安全 标准化白皮书，及时梳理新

46、技术新概念新标准，为制定工 业信息安全标准提供体系化参考，提高白皮书的实效性和实 用性。 二是二是加强标准研制与落地加强标准研制与落地。按照标准体系开展急需专用 标准研制，加强标准宣贯培训和试点应用，切实发挥标准的 指导作用，为解决行业、企业在工业信息安全管理和防护中 25 的痛点、难点提供标准参考。 三是三是加强加强沟通交流沟通交流。应充分发挥各标准化技术委员会的 作用，加强沟通合作。同时，标准承研单位应在标准研制过 程中积极与相关标准化技术委员会进行沟通确认，充分考虑 标准的衔接性和实用性，避免出现标准重复、冲突等现象。 26 附件 1：缩略语 DCS Distributed Control System 集散控制系统 DHS Department of Homeland Security （美国）国土安全部 DISA Defense Information Systems Agency （美国）国防信息系统 局 EDSA