围绕“产业大脑+未来工厂”的数据安全技术体系建设

01-北京

      “产业大脑+未来工厂”是以数字化融通打造数字化生态。产业级工业互联网将链接各产业链企业数据中心，形成大中小企业协同数字化架构，汇集成区域级工业互联网即形成区域产业大数据中心或企业端数据仓。将企业端数据仓与政府端数据仓统筹处理并上传至产业大脑，即可实现全数据的共享流动，形成数据价值链的闭环，完成数字经济系统建设的核心。

      “产业大脑+未来工厂”在改变产业生态的同时，也面临更多的安全性的挑战，当前，全球各国不断重视并持续升级工业互联网安全防御体系，但针对工业互联网的攻击威胁不断加剧，全球工业互联网安全发展仍面临着巨大挑战。2021年11月，丹麦风力涡轮机巨头维斯塔斯遭遇网络攻击，破坏了其部分内部IT基础设施并导致尚未明确的数据泄露；2022年3月，日本丰田供应商“小岛冲压工业株式会社”遭到了网络攻击，导致丰田在日本国内的14家工厂全部停工；2022年5月下旬，富士康在蒂华纳（墨西哥）的生产工厂受到勒索软件攻击，并被要求支付赎金……数据安全事件已经影响到经济社会正常运行，也为我国工业安全敲响了警钟。因此，提升我国工业互联网数据安全能力刻不容缓。

02-建设必要性

     “产业大脑+未来工厂”作为数字经济与实体经济深度融合的应用模式，需要高度重视数据安全建设，保障数据的合法合规、可靠可控、安全可信。

     目前网络安全法、数据安全法、个人信息保护法、数据出境安全评估办法、工业和信息化领域数据安全管理办法及行业标准体系对工业领域，从数据安全治理（如分类分级、安全管理）、数据保护（防泄漏、防篡改、加密、备份恢复等）、数据共享、数据出境、数据合规等方面提出了具体要求。

        同时，“产业大脑+未来工厂”涉及国家重要基础设施和关键信息基础设施，具有重要战略意义和价值，可能引发恶意竞争和敌对势力的攻击。

03-数据安全概要建设

03-1 “产业大脑+未来工厂”的数据安全风险

新技术引进带来新的安全风险。大规模物联网设备使用和多网融合（如现场总线、局域网、无线网等），加之移动边缘计算、网络功能虚拟化、网络切片等新技术应用，导致充满不确定因素和未知因素，信息传输以及通信信息的安全性和保密性无法得到有效保障。

设备上云互联网后带来新的安全风险。随着工业企业上云，现代行业设备的发展使得网络开放性变大、包容性变强，许多工业互联网设备出现并且得到快速发展，但长时间下来，暴露在外的设备容易受到破坏；工业互联网设备较多、安全管理性能差、设备老旧且更新速度慢，导致无法及时检测或修复漏洞，存在较大安全隐患。

数据互联互通后带来新的安全风险。“产业大脑+未来工厂”拥有更多效率上的优势，能够以极快的速度实现信息的传递与处理，对于同一时间的数据收集与处理数量更多。利用云-边-端相关技术，能够实现信息数据的互通互享，各个数据交叉传输、多维传输等。这种数据传输处理上的多样性尽管带来诸多便捷，方便工作人员的数据处理，但也为数据安全保护工作带来更多的挑战。工业数据由于类型之间的差异性和数据特点的差异性较大，传统的网络安全保护工作也很难实现有效的数据保护处理。

 边界模糊后数据生命周期各阶段安全风险。采集阶段-“产业大脑+未来工厂”涉及企业个体、产业协同、政府等多方面，数据分布在海量设备、系统之中。不仅数据孤岛现象严重，各厂家数据接口规范不统一，而且各厂商多采用自家的私有协议，工业协议多样且大多封闭，导致数据难识别、难解析；传输阶段-“产业大脑+未来工厂”场景涉及云计算、大数据、人工智能等多种技术的应用，且数据在工厂外流动更加复杂多元。大流量、虚拟化、网络分散等环境下难以有效捕捉追溯敏感数据和安全威胁；存储阶段-存储阶段极易形成数据汇聚，需根据数据类别和等级采用划分区域、设置访问权限、加密存储等多种手段。然而“产业大脑+未来工厂”数据形态多样、格式复杂，使得数据分类分级管理与防护难度大；使用阶段-对数据进行分析利用是数据作为生产要素的重要途径，然而数据权责难定、安全可信赋能难等阻碍数据有序安全共享；交换共享阶段-“产业大脑+未来工厂”涉及产业链上-中-下游、多个领域、多个层次的数据交换和共享，数据流动性高，难以实现有效管控；其它方面-在多源接入过程中的数据采集、协议转换、边缘计算等行为，容易遭受数据篡改、数据窃取、终端漏洞被攻击等风险。涉及大量低防护的工业设备接入互联网，存在大量高危漏洞，易成为攻击目标。

03-2 重点隐患行业

     ( 1 ) 制造业是“产业大脑+未来工厂”的主要应用场景，也是恶意网络行为的重点攻击对象，涉及计算机、通信、电子设备、汽车、医药、纺织等多个子行业。

     ( 2 ) 电力、能源、交通等国家重要基础设施和关键信息基础设施，是“产业大脑+未来工厂”的重要支撑，也是网络攻击者的重点目标，一旦遭受攻击，可能造成严重的社会经济影响。

     ( 3 ) 车联网、医疗器械等新兴领域，是“产业大脑+未来工厂”的创新应用方向，也是网络攻击者的新趋向，涉及大量用户数据和个人隐私，面临泄露风险。

03-3 数据安全技术体系建设架构

        围绕“产业大脑+未来工厂”的数据安全体系非传统只针对数据生命周期下的数据访问控制、数据加密、数据审计等方面建设，而是一个更广泛、更复杂的概念，涉及设备、控制、网络、平台、工业APP、标识解析、数据等多方面安全建设。因此，“产业大脑+未来工厂”的数据安全体系建设从应用场景角度，包括了传统网络安全、云安全、工控安全、数据安全等大部分技术领域。

       “产业大脑+未来工厂”打破了原有企业间、政企间相对割裂情况，通过“上云用数赋智”。构建了“政府引导—平台赋能—龙头引领—协会服务—机构支撑”的联合推进机制,带动企业数智化转型的同时，使其产业间更加群聚化、融合化与集中化。所以，原有以企业为单位相对独立的防护手段应进一步提升，强化与工业互联网融合贯通能力，使工业互联网在赋能业务的同时，还可以赋能安全。

“产业大脑+未来工厂”数据安全架构图

      将事件管理与安全防御体系融入产业链中，实现对不同角色进行保护。未来工厂（企业侧）方面，针对现场控制层、集中监控层、MES层与企业管理层，不同应该场景提供工控安全、终端安全、网络安全与数据安全技术保障能力。产业大脑（云端）方面，分别对网络侧、Iaas侧、Paas侧、Saas侧，构建云安全、网络安全、终端安全与数据安全技术保障能力。通过安全态势感知与运营管理平台，将产业大脑与未来工厂进行有效结合，实现云端保障的同时，向企业端安全赋能。