工业互联网典型安全解决方案案例汇编（2021）

工业互联网 典型安全解决方案案例汇编 （2021） 工业互联网产业联盟（AII）2022年08月 目录 前言IV 1.工业互联网安全概述1 1.1工业互联网安全形势1 1.2工业互联网安全挑战2 2.典型安全解决方案3 2.1案例一：某城市轨道交通工业互联网安全一体化解决方案3 2.1.1方案概述3 2.1.2典型安全问题4 2.1.3安全解决方案4 2.1.4小结22 2.1.5单位基本信息23 2.2案例二：面向5G+工业互联网的“智安5G”安全保障方案24 2.2.1方案概述24 2.2.2典型安全问题25 2.2.3安全解决方案25 2.2.4小结33 2.2.5单位基本信息35 2.3案例三：智慧矿山工业互联网安全防护方案37 2.3.1方案概述37 2.3.2典型安全问题37 2.3.3安全解决方案38 2.3.4小结43 2.3.5单位基本信息46 2.4案例四：基于数字孪生的工业网络安全评估方案48 2.4.1方案概述48 2.4.2典型安全问题49 2.4.3安全解决方案50 2.4.4小结80 2.4.5单位基本信息84 2.5案例五：某钢铁企业钢铁冶金工业互联网协同设计云平台方案86 2.5.1方案概述86 2.5.2典型安全问题86 2.5.3安全解决方案87 2.5.4小结96 2.5.5单位基本信息97 2.6案例六：某钢铁企业工控安全建设方案99 2.6.1方案概述99 2.6.2典型安全问题100 2.6.3安全解决方案103 2.6.4小结120 2.6.5单位基本信息122 2.7案例七：化纤制造工业互联网平台下数字化转型建设方案122 2.7.1方案概述122 2.7.2典型安全问题124 2.7.3安全解决方案128 2.7.4小结142 2.7.5单位基本信息144 2.8案例八：某钢铁企业工控安全建设解决方案145 2.8.1方案概述145 2.8.2典型安全问题146 2.8.3安全解决方案146 2.8.4小结153 2.8.5单位基本信息154 2.9案例九：某县智慧交通北斗大数据安全解决方案156 2.9.1方案概述156 2.9.2典型安全问题156 2.9.3安全解决方案157 2.9.4小结163 2.9.5单位基本信息163 2.10案例十：某钢铁集团工业互联网安全分类分级解决方案165 2.10.1方案概述165 2.10.2典型安全问题166 2.10.3安全解决方案168 2.10.4小结178 2.10.5单位基本信息184 3.结束语186 前言 工业互联网作为新一代信息技术与制造业深度融合的产物，通过对人、机、物的全面互联，构建起全要素、全产业链、全价值链全面连接的新型生产制造和服务体系，是数字化转型的实现途径，是实现新旧动能转换的关键力量。2019年全国两会报告指出“加强人工智能、工业互联网、物联网等新型基础设施建设和融合应用”，工业互联网作为“新基建”的七大领域之一，其重要性上升到一个新的高度。作为新基建之一，工业互联网推动了企业从封闭式创新走向开放式创新，加速了制造业领域的创新发展。目前，我国工业互联网已步入发展的关键时期。为了促进工业互联网产业的发展，近年来，国家相关部门相继出台一系列政策，加大工业互联网行业应用赋能、区域落地推广力度。《工业互联网+专项工作组2020年工作计划》、《工业互联网创新发展行动计划（2021-2023年）》、《“十四五”智能制造发展规划》等政策不断推动工业互联网产业创新发展。 2020年7月，《工业互联网+专项工作组2020年工作计划》明确了十大类别的重点工作，包括提升基础设施能力，建设工业互联网平台，突破核心技术标准、培育新模式新业态，促进产业生态融通发展，增强安全保障水平等。2021年1月，《工业互联网创新行动计划（2021-2023年）》提出要深化“5G+工业互联网”，支持工业企业建设5G全连接工厂，推动5G应用从外围辅助环节向核心生产环节渗透，加快典型应用场景推广。2021年4月，《“十四五”智能智造发展规划》（征求意见稿）提出以新一代信息技术与先进智造深 度融合为主线，加快构建智能智造发展生态，深入推进制造业数字化转型、智能化升级。到2025年建成120个以上具有行业和区域影响力的工业互联网平台，加快工业互联网、物联网、5G、千兆光网等新型网络基础设施规模化部署，鼓励企业开展内外网升级改造，提升现场告知和数据传输能力。 目前，工业互联网安全仍然面临很多新挑战和问题亟待解决。一方面，算力网络、5G、边缘计算、区块链、隐私计算等新技术与工业互联网技术的融合为工业互联网安全带来新的挑战，暴露面持续增大，安全场景更加复杂;另一方面，工业互联网一直存在的网络攻击、漏洞隐患等共性问题依旧突出。工业互联网安全建设任重而道远。 为使广大工业互联网从业者能了解工业互联网安全的发展情况，工业互联网产业联盟安全组启动编写了《工业互联网典型安全解决方案案例汇编(2021)》，报告汇编了业内优秀的安全解决方案，希望为解决工业互联网安全的新挑战和突出问题提供有益参考，共同促进工业互联网安全工作的建设。 本报告是在工业和信息化部网络安全管理局指导和支持下，由中国移动通信集团有限公司牵头编制，工业互联网产业联盟安全组多家企业参加编写完成。主要参与单位有：杭州安恒信息技术股份有限公司、中国移动通信集团安徽有限公司、宁波和利时信息安全院有限公司、北京奇虎科技有限公司、江苏敏捷科技股份有限公司、浙江木链物联网科技有限公司、北京威努特技术有限公司、江苏亨通工控安全 研究院有限公司、中认北斗安全检测中心有限公司、路云天网络安全研究院、中平信息技术有限责任公司、绿盟科技集团股份有限公司。 本报告的参编人:张峰、田慧蓉、陶耀东、柯浩仁、李江力、于 乐、刘晓曼、张弘扬、林琳、徐璠、孔勇、韩涛、张雄杰、王展际、 陈夏裕、倪海燕、井柯、张大明、刘晨成。 工业互联网产业联盟安全组 二〇二二年八月 1.工业互联网安全概述 1.1工业互联网安全形势 2019年全国两会报告指出“加强人工智能、工业互联网、物联网等新型基础设施建设和融合应用”，工业互联网作为“新基建”的七大领域之一，其重要性上升到一个新的高度。工业互联网的投资和建设将加快我国智能制造步伐，激发新型消费和投资、促进就业创业、解放生产力、打造经济发展新动能，对人们生产生活带来重大而深远的影响。据中国信息通信研究院预计，2020年中国工业互联网产业经济增加值规模约3.1万亿元，占GDP比重为2.9%，对经济增长的贡献率超过11%，并带动全社会新增就业岗位255万个。 《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》将安全保障与网络、平台建设并列为工业互联网三大体系之一。各上级单位高度重视工业互联网安全，并相继发布了一系列工业互联网安全方面的指导意见和要求，涵盖安全管理、安全标准、安全评估、试点示范、考核指标等领域。 2019年7月，工信部等十部门印发的《工业互联网安全工作的指导意见》中，指导企业建立监督检查、信息共享和通报、应急处置等工业互联网安全管理制度，构建企业安全主体责任制，探索构建工业互联网安全评估体系;指出要至少形成20个创新实用的安全产品、解决方案的试点示范，培育若干具有核心竞争力的工业互联网安全企业。预计到2025年基本建立起较为完备可靠的工业互联网安全保障体系。 2020年3月，工信部印发《关于推动工业互联网加快发展的通知》，明确提出要健全安全保障体系，包括建立企业分级安全管理制度、完善安全技术监测体系、健全安全工作机制、加强安全技术产品创新等。 2021年1月，工信部发布《工业互联网创新行动发展计划（2021-2023年）》： 提出到2023年底，工业互联网与安全生产协同推进发展格局基本形成，工业企业本质安全水平显著增强。3月，信通院和联盟联合产业各方发起“领航”计划，明确从6个重点方向推进工业互联网安全发展。6月，《中华人民共和国数据安全法》审议通过，明确了采用数据分类分级保护制度对数据进行安全保护，有助 于工业企业对重要数据的安全防护有的放矢，消除工业企业用户对数据安全的顾虑。7月工信部等十部门联合印发《5G应用“扬帆”行动计划（2021-2023年）》：明确重点推进5G在工业互联网等领域的深度应用。8月，国务院总理李克强签署国务院令，公布《关键信息基础设施安全保护条例》：明确关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重。 1.2工业互联网安全挑战 工业互联网安全工作在深入推进的过程中，面临一系列安全问题亟待解决。 （1）工业控制系统安全形势依然严峻 截止2020年12月，CNVD收录的与工业控制系统相关漏洞高达2955个，2020 年新增工业控制系统漏洞数量达593个，该数据再创历史新高，整体安全形势严峻。 （2）工业主机依然是最薄弱环节 2020年，360安全能力中心共截获病毒样本总量7.82亿个，其中木马病毒 2.14亿个，占比30%；蠕虫病毒数为1.36亿个，占比19%；感染病毒数为1.2 亿个，占比17%。 （3）工业数据安全尚未形成体系 工业数据已成工业互联网最优价值的要素，但工业数据种类繁多，从数据采集、数据存储、通信安全、数据存储、权限控制等方面都存在安全风险。 （4）工业APP普遍存在安全风险 通过对采集的736个工业APP从82个评测点进行综合安全检测，发现存在漏洞风险的工业APP为714个，几乎97%的工业APP存在安全风险，其中80%的APP存在界面劫持、动态注入、篡改/二次打包等风险。 2.典型安全解决方案 2.1案例一：某城市轨道交通工业互联网安全一体化解决方案 2.1.1方案概述 面对城市轨道交通工业互联网安全诸多挑战，城市轨道交通新建项目和在运行项目均需要加强工业互联网安全建设；本方案坚持统一规划、分期实施、资源共享、互联互通的原则，确保方案设计安全、可靠、先进、可扩展，并符合等保 2.0以及工业互联网企业网络安全分类分级管理试点指南（简称“分类分级指南”）等行业政策要求。 1.方案背景 “十四五”是我国城市轨道交通在新的更高起点上加快推进创新驱动、转型发展，提升运营服务品质的重要时期；也是加快推进城市轨道交通产业变革、科技创新，全面建设智慧城市轨道交通的重要时期；更是加快推进城市轨道交通高质量与高效率并重发展，从“城轨大国”向“城轨强国”迈进的重要时期。 为贯彻习近平总书记“没有网络安全就没有国家安全”的指示精神，有效应对当前形势下城市轨道交通行业面临的信息安全挑战，切实保护城市轨道交通行业信息系统安全稳定，安恒信息制定了城市轨道交通工业互联网安全一体化解决方案，助力城市轨道交通高质量发展。 2.方案简介 该方案属于某市城市轨道交通（地铁3号线）工业互联网安全项目，全线共 计26个站点，一个中央级综合监控系统以及对应的26个车站及综合监控系统；中央级综合监控系统与其它几条地铁线路共用一个中央控制室。中央级综合监控系统接入子系统有：信号系统（SIG）、自动售检票系统（AFC）、门禁系统（ACS）、闭路电视系统（CCTV）、乘客信息系统（PIS）、通信集中告警系统（TEL/ALARM）、和大屏幕显示系统（OPS），车站及综合监控系统接入子系统有门禁系统（ACS）、 广播系统（PA）、闭路电视系统（CCTV）、乘客信息系统（PIS）、自动售检票系统（AFC）和站台门系统（PSD）。 工业互联网安全建设范围包括安全生产网的应用系统（如SIG、AFC、ACS、PIS等）、内部管理网应用系统（如运营管理、企业管理、智慧运维等）和外部服务网。其中，云平台和大数据平台贯穿于安全生产网、内部管理网和外部服务网。 基于26个站点和综合监控的安全建设，范围覆盖安全生产网、内部管理网和外部服务网，建设城市轨道交通工业互联网一体化解决方案，通过信息安全设备和技术管理手段解决地铁工控设备安全、控制安全、网络安全、工业数据安全、云平台安全和大数据