《工业互联网安全成熟度模型：从业者指南》对我国的启示

《工业互联网安全成熟度模型：从业者指南》对我国的启示

刘晓曼 董悦 张瑜 杨冬梅

（中国信息通信研究院安全研究所，北京 100191）

摘要：为加速推动安全成熟度模型在工业互联网重要领域的应用落地，2019年2月25日，美国工业互联网产业联盟发布《工业互联网安全成熟度模型：从业者指南》，构建了完备的安全成熟度模型，形成了动态的工业互联网安全评估流程，并成功应用该模型开展安全实践评估工作。对此，我国应充分重视，加快开展重点领域安全评估管理实践，提速安全评测标准的研制，加快推动重点领域安全实践应用，强化安全态势感知能力建设，发挥我国产业联盟桥梁纽带作用，构建完备可靠的工业互联网安全评估体系。

关键词：工业互联网；安全成熟度模型；安全评估

1 引言

美国工业互联网联盟（IIC）致力于打造全球工业互联网产业生态的枢纽，汇聚了来自全球30余个国家和地区的240多家企业、学术机构和产业组织。美国IIC十分关注安全，下设安全任务组，主要负责安全相关的研究工作，推动业界形成共识进行安全实践。自2016年成立至今，美国IIC已制定了《工业互联网安全框架》，发布了《端点安全最佳实践》《数据保护最佳实践》《安全成熟度模型：描述和预期效果》《在实践中管理和评估IIoT可信度》等一系列白皮书，致力于推动业界达成工业互联网安全共识，指导相关企业部署安全实施。2019年2月25日，美国IIC发布了《工业互联网安全成熟度模型：从业者指南》，详细介绍了工业互联网安全成熟度模型及其实施流程，旨在全面指导工业互联网从业者开展安全实践工作。

2 美国IIC《工业互联网安全成熟度模型：从业者指南》重要解读

工业互联网安全成熟度模型共包括两个文件，第一份《工业互联网安全成熟度模型：描述和预期用途》是为了让工业互联网相关从业人员了解模型的目的、需求和意图；第二份《工业互联网安全成熟度模型：从业者指南》提供了模型的详细信息，并介绍了工业互联网从业者如何在实践中应用。

2.1 构建工业互联网安全成熟度模型

《工业互联网安全成熟度模型：从业者指南》从理论层面构建了工业互联网安全成熟度模型，为工业互联网相关从业者提供了理论依据。基于安全管理、安全技术、安全评估实践，工业互联网安全成熟度模型定义了3大安全域，并逐级细分为9个安全子域和18个安全实践方面。3大安全域包括治理、启用和加强；9个安全子域包括安全战略和治理、威胁模型和风险评估、供应链和外部依赖管理、身份和访问管理、资产改变和配置管理、数据保护、脆弱性和补丁管理、态势感知、事件响应操作的连续性；18个安全实践方面包括安全项目管理、合规管理、威胁模型、风险态度、产品供应链风险管理、第三方服务机构管理、建立和维护身份、访问控制、资产更改和配置管理、物理保护、数据保护模型和策略、履行数据保护控制、脆弱性评估、补丁管理、监测实践、态势分析和信息共享、事件检测和响应计划、操作的整治恢复和连续性。

2.2 创建动态完整的工业互联网安全评估流程

为更好地规范工业互联网安全评估工作，提升企业安全防护能力，《工业互联网安全成熟度模型：从业者指南》创建了一套完整的评估流程。首先由企业技术人员制定安全目标问卷，管理者参考目标问卷及企业的建设情况设立安全成熟度目标，通过在企业内部开展安全评估来获取当前的安全成熟状态，详细比较目标状态和当前状态来确定差距，基于差距分析来制定改进路线图，定期重复循环此过程以确保在不断变化的威胁环境中企业能始终保持安全状态。

2.3 提供3个典型的工业互联网安全应用案例

为更好地指导工业互联网相关从业者在安全实践中应用工业互联网安全成熟度模型，《工业互联网安全成熟度模型：从业者指南》将工业互联网安全成熟度模型应用到了智能工厂生产线、智能摄像头、智能网联汽车3个场景中，通过动态的评估流程及时发现了可能存在的安全隐患，并采用有效的安全技术手段进行防护。由此可见，工业互联网安全成熟度模型具有可复制性和推广性，可应用于工业互联网其他重要场景中。

3 相关分析

3.1 围绕工业互联网安全重要理念积极布局，文件指南逐步细化深入

美国IIC自成立就高度重视工业互联网安全，紧密围绕工业互联网安全框架和可信体系等重要理念，系统布局端点安全、连接安全、数据安全，力求更好地指导企业部署工业互联网安全实施。自2016年成立至今，已制定了《工业互联网安全框架》，发布了《端点安全最佳实践》和《安全成熟度模型：描述和预期效果》等一系列文件指南，这些文件指南逐步细化，反复指出，工业互联网相关企业应强化安全意识，积极部署安全防护措施，提升安全防护能力。

3.2 构建安全成熟度评估模型，有效推动安全评估实践工作的开展

美国IIC发布的《工业互联网安全成熟度模型：从业者指南》，是推动工业互联网安全评估实践的重要举措，为工业互联网相关从业者提供了理论依据。一方面，创建了一套完整的评估流程，由企业管理者设立安全成熟度目标，通过开展安全评估来获取当前的安全状态，基于差距分析来制定改进路线图，定期重复循环此过程以确保企业能始终保持安全状态；另一方面，积极开展安全评估实践工作，成功地将安全成熟度模型应用到智能工厂生产线、智能摄像头、智能网联汽车3个场景中，通过动态的评估流程及时发现可能存在的安全隐患，并采用有效的安全技术手段进行防护，并将持续推动其在工业互联网其他重要场景中的应用。

3.3 与国际联盟协会广泛开展合作交流，着力打造全球安全产业生态

美国IIC广泛开展与德国工业4.0、美国电气制造商协会（NEMA）、国际电工委员会（IEC）等的交流合作，分享各自的工作推进情况，就共同关注的IoT环境下的网络连接安全、设备安全、风险挑战、安全用例的适用性，以及风险评估等问题积极讨论，探讨未来联合召开安全论坛、联合发布报告等合作的可能性。此外，在标准方面，美国IIC已与20多个国际标准化组织、开源组织和区域标准研制部门建立了协作关系，推动研究成果向标准的高效转化，引导全球工业互联网安全产业的健康有序发展。

4 我国工业互联网安全发展建议

美国IIC全面深入开展工业互联网安全研究工作，不断提出新的安全理念，指导工业互联网相关从业者开展安全实践工作。美国IIC的相关举措对我国既是借鉴更是挑战，应基于我国工业互联网安全产业现状，切实推动构建工业互联网安全综合保障体系。

4.1 加快开展工业互联网重点领域安全管理实践，形成风险管理闭环

美国IIC的工业互联网安全成熟度模型指出，要制定安全策略，加强网络安全治理，不断细化实践中安全项目管理和合规管理等管理制度。2019年7月26日，工业和信息化部、国家能源局、人力资源和社会保障部等10部门联合发布了《加强工业互联网安全工作的指导意见》，现阶段，我国应加快推动安全工作落地，建立健全工业互联网安全管理框架及评估评测体系，明确风险识别、评估、效果检验等关键流程及要求，推进工业互联网安全风险综合防御能力建设。同时，应加强政策引导，促进风险管理措施在重点领域和相关企业的落地。

4.2 深入开展工业互联网安全评测标准指南的研制，推动建立评测评估体系

美国IIC的安全成熟度模型的构建为开展工业互联网安全评测评估工作奠定了良好基础，可为相关从业者提供理论指导。目前，我国虽在CCSA立项了《工业互联网安全能力成熟度评估规范》和《工业互联网平台安全风险评估规范》等相关行业安全评测标准，但总体来说还处于初步探索阶段，仍需深入研制对工业互联网重点行业、企业有实际指导意义的安全标准和指南，推动产业界达成共识，探索构建满足产业发展的工业互联网安全评估评测体系。

4.3 不断突破工业互联网安全技术创新，推动安全技术在重点领域的应用

美国IIC《工业互联网安全成熟度模型：从业者指南》要求工业互联网相关从业者在安全实践中通过比较当前安全状态与目标状态进行差距分析，并依据实际情况不断突破现有安全技术。建议我国应针对产业界普遍存在的核心技术能力不足、核心产品安全可控能力较弱等问题，引导相关企业重点突破攻击防护、漏洞挖掘、入侵发现、态势感知、安全审计、可信芯片等安全技术、产品和服务的研发，并推动在工业互联网重点领域的应用，从而提升整个安全产业的防护能力，应对网络安全风险与挑战。

4.4 加速推动工业互联网安全实践应用，构建完善的安全产业发展体系

美国IIC《工业互联网安全成熟度模型：从业者指南》提供了智能工厂、智能摄像头、智能网联汽车3个工业互联网安全应用案例，可见美国很注重将安全理论应用到安全实践中来。建议我国加快工业互联网安全实践步伐，将工业互联网安全新理念、新思路应用到重点行业重点领域中，以试点示范带动整个产业的发展，不断推动安全新技术研发和成果应用推广，推动形成完善的工业互联网安全产业发展体系。

4.5 发挥我国产业联盟桥梁纽带作用，积极推进我国工业互联网安全全球协同发展

近年来，我国工业互联网产业联盟与美国IIC、德国工业4.0等均签署了战略合作协议，与美国IIC就工业互联网安全架构、安全实践、安全评估等方面达成共识，与德国工业4.0共同发布了《中德工业互联网白皮书：实践与启示》，并共同主办了工业网络安全相关研讨会。下一步，建议我国工业互联网相关产业联盟持续强化与国际协会组织间的协同合作力度，推动国际合作安全成果在重点行业和领域的落地，持续推升我国工业互联网安全的国际影响力。

参考文献

[1] The Industrial Internet Consortium, OpenFog. IoT Security Maturity Model: Practitioner"s Guide[R], 2019.

[2] 章文君. 美国、德国等国家如何布局工业互联网[J]. 中国中小企业, 2019(5):27-29.

[3] 倪光南. 工业互联网安全保障体系三维度：技术、市场和制度[N]. 中国电子报,2019-11-19(001).

[4] 加强我国工业互联网安全的建议[J]. 网络安全和信息化, 2019(10):18.

U.S. releases IoT Security Maturity Model: Practitioner’s Guide and its implications for China

LIU Xiaoman, DONG Yue, ZHANG Yu, YANG Dongmei

(China Academy of Information and Communications Technology, Beijing 100191, China)

Abstract: In order to accelerate the application of the security maturity model in important areas of the Industrial Internet, on February 25, 2019, the American Industrial Internet Industry Alliance released the “IoT Security Maturity Model: Practitioner"s Guide” to build a comprehensive security maturity model, Formed a dynamic industrial Internet security assessment process, and successfully applied the model to conduct security practice assessment work. In this regard, China should pay full attention to speeding up the implementation of safety assessment management practices in key areas, speeding up the development of safety evaluation standards, accelerating the application of safety practices in key areas, strengthening the building of security situation awareness capabilities, and playing the role of bridges of China’s industrial alliance to build a complete and reliable Industrial Internet Security Assessment System.

Key words: Industrial Internet; SMM; security assessment

作者简介

刘晓曼：中国信息通信研究院安全研究所信息化与两化融合安全部工程师，主要从事工业互联网、车联网的安全技术、产业和政策研究等工作

董悦：中国信息通信研究院安全研究所信息化与两化融合安全部工程师

张瑜：中国信息通信研究院安全研究所信息化与两化融合安全部助理工程师

杨冬梅：中国信息通信研究院安全研究所信息化与两化融合安全部助理工程师

论文引用格式：

刘晓曼，董悦，张瑜，等. 《工业互联网安全成熟度模型：从业者指南》对我国的启示[J]. 信息通信技术与政策, 2020(2):57-60.

本文刊于《信息通信技术与政策》2020年第2期

声明：本文来自信息通信技术与政策，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。