工业互联网企业网络安全分类分级防护系列规范 (二)：《工业互联网标识解析企业安全防护规范》

近期，工业和信息化部印发《工业互联网企业网络安全分类分级管理指南（试行）》（以下简称“指南”）及系列配套文件，正式启动对联网工业企业、平台企业及标识解析企业等工业互联网企业的网络安全分类分级管理试点工作，指导实施“分类施策、分级负责”精细化管理，督促企业落实安全主体责任，提升网络安全防护能力和水平，推动实现工业互联网高质量发展和高水平安全。

工业互联网企业网络安全分类分级防护系列规范作为《指南》的配套文件，分别从联网工业企业、平台企业、标识解析企业和数据安全四个方面对《指南》相关条款进行细化落地，其中《工业互联网标识解析企业安全防护规范》（以下简称《规范》）作为规范标识解析企业网络安全分类分级管理和安全防护要求的指导标准，围绕标识解析系统相关基础设施、网络、应用、管理、数据及物理环境提出6项安全防护要求，指导标识解析企业开展自主定级，并落实与自身等级合适的安全防护措施，为工业互联网标识解析企业提升网络安全防护能力提供指引和参考。

一、工业互联网标识解析面临哪些安全风险和挑战？

工业互联网标识解析是工业互联网的重要网络基础设施，为工业设备、机器、物料、零部件和产品提供编码、注册与解析服务，并通过标识实现对异主、异地、异构信息的互联互通、安全共享及智能关联，是实现工业互联网互联互通的重要基石。随着工业互联网的快速发展，工业互联网标识并发解析请求可达千万量级，对安全保障能力提出了较高要求。当前，工业互联网标识解析主要面临以下安全风险与挑战。

一是工业互联网架构面临多层次安全风险。工业互联网标识解析架构主要包括客户端主机、标识解析服务器、镜像服务器、缓存与代理服务器等，每一层结构都有可能成为标识解析体系的脆弱点。客户端主机被篡改会导致无法将接收到的数据可靠地传送到客户端；国际根服务器被篡改可能会误导客户端请求，将其引导至错误的行业或节点；镜像站点之间复制内容可能存在延迟，导致数据不一致问题；缓存与代理服务器一旦被篡改将影响所有经由它们进行的标识解析服务，容易受到中间人攻击。

二是标识解析数据安全风险贯穿全生命周期。根据工业互联网标识数据中携带大量敏感隐私信息，随着工业互联网的互联互通，海量标识数据在数据的采集、传输、存储和使用和销毁等生命周期流转中，都可能存在数据窃取、篡改、丢失等隐私数据泄露安全风险。例如，数据采集存在访问策略不当、标识载体被破坏等问题，可能会造成隐私泄漏、数据失真等风险。数据存储存在传输链路长，同步压力大等问题，可能会造成数据在各节点被破坏，缓存污染等风险。

三是标识解析运营安全风险复杂多样。工业互联网标识解析在运营过程中可能涉及根节点运行机构、顶级节点运行机构、二级节点服务机构、标识注册管理机构、标识注册代理机构等多种标识解析服务机构。攻击者可以通过滥用标识注册、非法注册、伪造标识服务机构等，造成标识资源浪费、标识资源分配混乱、标识资源失信、标识解析结果失真等安全风险。

四是多主体身份与权限安全管理难度大。工业互联网标识解析体系涉及众多领域，应用行业分布广泛，二级节点的运营服务机构较多，标识对象、标识用户海量，需要对身份及权限进行细颗粒度的管理，在身份可信、隐私数据保护、防止越权、防止非法操作技术实施上存在较大挑战。

二、《规范》对工业互联网标识企业提出哪些防护要求？

当前，工业互联网标识解析企业承载业务、服务行业以及面临安全威胁不尽相同，安全防护能力建设参差不齐，安全主体意识普遍薄弱，尚未形成权威统一的针对工业互联网标识解析企业的安全防护标准。《规范》作为分类分级工作的配套文件，规定了标识解析企业安全防护范围及内容，明确了一级、二级、三级标识解析企业分别对应的安全防护要求，为标识解析企业落实安全防护措施、提升安全防护能力指明了方向，重点包括以下几个方面：

一是规定标识解析企业安全防护范围与级别。基于工业互联网标识注册服务、解析服务等的标识解析系统安全防护体系，覆盖系统相关基础设施安全、网络安全、应用安全、数据安全和安全管理等防护内容。落实《工业互联网企业网络安全分类分级管理指南（试行）》，不同级别工业互联网标识解析企业分别对应采取增强级和基本级防护措施。

二是明确标识解析企业分级安全防护能力建设。根据不同级别安全防护要求，围绕标识解析系统相关基础设施安全、网络安全、应用安全、数据安全、物理和环境安全等方面，建立标识解析企业安全防护能力。此外，企业应按照《工业互联网企业数据安全防护规范》要求，对标识解析系统所使用和存储的数据进行分类分级管理，确保数据在采集、传输、存储、使用和销毁等全生命周期安全。

三是构建标识解析企业网络安全管理体系。健全完善企业网络安全管理制度，明确安全管理机构和责任人，在安全审计、配置管理、应急事件处置等方面加强企业运维管理。按照规范要求，做好安全方案设计、产品采购、软件开发、系统交付和服务供应商选择等环节的安全建设管理工作，全方位保证企业运营安全。

三、《规范》为推动标识解析安全工作提供哪些指引？

《规范》从管理和技术的角度对标识解析企业安全防护提出差异化要求，是主管部门指导监督标识解析企业开展网络安全分类分级管理的重要依据，是标识解析企业提升网络安全防护水平的主要抓手，是行业产业推动标识解析健康发展的关键动力。

一是主管部门加强指导监督，建立完善工作机制。各级主管部门依据《指南》相关要求，加强网络安全分类分级监督管理，指导标识解析企业做好网络安全分类分级工作。完善工业互联网标识解析安全管理体系，建立健全定级核查、监测预警、风险评估、应急保障等机制，推动标识解析安全管理、安全防护、安全评估等标准研制与应用推广。

二是企业聚焦主体责任，加强安全防护能力建设。标识解析企业根据《指南》和《规范》相关要求，负责建立网络安全责任制，落实企业网络安全主体责任，根据标识解析系统服务行业属性、规模范围以及安全风险开展企业网络安全自主定级，并落实不同级别的安全防护措施。指导标识解析企业将安全防护纳入到标识解析体系框架设计中，在标识解析设计、建设和运维等阶段同步做好安全防护，提升企业对标识解析系统相关基础设施、网络、应用、数据安全防护能力。

三是推动技术产业融合创新，加快培育安全产业生态。《指南》和《规范》的落地实施将激发产学研用各方主体活力，加速推进标识解析安全技术产品化、服务化、市场化，促进标识解析产品、服务和解决方案的推广应用，推动形成产学研用深度融合的协同创新体系。基于标识解析的重要产品追溯、供应链管理和智能产品全生命周期管理等，助推实现产业链、供应链安全可控，为推动产业数字化转型提供强大动力。（张妍 邱亚钦 孙军）

声明：本文来自工业信息安全产业发展联盟，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。