本书系统介绍了工业互联网的平台、工业App、工业互联网标识解析等技术、应用及信息安全需求，分析其面临的安全威胁、存在的脆弱性，在此基础上深入介绍工业互联网安全防护基本原理、技术内涵，特别论述了区块链、人工智能、边缘计算、轻量级密码等新技术在工业互联网安全防护中的应用。本书包括工业互联网技术基础、模型分析、威胁分析、国内外工业互联网信息安全现状分析、工业互联网安全防护理论及技术体系、工业互联网安全防护的新技术等内容，内容全面、深入浅出、便于理解，启发意义明显，是一本工业互联网安全方面的学术专著，尤其适用于高等院校师生、相关科研院所及企事业单位的研发人员，可指导其工业互联网信息安全方面的学术研究、工程实践和技术开发。

序 工业互联网是新型基础设施建设的关键领域之一，是未来制造业竞争的制高点，正在推动创新模式、生产方式、组织形式和商业范式的深刻变革，推动工业链、产业链、价值链的重塑。可以肯定地说，工业互联网必将对未来工业发展产生全方位、深层次、革命性的变革，对社会生产力、人类历史发展产生深远影响。当今世界，新一轮科技革命和产业变革正在兴起，工业互联网作为制造业与互联网深度融合的产物，已经成为新工业革命的关键支撑和智能制造的重要基石。工业互联网的发展可以实现整个生产供应链的信息流通，让生产数据透明，数据将成为未来工业生产制造过程中的核心资产。同时，未来工业互联网是新一代信息通信网络技术与工业生产制造深度融合的全新工业生态、关键基础设施和新型应用模式，将通过人、机、物的安全可靠智联，实现生产全要素、全产业链、全价值链的全面连接。动态、变革、智能、跨链、自主是工业互联网发展的几个关键词。 工业互联网安全是工业互联网技术的基础，其技术创新发展将是工业互联网技术进步的驱动和保障。在未来工业互联网生产要素时空大连接、制造流程柔性构造和网络化调控的趋势下，传统网络安全技术以网络、系统和应用安全为主的格局将被打破。数据驱动、广域分布和人机协同的应用场景，将出现一些超出人类以往认知范围的攻击风险。因此，需要不断创新应用人工智能、区块链、5G 及边缘计算等新技术，赋能入侵检测、边界防护和病毒查杀等基本安全防护需求，解决工业互联网发展过程中出现的新威胁、新场景防护问题。工业互联网信息安全防护技术将呈现与信息系统安全，甚至与工业控制系统信息安全截然不同的发展路径，出现跨代式的技术发展。 《工业互联网信息安全技术》瞄准工业互联网国家重大战略需求，把握未来工业互联网发展趋势，紧扣工业互联网技术不断演进的趋势，大处着眼于新型基础设施赋能工业生产制造高质量发展的国家重大需求，小处着手于工业互联网信息安全业界普遍关心的技术问题，从认识威胁和如何防护两条主线展开，详细介绍了工业互联网信息安全的基本理论和防护模型，系统地分析了安全防护技术体系，特别介绍了一些新技术、新方法在工业互联网信息安全防护中的应用，力求使读者既能整体掌握工业互联网信息安全技术，又能了解工业互联网信息安全中的新方法、新理论。本书作者来自国内知名网络安全企业，具有多年工业互联网技术研究、产品研发、标准制定和产业化的丰富经验。全书内容新颖且浅显易懂，处处可见作者对工业互联网信息安全技术的深入思考，相信将给读者带来很好的启发。 饶志宏 中国电子科技集团有限公司首席科学家 前言 近年来，党中央、国务院高度重视工业互联网发展。习近平总书记连续四年对推动工业互联网发展做出重要指示，强调要持续提升工业互联网创新能力，推动工业化与信息化在更广范围、更深程度、更高水平上实现融合发展。工业互联网是工业智能化发展的关键综合信息基础设施，其本质是以机器、原材料、控制系统、信息系统、产品及人之间的网络互联为基础，通过对工业数据的全面深度感知、实时传输交换、快速计算处理和高级建模分析，实现智能控制、运营优化和生产组织方式变革，工业互联网是国家新型基础设施建设的重要组成部分。 工业互联网由三大体系构成，即网络、平台、安全。其中，网络是基础，平台是核心，安全是保障。工业互联网信息安全关系到经济发展和社会稳定，是制造强国和网络强国战略的基石，其重要性不言而喻。随着工业设备智能化、企业两网的深度融合，工业控制网络更加复杂，工业控制网络边界外延，工业大数据的基础性作用日趋明显。网络信息安全风险不断叠加，除传统工业控制系统自身的信息安全风险外，互联网、云平台、物联网、大数据、企业内部办公网、工业App等安全风险也给制造企业的信息安全、业务安全带来诸多困扰。工业互联网时代，数据、网络、控制与应用的融合度更高，信息安全与数字化转型将不再是分离的，工业互联网信息安全将突破“打补丁”模式，进入智能安全的新阶段，并且是当前国际信息安全界关注度很高的前沿技术之一，各国工业界、学术界与监管部门等纷纷在该领域布局。 工业互联网信息安全技术仍处于探索过程中，体系性的理论、技术和实践方法尚未成熟。工业互联网信息安全的内涵和目标是什么？工业互联网信息安全技术是什么样的？工业互联网信息安全防护有什么特点？区块链、人工智能、数字孪生、边缘计算、5G等新技术与工业互联网信息安全怎么结合？工业互联网信息安全技术的发展趋势是什么样的？本书将尝试论述和解答上述问题。 本书首先介绍工业互联网技术基础，引出其存在的脆弱性和安全威胁，进而分析工业互联网信息安全的基本理论和防护模型，阐述相应的关键技术，分析一些应用案例，进一步总结工业互联网信息安全发展趋势。特别地，本书从新技术、新视角、新应用方面深入剖析了工业互联网信息安全技术的发展。本书旨在为全面认识工业互联网信息安全规律、发展工业互联网信息安全技术、指导工业互联网信息安全应用提供帮助。 为了满足学术界、工程技术界对工业互联网信息安全技术基本概念和基本理论的系统性掌握需求，同时结合工业互联网技术本身并不成熟且处于不断发展变化中的特点，本书在内容方面力求通俗易懂，概念准确而又不老套过时，尽量体现工业互联网信息安全技术的新需求、新概念、新观点，以及数据驱动的技术发展态势；在写作方面力求深入浅出、图文并茂。特别地，本书介绍的一些新技术、新方法，对工业互联网信息安全技术领域的研究人员、工程技术人员及高校师生的技术启发有重要意义。 本书由中国电子科技集团公司第三十研究所兰昆研究员著；四川大学网络空间安全研究院副院长刘嘉勇教授、中国电子科技集团有限公司首席科学家饶志宏研究员对本书提出了许多宝贵的意见，在此深表感谢；同时，还要感谢家人在本书写作过程中给予的大力支持。 由于本人水平有限，书中难免存在疏漏和不妥之处，恳请读者给予指正。 兰昆 2021年4月

目录 第1章 工业互联网技术基础 1 1.1 工业互联网的概念 1 1.2 工业互联网相关技术 4 1.2.1 工业互联网技术参考架构 5 1.2.2 工业互联网平台 11 1.2.3 工业云技术 16 1.2.4 工业App技术 19 1.2.5 工业互联网标识解析技术 22 1.2.6 工业大数据 24 1.2.7 工业软件 28 1.2.8 工业互联网环境下的柔性供应链 31 1.2.9 5G与工业互联网融合 34 1.3 工业互联网技术发展趋势 38 第2章 工业互联网的脆弱性和安全威胁 42 2.1 工业互联网的脆弱性 42 2.2 工业互联网面临的威胁与风险分析 48 2.2.1 工业互联网面临的人员威胁与风险 48 2.2.2 工业互联网潜在的技术威胁与风险 51 2.2.3 工业互联网安全威胁模型 56 2.3 国内外工业互联网典型攻击事件 59 第3章 工业互联网信息安全防护的基本特点 62 3.1 信息安全概述 62 3.1.1 信息安全一般概念 62 3.1.2 工业控制系统信息安全 63 3.1.3 工业互联网信息安全 63 3.2 功能安全概述 65 3.3 工业互联网中的信息安全与功能安全的区别与融合 68 3.4 工业互联网安全与工业控制系统安全 72 3.4.1 传统IT信息网络安全防护技术机制 72 3.4.2 工业控制系统信息安全防护技术机制 79 3.4.3 工业互联网信息安全需求 89 3.4.4 工业互联网信息安全面临的挑战 91 3.4.5 工业互联网信息安全模型 96 第4章 工业互联网信息安全防护技术体系 98 4.1 工业互联网云侧的安全防护技术 98 4.1.1 以数据安全为主的工业互联网云侧的安全防护技术 98 4.1.2 面向服务的体系结构及其安全技术 121 4.1.3 虚拟化机制及其安全技术 126 4.1.4 数据属性驱动的安全防护技术 136 4.2 工业互联网管（网）侧安全防护技术 140 4.2.1 通信网络和连接的加密保护 140 4.2.2 信息流保护 143 4.2.3 工业互联网管（网）侧安全防护策略 151 4.2.4 工业互联网网络安全态势感知技术 151 4.2.5 工业互联网蜜罐和蜜网技术 155 4.3 工业互联网边侧安全防护技术 162 4.3.1 工业互联网中的边缘层 162 4.3.2 边侧安全服务框架 163 4.3.3 系统安全管理 165 4.3.4 安全接口技术 166 4.3.5 面向工业互联网边缘层的入侵检测技术 167 4.4 工业互联网端侧安全防护技术 170 4.4.1 工业互联网端侧安全防护实现的功能 170 4.4.2 终端节点的安全威胁和漏洞识别 170 4.4.3 保护终端节点的体系结构应考虑的因素 173 4.4.4 终端节点物理安全 176 4.4.5 建立可信根 177 4.4.6 终端节点的身份标识 178 4.4.7 工业互联网终端节点的访问控制 179 4.4.8 工业互联网终端节点的完整性保护 180 4.4.9 工业互联网终端节点的数据保护 182 4.4.10 工业互联网终端节点的监测与配置管理 183 4.4.11 适用于终端节点保护的加密技术 183 4.4.12 工业互联网终端节点的隔离技术 185 4.4.13 工业互联网终端节点安全的引导启动和固件更新 187 第5章 工业互联网信息安全防护中的新技术、新方法 190 5.1 区块链技术在工业互联网信息安全防护中的应用 190 5.1.1 工业互联网中的区块链 190 5.1.2 应用区块链进行数据分发和确权 191 5.1.3 以区块链为基础的工业互联网软件更新安全防护技术 193 5.2 人工智能与工业互联网信息安全防护 202 5.2.1 人工智能技术与工业互联网融合 202 5.2.2 人工智能辅助的信息安全技术 207 5.2.3 工业互联网中利用人工智能的攻击方法和防御机制 213 5.3 边缘计算在工业互联网信息安全防护方面的应用 223 5.3.1 边缘计算参考架构 223 5.3.2 边缘计算应用于工业互联网安全防护技术 225 5.3.3 基于边缘计算的可重构工业互联网安全技术 234 5.4 工业互联网中应用场景与资源匹配的轻量级密码技术 241 5.4.1 轻量级密码技术概述 241 5.4.2 工业互联网设备联网的轻量级认证机制 249 5.4.3 工业大数据应用中的高效轻量级加密散列函数 255 5.4.4 工业互联网设备程序实现中的轻量级密码技术 260 5.5 可信工业互联网信息安全防护技术 266 5.5.1 可信计算技术简介 266 5.5.2 供应商提供的可信计算解决方案 270 5.5.3 工业互联网可信保护框架 272 5.6 5G赋能工业互联网涉及的信息安全防护技术 275 5.6.1 5G应用于工业互联网面临的安全威胁 275 5.6.2 5G与工业互联网结合背景下的信息安全技术 285 5.7 数字孪生与工业互联网信息安全防护 295 第6章 国内外工业互联网信息安全研究进展 304 6.1 国外工业互联网安全标准、指南和规范发展情况 304 6.2 国内工业互联网信息安全标准情况 311 第7章 工业互联网信息安全发展趋势 313 第8章 工业互联网信息安全技术应用解析 322 8.1 工业互联网供应链信息安全防护技术应用 322 8.2 工业大数据信息安全防护技术应用 327 8.3 智能电网分布式能源控制系统的信息安全技术应用 333 8.4 轨道交通控制系统终端信息安全技术应用 338 参考文献 341