摘　要：

　　工業(yè)互聯(lián)網(wǎng)對(duì)助力我國(guó)數(shù)字經(jīng)濟(jì)發(fā)展、推進(jìn)數(shù)字經(jīng)濟(jì)與實(shí)體經(jīng)濟(jì)的融合具有重要意義。在利用工業(yè)互聯(lián)網(wǎng)在實(shí)現(xiàn)人、機(jī)、物、系統(tǒng)等的全面連接、打造全新制造和服務(wù)體系的同時(shí)， 也產(chǎn)生了暴露于復(fù)雜的網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)風(fēng)險(xiǎn)問(wèn)題。標(biāo)準(zhǔn)化工作是實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)的重要技術(shù)基礎(chǔ)。目前，我國(guó)工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)制定和體系建設(shè)存在一定空白，在明確工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅源頭的基礎(chǔ)上，簡(jiǎn)要梳理了現(xiàn)有的工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全國(guó)際標(biāo)準(zhǔn)，在兼容性、構(gòu)建安全分類等級(jí)以及建設(shè)安全標(biāo)準(zhǔn)體系上的現(xiàn)狀，以期對(duì)我國(guó)工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的制定工作提供一些參考。

　　2020 年我國(guó)數(shù)字經(jīng)濟(jì)規(guī)模近 5.4 萬(wàn)億美元， 位居世界第二，其中，工業(yè)互聯(lián)網(wǎng)對(duì)數(shù)字經(jīng)濟(jì)增長(zhǎng)的貢獻(xiàn)超過(guò) 16%，已經(jīng)成為數(shù)字經(jīng)濟(jì)發(fā)展的重要引擎。工業(yè)互聯(lián)網(wǎng)以全要素、全產(chǎn)業(yè)鏈和全價(jià)值鏈的全面連接，成為助推數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展的關(guān)鍵。隨著各國(guó)在數(shù)字經(jīng)濟(jì)領(lǐng)域戰(zhàn)略競(jìng)爭(zhēng)的不斷深入，開(kāi)展工業(yè)互聯(lián)網(wǎng)相關(guān)前沿技術(shù)研發(fā)、布局工業(yè)互聯(lián)網(wǎng)已成為各國(guó)在這一競(jìng)賽中取得領(lǐng)先優(yōu)勢(shì)的關(guān)鍵點(diǎn)。工業(yè)互聯(lián)網(wǎng)安全對(duì)保障數(shù)字經(jīng)濟(jì)安全有重要意義。工業(yè)互聯(lián)網(wǎng)發(fā)展依賴于 5G、邊緣計(jì)算、人工智能、物聯(lián)網(wǎng)等新一代信息通信技術(shù)，隨著上述技術(shù)在工業(yè)控制系統(tǒng)中的廣泛應(yīng)用，網(wǎng)絡(luò)安全和生產(chǎn)安全相互交織，工業(yè)互聯(lián)網(wǎng)安全與國(guó)家安全密切相關(guān)。

　　標(biāo)準(zhǔn)化工作是實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)的重要技術(shù)基礎(chǔ) 。我國(guó)一直積極參與各項(xiàng)信息網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的制定。2021 年 3 月，中國(guó)信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所主導(dǎo)制定的首例工業(yè)互聯(lián)網(wǎng)國(guó)際標(biāo)準(zhǔn)——ITU-T Y.2623《工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)技術(shù)要求與架構(gòu)（基于分組數(shù)據(jù)網(wǎng)演進(jìn)）》在國(guó)際電信聯(lián)盟標(biāo)準(zhǔn)分局大會(huì)上通過(guò)。盡管如此，我國(guó)在工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域國(guó)家標(biāo)準(zhǔn)制定工作稍顯滯后，圍繞網(wǎng)絡(luò)安全、平臺(tái)安全、數(shù)據(jù)安全，特別是設(shè)備安全、應(yīng)用安全制定工作仍需大力推進(jìn) [1-2]。工業(yè)互聯(lián)網(wǎng)標(biāo)準(zhǔn)具有跨行業(yè)、跨專業(yè)、跨領(lǐng)域的特點(diǎn)。

　　本文從工業(yè)互聯(lián)網(wǎng)面臨的網(wǎng)絡(luò)安全成因入手，簡(jiǎn)要分析了相關(guān)領(lǐng)域國(guó)際工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)制定現(xiàn)狀，以助力于我國(guó)制定工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)和建設(shè)安全標(biāo)準(zhǔn)體系。

　　01

　　工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅

　　綜合來(lái)看，工業(yè)互聯(lián)網(wǎng)面臨的安全威脅主要基于以下 3 方面原因：

　　第一，工業(yè)互聯(lián)網(wǎng)面臨著信息技術(shù)（Information Technology，IT）和運(yùn)營(yíng)技術(shù)（Operational Technology，OT）融合帶來(lái)的多重威脅。工業(yè)互聯(lián)網(wǎng)不僅需要應(yīng)對(duì)傳統(tǒng) IT 環(huán)境面臨的各種安全風(fēng)險(xiǎn)，更受到IT 與 OT 融合帶來(lái)的全新安全挑戰(zhàn)。傳統(tǒng)工業(yè)控制系統(tǒng)（Industrial Control System，ICS）是重功能、輕安全，獨(dú)立于企業(yè) IT 基礎(chǔ)設(shè)施和各類信息系統(tǒng)[3]。隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，ICS 系統(tǒng)之間、 ICS 系統(tǒng)與 IT 設(shè)施之間高度互聯(lián)，使得 ICS 系統(tǒng)暴露在全球網(wǎng)絡(luò)環(huán)境中，對(duì)工業(yè)智能設(shè)備、工業(yè)控制軟件和控制協(xié)議等帶來(lái)嚴(yán)峻的安全挑戰(zhàn)。

　　第二，工業(yè)互聯(lián)網(wǎng)通信威脅。網(wǎng)絡(luò)是工業(yè)互聯(lián)網(wǎng)的基礎(chǔ)。以 5G、Wi-Fi 6 和時(shí)間敏感網(wǎng)絡(luò)（Time Scalar Network，TSN）為代表的新一代信息通信技術(shù)，通過(guò)高吞吐量和低延遲保障工業(yè)互聯(lián)網(wǎng)中機(jī)器對(duì)機(jī)器（Machine-to-Machine，M2M） 的通信，確保系統(tǒng)的實(shí)時(shí)性和業(yè)務(wù)的連續(xù)性 [4]。2021 年，我國(guó)工信部發(fā)布的《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動(dòng)計(jì)劃（2021—2023 年）》中提出，要持續(xù)深化“5G+ 工業(yè)互聯(lián)網(wǎng)”融合應(yīng)用。通信網(wǎng)絡(luò)位于抵御安全威脅的第一線，提升 5G 網(wǎng)絡(luò)安全保障能力水平對(duì)工業(yè)互聯(lián)網(wǎng)安全意義重大。

　　第三，工業(yè)大數(shù)據(jù)安全。一方面，工業(yè)大數(shù)據(jù)中包含了大量消費(fèi)者個(gè)人隱私，協(xié)同制造倡導(dǎo)的個(gè)性化定制、服務(wù)化轉(zhuǎn)型也涉及大量用戶隱私，這些隱私信息極易被泄露；另一方面， 關(guān)鍵工業(yè)數(shù)據(jù)是我國(guó)重要的戰(zhàn)略資源，一旦被竊取將直接威脅國(guó)家安全 。

　　02

　　國(guó)際工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制定主體

　　當(dāng)前，已有相當(dāng)多的標(biāo)準(zhǔn)組織、行業(yè)聯(lián)盟等參與工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)制定工作，在此無(wú)法一一列舉，本節(jié)僅選取其中部分標(biāo)準(zhǔn)制定主體進(jìn)行簡(jiǎn)要介紹。

　　2.1　第三代合作伙伴計(jì)劃 3GPP

　　3GPP 成立于 1998 年 12 月，其成員伙伴包括了來(lái)自中國(guó)、美國(guó)、歐洲、韓國(guó)、日本和印度的 6 個(gè)國(guó)家的 7 個(gè)通信標(biāo)準(zhǔn)化組織，其中， 日本有兩個(gè)通信標(biāo)準(zhǔn)化組織參與，分別為日本無(wú)線工業(yè)及商貿(mào)聯(lián)合會(huì)（ARIB）和日本電信技術(shù)委員會(huì)（TTC）。隨后，成員數(shù)量迅速增加， 各大網(wǎng)絡(luò)通信企業(yè)也參與其中。

　　1999 年至今，3GPP 共發(fā)布 13 版 5G 標(biāo)準(zhǔn)。其最新的 R16 標(biāo)準(zhǔn)于 2020 年被國(guó)際電信聯(lián)盟認(rèn)定為全球 5G 標(biāo)準(zhǔn)。在其早前的 R15 標(biāo)準(zhǔn)中，支持了國(guó)際電信聯(lián)盟定義的5G 網(wǎng)絡(luò)的三大應(yīng)用場(chǎng)景：移 動(dòng) 增 強(qiáng) 帶 寬（enhanced Mobile Broadband， eMBB）、大規(guī)模機(jī)器通信（massive Machine Type of Communication，mMTC）和超可靠低延遲通信（ultra Reliable Low Latency Communication，uRLLC）， 其中uRLLC 是 5G 在工業(yè)領(lǐng)域發(fā)揮重要作用的助推器，R16 更加側(cè)重于 uRLLC 性能指標(biāo)并提升了對(duì)工業(yè)互聯(lián)網(wǎng)的功能支持。下一版 R17 預(yù)計(jì)將于2022 年 3 月發(fā)布。

　　3GPP 在 5G 安全和隱私方面的技術(shù)規(guī)范和工作報(bào)告由 SA WG3 小組負(fù)責(zé)，并于 2015 年發(fā)布了第一版 R15 TS 33.501《5G 系統(tǒng)安全架構(gòu)和過(guò)程》。截至 2021 年，該小組共發(fā)布了 13 份5G 安全保證相關(guān)技術(shù)規(guī)范和 11 份 5G 網(wǎng)絡(luò)安全研究和技術(shù)報(bào)告。

　　2.2　歐洲電信標(biāo)準(zhǔn)化協(xié)會(huì)ETSI

　　歐洲電信標(biāo)準(zhǔn)化協(xié)會(huì)是歐盟三大標(biāo)準(zhǔn)組織之一，其下的網(wǎng)絡(luò)功能虛擬化安全工作組（NFVSEC）、網(wǎng)絡(luò)安全技術(shù)委員會(huì)（TC CYBER）、智能交通系統(tǒng)技術(shù)委員會(huì)（TC ITS）、工業(yè)規(guī)范之安全人工智能小組（ISG SAI）、安全算法專家組（SAGE）均開(kāi)展了與工業(yè)互聯(lián)網(wǎng)相關(guān)的安全標(biāo)準(zhǔn)和規(guī)范的制定。

　　ETSI 在工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域的另一重要貢獻(xiàn)是其聯(lián)合來(lái)自美國(guó)、中國(guó)、韓國(guó)、日本和印度 8 個(gè)通信標(biāo)準(zhǔn)化組織共同發(fā)起的 oneM2M 項(xiàng)目，旨在制定物聯(lián)網(wǎng)領(lǐng)域的全球技術(shù)規(guī)范，其中日本和美國(guó)分別有兩個(gè)通信標(biāo)準(zhǔn)化組織參與。項(xiàng)目的核心思想是實(shí)現(xiàn)統(tǒng)一的安全數(shù)據(jù)共享、應(yīng)用程序、互操作性、可擴(kuò)展性以及連接海量M2M 設(shè)備以支持工業(yè)互聯(lián)網(wǎng)。截至 2021 年，該項(xiàng)目通過(guò) 5 份公開(kāi)文件來(lái)發(fā)布每一階段的技術(shù)規(guī)范、技術(shù)報(bào)告和工作任務(wù)。oneM2M 的安全框架由 5 大核心單元構(gòu)成：

　?。?）注冊(cè)：通過(guò)遠(yuǎn)程引導(dǎo)為物聯(lián)網(wǎng)設(shè)備和應(yīng)用提供數(shù)字身份和證書(shū)，使其獲得系統(tǒng)的信任并被安全接入。

　?。?）建立設(shè)備間安全聯(lián)系：物聯(lián)網(wǎng)設(shè)備在oneM2M 服務(wù)層通過(guò)密鑰對(duì)建立安全聯(lián)系。

　　（3）授權(quán)：為設(shè)備在使用服務(wù)層中的服務(wù)和信息時(shí)，提供了多種授權(quán)方式。

　?。?）端到端安全：規(guī)范物聯(lián)網(wǎng)中源端點(diǎn)到目標(biāo)端點(diǎn)之間的端到端安全通信。

　?。?）隱私管理：定義用戶數(shù)據(jù)管理框架并基于這一框架實(shí)現(xiàn)隱私管理。

　　2.3　電氣電子工程師學(xué)會(huì)IEEE

　　作為全球最大的專業(yè)技術(shù)組織，IEEE 在通信技術(shù)、信息技術(shù)和信息安全領(lǐng)域發(fā)布了諸多國(guó)際標(biāo)準(zhǔn)，并被廣泛應(yīng)用于工業(yè)互聯(lián)網(wǎng)安全的各個(gè)層面。該組織成立了 IEEE 物聯(lián)網(wǎng)倡議 [IEEE Internet of Things（IoT）Initiative]， 并著手制定物聯(lián)網(wǎng)領(lǐng)域相關(guān)標(biāo)準(zhǔn)。例如，IEEE P2413-2019 標(biāo)準(zhǔn)規(guī)范了物聯(lián)網(wǎng)體系框架，涵蓋了對(duì)物聯(lián)網(wǎng)領(lǐng)域抽象的定義、各物聯(lián)網(wǎng)應(yīng)用領(lǐng)域的描述以及如何在不同物聯(lián)網(wǎng)領(lǐng)域之間識(shí)別共性。IEEE 1451-99 標(biāo)準(zhǔn)致力于在物聯(lián)網(wǎng)（IoT）設(shè)備和系統(tǒng)間進(jìn)行協(xié)調(diào)。IEEE P1912 為消費(fèi)者定義了無(wú)線設(shè)備隱私和安全架構(gòu)標(biāo)準(zhǔn)。此外，IEEE 802.11 無(wú)線局域網(wǎng)工作組通過(guò)制定新標(biāo)準(zhǔn)以及修訂已有標(biāo)準(zhǔn)來(lái)支持工業(yè)互聯(lián)網(wǎng)中的無(wú)線網(wǎng)絡(luò)接入等。

　　與此同時(shí)，IEEE 也通過(guò)加強(qiáng)與其他技術(shù)組織的合作，構(gòu)建應(yīng)用于工業(yè)互聯(lián)網(wǎng)的各項(xiàng)標(biāo)準(zhǔn)。2018 年 5 月，IEC 和 IEEE 802 工作組聯(lián)合發(fā)布了 IEC/IEEE 60802 標(biāo)準(zhǔn)，定義了時(shí)間敏感網(wǎng)絡(luò)標(biāo)準(zhǔn)，以更好滿足工業(yè)自動(dòng)化的需要。

　　2.4　IEC/ISO 技術(shù)聯(lián)合委員會(huì) ISO/IEC JTC 1

　　IEC 和 ISO 在標(biāo)準(zhǔn)化領(lǐng)域開(kāi)展了廣泛的合作。1987 年，ISO/IEC JTC 1 開(kāi)始了信息和通信技術(shù)領(lǐng)域的國(guó)際標(biāo)準(zhǔn)制定工作。JTC1/SC 27 分技術(shù)委員會(huì)成立于 1989 年，主要負(fù)責(zé)信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)領(lǐng)域的安全標(biāo)準(zhǔn)制定。迄今為止，該委員會(huì)共發(fā)布了 212 份安全標(biāo)準(zhǔn)，78 項(xiàng)標(biāo)準(zhǔn)正在制定中，其中影響力較大的是 ISO/ IEC 27000 系列安全標(biāo)準(zhǔn) 。JTC1/SC 42 分技術(shù)委員會(huì)成立于 2017 年，負(fù)責(zé)人工智能領(lǐng)域的標(biāo)準(zhǔn)化工作， 其 ISO/IEC TR 24028：2020 對(duì)人工智能可信度進(jìn)行了全面概述。JTC 1/SC 41 物聯(lián)網(wǎng)和數(shù)字孿生分技術(shù)委員會(huì)同樣成立于 2017 年， 迄今為止制定了共 30 項(xiàng)標(biāo)準(zhǔn)。其工作組 WG3 和WG4 共同著手開(kāi)展物聯(lián)網(wǎng)領(lǐng)域的標(biāo)準(zhǔn)化工作，其中 ISO/IEC TR 30166：2020 針對(duì)工業(yè)物聯(lián)網(wǎng)（IIoT）詳細(xì)闡述了其系統(tǒng)特征、應(yīng)用技術(shù)、系統(tǒng)架構(gòu)，并對(duì)工業(yè)互聯(lián)網(wǎng)未來(lái)標(biāo)準(zhǔn)化的前景進(jìn)行了展望。

　　除了與 ISO 開(kāi)展合作，IEC 與國(guó)際自動(dòng)化協(xié)會(huì) ISA 共同發(fā)布的 IEC 62443 標(biāo)準(zhǔn)成為工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的事實(shí)國(guó)際標(biāo)準(zhǔn)，在全球各國(guó)各行業(yè)中得到廣泛應(yīng)用。

　　2.5　美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所 NIST

　　基于最佳實(shí)踐和安全控制來(lái)發(fā)布標(biāo)準(zhǔn)以幫助制造企業(yè)滿足法規(guī)遵從的需求是 NIST 的重要職責(zé)之一?，F(xiàn)有的 NIST 800-53、NIST 800-82 和 NIST《網(wǎng)絡(luò)安全框架》（NIST Cybersecurity Framework） 等國(guó)際標(biāo)準(zhǔn)已經(jīng)被應(yīng)用于工業(yè)互聯(lián)網(wǎng)的安全防護(hù)。

　　作為 NIST《網(wǎng)絡(luò)安全框架》的擴(kuò)展，NIST于 2020 年發(fā)布了 NIST《隱私安全框架》（NIST Privacy Framework）。圍繞物聯(lián)網(wǎng)領(lǐng)域網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制定，NIST 參與了由美國(guó)國(guó)家安全委員會(huì)的網(wǎng)絡(luò)跨部門政策委員會(huì)牽頭組建的物聯(lián)網(wǎng)工作小組，并于 2015 年參與組建了機(jī)構(gòu)間國(guó)際網(wǎng)絡(luò)安全標(biāo)準(zhǔn)工作組（IICS WG）。隨后，在 NIST 的指導(dǎo)下，該工作組發(fā)布了一系列報(bào)告及指南等。例如， 2018 年發(fā)布了關(guān)于物聯(lián)網(wǎng)網(wǎng)絡(luò)安全國(guó)際標(biāo)準(zhǔn)的機(jī)構(gòu)間報(bào)告 NISTIR 8200；2019 年發(fā)布了 NISTIR 8228《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全和隱私風(fēng)險(xiǎn)管理的注意事項(xiàng)》[11]；NIST 隨后基于 NISTIR 8228 發(fā)布了兩份針對(duì)物聯(lián)網(wǎng)設(shè)備生產(chǎn)廠商的報(bào)告和NISTIR 8259系列報(bào)告。此外，NIST 的國(guó)家網(wǎng)絡(luò)安全卓越中心在 2021 年 4 月發(fā)布了 SP 1800-32《保護(hù)工業(yè)物聯(lián)網(wǎng)——分布式能源的網(wǎng)絡(luò)安全》。

　　2.6　工業(yè)互聯(lián)網(wǎng)聯(lián)盟IIC

　　IIC 成立于 2014 年 3 月，旨在通過(guò)識(shí)別、組合、測(cè)試和推廣最佳實(shí)踐，加速發(fā)展工業(yè)互聯(lián)網(wǎng)發(fā)展所需的各項(xiàng)技術(shù)。IIC 在安全領(lǐng)域有13 個(gè)工作組。從 2016 年開(kāi)始至今，IIC 圍繞工業(yè)互聯(lián)網(wǎng)共出版了 4 份報(bào)告?！豆I(yè)互聯(lián)網(wǎng)G1：參考體系架構(gòu)》（IIRA）中定義了可信工業(yè)互聯(lián)網(wǎng)的 5 個(gè)特征：安全（Safety）、防衛(wèi)（Security）、可靠（Reliability）、彈性（Resilience） 和隱私（Privacy）?！豆I(yè)互聯(lián)網(wǎng) G4：安全框架》（IISF）提出了一個(gè)跨行業(yè)的工業(yè)互聯(lián)網(wǎng)安全框架。基于 IISF，IIC 提出了物聯(lián)網(wǎng)安全成熟度模型（IoT Security Maturity Model， IoT SMM）。IIC 同時(shí)發(fā)布《物聯(lián)網(wǎng)安全成熟度模型：從業(yè)者指南》并開(kāi)展定期課程，便于物聯(lián)網(wǎng)提供商明確自己所處的安全等級(jí)以及如何進(jìn)行恰當(dāng)?shù)耐顿Y以滿足自身在物聯(lián)網(wǎng)安全等級(jí)方面的需求 。

　　03

　　工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全國(guó)際標(biāo)準(zhǔn)分析

　　工業(yè)互聯(lián)網(wǎng)是新一代信息技術(shù)和制造業(yè)的深度融合，具有橫向技術(shù)覆蓋范圍廣、垂直應(yīng)用行業(yè)多的特點(diǎn)。工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)化工作圍繞工業(yè)互聯(lián)網(wǎng)各安全防護(hù)對(duì)象，涵蓋了工業(yè)互聯(lián)網(wǎng)設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全及安全管理 6 個(gè)方面的內(nèi)容。因此，在制造業(yè)領(lǐng)域常見(jiàn)的做法是通過(guò)多種技術(shù)標(biāo)準(zhǔn)的混合實(shí)施，使工業(yè)互聯(lián)網(wǎng)能夠達(dá)到某一安全等級(jí)。表 1 中列舉了網(wǎng)絡(luò)/ 信息安全框架、5G 安全、物聯(lián)網(wǎng)安全和工業(yè)互聯(lián)網(wǎng)安全等部分領(lǐng)域的國(guó)際標(biāo)準(zhǔn)。

　　表 1   部分工業(yè)互聯(lián)網(wǎng)安全相關(guān)國(guó)際標(biāo)準(zhǔn)

　　3.1　支持現(xiàn)有標(biāo)準(zhǔn)共存且兼容

　　不同國(guó)際標(biāo)準(zhǔn)機(jī)構(gòu)發(fā)布的安全標(biāo)準(zhǔn)既相互兼容又互為補(bǔ)充。在信息 / 網(wǎng)絡(luò)安全框架領(lǐng)域， ISO 27001 可以被認(rèn)為是 NIST 800-53 的子集， 其關(guān)于安全控制的 14 個(gè)分類被分散表述于 NIST 800-53 安全控制的 20 個(gè)章節(jié) [17]。同樣，NIST 的網(wǎng)絡(luò)安全框架也可以被看作 NIST 800-53B 的子集，但它也包含了 ISO 27002 中關(guān)于安全控制的部分內(nèi)容。在隱私保護(hù)領(lǐng)域，ISO/IEC 27701《隱私信息管理體系標(biāo)準(zhǔn)》與 NIST《隱私保護(hù)框架》在隱私識(shí)別、隱私治理、隱私控制和隱私保護(hù)等方面同樣相互兼容。ISO/IEC 27701《隱私信息管理體系》標(biāo)準(zhǔn)映射了 ISO/IEC 29100、ISO/ IEC 27018 和 ISO/IEC 29151 系列標(biāo)準(zhǔn)。在工業(yè)控制系統(tǒng)安全領(lǐng)域，ETSI OneM2M 兼容了 NIST 1108、NIST 800-82 Rev 2、NIST 800-53 Rev 5 和IISF 標(biāo)準(zhǔn)，其服務(wù)層的標(biāo)準(zhǔn)規(guī)范同樣也能被應(yīng)用于 NIST CSF 保護(hù)工業(yè)控制系統(tǒng)信息和系統(tǒng)完整項(xiàng)目。此外，ETSI OneM2M 也能填補(bǔ) IEC 62443 標(biāo)準(zhǔn)中的部分技術(shù)空白。

　　3.2　重視構(gòu)建安全分類等級(jí)

　　鑒于企業(yè)規(guī)模、目標(biāo)市場(chǎng)和客戶群、資金和技術(shù)能力等都存在較大差異，不同企業(yè)對(duì)工業(yè)互聯(lián)網(wǎng)安全等級(jí)的需求也不盡一致?，F(xiàn)有的國(guó)際標(biāo)準(zhǔn)充分考慮了這類需求差異，通過(guò)開(kāi)展分級(jí)管理保證不同企業(yè)都能達(dá)到自身安全等級(jí)需求。NIST 采用了基線控制選擇方法（Baseline Control Selection Approach）， 在 NIST 800-53B 中定義了三級(jí)基線：低基線、中基線和高基線， 有助于企業(yè)選擇并組合安全需求 。ISO 27002 中共定義了 114 個(gè)安全控制與 ISO27001 相對(duì)應(yīng)， 企業(yè)在進(jìn)行風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上對(duì)安全控制進(jìn)行組合以滿足安全分類需求。按照安全等級(jí)由強(qiáng)到弱來(lái)分，可以完成如下排序：SCF，NIST 800- 53B 高基線，ISO 27001，NIST 800-53B 中基線，NIST 800-53B 低基線，NIST CSF。可以認(rèn)為， NIST CSF 更能幫助中小型企業(yè)構(gòu)建安全管理框架， 而 ISO 27001/ISO 27002 和 NIST 800-53 更適合大型企業(yè)或具有特殊法律遵從要求的企業(yè)。NIST 隱私保護(hù)框架則“可以幫助任何規(guī)模和任何身份的機(jī)構(gòu)管理隱私風(fēng)險(xiǎn)，并且遵從和適用于任何技術(shù)、任何行業(yè)、任何法律、任何法域”。IIC IoT SMM 通過(guò)嚴(yán)格的評(píng)價(jià)流程來(lái)幫助企業(yè)明確對(duì)物聯(lián)網(wǎng)安全成熟度的需求。IIC IoT SMM 將物聯(lián)網(wǎng)安全需求由粗到細(xì)劃分為域、子域和實(shí)踐三個(gè)層級(jí)，并從全面性（深度的衡量，級(jí)別越高表示流程或技術(shù)的成熟度越高）和范圍（識(shí)別通用、特定行業(yè)和特定的系統(tǒng)需求）兩個(gè)維度衡量物聯(lián)網(wǎng)在每個(gè)域、子域和實(shí)踐中的表現(xiàn)。因此，IIC IoT SMM 可以根據(jù)所在行業(yè)、目標(biāo)需求、應(yīng)用場(chǎng)景精確定制安全模型。

　　3.3　安全標(biāo)準(zhǔn)體系日趨完備

　　新一代信息通信技術(shù)在工業(yè)互聯(lián)網(wǎng)中的應(yīng)用要求建立一套完善的安全標(biāo)準(zhǔn)體系應(yīng)對(duì)不同技術(shù)應(yīng)用所帶來(lái)的安全威脅。總體來(lái)看，目前各標(biāo)準(zhǔn)制定主體在建立工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系時(shí)采用以政策引導(dǎo)、以標(biāo)準(zhǔn)規(guī)范、以指南示范、以實(shí)踐示例的方式實(shí)現(xiàn)層級(jí)架構(gòu)。

　　ISO/IEC 27000 系列含有一整套信息安全標(biāo)準(zhǔn)，包括術(shù)語(yǔ)標(biāo)準(zhǔn)、需求標(biāo)準(zhǔn)、指南標(biāo)準(zhǔn)和與控制相關(guān)的指南標(biāo)準(zhǔn)，涉及了系統(tǒng)框架、隱私保護(hù)、物聯(lián)網(wǎng)安全、云計(jì)算安全、人工智能安全、信息安全治理、審核和認(rèn)證機(jī)構(gòu)要求等諸多方面，為信息安全管理系統(tǒng)的實(shí)施提供全方位的指導(dǎo)。這一系列標(biāo)準(zhǔn)還在不斷被更新或者擴(kuò)展以適應(yīng)新的需要。例如，ISO/IEC 27701:2019《安全技術(shù)》對(duì) ISO/IEC 27001 和 ISO/IEC 27002 在隱私管理領(lǐng)域進(jìn)行了擴(kuò)展。在上述標(biāo)準(zhǔn)的基礎(chǔ)上，ISO/IEC 27006-2:2021《對(duì)提供信息安全管理系統(tǒng)審計(jì)和認(rèn)證機(jī)構(gòu)的要求——第 2 部分：隱私信息管理系統(tǒng)》提供了信息安全管理系統(tǒng)審核和認(rèn)證的機(jī)構(gòu)規(guī)范要求。

　　NIST 800 系列包含了與計(jì)算機(jī)安全、網(wǎng)絡(luò)安全和信息安全相關(guān)的 200 余部標(biāo)準(zhǔn)、指南和參考模型等，NIST 1800 系列標(biāo)準(zhǔn)發(fā)布的一系列實(shí)踐指南用以保障相關(guān)安全標(biāo)準(zhǔn)的實(shí)施。在NIST 800-53 rev 5 的基礎(chǔ)上，NIST 800-53B 建立安全控制和隱私控制的基線，NIST 800-37 為安全控制的選擇提供指導(dǎo)。NIST 8259 系列報(bào)告（共 5 份）針對(duì)物聯(lián)網(wǎng)設(shè)備生產(chǎn)商定義了基本安全行為（NIST 8259）、保障物聯(lián)網(wǎng)設(shè)備安全的技術(shù)和非技術(shù)核心基線（NIST 8259A 和 NIST8259B）、基于核心基線的物聯(lián)網(wǎng)設(shè)備安全能力識(shí)別流程和如何與現(xiàn)有系統(tǒng)或其他標(biāo)準(zhǔn)相兼容（NIST 8259C） 和流程應(yīng)用案例分析（NIST 8259D）。

　　04

　　結(jié)　語(yǔ)

　　數(shù)字經(jīng)濟(jì)時(shí)代，工業(yè)互聯(lián)網(wǎng)面臨的網(wǎng)絡(luò)安全威脅日益增多，制定相應(yīng)安全標(biāo)準(zhǔn)以增強(qiáng)工業(yè)互聯(lián)網(wǎng)的安全防衛(wèi)能力成為工作重點(diǎn)。本文總結(jié)了當(dāng)前工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域主要國(guó)際標(biāo)準(zhǔn)制定主體在標(biāo)準(zhǔn)制定工作中的進(jìn)展，分析了其在標(biāo)準(zhǔn)兼容及擴(kuò)展、構(gòu)建分級(jí)安全標(biāo)準(zhǔn)和建設(shè)安全標(biāo)準(zhǔn)體系的現(xiàn)狀，同時(shí)對(duì)我國(guó)工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的現(xiàn)狀進(jìn)行了簡(jiǎn)要總結(jié)，以期對(duì)我國(guó)制定工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)工作的開(kāi)展有所啟示。