摘　要：

　　工業(yè)互聯(lián)網(wǎng)對助力我國數(shù)字經(jīng)濟發(fā)展、推進數(shù)字經(jīng)濟與實體經(jīng)濟的融合具有重要意義。在利用工業(yè)互聯(lián)網(wǎng)在實現(xiàn)人、機、物、系統(tǒng)等的全面連接、打造全新制造和服務(wù)體系的同時， 也產(chǎn)生了暴露于復(fù)雜的網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)風(fēng)險問題。標(biāo)準(zhǔn)化工作是實現(xiàn)工業(yè)互聯(lián)網(wǎng)的重要技術(shù)基礎(chǔ)。目前，我國工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)制定和體系建設(shè)存在一定空白，在明確工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅源頭的基礎(chǔ)上，簡要梳理了現(xiàn)有的工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全國際標(biāo)準(zhǔn)，在兼容性、構(gòu)建安全分類等級以及建設(shè)安全標(biāo)準(zhǔn)體系上的現(xiàn)狀，以期對我國工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的制定工作提供一些參考。

　　2020 年我國數(shù)字經(jīng)濟規(guī)模近 5.4 萬億美元， 位居世界第二，其中，工業(yè)互聯(lián)網(wǎng)對數(shù)字經(jīng)濟增長的貢獻超過 16%，已經(jīng)成為數(shù)字經(jīng)濟發(fā)展的重要引擎。工業(yè)互聯(lián)網(wǎng)以全要素、全產(chǎn)業(yè)鏈和全價值鏈的全面連接，成為助推數(shù)字經(jīng)濟高質(zhì)量發(fā)展的關(guān)鍵。隨著各國在數(shù)字經(jīng)濟領(lǐng)域戰(zhàn)略競爭的不斷深入，開展工業(yè)互聯(lián)網(wǎng)相關(guān)前沿技術(shù)研發(fā)、布局工業(yè)互聯(lián)網(wǎng)已成為各國在這一競賽中取得領(lǐng)先優(yōu)勢的關(guān)鍵點。工業(yè)互聯(lián)網(wǎng)安全對保障數(shù)字經(jīng)濟安全有重要意義。工業(yè)互聯(lián)網(wǎng)發(fā)展依賴于 5G、邊緣計算、人工智能、物聯(lián)網(wǎng)等新一代信息通信技術(shù)，隨著上述技術(shù)在工業(yè)控制系統(tǒng)中的廣泛應(yīng)用，網(wǎng)絡(luò)安全和生產(chǎn)安全相互交織，工業(yè)互聯(lián)網(wǎng)安全與國家安全密切相關(guān)。

　　標(biāo)準(zhǔn)化工作是實現(xiàn)工業(yè)互聯(lián)網(wǎng)的重要技術(shù)基礎(chǔ) 。我國一直積極參與各項信息網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的制定。2021 年 3 月，中國信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所主導(dǎo)制定的首例工業(yè)互聯(lián)網(wǎng)國際標(biāo)準(zhǔn)——ITU-T Y.2623《工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)技術(shù)要求與架構(gòu)（基于分組數(shù)據(jù)網(wǎng)演進）》在國際電信聯(lián)盟標(biāo)準(zhǔn)分局大會上通過。盡管如此，我國在工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域國家標(biāo)準(zhǔn)制定工作稍顯滯后，圍繞網(wǎng)絡(luò)安全、平臺安全、數(shù)據(jù)安全，特別是設(shè)備安全、應(yīng)用安全制定工作仍需大力推進 [1-2]。工業(yè)互聯(lián)網(wǎng)標(biāo)準(zhǔn)具有跨行業(yè)、跨專業(yè)、跨領(lǐng)域的特點。

　　本文從工業(yè)互聯(lián)網(wǎng)面臨的網(wǎng)絡(luò)安全成因入手，簡要分析了相關(guān)領(lǐng)域國際工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)制定現(xiàn)狀，以助力于我國制定工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)和建設(shè)安全標(biāo)準(zhǔn)體系。

　　01

　　工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅

　　綜合來看，工業(yè)互聯(lián)網(wǎng)面臨的安全威脅主要基于以下 3 方面原因：

　　第一，工業(yè)互聯(lián)網(wǎng)面臨著信息技術(shù)（Information Technology，IT）和運營技術(shù)（Operational Technology，OT）融合帶來的多重威脅。工業(yè)互聯(lián)網(wǎng)不僅需要應(yīng)對傳統(tǒng) IT 環(huán)境面臨的各種安全風(fēng)險，更受到IT 與 OT 融合帶來的全新安全挑戰(zhàn)。傳統(tǒng)工業(yè)控制系統(tǒng)（Industrial Control System，ICS）是重功能、輕安全，獨立于企業(yè) IT 基礎(chǔ)設(shè)施和各類信息系統(tǒng)[3]。隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，ICS 系統(tǒng)之間、 ICS 系統(tǒng)與 IT 設(shè)施之間高度互聯(lián)，使得 ICS 系統(tǒng)暴露在全球網(wǎng)絡(luò)環(huán)境中，對工業(yè)智能設(shè)備、工業(yè)控制軟件和控制協(xié)議等帶來嚴(yán)峻的安全挑戰(zhàn)。

　　第二，工業(yè)互聯(lián)網(wǎng)通信威脅。網(wǎng)絡(luò)是工業(yè)互聯(lián)網(wǎng)的基礎(chǔ)。以 5G、Wi-Fi 6 和時間敏感網(wǎng)絡(luò)（Time Scalar Network，TSN）為代表的新一代信息通信技術(shù)，通過高吞吐量和低延遲保障工業(yè)互聯(lián)網(wǎng)中機器對機器（Machine-to-Machine，M2M） 的通信，確保系統(tǒng)的實時性和業(yè)務(wù)的連續(xù)性 [4]。2021 年，我國工信部發(fā)布的《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動計劃（2021—2023 年）》中提出，要持續(xù)深化“5G+ 工業(yè)互聯(lián)網(wǎng)”融合應(yīng)用。通信網(wǎng)絡(luò)位于抵御安全威脅的第一線，提升 5G 網(wǎng)絡(luò)安全保障能力水平對工業(yè)互聯(lián)網(wǎng)安全意義重大。

　　第三，工業(yè)大數(shù)據(jù)安全。一方面，工業(yè)大數(shù)據(jù)中包含了大量消費者個人隱私，協(xié)同制造倡導(dǎo)的個性化定制、服務(wù)化轉(zhuǎn)型也涉及大量用戶隱私，這些隱私信息極易被泄露；另一方面， 關(guān)鍵工業(yè)數(shù)據(jù)是我國重要的戰(zhàn)略資源，一旦被竊取將直接威脅國家安全 。

　　02

　　國際工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制定主體

　　當(dāng)前，已有相當(dāng)多的標(biāo)準(zhǔn)組織、行業(yè)聯(lián)盟等參與工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)制定工作，在此無法一一列舉，本節(jié)僅選取其中部分標(biāo)準(zhǔn)制定主體進行簡要介紹。

　　2.1　第三代合作伙伴計劃 3GPP

　　3GPP 成立于 1998 年 12 月，其成員伙伴包括了來自中國、美國、歐洲、韓國、日本和印度的 6 個國家的 7 個通信標(biāo)準(zhǔn)化組織，其中， 日本有兩個通信標(biāo)準(zhǔn)化組織參與，分別為日本無線工業(yè)及商貿(mào)聯(lián)合會（ARIB）和日本電信技術(shù)委員會（TTC）。隨后，成員數(shù)量迅速增加， 各大網(wǎng)絡(luò)通信企業(yè)也參與其中。

　　1999 年至今，3GPP 共發(fā)布 13 版 5G 標(biāo)準(zhǔn)。其最新的 R16 標(biāo)準(zhǔn)于 2020 年被國際電信聯(lián)盟認(rèn)定為全球 5G 標(biāo)準(zhǔn)。在其早前的 R15 標(biāo)準(zhǔn)中，支持了國際電信聯(lián)盟定義的5G 網(wǎng)絡(luò)的三大應(yīng)用場景：移 動 增 強 帶 寬（enhanced Mobile Broadband， eMBB）、大規(guī)模機器通信（massive Machine Type of Communication，mMTC）和超可靠低延遲通信（ultra Reliable Low Latency Communication，uRLLC）， 其中uRLLC 是 5G 在工業(yè)領(lǐng)域發(fā)揮重要作用的助推器，R16 更加側(cè)重于 uRLLC 性能指標(biāo)并提升了對工業(yè)互聯(lián)網(wǎng)的功能支持。下一版 R17 預(yù)計將于2022 年 3 月發(fā)布。

　　3GPP 在 5G 安全和隱私方面的技術(shù)規(guī)范和工作報告由 SA WG3 小組負(fù)責(zé)，并于 2015 年發(fā)布了第一版 R15 TS 33.501《5G 系統(tǒng)安全架構(gòu)和過程》。截至 2021 年，該小組共發(fā)布了 13 份5G 安全保證相關(guān)技術(shù)規(guī)范和 11 份 5G 網(wǎng)絡(luò)安全研究和技術(shù)報告。

　　2.2　歐洲電信標(biāo)準(zhǔn)化協(xié)會ETSI

　　歐洲電信標(biāo)準(zhǔn)化協(xié)會是歐盟三大標(biāo)準(zhǔn)組織之一，其下的網(wǎng)絡(luò)功能虛擬化安全工作組（NFVSEC）、網(wǎng)絡(luò)安全技術(shù)委員會（TC CYBER）、智能交通系統(tǒng)技術(shù)委員會（TC ITS）、工業(yè)規(guī)范之安全人工智能小組（ISG SAI）、安全算法專家組（SAGE）均開展了與工業(yè)互聯(lián)網(wǎng)相關(guān)的安全標(biāo)準(zhǔn)和規(guī)范的制定。

　　ETSI 在工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域的另一重要貢獻是其聯(lián)合來自美國、中國、韓國、日本和印度 8 個通信標(biāo)準(zhǔn)化組織共同發(fā)起的 oneM2M 項目，旨在制定物聯(lián)網(wǎng)領(lǐng)域的全球技術(shù)規(guī)范，其中日本和美國分別有兩個通信標(biāo)準(zhǔn)化組織參與。項目的核心思想是實現(xiàn)統(tǒng)一的安全數(shù)據(jù)共享、應(yīng)用程序、互操作性、可擴展性以及連接海量M2M 設(shè)備以支持工業(yè)互聯(lián)網(wǎng)。截至 2021 年，該項目通過 5 份公開文件來發(fā)布每一階段的技術(shù)規(guī)范、技術(shù)報告和工作任務(wù)。oneM2M 的安全框架由 5 大核心單元構(gòu)成：

　　（1）注冊：通過遠(yuǎn)程引導(dǎo)為物聯(lián)網(wǎng)設(shè)備和應(yīng)用提供數(shù)字身份和證書，使其獲得系統(tǒng)的信任并被安全接入。

　?。?）建立設(shè)備間安全聯(lián)系：物聯(lián)網(wǎng)設(shè)備在oneM2M 服務(wù)層通過密鑰對建立安全聯(lián)系。

　?。?）授權(quán)：為設(shè)備在使用服務(wù)層中的服務(wù)和信息時，提供了多種授權(quán)方式。

　　（4）端到端安全：規(guī)范物聯(lián)網(wǎng)中源端點到目標(biāo)端點之間的端到端安全通信。

　　（5）隱私管理：定義用戶數(shù)據(jù)管理框架并基于這一框架實現(xiàn)隱私管理。

　　2.3　電氣電子工程師學(xué)會IEEE

　　作為全球最大的專業(yè)技術(shù)組織，IEEE 在通信技術(shù)、信息技術(shù)和信息安全領(lǐng)域發(fā)布了諸多國際標(biāo)準(zhǔn)，并被廣泛應(yīng)用于工業(yè)互聯(lián)網(wǎng)安全的各個層面。該組織成立了 IEEE 物聯(lián)網(wǎng)倡議 [IEEE Internet of Things（IoT）Initiative]， 并著手制定物聯(lián)網(wǎng)領(lǐng)域相關(guān)標(biāo)準(zhǔn)。例如，IEEE P2413-2019 標(biāo)準(zhǔn)規(guī)范了物聯(lián)網(wǎng)體系框架，涵蓋了對物聯(lián)網(wǎng)領(lǐng)域抽象的定義、各物聯(lián)網(wǎng)應(yīng)用領(lǐng)域的描述以及如何在不同物聯(lián)網(wǎng)領(lǐng)域之間識別共性。IEEE 1451-99 標(biāo)準(zhǔn)致力于在物聯(lián)網(wǎng)（IoT）設(shè)備和系統(tǒng)間進行協(xié)調(diào)。IEEE P1912 為消費者定義了無線設(shè)備隱私和安全架構(gòu)標(biāo)準(zhǔn)。此外，IEEE 802.11 無線局域網(wǎng)工作組通過制定新標(biāo)準(zhǔn)以及修訂已有標(biāo)準(zhǔn)來支持工業(yè)互聯(lián)網(wǎng)中的無線網(wǎng)絡(luò)接入等。

　　與此同時，IEEE 也通過加強與其他技術(shù)組織的合作，構(gòu)建應(yīng)用于工業(yè)互聯(lián)網(wǎng)的各項標(biāo)準(zhǔn)。2018 年 5 月，IEC 和 IEEE 802 工作組聯(lián)合發(fā)布了 IEC/IEEE 60802 標(biāo)準(zhǔn)，定義了時間敏感網(wǎng)絡(luò)標(biāo)準(zhǔn)，以更好滿足工業(yè)自動化的需要。

　　2.4　IEC/ISO 技術(shù)聯(lián)合委員會 ISO/IEC JTC 1

　　IEC 和 ISO 在標(biāo)準(zhǔn)化領(lǐng)域開展了廣泛的合作。1987 年，ISO/IEC JTC 1 開始了信息和通信技術(shù)領(lǐng)域的國際標(biāo)準(zhǔn)制定工作。JTC1/SC 27 分技術(shù)委員會成立于 1989 年，主要負(fù)責(zé)信息安全、網(wǎng)絡(luò)安全和隱私保護領(lǐng)域的安全標(biāo)準(zhǔn)制定。迄今為止，該委員會共發(fā)布了 212 份安全標(biāo)準(zhǔn)，78 項標(biāo)準(zhǔn)正在制定中，其中影響力較大的是 ISO/ IEC 27000 系列安全標(biāo)準(zhǔn) 。JTC1/SC 42 分技術(shù)委員會成立于 2017 年，負(fù)責(zé)人工智能領(lǐng)域的標(biāo)準(zhǔn)化工作， 其 ISO/IEC TR 24028：2020 對人工智能可信度進行了全面概述。JTC 1/SC 41 物聯(lián)網(wǎng)和數(shù)字孿生分技術(shù)委員會同樣成立于 2017 年， 迄今為止制定了共 30 項標(biāo)準(zhǔn)。其工作組 WG3 和WG4 共同著手開展物聯(lián)網(wǎng)領(lǐng)域的標(biāo)準(zhǔn)化工作，其中 ISO/IEC TR 30166：2020 針對工業(yè)物聯(lián)網(wǎng)（IIoT）詳細(xì)闡述了其系統(tǒng)特征、應(yīng)用技術(shù)、系統(tǒng)架構(gòu)，并對工業(yè)互聯(lián)網(wǎng)未來標(biāo)準(zhǔn)化的前景進行了展望。

　　除了與 ISO 開展合作，IEC 與國際自動化協(xié)會 ISA 共同發(fā)布的 IEC 62443 標(biāo)準(zhǔn)成為工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的事實國際標(biāo)準(zhǔn)，在全球各國各行業(yè)中得到廣泛應(yīng)用。

　　2.5　美國國家標(biāo)準(zhǔn)技術(shù)研究所 NIST

　　基于最佳實踐和安全控制來發(fā)布標(biāo)準(zhǔn)以幫助制造企業(yè)滿足法規(guī)遵從的需求是 NIST 的重要職責(zé)之一?，F(xiàn)有的 NIST 800-53、NIST 800-82 和 NIST《網(wǎng)絡(luò)安全框架》（NIST Cybersecurity Framework） 等國際標(biāo)準(zhǔn)已經(jīng)被應(yīng)用于工業(yè)互聯(lián)網(wǎng)的安全防護。

　　作為 NIST《網(wǎng)絡(luò)安全框架》的擴展，NIST于 2020 年發(fā)布了 NIST《隱私安全框架》（NIST Privacy Framework）。圍繞物聯(lián)網(wǎng)領(lǐng)域網(wǎng)絡(luò)安全標(biāo)準(zhǔn)制定，NIST 參與了由美國國家安全委員會的網(wǎng)絡(luò)跨部門政策委員會牽頭組建的物聯(lián)網(wǎng)工作小組，并于 2015 年參與組建了機構(gòu)間國際網(wǎng)絡(luò)安全標(biāo)準(zhǔn)工作組（IICS WG）。隨后，在 NIST 的指導(dǎo)下，該工作組發(fā)布了一系列報告及指南等。例如， 2018 年發(fā)布了關(guān)于物聯(lián)網(wǎng)網(wǎng)絡(luò)安全國際標(biāo)準(zhǔn)的機構(gòu)間報告 NISTIR 8200；2019 年發(fā)布了 NISTIR 8228《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全和隱私風(fēng)險管理的注意事項》[11]；NIST 隨后基于 NISTIR 8228 發(fā)布了兩份針對物聯(lián)網(wǎng)設(shè)備生產(chǎn)廠商的報告和NISTIR 8259系列報告。此外，NIST 的國家網(wǎng)絡(luò)安全卓越中心在 2021 年 4 月發(fā)布了 SP 1800-32《保護工業(yè)物聯(lián)網(wǎng)——分布式能源的網(wǎng)絡(luò)安全》。

　　2.6　工業(yè)互聯(lián)網(wǎng)聯(lián)盟IIC

　　IIC 成立于 2014 年 3 月，旨在通過識別、組合、測試和推廣最佳實踐，加速發(fā)展工業(yè)互聯(lián)網(wǎng)發(fā)展所需的各項技術(shù)。IIC 在安全領(lǐng)域有13 個工作組。從 2016 年開始至今，IIC 圍繞工業(yè)互聯(lián)網(wǎng)共出版了 4 份報告?！豆I(yè)互聯(lián)網(wǎng)G1：參考體系架構(gòu)》（IIRA）中定義了可信工業(yè)互聯(lián)網(wǎng)的 5 個特征：安全（Safety）、防衛(wèi)（Security）、可靠（Reliability）、彈性（Resilience） 和隱私（Privacy）?！豆I(yè)互聯(lián)網(wǎng) G4：安全框架》（IISF）提出了一個跨行業(yè)的工業(yè)互聯(lián)網(wǎng)安全框架?；?IISF，IIC 提出了物聯(lián)網(wǎng)安全成熟度模型（IoT Security Maturity Model， IoT SMM）。IIC 同時發(fā)布《物聯(lián)網(wǎng)安全成熟度模型：從業(yè)者指南》并開展定期課程，便于物聯(lián)網(wǎng)提供商明確自己所處的安全等級以及如何進行恰當(dāng)?shù)耐顿Y以滿足自身在物聯(lián)網(wǎng)安全等級方面的需求 。

　　03

　　工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全國際標(biāo)準(zhǔn)分析

　　工業(yè)互聯(lián)網(wǎng)是新一代信息技術(shù)和制造業(yè)的深度融合，具有橫向技術(shù)覆蓋范圍廣、垂直應(yīng)用行業(yè)多的特點。工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)化工作圍繞工業(yè)互聯(lián)網(wǎng)各安全防護對象，涵蓋了工業(yè)互聯(lián)網(wǎng)設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全及安全管理 6 個方面的內(nèi)容。因此，在制造業(yè)領(lǐng)域常見的做法是通過多種技術(shù)標(biāo)準(zhǔn)的混合實施，使工業(yè)互聯(lián)網(wǎng)能夠達到某一安全等級。表 1 中列舉了網(wǎng)絡(luò)/ 信息安全框架、5G 安全、物聯(lián)網(wǎng)安全和工業(yè)互聯(lián)網(wǎng)安全等部分領(lǐng)域的國際標(biāo)準(zhǔn)。

　　表 1   部分工業(yè)互聯(lián)網(wǎng)安全相關(guān)國際標(biāo)準(zhǔn)

　　3.1　支持現(xiàn)有標(biāo)準(zhǔn)共存且兼容

　　不同國際標(biāo)準(zhǔn)機構(gòu)發(fā)布的安全標(biāo)準(zhǔn)既相互兼容又互為補充。在信息 / 網(wǎng)絡(luò)安全框架領(lǐng)域， ISO 27001 可以被認(rèn)為是 NIST 800-53 的子集， 其關(guān)于安全控制的 14 個分類被分散表述于 NIST 800-53 安全控制的 20 個章節(jié) [17]。同樣，NIST 的網(wǎng)絡(luò)安全框架也可以被看作 NIST 800-53B 的子集，但它也包含了 ISO 27002 中關(guān)于安全控制的部分內(nèi)容。在隱私保護領(lǐng)域，ISO/IEC 27701《隱私信息管理體系標(biāo)準(zhǔn)》與 NIST《隱私保護框架》在隱私識別、隱私治理、隱私控制和隱私保護等方面同樣相互兼容。ISO/IEC 27701《隱私信息管理體系》標(biāo)準(zhǔn)映射了 ISO/IEC 29100、ISO/ IEC 27018 和 ISO/IEC 29151 系列標(biāo)準(zhǔn)。在工業(yè)控制系統(tǒng)安全領(lǐng)域，ETSI OneM2M 兼容了 NIST 1108、NIST 800-82 Rev 2、NIST 800-53 Rev 5 和IISF 標(biāo)準(zhǔn)，其服務(wù)層的標(biāo)準(zhǔn)規(guī)范同樣也能被應(yīng)用于 NIST CSF 保護工業(yè)控制系統(tǒng)信息和系統(tǒng)完整項目。此外，ETSI OneM2M 也能填補 IEC 62443 標(biāo)準(zhǔn)中的部分技術(shù)空白。

　　3.2　重視構(gòu)建安全分類等級

　　鑒于企業(yè)規(guī)模、目標(biāo)市場和客戶群、資金和技術(shù)能力等都存在較大差異，不同企業(yè)對工業(yè)互聯(lián)網(wǎng)安全等級的需求也不盡一致?，F(xiàn)有的國際標(biāo)準(zhǔn)充分考慮了這類需求差異，通過開展分級管理保證不同企業(yè)都能達到自身安全等級需求。NIST 采用了基線控制選擇方法（Baseline Control Selection Approach）， 在 NIST 800-53B 中定義了三級基線：低基線、中基線和高基線， 有助于企業(yè)選擇并組合安全需求 。ISO 27002 中共定義了 114 個安全控制與 ISO27001 相對應(yīng)， 企業(yè)在進行風(fēng)險評估的基礎(chǔ)上對安全控制進行組合以滿足安全分類需求。按照安全等級由強到弱來分，可以完成如下排序：SCF，NIST 800- 53B 高基線，ISO 27001，NIST 800-53B 中基線，NIST 800-53B 低基線，NIST CSF?？梢哉J(rèn)為， NIST CSF 更能幫助中小型企業(yè)構(gòu)建安全管理框架， 而 ISO 27001/ISO 27002 和 NIST 800-53 更適合大型企業(yè)或具有特殊法律遵從要求的企業(yè)。NIST 隱私保護框架則“可以幫助任何規(guī)模和任何身份的機構(gòu)管理隱私風(fēng)險，并且遵從和適用于任何技術(shù)、任何行業(yè)、任何法律、任何法域”。IIC IoT SMM 通過嚴(yán)格的評價流程來幫助企業(yè)明確對物聯(lián)網(wǎng)安全成熟度的需求。IIC IoT SMM 將物聯(lián)網(wǎng)安全需求由粗到細(xì)劃分為域、子域和實踐三個層級，并從全面性（深度的衡量，級別越高表示流程或技術(shù)的成熟度越高）和范圍（識別通用、特定行業(yè)和特定的系統(tǒng)需求）兩個維度衡量物聯(lián)網(wǎng)在每個域、子域和實踐中的表現(xiàn)。因此，IIC IoT SMM 可以根據(jù)所在行業(yè)、目標(biāo)需求、應(yīng)用場景精確定制安全模型。

　　3.3　安全標(biāo)準(zhǔn)體系日趨完備

　　新一代信息通信技術(shù)在工業(yè)互聯(lián)網(wǎng)中的應(yīng)用要求建立一套完善的安全標(biāo)準(zhǔn)體系應(yīng)對不同技術(shù)應(yīng)用所帶來的安全威脅?？傮w來看，目前各標(biāo)準(zhǔn)制定主體在建立工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系時采用以政策引導(dǎo)、以標(biāo)準(zhǔn)規(guī)范、以指南示范、以實踐示例的方式實現(xiàn)層級架構(gòu)。

　　ISO/IEC 27000 系列含有一整套信息安全標(biāo)準(zhǔn)，包括術(shù)語標(biāo)準(zhǔn)、需求標(biāo)準(zhǔn)、指南標(biāo)準(zhǔn)和與控制相關(guān)的指南標(biāo)準(zhǔn)，涉及了系統(tǒng)框架、隱私保護、物聯(lián)網(wǎng)安全、云計算安全、人工智能安全、信息安全治理、審核和認(rèn)證機構(gòu)要求等諸多方面，為信息安全管理系統(tǒng)的實施提供全方位的指導(dǎo)。這一系列標(biāo)準(zhǔn)還在不斷被更新或者擴展以適應(yīng)新的需要。例如，ISO/IEC 27701:2019《安全技術(shù)》對 ISO/IEC 27001 和 ISO/IEC 27002 在隱私管理領(lǐng)域進行了擴展。在上述標(biāo)準(zhǔn)的基礎(chǔ)上，ISO/IEC 27006-2:2021《對提供信息安全管理系統(tǒng)審計和認(rèn)證機構(gòu)的要求——第 2 部分：隱私信息管理系統(tǒng)》提供了信息安全管理系統(tǒng)審核和認(rèn)證的機構(gòu)規(guī)范要求。

　　NIST 800 系列包含了與計算機安全、網(wǎng)絡(luò)安全和信息安全相關(guān)的 200 余部標(biāo)準(zhǔn)、指南和參考模型等，NIST 1800 系列標(biāo)準(zhǔn)發(fā)布的一系列實踐指南用以保障相關(guān)安全標(biāo)準(zhǔn)的實施。在NIST 800-53 rev 5 的基礎(chǔ)上，NIST 800-53B 建立安全控制和隱私控制的基線，NIST 800-37 為安全控制的選擇提供指導(dǎo)。NIST 8259 系列報告（共 5 份）針對物聯(lián)網(wǎng)設(shè)備生產(chǎn)商定義了基本安全行為（NIST 8259）、保障物聯(lián)網(wǎng)設(shè)備安全的技術(shù)和非技術(shù)核心基線（NIST 8259A 和 NIST8259B）、基于核心基線的物聯(lián)網(wǎng)設(shè)備安全能力識別流程和如何與現(xiàn)有系統(tǒng)或其他標(biāo)準(zhǔn)相兼容（NIST 8259C） 和流程應(yīng)用案例分析（NIST 8259D）。

　　04

　　結(jié)　語

　　數(shù)字經(jīng)濟時代，工業(yè)互聯(lián)網(wǎng)面臨的網(wǎng)絡(luò)安全威脅日益增多，制定相應(yīng)安全標(biāo)準(zhǔn)以增強工業(yè)互聯(lián)網(wǎng)的安全防衛(wèi)能力成為工作重點。本文總結(jié)了當(dāng)前工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域主要國際標(biāo)準(zhǔn)制定主體在標(biāo)準(zhǔn)制定工作中的進展，分析了其在標(biāo)準(zhǔn)兼容及擴展、構(gòu)建分級安全標(biāo)準(zhǔn)和建設(shè)安全標(biāo)準(zhǔn)體系的現(xiàn)狀，同時對我國工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的現(xiàn)狀進行了簡要總結(jié)，以期對我國制定工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)工作的開展有所啟示。