1.1.3 实施框架

1.实施框架总图

工业互联网实施框架是整个体系架构（见图1-12）中的操作方案，解决“在哪做”“做什么”“怎么做”的问题。在当前阶段，工业互联网的实施以传统制造体系的层级划分为基础，适度考虑未来基于产业的协同组织，按“设备、边缘、企业、产业”四个层级开展系统建设，指导企业整体部署。其中，设备层对应工业设备、产品的运行和维护功能，关注设备底层的监控优化、故障诊断等应用；边缘层对应车间或产线的运行维护功能，关注工艺配置、物料调度、能效管理、质量管控等应用；企业层对应企业平台、网络等关键能力，关注订单计划、绩效优化等应用；产业层对应跨企业平台、网络和安全系统，关注供应链协同、资源配置等应用。

工业互联网的实施重点明确工业互联网核心功能在制造系统各层级的功能分布、系统设计与部署方式，通过“网络、标识、平台、安全”四大实施系统的建设，指导企业实现工业互联网的应用部署。其中，网络系统关注全要素、全系统、全产业链互联互通新型基础设施的构建；标识系统关注标识资源、解析系统等关键基础的构建；平台系统关注边缘系统、企业平台和产业平台交互协同的实现；安全系统关注安全管控、态势感知、防护能力等建设。

工业互联网实施不是孤立的行为，需要四大系统互相打通、深度集成，在不同层级形成兼具差异性、关联性的部署方式，通过要素联动优化实现全局部署和纵横联动。另外，需要注意的是，工业互联网的实施离不开智能装备、工业软件等基础产业的支撑，新一代信息技术的发展和与传统制造产业的融合将为工业互联网实施提供核心动力。

2.网络实施框架

工业互联网网络建设目标是，构建全要素、全系统、全产业链互联互通的新型基础设施。从实施架构来看，在设备层和边缘层建设生产控制网络，在企业层建设企业与园区网络，在产业层建设国家骨干网络，全网构建信息互操作体系，如图1-13所示。

（1）生产控制网络建设

生产控制网络实施核心目标是，在设备层和边缘层建设高可靠、高安全、高融合的网络，支撑生产域的人机料法环全面的数据采集、控制、监测、管理、分析等。生产控制网络主要部署的设备：用于智能机器、仪器仪表、专用设备等边缘设备接入的工业总线模块、工业以太网模块、TSN模块、无线网络（5G、Wi-Fi 6、WIA等）模块；用于边缘网络多协议转换的边缘网关；用于生产控制网络汇聚的工业以太网交换机、TSN交换机；用于生产控制网络数据汇聚的RTU设备；用于生产控制网络灵活管理配置的网络控制器。

生产控制网络建设的难点在于，网络技术的选择往往受制于设备层工业装备支持的网络技术。在建设实施过程中，需要结合设备实际情况，制定针对性策略，主要有两种部署模式：叠加模式，在已有控制网络难以满足新业务需求时，叠加新建支撑新业务流程的网络及相关设备，构建原有控制网络之外另一张网络。例如，在已有的自动控制网络基础上，部署新的监测设备、传感设备、执行设备等，实现安全监控、生产现场数据采集、分析和优化。升级模式，对已有工业设备和网络设备进行升级，实现网络技术和能力升级。例如，在流程制造现场，通过用支持4G/5G智能仪表更新替换原有的模拟式仪表，实现现场数据智能采集汇聚和危险现场的无人化。

生产控制网络升级改造主要问题是如何处理设备升级和网络升级两者间的关系。对于现有工业装备或装置，如机床、产线等，当前网络连接技术能够满足基本生产控制需求，主要需要解决的是打破数据孤岛。因此，可以采用部署网关的方式，将传统的工业总线和工业以太网技术，转换为统一标准化的网络连接技术。如果当前的网络已不能满足业务需求，则需要对设备的通信接口进行改造升级。

（2）企业与园区网络建设

企业与园区网络实施核心目标是，在企业层建设高可靠、全覆盖、大带宽的企业与园区网络。企业与园区网络主要部署的设备：用于连接多个生产控制网络的确定性网络设备；用于办公系统、业务系统互联互通的通用数据通信设备；用于实现企业/园区全面覆盖的无线网络（5G、NB-IoT、Wi-Fi 6等）；用于企业与园区网络敏捷管理维护的SDN网络设备；用于企业内数据汇聚分析的数据服务器/云数据中心；用于接入工厂外网络的出口路由器。

企业与园区网络建设的基本要求是高可靠和大带宽，关键是实现敏捷网络管理、无死角的网络覆盖、无缝的云边协同。其相关技术如下：一是采用大两层的扁平化网络架构、部署SDN技术，可以实现“柔性”和“极简”的网络管理，大幅降低工业企业和园区管理网络的难度和工作量。二是利用运营商的5G和NB-IoT网络、部署Wi-Fi 6网络，可实现无死角网络覆盖，工业企业可根据自身业务需求和预算，选择5G和Wi-Fi 6综合构建具备可靠性、大带宽、高性价比的无线网络。三是采用云边协同技术，支持企业办公和业务系统的云化部署，实现企业数据的实时、高效汇集、分析和交互。

当前企业层的网络往往以园区的形式存在，大型工业企业规模大、占地广，可建设自有的私有园区网络；中小工业企业一般位于各类园区内，可以充分使用公有园区的网络基础设施。因此，在部署方式上，主要是通过工业企业自主建设与第三方网络服务提供商建设结合的模式。一方面工业企业将自主建设网络连接办公系统、应用系统等；另一方面运营商等专业网络服务商及有实力的工业企业，建设园区门禁、监控、数据中心等园区网络基础设施，并进行运营管理维护。

（3）国家骨干网络部署

国家骨干网络实施核心目标，是在产业层建设低时延、高可靠、大带宽的全国性骨干网络。工业企业使用国家骨干网络进行连接主要是普通互联网连接和高质量专线连接两类。普通互联网连接是企业通过“尽力而为”的互联网实现最基本的商务、客户、用户和产品联系；高质量专线连接是企业通过基于互联网的虚拟专线（SD-WAN、IPsec等）、物理隔离的专线（MPLS VPN、SDH、OTN等）、5G切片网络等，实现高可靠、高安全、高质量的业务部署。

在部署方式上，国家骨干网络的建设以运营商为主，工业企业在企业与园区网络的出口路由器，根据不同的网络需求，引导流量去往不同的网络连接。工业企业梳理自身业务的要求，形成层次化的网络需求。例如，企业与客户的信息沟通、面向大众的客户服务等可采用普通互联网连接，高价值产品的远程运维和服务可采用基于互联网的虚拟专线或5G切片网络，分支机构使用总部私有云资源和云化业务系统可使用物理隔离的专线。

（4）信息互通互操作体系部署

信息互通互操作体系部署核心目标是，构建从底到上全流程、全业务的数据互通系统。主要部署内容：在工厂内网，工业企业部署支持OPC UA、MTConnect、MQTT等国际国内标准化数据协议的生产装备、监控采集设备、专用远程终端单元、数据服务器等，部署支持行业专有信息模型的数据中间件、应用系统等，实现跨厂商、跨系统的信息互通互操作。在工厂外网，企业部署的各类云平台系统、监控设备、智能产品等应支持MQTT、XMPP等通信协议，实现平台系统对数据快速高效的采集、汇聚。

在部署方式上，信息互通互操作体系贯穿设备层、边缘层、企业层、产业层。主要部署方式：在企业层及以下的各层中，主要以工业企业自主部署为主，实现在企业内的信息互通互操作；在产业层中，工业企业协同平台服务企业进行部署，实现跨企业、跨地域的信息互通互操作。

3.标识解析实施框架

工业互联网标识解析实施贯穿设备、边缘、企业和产业四个层面，形成了以设备层和边缘层为基础，以企业层和产业层节点建设为核心的部署架构，如图1-14所示。

（1）设备层系统部署

设备层部署实施的核心目的是，实现物理资源的数字化。该层是整个标识解析体系可以运转的前提条件。部署实施的关键包括两个方面：一方面是，面对复杂工业场景下不同的被标识对象和种类繁多的标识载体技术，如何对工业互联网标识进行有效适配；另一方面是，面对多种多样的标识载体，如何实现标识识别和标识数据的实时采集。

设备层部署实施需要涵盖标识解析功能视图中标签管理和标识数据采集。首先，要管理多种工业互联网标识载体，提升被动标识载体和主动标识载体对工业互联网标识的适配，实现在设备层面的大规模部署应用。其次，要部署工业互联网标识数据采集软件，兼容面向条形码、二维码、NFC等被动标识载体和UICC、模组、芯片等主动标识载体数据的采集方式，借助标识载体和数采设备，唯一识别物理实体。

在部署实施上，标识载体和标识数据采集位于设备层。相关措施如下：一是，升级改造目前的标识载体，明确标识在不同载体中的存储位置和存储方式，通过标识生成软件直接集成到设备赋码系统中，支持标识在不同载体中的自动生成。二是，推动部署标识数据采集设备，具备身份认证功能，支持对不同标识解析体系的识别和数据采集。

（2）边缘层系统部署

边缘层部署实施的核心目的是，实现对可识别数据对象的有效管理和流转。部署实施的关键包括两个方面：一方面是，面对各类数据采集设备和通信协议，如何实现数据的实时采集；另一方面是，面对复杂的上层工业应用场景，如何建立通用的数据服务模型。

边缘层更加注重数据的通用能力，因此在部署实施中需重点考虑数据流转和处理。首先，要提高中间件的兼容性，聚焦数据处理能力，向下协调各类数据资源，对采集到的不同来源、格式和性质的数据进行清洗、整合并转化为标准的数据格式，将其上传到企业标识解析系统和数据资源池。其次，要提升数据通用服务能力，为访问集成数据的应用提供统一数据模型和通用接口，支撑各种数据信息资源的快速集成和应用。

在部署实施上，相关措施如下：一是，部署标识解析中间件，内嵌通用的标识解析数据服务模型，与工业软件和工业采集设备高度集成，将多源异构的采集数据转化为可读可理解的标准数据。二是，为标识资源池提供统一可识别的数据对象，将经过标识解析中间件处理后的分类工业数据存储到标识资源池，作为企业层和产业层数据应用的有效支撑。

（3）企业层系统部署

企业层部署实施的核心目的是，面向企业实现数据资源的集成优化。部署实施的关键包括两个方面：一方面是，由企业设计业务应用模式和敏感数据的暴露程度；另一方面是，提升标识解析系统与现有的工业系统的集成程度，以便于更好地支撑上层业务需求。

企业层建设更加关注于业务场景应用，因此部署实施过程中需要重点考虑标识解析在企业节点中的应用模式。首先，要建设标识注册和标识解析系统，在企业内部提供产品标识注册、标识管理和标识数据查询等基本功能。其次，要结合企业实际需求，规范业务数据服务模型，面向供应链管理、产品追溯、设备运维等典型应用场景，打造可视化的数据应用模板，驱动标识解析系统在企业节点的集成应用。最后，要聚焦数据管理和共享，制定不同颗粒度的接口标准和访问控制协议，进而实现数据的有效交互共享和信息的深层次价值发现。

在部署实施上，相关措施如下：一是，面向企业部署标识解析企业节点，建设企业级标识注册解析系统、标识业务管理系统，支撑企业级标识解析集成应用，并可根据该企业的实际情况定义工厂内标识解析系统的组网形式和企业内部的数据格式。二是，在企业层建设企业资源池，为企业节点提供统一的数据交互接口和通用数据模型，同时对企业层的规范数据进行有效存储和分类，依托工业互联网标识解析系统，有力支撑企业层的数据流通和集成应用，促进企业级的标识解析集成创新应用。

（4）产业层系统建设

产业层部署实施的核心目的是，面向行业实现工业元素统一运维和管理。部署实施的关键包括两个方面：一方面是，面向产业提供稳定高效的标识解析和数据管理服务；另一方面是，兼容现有的异构标识解析体系，实现更大范围内的互联互通。

产业层覆盖范围更加广泛、业务模式更加复杂，因此在部署实施过程中，应重点考虑兼容性、可靠性等问题。首先，要面向产业建设标识注册和标识解析系统，以建设国家顶级节点为核心，推动二级节点和递归节点建设，构建统一管理、互联互通、高效可靠的新型基础设施，为不同行业提供稳定高效的解析服务，实现全国范围内的互联互通。其次，要推动行业集成创新应用，深化标识解析技术与行业的融合程度，探索集成应用场景，进一步推动跨行业、跨领域的数据流转和业务协同。

工业互联网标识解析体系采用分层分级的部署模式。相关措施如下：一是，在国家顶级节点建设标识注册解析系统、标识数据管理系统、标识业务管理系统、标识数据灾备系统、标识服务托管系统，面向二级节点提供标识解析和数据管理服务，实现全国工业元素全局统一管控和协调。二是，在二级节点建设标识注册解析系统、标识业务管理系统、标识应用支撑系统，向上连接国家顶级节点，向下连接企业节点，面向特定行业或多个行业提供高效稳定的标识解析服务。三是，在递归节点建设递归业务管理系统、递归业务查询系统，接收客户端查询请求，通过缓存等技术手段整体提升工业互联网标识解析的服务性能。

4.平台实施框架

工业互联网平台部署实施总体目标是，打造制造业数字化、网络化、智能化发展的载体和中枢。其实施架构贯穿设备、边缘、企业和产业四个层级，通过实现工业数据采集、开展边缘智能分析、构建企业平台和打造产业平台，形成交互协同的多层次、体系化建设方案，如图1-15所示。

（1）设备层系统部署

设备层部署实施的核心目标是，为工业互联网平台提供底层的数据基础支撑。部署实施的关键是，面对当前工业生产现场设备种类繁多、通信协议“七国八制”的现状，如何实现海量工业数据的精准、实时采集和集成。

设备层部署实施主要聚焦平台功能架构中的工业数据连接、转换和数据预处理功能。首先，提供针对性工业数据接入解决方案，兼容智能机器、专用设备、CNC、SCADA等生产现场不同软硬件系统，实现实时状态、控制参数、运营管理等各类数据的全面采集。其次，提供协议解析和数据预处理服务，将来自不同系统、采用不同通信方式的多源异构数据转化成为统一格式，并经过错误剔除、缓存压缩等基本处理后，上传至平台中。

在部署方式上呈现出两种形式：一种是对存量设备进行叠加改造，通过开放设备已有控制系统或是额外添加传感器的方式，对工业设备进行数字化改造，完成工业数据采集集成。另一种是采用新型数字化装备，主要是在新的产线、车间建设过程中，直接规划和选用具备数据开放能力的数字化设备，快速便捷地实现工业数据采集集成。

（2）边缘层系统部署

边缘层部署实施的核心目标是满足生产现场的实时优化和反馈控制应用需求。在部署实施中需要考虑两个问题：一个是，对于具有高实时性要求的智能应用，如何在边缘层进行开发、部署和运维；另一个是如何通过数据智能分析来对现场生产进行高效精准的优化决策。

边缘层部署实施的重点是提供平台功能视图中的边缘智能分析应用能力。面向视觉检测、参数自适应、AGV智能调度等高实时性场景，在边缘应用部署管理环境支撑下运行各类智能化应用，开展数据实时分析，并将决策优化指令实时反馈到生产过程中，实现优化提升。同时，为了进一步提升边缘分析应用的深度和效果，通常还会进行边缘云端协同，在平台端同步开展模型算法迭代更新，并将更新后的模型算法反馈到边缘，以进一步提升优化效果。

在部署方式上，在边缘层开展的智能分析应用主要以两种方式实现：一种是嵌入式软件，以软件代码方式直接集成到智能设备或信息系统之中，依托被嵌入对象的硬件资源来完成智能分析应用。另一种是智能网关，边缘智能分析应用部署和运行在独立的智能网关之中，基于网关提供的硬件资源和操作系统来进行工业数据的深度挖掘分析。由于智能网关部署方式相对便捷，且支持资源和功能的扩展，因此目前智能网关正在成为主流部署方式。

（3）企业层系统实施

企业层部署实施的核心目标是打造企业工业互联网平台，并基于平台开展数据智能分析应用，驱动企业智能化发展。在部署实施中需要重点考虑三个问题：一是，面对企业内部海量工业数据的存储、计算需求，应采用何种类型的基础设施支持；二是，为了实现数据驱动的智能优化应用，哪些功能是企业平台必须具备的；三是，针对当前企业现有各类信息系统，如何处理平台和这些存量系统之间的关系。

由于企业层的平台部署实施通常聚焦在内部特定场景下的应用服务，更加注重的是定制化解决方案供给能力，因此在部署实施中只需重点考虑平台功能视图中的部分关键能力。首先，聚焦数据管理与建模分析能力开展工业PaaS建设。其中，数据管理提供各类信息建模、数据清洗、数据治理和可视化工具，为上层分析应用提供高质量数据基础；建模分析综合运用大数据、人工智能技术和工业经验知识，提供各类数据模型和机理模型，通过两者的融合应用构建企业智能中枢。其次，结合企业业务需求进行定制工业APP应用开发，面向产品设计仿真、设备健康管理、能耗管理优化等应用场景，打造工业APP应用解决方案，驱动企业实现智能化生产运营。此外，考虑当前平台建设成本较高，且大部分企业业务需求相对固定，将通用PaaS和应用开发两项能力视为企业平台的可选项，以提升企业平台部署实施性价比。

企业层平台可以采用服务器、私有云和混合云多种形式进行部署实施：一种是服务器部署，对于功能要求聚焦、资源容量不大的应用需求，可以将企业平台像普通应用软件一样安装部署在特定服务器之中进行操作访问，能够降低企业部署成本。但是由于服务器资源有限，未来平台能力拓展会受到一定限制。第二种是私有云部署，企业借助虚拟化、资源池化等技术支持，提供可灵活调度、弹性伸缩的存储和计算资源，支撑工业数据的管理和使用，确保所有核心数据停留在企业内部，避免敏感信息的泄露。第三种是混合云部署，企业在用私有云进行关键核心数据存储管理的同时，也使用公有云海量IT资源支撑，进行更为高效的业务处理，从而能够有效降低综合部署成本。

（4）产业层系统实施

产业层部署实施的核心目标是通过构建产业工业互联网平台，广泛汇聚产业资源，支撑开展资源配置优化和创新生态构建。其部署实施中所面临的主要挑战是跨行业跨领域覆盖所带来的业务复杂性，需要考虑四个问题：一是面对高速增长的数据存储和跨地域分布式使用需求，应该如何实现存储计算资源的弹性拓展和开放访问；二是针对产业平台中海量复杂业务的运行管理，需要提供什么样的使能技术基础；三是围绕资源配置优化和创新生态构建的目标，产业平台需要提供什么样的核心功能支撑；四是产业平台部署实施过程中，要运用哪些技术手段来构建关键系统。

正是由于覆盖范围更加广泛、业务模式更加复杂，产业平台部署实施过程中基本涵盖了平台功能视图中的全部核心功能。首先，提供基础IT资源支撑，实现平台资源调度管理和应用部署运维，同时集成基础技术框架，为上层业务构建提供技术使能。其次，提供数据管理和建模分析能力及良好工业应用创新能力，除了提供各类算法模型支撑进行智能分析之外，产业平台还需要及时响应不同用户的差异化应用需求，打造低门槛的工业应用开发环境，支持实现高效灵活的应用创新。再次，聚焦行业共性问题和资源优化配置提供解决方案，如设计协同、供应链协同、产业金融等，在带动产业整体发展水平提升的同时，加速推动产业形态和商业模式的创新。最后，开展创新生态建设，通过构建开发者社区、应用商店或提供二次应用开发等方式来吸引外部开发者，形成应用开发和交付的双向循环，打造充满活力和竞争力的生态化发展模式。

在部署方式上，产业工业互联网平台主要采用公有云形式部署，通过自建公有云平台或与已有公有云平台合作，为不同行业、不同地区用户提供低成本、高可靠的数据存储计算服务，并能够实现按需调度和弹性拓展。依托公有云的基础资源支持，运用CloudFoundry、Openshift、K8 S等技术手段构建通用PaaS平台，基于大数据、人工智能、数字孪生等技术提供工业数据、模型的管理分析服务，借助DevOps、微服务、低代码等技术打造工业应用开发服务。最终，综合运用各类技术手段和系统工具，实现各类智能化解决方案应用落地，并驱动以产业平台为枢纽的创新生态构建。

5.安全实施框架

安全实施框架体现了工业互联网安全功能在“设备、边缘、企业、产业”的层层递进，包括边缘安全防护系统、企业安全防护系统和企业安全综合管理平台，以及省/行业级安全平台和国家级安全平台，如图1-16所示。

（1）边缘安全防护系统的实施

边缘安全防护系统的实施，致力于面向实体实施分层分域安全策略，构建多技术融合安全防护体系，从而实现边缘安全防护。部署的关键在于确保工业互联网边缘侧的设备安全、控制安全、网络安全。

边缘安全防护系统实施，需要涵盖安全功能视图中边缘层和设备层的各项功能。首先，保障设备安全，通过采取设备身份鉴别与访问控制、固件安全增强、漏洞修复等安全策略，确保工厂内生产设备、单点智能装备器件与产品，以及成套智能终端等智能设备的安全。其次，保障控制安全，通过采取控制协议安全机制、控制软件安全加固、指令安全审计、故障保护等安全策略，确保控制软件安全和控制协议安全。最后，保障边缘侧网络安全，通过采取通信和传输保护、边界隔离（工业防火墙）、接入认证授权等安全策略，确保工厂内网安全、标识解析安全等。

在部署方式上，边缘安全防护系统主要位于设备层和边缘层，具体实施方式如下：

一是设备安全，可采取设备身份鉴别与访问控制、固件安全增强、漏洞修复等安全策略。在设备身份鉴别与访问控制方面，对于接入工业互联网的现场设备，应支持基于硬件特征的唯一标识符，为包括工业互联网平台在内的上层应用提供基于硬件标识的身份鉴别与访问控制能力，确保只有合法的设备能够接入工业互联网，并根据既定的访问控制规则向其他设备或上层应用发送或读取数据。在固件安全增强方面，工业互联网设备供应商需要采取措施对设备固件进行安全增强，阻止恶意代码传播与运行。工业互联网设备供应商可从操作系统内核、协议栈等方面进行安全增强，并力争实现对于设备固件的自主可控。在漏洞修复方面，设备操作系统与应用软件中出现的漏洞，对于设备来说，是最直接也是最致命的威胁。设备供应商应对工业现场中常见的设备与装置进行漏洞扫描与挖掘，发现操作系统与应用软件中存在的安全漏洞，并及时进行修复。

二是控制安全，可采取控制协议安全机制、控制软件安全加固、指令安全审计、故障保护等安全策略。在控制协议安全机制方面，为了确保控制系统执行的控制命令来自合法用户，必须对使用系统的用户进行身份认证，未经认证的用户所发出的控制命令不被执行。在控制协议通信过程中，一定要加入认证方面的约束，避免攻击者通过截获报文获取合法地址建立会话，影响控制过程安全。不同的操作类型需要不同权限的认证用户来操作，如果没有基于角色的访问机制，没有对用户权限进行划分，会导致任意用户可以执行任意功能。在控制协议设计时，应根据具体情况，采用适当的加密措施，保证通信双方的信息不被第三方非法获取。在控制软件安全加固方面，控制软件的供应商应及时对控制软件中出现的漏洞进行修复或提供其他替代解决方案，如关闭可能被利用的端口等。在指令安全审计方面，通过对控制软件进行安全监测审计可及时发现网络安全事件，避免发生安全事故，并可以为安全事故的调查提供翔实的数据支持。目前，许多安全产品厂商已推出了各自的监测审计平台，可实现协议深度解析、攻击异常检测、无流量异常检测、重要操作行为审计、告警日志审计等功能。在故障保护方面，确定控制软件与其他设备或软件及与其他智能化系统之间相互作用所产生的危险状况和伤害事件，确定引发事故的事件类型。明确操作人员在对智能化系统执行操作过程中可能产生的合理可预见的误用，以及智能化系统对于人员恶意攻击操作的防护能力。智能化装备和智能化系统对于外界实物、电、磁场、辐射、火灾、地震等情况的抵抗或切断能力，以及在发生异常扰动或中断时的检测和处理能力。

三是网络安全，可采取通信和传输保护、边界隔离（工业防火墙）、接入认证授权等安全策略。在通信和传输保护方面，采用相关技术手段来保证通信过程中的机密性、完整性和有效性，防止数据在网络传输过程中被窃取或篡改，并保证合法用户对信息和资源的有效使用。同时，在标识解析体系的建设过程中，需要对解析节点中存储及在解析过程中传输的数据进行安全保护。在边界隔离（工业防火墙）方面，在OT安全域之间采用网络边界控制设备（工业防火墙），以逻辑串接的方式进行部署，对安全域边界进行监视，识别边界上的入侵行为并进行有效阻断。在接入认证授权方面，接入网络的设备与标识解析节点应该具有唯一性标识，网络应对接入的设备与标识解析节点进行身份认证，保证合法接入和合法连接，对非法设备与标识解析节点的接入行为进行阻断与告警，形成网络可信接入机制。网络接入认证可采用基于数字证书的身份认证等机制来实现。

（2）企业安全防护系统的实施

企业安全防护系统的实施，致力于从防护技术策略角度出发，提升企业安全防护水平，降低安全攻击风险。部署的关键在于确保工业互联网企业侧的网络安全、应用安全、数据安全。

企业安全防护系统实施需要涵盖安全功能视图中企业层中相关防护技术。首先，保障企业侧网络安全，通过采取通信和传输保护、边界隔离（防火墙）、网络攻击防护等安全策略，确保工厂外网安全、标识解析安全等。其次，保障应用安全，通过采取用户授权和管理、虚拟化安全、代码安全等安全策略，确保平台安全、本地应用安全、云化应用安全等。最后，保障数据安全，通过采取数据防泄露、数据加密、数据备份恢复等安全策略，确保包括数据收集安全、数据传输安全、数据存储安全、数据处理安全、数据销毁安全、数据备份恢复安全在内的数据全生命周期各环节的安全。

在部署方式上，企业安全防护系统主要位于企业层，具体实施方式如下：

一是网络安全，可采取通信和传输保护、边界隔离（防火墙）、网络攻击防护等安全策略。在通信和传输保护方面，与边缘安全防护系统中的针对网络安全的通信和传输保护的具体策略是一致的。边界隔离（防火墙）方面，在IT安全域之间采用网络边界控制设备（防火墙），以逻辑串接的方式进行部署，对安全域边界进行监视，识别边界上的入侵行为并进行有效阻断。在网络攻击防护方面，为保障网络设备与标识解析节点正常运行，对登录网络设备与标识解析节点进行运维的用户进行身份鉴别，并确保身份鉴别信息不易被破解与冒用；对远程登录网络设备与标识解析节点的源地址进行限制；对网络设备与标识解析节点的登录过程采取完备的登录失败处理措施等。

二是应用安全，可采取用户授权和管理、虚拟化安全、代码安全等安全策略。在用户授权和管理方面，工业互联网平台用户分属不同企业，需要采取严格的认证授权机制保证不同用户能够访问不同的数据资产。同时，认证授权需要采用更加灵活的方式，确保用户间可以通过多种方式将数据资产分模块分享给不同的合作伙伴。在虚拟化安全方面，因为虚拟化是边缘计算和云计算的基础，为避免虚拟化出现安全问题影响上层平台的安全，所以在平台的安全防护中要充分考虑虚拟化安全。虚拟化安全的核心是实现不同层次及不同用户的有效隔离，其安全增强可以通过采用虚拟化加固等防护措施来实现。在代码安全方面，主要通过代码审计检查源代码中的缺点和错误信息，分析并找到这些问题引发的安全漏洞，并提供代码修订措施和建议。

三是数据安全，可采取数据防泄露、数据加密、数据备份恢复等安全策略。在数据防泄露方面，为防止数据在传输过程中被窃听而泄露，工业互联网服务提供商应根据不同的数据类型及业务部署情况，采用有效手段防止数据泄露。例如，通过SSL保证网络传输数据信息的机密性、完整性与可用性，实现对工业现场设备与工业互联网平台之间、工业互联网平台中虚拟机之间、虚拟机与存储资源之间及主机与网络设备之间的数据安全传输，并为平台的维护管理提供数据加密通道，保障维护管理过程的数据传输安全。在数据加密方面，工业互联网平台运营商可根据数据敏感度采用分等级的加密存储措施（如不加密、部分加密、完全加密等）。建议平台运营商按照国家密码管理有关规定使用和管理密码设施，并按规定生成、使用和管理密钥。同时，针对数据在工业互联网平台之外加密之后再传输到工业互联网平台中存储的场景，应确保工业互联网平台运营商或任何第三方无法对客户的数据进行解密。在数据备份方面，用户数据作为用户托管在工业互联网服务提供商的数据资产，服务提供商有妥善保管的义务。应当采取技术措施和其他必要措施，在发生或可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。工业互联网服务提供商应当根据用户业务需求，与用户签订的服务协议制定必要的数据备份策略，定期对数据进行备份。当发生数据丢失事故时能及时恢复一定时间前备份的数据，从而降低用户的损失。

（3）企业安全综合管理平台的实施

企业安全综合管理平台的实施，致力于从防护管理策略角度出发，以安全风险可知、可视、可控作为安全防护体系建设的主要目标，强化企业综合安全管理能力。部署的关键在于对企业网络口及企业内安全风险进行监测，在平台网络出口建设流量探针，实现对企业的安全信息采集、资产识别管理、安全审计、安全告警、安全处置跟踪及数据治理等功能，并与省/行业级安全平台的对接。

企业安全综合管理平台实施需要涵盖安全功能视图中企业层中相关防护管理。安全信息采集指实时地对企业内部的安全动态信息进行有效采集，并进行有效汇总。资产识别管理指通过平台网络出口的流量探针对企业内网进行扫描识别，发现并统计企业内网的资产并进行集中管理。安全审计指通过记录和分析历史操作事件及数据，发现能够改进系统性能和系统安全的地方，防止有意或无意的人为错误，防范和发现网络犯罪活动。安全告警指及时发现资产中的安全威胁，实时掌握资产的安全态势。安全处置跟踪指根据安全事件或安全资产溯源到相关责任人。数据治理指对收集到的相关数据进行分析统计，为企业做出相关研判提供依据。

在部署方式上，企业安全综合管理平台系统主要位于企业层，具体实施方式如下：

一是保障企业内部安全管理有序进行，实现对企业的安全信息采集、资产识别管理、安全审计、安全告警、安全处置跟踪及数据治理等功能。

二是与省/行业级安全平台实现有效协同，将监测到的数据及时有效地上报给省/行业级安全平台。

（4）省/行业级安全平台的实施

省/行业级安全平台的实施，致力于通过工业资产探测、流量分析、风险识别、态势分析、预警通报、应急处置等方式，保障省/行业级平台安全运行。

省/行业级安全平台的实施需要涵盖安全功能视图中产业层的下边缘相关功能要素。通过接入本地移动网、固网（采样）数据，实现工业资产探测、流量分析、风险识别、态势分析、预警通报、应急处置。

在部署方式上，省/行业级安全平台主要位于产业层，具体实施方式如下：

一是保障本省/行业平台的安全运行。

二是与国家级安全平台和企业安全综合管理平台实现对接，重点覆盖企业工业互联网平台，实现企业基础数据管理功能、策略/指令下发、情报库共享、信息推送等功能。

（5）国家级安全平台的实施

国家级安全平台的实施，致力于提升国家级工业互联网安全综合管理和保障能力，加强国家与省/行业级安全平台的系统联动、数据共享、业务协作，形成国家整体安全综合保障能力。

国家级安全平台实施需要涵盖安全功能视图中产业层的上边缘相关功能要素。首先，建立安全态势感知与风险预警系统，开展全国范围内的安全监测、态势分析、风险预警和跨省协同工作，并与省/行业级安全平台对接。其次，建立威胁信息共享与应急协作指挥系统，实现对工业互联网威胁信息共享和应急协作指挥，具备综合研判、决策指挥和过程跟踪的能力，支持工业互联网安全风险上报、预警发布、事件响应等。最后，建立安全基础信息库，依托现有基础进行资源整合，建立安全基础信息库，具体包括工业互联网安全漏洞库、指纹库、恶意代码库等基础资源库。

在部署方式上，国家级安全平台主要位于产业层的上边缘，具体实施方式如下：

一是保障国家级安全平台有序运行，建立安全态势感知与风险预警系统、威胁信息共享与应急协作指挥系统、安全基础信息库，全面提升国家级工业互联网安全综合管理和保障能力。

二是与省/行业级安全平台的系统联动、数据共享、业务协作，形成国家整体安全综合保障能力。