《云計算標準和開源推進委員會&西門子：2024工業領域云安全實踐指南報告（43頁）.pdf》由會員分享，可在線閱讀，更多相關《云計算標準和開源推進委員會&西門子：2024工業領域云安全實踐指南報告（43頁）.pdf（43頁珍藏版）》請在三個皮匠報告上搜索。

1、 版權聲明 本報告版權屬于中國通信標準化協會云計算標準和開源推進委員會、西門子（中國）有限公司，并受法律保護。轉載、摘編或利用其它方式使用本報告文字或者觀點的，應注明“來源：中國通信標準化協會云計算標準和開源推進委員會、西門子（中國）有限公司”。違反上述聲明者，編者將追究其相關法律責任。序序 言言 胡建鈞 副總裁兼首席網絡與信息安全官 西門子（中國）有限公司 近年來，隨著“十四五”規劃的深入推進，工業與新一代信息技術的融合發展步入快車道。云計算作為數字化轉型的基石，為工業企業帶來了前所未有的機遇，同時也帶來了新的安全挑戰。如何有效保障工業企業上云安全，已成為業界關注的焦點。然而，工業領域上云后

2、的安全體系建設尚處于探索階段，缺乏系統性的指導文件。本指南正是在此背景下應運而生，旨在為工業企業構建安全可靠的云環境提供參考和借鑒。本指南立足于工業上云的實際需求，從政策解讀、風險挑戰、安全模型、實踐案例等多個維度，全面闡述了工業領域云安全建設的核心理念和關鍵舉措。指南不僅對云安全治理、組織架構、技術體系、運營流程、生態建設等方面進行了深入分析，還結合上云前、中、后不同階段，提供了詳細的參考實踐，具有很強的指導性和可操作性。本指南的發布，是西門子踐行“網絡安全為數字化旅程保駕護航”理念的又一重要體現。西門子堅信，數字化世界的發展離不開網絡安全，也積極參與到構建安全網絡空間的行動中，并與多方全球

3、生態合作伙伴共同發起了“信任憲章”，在中國依托“西安社”這一生態社群 平臺，鏈接本地合作伙伴與客戶，致力于提升網絡安全意識，制定清晰的網絡安全義務，共同推動網絡安全行業發展。希望本指南能夠為廣大工業企業提供有益參考，助力企業安全、合規、高效地利用云計算技術，加速數字化轉型進程，為實現高質量發展提供加速度，注入新動能！目目 錄錄 一、數字化轉型浪潮襲來，工業上云勢頭日益增強.1（一）上云政策與云計算的蓬勃發展協同驅動工業企業上云.1（二）工業上云為企業提供動能，助力企業創新發展.4 二、工業上云面臨安全、門檻高、合規與時效四類風險挑戰.9（一）工業上云面臨多樣化攻擊與高門檻挑戰.9（二）業務跨境

4、企業面臨嚴格安全合規與即時性要求.10 三、構建五維模型，提升工業領域云安全防護力.11（一）治理維度：構建工業領域云安全治理體系.12（二）組織維度：構建工業領域云安全組織架構.13（三）技術維度：構建工業領域云安全技術體系.14（四）流程維度：構建工業領域云安全運營流程.17（五）生態維度：構建工業領域云安全生態鏈條.19 四、工業領域云安全參考實踐.20（一）上云前：規劃策略，評估風險.21（二）上云中：平穩遷移，縱深防御.24（三）上云后：持續優化，安全用云.27 五、工業數字化轉型云安全發展趨勢及建議.30（一）工業領域云安全技術發展趨勢.30（二）工業領域云安全產業發展建議.31

5、附錄 33 圖圖 目目 錄錄 圖 1 我國云計算市場規模及增速.1 圖 2 2022 年各行業用云量占比.4 圖 3 工業領域云安全框架.11 圖 4 工業領域云安全管理體系.13 圖 5 工業領域云安全組織架構.14 圖 6 工業領域云安全技術體系.15 圖 7 工業領域云安全運營流程.19 圖 8 工業領域云安全生態鏈條.20 圖 9 云安全服務目錄.21 圖 10 上云前安全準備.22 圖 11 上云中安全保護.24 圖 12 上云后安全管理.28 工業領域云安全實踐指南（2024 年）1 一、數字化轉型浪潮襲來，工業上云勢頭日益增強 近年來，隨著工業領域數字化轉型不斷深化，利用云計算進

6、行技術革新、業務按需快速定制等帶來的效率提升和成本優勢愈發凸顯，上云成為企業實現可持續發展目標的關鍵，通過培育新質生產力，大力推進新型工業化進程。（一）（一）上云政策與云計算的蓬勃發展協同驅動工業企上云政策與云計算的蓬勃發展協同驅動工業企業上云業上云 我國云計算市場呈穩定增長態勢，細分領域 PaaS、SaaS 增長潛力大。據中國信通院云計算白皮書（2023 年）顯示，2022 年我國云計算市場規模達到 4550 億元人民幣，較 2021 年增長 40.9%，全球云計算市場同期增速為 19%，與其相比，我國云計算市場處于快速發展期，預計 2025 年將突破萬億元大關。細分領域中，2022 年公有

7、云IaaS、PaaS 和 SaaS 市場增速分別為 51.21%、74.49%和 27.57%，其中，PaaS 市場受容器、微服務等云原生應用帶來的刺激，增長強勢，結合人工智能大模型等發展趨勢，未來幾年將成為增長主戰場。數據來源：中國信息通信研究院 圖 1 我國云計算市場規模及增速（市場規模單位：億元）工業領域云安全實踐指南（2024 年）2 我國工業上云利好政策持續釋放。一方面，工業互聯網頂層設計不斷完善。工業互聯網是新一代信息技術與工業系統深度融合的產物，云計算是新一代信息技術變革的重要支撐，工業上云為工業互聯網向好發展提供強有力驅動。2017 年國務院印發 關于深化“互聯網+先進制造業”

8、發展工業互聯網的指導意見，成為推動我國工業互聯網發展的綱領性文件。2020 年 12 月，工業和信息化部發布的工業互聯網創新發展行動計劃（2021-2023 年）中指出，要加快工業設備和業務系統上云上平臺，到 2023 年工業企業及設備上云數量比 2020 年翻一番，以推動工業互聯網發展。另一方面，全國各地方接連推出工業企業上云政策，加速工業企業數字化轉型。一是多省市推出工業企業上云行動計劃。為支持工業領域數字化轉型，促進工業經濟高質量發展，我國多省市工信廳印發工業企業“上云上平臺”工作方案和行動計劃，明確年度工業企業上云數量等要求。二是全國各地加碼工業企業上云資金投入，鼓勵地方工業企業上云。

9、各省市通過“云使用券”補助、事后獎補以及評級獎勵等方式，為購買基礎設施類、平臺系統類和業務應用類云服務的工業企業提供實質資金補貼。云計算引發工業深刻變革，工業上云需求涌現。我國 2022 年工業行業用云量占比可觀，中國信通院發布的 2022 年中國云計算發展指數顯示，中國云計算應用已從互聯網拓展至傳統行業，2022 年工業用云量占比已達到 11.6%，已成為繼互聯網原生行業、政務與金融行業的第四大上云行業。工業對云計算的需求來自三方面：一是敏捷、靈活的研發需求。云計算引發軟件研發范式變革，一方面，隨著應用工業領域云安全實踐指南（2024 年）3 從單體架構向微服務架構轉變，越來越多工業軟件希望

10、通過更敏捷的方式進行研發，拆分獨立任務并以用戶需求為導向快速響應需求變化。另一方面，隨著云原生等新興技術的逐步成熟，工業 PaaS 平臺和 SaaS應用得以發展，希望面向公眾提供靈活的工業開發平臺和豐富的工業應用模板。二是生產方式與先進技術結合需求。一方面，在傳統的工業生產流程中，數據獲取依賴于人工或傳感器采集，其數據分析處理能力有限。工業企業希望使用彈性的計算與存儲能力支持更多、更復雜的數據處理工作，配合數據挖掘和機器學習算法，令數據的價值得到發揮。另一方面，傳統工業生產流程中設備的監控通常需要使用專用硬件，成本高且難以大規模部署。工業企業希望將智能設備、傳感器等聯網以實現遠程監控，通過實時

11、監控和數據分析，實現生產流程的動態優化。三是工業服務提供方式從線下向線上轉變需求。工業的主要特性是提供生產服務，傳統的線下服務是重要組成部分，包括設備調試、生產線的巡檢、故障排查、咨詢培訓等，但線下方式需要較高的人工成本，且沒有標準化的服務流程，極大地限制了服務效率與質量管理。因此，工業企業希望將工業服務從線下向線上轉移，通過遠程的方式提供標準化的服務流程，以保障生產的穩定性和連續性。工業領域云安全實踐指南（2024 年）4 數據來源：中國信息通信研究院 圖 2 2022 年各行業用云量占比（二）（二）工業上云為企業提供動能，助力企業創新發展工業上云為企業提供動能，助力企業創新發展 1、工業上

12、云促進企業 IOT 要素全面升級 云計算作為融合技術和行業應用的核心平臺，加速推動汽車、鋼鐵、能源等傳統行業生產要素和生產環節的數字化進程，從基礎設施靈活性、生產效率和管理質量三方面提升企業核心競爭力，大力推進工業現代化體系建設，加速新質生產力發展。一是云計算為大規模工業應用軟件提供強大計算與存儲能力，提升基礎設施的可擴展性和靈活性。隨著工業領域的業務復雜性和多樣性的增加，工業應用軟件需求不斷增長。一方面，傳統 IT（Information Technology，信息科技）系統需要大量的軟硬件投入，而云計算可以按需提供彈性的計算與存儲能力，滿足工業應用對資源的及時需求。另一方面，云計算可以支持

13、 OT（Operational Technology，運營技術）應用和服務的運轉，如工業自動化、工業作業監控和設備實況監測等，10.2%5.1%5.4%11.6%12.2%24.9%30.6%0.0%5.0%10.0%15.0%20.0%25.0%30.0%35.0%其他交通醫療工業金融政務互聯網原生行業2022年各行業用云量占比工業領域云安全實踐指南（2024 年）5 從而提升 OT 系統的效能。二是云計算為工業系統提供強大的數據處理和分析能力，促進 IT與OT集成和協同。在工業生產過程中，大量工業設備與傳感器互連，實時交換共享海量工業數據，云計算因其分布式與邊緣化特性，可以在網絡邊緣提供強

14、大的數據處理和分析能力，支持工業設備的連通與數據價值的挖掘，幫助企業實現數據共享和流程協同，優化生產效率。三是云計算加速工業技術、經驗和知識的沉淀，提升管理水平。云計算支持將大量的工業技術原理、行業知識、模型工具等封裝成為微服務組件，以規則化、軟件化、模型化的形式供開發者使用，同時提供資源管理、服務編排、工程管理等服務，通過集中化的管控提升管理質量。2、工業上云激發數據要素價值釋放 工業互聯網的高速發展正推動制造業從傳統生產要素驅動向數據要素驅動轉變，加速數據要素投入生產的三次價值釋放1。一是業務數據上云支撐業務貫通，滿足生產需求并提升業務運行效率。業務數據上云屬于工業企業上云的第三階段，在經

15、歷了基礎設施上云和設備上云之后，這一階段企業的關鍵目標是深入挖掘業務需求，為企業創造價值。隨著工業發展，無論是離散行業、流程行業或是混合行業，PLC,DCS（Distributed Control System，集散控制系統）和 SCADA（Supervisory Control And Data Acquisition，數據采集與監視控制系統）所需控制的數據體量越來越大，例如汽車生產、機械制 1 http:/ 年）工業領域云安全實踐指南（2024 年）6 造、制藥、食品生產等企業運營過程中，會產生大量、高價值數據，然而傳統工控系統僅將生產指標數據用作監控，數據價值未被充分挖掘，提升數據價值成

16、為業務剛需，從而催生工業邊緣實現數據的云邊協同，在現場即可處理大量數據滿足生產需求，并將數據傳輸至數據中心加以分析，優化業務流程。二是云計算支撐數據智能決策，優化工業決策與生產。從自動化到智能化是從局部優化向全局優化的過程，工業互聯網平臺利用云平臺實現供應商、生產者和消費者的互聯互通，通過人工智能、大數據等技術輔助數據的挖掘和利用。例如，廣東作為中國制造業強省，大力推進工業互聯網應用，支持企業利用云計算與人工智能等技術進行智能化改造，實現提質、降本、增效的管理目的。如消費者對產品的生產過程提出質量追溯需求時，工業互聯網平臺可智能化地采集、傳輸、處理、操作產品全生命周期數據，對其進行實時分析并構

17、建生產質量模型，實現對異常品的定位和全流程的品質監控。通過上云打破企業信息孤島，整合產業鏈上下游，從單條作業流水線優化，向供應商、生產者和消費者的集成優化轉變。三是云計算賦能工業數據流通，數據普惠促進經濟創新發展。云計算提供了隨時隨地可接入的網絡，為工業數據要素的開放、共享和交易提供有力支撐?；谠朴嬎?、區塊鏈和隱私計算等技術構建的國家工業互聯網大數據中心，支持面向全國范圍內工業企業提供數據交易服務，實現不同企業、不同區域間的工業數據要素流轉，在全國范圍內形成研發、生產、運輸、原材料供應、銷售等一體化的創新發展工業領域云安全實踐指南（2024 年）7 新局面。例如，上海作為中國的金融、貿易和航

18、運中心，在工業上云領域注重打造智能制造公共服務平臺，支持企業實現設計、生產、銷售等全流程智能化。3、工業上云助推工業數字化綠色化融合 綠色低碳發展是當今時代科技革命和產業變革的方向，綠色經濟已成為全球產業競爭重點?！笆奈濉惫I綠色發展規劃 和 工業領域碳達峰實施方案中均提出加快云計算、大數據等信息技術在綠色制造領域、綠色低碳升級改造中的應用，云計算已成為工業數字化、智能化、綠色化融合發展的堅實底座。一是云計算與工業深度融合，賦能綠色制造。一方面，提高資源利用率。云計算通過虛擬化技術將服務器資源整合，集中化地提供冷卻，通過資源的共享，降低硬件設備的廢棄物排放，如散熱、電力等能源消耗，實現資源的

19、高效利用。另一方面，優化能源消耗。云計算可以智能地調度資源，將算力需求有序引導至算力充沛的數據中心，實現算力集約化發展?！皷|數西算”工程極大優化了數據中心建設區域在我國的布局，充分利用了西部豐富的太陽能和風能等綠色能源，提升數據中心的綠色能源使用比例。二是重點用能設備上云，提升數字化碳管理水平。工業設備上云后，通過云上智能能源管理工具，實時感知、監測并分析設備的能源消耗數據，推動企業構建碳排放數據計量、監測、分析體系，及時預警超出門限的用能設備，發現能源使用不合理之處。如通過分析工業生產環節設備能源消耗數據，找出能源浪費環節，提出改進措施，提工業領域云安全實踐指南（2024 年）8 升能源利用

20、效率。工業設備上云可提升企業碳排放的數字化管理、網絡化系統以及智能化管控水平，輔助制定更為科學有效的節能減排策略，加速數字賦能工業綠色低碳轉型進程。4、工業上云加速商業模式的變革和創新 云計算為工業提供了數字化的技術底座，加速了數字要素對傳統要素的替代步伐，改變了企業與其利益相關者共同創造價值的模式，主要體現在對外提供服務的模式和對內運營管理的模式兩方面。一是云計算降低工業用戶獲取網絡資源服務的成本，創新工業服務模式。一方面，傳統工業設備安裝調試、故障維修、工藝咨詢等服務通常以線下方式開展，云計算支持企業在云端搭建工業服務平臺，工業產品的功能和服務可通過云端進行交付和提供，積累線上用戶的使用信

21、息，及時對用戶需求進行反饋，降低產品成本的同時提升用戶體驗等附加值。另一方面，工業屬于產業鏈鏈條較長的行業，云計算支持工業企業建立開放式商業平臺，令其可與產業鏈上的合作伙伴協作，共同向用戶提供完整的工業解決方案。二是云計算加速企業信息化進程，構建全新的運營模式。內部管理流程方面，工業企業需要打通供應鏈上下游的生態合作伙伴、供應商和最終用戶間的數據斷層，為采銷一體化提供統一數據標準，云計算助力工業企業搭建數據中臺，統一供應鏈上下游編碼和產品標識，降低內部流程耗時。內部生產流程方面，云計算可以智能化的管理物料、設備、車間、倉儲等環節，與企業業務流程管理系統結合，促進企業內部信息共享，實現業務流程的

22、自動化和優化。工業領域云安全實踐指南（2024 年）9 二、工業上云面臨安全、門檻高、合規與時效四類風險挑戰（一）（一）工業上云面臨工業上云面臨多樣化攻擊與高門檻多樣化攻擊與高門檻挑戰挑戰 云環境面臨多樣化攻擊手段。一是利用上云后的工控設備脆弱性發起攻擊。2022 年 9 月黑客組織 GhostSec 聲稱其破壞了以色列多達55 個 Berghof PLC（Programmable Logic Controller，可編程邏輯控制器），該 PLC 可通過互聯網訪問且使用了簡單的訪問憑證，黑客獲取其控制面板權限后可改變水中的氯含量和 PH（Pondus Hydrogenii，酸堿度）值，進而影響

23、工業生產。二是通過云勒索軟件進行攻擊。2021年 3 月電腦巨頭 Acer 遭遇 REvil 勒索軟件攻擊，攻擊者利用 Acer 域內的微軟 Exchange 服務器安全漏洞竊取數據并加密鎖定目標設備，對其進行勒索，贖金高達 5000 萬美元。三是利用云計算新技術的漏洞發起攻擊。容器、微服務等技術的應用導致企業資源暴露面增加，其分布式特性更使得檢測和遏制攻擊愈發困難，如 2021 年 Docker Hub 上的部分容器鏡像被內置挖礦程序，下載總數超 2000 萬次。四是通過云端大流量對云存儲發起攻擊。諸如控制信息、工藝參數和工況狀態等敏感工業數據在云端存儲，諸多云服務需訪問數據以推進生產流程，

24、分布式拒絕服務攻擊會通過大量訪問導致存儲服務故障，從而影響工業生產效率。企業上云用云門檻增高。一是上云成本超預算風險。我國工業企業上云起步相對較晚，但在政府的大力推動下，我國工業企業上云的發展速度正在逐步加快，當前我國工業企業上云主要解決流程自動化工業領域云安全實踐指南（2024 年）10 運轉的業務需求，云成本的管理仍處于后置監控階段，正面臨云資源浪費、云賬單數據挖掘分析不到位、云成本優化流程管理不健全，以及多云環境下統一管理成本高等問題。二是云供應商鎖定風險。工業企業遍布全球各地，使用單一云供應商可能會面臨在某地域無數據中心可用的困境，導致企業無法遷移其工作負載。三是多云環境增加統一管理復

25、雜性。不同云服務提供商具有不同的管理界面、API 和工具，提升了跨云環境的統一管理與監控難度。企業需要投入更多的時間和資源來掌握多個云服務提供商的管理方式，或者尋找能夠跨多個云環境進行統一管理的第三方工具。（二）（二）業務跨境企業面臨嚴格安全合規與業務跨境企業面臨嚴格安全合規與即即時性要求時性要求 工業全要素的泛在互聯與工業數據的開放流動均得益于工業上云，然而擁有跨境上云業務的本土企業與上云的跨國企業，在開展業務時要符合各國家、司法管轄地的法律監管要求和規定，敏感業務數據的云上存儲與流動、跨國多云平臺的運營將為企業乃至國家安全帶來挑戰。各國數據安全法律尚存適用沖突，企業數據跨境存儲與流通面臨安

26、全考驗。2023 年 5 月 22 日，Meta 因將歐盟用戶數據跨境傳輸到美國違反 GDPR（General Data Protection Regulation，通用數據保護條例）規定，罰款近 12 億歐元。美國澄清境外數據的合法使用法要求美企必須將儲存在境內外的數據提交給政府。然而 GDPR 規定允許科技公司在提供適當的保障措施及法律救濟措施的前提下，將數據轉移至其他國家。歐盟監管機構以美國無法確保數據出境之后其保工業領域云安全實踐指南（2024 年）11 護水平不低于歐盟標準為由，開出了 GDPR 生效五年來的最高罰單。因此企業在開展跨境業務時，需考慮所涉多國的法律法規要求?？鐕嘣破?/p>

27、臺運營對企業業務支持的即時性提出高要求。企業上云后需要對云上資產進行可持續運營，包括監控和管理云上應用性能和可用性，跨國運營、跨團隊管理的多云平臺在應用升級、擴展和遷移時，需克服人員層面如時差和團隊協作，以及技術層面如云異構等不同層面帶來的挑戰。三、構建五維模型，提升工業領域云安全防護力 隨著工業數字化轉型進程的不斷深化，云計算作為支撐數字化的重要基礎設施底座，其重要性不斷提升，越來越多工業數據、設備和應用遷移到云端，云安全的重要性日益顯著?；谠瓢踩ぷ骺紤]，構建“工業領域云安全框架”，如圖 3 所示，該框架主要從治理、組織、技術、流程以及生態五個維度著手，提升企業云安全水平，為工業領域云計

28、算環境組成對象提供全方位的安全保障。來源：西門子（中國）有限公司 圖 3 工業領域云安全框架 工業領域云安全實踐指南（2024 年）12（一）（一）治理維度治理維度：構建工業：構建工業領域領域云安全云安全治理治理體系體系 主動與全球云安全監管合規標準對齊，構建全面系統化的云安全管理框架，覆蓋 IT 和 OT 層面，推動外部法規的內部化落地。一是明確云安全總體策略，包括制定企業云安全工作的總體目標，工作原則和安全框架等，為云安全體系建設提供頂層指導。在總體目標方面，明確對云端、邊緣層資產的機密性、完整性和可用性，確保業務連續性和合規性等方面目標，為后續云安全工作推動提供總體指引；在云安全工作原則

29、方面，明確云安全工作的基本原則，至少應包括最小權限原則、身份驗證與訪問控制原則、深度防御原則、持續監控與風險評估、業務連續性與恢復處置原則，以確保相關安全措施符合最佳實踐和行業標準；在云安全框架方面，制定針對云端基礎設施、主機安全、數據安全、應用安全以及邊緣層安全的管理框架和控制措施，為云安全體系建設過程中提供更具體的指導和依據。二是梳理適用的云安全合規要求，結合企業自身情況，明確具體云安全管理要求。企業需要明確適用不同國家/地區的法律法規和工業領域的監管要求，覆蓋云上網絡安全、數據安全等內容，例如歐盟 GDPR、CCPA（California Consumer Privacy Act，加利福

30、尼亞州消費者隱私保護法案）、HIPAA（Health Insurance Portability and Accountability Act，健康保險攜帶和責任法案），以及中國信息安全等級保護要求和關鍵信息基礎設施安全保護要求等；同時結合自身實際需求，如工業控制數據會隨著業務流程或生產過程在多云間進行流轉等特點，梳理云安全管理基線，為云安全管理活動中的各類內容建立統一管理制度，提出基本的安全管工業領域云安全實踐指南（2024 年）13 理要求。來源：西門子（中國）有限公司 圖 4 工業領域云安全管理體系（二）（二）組織組織維度維度：構建工業：構建工業領域領域云安全組織架構云安全組織架構 充分

31、考慮云計算帶來的網絡化組織結構，構建人員完備、責任清晰、結構設置合理的 IT/OT 信息安全組織架構，提供堅實的組織保障與人員支撐。在工業領域，跨國公司雖然能享有全球供應鏈與采購網絡帶來的成本優勢，但跨國團隊的云應用升級、擴展和遷移等運營管理操作卻面臨諸多不便。為克服時差、協作不便等挑戰，需要建立一個責任清晰、結構合理的組織架構。云安全組織架構建設包含組織結構和安全責任兩個維度。組織結構維度，一是，確保配備專職的云安全管理崗位及人員，如系統管理員、安全管理員和審計管理員等，負責監控和應對云安全威脅，及時采取必要的安全措施，確保企業在云環境中的數據與應用得到充分的保護；二是，加強云安全管理組織同

32、集團管理層、業務部門負責人、各職能部門及各供應商的溝通與合作，工業領域云安全實踐指南（2024 年）14 定期召開工作協調會議；三是，加強內部云安全管理部門同業界專家、外部安全組織、監管機構的合作與溝通，建立外聯單位清單。安全責任維度，內部責任劃分方面，上云前明確云安全管理部門的工作內容和應承擔的安全職責，定義各部門尤其是關鍵崗位的云安全責任，落實問責制度；外部責任劃分方面，工業領域 PaaS 和 SaaS 類云服務較多，為明確與不同云服務商之間的安全責任劃分，企業應與云服務商達成明確的責任劃分協議。來源：西門子（中國）有限公司 圖 5 工業領域云安全組織架構（三）（三）技術技術維度維度：構建

33、工業：構建工業領域領域云安全技術體系云安全技術體系 建立符合業界標準、適用 IT 與 OT 結合的云安全技術體系，以保障云上業務系統安全運行。在工業上云的過程中，橫跨 IT 和 OT 基礎設施，連接人、機、物和系統等各種對象，因此需要針對工業環境的獨特性和復雜性，從邊緣防護、基礎設施防護、平臺應用防護三個維度建立一個適應工業需求的云安全技術體系。工業領域云安全實踐指南（2024 年）15 來源：西門子（中國）有限公司 圖 6 工業領域云安全技術體系 邊緣防護保障 IT 與 OT 設備建立安全連接。在工業上云的過程中，邊緣防護需要關注以下幾個方面：一是邊緣數據處理安全，邊緣計算設備直接與生產現場

34、的設備相連，處理的原始數據可能包含敏感信息。為了確保數據處理過程的安全和可追溯，采取數據加密、訪問控制和數據水印等技術，保護數據在處理過程中的機密性和完整性，防止未經授權的訪問和數據泄露。二是工控協議設計安全，工控協議自身的安全設計、協議實現的正確性與安全性、協議與系統的兼容性以及協議的可擴展性是確保 IT 與 OT 設備間通信安全的必要條件。因此，在工控協議設計過程中，需要充分考慮上述因素，確保協議能夠有效地保護通信數據的安全性和可靠性。三是數據集成安全，工業數據集成平臺通常連接不同工業設備和系統，需確保平臺本身的安全性、通信協議的安全性和數據處理過程的安全性，通過采用數據加密、訪問控制、審

35、計日志等，保障數據在傳輸和存儲過程中的機密性和完工業領域云安全實踐指南（2024 年）16 整性。四是接入安全，為了確保只有合法的實體可以接入云邊，需要采用訪問控制隔離技術手段，實現準入認證。通過對設備的身份進行驗證和授權，以及實施網絡安全隔離等措施，僅通過認證的設備才能獲得訪問權限并接入云邊，從而確保系統的安全性?；A設施防護保障信息科技資源安全。在工業上云的過程中，基礎設施防護需要關注以下幾個方面：一是機房基礎設施安全，機房物理選址應遠離自然災害高發區，機房物理環境指標如溫濕度、空氣質量等處于適宜狀態，采取必要的備份供電系統和冗余設備等措施來確保供電的穩定性，嚴格限制機房進出人員，對機房內

36、重要設備進行全天候實時監控。二是虛擬資源安全，保障虛擬計算、存儲、網絡資源的安全，及時對虛擬機補丁進行管理，并開展安全更新，定期對虛擬機備份操作，確保發生安全事件時能夠及時恢復數據，通過虛擬網絡隔離實現虛擬機隔離，并對虛擬機間傳輸的數據進行加密。三是接入安全，使用多因素身份驗證、設置訪問權限和角色分配等措施，嚴格控制虛擬資源的訪問權限。同時，應使用專有網絡進行連接，在基礎設施層面限制未經授權的訪問以防止潛在的入侵行為，從而保障信息科技資源的安全性。平臺應用防護保障工業數據流轉安全與工業軟件研發階段的安全。一是數據安全，對設備采集數據、設備運行數據以及業務系統數據等在采集、存儲、傳輸、使用、交換

37、、銷毀等環節引入安全措施。數據采集過程中，應加強企業敏感數據收集人員、設備的管理，并對收集來源、時間、類型、數量、頻度、流向等進行記錄。數據傳輸過工業領域云安全實踐指南（2024 年）17 程中，應采用校驗技術、密碼技術、安全傳輸通道或者安全傳輸協議等措施傳輸企業敏感數據。數據存儲過程中，應采用校驗技術、加密存儲等安全存儲管控措施，并實施數據容災備份和存儲介質安全管理，定期開展數據恢復測試。數據使用過程中，應采用數據匿名化、數據脫敏等技術，防止隱私泄露，并實施必要的權限控制，保障數據在授權范圍內被訪問與處理。數據交換過程中，應與數據獲取方簽訂數據安全協議，對數據獲取方數據安全保護能力進行核驗，

38、保障企業提供的敏感數據可安全地進行交換。數據銷毀過程中，數據處理者應當建立數據銷毀制度，明確銷毀對象、規則、流程和技術等要求，并對銷毀活動進行記錄和留存。二是研發安全，在工業軟件研發過程中，需開展安全需求分析和風險消減設計，并對源碼進行安全掃描和功能模塊的安全性測試。在應用發布前對安全節點進行檢查，以確保研發過程全生命周期安全。三是安全運營，梳理組織的各類工業資產與云上資產，完善云上云下資產統一管理體系以減少“影子 IT”，為網絡與應用設置基本安全策略，摸排云上軟件基礎安全配置，對 IT 和 OT 資源進行威脅和漏洞管理，從工業軟件收集數據進行安全分析、威脅溯源等，保障工業 PaaS 平臺或

39、SaaS 應用安全運行。四是安全接入，通過統一設備身份認證，禁止未認證終端接入云端，避免因設備漏洞被利用而導致的威脅滲透風險。同時，應使用加密通訊保障工業數據在終端與云端間傳輸過程的機密性與完整性。（四）（四）流程維度流程維度：構建工業：構建工業領域領域云安全運營流程云安全運營流程 充分考慮云計算為云上系統帶來的互聯互通性，構建完備的信息工業領域云安全實踐指南（2024 年）18 安全運營的流程體系，輔助云上安全管理流程的持續改進。安全運營在維護 IT 和 OT 資產方面發揮至關重要的作用，除了基礎的安全防護技術之外，應考慮為風險管理、安全運維、安全開發、安全審計和應急響應與處置建立完備的制度

40、體系，促進安全策略、安全組織和安全技術的深度融合，為工業企業數字化轉型提供有力保障。一是風險管理，梳理受保護的 IT 和 OT 資產，并定期開展資產識別，結合其對業務安全的影響程度進行分類，根據企業自身風險承受能力，確定風險偏好和可接受的風險等級，針對不同等級的風險制定相應的處置策略。二是運維管理，建立包含資產管理、設備維護管理、變更管理、外包運維管理、配置管理相關制度為云上應用或平臺進行運維。資產管理可實現云上云下各類資產的全生命周期管理，通過定期維護工業設備，正確配置工業軟件，確保整個工業系統的正常運行，在開展變更時對變更進行合理性審核，對步驟進行記錄，便于跟蹤和管理。此外，對外部供應商包

41、括云服務商、工業設備供應商等進行管理與監督，確保其按照事先約定的要求和標準執行運維任務，并與企業內部的安全運維體系協同工作。三是開發管理，制定安全的開發管理規范和流程，根據工業場景特點，建立安全開發規范，包括安全編碼、安全配置、安全開發工具使用、安全風險消減設計等；在研發過程中，對軟件版本進行控制，對依賴組件與代碼進行審查，制定代碼審核機制以及代碼合入準則；軟件部署上線前，規范發布流程，提供安全回滾和備份機制。四是監管審查，一方面，對于企業自身而言，定期開展安全自查和外部審查，檢查安全工作落實的有效性，配合政府監管部門工業領域云安全實踐指南（2024 年）19 開展安全審查或取證。另一方面，對

42、于企業所使用的云服務供應商，定期對其服務進行合規性評估。五是安全事件應急與處置管理，針對工業系統中可能出現的各類安全問題，建立安全事件的檢測、上報、評估和響應流程，監督安全事件的處置進度并對其復盤，持續優化和改進響應流程。來源：西門子（中國）有限公司 圖 7 工業領域云安全運營流程（五）（五）生態生態維度維度：構建工業：構建工業領域領域云安全生態鏈條云安全生態鏈條 充分考慮云計算為生態間協作帶來的便利性，鏈接工業產業鏈上下游企業間的協同合作，實現資源共享和價值創造。建立開放式數字商業平臺，一方面賦能工業用戶，提供安全解決方案，另一方面為自身、工業合作伙伴和安全供應商帶來商業價值，通過將產業鏈上

43、各環節安全解決方案組合，提供一站式解決方案，協同為工業用戶提供安全服務和產品，充分釋放工業企業自身與安全生態伙伴各自優勢。一是打造先進多樣的數字化業務組合。一方面，建立安全的開放式數字工業領域云安全實踐指南（2024 年）20 商業平臺底座，保證提供服務的云平臺安全。另一方面，驗證生態合作伙伴所提供產品或服務的安全性，共同打造模塊化、端到端的數字化業務組合。二是打造開放互利的生態合作體系。積極引入合作伙伴，發展協同機制，通過共享安全信息、技術合作、安全風險共擔等共同應對工業安全威脅。三是打造持續迭代的數字商業平臺。打造集探索、教育、交流和交易功能于一體的平臺，通過一站式解決方案，向用戶提供更加

44、全面的服務，覆蓋產業鏈上、中、下游，賦能工業用戶運營各環節，提升工業用戶體驗。來源：西門子（中國）有限公司 圖 8 工業領域云安全生態鏈條 四、工業領域云安全參考實踐 為了更好的應對工業企業上云后的安全挑戰，企業可在“工業領域云安全治理框架”的指導下，基于企業自身業務特征及上云的不同階段，彈性靈活地選擇云安全實施方式。云安全實施方式主要分為兩種：一是技術積累深的企業自行建設，通過加大研發及相關資源投入，工業領域云安全實踐指南（2024 年）21 加強自身云安全人才儲備等方式，獲得定制化程度較高的安全解決方案；二是借助生態賦能，考慮安全投入及效能，選擇優勢互補的合作伙伴，采納專業的云安全服務及技

45、術解決方案，高效補齊云上安全短板，覆蓋安全咨詢、運維管理、安全培訓等方面。兩種實施模式互不沖突，靈活互補。來源：西門子（中國）有限公司 圖 9 云安全服務目錄（一）（一）上云前：規劃策略，評估風險上云前：規劃策略，評估風險 工業企業從傳統信息化模式向云計算模式遷移，需要開展深入的需求分析與風險評估，以幫助企業了解自身業務、技術等方面的需求，梳理上云過程中可能遇到的風險，提前規劃相應的應對策略，并審慎選擇云供應商，為云安全活動的實施打下堅實的基礎，保障其業務免受不必要的風險和損失。工業領域云安全實踐指南（2024 年）22 來源：西門子（中國）有限公司 圖 10 上云前安全準備 深入開展云安全需

46、求分析，明確工業企業上云安全目標。2強化云安全管理規范建設，明確企業能否上云，以及上云安全目標，制定云上資源管理、數據安全保護、應用程序遷移等規范，形成云上安全基線標準要求、合規性要求等適用于云計算環境的安全方針，指導云安全管理方向，提升管理能力。明確云安全組織架構，建立云安全管理委員會，該委員會由業務部門、云安全管理部門等相關部門的核心成員共同組成，負責進行重大云安全決策和資源協調。同時，設立云安全管理部門，專職承擔日常云安全管理事項，包括安全策略制定、安全事件響應、定期安全檢查等，為云安全管理提供堅實的組織保障。建立企業上云需求分析流程，收集業務與技術安全需求，同時考慮資產敏感度、法律法規

47、或標準中的安全要求等，形成安全管理要求清單，結合云環境特點，創建與云環境契合的安全管理流程，覆蓋安全管理組織、網絡安全、數據安全、開發安全、身份與訪問管理、隱私保護 2 本段部分內容參考 GB/T 31167-2023 6.5 需求分析 工業領域云安全實踐指南（2024 年）23 與合規等內容。實施風險管理，識別并應對潛在安全威脅與風險，為工業企業上云的后續活動保駕護航。建立云安全風險管理機制，一是以安全目標和策略作為風險評估基準，明確風險評估的目標、范圍、方法和時間計劃，建立云安全風險評估框架和原則，指導風險評估工作開展；二是制定企業的信息安全風險接受準則，根據自身的風險承受能力確定風險偏好

48、和可接受的風險等級，在投入有限的資源時做出更加合理的安全決策。組建具備專業技能和經驗的云安全風險管理團隊，由業務、技術、安全、合規等領域的專家組成，負責識別上云過程中可能面臨的多種安全風險，制定風險控制措施，監控云環境的安全風險狀況并定期開展安全風險狀況評估，為風險管理工作的全面落實提供有力保障。建立云安全風險評估流程，明確風險識別、評估和應對具體步驟和方法，包括確定評估范圍；通過問卷調查、訪談、工具掃描、手動檢查文檔審閱等方式，匹配分析脆弱性和威脅，識別潛在信息安全風險，風險源可以來自相關標準的要求、安全事件、內審結果等；綜合考慮風險的原因、發生的概率、帶來的影響、現有的管理措施等因素對識別

49、出的安全風險進行分析和定級，評估風險的嚴重程度；對于不同等級的風險，結合企業的風險偏好，制定不同的處置策略，定期檢查風險處置措施的有效性?；谏显菩枨筮x擇安全、合規的云服務商，共同定義安全責任，維護云環境的安全與穩定。制定云服務商管理與評估標準，一是對云服務商的資質和云服務合同提出要求，確保云服務商具備必要的技術工業領域云安全實踐指南（2024 年）24 能力和服務水平，同時保證合同條款的公平性和合規性；二是制定詳細的云服務商評估標準，包括對云服務商的資質、技術實力、服務水平、合規性、安全事件響應等進行全面評估。明確與云服務商的安全責任劃分，與云服務商共同制定可用性保障措施和標準，約定服務等級

50、協議（SLA）、云服務商架構的高可用性等，確保包含針對未達到服務水平的處罰或退出條款。（二）（二）上云中：平穩遷移，縱深防御上云中：平穩遷移，縱深防御 工業企業通過遷移至云環境，可以享受更為靈活、高效的資源服務，然而云環境具有的強分布式與高彈性特點，令上云后的工業設備間交互與云上應用服務間的依賴關系更為復雜，提升了云安全防護的難度。確保工業企業上云過程的安全可控，構建云上縱深防御能力，對于保障云上信息資產的安全和業務的穩定運行至關重要。來源：西門子（中國）有限公司 圖 11 上云中安全保護 關注云遷移過程安全，保障業務上云后正常運行。制定云遷移安工業領域云安全實踐指南（2024 年）25 全管

51、理要求，根據不同應用和系統的不同架構、數據量、安全需求等特點，定制化遷移策略和計劃，包括評估遷移風險、確定遷移順序、制定測試計劃、規劃備份策略等。選擇適當的云安全遷移技術，識別不同應用程序向云上遷移的安全風險，例如業務中斷、網絡中斷、數據丟失等，選擇適當的技術解決方案，例如采用增量遷移技術、使用專用網絡、使用安全的傳輸通道傳輸數據等。設置云遷移自動化流程，通過設計自動化腳本為應用程序固化遷移路徑，內容包括網絡、安全、監控以及配置管理等內容，使應用程序能夠自動、快速地遷移到云上，監控安全與合規性需求及事件，并有助于減少人為因素導致的安全風險。強化云上安全冗余能力，構建多層次化防護。設計安全架構，

52、設計高可用冗余架構，實施工控網絡和企業內網分區隔離管理，注重主機層面的安全加固和防御能力提升，采用嚴格的應用安全策略，并設計設備層的身份鑒別機制。采用安全技術，網絡層采用 VPC 進行分區隔離并采用邊界防火墻、入侵檢測系統和入侵防御系統等以檢測和阻止網絡攻擊；主機層定期推送安全補丁，及時修復安全漏洞，加強主機安全防御能力；應用層部署應用防火墻、應用安全掃描和漏洞修復工具，防范應用層面攻擊和漏洞利用；設備層采用強密碼策略、多因素認證等身份鑒別方式，防止未授權訪問或惡意控制等。建立安全弱點識別與防御體系動態調整機制，定期開展安全評估識別云平臺與云應用系統弱點，調整云上受保護資產范圍，防御體系下云安

53、全工具聯動，及時響應新的威脅，持續提升安全防御能力。工業領域云安全實踐指南（2024 年）26 強化企業云平臺數據安全保護，確保云上數據資產的機密性、完整性和可用性。制定云上數據安全管理要求，一一是滿足對標地域的數據安全法律法規要求，例如識別數據跨境傳輸場景并進行風險評估與合規申報；二是針對上云業務中涉及的數據，結合云上數據分散分布的特點，制定云上數據安全管理要求。建立數據安全保護組織，識別數據安全法律法規，對公司內部的數據安全合規情況以及員工按照管理與合規要求的履職情況等進行評估；提供數據安全培訓和教育，提高員工的安全與合規意識。構建數據安全保護技術體系，一是全面梳理數據并進行分類，識別出重

54、要數據和敏感數據等，基于數據特點，采取針對性的安全保護技術；二是通過加密算法和協議對數據進行加密，包括對傳輸中的數據加密和對靜態存儲中的數據加密；三是部署數據安全防泄漏工具，識別和監測敏感信息，一旦檢測到異常行為或潛在的數據泄露風險，立即發出警告，由安全團隊進行處理。建立數據全生命周期安全防護流程，在采集階段遵循最小化原則，獲得數據主體的明確授權同意，確保數據收集來源的合法性并與用戶隱私政策一致，公開告知用戶數據收集的目的、范圍和使用方式等；在傳輸階段，明確加密算法的選擇、傳輸協議的安全、加密通道的設置、完整性驗證；在存儲階段，實施加密存儲、不同級別的數據按照分類分級標準隔離存儲、多重備份；使

55、用階段，數據共享、轉讓、對外提供等符合當地法律法規要求與合同約定；在數據處理階段，明確數據脫敏處理流程，定義數據分析安全要求，規范數據使用，制定數據處理環境的安全控制措施并設置數據導入導出審核流程；在數據交換階段，工業領域云安全實踐指南（2024 年）27 定義數據共享場景并明確相應審批流程，制定數據接口安全控制策略；在數據銷毀階段，設置數據銷毀策略，明確數據銷毀場景、銷毀對象、銷毀方式和銷毀要求，并建立數據銷毀審批流程。訪問控制覆蓋身份全生命周期，規范主體訪問行為。制定授權管理要求，梳理工業流程涉及的用戶角色，定義用戶角色的職責和權限范圍，明確添加、修改或刪除角色和權限的方式，規定用戶角色分

56、配流程，并設立權限驗證與審計機制。建立完整的用戶身份全生命周期管理流程，涵蓋權限申請、審批、分配、回收以及過期處理等各個環節，嚴禁賬號共享行為，針對個人信息處理崗位人員的變動情況，如調離崗位或終止勞動合同，及時調整和更新其關聯的權限配置，定期進行權限復核，并保存詳細的檢查記錄，以確保權限管理的有效性和合規性。選擇適合的訪問控制工具，部署基于零信任理念的 IAM 實現身份生命周期管理和權限集中管理，并通過 PAM 監控和保護具有特權訪問權限的用戶。（三）（三）上云后：持續優化，安全用云上云后：持續優化，安全用云 安全上云標志著云安全管理的新起點，盡管在上云中已經構建了多層次的云安全防護體系，但云

57、安全仍需持續關注和努力。工業企業在遷移至云端后，仍需持續加強云資源的運維工作，并不斷提升員工的安全意識，從而構建一個日益完善的安全防護網絡，以有效地防御各種潛在的安全風險。工業領域云安全實踐指南（2024 年）28 來源：西門子（中國）有限公司 圖 12 上云后安全管理 基于應用開發平臺對工業軟件的研發流程實施安全管控。一是開發階段，在鏡像創建之前排查配置編排文件及鏡像的安全風險，包括IaC（Infrastructure as Code，基礎設施即代碼）相關的配置部署腳本，如 Dockerfile、K8S Manifests 等，以及鏡像安全，如容器、操作系統鏡像和鏡像倉庫的安全掃描，并嵌入

58、DevSecOps 流水線。二是發布部署階段，在容器運行之前預防容器配置及容器編排平臺生態（K8S 組件）安全風險，檢測主機層面操作系統漏洞；三是運行階段，實施主機入侵檢測及容器運行時安全檢測，同時對微服務應用進行類型識別與安全漏洞檢測，建立容器東西向網絡安全隔離策略，實施集群的統一安全檢測和合規審計。持續開展安全運維，即時發現和處理潛在隱患，以適應不斷變化的安全威脅環境。一是安全態勢監控。工業企業應部署安全檢測和日工業領域云安全實踐指南（2024 年）29 志分析工具，實時監控云環境中的異?；顒雍蜐撛谕{，收集并分析各種日志和安全事件信息，掌握云環境狀態，以及時發現可疑行為，并迅速采取相應的

59、處置措施；二是加強云安全漏洞管理。建立漏洞管理流程，明確漏洞的發現、報告、修復和驗證環節管理要求，明確漏洞掃描頻率并制定詳細的漏洞掃描計劃；選擇合適的漏洞掃描工具，發現云環境中的各類安全漏洞，并結合機器學習和人工智能，進行大量的安全數據分析，自動發現新的和未知的漏洞，提高漏洞掃描的效率和準確性。三是建立事件響應機制。制定事件響應管理規范，明確事件發現、事件報告、事件處理等環節的要求，并規定在發生安全事件后與外部供應商和內部人員之間的協作方式，確保在發生安全事件時能夠迅速、有效地應對；組建事件響應團隊，由專業的技術人員、安全管理人員和管理層組成，具備快速響應和處置能力，負責處置各類安全事件，能夠

60、迅速分析事件原因、定位攻擊源頭并采取有效的措施進行處置。四是開展安全審計。制定云安全審計政策和規范，明確審計的目標、范圍、方法和頻率，全面深入地審查云環境的安全狀況；設立云安全審計團隊，明確團隊成員的職責和角色，定期審計公司云安全策略的執行情況；采用自動化審計工具，如配置核查工具、漏洞掃描工具、日志分析平臺等，提高審計效率和準確性，將審計工具與其他安全防護措施（如防火墻、入侵檢測系統等）相集成，實現安全信息的共享和聯動處置；制定詳細的云安全審計流程，包括審計計劃的制定、審計實施、結果分析和報告編寫等步驟，評估和驗證安全策略和流程、數據安全、隱私保護、基礎設施安全、服務可用性和性能、工業領域云安

61、全實踐指南（2024 年）30 安全事件和漏洞監控、安全日志等，識別潛在的安全隱患和漏洞，建立審計問題的跟蹤和整改機制，確保審計發現的問題得到及時有效的處理，實現對云服務的全面安全管理。加強安全培訓，提高員工云安全認知水平和威脅防范能力。完善培訓管理流程，明確培訓目標和內容，確保培訓的針對性；定期更新培訓內容，保障培訓的時效性；評估培訓效果，確保知識傳遞的準確性，例如通過考試、問卷調查等方式；建立培訓反饋機制，為員工提供培訓反饋渠道，以優化培訓流程和內容。建設專業培訓團隊，由具備云安全專業知識和豐富經驗的人員組成云安全培訓團隊，以有效傳達安全知識。五、工業數字化轉型云安全發展趨勢及建議（一）工

62、業領域云安全技術發展趨勢工業領域云安全技術發展趨勢 零信任升級云安全防護理念，助力工業實現面向資產的安全檢測與防護。隨著工業數字化轉型走深向實，工業設備、軟件與數據的上云進程逐步加快，工業資產安全防護成為重中之重。云下資產方面，工業設備通過物聯網網關與云端連接，此間通訊協議復雜，且終端設備安全防護能力弱；云上資產方面，工業領域云環境中的數據和應用程序不斷變化，需要持續監控其安全狀態。零信任秉持“持續驗證，永不信任”的理念，默認不信任任何接入終端，對訪問終端與被訪問資源進行持續的安全評估和驗證，依托工業控制安全態勢感知系統的AI（Artificial Intelligence，人工智能）安全監測

63、，靈活的為多種工業場景提供精細化安全策略與基于時效性的訪問控制，能夠保障工業領工業領域云安全實踐指南（2024 年）31 域云上云下資產訪問的全流程安全。生成式人工智能激發云安全賦能業務潛力，通過自然語言交互在工業現場提供安全咨詢。工業領域大多數產線員工缺乏安全背景，生成式人工智能可以將工業領域 IT 與 OT 安全的經驗和知識沉淀形成大模型，基于生成式人工智能的虛擬專家助手可以顯著提高云安全操作和管理的效率和質量。一是虛擬專家助手可以立即響應安全事件和查詢，無需等待人工干預，這有助于迅速應對潛在的威脅和問題；二是虛擬專家助手可以全天候工作，不受時間限制，能夠處理來自全球不同地區的安全事件和請

64、求；三是虛擬專家可以支持多種語言，使其在全球范圍內更易于使用；四是生成式 AI 可以不斷學習和改進，從新的數據和安全事件中不斷積累經驗，提高其識別威脅和問題的準確性；五是生成式 AI 可以與其他安全工具和系統集成，提供更全面的安全解決方案。（二）（二）工業領域云安全產業發展建議工業領域云安全產業發展建議 規范保障，完善工業領域云安全標準體系構建。隨著全國新型工業化推進大會的成功召開，我國將持續提升工業現代化水平，工業產業將繼續朝向數字化與智能化方向發展，工業設備、工業軟件與工業數據上云將持續加速。目前，大部分已發布和在研標準均針對云計算安全，如國家標準信息安全技術 云計算服務安全指南和信息安全

65、技術 云計算服務安全能力要求，通信行業標準云安全成熟度模型，也有少部分針對工業設備上云安全標準，如工業互聯網設備上云安全技術要求，尚未構建針對工業領域的云安全標準體系，工業領域云安全實踐指南（2024 年）32 而工業領域因其時延敏感、工控穩定性高等特殊要求，在上云后對信息安全與通信安全都有特殊訴求，如工業數據傳輸環境和工業設備與網絡所處運行環境等，加快具有針對性的標準研制和規范工作，構建成熟度評價體系，對推動工業領域云安全發展具有重要意義?？萍假x能，推動云安全技術應用成為工業發展的內生動力之一。隨著云計算技術的不斷發展，云安全技術涌現，工業企業應積極使用云安全技術提升工業領域云服務的安全性和

66、穩定性。通過開展容災備份與恢復演練保障業務連續性，維持工業制品生產效率；采用高效的工控數據加密技術優化系統性能，降低性能損失。同時，通過規?；厥褂迷瓢踩夹g，提升工業信息化水平，為企業創造更加靈活和安全的 IT 環境，快速搭建安全的工業應用與服務，進一步推動工業創新與發展。引領布局，加速云安全與工業產業鏈協同發展。工業用戶需求已經從單一的產品向產品及服務方向升級，工業上云促進企業 IOT 要素全面升級、激發數據要素價值釋放、變革工業商業模式，最終推動工業企業從提供產品的服務向提供用戶所需的產品及服務轉變。工業企業應利用其處于價值鏈上游的優勢，主動聯合云服務商、安全廠商增值工業價值鏈，以整合的

67、工業產品與云安全服務向用戶提供一站式解決方案，在此過程中，云安全應與先進制造、信息科技等技術融合發展，力爭在生產企業的核心競爭力中占據一席之地。工業領域云安全實踐指南（2024 年）33 附錄 案例一：自動垃圾分揀 某電子制造業燈塔工廠在數字化轉型過程中，希望通過上云賦能生產提效及業務創新。利用工業相機與工業邊緣設備將圖像數據傳輸到某云服務提供商云端，通過機器學習智能識別危險廢物，實現自動化垃圾分類。隨著工業邊緣設備的規?；褂?，云上資產規模迅速增加，為工廠基于云的安全運營帶來挑戰：一是云上資產可見性缺失。一方面，工廠在數字化轉型前的傳統資產管理系統不適用于云環境，工廠難以對現有云上資產進行管

68、理。另一方面，工廠多云的選擇為云上資產管理帶來管理復雜性的挑戰。二是資產配置合規風險提升。傳統資產配置措施主要面向 IT 與 OT 設備，無法匹配云上新增資產的配置合規檢查需求，造成云上資產配置合規風險提升。燈塔工廠通過以下手段解決上述問題。一是提升云上資產可視化能力。開放式數字商業平臺 Xcelerator3面向工廠提供云安全管理解決方案，通過對業務部署非侵入式的代理，云安全管理平臺可收集工廠在云上的資產信息，建立實時更新的云資產目錄清單，統一管控云資產所屬的云服務賬號，資產的類型，詳情信息等，幫助工廠實時獲得云上資產分布及安全風險全貌。二是基于自定義合規模板的云上安全合規監控?；谠瓢踩?/p>

69、護平臺提供的云上配置合規模板，如 SOC2、等保 2.0 等，結合工廠安全實踐積累的自定義規則，形成一套完整的 3 Siemens Marketplace(siemens-)致力于打造先進多樣的數字化業務組合和開放互利的生態體系。工業領域云安全實踐指南（2024 年）34 配置合規規則庫，以此為基礎進行持續配置合規檢查，最大程度降低工廠云資產配置的安全合規風險。案例二：設備故障自動檢測 某電子制造業企業產品生產過程中遇貼片機故障，產線需要找到高級工程師，根據機器所報錯誤代碼人工分析問題原因。為提升生產效率，該企業在某云服務提供商云端建立云上知識圖譜，產線人員可自己根據錯誤代碼按故障知識庫進行處

70、理，快速、高效修復貼片機故障。隨著云上知識圖譜的內容不斷豐富，以及使用知識圖譜的產線人員不斷增多，企業需管理的云上數據資產與運營的云賬號體量增大，為云上安全運營帶來挑戰：一是云上業務數據安全風險。故障解決技術與經驗沉淀而成的知識圖譜需要在云端存儲，若安全防護措施不到位，存在數據泄露風險。二是云基礎設施存在權限管理風險。為運營知識圖譜，企業開通了若干公有云賬戶，尚未嚴格按權限需求進行權限分配，存在過度授權，使攻擊者有機可乘。該電子制造業企業通過以下手段解決上述問題。一是云上數據安全管理助力工廠保護重要業務數據及隱私數據。云存儲安全防護平臺通過持續檢測存儲在云上對象存儲中每個存儲桶內的數據，及時發現隱私數據、重要業務數據及惡意文件等數據，實時監控數據泄露風險，保護工業重要業務數據及隱私數據云上數據安全。二是云基礎設施權限管理?；谧钚嘞奘跈嘣瓌t對云賬戶的云資源和數據訪問權限進行持續監控，及時發現過度授權賬號并定期清理非活躍賬號，保障多工業領域云安全實踐指南（2024 年）35 個云賬號權限策略管理一致性工業領域云安全實踐指南（2024 年）1 編委會編委會 胡建鈞，侯文勝、郭雪，陳蓓華、劉亞興，吳倩琳，孔松，郭代飛、閆韜、楊榮舉，房婧婧，齊麟，浦煒、袁賽東、曹雷、鄧瑤，鄭雅茹，趙蒙、莫寧琛、王斌、裴旭、許智、趙志成、周鵬程、姚盛楠