国家标准计划《信息安全技术 工业互联网平台安全要求及评估规范》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 树根互联技术有限公司 、中国电子技术标准化研究院 、北京工业大学 、华为技术有限公司 、江苏徐工信息技术股份有限公司 、青岛海尔工业智能研究院有限公司 。

为贯彻落实党的十九大精神，国务院常务会议通过《深化“互联网+先进制造业”发展工业互联网的指导意见》（以下简称《指导意见》），指出要以推进供给侧结构性改革为主线，结合实施“中国制造2025”和“互联网+”，加快建设和发展工业互联网，促进新一代信息技术与制造业深度融合；指导意见要求完善工业互联网规则体系,明确工业互联网网络的基础设施地位,建立涵盖工业互联网网络安全、平台责任、数据保护等的法规体系。

政策、产业、标准体系建设等方面急需制定工业互联网平台相应的安全要求及评估规范，为国家主管部门、工业企业、第三方测评机构等开展安全建设、管理、检查、自查、风险评价等工作提供可量化理论依据。

本标准适用于第三方评估机构开展工业互联网平台安全防护水平评估工作，指导第三方评估机构采用访谈、检查、测试等多种方式，制定相应安全评估规范，并实施安全评估；可以作为工业互联网平台相关组织开展自评估工作、构建工业互联网平台安全综合保障体系提供参考。

本标准描述工业互联网平台安全要求，具体防护内容、防护范围、防护等级等，指导工业企业、第三方测评机构开展工业互联网平台安全防护评估工作，系统性评价目前工业互联网安全控制措施抵御安全风险的科学性、有效性和可操作性。 主要技术内容： 1. 识别工业互联网平台安全威胁及风险 工业互联网平台融入工业应用的特点，和传统的云平台主要的区别： 通过大范围、深层次的数据采集，以及异构数据的协议转换与边缘处理，构建工业互联网平台的数据基础； 通过虚拟化技术提供处理、存储、网络和其它基本的计算资源，用户能够部署和运行软件，包括操作系统和应用程序； 基于通用PaaS叠加大数据处理、工业数据分析、工业微服务、工业APP等创新功能，构建可扩展的开放式云操作系统； 形成满足不同行业、不同业务场景的应用，形成工业互联网平台的最终价值。 结合现状调研分析、云计算软件安全技术架构、工业互联网平台的特点，分不同章节分别详细分析工业互联网平台中接入安全、网络安全、数据安全、平台安全、应用安全、管理安全、运维安全、风险管理等存在的共性的安全威胁及风险。 2. 明确工业互联网平台安全技术要求 基于工业互联网平台软件架构，结合工业互联网平台所面临的安全威胁及风险，制定工业互联网平台安全技术架构，明确工业互联网平台的安全防护目的。主要研究内容包括： 接入安全：防止数据泄漏、被侦听或篡改，保障数据在源头和传输过程中安全。 平台安全：确保工业互联网平台的代码安全、应用安全、数据安全、Web应用安全。 访问安全：通过建立统一的访问机制，限制用户的访问权限和所能使用的计算资源和网络资源实现对工业互联网平台重要资源的访问控制和管理, 防止非法访问。 数据安全：包括数据分类分级、机密性保护、完整性保护、数据备份恢复、数据安全销毁等。 网络安全：包括网络与边界的划分隔离、访问控制、机密性与完整性保护、异常监测、入侵防范、安全审计等。 主机安全：在数据存储和处理的保密性、完整性，可用性，包括硬件、固件、系统软件的自身安全，以及附加的安全技术和安全管理措施，从而建立一个完整的主机安全保护环境。 管理安全：加强用户管理、访问认证、安全审计等方面的管理；提高对异常情况和突发事件的应急响应能力，保障云业务在发生安全事件时，可以快速恢复业务，保障云计算系统的业务连续性。 安全预防：通过管理安全、运维安全、风险管理等防护预防安全事故的发生。 3. 明确工业互联网平台安全评估规范 针对工业互联网平台安全防护的特点，提出了工业互联网平台安全防护规范，从工作流程、评估准备、评估方案编制、现场实施、形成结论等方面对工业互联网平台安全评估工作提出规范性指导，为系统评价工业互联网平台安全防护措施的科学性、有效性和可操作性提供参考。