国家标准计划《工业互联网安全能力成熟度评估规范》由 TC485（全国通信标准化技术委员会）归口 ，主管部门为工业和信息化部（通信）。

主要起草单位 中国信息通信研究院 、北京奇安信科技有限公司;四川天邑康和通信股份有限公司;通鼎互联信息股份有限公司;新华三技术有限公司 。

当前，以互联网与工业融合发展为重要切入点，新一代信息技术正在全球范围内驱动新一轮产业变革，工业互联网强势崛起，成为全球经济的新增长点。

工业互联网广泛应用于能源、交通以及市政等关系国计民生的重要行业和领域，已经成为国家关键基础设施的重要组成部分，一旦受到网络攻击，将会造成巨大经济损失，并可能带来环境灾难和人员伤亡，危及公众生活和国家安全。

近年来，针对工业互联网的网络攻击日益加剧，2010年的“震网”病毒、2012年的 “火焰”病毒、2014年的Havex病毒等不断出现，给用户和国家安全造成严重威胁。

2015年12月，乌克兰电力系统遭到网络攻击，导致大规模电力中断，约140万人受到影响。

随着工业融合创新以及工业互联网的不断演进，工厂环境更加开放，未来工业互联网安全主要面临以下几方面的问题，一是设备安全问题。

未来生产装备和产品将越来越多的集成通用嵌入式操作系统及应用软件，海量设备将直接暴露在网络攻击之下，木马病毒在设备之间的传播扩散速度将呈指数级增长。

二是网络安全问题。

工厂网络向“三化（IP化、扁平化、无线化）+灵活组网”方向发展，现有针对TCP/IP协议的攻击方法和手段成熟，可被直接利用攻击工厂网络。

三是控制安全问题。

现有控制协议、控制软件等在设计之初主要基于IT和OT相对隔离以及OT环境相对可信这两个前提， IT和OT的融合打破了传统安全可信的控制环境，网络攻击从IT层渗透到OT层，从工厂外渗透到工厂内，但目前有效的APT攻击检测和防护手段缺乏。

四是应用安全问题。

网络化协同、服务化延伸、个性化定制等新模式新业态的出现对传统公共互联网的安全能力提出了更高要求。

五是数据安全问题。

工业领域业务应用复杂，数据种类和保护需求多样，数据流动方向和路径复杂，重要工业数据以及用户数据保护难度增大。

工业互联网安全的重要性日益突出，但目前还缺乏有效的安全能力评估模型和方法，也没有统一的标准作为指导。

本标准针对工业互联网安全能力成熟度评估提出了具体模型、评估方法以及流程等。

。

1.范围 本标准针对工业互联网行业相关企业对于安全防护的要求，规定了工业互联网安全能力成熟度的评价标准，包括成熟度等级划分、等级评价指标体系、成熟度能力评估流程、，适用于企业工业互联网应用的研发与管理。 2.主要技术内容 （1）成熟度等级划分：明确工业互联网安全能力成熟度从总体上等级划分，以及各等级所应实现的目标； （2）等级评价指标体系：明确每个成熟度等级的评价标准； （3）成熟度能力评估流程：包括评估人员的构成、评估实施步骤、评估实施形式、评估模型的使用方法等。