m o c . 5 b u h t i g 工业互联网标识解析 安全白皮书（2020） 工业互联网安全系列研究报告 国家工业信息安全发展研究中心 CHINA INDUSTRIAL CONTROL SYSTEMS CYBER EMERGENCY RESPONSE TEAM 工业信息安全产业发展联盟 National Industrial Security Industry Alliance 版权申明 心 中 业信息安全发展研究中心和工业信息安全产业发展联盟” 。 究 违反上述声明者，将追究其相关法律责任。 研 展 发 全 安 息 信 业 工 家 国 本白皮书版权属于国家工业信息安全发展研究中心和工 业信息安全产业发展联盟，并受法律保护。转载、摘编或利用 其它方式使用本白皮书文字或观点的，应注明“来源：国家工 h t i g b u m o c . 5 序 国家工业信息安全发展研究中心（工业和信息化部电子 第一研究所）简称国家工信安全中心，是工业和信息化部直 心 好地推动工业信息安全事业发展，国家工信安全中心于2018 中 究 年9月成立保障技术所。 研 自成立以来，保障技术所始终坚持贯彻落实总体国家安 展 全观，以护航制造强国和网络强国建设为重点，围绕新一代 发 信息技术与制造业融合带来的安全需求， 以“风险可发现、可 全 防范、可处置”为保障目标，面向工业控制系统、 安 工业互联网、 息 工业云、工业大数据、新一代信息技术等领域开展核心安全 信 技术攻关，2018年以来承担40余个工控安全、 工业互联网安 业 全专项和重大课题，构建保障技术平台和专业技术力量，有 工 力支撑主管部门完成工控安全、工业互联网安全等相关监督 家 指导工作，帮助工业互联网企业提升安全保障能力。 保障技 国 属事业单位，是我国工业领域国家级信息安全研究与推进机 构。为加快推进工业信息安全技术研发和保障能力建设，更 m o c . 5 b u h t i g 术所建立了扎实的技术与服务能力，包括工业信息安全技术 保障平台建设、工业信息安全实验室建设支撑、工业互联网 安全技术服务与咨询、工业互联网数据安全监测与防护、工 业数据安全交换共享、工业互联网标识解析建设与安全认 证、标准研究与对标评估、安全评估评测等。 保障技术所联合业界单位，推出了《工业互联网平台安 全》《工业互联网边缘计算安全》《工业互联网标识解析安 全》《工业互联网数据安全》等系列白皮书，可为业界开展工 心 对于给予白皮书编制和发布等提供指导、支持、帮助的单位 中 究 和个人一并表达感谢。 研 展 编写组 发2020年12月 全 安 息 信 业 工 家 国 业互联网安全相关工作提供参考。由于成稿仓促，加之水平 有限，报告中难免有疏漏和错误之处，恳请批评指正。在此 h t i g b u m o c . 5 白皮书编写说明 工业互联网标识解析是工业互联网的重要网络基础设 施，为工业设备、机器、物料、零部件和产品提供编码、注册与 心 基石。我国高度重视工业互联网标识解析自主可控发展，积极 中 究 建设国际根节点、国家顶级节点与二级节点。国家陆续印发《国 研 务院关于深化“互联网+先进制造业”发展工业互联网的指导 展《工业 意见》、 《工业互联网发展行动计划（2018-2020年）》、 发 互联网网络建设及推广指南》等系列文件指导工业互联网标 全 识解析建设，并同步强调安全保障能力， 安 2019年工信部发布 息 ，要求标识解析 《关于加强工业互联网安全工作的指导意见》 信 系统的建设运营单位同步加强安全防护技术能力建设， 确保 业 标识解析系统安全运行。 工 随着工业互联网的快速发展，工业互联网标识数量将数 家 以千亿计，并发解析请求可达千万量级， 如此大量级的标识解 国 解析服务，并通过标识实现对异主、异地、异构信息的互联互 通、安全共享及智能关联，是实现工业互联网快速发展的重要 m o c . 5 b u h t i g 析服务需求对安全保障能力提出了非常高的要求，标识解析 安全是工业互联网安全的重要建设内容。为了保证工业互联网 的稳定运行，标识解析系统中的数据在传递过程中需提供完 整性和一致性保护，对于敏感数据，还需提供机密性和隐私 性保护，对于标识解析系统数据的更新，还需具备数据源认证 能力以及对标识解析数据的访问控制能力。亟需综合各类安 全技术对标识解析的开放式架构与协议进行加固改造，加强 对工业互联网标识解析服务节点的规模化跨域认证和标识数 据、服务的信息保护，支持工业互联网标识解析业务单位身份 管理、访问控制、安全认证、安全防护功能以及保障工业互联 心 标识解析请求端的基于身份、属性等方式的细粒度访问控制 中 究 等能力，提升标识解析的安全性。 研 在这样的背景下，国家工业信息安全发展研究中心会同工 展 业信息安全产业发展联盟组织编写了《工业互联网标识解析 发 安全白皮书（2020）》，希望提高业界对工业互联网标识解析 全 安全风险及相关防护技术的重视和共识， 安 以推动工业互联网 标识解析安全发展，为工业互联网健康发展保驾护航。 息 信第一部分为概述，主要介绍典 白皮书主要分为五个部分。 业 型的标识解析技术、工业互联网标识解析的政策支持情况以 工 及整体建设情况。第二部分介绍了工业互联网标识解析安全 家 现状及建设意义。第三部分描述了工业互联网标识解析的安 国 网标识解析节点批量接入认证能力。实现对标识的隐私保护、 源认证、可查询性、数据完整性校验、密钥管理等能力，支持对 m o c . 5 b u h t i g 全特征和安全挑战。第四部分提出了工业互联网标识解析安 全框架，以标识解析流程为主线，从防护对象、安全角色、脆 弱性与威胁、防护措施以及安全管理等视角进行介绍，此框架 全面梳理了工业互联网标识解析安全的各方面内容，可对安全 保障能力建设提供参考。第五部分分析了工业互联网标识解 析安全所涉及的关键技术。第六部分对工业互联网标识解析 安全进行了展望。 编写组 主编：陈雪鸿、李俊 心 佩茹、林晨、李红飞、刘 中 东东、张雪莹、李耀兵、 究 杨帅锋、王允成、研 江浩、 展 张莹 发 杭州海康威视数字技术股份有限公司 王滨、王星 全 中国科学院信息工程研究所 熊刚、苟高鹏 安 深圳奥联信息安全技术有限公司 息 程朝辉、蔡先勇 信 殷丽华、李超 广州大学 业 刘东红、吴天飞 亚信科技（成都）有限公司 工 奇安信集团 王弢、崔君荣 家 北京电子科技学院 姚栋、阎亚龙、赵洪 国 编写单位和成员： 王冲华、余果、周昊、樊 国家工业信息安全发展研究中心 m o c . 5 b u h t i g 北京三未信安科技发展有限公司 高志权、高嵩 北京炼石网络技术有限公司 白小勇、岳小杰 航天信息股份有限公司 宁红宙、王永宝 任子行网络技术股份有限公司 沈智杰 鹏城实验室 乔延臣 哈尔滨工业大学（威海） 王佰玲、刘扬 威海天之卫网络空间安全科技有限公司 刘红日、孙云霄 北京天融信网络安全技术有限公司 北京亚鸿世纪科技发展有限公司 心 王勇、贾小勇 中 郑景鑫、宋林健究 研 谢人超、黄韬 陶耀东展 发 滕斌、曹国江 全宋晓龙 张超 古元 大唐微电子技术有限公司 阿里云计算有限公司 北京邮电大学 北京交通大学 m o c . 5 安 中国移动通信集团山东有限公司威海分公司 息 战明明、姜成恒 杭州安恒信息技术股份有限公司 冀宗玉 信 业 博智安全科技股份有限公司 傅涛、郑轶 工 中国电子技术标准化研究院 陈勇、刘小慧 家 国 中国电子科技网络信息安全有限公司 b u 北京天地和兴科技有限公司 h t i g 目录 CONTENTS 一、工业互联网标识解析概述 （一）工业互联网标识解析体系架构 （二）典型标识解析技术 心 1 中 究3 研7 1 展 m 发 o 全 .c 安 5 息 b u 信 h 业 t i g工 （三）我国工业互联网标识解析政策支持情况 （四）我国工业互联网标识解析整体建设情况 （五）研究内容和范畴 二、工业互联网标识解析安全现状与建设意义 （一）主流标识解析框架安全防护能力分析 （二）工业互联网标识解析安全保障能力建设意义 三、工业互联网标识解析安全需求特征和挑战 家 国 四、工业互联网标识解析安全框架 （一）工业互联网标识解析安全需求特征 （二）工业互联网标识解析安全挑战 （一）业务流程视角 （二）防护对象视角 （三）安全角色视角 （四）脆弱性与威胁视角 （五）防护措施视角 （六）安全管理视角 9 10 12 13 15 17 18 22 26 27 27 29 30 35 41 五、工业互联网标识解析安全关键技术 43 44 （一）标识解析建设安全 45 （二）标识解析国密融合 45 （三）标识解析安全接入 47 （五）标识解析数据治理 （六）标识解析威胁检测 （七）标识解析网络测量 心 49 中 究 49 研 50 47 （四）标识解析访问控制 展 m 发 o 全 .c 安 5 息 b u 信 h 业 t i g工 （八）标识解析监测审计 （九）标识解析安全编排 （十）标识解析安全代理 （十一）标识解析云化安全 六、工业互联网标识解析安全发展展望 （一）围绕安全运营、顶层设计、政策指导、标准引领等 方面建立健全工业互联网标识解析安全管理机制 家 （三）着眼统一整体与各层细节等角度建设工业互联网 国 标识解析安全风险监测体系 （二）从完整性、健壮性、服务质量等方面加快提升工业 互联网标识解析安全评估能力 （四）着力安全技术新应用、新技术赋能标识解析安全、 标识解析助力工业互联网安全等方向推进工业互联网 标识解析安全技术创新 （五）从人才培养、产业链协同、生态创新等方面促进工 业互联网标识解析安全产业创新发展 51 51 52 53 53 54 55 55 57 工业互联网标识解析安全白皮书（2020） 一、工业互联网标识解析概述 工业互联网标识解析是工业互联网实现全要素互联互 心 中 统DNS之于互联网，工业互联网标识解析是工业互联网的神 究 经中枢，是整个网络互联互通、资源调度、生产协调的重要基 研 础设施。然而，工业互联网的发展对标识解析提出更高的要 展 发 求。一方面标识的对象更为广阔。随着工业互联网的发展， 需 全 一个零部 要标识的对象已从以往的域名，延伸到一个身份、 安 件、一个产品、一个作品、一个交易、一个服务等更为具体、 息 更为广阔的对象。另一方面信息的管理更为复杂多变。由于工 信 业互联网