工业互联网边缘计算 安全白皮书（2020） 工业互联网安全系列研究报告 m o c . 5 b u h t i g 国家工业信息安全发展研究中心 CHINA INDUSTRIAL CONTROL SYSTEMS CYBER EMERGENCY RESPONSE TEAM 工业信息安全产业发展联盟 National Industrial Security Industry Alliance 版权申明 心 中 《工业互联网边缘计算安全白皮书》（2020）”。违反上述声 究 明者，国家工业信息安全发展研究中心和工业信息安全产业 研 展 发展联盟将追究其相关法律责任。 发 全 安 息 信 业 工 家 国 本白皮书版权属于国家工业信息安全发展研究中心和工 业信息安全产业发展联盟，并受法律保护。转载、摘编或利 用其他方式使用本白皮书文字或者观点的，应注明“来源： h t i g b u m o c . 5 序 国家工业信息安全发展研究中心（工业和信息化部电子 第一研究所）简称国家工信安全中心，是工业和信息化部直 心 好地推动工业信息安全事业发展，国家工信安全中心于2018 中 究 年9月成立保障技术所。 研 自成立以来，保障技术所始终坚持贯彻落实总体国家安 展 全观，以护航制造强国和网络强国建设为重点，围绕新一代 发 信息技术与制造业融合带来的安全需求， 以“风险可发现、可 全 安 工业互联网、 防范、可处置”为保障目标，面向工业控制系统、 息 工业云、工业大数据、新一代信息技术等领域开展核心安全 信 技术攻关，2018年以来承担40余个工控安全、工业互联网安 业 全专项和重大课题，构建保障技术平台和专业技术力量，有 工 力支撑主管部门完成工控安全、 工业互联网安全等相关监督 家 指导工作，帮助工业互联网企业提升安全保障能力。 保障技 国 属事业单位，是我国工业领域国家级信息安全研究与推进机 构。为加快推进工业信息安全技术研发和保障能力建设，更 m o c . 5 b u h t i g 术所建立了扎实的技术与服务能力，包括工业信息安全技术 保障平台建设、工业信息安全实验室建设支撑、工业互联网 安全技术服务与咨询、工业互联网数据安全监测与防护、工 业数据安全交换共享、工业互联网标识解析建设与安全认 证、标准研究与对标评估、安全评估评测等。 保障技术所联合业界单位，推出了《工业互联网平台安 全》《工业互联网边缘计算安全》《工业互联网标识解析安 全》《工业互联网数据安全》等系列白皮书，可为业界开展工 心 对于给予白皮书编制和发布等提供指导、支持、帮助的单位 中 究 和个人一并表达感谢。 研 展 编写组 发2020年12月 全 安 息 信 业 工 家 国 业互联网安全相关工作提供参考。由于成稿仓促，加之水平 有限，报告中难免有疏漏和错误之处，恳请批评指正。在此 h t i g b u m o c . 5 白皮书编写说明 随着工业互联网的快速发展，接入网络的工业设备数 量不断增加，网络规模不断扩大，海量数据的实时分析要求 心 《工业互联网发展行动计划（2018—2020年）》，明确指出 中 究 “开展工业互联网关键核心技术研发和产品研制，推进边缘 研 计算、深度学习、区块链等新兴前沿技术在工业互联网的应 展 用研究”；2020年3月，印发《关于推动工业互联网加快发展 发 的通知》，鼓励相关单位在时间敏感网络、 全边缘计算、工业 安 智能网关、协议 智能等领域加快技术攻关，打造智能传感、 息 转换、工业机理模型库、工业软件等关键软硬件产品，加快 信 部署应用。 业 然而，边缘计算在助力工业互联网发展的同时， 也带来了 工 关联数据泄露、 底层风险渗透等安全问题，安全用好这把“ 家 国 2019年，中国科学院沈阳自动化研究所、 双刃剑”迫在眉睫。 越来越高。作为更靠近工业数据源的计算模式，边缘计算逐 渐成为工业互联网领域关注的焦点。2018年6月，工信部发布 m o c . 5 b u h t i g 国家工业信息安全发展研究中心等十余家单位联合发布《边 缘计算安全白皮书》。其中，边缘安全参考框架1.0中指出工 业边缘计算是边缘计算典型的价值场景之一，并就边缘基础 设施安全、网络安全、数据安全、应用安全、边云协同安全提 出防护措施，但尚未针对边缘计算应用到工业互联网内网、 工业现场提出具体的防护措施。然而，边缘计算作为工业互 联网内网智能化、实时化改造的重要手段，部署在工业互联 网中的边缘设备、边缘网络、边缘应用、边缘平台等面临不 同的安全风险，需要根据其不同特点有针对性地部署安全防 心 在的安全保护对象及风险、安全防护措施和相关安全角色， 中 究 国家工业信息安全发展研究中心在《边缘计算安全白皮书》 研组织 《工业信息安全标准化白皮书》等已有成果的基础上， 展 十余家单位编写《工业互联网边缘计算安全白皮书》，提出了 发 工业互联网场景下的边缘计算架构及安全框架，旨在为工业 全 企业、工业互联网平台企业、安全企业等相关单位安全部署 安 边缘计算提供参考。 息 信 业 工 家 国 护措施。 为了进一步明确边缘计算应用到工业互联网场景下存 h t i g b u m o c . 5 编写组 心 中 张雪莹、毕婷、王冲华、 究 江浩、李耀兵、张伟 研 展 和利时科技集团有限公司 胡鹏飞、何春明 上海观安信息技术股份有限公司 谢江 发 全 北京百度网讯科技有限公司 季石磊、王建奎 安 杭州海康威视数字技术股份有限公司 王滨、王星 息 中国科学院大学 信 张玉清、杨毅宇 长扬科技（北京）有限公司 业 汪义舟、张亚京 工 杭州安恒信息技术股份有限公司 李剑锋、叶鹏 家 北京东方国信科技股份有限公司 敖志强、孙广明 国 北京亚控科技发展有限公司 张硕、单维旺 主编：陈雪鸿、李俊 编写单位和成员： 孙岩、柳彩云、杨帅锋、 国家工业信息安全发展研究中心 m o c . 5 b u h t i g 北京科技大学 林福宏 中国电子信息产业集团有限公司第 王绍杰、衣然 六研究所 中国铁道科学研究院集团有限公司 姚洪磊、杨轶杰 电子计算技术研究所 上海电力大学 王勇 上海云剑信息技术有限公司 王威 北京亚鸿世纪科技发展有限公司 工业信息安全（四川）创新中心有限公司 中国电子科技网络信息安全有限公司 安天科技集团股份有限公司 哈尔滨工程大学 安 息 信 业 工 刘尚麟 m o c . 5 b u h t i g 家 国 心 幸享宏 中 马景辉 究 王勇 研 展 发 全 李侠、乔伟 目 录 一、 工业互联网边缘计算概述.............................................. 1 （一）工业互联网边缘计算概念与内涵 .......................... 1 （二）工业互联网边缘计算研究现状 .............................. 3 （三）边缘计算助力工业互联网发展 .............................. 9 二、 工业互联网边缘计算安全风险与挑战 ........................ 11 （一）工业互联网边缘计算面临典型风险 .................... 11 m o c . 5 （二）工业互联网边缘计算安全防护面临挑战 ............ 19 三、 工业互联网边缘计算安全防护 .................................... 21 （一） 国内外工业互联网边缘计算安全防护框架 ........ 21 b u （二）工业互联网边缘计算安全参考框架 .................... 22 h t i g （三）防护措施 ............................................................... 27 四、 工业互联网边缘计算安全未来展望 ............................ 40 附件：术语 ............................................................................. 43 参考文献 ................................................................................. 45 国家工业信息安全发展研究中心 一、工业互联网边缘计算概述 （一）工业互联网边缘计算概念与内涵 工业互联网边缘计算是一种将部分数据处理和数据存储放 在工业互联网边缘节点的分布式计算方式，其通过融合工业互联 网边缘侧的计算、通信和存储能力，就近提供边缘智能服务，并 可通过云边协同机制为工业互联网平台提供数据支撑，从而实现 m o c . 5 工业互联网泛在互联、实时业务、可靠服务、数据优化、边缘应 用智能、安全和隐私保护等多方面应用需求。工业互联网边缘计 算架构如图 1 所示。 边 缘 应 用 产品质量检测 设备故障诊断 h t i g 边缘服务器 b u 工业视觉识别 MOM MES 边 缘 平 台 预测性维护 企业私有云 /边缘云 云边协同 边缘网络 终端 设备 PLC DCS 边缘接 入平台 SCADA AI模型推理 边 缘 节 点 工业云 RTU 边缘控制器 智能网关 边缘计算盒子 边缘数据 边缘数据上传/反馈 现场总线 工业以太网/工业无线/OPC UA 互联网/专线 智能终端设备 图 1 工业互联网边缘计算架构 工业互联网边缘计算架构主要包括以下内容： a）终端设备。终端设备主要包括可实现工业现场数据采集 1 国家工业信息安全发展研究中心 的各种传感器和仪器仪表、可执行工业控制命令的执行器和伺服 电机等，终端设备可通过工业现场总线、实时以太网等通信协议 与边缘节点连接，实现数据、控制命令等内容的传输； b）边缘节点。边缘节点主要包括具有边缘算力的智能终端 设备、工业控制设备、边缘控制器、边缘网关、边缘计算盒子等， 通常部署在工业现场，实现智能感知、工业控制、实时数据处理 和实时决策。其中，智能终端设备包括搭载边缘算力的智能摄像 m o c . 5 头、智能机器人、智能 AGV 小车等；工业控制设备包括 PLC、 DCS、RTU 等，它们执行工业控制规则和逻辑，实现对底层终端 设备的控制；边缘控制器既具有边缘计算能力，也具有实时工业 b u 控制能力；边缘网关兼具通用网关的数据转发功能和边缘