工业互联网密码应用发展白皮书 （2021 年） 工业互联网产业联盟（AII） 2021 年 8 月 声 明 本报告所载的材料和信息，包括但不限于文本、图片、数 据、观点、建议，不构成法律建议，也不应替代律师意见。本 报告所有材料或内容的知识产权归工业互联网产业联盟所有 （注明是引自其他方的内容除外） ，并受法律保护。如需转载， 需联系本联盟并获得授权许可。未经授权许可，任何人不得将 报告的全部或部分内容以发布、转载、汇编、转让、出售等方 式使用，不得将报告的全部或部分内容通过网络方式传播，不 得在任何公开场合使用报告内相关描述及相关数据图表。违反 上述声明者，本联盟将追究其相关法律责任。 工业互联网产业联盟 联系电话：010-62305887 邮箱：aii@caict.ac.cn 编写说明 随着近年来工业互联网的快速发展，工业互联网的安全形 势日益严峻。工业互联网攻击事件逐年增加、网络攻击级别不 断提高，然而我国的工业互联网自主化程度偏低，安全防护建 设比较弱，尤其是密码应用建设匮乏。密码技术作为保障网络 与信息安全最有效、最可靠、最经济的关键核心技术，能够从 根本上解决部分工业互联网的安全问题，所以工业互联网的密 码应用建设亟需加强。当前国际关系紧张，网络安全形势严峻， 我国先后颁布实施《网络安全法》和《密码法》，密码应用上 升到国家法律和战略高度，工信部发布的《工业互联网创新发 展行动计划（2021-2023 年）》将深化商用密码应用列为重要 工作之一。 鉴于工业互联网密码应用发展的迫切性与重要性，工业互 联网产业联盟密码应用研究特设组组织编写本白皮书，旨在梳 理工业互联网密码应用背景，构建工业互联网密码应用技术体 系，总结我国的工业互联网密码技术、产品、服务地供给能力， 介绍工业互联网密码应用的典型实践，分析密码应用推广面临 的痛点，以及提出工业互联网密码应用发展建议。 牵头编写单位：中国信息通信研究院 参与编写单位：傲林科技有限公司、海尔卡奥斯物联生态 科技有限公司、江苏徐工信息技术股份有限公司、中国电子科 技网络信息安全有限公司、工业信息安全（四川）创新中心有 限公司、长春吉大正元信息技术股份有限公司、北京信安世纪 科技股份有限公司、长扬科技（北京）有限公司、郑州信大捷 安信息技术股份有限公司、苏州三六零智能安全科技有限公司、 深圳奥联信息安全技术有限公司、北京海泰方圆科技股份有限 公司 编写组成员（排名不分先后）： 中国信息通信研究院：徐秀、马聪、何阳 傲林科技有限公司：任飞、王潮阳 海尔卡奥斯物联生态科技有限公司：唐宇、余涛、汪燕锋 江苏徐工信息技术股份有限公司：王焕、谢海红 中国电子科技网络信息安全有限公司：刘波、李智林、肖 远军 工业信息安全（四川）创新中心有限公司：张文科、罗影、 敖麒 长春吉大正元信息技术股份有限公司：韩璇、刘岵 北京信安世纪科技股份有限公司：付军、汪宗斌 长扬科技（北京）有限公司：汪义舟、赵华、张亚京 郑州信大捷安信息技术股份有限公司：刘为华、康亮、廖 正赟 苏州三六零智能安全科技有限公司：韩涛 深圳奥联信息安全技术有限公司：蔡先勇 北京海泰方圆科技股份有限公司：薛静、许世波 目 录 一、工业互联网密码应用背景 ............................................................. 1 （一）工业互联网面临严峻的安全威胁 ..................................... 1 （二）国家出台工业互联网安全政策体系 ................................. 4 二、工业互联网密码应用体系 ............................................................. 6 （一）搭建融合开放灵活的工业互联网络 ................................. 7 （二）构建安全可信的工业互联网平台 ................................... 11 （三）打造具有内嵌安全的工业智能设备 ............................... 18 （四）支撑智能制造产业链价值协同 ....................................... 21 （五）推动数据要素市场化流通 ............................................... 29 三、工业互联网密码能力供给 ........................................................... 33 （一）密码理论支撑 .................................................................. 33 （二）密码产品供给 .................................................................. 37 （三）创新密码服务 .................................................................. 40 （四）体系化密码保障 .............................................................. 45 四、工业互联网密码应用实践 ........................................................... 46 （一） 海尔卡奥斯平台 ............................................................ 46 （二） 徐工汉云平台 ................................................................ 51 （三） 工业无线网 WIA-FA 安全组网 ..................................... 53 五、应用推广面临的痛点 ................................................................... 55 （一）密码技术支撑不足，适配产品品类较少 ....................... 55 （二）政策驱动有待强化，实施台账尚未制定 ....................... 56 （三）商用密码认知薄弱，接受程度依然不高 ....................... 56 （四）投资成本有所增加，后期收益无法预判 ....................... 57 六、发展建议 ...................................................................................... 57 （一）监管合规 .......................................................................... 57 （二）标准制定 .......................................................................... 58 （三）试点示范 .......................................................................... 58 （四）技术攻关 .......................................................................... 59 （五）生态构建 .......................................................................... 59 一、工业互联网密码应用背景 （一）工业互联网面临严峻的安全威胁 1. 全球工业互联网安全问题 随着新一轮工业革命的快速推进，工业互联网成为大势所 趋。工业互联网通过将工业体系与互联网体系深度融合，将工 业领域中的人、机、物等生产经营要素全面联通，形成了影响 工业和经济发展的关键信息系统。从封闭的工业环境到开放互 联网的网络环境，工业互联网正面临网络安全与工业安全带来 的双重风险。随着近年来工业互联网的快速发展，全球工业互 联网安全形势严峻。 工业互联网攻击事件逐年增加，工业互联网成为新的网络 攻击重点目标。近年来，随着工业平台信息化水平的不断提升， 针对工业网络攻击的事件也频繁发生：委内瑞拉大停电、美国 东海岸断网、台积电遭受勒索病毒导致停工、美国最大成品油 运营商科洛尼尔（Colonial Pipeline）遭俄罗斯 Darkside 勒 索病毒攻击被迫关闭关键燃油网络等。大量工业控制设备暴露 在互联网上，工控协议的私有化严重且协议安全保护较弱，导 致攻击门槛极大降低；工控系统漏洞逐年爆出，大量漏洞被攻 击者利用。作为关系国家工业命脉和关键基础设施的重要系统， 工业互联网已成为网络攻击新的重点目标，存在巨大的外部攻 击风险。 国际竞争日益激烈，网络安全风险加剧，工业互联网的网 — 1 — 络攻击级别不断提高。近年来，国际竞争日益激烈，国际规则 逐渐失序，外部环境震荡不安，极大增加了来自外部的高级别 网络攻击的威胁等级。针对工业互联网的攻击者越来越专业化、 组织化，攻击行为也正在不断升级。目前已经从传统的攻击工 具利用，逐步向 0-day 漏洞利用、嵌套式攻击、木马潜伏植入 等更高级的攻击形态演变，这些行为掺杂了大量的人工智能、 躲避手段、情报手段、社会工程等多维度的变化。这些变化无 一不在向我们透露：针对工业互联网的网络攻击不是普通的攻 击行为，而是高级别的国家级网络对抗。 2. 我国工业互联网安全问题 在国家新基建战略的推动下，工业互联网进入快速发展阶 段，形成了新技术加速融合、新生态加速形成、新模式加速推 广的良好局面，但同时，我国的工业互联网也面临前所未有的 安全威胁和挑战。一旦遭受网络攻击，可能会威胁国家安全、 国计民生和社会公共利益。 我国工业基础和自主化能力较弱，带来巨大安全隐患。近 年来，虽然我国制造业得到了快速的发展，但是相比于经历过 三次工业革命的西方欧美国家，我国工业基础依然较为薄弱， 关键基础材料、核心基础零部件、元器件、先进基础工艺等工 业基础能力依然存在个别不足之处，关键核心技术短缺局面尚 未完全改变。大量核心部件