工业互联网标识解析安全白皮书(2020)

工业互联网标识解析安全白皮书（2020）工业互联网安全系列研究报告国家工业信息安全发展研究中心CHINA INDUSTRIAL CONTROL SYSTEMS CYBER EMERGENCY RESPONSE TEAM工业信息安全产业发展联盟National Industrial Security Industry Alliance版权申明本白皮书版权属于国家工业信息安全发展研究中心和工业信息安全产业发展联盟，并受法律保护。转载、摘编或利用其它方式使用本白皮书文字或观点的，应注明“来源：国家工业信息安全发展研究中心和工业信息安全产业发展联盟”。违反上述声明者，将追究其相关法律责任。国家工业信息安全发展研究中心国家工业信息安全发展研究中心（工业和信息化部电子第一研究所）简称国家工信安全中心，是工业和信息化部直属事业单位，是我国工业领域国家级信息安全研究与推进机构。为加快推进工业信息安全技术研发和保障能力建设，更好地推动工业信息安全事业发展，国家工信安全中心于2018年9月成立保障技术所。自成立以来，保障技术所始终坚持贯彻落实总体国家安全观，以护航制造强国和网络强国建设为重点，围绕新一代信息技术与制造业融合带来的安全需求，以“风险可发现、可防范、可处置”为保障目标，面向工业控制系统、工业互联网、工业云、工业大数据、新一代信息技术等领域开展核心安全技术攻关，2018年以来承担40余个工控安全、工业互联网安全专项和重大课题，构建保障技术平台和专业技术力量，有力支撑主管部门完成工控安全、工业互联网安全等相关监督指导工作，帮助工业互联网企业提升安全保障能力。保障技术所建立了扎实的技术与服务能力，包括工业信息安全技术保障平台建设、工业信息安全实验室建设支撑、工业互联网安全技术服务与咨询、工业互联网数据安全监测与防护、工业数据安全交换共享、工业互联网标识解析建设与安全认证、标准研究与对标评估、安全评估评测等。序国家工业信息安全发展研究中心保障技术所联合业界单位，推出了《工业互联网平台安全》《工业互联网边缘计算安全》《工业互联网标识解析安全》《工业互联网数据安全》等系列白皮书，可为业界开展工业互联网安全相关工作提供参考。由于成稿仓促，加之水平有限，报告中难免有疏漏和错误之处，恳请批评指正。在此对于给予白皮书编制和发布等提供指导、支持、帮助的单位和个人一并表达感谢。编写组2020年12月国家工业信息安全发展研究中心工业互联网标识解析是工业互联网的重要网络基础设施，为工业设备、机器、物料、零部件和产品提供编码、注册与解析服务，并通过标识实现对异主、异地、异构信息的互联互通、安全共享及智能关联，是实现工业互联网快速发展的重要基石。我国高度重视工业互联网标识解析自主可控发展，积极建设国际根节点、国家顶级节点与二级节点。国家陆续印发《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》、《工业互联网发展行动计划（2018-2020年）》、《工业互联网网络建设及推广指南》等系列文件指导工业互联网标识解析建设，并同步强调安全保障能力，2019年工信部发布 《关于加强工业互联网安全工作的指导意见》，要求标识解析系统的建设运营单位同步加强安全防护技术能力建设，确保标识解析系统安全运行。随着工业互联网的快速发展，工业互联网标识数量将数以千亿计，并发解析请求可达千万量级，如此大量级的标识解析服务需求对安全保障能力提出了非常高的要求，标识解析安全是工业互联网安全的重要建设内容。为了保证工业互联网的稳定运行，标识解析系统中的数据在传递过程中需提供完整性和一致性保护，对于敏感数据，还需提供机密性和隐私性保护，对于标识解析系统数据的更新，还需具备数据源认证能力以及对标识解析数据的访问控制能力。亟需综合各类安全技术对标识解析的开放式架构与协议进行加固改造，加强白皮书编写说明国家工业信息安全发展研究中心对工业互联网标识解析服务节点的规模化跨域认证和标识数据、服务的信息保护，支持工业互联网标识解析业务单位身份管理、访问控制、安全认证、安全防护功能以及保障工业互联网标识解析节点批量接入认证能力。实现对标识的隐私保护、源认证、可查询性、数据完整性校验、密钥管理等能力，支持对标识解析请求端的基于身份、属性等方式的细粒度访问控制等能力，提升标识解析的安全性。在这样的背景下，国家工业信息安全发展研究中心会同工业信息安全产业发展联盟组织编写了《工业互联网标识解析安全白皮书（2020）》，希望提高业界对工业互联网标识解析安全风险及相关防护技术的重视和共识，以推动工业互联网标识解析安全发展，为工业互联网健康发展保驾护航。白皮书主要分为五个部分。第一部分为概述，主要介绍典型的标识解析技术、工业互联网标识解析的政策支持情况以及整体建设情况。第二部分介绍了工业互联网标识解析安全现状及建设意义。第三部分描述了工业互联网标识解析的安全特征和安全挑战。第四部分提出了工业互联网标识解析安全框架，以标识解析流程为主线，从防护对象、安全角色、脆弱性与威胁、防护措施以及安全管理等视角进行介绍，此框架全面梳理了工业互联网标识解析安全的各方面内容，可对安全保障能力建设提供参考。第五部分分析了工业互联网标识解析安全所涉及的关键技术。第六部分对工业互联网标识解析安全进行了展望。国家工业信息安全发展研究中心编写组主编：主编：陈雪鸿、李俊编写单位和成员：编写单位和成员：国家工业信息安全发展研究中心国家工业信息安全发展研究中心杭州海康威视数字技术股份有限公司 杭州海康威视数字技术股份有限公司 王滨、王星中国科学院信息工程研究所 中国科学院信息工程研究所 熊刚、苟高鹏深圳奥联信息安全技术有限公司 深圳奥联信息安全技术有限公司 程朝辉、蔡先勇广州大学 广州大学 殷丽华、李超亚信科技（成都）有限公司 亚信科技（成都）有限公司 刘东红、吴天飞奇安信集团 奇安信集团 王弢、崔君荣北京电子科技学院 北京电子科技学院 姚栋、阎亚龙、赵洪北京三未信安科技发展有限公司 北京三未信安科技发展有限公司 高志权、高嵩北京炼石网络技术有限公司 北京炼石网络技术有限公司 白小勇、岳小杰航天信息股份有限公司 航天信息股份有限公司 宁红宙、王永宝任子行网络技术股份有限公司 任子行网络技术股份有限公司 沈智杰鹏城实验室 鹏城实验室 乔延臣王冲华、余果、周昊、樊佩茹、林晨、李红飞、刘东东、张雪莹、李耀兵、杨帅锋、王允成、江浩、张莹国家工业信息安全发展研究中心哈尔滨工业大学（威海） 哈尔滨工业大学（威海） 王佰玲、刘扬威海天之卫网络空间安全科技有限公司 威海天之卫网络空间安全科技有限公司 刘红日、孙云霄北京天融信网络安全技术有限公司 北京天融信网络安全技术有限公司 张超北京亚鸿世纪科技发展有限公司 北京亚鸿世纪科技发展有限公司 古元大唐微电子技术有限公司 大唐微电子技术有限公司 王勇、贾小勇阿里云计算有限公司 阿里云计算有限公司 郑景鑫、宋林健北京邮电大学 北京邮电大学 谢人超、黄韬北京交通大学 北京交通大学 陶耀东中国电子科技网络信息安全有