互联网在制造业、能源、矿业等多个行业广泛应用，取 得了显著成效。但与此同时，工业领域安全事件频发，给工业生产和经济社会带来了严重影响。无论是关 键信息基础设施遭受攻击导致的生产停摆，还是工业数据泄露引发的企业核心竞争力受损，都警示着我们 解决工业领域安全问题已刻不容缓。 工业互联网的变革深刻影响着工业领域安全格局。一方面，工业系统在从自动化到信息化，再到网络 化、数字化以及智能化转型的过 求的融合，凸显其与工业生产深度绑定的特性。 2. 工业互联网安全建设现状与未来趋势 (1) 工业互联网发展迅猛且成果显著、但工业互联网安全现状不容乐观，业务、设备、数据等多维度 存在供应链攻击、老旧设备漏洞、核心数据泄露、各细分行业安全风险差异化显著、技术手段不 足、人员安全意识薄弱等诸多安全隐患，且工业互联网安全建设整体相对滞后，风险敞口与攻击 暴露面广泛，严重威胁工业系统稳定与数字化转型进程。 (2) 工 共享等全生命周期过程中的安全保护。确保数据的保密性、完整性与可用性，防止数据泄露、篡改与丢失， 避免因数据安全问题影响工业生产的正常运行以及企业的核心竞争力。 工业信息安全概念示例 某汽车制造企业的研发部门，通过设置数据分级权限管理，限制核心车型设计图纸、工艺参数的访问范围，并采 用加密存储，防止竞争对手窃取关键技术数据。反之，企业的生产工艺数据、客户信息、财务数据等若遭到泄露或破 坏，可能引发严重的生产事故、商业风险与经济损失。

数字可信是基于技术信任的综合安全与信任机制，旨在通过用户自主防御 与跨组织协作，持续评估各方信誉，适应开放生态系统的信任需求。随着全球 数字经济进入快速发展的关键阶段，数字技术创新持续取得突破。与此同时， 身份信息泄露、数据算法歧视、数字资产被盗等难题也日益凸显，亟需通过数 字可信技术来解决。 中国移动作为网信领域的排头兵，积极响应国家战略，勇担新质生产力国 家队职责，携手产业上下游合作伙伴，大力建设基于区块链技术的电信级开放 一是个人隐私保护。数字可信通过技术手段保护个人数据不被滥用，确保 个人隐私安全。在数字经济时代，个人数据的隐私保护变得尤为重要。数字可 信通过加密技术和隐私计算的应用，保障用户隐私数据的安全，避免数据泄露 和滥用。 二是增强个人信任。数字可信提高了个人对数字服务的信任度，促进了数 字服务的广泛接受和使用。随着数字技术的发展，人们越来越依赖于数字服务， 如在线支付、电子商务等。数字可信通过确保服务的安全性和可靠性，使得更 据开放可 信，是数据可信能力与服务体系的技术能力基础支撑。数据访问可信确保了数 据的来源可靠性。通过多因素认证、数字证书和数字签名等技术手段，验证数 据访问者的身份和权限，防止未授权访问和数据泄露，保障数据本体安全及数 据的完整性；数据流通可信聚焦数据流通交互过程中的真实性。通过数据隐私 保护技术，保障数据在传输过程中不被篡改，数据风险识别技术实时监控和管 理潜在风险，保证数据的完整性

TIA 942《数据中心机房通信基础设施标准》中的 T3+ 标准。数据中心不但有妥善的选址，在设计施工和运营时，合理划分了机房物理 区域，合理布置了信息系统的组件，以防范物理和环境潜在危险（如火灾、电磁泄露 等）和非授权访问，而且提供了足够的物理空间、电源容量、网络容量、制冷容量， 以满足基础设施快速扩容的需求。同时，华为云运维运营团队严格执行访问控制、安 保措施、例行监控审计、应急响应等措施，以确保华为云数据中心的物理和环境安 其他虚拟机或虚拟化平台自身使用的内存。 6.4.3 I/O 隔离 虚拟化平台还给虚拟机提供了虚拟 I/O 设备，包括磁盘、网卡、鼠标、键盘等。虚拟 化平台为每个虚拟机提供独立的设备，避免多个虚拟机共享设备造成的信息泄露。 每个虚拟磁盘对应虚拟化平台上的一个镜像文件或逻辑卷，虚拟化平台控制只有一个 虚拟机的一个虚拟磁盘设备跟一个镜像文件关联。实现了虚拟机使用的虚拟设备与虚 拟化平台 I/O 管理对象之间一一对应的关系，保证虚拟机之间无法相互访问 的密钥托管服务，帮助用户集中管理密钥，保护密钥安全。它通过使用硬件安全 模块（HSM – Hardware Security Module），为租户创建和管理密钥，防止密钥明 文暴漏在 HSM 之外，从而防止密钥泄露。HSM 是一种安全产生、存储、管理 及使用密钥并提供加密处理服务的硬件设备。为保护租户密钥安全，减少密钥外 泄风险，华为云提供不同厂商、不同规格（标准加密算法、国密算法等）、不同强 度的云 HSM

在计算集群规模日益扩大及网络智能化发展大背景下，网络安全的重要性愈发凸显。将 网络安全融入到业务流程，以实现对用户敏感数据保护，传输数据的机密性及完整性保护， 以及提升网络安全的可用性，是实现网络安全运营，应对数据泄露及隐私侵犯等风险的必要 手段。 随着网络云化的加速，传统的物理控制管理已无法满足现代云环境中的安全需求。在大 规模数据中心中可能面临的网络威胁包括：拒绝服务（DoS）、伪造请求源和修改请求消息 包完整性验证及 重传检测等技术，通过安全协议与数据链路层及传输层等技术协同实现对特定安全服务支持； 3）用户隐私数据泄露及滥用风险增加：随着AI大模型对数据需求不断增加，用户数据 面临更高的泄露及滥用风险。需加强对用户数据保护，确保信息交换中用户身份和敏感信息 不被泄露，强化数据安全管理和隐私保护，以确保数据的安全性和可靠性。 中兴通讯版权所有未经许可不得扩散 8 3.2 高性能广域网（HP-WAN） 资源管理、容器化架构等策略，可以有效降低对硬件资源的依赖，同时实现新安全技术的规 模支持。在安全管理方面，采用零信任安全架构，通过身份验证和访问控制提升网络安全性， 保护网络数据及敏感数据不被泄露或破坏。 5.5.1 零信任安全架构 零信任安全架构是一种网络安全模型，其核心理念是“永不信任，始终验证”。在这一 架构中，所有用户、设备和应用程序在访问网络资源时都必须经过严格的身份验证和授权，

5G 核心网协 议转换为行业专网能够识别的协议，从而实现数据的顺畅流通。智能网关在 联盟网络中的作用远不止于协议转换。它还具备数据过滤、安全防护等功能， 能够有效防止外部网络的恶意攻击和数据泄露，保障联盟网络内部数据的安 全性和完整性。此外，智能网关还可以根据流量的实时情况，动态调整数据 传输的路径和带宽分配，优化网络性能，提高数据传输的效率和可靠性。 在实际部署中，智能网关可以采用硬件设备、虚拟化软件或云服务等多 吸引第三方开发者和合作伙伴，构建丰富应用生态；使开发者快速开发满足 用户需求的应用和服务；提升平台市场竞争力和用户粘性。然而，开放能力 也面临安全性、性能优化、开发者支持等挑战。平台需严格认证授权第三方 应用，防止非法访问和数据泄露；需确保 API 网关高效处理大量并发请求， 避免性能瓶颈；还需提供完善开发文档、示例代码和技术支持，降低开发门 槛，提高效率。 3.2.2 资源虚拟化 资源虚拟化是联盟网络中实现资源共享和灵活管理的基础技术，通过软 务时，只需使 用自己的 DID 进行身份验证，服务提供方通过查询分布式账本验证 DID 的有 效性和合法性。 分布式身份认证的优势在于提高了身份管理的效率和安全性，同时减少 了用户的身份信息泄露风险。用户可以完全掌控自己的身份信息，决定哪些 信息可以被哪些服务访问。此外，分布式身份认证还支持跨平台和跨领域的 身份互认，用户在一个联盟网络中的身份可以被其他联盟网络所认可。随着 数字身份

数据安全与隐私保护：随着建筑数据大量积累，数据安全和隐私保护问题 日益严峻。建筑项目数据涉及设计、施工、运维等多方面敏感信息，在数据存 储、传输和处理过程中面临被泄露、篡改的风险。一些建筑企业的云平台数据 曾遭受黑客攻击，导致客户信息和项目数据泄露，给企业带来巨大损失。建筑 企业应加强数据加密与防护技术，采用最新加密算法确保数据安全；制定严格 的数据隐私保护政策，明确数据使用和处理权限；建立数据备份与恢复机制， 使用大数据、 云计算等技术进行数据存储和分析时，如何保护建筑企业和客户的敏感数据不 被泄露或篡改，是建筑行业面临的一个严峻问题。 1. 挑战： 由于建筑项目涉及多个合作方，数据共享和交换频繁，数据存储、传输和 处理过程中的安全问题不可忽视。例如，云平台上的数据存储可能面临被黑客 攻击、数据泄露等风险。对于建筑企业来说，如何保证数据的完整性、机密性 和可用性是一个亟待解决的问题。 解决方案： （1）加强数据加密与防护技术：企业在进行数据存储和传输时，应采用最 新的加密技术，确保数据在存储和传输过程中的安全性。同时，采用防火墙、 入侵检测等技术，实时监控网络安全，防止数据泄露。 （2）制定严格的数据隐私保护政策：建筑企业应制定严格的数据隐私保护 政策，确保所有数据的使用和分享符合相关法律法规的要求。在项目合作中， 确保所有合作方签署数据保护协议，明确数据使用和处理的权限和责任。

SSL、TLS、FTPS 等。 • In-Use 是指正在使用的数据。即便数据在传输过程中是被加密的，但只有把数据解密后才能进行计算和 使用。也就意味着，如果数据在使用时没有被保护的话，仍然有数据泄露和被篡改的风险。 在这个世界上，我们不断地存储、使用和共享各种敏感数据：从信用卡数据到病历，从防火墙配置到地理 位置数据。保护处于所有状态中的敏感数据比以往任何时候都更为重要。如今被广泛使用的加密技术可以用来 数据的机密性。未经授权的实体（主机上的应用程序、主机操作系统和Hypervisor、系统管 理员或对硬件具有物理访问权限的任何其他人。）无法查看在TEE中使用的数据，内存中的数据是被加密的，即 便被攻击者窃取到内存数据也不会泄露数据。 • 保护 In-Use 数据的完整性。防止未经授权的实体篡改正在处理中的数据，度量值保证了数据和代码的完 整性，使用中有任何数据或代码的改动都会引起度量值的变化。 • 可证明性。通常 TEE 虚拟化及SGX/TDX机密 容器。 Intel TDX: Intel安全虚拟化技术 技术自身介绍 背景 近年来，随着隐私保护的呼声和关注度越来越高，越来越多的人开始关注集中化的云基础设施存在泄露租 户隐私和敏感数据的风险。在此背景下，机密计算这一新的计算形态应运而生。 机密计算是通过在基于硬件的可信执行环境（Trusted Execution Environment，TEE）中执行计算过程的

注效率，支持人工审核以提升标注 准确率。 数据配比：支持文本、图片、预测配比，支持配比数据灵活抽样、合并。 数据发布：提供多种发布方式，支持一键发布到模型训练平台直通训练，支持胶囊封装防止数据泄露。 数据管理：提供数据地图实现资产全视角管理，支持全链路数据血缘、正向和逆向数据追溯。 数据安全：提供数据工程处理全流程安全管理，实现安全高效数据处理。 图 4 数据平台示意图 （2）AI模型平台 AI为手段，用AI保障运维。 随着大语言模型（LLM）的广泛应用，相应的安全风险也日益突显。大模型训推业务的全周期都面临不同的安全 风险。例如训练数据准备阶段，可能存在训练数据被投毒、敏感信息被泄露等语料安全风险；在模型训练调优阶段， 可能存在模型文件被盗取、模型参数被萃取、API恶意调用等环境安全风险；在模型部署和推理阶段，可能存在提示 词注入攻击等推理业务安全风险。 针对大模型训推业 OWASP（Open Worldwide Application Security Project）发布的大模型10大最关键漏洞包括：提示注入、不 安全输出、训练数据投毒、拒绝服务、供应链安全、权限问题、数据泄露、过度代理、过度依赖LLM生成的 内容、不安全的插件。 图 11 AI安全保障体系示意图 语料数据安全 推理业务安全 安全合规运营 环境安全 隐私合规 多模态训练语料数据 自动化隐私检测、脱敏

伴随而生，例如：  与工作无关的 P2P 和在线视频等应用占用带宽  与工作无关的聊天、炒股、游戏、博客和在线购物等活动影响工作效率  员工随意在网络上发帖和传输文件导致机密泄露  员工上网容易受到病毒、木马和蠕虫等攻击和感染  员工通过网络从事一些黄赌毒等违法活动  员工浏览和发布不良言论导致企业面临法律风险 为解决以上一系列的问题，上网行为管

面临较大的盈利压力，且需要在用户体验和商业变现等之 间找到平街。 市场规模 投融资事件 投融资金额 除此之外，随着AI技术的广泛应用，伦理道德和法律安全 30 504 812 等问题也日益凸显，例如，算法偏见、数据泄露和滥用等 万亿元 起 亿元 问题仍有发生， 七壶数据 行业新趋势二 中国开发者在全球的影响力持续攀升 井在多个赛道展现出强大竞争力 趋势二 跨境电商平台迅猛发展，并成为重塑全球电商生态的重要力量