化、数字化以及智能化转型的过程中，形成了更加复杂多样的安全防护对象，使得固有安全防护手段难以 应对新型安全威胁；另一方面，工业互联网产业链上下游企业之间的紧密协作，使得安全风险的传播速度 更快、范围更广，一个环节出现安全问题，可能引发整个产业链的连锁反应。因此，在工业互联网安全建 设中，遵循“业务优先、架构分层防护、动态演进、协同共治、系统统筹、自主可靠、风险分级防护、行 业适配”八项基本原则至关重要。只有 工业互联网安全建设需遵循“业务优先、架构分层防护、动态演进、协同共治、系统统筹、自主 可靠、风险分级防护、行业适配”八大基本原则，这些原则与等保 2.0 对工控系统的扩展要求连 贯一致。 (2) 工业互联网安全能力构建需要一个多层级的体系化框架，包括八大原则层、合规能力层、行业差 异化匹配能力层、企业自身管理能力层、安全技术层和安全运维管理层。 (3) 明确围绕设备、控制、网络、平台、数据为五大核心防护对象的实施策略与实施路径，其中：设 心（II-SOC）协同建设理念。前者聚焦生产现场控制层，通过实时监测与应急处置保障工控系统 稳定；后者面向“云-边-端”全域，实现跨企业安全监测与协同响应。二者层级互补、技术联动， 共同提升工业互联网安全防护效能。 (5) IT 技术为 OT 设备防护、控制优化提供支撑。IT 与 OT 必须融合贯穿安全建设全程，从而实现网 络协同防御、数据统一治理、应用安全延伸，有效打破技术壁垒，形成适应工业互联网特性的融 合安全能力，保障生产安全与效率。

网闸 外网应用 内网应用 终端响应 边界防护 边 界 防 护 INTERNET 网站 Web 服务 0Day 漏 洞 暴 力 破 解 钓 鱼 邮 件 社 工 攻 击 社会工程学攻击：在计算机科学中，社会工 华为防火墙 数据安全层面 • 缺乏数据库审计、 DLP 防泄密、数字水印、数据库准入等； • 无数据分类、数据加密脱敏等安全防护 云安全层面 • 缺乏云平台安全、云东西向流量安全防护 某著名企业 \ 分支安全层面 • 针对 OA\ 财务共享 \ 供应链等应用缺乏安全防护，分支接入安 全 主机安全层面 • 安全基线管理、服务器防病毒、电脑主机防入侵层面需加强 安全管理与运营层面 • 标，重点保证数据安全和系统运行安全。 进不来 • 身份认证机制， 以及从云端、 边界、端点的 立体防护体系。 • 终端准入机制 出不去 • 数据加密、解 密、数据防泄 密 DLP 技术等 • 结合数字水印 技术 • 双向内容监测 与防护 改不了 • L2-L7 层攻击攻 击防护，网页 篡改防护与预 警 • 跳板攻击隔离 赖不掉 • 基于数字证书 的行为审计技 术 • 各类审计设备

................................................................................... 21 6.3.3 高级边界防护 .................................................................................................. ................................................................................. 67 7.11.8 DDoS 防护（AAD） ............................................................................................. 全的历史可追溯到 2000 年华为安 全测试实验室成立。从那时起，近 20 年来，华为持续不懈地构建自身安全能力，这些 能力积累，渗透到了云安全服务研发的每个毛细血管中，构筑了华为云多维立体、全 栈防护的安全体系：2003 年，推出业界首款基于网络处理器（NP – Network Processor）的防火墙；2008 年，与赛门铁克（Symantec）合资成立华赛公司（Huawei- Syma

构建安全攻防矩阵 增强数字安全免疫力 腾讯云安全 张华 腾讯云安全，知攻更懂防 目录 挑战与趋势 CONTENTS 1 2 3 安全防御体系建设思路 安全运营及防护体系介绍 知攻更懂防，服务看得见 外部环境：攻击者越来越专业化，攻击手段向平台化、自动化演变 差距点：攻击方往往占据攻防主动权，开展 持续、深度的风险面管理，才能化被动为主动 攻击方 防守方 ü 技术精湛，各单位优秀渗透人员 虚假情报满天飞，干扰分析精力 ü 战场主动权，随意选择攻击目标 ü 技术精湛，各单位优秀渗透人员 ü 团队作战，各人才分工明确高效 ü 专业攻防协作平台及工具集 ü 更多攻防数据挖掘平台（社工、云等） ✗ 防护手段以漏扫、配置检查为主，缺乏攻击者视角风险发现能力 ✗ 缺乏云服务、员工社工钓鱼风险发现能力 ü 持久战，随意选择攻击时间、以逸待劳 ✗ 缺攻防经验，负责人以项目经理为主 ✗ 缺乏磨合，临时组建无实战配合 黑白交替、拉锯战容易导致身心俱疲 ✗ 仅了解已知资产，供应链、分子公司等风险覆盖不全 以前的攻防演练（14天高频对抗） 现在的攻防演练（持续且深入的较量） 防御挑战：企业对安全建设结果的保障需求 业务数据 企业安全防护措施 （FW、WAF、主机安全等） 是否存在数据外泄？ 还有哪些可利用路径？ 1. 漏洞利用 2. 配置不当 3. …… 企业缺乏对最终防御结果的保障能力，无法验证当前产品能力、防御策略等的有效性

可信高速数据网以“安全、高速、合规”为核心理念，基于IPv6+融 合新技术聚焦“数算、数网、数安协同”的演进主线，旨在破解数据流通 中的技术性瓶颈。其核心价值在于，不仅实现了数据资源的安全确权与 动态防护，更通过网络与数据/算力的深度融合，提升了数据调度的实时 性、灵活性与经济性。 可信高速数据网的建设，有助于我国构建“横向联通、纵向贯通”的 全国一体化数据流通格局，推动形成统一开放、竞争有序的数据要素市场 宽。结合数据分类分级管理，在网络边界部署数据围栏，并通过APN-ID标识与路径 可视技术，实现敏感数据全流程可溯、可管、可控，确保合规流通。 3�数安协同：筑牢数据流通的安全屏障 可信高速数据网以“内生安全、动态防护、合规监管”为核心，构建覆盖网络 传输全生命周期的安全体系。在传输与存储层面，部署量子加密、零信任接入、抗 量子密码等新型安全技术，确保数据“密文可用、明文不可见”。在设备与链路层 面，强化防 基于自身数字发展需求，在数据网络的安全性与传输效率建设上已开展大量实践， 形成了各具特色的发展路径，为我国可信高速数据网建设提供了重要参考。 美国：以“技术-制度”协同构建可信、高速的数据网络 美国围绕“安全防护-开放共享”核心诉求，以制度明确网络建设方向，以技 术强化网络核心能力，形成“战略引领、技术落地”的发展路径。 1� 战略定位与制度框架 美国通过顶层战略与专项立法明确数据网络的建设目标：一是强化可信安全治

网络传输等都与数据中心密切相关如果发生故障造成的；后果较传统数据中心更 为严重。  虚拟化等技术的应用使得传统物理安全边界缺失：传统网络安全设施与防御机制 在防护能力、响应速度等方面越来越难以满足日益复杂的安全防护要求，用户信 息安全、用户信息隔离问题在共享物理资源环境下的保护更为迫切。  数据传输安全：数据中心保存有大量的私密数据。在云计算模式下，面临着几个 方面的问题： 根据业务应用特点及平台架构层的特性，在采取传统安全防护基础上，进一步集成远 程传输数据加密、身份认证、安全存储、虚拟化安全、安全防御设施和资源云化等综合安 全技术手段，构建面向应用的纵深安全防御体系。主要体现如下的四个方面： 1. 底层结构安全，主要保障虚拟化、分布式计算等平台架构层面安全；  分布式计算平台的服务器安全，主要参考传统安全防护体系进行保护，主要包括 操作系统安全、交换机VLAN 划分、以及集群下存储安全及服务器双机热备，保 障可靠性等；  服务器虚拟化安全：虚拟机管理器安全：服务最小化原则、内核模块完整性、补 定管理机制等；虚拟机安全：虚拟机安全隔离、访问控制、恶意虚拟机防护（ 防地址欺骗、 VM 端口扫描等）、虚拟机资源限制等；  网络虚拟化安全：虚拟交换机：采用 VLAN 划分虚拟机组、对端口限速，禁止 混杂模式进行网络嗅探等；虚拟防火墙：设置安全访问控制策略，建立逻辑安全

...................................................................................... 14 3.6 威胁防护 .................................................................................................. 上 网行为管理产品，具有精准的应用识别、电信级高可靠性、全面威胁过滤和专业报表 等特点。 ASG2000系列产品，是业界应用识别最丰富，威胁防护最全面的上网行为管理产品。该 系列产品提供URL过滤、应用行为控制、流量管理、数据防泄漏、恶意软件防护、互联网行 为记录等多项功能，为企业机构提升员工工作效率、营造安全办公环境、以及法规遵从提供 了一体化的解决方案。 2 四重保护上网用户，恶意软件无所遁形 针对用户上网面临的威胁，提供多重防护确保上网安全。用户上网时面临着各种 华为 ASG2000 上网行为管理产品技术白皮书 2014-8-20 华为保密信息,未经授权禁止扩散 第 6 页, 共 23 页 安全威胁，如钓鱼网站、网页木马、文件病毒、黑客攻击等，ASG产品提供全方位的 防护措施，具备多重防护能力，确保用户上网安全。  迅速感知

38% 59% 低危 中危 高危 需求市场7-设备、工控和数据皆需安全守护 数字化转型推动设备连接/上云增加、工控融合、数据生产和流动加速等 利好结果的同时，也扩大了受攻击的节点范围，企业安全防护亟需跟进 制造业数字化转型需要安全厂商守护 来源：《Global IoT Forecast Report, 2023-2033》、CNVD、《全国数据资源调查报告（2023年）》《2024年中国 、一体化、集成化。这一趋势推动业务联动 性增强的同时，也让制造业企业暴露了更多的攻击节点，这必然会带来安全防护的需求。而设备、工控系统、数据等要素作为制造 业企业生产转运的核心，其安全防护的需求将优先被满足，故针对设备安全、工控安全和数据安全的产品和服务亟需跟进（详情见 需求场景示例-安全防护）。 14 ©2025.4 iResearch Inc. www.iresearch.com.cn 需求场景示例-安全防护 基于制造企业全业务流程的风险识别与防护体系构建 来源：企业访谈，艾瑞咨询研究院自主研究及绘制。 采购基本信息 采购需求： 围绕制造企业数字化转型， 进行“工业网络安全建设”： • 梳理网络架构及业务流程， 帮助企业分析安全风险点

具备可持续发展能力。优先支持脱胎于大型工业企业、具有工业 基因、熟悉行业机理的实体机构建设促进中心。 三、主要功能 (一)资源整合。汇聚政产学研用金等相关资源，整合技术、 产品、数据、标准、解决方案、基础设施、人才、安全防护等各类 资源要素，创新运营模式和合作机制，促进数字化转型资源开放 与共享。 第 7 页 共 162 页 (二)生态营造。通过供需合作、产融合作、产教合作等多种 形式营造制造业数字化转型良好生态，加快优秀案例和典型经验 效评估可采用自评估或第三方评价等方式，企业参与评 估人员应涵盖企业管理者、各业务部门责任人以及一线 技术工人。 (四)推进迭代优化 企业根据数字化成效评估结果，针对转型实施中的 短板和不足，迭代解决方案版本，强化安全防护，优化 实施效果。立足自身战略定位和业务发展方向，进一步 第 15 页 共 162 页 制定下阶段数字化转型目标和任务，统筹推进场景数字 化改造和业务数字化升级，持续强化全流程精益管理水 标准建设，打造工业数据空间，推动数据便捷高效流通。 (七)加强安全保障 健全工业企业网络安全管理制度，深入实施工业互 联网安全分类分级管理，建立健全定级防护、评估评测、 监测预警、信息通报、成效评价等工作机制，指导企业 落实《工业控制系统网络安全防护指南》相关要求，开 展重要工业控制系统识别认定，构建工控安全评估体系。 督促企业落实《数据安全法》《工业和信息化领域数据 安全管理办法(试行)》等法律政策要求，加强重要数据

仓门是否开启识别 周界 / 车间防护 栏 非法闯入识别 着装识别 中控室 睡岗离岗识别 睡岗离岗识别 车道 非法闯入识别 打电话 / 玩手机 车间 抽烟识别 固废 区 烟火识别 高空作业区 爬高提醒 仓库 烟火识别 仓门是否开启识别 占道堆积识别 园区食堂 明厨亮灶 园区智能 AI 巡检 - 非法闯入识别 建议部署区域：园区周界、车间防护栏区域、车行道、其他禁止闯入区域 非法闯入识别：通过人形轨迹检测算法对区域入侵实时检测，过滤非人体（树叶晃动、光线影印、猫狗等）入侵 误报，若有人员非法闯入（支持区域 / 时间等配置），则立即告警给相关人员及时处理 禁止入内 人员非法跨越进入园区 员工违规进入防护栏区域 XX 位置，发现有人闯 入，请及时处理！ 实时调取异常视频 摄像头斜视照射监控区 摄像 头斜 视照 射监 控区 园区智能 AI 巡检 - 烟火识别 建议部署区域：固废区、其他重点生产区域