工业互联网安全服务平台的认证工作发展方向探索

张斌 王新霞 陈意 胡谦 孔群

安全是工业互联网健康发展的前提，工业互联网安全服务平台作为保障工业互联网安全的重要工具，亟需开展安全服务平台的相关认证工作。本文从开展安全服务平台认证工作的背景、必要性、发展方向等方面进行研究，对工业互联网安全服务平台的认证工作进行了有益探索。

一、背景

工业互联网满足了工业智能化发展需求，是制造业数字化、网络化、智能化的重要载体，通过新一代信息通信技术与先进制造业的融合发展，形成新的业态与应用模式。

工业互联网安全服务平台（以下简称安全服务平台）是以工业互联网安全分类分级为基础，以安全监测感知与分析、安全响应与处置恢复为核心，以安全服务为目标的管理与服务平台。安全服务平台针对工业互联网中设备、控制、网络、应用和数据等维度的安全需求，进行数据收集与处理，与业务场景相结合，搭建数据分析模型，实时动态地展示安全态势与数据地图，感知威胁并及时采取响应措施。

安全服务平台为服务需求方提供规划、加固、监测、应急响应等安全服务，对其自身能力水平提出了更高要求。推动安全服务平台的认证工作，既是服务供应商提高自身安全服务水平的需要，也是服务需求方安全需求得以满足的保证。建立安全服务平台的认证规范，明确安全服务水平的基线指标，保证安全服务质量，不断提升安全服务水平。

二、必要性

（一）安全服务平台的服务能力和水平参差不齐

随着云计算、大数据等技术的发展，我国工业互联网发展迅速，与此同时，相关组织和机构建立了工业互联网安全服务平台，以企业自用或对外提供安全服务。但不同的安全服务平台其服务能力、服务水平、覆盖范围、响应速度各不相同，没有相应的认证规范或标准对安全服务平台进行评价和认证。

（二）各类机构无法选择合适的安全服务平台

当前，工业企业的IT（Information Technology，信息技术）侧与OT（Operation Technology，操作技术）侧进一步打通融合，使得工业企业的工业互联网安全防护需求增加，但没有安全服务平台服务能力的认证规范；如果安全服务平台的安全防护能力不足，安全厂商不能全面掌握工业企业的安全动态并及时对有关安全漏洞和威胁做出响应，使其不能提供高质量的安全产品和服务；相关的安全监管机构通过某些安全服务平台不能及时获取工业企业的安全现状，从而无法有效督促本区域内的工业企业开展安全问题整改。因此亟需制定差异化的安全服务平台认证规范，以满足不同机构的需求，为各类机构选择合适的安全服务平台提供标准和依据。

（三）国内安全服务平台评价标准尚属空白

针对智能制造、企业上云等方面的评价，国内外已有相关的评价指标体系，也形成了典型案例；关于工业互联网平台与应用也建立了相关的标准，满足企业数字化转型的需要；但涉及安全服务平台的安全服务能力、服务水平的认证规范和评价标准在国内属于空白。因此，需要开展安全服务平台认证方面的探索，完善我国工业互联网相关认证体系，更好地规范工业互联网应用，加快我国智能制造的步伐。

三、认证工作发展方向探索

（一）制定完善的安全服务平台认证体系

目前，我国安全服务平台认证工作尚处于空白阶段，没有统一的认证规范和工作流程。安全服务平台认证工作的开展有赖于统一的认证规范与认证流程，国家相关部门应积极协调安全服务平台服务供应商、服务需求方、認证机构、科研单位等，形成“政、产、学、研、用”的认证生态圈，共同开展安全服务平台认证规范制定与完善工作，形成符合安全需求与未来发展方向的动态化安全服务平台认证规范体系。同时，建立规范化、动态化、体系化的认证机构管理机制，定期对相关认证机构进行考核与抽查，对不符合要求的机构给予警告甚至取消资质的惩罚；针对认证专业人员，需经过专业培训后由具有资质的机构颁发资质证明后才可执证上岗，保障认证工作的权威性与科学性。

（二）探索形成自主性认证与强制性认证相结合的模式

安全服务平台作为国内工业互联网安全领域的新兴产品，目前在认证领域方面还属于空白，在认证工作的开展和推广方面应当以自主性认证为主，充分发挥市场的调节作用，同时相关主管部门应积极引导安全服务平台开展认证工作，调动企业积极性与安全意识，不断完善认证规范。随着认证工作的不断开展与完善以及安全服务平台在工业互联网中的重要性不断增加，逐步探索安全服务平台的强制性认证工作，切实保障服务需求方的自身利益。

（三）安全服务平台认证范围应重点关注安全，兼顾功能与性能

没有网络安全就没有国家安全，安全服务平台作为保障工业互联网安全的重要手段，其自身的安全性应放在首位，只有保障安全服务平台自身安全，才能充分发挥安全服务平台为工业互联网安全保驾护航的作用。安全服务平台的认证工作应将其安全认证作为首要工作，围绕安全服务平台的安全架构，提出针对安全服务平台的安全认证定级方法、认证模型、认证指标。同时针对安全服务平台功能、性能提炼关键指标，对关键指标开展认证。首先保障安全服务平台自身安全性，开展安全服务平台的安全认证工作，同时兼顾安全服务平台主要功能与性能的相关认证，将是现阶段安全服务平台认证工作的主要发展方向。

（四）积极推动相关的认证规范国际化

目前，我国的认证工作从行业和区域性布局向全球性布局延伸的进程不断加快，相关认证规范的国际互认不断推进。通过积极推进认证规范的制定工作和典型企业的认证实践，对认证规范不断提炼完善，将安全服务平台的认证规范国际化，不仅能加快服务平台的技术与管理的进步，同时也是势在必行的趋势。

四、总结

网络、平台、安全是工业互联网三大组成部分，安全服务平台是保障工业互联网安全的重要工具。安全服务平台的服务能力和水平参差不齐，各类机构无法选择合适的安全服务平台，如何对其进行认证成为保障工业互联网安全的关键环节。本文从建立认证体系、探索认证模式、界定认证范围和推动认证规范国际化等方面对工业互联网安全服务平台的认证工作发展方向进行了研究，提出了相关建议。但本次的研究工作仍存在许多不足，工业互联网安全服务平台的认证研究工作是一项长期而艰巨的工程，需要在总结成功经验的基础上动态地进行修正补充，下一步将在认证体系完善、试点验证、推广应用等方面做进一步研究，为筛选安全服务平台提供有效依据，助力工业互联网健康发展。

作者单位：张斌 中国网络安全审查技术与认证中心王新霞、陈意、胡谦、孔群 山东省电子信息产品检验院（中国赛宝（山东）实验室）