智能制造工业设备工业数据安全标准（2025版）

智能制造工业设备工业数据安全标准（2025版）1范围本标准规定了在智能制造环境下，工业设备全生命周期中所产生的工业数据安全的基本原则、总体架构、数据分类分级、全生命周期安全防护要求、技术防护要求以及安全管理要求。本标准适用于智能制造领域中的工业控制系统（ICS）、数据采集与监视控制系统（SCADA）、分布式控制系统（DCS）、可编程逻辑控制器（PLC）、工业机器人、数控机床、智能传感器等工业设备及其相关系统的设计、开发、建设、运行和维护。本标准旨在指导工业企业、设备制造商、系统集成商以及相关第三方服务机构构建健壮的工业数据安全防护体系，确保工业数据的保密性、完整性、可用性，保障智能制造业务的连续稳定运行。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069-2010信息安全技术术语GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T36092-2018信息安全技术数据安全能力成熟度模型GB/T37988-2019数据安全能力成熟度模型GB/T39786-2021信息安全技术商用密码应用与安全性评估GB/T30976.1-2014工业控制系统网络安全第1部分：通用要求GB/T30976.2-2014工业控制系统网络安全第2部分：管理要求GB/T30976.3-2014工业控制系统网络安全第3部分：评估要求3术语和定义3.1工业数据在工业产品研发设计、生产制造、经营管理、运维服务等全生命周期过程中，利用信息技术采集、生成、处理和传输的各类电子数据。3.2智能制造工业设备应用于智能制造场景，具备感知、监测、控制、执行等功能的硬件装置及其内置的嵌入式软件系统，包括但不限于控制器、驱动器、执行机构、智能仪表等。3.3数据全生命周期工业数据从产生或采集开始，经过传输、存储、处理、交换、销毁等阶段，直至数据失效的完整过程。3.4边缘计算在靠近物或数据源头的一侧，采用网络、计算、存储、应用核心能力的开放平台，提供近端服务。4总体安全原则与架构4.1安全原则智能制造工业数据安全建设应遵循以下核心原则，以确保在复杂的工业互联网环境下的数据安全：分级分类，精准防护：依据工业数据的重要程度和敏感程度进行分级分类，针对不同级别的数据实施差异化的防护策略，合理分配安全资源，避免“一刀切”式的过度防护或防护不足。分级分类，精准防护：依据工业数据的重要程度和敏感程度进行分级分类，针对不同级别的数据实施差异化的防护策略，合理分配安全资源，避免“一刀切”式的过度防护或防护不足。纵深防御，综合管控：构建覆盖感知层、网络层、平台层、应用层的多维度安全防护体系，结合技术手段与管理措施，形成事前预防、事中监测、事后响应的闭环防御机制。纵深防御，综合管控：构建覆盖感知层、网络层、平台层、应用层的多维度安全防护体系，结合技术手段与管理措施，形成事前预防、事中监测、事后响应的闭环防御机制。业务导向，适度安全：安全措施的部署不应以牺牲生产效率或影响设备实时性为代价。在确保核心数据安全的前提下，充分考虑工业环境的实时性、高可靠性要求，确保安全与业务的动态平衡。业务导向，适度安全：安全措施的部署不应以牺牲生产效率或影响设备实时性为代价。在确保核心数据安全的前提下，充分考虑工业环境的实时性、高可靠性要求，确保安全与业务的动态平衡。动态评估，持续改进：工业数据安全不是静态的，应随着业务系统的升级、外部威胁的变化以及新技术的应用，定期进行风险评估，动态调整安全策略，确保持续的有效性。动态评估，持续改进：工业数据安全不是静态的，应随着业务系统的升级、外部威胁的变化以及新技术的应用，定期进行风险评估，动态调整安全策略，确保持续的有效性。4.2总体架构智能制造工业数据安全防护体系架构由四个层级构成，自下而上分别为：设备与边缘层：主要保障工业设备本体、嵌入式系统、边缘网关及边缘计算节点的物理安全、固件安全及接入安全。设备与边缘层：主要保障工业设备本体、嵌入式系统、边缘网关及边缘计算节点的物理安全、固件安全及接入安全。网络传输层：保障工业数据在OT网络、IT网络以及跨域传输过程中的机密性与完整性，重点防范窃听、篡改、重放攻击。网络传输层：保障工业数据在OT网络、IT网络以及跨域传输过程中的机密性与完整性，重点防范窃听、篡改、重放攻击。平台与数据层：保障数据在汇聚、存储、处理过程中的安全，包括数据库安全、大数据平台安全及隐私计算安全。平台与数据层：保障数据在汇聚、存储、处理过程中的安全，包括数据库安全、大数据平台安全及隐私计算安全。应用与业务层：保障上层应用（如MES、ERP、云平台）的数据访问控制、接口安全及业务逻辑安全。应用与业务层：保障上层应用（如MES、ERP、云平台）的数据访问控制、接口安全及业务逻辑安全。5工业数据分类分级5.1数据分类工业数据分类应基于业务属性进行划分，常见的分类维度包括：生产运行数据：描述生产过程状态、参数、日志的数据。如设备运行状态、工艺参数、生产指令、报警信息等。生产运行数据：描述生产过程状态、参数、日志的数据。如设备运行状态、工艺参数、生产指令、报警信息等。研发设计数据：涉及产品配方、设计图纸、源代码、仿真模型等核心知识产权的数据。研发设计数据：涉及产品配方、设计图纸、源代码、仿真模型等核心知识产权的数据。经营管理数据：涉及订单信息、客户信息、供应链数据、财务数据等。经营管理数据：涉及订单信息、客户信息、供应链数据、财务数据等。设备资产数据：设备台账、维护记录、备件信息、固件版本等。设备资产数据：设备台账、维护记录、备件信息、固件版本等。外部环境数据：从外部获取的市场数据、上下游协作数据等。外部环境数据：从外部获取的市场数据、上下游协作数据等。5.2数据分级根据数据遭到破坏、泄露、非法篡改、非法利用后，对国家安全、公共利益、企业权益以及生产运行的影响程度，将工业数据划分为四个级别。具体分级标准如下表所示：数据级别定义描述影响后果典型数据示例第一级（一般数据）对企业权益、生产运行影响较小，一旦泄露或受损，造成的直接经济损失和影响有限。造成轻微负面影响，可快速恢复，不影响核心业务。公共产品信息、普通设备运行日志、非涉密的内部通知、一般环境监测数据。第二级（重要数据）对企业权益、生产运行有一定影响，或对公众个人信息有一定影响。造成中等经济损失，影响局部生产秩序，或导致少量个人信息泄露。生产计划排程、设备维护保养计划、非核心工艺参数、员工个人信息、供应商基础信息。第三级（核心数据）对企业生存发展、核心竞争力有重大影响，或对公共利益有较大影响。造成重大经济损失，导致生产中断，核心竞争力受损，或大规模个人信息泄露。核心工艺配方、关键设计图纸、源代码、生产总控指令、高精度传感器校准参数、大规模客户名单。第四级（敏感数据）关系国家安全、国民经济命脉，一旦泄露可能危害国家安全。造成极其严重的后果，危及国家关键基础设施安全，或导致重大公共安全事件。涉及国家战略的关键设施运行数据、国家重点军工产品生产数据、重大能源调度指令。6工业数据全生命周期安全防护要求6.1数据采集安全数据采集是工业数据产生的源头，主要面临数据被非法窃听、伪造、重放等风险。安全防护要求如下：源身份认证：采集设备（传感器、仪表、PLC等）在接入网络或向上位机发送数据前，必须进行双向身份认证。应采用基于数字证书（PKI）、预共享密钥（PSK）或专用工业协议认证机制，防止非法设备接入。源身份认证：采集设备（传感器、仪表、PLC等）在接入网络或向上位机发送数据前，必须进行双向身份认证。应采用基于数字证书（PKI）、预共享密钥（PSK）或专用工业协议认证机制，防止非法设备接入。数据完整性校验：采集的数据包应附带校验信息（如CRC、MAC值），接收端在处理前必须校验数据完整性，防止数据在传输过程中被篡改。数据完整性校验：采集的数据包应附带校验信息（如CRC、MAC值），接收端在处理前必须校验数据完整性，防止数据在传输过程中被篡改。异常行为监测：应部署边缘端安全代理或工业入侵检测系统（IDS），实时监测采集数据的频率、幅值等特征，识别异常流量模式（如周期性指令突然停止、异常高频采样），防范DDoS攻击或逻辑炸弹。异常行为监测：应部署边缘端安全代理或工业入侵检测系统（IDS），实时监测采集数据的频率、幅值等特征，识别异常流量模式（如周期性指令突然停止、异常高频采样），防范DDoS攻击或逻辑炸弹。时钟同步：所有采集设备应通过NTP或PTP协议进行严格的时间同步，确保日志数据的时间戳准确性，为事后审计分析提供可靠基础。时钟同步：所有采集设备应通过NTP或PTP协议进行严格的时间同步，确保日志数据的时间戳准确性，为事后审计分析提供可靠基础。6.2数据传输安全工业数据传输环境复杂，涉及有线/无线、OT/IT跨域传输，是攻击的高发环节。传输加密：对于第二级及以上数据，在传输过程中必须采取加密措施。在OT网络内部，应尽量支持OPCUAoverTLS、ModbusTCPSecurity等加密协议；在跨OT/IT传输或公网传输场景下，必须使用VPN、SSL/TLS（建议TLS1.3以上版本）建立加密通道。传输加密：对于第二级及以上数据，在传输过程中必须采取加密措施。在OT网络内部，应尽量支持OPCUAoverTLS、ModbusTCPSecurity等加密协议；在跨OT/IT传输或公网传输场景下，必须使用VPN、SSL/TLS（建议TLS1.3以上版本）建立加密通道。通信协议管控：禁止在工业控制网络中使用明文传输的FTP、Telnet、HTTP等高风险协议。若必须使用，应通过隧道技术进行封装或通过应用层网关进行协议转换。通信协议管控：禁止在工业控制网络中使用明文传输的FTP、Telnet、HTTP等高风险协议。若必须使用，应通过隧道技术进行封装或通过应用层网关进行协议转换。网络隔离与边界防护：在不同安全等级的网络区域之间（如管理网与生产网），应部署工业防火墙、网闸（单向隔离）或工业网关。应严格遵循“最小化原则”配置访问控制策略（ACL），仅开放必需的端口和通信路径。网络隔离与边界防护：在不同安全等级的网络区域之间（如管理网与生产网），应部署工业防火墙、网闸（单向隔离）或工业网关。应严格遵循“最小化原则”配置访问控制策略（ACL），仅开放必需的端口和通信路径。无线传输加固：对于工业Wi-Fi、5G、LoRa等无线传输方式，应启用强加密算法（如WPA3、AES），并定期更换密钥。严禁关闭无线接入点的身份验证功能。无线传输加固：对于工业Wi-Fi、5G、LoRa等无线传输方式，应启用强加密算法（如WPA3、AES），并定期更换密钥。严禁关闭无线接入点的身份验证功能。6.3数据存储安全工业数据存储于数据库、文件服务器或边缘存储介质中，需防范数据泄露、丢失和勒索软件攻击。存储加密：对于第三级（核心数据）及以上数据，应采用国密算法（如SM4）或AES-256进行加密存储。密钥管理应遵循密钥全生命周期管理规范，严禁将密钥明文硬编码在代码或配置文件中。存储加密：对于第三级（核心数据）及以上数据，应采用国密算法（如SM4）或AES-256进行加密存储。密钥管理应遵循密钥全生命周期管理规范，严禁将密钥明文硬编码在代码或配置文件中。访问控制：存储系统应启用基于角色的访问控制（RBAC）。严格限制数据库账号权限，禁止使用默认账号，遵循特权账号管理原则，对管理员操作进行全过程审计。访问控制：存储系统应启用基于角色的访问控制（RBAC）。严格限制数据库账号权限，禁止使用默认账号，遵循特权账号管理原则，对管理员操作进行全过程审计。数据备份与恢复：建立完善的本地+异地备份机制。关键业务数据应实施实时备份或近实时备份。备份数据应定期进行恢复演练，确保备份数据的可用性。备份数据本身应进行加密和防篡改保护，防止勒索软件加密备份文件。数据备份与恢复：建立完善的本地+异地备份机制。关键业务数据应实施实时备份或近实时备份。备份数据应定期进行恢复演练，确保备份数据的可用性。备份数据本身应进行加密和防篡改保护，防止勒索软件加密备份文件。数据隔离：不同业务系统、不同租户（在云平台场景下）的数据应进行逻辑隔离或物理隔离，防止数据越权访问。数据隔离：不同业务系统、不同租户（在云平台场景下）的数据应进行逻辑隔离或物理隔离，防止数据越权访问。6.4数据处理安全数据处理包括数据清洗、分析、挖掘、可视化等过程，涉及大数据平台和AI算法。隐私计算：在涉及多方数据联合建模或分析场景（如供应链协同优化）时，应采用联邦学习、多方安全计算（MPC）等技术，确保数据“可用不可见”，保护各方数据主权。隐私计算：在涉及多方数据联合建模或分析场景（如供应链协同优化）时，应采用联邦学习、多方安全计算（MPC）等技术，确保数据“可用不可见”，保护各方数据主权。数据脱敏：对包含敏感信息（如员工身份证号、客户姓名）的数据，在对外提供、测试环境使用或非授权人员访问时，必须进行动态脱敏或静态脱敏处理（如掩码、泛化）。数据脱敏：对包含敏感信息（如员工身份证号、客户姓名）的数据，在对外提供、测试环境使用或非授权人员访问时，必须进行动态脱敏或静态脱敏处理（如掩码、泛化）。算法安全：使用人工智能算法处理工业数据时，应防范对抗样本攻击和数据投毒攻击。应对训练数据进行来源审查，确保训练数据的纯净度，并建立算法模型的鲁棒性测试机制。算法安全：使用人工智能算法处理工业数据时，应防范对抗样本攻击和数据投毒攻击。应对训练数据进行来源审查，确保训练数据的纯净度，并建立算法模型的鲁棒性测试机制。媒介管理：用于数据处理的移动存储介质（U盘、移动硬盘）应实施“专机专用”策略，接入前必须进行病毒查杀和格式化操作，并开启介质只读保护功能。媒介管理：用于数据处理的移动存储介质（U盘、移动硬盘）应实施“专机专用”策略，接入前必须进行病毒查杀和格式化操作，并开启介质只读保护功能。6.5数据交换安全数据交换涉及与外部系统、上下游企业或云端平台的数据交互。接口安全：所有数据交换接口（API）必须进行身份认证和鉴权。应限制接口调用频率，防止接口滥用。API返回数据应遵循最小化原则，不应返回超出请求范围的数据。接口安全：所有数据交换接口（API）必须进行身份认证和鉴权。应限制接口调用频率，防止接口滥用。API返回数据应遵循最小化原则，不应返回超出请求范围的数据。数据交换审计：对所有数据交换行为进行详细记录，包括交换主体、时间、数据类型、数据量、目标地址等。审计日志应定期由独立的安全团队进行审查。数据交换审计：对所有数据交换行为进行详细记录，包括交换主体、时间、数据类型、数据量、目标地址等。审计日志应定期由独立的安全团队进行审查。第三方风险管理：在向第三方服务商提供工业数据时，必须签署数据保密协议（DPA），明确数据的使用范围、保护义务和违约责任。在技术层面，宜采用数据水印技术，对泄露数据进行溯源追踪。第三方风险管理：在向第三方服务商提供工业数据时，必须签署数据保密协议（DPA），明确数据的使用范围、保护义务和违约责任。在技术层面，宜采用数据水印技术，对泄露数据进行溯源追踪。文件交换安全：通过文件形式交换数据时，应支持对文件进行数字签名，确保文件来源的真实性和内容的完整性。接收端应验证签名通过后方可解析文件内容。文件交换安全：通过文件形式交换数据时，应支持对文件进行数字签名，确保文件来源的真实性和内容的完整性。接收端应验证签名通过后方可解析文件内容。6.6数据销毁安全当数据不再需要时，必须进行彻底销毁，防止数据残留导致的信息泄露。逻辑销毁与物理销毁：对于存储介质上的敏感数据，应采用多次覆写等逻辑销毁技术；对于废弃的硬盘、磁带等存储介质，应进行消磁、物理粉碎或焚毁等物理销毁处理。逻辑销毁与物理销毁：对于存储介质上的敏感数据，应采用多次覆写等逻辑销毁技术；对于废弃的硬盘、磁带等存储介质，应进行消磁、物理粉碎或焚毁等物理销毁处理。销毁审计：建立数据销毁审批流程和记录机制，记录销毁数据的类型、级别、销毁时间、执行人、销毁方式等信息，确保销毁过程可追溯。销毁审计：建立数据销毁审批流程和记录机制，记录销毁数据的类型、级别、销毁时间、执行人、销毁方式等信息，确保销毁过程可追溯。系统退役处理：在工业设备或信息系统退役、报废前，必须对其内部存储的所有数据进行彻底清除和备份转移，严禁将含有残留数据的设备直接丢弃或转售。系统退役处理：在工业设备或信息系统退役、报废前，必须对其内部存储的所有数据进行彻底清除和备份转移，严禁将含有残留数据的设备直接丢弃或转售。7工业设备本体安全要求7.1固件与系统安全工业设备的固件是攻击者植入后门或持久化控制的重点目标。固件完整性校验：设备启动过程中，应具备安全启动机制，对Bootloader、内核、文件系统进行完整性校验。校验失败时应自动进入安全模式或停止运行，并告警。固件完整性校验：设备启动过程中，应具备安全启动机制，对Bootloader、内核、文件系统进行完整性校验。校验失败时应自动进入安全模式或停止运行，并告警。固件更新安全：固件更新必须通过加密通道进行传输，更新包必须经过数字签名验证。设备应具备回滚机制，当更新失败或导致功能异常时，能够恢复至上一稳定版本。固件更新安全：固件更新必须通过加密通道进行传输，更新包必须经过数字签名验证。设备应具备回滚机制，当更新失败或导致功能异常时，能够恢复至上一稳定版本。操作系统加固：设备内置操作系统（如VxWorks,EmbeddedLinux,WindowsIoT）应关闭不必要的服务和端口，禁用默认账号，设置强密码策略，并及时修补已知的高危漏洞。操作系统加固：设备内置操作系统（如VxWorks,EmbeddedLinux,WindowsIoT）应关闭不必要的服务和端口，禁用默认账号，设置强密码策略，并及时修补已知的高危漏洞。7.2硬件接口安全物理接口是数据泄露和物理接入攻击的入口。物理端口管理：对于非业务必需的物理端口（如USB、串口、调试口JTAG），应在硬件层面或固件层面进行禁用或锁定。必须开启的端口应通过物理封条或电子锁进行管控。物理端口管理：对于非业务必需的物理端口（如USB、串口、调试口JTAG），应在硬件层面或固件层面进行禁用或锁定。必须开启的端口应通过物理封条或电子锁进行管控。现场设备防护：部署在现场的工业设备应具备防拆机保护机制，一旦检测到物理入侵（如外壳被打开），应自动触发数据清除或设备锁定，并上传告警信息。现场设备防护：部署在现场的工业设备应具备防拆机保护机制，一旦检测到物理入侵（如外壳被打开），应自动触发数据清除或设备锁定，并上传告警信息。8安全管理与运维要求8.1组织与人员管理安全组织架构：企业应设立专门的工业数据安全管理委员会或指定专职岗位，明确数据安全责任人、管理人和执行人的职责。安全组织架构：企业应设立专门的工业数据安全管理委员会或指定专职岗位，明确数据安全责任人、管理人和执行人的职责。人员背景审查：对接触核心工业数据（三级及以上）的关键岗位人员进行严格的背景审查，并签署保密协议。人员背景审查：对接触核心工业数据（三级及以上）的关键岗位人员进行严格的背景审查，并签署保密协议。安全意识培训：定期针对工业控制人员、运维人员开展数据安全专项培训，内容包括社会工程学防范、钓鱼邮件识别、安全操作规程等，每年度至少进行一次考核。安全意识培训：定期针对工业控制人员、运维人员开展数据安全专项培训，内容包括社会工程学防范、钓鱼邮件识别、安全操作规程等，每年度至少进行一次考核。8.2应急响应与演练应急预案：制定针对数据泄露、勒索软件攻击、系统瘫痪等专项应急预案。预案应明确响应流程、处置措施、责任人及外部联络方式。应急预案：制定针对数据泄露、勒索软件攻击、系统瘫痪等专项应急预案。预案应明确响应流程、处置措施、责任人及外部联络方式。应急演练：每半年至少组织一次实战化应急演练，模拟真实攻击场景，检验预案的有效性，并根据演练结果持续优化预案。应急演练：每半年至少组织一次实战化应急演练，模拟真实攻击场景，检验预案的有效性，并根据演练结果持续优化预案。威胁情报：建立威胁情报获取机制，及时获取与所使用的工业设备、系统相关的漏洞信息和攻击情报，提前进行针对性加固。威胁情报：建立威胁情报获取机制，及时获取与所使用的工业设备、系统相关的漏洞信息和攻击情报，提前进行针对性加固。8.3合规与审计合规性评估：定期（建议每年至少一次）依据本标准及国家相关法律法规（如《数据安全法》、《网络安全法》）开展数据安全合规性评估，出具评估报告。合规性评估：定期（建议每年至少一次）依据本标准及国家相关法律法规（如《数据安全法》、《网络安全法》）开展数据安全合规性评估，出具评估报告。日志留存：工业设备、网络设备、安全设备、应用系统的日志应集中存储。日志内容应至少包含用户身份、操作时间、源IP、操作类型、操作结果等关键信息。日志留存时间应不少于6个月，涉及重大案件的日志应长期保存。日志留存：工业设备、网络设备、安全设备、应用系统的日志应集中存储。日志内容应至少包含用户身份、操作时间、源IP、操作类型、操作结果等关键信息。日志留存时间应不少于6个月，涉及重大案件的日志应长期保存。独立审计：应定期由内部审计部门或委托第三方机构对数据安全防护措施的执行情况进行独立审计，确保安全策略的有效落地。