学术前沿| 《工业信息安全》（第18期）主要内容速览

《工业信息安全》（双月刊）是由中华人民共和国工业和信息化部主管，国家工业信息安全发展研究中心主办的科技学术期刊。本刊旨在助力我国工业信息安全高质量发展，坚持面向工业信息安全行业需求，传播前沿技术、展示科研成果、推广最佳实践、促进学术交流、支撑政府决策的办刊宗旨，是国内工业信息安全领域唯一的学术期刊，并已经被中国知网、万方、维普等学术论文数据库收录。

“工业互联网+安全生产”应急响应系统研究

摘要：安全生产是实现工业高质量发展的重要保障，工业互联网的应用推动了企业生产效率提升，也为安全生产提供了更多的技术手段和解决方案。本研究致力于提升安全生产管理效能，解决事件处置自动化手段缺乏的问题，提出了一种基于云边协同架构的“工业互联网+安全生产”应急响应系统，通过便携式传感器和手持智能设备，实现生产现场的环境数据、视频监控数据、设备数据等全要素采集汇聚，并综合运用工业互联网平台的高性能计算能力和边缘计算的实时性优势进行数据处理，实现行为分析、物联监测、资产识别、风险管控和教育培训等效果，形成一套完善的安全生产应急响应解决方案，支持企业自主开展应急处置工作。

关键词：工业互联网；安全生产；应急响应；云边协同

开源软件供应链安全展望

洪晟，易哲凯

摘要：随着科学的进步与发展，ICT(信息与通信技术）供应链在生活生产中起到越来越重要的作用。开源软件供应链是其中一环，也是各类关键信息基础设施的重要基础。与此同时，软件供应链逐步趋于复杂化和多样化，其安全风险不断加剧，日益受到学术界和产业界的重视。首先，从软件使用和软件攻击2个方面分析开源软件供应链所存在的安全问题；然后，对国内外的研究工作进行调研，总结软件物料清单技术、软件供应链安全检测技术、软件数据安全保护技术3个方面的发展现状；最后，提出在开源软件开发和使用各环节应采取的安全防范措施，以全面保障开源软件供应链安全。

关键词：开源软件；软件供应链；安全问题

基于IEC62443-3标准的工业信息安全防护体系研究

摘要：国际标准IEC62443《工业过程测量、控制和自动化网络与系统信息安全》第三部分针对系统集成商提出了保护工业控制系统所需的技术安全要求，指导系统集成商采用安全技术措施保障工业控制系统的安全性和可靠性，并提高其抵御各种攻击的能力。本文对IEC62443标准内容和国家标准等同采用情况进行了梳理和介绍，对IEC62443-3-3标准内容进行研究，对基本要求FR相关的详细技术类控制系统要求SR、控制系统信息安全等级SL要求进行阐述，并着重对比分析了IEC62443-3-3与GB/T22239-2019之间在安全等级方面的差异和在技术指标方面的关联关系，最后提出了一套基于IEC62443-3-3标准的工业信息安全防护框架和建设思路，为企业开展IEC62443标准研究和安全防护体系建设提供参考。

关键词：工业信息安全；IEC62443；防护体系；安全标准

可信计算在国产操作系统下的应用及测试方法探究

摘要：本文首先详细介绍了可信计算的基本概念和发展的三个阶段。接着，对可信计算的应用模式进行分析，并调研国内外在可信计算方面的研究现状。随后，以国产可信安全操作系统和国产CPU自主可信计算体系结构为例，详细介绍了国产操作系统在可信计算方面的发展现状。最后，对可信度量及相关的可信度量模型和验证方法进行介绍，阐述相关测试方法。本文从基本概念出发，对可信计算进行深入分析，阐述国产可信计算中以国产操作系统搭配国产CPU处理器的可信技术体系，并对可信计算的未来发展方向做出展望。

关键词：可信计算；安全；可信计算体系；可信度量

数据安全管理体系在集团化企业中的应用

摘要：在集团化企业的数字化转型过程中，信息安全和数据安全受到了巨大挑战。为防止信息泄露和网络攻击等数据安全事故造成企业、社会甚至国家遭受巨大损失，集团化企业应当建立完备的数据安全管理体系。为此，本文从集团化企业建立数据安全体系的必要性出发，通过分析集团化企业的特点和数据安全管理的痛点，提出了一套集团化企业建立数据安全体系的有效方式，并结合实际案例分析了所提出的数据安全体系在集团化企业的建设方法，展示了数据安全体系在集团化企业管理中的实际应用方式。最终集团化企业通过建立完善的数据安全体系，有效地保障了企业数据的安全性和完整性，提高了企业的数据安全水平和管理效率，为集团化企业数据安全管理提供了一种新的思路和方法。

关键词：数据安全体系；集团化企业；安全性；完整性

商用密码在工业互联网的应用模式研究

摘要：《商用密码管理条例》和《商用密码应用安全性评估管理办法》分别于2023年的7月1日和11月1日施行。工业互联网企业需要更加严格遵守商用密码管理的相关规定，其网络安全建设也迎来了新的合规要求。网络安全等级保护、关键信息基础设施保护、商用密码应用安全评估的衔接更加紧密。商用密码应用安全评估成为工业互联网领域重要网络和信息系统上线、运行的前提条件之一。因此，工业互联网企业应当结合业务发展需要，采取技术方式实现商用密码应用。本文通过研究商用密码在工业互联网场景下的应用模式以及构建认证信任服务体系的技术实现方式，为工业互联网企业开展商用密码应用建设提供了借鉴，有助于提升网络安全水平，确保网络和信息系统的稳定运行。

关键词：工业互联网；身份认证；信任体系；数据安全；商用密码

生成式人工智能对网络安全的影响分析

摘要：国家高度重视人工智能战略发展，体系化统筹推进发展和安全。党的二十大报告指出，“推动战略性新兴产业融合集群发展，构建新一代信息技术、人工智能、生物技术、新能源、新材料、高端装备、绿色环保等一批新的增长引擎”。2024年1月，国务院常务会议指出，“要统筹高质量发展和高水平安全，以人工智能和制造业深度融合为主线，以智能制造为主攻方向，以场景应用为牵引，加快重点行业智能升级，大力发展智能产品，高水平赋能工业制造体系，加快形成新质生产力”。生成式人工智能成为主要发展方向，数据、算法、算力等关键技术指标取得突破性进展，可解释性成为未来关注焦点。生成式人工智能广泛应用于网络安全行业，“双刃剑”效应明显。一方面，能够提升软硬件安全防护水平、提高网络防御决策质量与效率、优化第三方网络检测评估技术等；另一方面，也能够引发更多的开发安全、数据安全、治理风险等问题。结合生成式人工智能对网络安全的影响，本文从治理体系、技术创新、安全保障、生态培育等方面提出启示与展望。

关键词：生成式人工智能；网络安全；技术发展；风险分析

人工智能安全技术及智能防御系统研究

摘要：本文介绍了人工智能与智能安全的相关概念、发展轨迹、基本构成、挑战与机遇。本文首先回顾了人工智能的三次发展高潮，以及人脑工作的几个机制，如预测与反馈、脑内连接、记忆、注意力和多模态神经元。然后，本文分析了智能系统的基本构成，包括感知、认知、理解、决策、行动和反馈。接着，本文讨论了智能安全的含义和分类，以及给智能以安全和给安全以智能的四个象限。本文还提出了一个智能安全自主度模型，将安全系统的威胁检测与防护的自主决策能力分为五个等级。最后，本文指出了人工智能在网络安全领域的应用面临的挑战，如问题空间不闭合、样本空间不对称、推理结果不可解释、泛化能力衰退等，并展望了未来的研究方向。

关键词：人工智能；智能安全；问题空间；模型；自主决策