AI 驱动新型工业化:融合安全实践与案例解析
免责声明:本公众号旨在提供行业资讯、知识分享、经验交流等,所有内容仅供读者参考,不构成任何形式的专业建议或承诺。部分图文源于网络,仅用于学习交流,版权归原作者所有,如有侵权请联系我们删除。
当前,人工智能与工业互联网加速融合,正成为赋能新型工业化的重要动力。大模型、智能体、具身智能等新技术深度融入工业全流程,助推产业数智化升级。在工信部融合赋能行动方案指引下,产业融合应用不断深化,坚持统筹发展与安全。然而,技术融合打破传统安全边界,工业运行模式持续革新,数据与智能模型成为新型风险载体,各类安全风险交织叠加。传统静态防护体系已难以满足全域复杂场景防护需求。在此形势下,搭建适配人工智能赋能新型工业化的融合安全体系,是工业智能化规模化落地的关键支撑。行业需破除安全壁垒,推动安全能力与业务深度融合、协同发展。
4.1 5G+AI 新型工业化融合安全体系
4.1.1 背景与需求
随着新型工业化加速推进,5G 专网、边缘计算、工业数据采集、智能质检、柔性物流和智慧中台等能力正在向生产核心环节延伸。江苏制造业门类丰富,已在高端装备、绿色建材、光通信、食品消费等行业形成较丰富的 5G 融合应用场景。与此同时,安全边界也由传统网络边界,逐步演变为覆盖网络、算力、数据、模型和工业现场的复合边界。
在实际应用中,企业面临终端类型复杂、UPF/MEC 下沉带来的边缘安全风险、工业系统与云平台互联引发的横向移动和数据泄露风险,以及安全工具分散、告警量大、专家经验难以规模化复用等问题。不同行业企业对二次认证、SIM卡精细化管控、日志审计、态势感知、Web 防护、DDoS 防护和安全运营服务具有共性需求。
因此,本案例面向江苏新型工业化安全实践,构建“区域共享+园区近端+AI 赋能+数字伙伴支撑”的融合安全体系,通过区域安全服务中心降低企业使用门槛,通过园区近端部署保障生产数据本地处理,通过超级 SIM 和元信任机制增强身份可信,通过统一 SOC 和 AI 分析能力实现统一监测、协同预警与联动处置,形成可复制、可运营、可持续优化的新型工业化安全样板。
274.1.2 建设方案
建设方案围绕“全生命周期安全防护机制”和“一体化安全运营体系”展开,将安全能力贯穿规划设计、上线准入、运行监测、事件处置和复盘优化全过程,并依托统一 SOC和 AI 分析能力,将 5G 网络、边缘算力、数据流动、模型调用和工业现场纳入统一监测和协同运营。
在接入准入方面,方案以“5G 专网+超级 SIM 卡+超级SIM 安全网关”为核心,利用 SIM 安全芯片、PKI 证书和国密算法能力,将运营商号卡身份、企业人员身份、终端身份和访问权限进行绑定,实现二次鉴权、单包授权、最小权限访问和权限动态回收,降低弱口令、账号共享、一机两用等风险。
在现场防护方面,方案将安全能力下沉至企业 UPF/MEC近端,部署 5G 安全网关、全流量探针、工业安全网关等能力,对工业协议异常、非授权访问、异常横向连接和偏离工艺逻辑的行为进行本地识别与必要阻断。同时,通过防火墙隔离、IPsec/TLS 传输保护、系统加固、完整性校验等措施,提升边缘节点抗攻击能力。
在区域服务方面,建设区域安全服务中心,集中部署 NCE二次认证、日志服务器、态势感知、DDoS 高防、云 WAF、安全策略管理和多租户自服务等共性能力,由江苏移动统一建设、统一运营、分权分域向多类企业提供服务,降低单个企业重复建设成本。
在安全运营方面,依托统一 SOC 和 AI 分析能力,形成“统一汇聚、智能研判、协同预警、联动处置、复盘优化”的闭环。SOC 汇聚日志、流量、漏洞、威胁情报、策略、身份、行为和模型调用记录等多源数据,AI 智能体完成告警降噪、语义理解、关联分析、风险分级和处置建议生成,并联动 5G 专网策略、边界防护、云 WAF、DDoS 高防、园区安全网关和工单系统,实现从监测预警到隔离处置、权限回收、复盘加固的闭环管理。
图 AI 赋能的新型工业化安全运营架构
4.1.3 实施方案
本案例按照“区域平台统一建设、园区能力按需下沉”的方式推进能力落地。前期面向典型行业梳理 5G 专网接入、29UPF/MEC 部署、生产终端、核心系统和数据流向,明确身份准入、边缘防护、工业协议安全和数据流动管控等关键控制点;区域侧集中建设二次认证、日志审计、态势感知、DDoS高防、云 WAF 和安全策略管理等共性能力,园区侧按需下沉专用 UPF/MEC、5G 安全网关、全流量探针和工业安全网关,实现共享能力集中供给、重点场景近端防护。
在持续运营方面,依托统一 SOC 和 AI 数字伙伴汇聚日志、流量、身份、漏洞、威胁情报、工业协议告警和模型调用记录等多源数据,开展告警降噪、威胁关联、影响判断和处置建议生成,并联动 5G 专网策略、边界防护、园区安全网关、云 WAF、DDoS 高防和工单系统,形成“监测预警—智能研判—联动处置—整改反馈—复盘优化”的闭环。试点成熟后,沉淀身份准入、边缘防护、工业协议检测、AI 研判和应急处置等标准模板,支撑跨园区、跨行业复制推广。
4.1.4 建设成果
从经济效益看,区域共享模式降低了企业安全建设门槛。传统模式下,单个企业需分别采购防火墙、二次认证平台、日志平台、态势感知等系统,建设和运维成本较高。区域平台建成后,管控类和运营类能力由移动侧统一建设、集中运营,企业可按需订阅安全服务,中小企业能够以较低成本获得身份认证、日志审计、威胁监测、Web 防护和 AI 运营支撑能力,高安全需求企业也可通过专用 UPF、专用安全网关和30园区近端探针实现差异化防护。
从运营成效看,AI 赋能推动安全运营从“看见告警”向“理解风险、协同处置、持续优化”转变。通过统一 SOC 和AI 分析能力,平台可对海量异构告警进行聚合、去重、误报消除和深度关联,将人工重复研判转变为“数字伙伴初判+专家复核+自动化联动”的协同模式,有效缩短事件分析时间,提升处置效率和一致性。
从社会效益看,该项目为江苏制造业提供了可复制的新型工业化安全实践样板,帮助更多企业在可接受成本下获得5G 专网、身份认证、态势感知、AI 研判和数字伙伴运营支撑服务,推动制造企业在“敢用 5G、敢上 AI、敢流通数据”的前提下实现安全转型。
从生态推广看,江苏移动可依托 5G+新型工业化创新中心、网络安全产业生态、运营商网络资源和行业合作伙伴,形成“政府牵引、运营商平台、龙头企业示范、生态伙伴协同、中小企业共享”的推广模式,推动 5G 应用安全从分散式产品交付向深度服务式运营转变。
4.1.5 能力支撑
本案例将“通算智数工”五维安全能力贯穿 5G 专网融合场景全生命周期,从网络接入到边缘算力、从 AI 运营到数据治理、再到工业现场,形成区域共享与园区近端协同的一体化防护闭环。
江苏移动“通算智数工”融合安全实践与核心价值矩阵能力
4.2 数字化车间工控安全防护
4.2.1 背景与需求
随着先进制造业数智化转型深入,数字化车间已成为汽车、轨交装备、高端装备等行业提升生产效率和柔性制造能力的核心载体。某大型装备制造企业在车间内大量部署高端数控加工中心、PLC、HMI、SCADA、MES、机器人、AGV、智能巡检与工业摄像头,实现工艺数据、设备状态和生产指令的互联互通。业务跃迁带来风险跃迁:一是等保 2.0、工业互联网安全分类分级和工控安全防护指南等监管要求持续强化,PLC、HMI、SCADA、MES 等系统需补齐合规缺口;二是高端数控加工中心、五轴机床、伺服系统等核心装备多依赖国外品牌和远程运维链路,NC 加工代码、PLC 程序、MES/SCADA 配方等核心工艺资产面临泄露风险;三是办公网与生产网互联、远程运维常态化后,勒索病毒、APT 后门、挖矿木马和违规操作可能影响 7×24h 连续生产,带来高额停产损失。
因此,数字化车间安全建设需要从单点设备加固转向体系化纵深防护,以“业务隔离、纵深防护、主动监测、联防联控”为主线,兼顾合规达标、生产连续性、工艺资产保护和常态化运营,并将通信网络、边缘算力、智能研判、数据保护和工控防护纳入“通算智数工”统一框架。
4.2.2 建设方案
方案按照数字化车间实际拓扑分层建设,形成“外部网络/工业互联网平台—边界隔离交换—生产网络入口—数字化车间控制域—现场设备与高价值装备—统一安全管理平台”的纵深防护架构,并对应“通算智数工”五类能力:通侧保障外部网络、工业互联网平台和远程运维链路安全接入;算侧支撑边缘节点、工业网关和安全管理平台近端分析;智侧通过规则库、威胁情报和智能研判提升告警降噪与处置效率;数侧保护 NC 加工代码、工艺程序、设备日志和生产配方;工侧聚焦 PLC、HMI、SCADA、MES、数控机床等现场对象的协议防护和装备安全。
图 数字化车间工控安全防护架构
在主机和装备侧,面向 HMI、SCADA、实时数据库、数控机床、工控机等关键主机部署工业主机卫士,建立白名单进程控制、外设介质管控、漏洞补丁和本地审计能力;面向高端数控加工中心、五轴机床、伺服系统等高价值装备部署工业母机防护装置,对 NC 加工代码、工艺程序和配方进行落地审计、外发控制和防泄漏保护。
在监测和运营侧,工业 IDS、工业蜜罐、工控漏扫与工业互联网安全管理平台联动,持续开展资产测绘、协议审计、漏洞基线核查、异常流量检测、主动诱捕和事件闭环处置。平台汇聚通侧流量、算侧节点、智侧研判、数侧资产和工侧设备告警,形成跨层关联分析与闭环运营。针对远程运维场景,建设带白名单与指令审计的安全运维通道,对运维身份、运维指令和运维行为进行全程认证、最小授权、会话回放和责任追溯。
4.2.3 实施方案
实施按照“评估测绘—纵深建设—运营闭环”三阶段推进。第一阶段,面向 PLC、HMI、SCADA、实时数据库、数控机床、机械臂、AGV、工控机、工业摄像头等对象开展资产测绘和合规差距评估,形成资产指纹库、车间网络拓扑图、风险清单和整改基线,并将安全要求嵌入车间业务上线前评估。
第二阶段,按网络、主机、装备分层落地安全能力:在互联网边界、工业互联网平台对接区、生产网络入口和关键分区边界分别部署防火墙、网闸、工业防火墙和工业 IDS;在关键主机上部署工业主机卫士;在高价值装备上叠加工业母机防护装置;在远程运维链路上落实身份认证、白名单授权、指令审计和会话留痕。
第三阶段,以工业互联网安全管理平台为底座,将工控研判流程、处置经验和行业规则沉淀为规则库和处置预案,告警经聚合降噪、关联分析和影响判断后,联动工业防火墙、工业网闸、工业 IDS、工业主机卫士和工业母机防护装置完成预警、隔离、阻断、工单和复盘加固,支撑 7×24h 连续生产场景下的常态化运营。
4.2.4 建设成果
从经济效益看,方案构建了从互联网边界到生产网络再35到关键工控分区的纵深防护链条,配合关键主机和高价值装备防护,将勒索病毒、挖矿木马、APT 后门、违规操作等高危事件控制在早期感知和处置阶段,显著降低非计划停产、生产恢复和重复整改成本。
从工艺资产保护看,方案通过工业母机防护、远程运维审计、数据分类分级、水印追溯和工业网闸安全摆渡,对 NC文件、工艺程序、设备日志、生产指令和配方等核心资产进行全生命周期保护,降低工艺数据外泄和供应链协作风险。
从运营与社会效益看,统一安全管理平台将多设备分散运维升级为“统一研判+联动处置”的集中运营模式,缩短事件分析时间、提高处置一致性;方案已在长安汽车、江苏中天等头部制造企业数字化车间落地验证,可向装备制造、汽车、轨交装备、电子信息等先进制造行业复制推广。
4.2.5 能力支撑
本案例以数字化车间实际拓扑为基础,将五维安全能力逐层落地:通侧实现对进出车间的每一条外联通道的管控,将远程运维和平台对接的身份、指令与行为纳入全程管控;算侧把检测和处置能力压到边缘侧,确保生产网流量近端完成研判与阻断;智侧将经验沉淀为规则库和预案,让平台具备从告警聚合到联动处置的自动化闭环能力;数侧把防护延伸到装备层,使工艺程序、加工代码和配方数据在落地、外发、流转各环节都有审计留痕;工侧覆盖了从控制域到现场设备的每一类工控对象,补齐了协议和装备层缺口。