韋婷 劉星毅

（廣西工業(yè)職業(yè)技術(shù)學(xué)院 廣西壯族自治區(qū)南寧市 530000）

1 工業(yè)元宇宙與工業(yè)數(shù)字孿生

中國工程院院士李伯虎指出，工業(yè)元宇宙是元宇宙在工業(yè)領(lǐng)域的落地與拓展，是新型工業(yè)數(shù)字空間、新型工業(yè)智慧互聯(lián)網(wǎng)系統(tǒng)、數(shù)字經(jīng)濟(jì)與實(shí)體經(jīng)濟(jì)融合發(fā)展的新型載體[1]。而工業(yè)數(shù)字孿生是工業(yè)系統(tǒng)的數(shù)字化鏡像，工業(yè)數(shù)字孿生為工業(yè)元宇宙虛實(shí)交互、虛實(shí)協(xié)同提供技術(shù)支撐。

產(chǎn)業(yè)界對(duì)于工業(yè)數(shù)字孿生定義及內(nèi)涵沒有形成統(tǒng)一認(rèn)識(shí)。有學(xué)者定義工業(yè)數(shù)字孿生是以數(shù)據(jù)與模型的集成融合為核心的數(shù)字化轉(zhuǎn)型方法論[2]。有行業(yè)企業(yè)家認(rèn)為“產(chǎn)業(yè)元宇宙的核心就是數(shù)字孿生”。構(gòu)建基于工業(yè)互聯(lián)網(wǎng)平臺(tái)數(shù)字孿生服務(wù)系統(tǒng)是當(dāng)前工業(yè)數(shù)字孿生的重要實(shí)現(xiàn)方式。數(shù)字孿生技術(shù)應(yīng)用于工業(yè)領(lǐng)域，能實(shí)現(xiàn)物理和數(shù)字虛擬空間上人、事、物全要素的映射，實(shí)現(xiàn)量化、可視化的管理，提供生產(chǎn)智能化分析，為生產(chǎn)決策管理提供實(shí)時(shí)、可靠的數(shù)據(jù)支撐以實(shí)現(xiàn)生產(chǎn)效益最優(yōu)化。而針對(duì)數(shù)字孿生的研究主要還是集中在理論建模、關(guān)鍵技術(shù)和行業(yè)應(yīng)用等方面，對(duì)數(shù)字孿生系統(tǒng)信息安全的研究仍處于起步階段[3]。當(dāng)前的工業(yè)領(lǐng)域現(xiàn)狀是大量工控產(chǎn)品和工業(yè)軟件由國外主導(dǎo)開發(fā)，隨著信息技術(shù)應(yīng)用創(chuàng)新產(chǎn)業(yè)進(jìn)入高速發(fā)展階段，工業(yè)數(shù)字孿生系統(tǒng)的信息安全問題不容忽視，亟須投入大量精力做深入研究。

2 工業(yè)數(shù)字孿生系統(tǒng)技術(shù)特征與信息安全風(fēng)險(xiǎn)研究現(xiàn)狀

針對(duì)工業(yè)數(shù)字孿生關(guān)鍵技術(shù)特征的研究，可查詢到的如文獻(xiàn)[4]提出數(shù)字孿生技術(shù)應(yīng)用于智能制造領(lǐng)域的關(guān)鍵技術(shù)基本特性包括可交互性、可孿生性、可組合性及可管理性。針對(duì)數(shù)字孿生系統(tǒng)信息安全的研究較少，如文獻(xiàn)[3]為了推動(dòng)工業(yè)信息安全防御模式從靜態(tài)的被動(dòng)防御向主動(dòng)防御轉(zhuǎn)變，提出了以主動(dòng)防御為目的如基于云邊協(xié)同、基于免疫系統(tǒng)的、基于AI 的數(shù)字孿生系統(tǒng)等關(guān)鍵技術(shù)，還給出數(shù)字孿生車間信息安全建設(shè)的應(yīng)用案例。文獻(xiàn)[5]梳理了數(shù)字孿生面臨的風(fēng)險(xiǎn)，提出了技術(shù)標(biāo)準(zhǔn)體系缺失、虛擬模式真實(shí)度不足、數(shù)據(jù)安全保障度低、應(yīng)用危機(jī)多元化、監(jiān)管難度大等風(fēng)險(xiǎn)中，尤其是數(shù)據(jù)安全保障度的重要性。文獻(xiàn)[6]針對(duì)數(shù)字孿生技術(shù)的可見性、預(yù)見性、數(shù)據(jù)交互機(jī)制等特征，在工業(yè)互聯(lián)網(wǎng)安全體系中進(jìn)行了相應(yīng)的邏輯層面上的應(yīng)用。文獻(xiàn)[7]在分析面向人機(jī)交互的數(shù)字孿生系統(tǒng)特點(diǎn)的基礎(chǔ)上構(gòu)建了面向人機(jī)交互的數(shù)字孿生系統(tǒng)工業(yè)安全與控制系統(tǒng)架構(gòu),提出數(shù)字孿生系統(tǒng)工業(yè)安全與控制機(jī)制。

3 工業(yè)數(shù)字孿生信息安全與工業(yè)互聯(lián)網(wǎng)安全的關(guān)系與關(guān)聯(lián)

工業(yè)數(shù)字孿生信息安全與工業(yè)互聯(lián)網(wǎng)安全在技術(shù)要素、技術(shù)架構(gòu)、典型特征、安全需求等關(guān)系關(guān)聯(lián)見表1。

表1：工業(yè)數(shù)字孿生信息安全與工業(yè)互聯(lián)網(wǎng)安全關(guān)鍵技術(shù)特征的對(duì)比

對(duì)于安全需求，兩者有相互依托、映射、重合關(guān)系。國家層面上，美國工業(yè)互聯(lián)網(wǎng)聯(lián)盟將數(shù)字孿生作為工業(yè)互聯(lián)網(wǎng)落地的核心和關(guān)鍵，德國工業(yè)4.0 參考體系結(jié)構(gòu)將數(shù)字孿生作為重要內(nèi)容[8]。工業(yè)互聯(lián)網(wǎng)基于工業(yè)視角，安全的重點(diǎn)需求是保障智能化生產(chǎn)的連續(xù)性、可靠性，對(duì)應(yīng)的研究重點(diǎn)是智能裝備、工業(yè)控制設(shè)備及系統(tǒng)的安全；基于互聯(lián)網(wǎng)視角的安全需求是保障個(gè)性化定制、網(wǎng)絡(luò)化協(xié)同、服務(wù)化延伸等應(yīng)用的安全運(yùn)行及持續(xù)的服務(wù)能力，重點(diǎn)是不發(fā)生重要數(shù)據(jù)的泄露。工業(yè)數(shù)字孿生安全需求主要覆蓋三個(gè)方面，物理空間安全、數(shù)字空間安全、交互安全等，其中交互安全，包括物理空間對(duì)象之間的數(shù)據(jù)交互安全、數(shù)字空間模型之間的數(shù)據(jù)交互安全、物理空間對(duì)象與數(shù)字空間模型之間的數(shù)據(jù)交互安全等。對(duì)兩者在安全需求上的關(guān)聯(lián)進(jìn)行梳理，得到圖1所示。

圖1：工業(yè)數(shù)字孿生與工業(yè)互聯(lián)網(wǎng)安全需求對(duì)應(yīng)關(guān)系

4 工業(yè)數(shù)字孿生信息安全風(fēng)險(xiǎn)的應(yīng)對(duì)策略

4.1 物理空間的信息安全

工業(yè)數(shù)字孿生的物理空間對(duì)象主要包含工業(yè)智能裝備和智能產(chǎn)品，與傳統(tǒng)信息安全的防護(hù)基本一致，在確保設(shè)備物理硬件安全及物理環(huán)境安全的前提下，安全的重點(diǎn)是智能設(shè)備及產(chǎn)品自帶的各類操作系統(tǒng)的安全、PLC、DCS、SCADA等生產(chǎn)控制系統(tǒng)的安全、相關(guān)應(yīng)用軟件安全以及功能安全。

設(shè)備和主機(jī)安全保護(hù)工作的核心是針對(duì)漏洞的有效保護(hù)。針對(duì)各類工業(yè)控制終端、服務(wù)器、控制設(shè)備，網(wǎng)絡(luò)設(shè)備的漏洞檢查，可分為已知漏洞挖掘和未知漏洞掃描兩種方式。根據(jù)漏洞的性質(zhì)和特點(diǎn)，可以采取三種方法：打軟件補(bǔ)丁、調(diào)整配置、直接移除對(duì)象。及時(shí)安裝有效補(bǔ)丁可以避免大概百分之九十五的損失。因?yàn)檠a(bǔ)丁嚴(yán)格上講是一段用于修復(fù)的新代碼，所以在安裝前需要進(jìn)行仔細(xì)的測試。另外，獲取補(bǔ)丁需要連接到互聯(lián)網(wǎng)下載最新的軟件，應(yīng)建立補(bǔ)丁管理區(qū)域，在在線補(bǔ)丁管理區(qū)域和需要升級(jí)的系統(tǒng)之間設(shè)置安全緩沖。這種獲得的補(bǔ)丁，通過存儲(chǔ)設(shè)備和人工方式傳送到需要升級(jí)系統(tǒng)的過程，本身就是一個(gè)潛在的攻擊點(diǎn)，但已經(jīng)可以規(guī)避很多實(shí)時(shí)的威脅。對(duì)于配置調(diào)整，包括關(guān)閉一些不使用的服務(wù)、修改用戶的權(quán)限等。調(diào)整外部的系統(tǒng)，比如工業(yè)防火墻、相關(guān)的防護(hù)設(shè)備的具體策略。

大多數(shù)工控軟件安全漏洞是因?yàn)檐浖_發(fā)的問題造成。標(biāo)準(zhǔn)的軟件安全開發(fā)流程應(yīng)該是貫穿軟件開發(fā)的整個(gè)過程，也就是從需求分析到系統(tǒng)設(shè)計(jì)，再到程序開發(fā)以及軟件測試，最后軟件交付的每一個(gè)階段，都需要有相同步的安全測試和評(píng)估工作記錄進(jìn)去的，并且結(jié)合黑白盒的測試方法進(jìn)行充分測試。對(duì)于編碼的安全管理，主要是圍繞內(nèi)存的使用和保護(hù)。但在目前的實(shí)際情況中，往往存在有想法沒能力實(shí)現(xiàn)，而且有些企業(yè)對(duì)研發(fā)團(tuán)隊(duì)沒有足夠尊重，過于追求利益，只追求表面的實(shí)現(xiàn)，內(nèi)在安全問題重視不夠，往往是出了問題之后再事后補(bǔ)救。工業(yè)數(shù)字孿生的軟件安全開發(fā)，可以通過設(shè)置產(chǎn)品經(jīng)理等角色，專門從事計(jì)劃實(shí)踐工作；采用結(jié)對(duì)編程進(jìn)行開發(fā)，測試自動(dòng)化，節(jié)約人力并在效果和速度有所改進(jìn)；使用專業(yè)安全的代碼管理和發(fā)布平臺(tái)；定期一些安全技能和意識(shí)的培訓(xùn)；引入安全開發(fā)流程，如SDL 和極限編程XP。

基礎(chǔ)軟硬件的安全風(fēng)險(xiǎn)即是工業(yè)數(shù)字孿生物理空間重要風(fēng)險(xiǎn)來源之一。首先要保證所有進(jìn)入工業(yè)數(shù)字孿生系統(tǒng)的軟件、硬件、協(xié)議都是可信可控的。可信計(jì)算，其本質(zhì)是在計(jì)算和通信系統(tǒng)中使用基于硬件安全模塊支持下的可信計(jì)算平臺(tái)，由此提升整個(gè)系統(tǒng)的安全性。打造一個(gè)可信計(jì)算平臺(tái)，創(chuàng)建一個(gè)以硬件安全模塊作為信任根，從硬件平臺(tái)、操作系統(tǒng)到應(yīng)用系統(tǒng)的信任鏈，從根開始進(jìn)行逐級(jí)度量和驗(yàn)證，才能達(dá)到一個(gè)安全可信的環(huán)境。除了可信計(jì)算平臺(tái)，還需要提到一個(gè)相關(guān)的重要的產(chǎn)業(yè)——信息技術(shù)應(yīng)用創(chuàng)新，即“信創(chuàng)”，當(dāng)中一塊重要的內(nèi)容就是推進(jìn)的國產(chǎn)基礎(chǔ)軟硬件從“不可用”發(fā)展為“可用”，這對(duì)于工業(yè)領(lǐng)域來具有很大的現(xiàn)實(shí)意義，因?yàn)閲a(chǎn)化更利于“可控”，這是實(shí)現(xiàn)安全的根本基石。

為了滿足工業(yè)數(shù)字孿生中工業(yè)控制系統(tǒng)實(shí)時(shí)性和高可靠性需求，傳統(tǒng)控制過程、控制軟對(duì)于身份認(rèn)證、傳輸加密、授權(quán)訪問等方面安全功能進(jìn)行極大地弱化甚至丟棄，導(dǎo)致工業(yè)控制系統(tǒng)面臨極大的控制安全風(fēng)險(xiǎn)[8]。結(jié)構(gòu)安全中使用的訪問控制功能就是最有代表性的白名單技術(shù)應(yīng)用。以防火墻為例，人工在上面配置的每一條訪問控制，就是每一個(gè)訪問路徑的白名單規(guī)則。簡單的白名單技術(shù)無法針對(duì)未知威脅，但從保障工業(yè)控制系統(tǒng)安全的角度來看，白名單幾乎可以做到最準(zhǔn)確的防御所有的未知威脅。白名單的未知威脅防御技術(shù)本身是一種與黑名單思路截然不同的安全策略。白名單技術(shù)的安全防御不需要去分析和檢測威脅，只需要關(guān)心誰不是威脅。兩者之間技術(shù)架構(gòu)上沒有本質(zhì)的區(qū)別，只是使用方式剛好相反。能夠應(yīng)用與工業(yè)數(shù)字孿生的白名單技術(shù)可包括應(yīng)用白名單、用戶白名單、資產(chǎn)白名單、行為白名單、進(jìn)程白名單和代碼白名單。例如工控現(xiàn)場的控制器，設(shè)置一些針對(duì)功能代碼和PDU 數(shù)據(jù)包的定義資產(chǎn)等行為白名單策略。對(duì)于企業(yè)網(wǎng)，可對(duì)HTTPS 的433 端口做流量限制，或僅允許通過post 命令進(jìn)行表單提交等行為。

4.2 數(shù)字空間信息安全

作為與物理空間對(duì)象對(duì)應(yīng)的數(shù)字孿生體，本質(zhì)上是一種數(shù)據(jù)的有機(jī)組合體。工業(yè)企業(yè)走向工業(yè)互聯(lián)網(wǎng)是現(xiàn)狀也是大趨勢，工業(yè)互聯(lián)網(wǎng)帶來的復(fù)雜業(yè)務(wù)結(jié)構(gòu)最直接的體現(xiàn)就是工業(yè)數(shù)據(jù)的大規(guī)模、多種類、流向復(fù)雜，而“工業(yè)大數(shù)據(jù)”的最新特征即是多模態(tài)、強(qiáng)關(guān)聯(lián)、高通量等。數(shù)字孿生是一項(xiàng)數(shù)據(jù)驅(qū)動(dòng)的技術(shù)，數(shù)據(jù)作為數(shù)字孿生體的最基本構(gòu)成元素，同時(shí)是數(shù)字孿生實(shí)時(shí)性的重要支撐，并且數(shù)字孿生系統(tǒng)的精準(zhǔn)分析與智能決策來源于對(duì)海量工業(yè)數(shù)據(jù)的有效挖掘。數(shù)字孿生與大數(shù)據(jù)技術(shù)的融合是工業(yè)數(shù)字孿生獲得發(fā)展的重要驅(qū)動(dòng)。確保數(shù)字空間信息安全的本質(zhì)上就是數(shù)據(jù)安全。

《中華人民共和國數(shù)據(jù)安全法》明確指出數(shù)據(jù)安全，是指通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。數(shù)據(jù)處理，包括數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等。

在數(shù)據(jù)空間當(dāng)中，首先原始的數(shù)據(jù)比如數(shù)據(jù)孿生體的模型數(shù)據(jù)，可能因?yàn)槿祟愒谡J(rèn)知、感知及技術(shù)限制上的原因，不可避免的會(huì)存在“失真”，對(duì)后期的仿真實(shí)踐效果有所影響。其次數(shù)據(jù)不合理配置也會(huì)給數(shù)據(jù)的泄露提供可能性。工業(yè)數(shù)據(jù)自身的數(shù)據(jù)泄露以及工業(yè)數(shù)字孿生系統(tǒng)的平臺(tái)用戶的隱私數(shù)據(jù)泄露都存在巨大的風(fēng)險(xiǎn)。

對(duì)數(shù)字空間中的信息進(jìn)行安全保障，一種較為主動(dòng)的安全防御策略就是進(jìn)行數(shù)據(jù)加密，是一種有效提供安全防護(hù)，并且代價(jià)較小的方法?？砂≒LC 加密、SCADA 系統(tǒng)加密、DCS 系統(tǒng)加密、固件加密、無線加密、數(shù)據(jù)庫保護(hù)、縱向數(shù)據(jù)傳輸加密等，大致可分為簡單加密算法和常用加密算法。簡單加密算法是碼表替換、取補(bǔ)碼、移位處理、插入隨機(jī)無效數(shù)據(jù)、TEA 加密，常用加密算法是MD5、哈希加密、RSA、DES、AES。PLC 的密碼機(jī)制，體現(xiàn)在固件的加密、組態(tài)程序的登錄、程序的讀寫權(quán)、數(shù)據(jù)的讀寫權(quán)等。例如西門子S7 系列PLC，針對(duì)塊信息的讀取權(quán)限，共分了四個(gè)安全的配置級(jí)別，分別是全部權(quán)限、部分權(quán)限、最小權(quán)限，禁止上載。

已有學(xué)者提出針對(duì)數(shù)據(jù)安全的綜合治理建議，如文獻(xiàn)[10]提出數(shù)據(jù)安全不僅需要多部法律法規(guī)協(xié)同保護(hù)，更需要回到“平臺(tái)、數(shù)據(jù)、算法三維結(jié)構(gòu)”（PDA 范式）并利用基礎(chǔ)設(shè)施原則、區(qū)塊鏈、雙維監(jiān)管進(jìn)行綜合治理。對(duì)于工業(yè)數(shù)字孿生的數(shù)字安全綜合治理，同樣不僅需要政策法規(guī)的協(xié)同支撐，還需要技術(shù)、管理等多方面的支持與持續(xù)運(yùn)營。

4.3 交互安全

工業(yè)數(shù)字孿生技術(shù)打通了工業(yè)制造流程物理空間與數(shù)字空間的壁壘，工業(yè)數(shù)字孿生系統(tǒng)中的交互本質(zhì)上就是數(shù)據(jù)的流通，包括物理空間對(duì)象之間的數(shù)據(jù)流通、數(shù)字空間模型之間的數(shù)據(jù)流通、物理空間對(duì)象與數(shù)字空間模型之間的數(shù)據(jù)流通等。工業(yè)數(shù)據(jù)“強(qiáng)關(guān)聯(lián)”的特點(diǎn)使得交互安全復(fù)雜且多變?！吨袊I(yè)大數(shù)據(jù)技術(shù)與應(yīng)用白皮書》中提到，數(shù)字化解決了“有數(shù)據(jù)”的問題，網(wǎng)絡(luò)化解決了“能流動(dòng)”的問題，智能化解決數(shù)據(jù)“自動(dòng)流動(dòng)”。事實(shí)上，安全的數(shù)據(jù)流動(dòng)應(yīng)該是“自動(dòng)流動(dòng)”的前置條件。

濫采濫用數(shù)據(jù)、數(shù)據(jù)泄露、數(shù)據(jù)壟斷等問題是威脅數(shù)據(jù)安全的要素。工業(yè)制造的過程的復(fù)雜性和不確定，要求工業(yè)數(shù)字孿生把正確的數(shù)據(jù)在人、機(jī)器及其他智能工業(yè)對(duì)象之間正確地傳遞，把海量的工業(yè)數(shù)據(jù)轉(zhuǎn)化成科學(xué)決策所需要的正確信息，并在不斷的信息反饋中提高工業(yè)數(shù)字孿生系統(tǒng)的智能化程度。合理且規(guī)范的工業(yè)數(shù)字孿生數(shù)據(jù)流動(dòng)監(jiān)控是解決數(shù)據(jù)流動(dòng)安全的方法之一。這種監(jiān)控可以采用引入的第三方系統(tǒng)，也可以依托數(shù)字孿生系統(tǒng)本身的部分軟硬件模塊去實(shí)現(xiàn)。

數(shù)據(jù)流通的物理基礎(chǔ)是網(wǎng)絡(luò)。工業(yè)數(shù)字孿生體系下的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，既包含傳統(tǒng)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，還包含物理空間與數(shù)字空間的連接風(fēng)險(xiǎn)、數(shù)字空間內(nèi)的連接風(fēng)險(xiǎn)。隨著5G、6G 等無線網(wǎng)絡(luò)通信技術(shù)、網(wǎng)絡(luò)IP 化等技術(shù)逐漸引入工業(yè)生產(chǎn)領(lǐng)域，靈活且復(fù)雜的信息交互環(huán)境，相對(duì)于傳統(tǒng)網(wǎng)絡(luò)安全存在更大的安全風(fēng)險(xiǎn)，傳統(tǒng)單一靜態(tài)的防護(hù)策略已不適合工業(yè)數(shù)字孿生體系的安全需求，需要進(jìn)行綜合的、體系的、動(dòng)態(tài)的升級(jí)。對(duì)于工業(yè)場景中具備存儲(chǔ)和通信數(shù)據(jù)能力的設(shè)備，可以利用虛擬化技術(shù)與軟件定義網(wǎng)絡(luò)（SDN）等技術(shù)通過網(wǎng)絡(luò)及協(xié)議把自身特性數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等轉(zhuǎn)發(fā)給數(shù)字孿生體，實(shí)現(xiàn)物理實(shí)體和數(shù)字孿生體之間直接或間接通信。實(shí)現(xiàn)通信的第三方中繼節(jié)點(diǎn)的安全防護(hù)就至關(guān)重要，物理空間中的節(jié)點(diǎn)安全和數(shù)字空間的節(jié)點(diǎn)安全均須進(jìn)行安全防護(hù)。

4.4 其他安全防護(hù)的策略

工業(yè)數(shù)字孿生系統(tǒng)需要進(jìn)行持續(xù)運(yùn)營的安全防護(hù)，需要建立長時(shí)間持續(xù)性的安全機(jī)制，在持續(xù)對(duì)抗中保障安全。維持安全時(shí)間持續(xù)性，需要考慮從技術(shù)、設(shè)備、人員、管理等多個(gè)維度，從而保障工業(yè)數(shù)字孿生的全生命周期的安全性。需要進(jìn)行持續(xù)運(yùn)營內(nèi)容如下：

網(wǎng)絡(luò)掃描，對(duì)網(wǎng)絡(luò)結(jié)構(gòu)中的開放端口、未授權(quán)的主機(jī)、未授權(quán)的服務(wù)進(jìn)行實(shí)時(shí)的、定期的狀態(tài)確認(rèn)和安全檢查。病毒檢測，一般是每周或者按照實(shí)際需要去進(jìn)行檢測。日志檢查。針對(duì)一些關(guān)鍵的設(shè)備和系統(tǒng)需要開展高頻率的日志檢查。

口令破解。需要持續(xù)關(guān)注弱口令以及相關(guān)的一些問題，可采取域控的方式減少工作量。

滲透測試。這需要充分的預(yù)算和規(guī)劃，且最好是通過外部團(tuán)隊(duì)參與，至少每年做一次。每一次滲透測試都是使用最新的思路和方案，模仿攻擊者的方式和方法去進(jìn)行測試，滲透測試的結(jié)果具有很強(qiáng)的參考性。

完整性檢查，主要是檢查一些關(guān)鍵的數(shù)據(jù)和文件有沒有被非授權(quán)的修改，這種檢查一般只需要每個(gè)月一次或者在發(fā)生了一些可疑事件之后再進(jìn)行。

5 結(jié)語

工業(yè)數(shù)字孿生通過構(gòu)建和真實(shí)工業(yè)世界完全打通的數(shù)字空間，為工業(yè)提供更好的數(shù)字化支持。黨的十八大以來，國家明確以“總體國家安全觀”為指導(dǎo)，統(tǒng)籌“傳統(tǒng)安全與非傳統(tǒng)安全”，工業(yè)數(shù)字孿生的信息安全是非傳統(tǒng)安全中工業(yè)領(lǐng)域的重要一部分。目前我們國家在工業(yè)數(shù)字孿生領(lǐng)域還處在起步及探索階段,為了推動(dòng)工業(yè)數(shù)字孿生的深度應(yīng)用實(shí)踐，對(duì)其信息安全防護(hù)技術(shù)的研究是必要且緊迫的。本文在分析了工業(yè)數(shù)字孿生信息安全與工業(yè)互聯(lián)網(wǎng)安全在關(guān)鍵技術(shù)特征、安全需求等方面的關(guān)系關(guān)聯(lián)后，針對(duì)工業(yè)數(shù)字孿生系統(tǒng)的三大空間的信息安全風(fēng)險(xiǎn)，提出了相應(yīng)的安全防護(hù)的思路，旨在為工業(yè)數(shù)字孿生乃至工業(yè)元宇宙的落地實(shí)施及持續(xù)健康發(fā)展提供技術(shù)支撐。