工業互聯網企業信息安全防護能力提升路徑研究

高佳萌 呂途 國玉琳

摘要：

為降低工業互聯網企業信息安全風險，提高信息安全防護能力，結合工業互聯網安全體系框架，構建涵蓋制度、協同、技術和人員4項能力要素的工業互聯網企業信息安全防護能力成熟度模型。結合23個工業互聯網企業典型安全解決方案，基于模糊集定性比較分析法探究信息安全防護能力組態構成和提升路徑。研究結果表明，技術能力和制度能力是信息安全防護能力的重要組成部分，存在兩條以技術能力為核心、以制度能力或人員能力為輔的信息安全防護能力提升路徑和一條非高信息安全防護能力提升路徑，能夠有效提升企業信息安全防護水平。

關鍵詞：

工業互聯網；信息安全防護能力；層次分析法；模糊集定性比較分析

中圖分類號：C931.6???????? 文獻標志碼：A

中國工業互聯網正加速向實體經濟滲透，已覆蓋45個國民經濟大類，助力制造業、能源、礦業、電力等各大支柱產業數字化轉型升級。中國推動工業互聯網加快發展，高度重視工業互聯網安全工作?！都訌姽I互聯網安全工作的指導意見》指出“到2025年，制度機制健全完善，技術手段能力顯著提升，安全產業形成規模，基本建立起較為完備可靠的工業互聯網安全保障體系”［1］。相較于傳統工業，工業互聯網信息安全具有責任邊界不明［2］、波及范圍廣和危害程度重［3］等特征。工業互聯網環境下，企業設備與技術不斷升級［4］、業務模式逐步改變、信息數據呈現爆炸式增長，企業信息安全水平亟待提升?？▋然仿〈髮W軟件工程研究院設計開發的能力成熟度模型（Capability Maturity Model， CMM）最初用于軟件開發，目前已應用數據質量管理［5］、數據主權安全［6］、企業數字化程度［7］、檔案數據安全治理能力［8］和數據科學能力［9］等領域，中國基于CMM制定的GB/T 41400—2022［10］可用于評估工業控制系統信息安全防護能力成熟度，其他國家為保障工業互聯網安全則將工控安全納入國家戰略范疇［11］。目前學者多側重于研究信息安全的影響因素，本文從組織能力角度出發，基于成熟度模型，確定信息安全防護能力要素，探討各要素重要程度及組態效應。

1 研究設計

1.1 模型構建

工業互聯網企業信息安全防護能力是指通過采取一系列措施保證工業互聯網應用、數據、控制、網絡、設備等方面免受非授權或意外的訪問、篡改、破壞及損失的能力。本研究基于GB/T 41400—2022，以工業互聯網信息安全為核心，以工業互聯網信息安全需求為導向，構建工業互聯網信息安全防護能力成熟度模型（以下簡稱“信息安全防護能力成熟度模型”）包括工業互聯網信息安全防護能力建設過程、信息安全防護能力要素、信息安全防護能力成熟度等級（圖1）。

參照現行國家標準中能力成熟度等級，工業互聯網信息安全防護能級維度共劃分五級?？紤]工業互聯網安全核心保護對象為應用、數據、控制、網絡和設備，過程維度劃分為：應用安全包括工業互聯網平臺安全與工業應用程序安全等，數據安全包括重要數據識別和數據傳輸安全等，控制安全包括控制系統身份校驗、授權與訪問控制、加密算法等，網絡安全包括企業內網與外網安全，設備安全包括工廠內單點智能器件和成套智能終端等安全。信息安全管理有效性不僅需要管理與技術相結合，也需要企業人員的支持［12-13］，因此能力維度劃分為：制度能力表現為企業制定并實施信息安全制度［14-15］，協同能力指企業協調與整合各類資源，技術能力指企業引進和應用信息安全技術，人員能力表現為員工信息安全意識和技能等。

1.2 指標體系構建

1.2.1 指標選取 基于工業互聯網信息安全防護能力成熟度模型能力維度，構建信息安全防護能力評價指標體系，涵蓋4個一級指標和12個二級指標。

制度能力測度指標包括：規范性，保證信息安全制度制定、發布、修訂等環節必須符合相關標準及規范，保障制度體系科學合理、內容完善［16］；適用性，信息安全制度與企業自身業務流程相適應、可操作性強，能有效提高管理效率；明確性，制度體系明確合理，能夠有效解決工業互聯網企業內部責任邊界不明、職責不清等現狀，明確各部門角色和職責。

協同能力測度指標包括：安全與業務協同［17］，即信息安全管理相關部門應與業務部門保持交流，并基于業務需求靈活變動；資源吸收與應用［18］，企業不僅要保持內部各部門協同，也應積極學習與應用外部先進信息安全管理經驗；外部多主體協同［19］，企業作為工業互聯網關鍵節點，應注意與上下游企業協同管理，整合信息安全相關資源。

技術能力測度指標包括：升級傳統技術，工業互聯網企業許多傳統工業設備及信息系統缺乏信息安全相關設計，因此需要在原有基礎上不斷升級；引入新技術，外部攻擊手段日益復雜，傳統信息安全技術難以滿足企業安全需求，需要引入新一代信息安全技術；堅持技術自主創新，加快推進應用、數據、控制、網絡、設備等關鍵核心技術和基礎理論創新突破，大力支持工業互聯網安全技術研發和成果轉化相關工作，提高信息安全技術與自身業務需求匹配度。

人員能力測度指標包括：提高信息安全意識［20］，信息安全管理人員應充分了解工業互聯網信息安全風險、政策和相關程序；提升員工信息安全知識與技能，信息安全管理人員要不斷接受培訓以適應工作環境［21］；推進人才引進、注重人才培養，通過建立安全人才庫、創新聯合培養機制，加快培養復合型、實戰型信息人才，打造一支高水平、高質量信息安全管理人才隊伍，為企業信息安全建設奠定人才基礎。

1.2.2 指標權重確定 采用層次分析法［22］確定信息安全防護能力指標權重。為保證數據權威性，邀請工業互聯網信息安全專家及學者共46名?；诰C合打分結果，以一級指標為例，構建判斷矩陣

A=12.47……0.40………………2.37……0.421

計算判斷矩陣最大特征值λmax=4.21，一致性指標CI=0.07，隨機一致性比率CR=0.08。重復上述步驟計算二級指標權重，計算結果顯示指標一致性結果均小于0.1，判斷矩陣滿足一致性檢驗。由表1可知，4個一級指標中，技術能力占比最大，制度能力其次，協同能力和人員能力占比較小。12個二級指標中，規范性相比適用性和明確性更重要，表明企業制定信息安全制度應符合相應國家標準及政策；安全與業務協同、新技術引入、信息安全知識與技能占比較大，表明企業提升協同能力時應注重安全與業務協同，技術能力重點關注新技術引入和傳統技術升級，人員能力著重提高員工信息安全知識與技能。

1.3 關鍵要素分析

1.3.1 研究框架 基于層次分析法，通過專家打分驗證信息安全防護能力評價體系，指標權重結果能夠指導企業有針對性地建設信息安全防護能力，但難以解決制度能力、協同能力等一級指標間潛在相互依賴性等問題。模糊集定性比較分析法（fuzzy set Qualitative Comparison Analysis method， fsQCA）［23］可利用組態思維檢驗多要素聯動匹配效應，發現不同組態中各要素組合方式差異。本研究框架以信息安全防護能力指標體系中一級評價指標為條件變量，以信息安全防護能力為結果變量，采用fsQCA識別提升企業信息安全防護能力多條等效路徑（圖2）。

1.3.2 數據收集及校準 研究案例選取23個工業互聯網企業信息安全防護典型安全解決方案，均來源于工業互聯網產業聯盟網站2020—2022年度安全版塊，且均與工業互聯網信息安全相關（表2）。原始資料中部分企業使用“某”字做信息保護處理。采取間接校準法［24］（四分均值錨點賦值）處理數據，信息安全防護能力二級指標作為判斷標準，賦值條件變量標準為：3條均滿足賦值1，滿足兩條賦值0.67，滿足1條賦值0.33，都不滿足賦值0?？紤]案例本身客觀實際，結合專家建議，最終得校準結果。

2 結果與討論

2.1 單個條件必要性分析

組態分析前，信息安全防護能力條件變量需要必要性檢驗。由表3可知，非高信息安全防護能力時，～協同能力、～技術能力和～人員能力一致性均高于0.9，是必要條件，表明企業信息安全防護能力差時，企業協同能力、技術能力和人員能力必定沒有達到要求。高信息安全防護能力時，所有變量一致性均低于0.9，不構成必要條件，表明高信息安全防護能力不是依靠單因素作用，而是受多因素組合作用影響。綜上，需從組態視角討論結果變量多維度并發關系。

2.2 組態分析

fsQCA4.0軟件標準化分析會呈現復雜解、中間解和簡單解，由于中間解包括所有會出現的必要性條件分析，且采納部分邏輯余項，更具合理性，本文選取中間解討論變量組態路徑，發現高信息安全防護能力存在2條組態路徑，總覆蓋率達0.83，且總一致性為1，高于可接受閾值0.8（表4）。

路徑1為“制度能力”和“技術能力”組合路徑，其中“技術能力”為核心條件，“制度能力”為邊緣條件，“協同能力”和“人員能力”為無關緊要條件，該路徑表明工業互聯網企業信息安全問題解決方案是以技術能力為基，輔以信息安全制度。如某石化企業生產環境信息安全的解決方案中部署多維度審計系統，以提升網絡和數據安全技術能力；依靠管理措施來彌補技術措施缺陷，調整原有管理模式和管理策略，遵循信息系統安全管理規范，明確安全管理責任部門或責任人；按照國家相關標準制定信息安全事件應急處置預案，定期開展安全自查，最終全方位提升企業信息安全防護能力。

路徑2為“～協同能力”“技術能力”“人員能力”組合路徑，其中“技術能力”為核心條件?！叭藛T能力”為邊緣條件，“～協同能力”為邊緣條件缺失，“制度能力”為無關緊要條件。如港虹公司安全解決方案中工業防火墻、工控安全監測與審計系統、工控主機防護系統均為自主研發，工控網絡安全防護與加固工作比較完備；注重安全管理人員培養，員工日常安全意識教育及安全技能培訓工作完善，對關鍵崗位人員在錄用或上崗前采取全面、嚴格的安全審查和技能考核。企業信息安全防護水平有效提升，但該方案未重視協同能力建設。

此外，產生非高信息安全防護能力組態有1個，表明若企業信息安全制度不規范、不明確，協同能力缺失，技術水平落后，相關人員安全意識不高、缺乏必備知識和技能，則無法獲得高信息安全防護水平。

2.3 穩健性檢驗

穩健性檢驗主要采取兩種方法：調整一致性閾值［25］，0.80上調至0.85后，發現中間解路徑組合及相應估計參數未發生變化；調整案例數，根據信息安全防護能力水平，每層級隨機刪掉一個案例，發現路徑組合未發生變化。綜上，本研究結論具備穩健性。

3 結論

本文基于CMM構建企業信息安全防護能力成熟度模型，以多個典型信息安全案例為樣本，探討高信息安全防護能力的多元路徑。研究結果表明，工業互聯網企業信息安全防護能力關鍵要素包括制度能力、協同能力、技術能力和人員能力，且技術能力、制度能力和人員能力的提升能有效提高企業信息安全防護水平。建議企業依據信息安全防護能力成熟度模型尋找安全建設薄弱環節，評價信息安全防護能力現狀；加快傳統技術升級和新技術引入，加強信息安全制度建設，注重人才培養。今后將結合國家政策環境以及行業標準等外部條件，綜合探討企業信息安全防護能力建設的影響機制。

參考文獻

［1］工業和信息化部等. 十部門關于加強工業互聯網安全工作的指導意見： 工信部聯網安〔2019〕168號［EB/OL］. 北京： 工業和信息化部， 2019［2023-02-10］. https：//www.gov.cn/xinwen/2019-08/28/content_ 5425389.htm.

［2］任語錚， 謝人超， 曾詩欽， 等. 工業互聯網標識解析體系綜述［J］. 通信學報， 2019， 40（11）： 138-155.

［3］王秋華， 吳國華， 魏東曉， 等. 工業互聯網安全產業發展態勢及路徑研究［J］. 中國工程科學， 2021， 23（2）： 46-55.

［4］呂英勝. 工業互聯網安全問題分析及對策［J］. 數字通信世界， 2023（4）： 80-82.

［5］PAULK M C. A history of the capability maturity model for software［J］. Software Quality Professional， 2010， 12（1）： 5-16.

［6］KIM S， PREZ-CASTILLO R， CABALLERO I， et al. Organizational process maturity model for IOT data quality management［J］. Journal of Industrial Information Integration， 2022， 26： 100256.

［7］黃海瑛， 文禹衡. 數據主權安全能力的成熟度模型構建研究［J］. 圖書與情報， 2021（4）： 29-38.

［8］王核成， 王思惟， 劉人懷. 企業數字化成熟度模型研究［J］. 管理評論， 2021， 33（12）： 152-162.

［9］金波， 楊鵬. 大數據時代檔案數據安全治理能力成熟度模型構建［J］. 檔案學通訊， 2022（1）： 29-36.

［10］ GOKALP M O， GKALP E， KAVABAY K， et al. The development of the data science capability maturity model： A survey-based research［J］. Online Information Review， 2022， 46（3）： 547-567.

［11］ 中華人民共和國國家市場監督管理總局， 中國國家標準化管理委員會. 信息安全技術 工業控制系統信息安全防護能力成熟度模型： GB/T 41400—2022［S］. 北京： 中國標準出版社， 2022.

［12］ 劉曉曼， 全湘溶， 李姍. 國外工業互聯網安全發展概況［J］. 保密科學技術， 2020（5）： 20-26.

［13］ 劉晨暉， 王能民. 組織控制對信息安全遵從行為的影響—上下級關系與組織承諾的調節作用［J］. 管理評論， 2022， 34（9）： 208-220.

［14］ NICHO M. A process model for implementing information systems security governance［J］. Information & Computer Security， 2018， 26（1）： 10-38.

［15］ 陳昊， 李文立， 陳立榮. 組織控制與信息安全制度遵守： 面子傾向的調節效應［J］. 管理科學， 2016，29（3）： 1-12.

［16］ CHEN H， LIU M Y. LYU T. Understanding employees′ information security-related stress and policy compliance intention： The roles of information security fatigue and psychological capital［J］. Information and Computer Security， 2022， 30（5）： 751-770.

［17］ 王震， 盧寶周. 平臺機制、制度信任與出行意愿： 共享出行的實證研究［J］. 青島大學學報（自然科學版）， 2021， 34（3）： 105-110.

［18］ TU C Z， YUAN Y F， ARCHER N， et al. Strategic value alignment for information security management： A critical success factor analysis［J］. Information and Computer Security， 2018， 26（2）： 150-170.

［19］ 綦良群， 王曦研. 先進制造企業外部資源獲取、協同能力與服務創新績效研究［J］. 學習與探索， 2022（10）： 113-120.

［20］ LI W Z， ZHU H D. Research on comprehensive enterprise network security［C］//11th International Conference on Electronics Information and Emergency Communication （ICEIEC）. Beijing， 2021： 204-209.

［21］ D′ARCY J ， HOVAY A ， GALLETTA D. User awareness of security countermeasures and its impact on information systems misuse： A deterrence approach［J］. Information Systems Research， 2009， 20（1）： 79-98.

［22］ 馬潤飛， 周巖， 孫雨欣. 農產品綠色物流評價指標體系的構建研究［J］. 青島大學學報（自然科學版）， 2020， 33（2）： 63-68.

［23］ 李晚蓮， 蔣化， 曾鋒. 突發公共事件網絡輿情反轉強度生成機理研究—基于多案例的fsQCA分析［J］. 情報雜志， 2022， 41（11）： 129-136+54.

［24］ 郝瑾， 王風彬， 王璁. 海外子公司角色分類及其與管控方式的匹配效應—一項雙層多案例定性比較分析［J］. 管理世界， 2017（10）： 150-171.

［25］ 張舒寧， 李勇泉， 阮文奇. 接收、共鳴與分享：網絡口碑推動網紅餐飲粉絲效應的過程機理［J］. 南開管理評論， 2021， 24（3）： 37-51.

Research on the Improvement Path of Information Security ProtectionCapability of Industrial Internet Enterprises

GAO Jia-meng， LYU Tu， GUO Yu-lin

（School of Business， Qingdao University， Qingdao 266061， China）

Abstract：

In order to reduce the information security risks of industrial Internet enterprises and improve information security protection capabilities， the Capability Maturity Model for information security protection of industrial Internet enterprises was constructed in combination with the industrial Internet security system framework including four capability elements： system， collaboration， technology and personnel. Combined with 23 typical security solutions of industrial Internet enterprises， the configuration composition and promotion path of information security protection capability were explored based on the Fuzzy set qualitative comparative analysis method. The research results show that technical ability and institutional ability are important components of information security protection ability. There are two paths to improve information security protection ability with technical ability as the core and institutional ability or personnel ability as the supplement， and one path to improve non-high information security protection ability， which can effectively improve the information security protection level of enterprises.

Keywords：

industrial Internet; information security protection capability; AHP; fsQCA

收稿日期：2023-04-04

基金項目：

國家社會科學基金（批準號：22CGL037）資助。

通信作者：

呂途，女，博士，副教授，主要研究方向為組織行為等。E-mail：piko1210@126.com