工业互联网企业信息安全防护能力提升路径研究

高佳萌 吕途 国玉琳

摘要：

为降低工业互联网企业信息安全风险，提高信息安全防护能力，结合工业互联网安全体系框架，构建涵盖制度、协同、技术和人员4项能力要素的工业互联网企业信息安全防护能力成熟度模型。结合23个工业互联网企业典型安全解决方案，基于模糊集定性比较分析法探究信息安全防护能力组态构成和提升路径。研究结果表明，技术能力和制度能力是信息安全防护能力的重要组成部分，存在两条以技术能力为核心、以制度能力或人员能力为辅的信息安全防护能力提升路径和一条非高信息安全防护能力提升路径，能够有效提升企业信息安全防护水平。

关键词：

工业互联网；信息安全防护能力；层次分析法；模糊集定性比较分析

中图分类号：C931.6         文献标志码：A

中国工业互联网正加速向实体经济渗透，已覆盖45个国民经济大类，助力制造业、能源、矿业、电力等各大支柱产业数字化转型升级。中国推动工业互联网加快发展，高度重视工业互联网安全工作。《加强工业互联网安全工作的指导意见》指出“到2025年，制度机制健全完善，技术手段能力显著提升，安全产业形成规模，基本建立起较为完备可靠的工业互联网安全保障体系”［1］。相较于传统工业，工业互联网信息安全具有责任边界不明［2］、波及范围广和危害程度重［3］等特征。工业互联网环境下，企业设备与技术不断升级［4］、业务模式逐步改变、信息数据呈现爆炸式增长，企业信息安全水平亟待提升。卡内基梅隆大学软件工程研究院设计开发的能力成熟度模型（Capability Maturity Model， CMM）最初用于软件开发，目前已应用数据质量管理［5］、数据主权安全［6］、企业数字化程度［7］、档案数据安全治理能力［8］和数据科学能力［9］等领域，中国基于CMM制定的GB/T 41400—2022［10］可用于评估工业控制系统信息安全防护能力成熟度，其他国家为保障工业互联网安全则将工控安全纳入国家战略范畴［11］。目前学者多侧重于研究信息安全的影响因素，本文从组织能力角度出发，基于成熟度模型，确定信息安全防护能力要素，探讨各要素重要程度及组态效应。

1 研究设计

1.1 模型构建

工业互联网企业信息安全防护能力是指通过采取一系列措施保证工业互联网应用、数据、控制、网络、设备等方面免受非授权或意外的访问、篡改、破坏及损失的能力。本研究基于GB/T 41400—2022，以工业互联网信息安全为核心，以工业互联网信息安全需求为导向，构建工业互联网信息安全防护能力成熟度模型（以下简称“信息安全防护能力成熟度模型”）包括工业互联网信息安全防护能力建设过程、信息安全防护能力要素、信息安全防护能力成熟度等级（图1）。

参照现行国家标准中能力成熟度等级，工业互联网信息安全防护能级维度共划分五级。考虑工业互联网安全核心保护对象为应用、数据、控制、网络和设备，过程维度划分为：应用安全包括工业互联网平台安全与工业应用程序安全等，数据安全包括重要数据识别和数据传输安全等，控制安全包括控制系统身份校验、授权与访问控制、加密算法等，网络安全包括企业内网与外网安全，设备安全包括工厂内单点智能器件和成套智能终端等安全。信息安全管理有效性不仅需要管理与技术相结合，也需要企业人员的支持［12-13］，因此能力维度划分为：制度能力表现为企业制定并实施信息安全制度［14-15］，协同能力指企业协调与整合各类资源，技术能力指企业引进和应用信息安全技术，人员能力表现为员工信息安全意识和技能等。

1.2 指标体系构建

1.2.1 指标选取 基于工业互联网信息安全防护能力成熟度模型能力维度，构建信息安全防护能力评价指标体系，涵盖4个一级指标和12个二级指标。

制度能力测度指标包括：规范性，保证信息安全制度制定、发布、修订等环节必须符合相关标准及规范，保障制度体系科学合理、内容完善［16］；适用性，信息安全制度与企业自身业务流程相适应、可操作性强，能有效提高管理效率；明确性，制度体系明确合理，能够有效解决工业互联网企业内部责任边界不明、职责不清等现状，明确各部门角色和职责。

协同能力测度指标包括：安全与业务协同［17］，即信息安全管理相关部门应与业务部门保持交流，并基于业务需求灵活变动；资源吸收与应用［18］，企业不仅要保持内部各部门协同，也应积极学习与应用外部先进信息安全管理经验；外部多主体协同［19］，企业作为工业互联网关键节点，应注意与上下游企业协同管理，整合信息安全相关资源。

技术能力测度指标包括：升级传统技术，工业互联网企业许多传统工业设备及信息系统缺乏信息安全相关设计，因此需要在原有基础上不断升级；引入新技术，外部攻击手段日益复杂，传统信息安全技术难以满足企业安全需求，需要引入新一代信息安全技术；坚持技术自主创新，加快推进应用、数据、控制、网络、设备等关键核心技术和基础理论创新突破，大力支持工业互聯网安全技术研发和成果转化相关工作，提高信息安全技术与自身业务需求匹配度。

人员能力测度指标包括：提高信息安全意识［20］，信息安全管理人员应充分了解工业互联网信息安全风险、政策和相关程序；提升员工信息安全知识与技能，信息安全管理人员要不断接受培训以适应工作环境［21］；推进人才引进、注重人才培养，通过建立安全人才库、创新联合培养机制，加快培养复合型、实战型信息人才，打造一支高水平、高质量信息安全管理人才队伍，为企业信息安全建设奠定人才基础。

1.2.2 指标权重确定 采用层次分析法［22］确定信息安全防护能力指标权重。为保证数据权威性，邀请工业互联网信息安全专家及学者共46名。基于综合打分结果，以一级指标为例，构建判断矩阵

A=12.47……0.40………………2.37……0.421

计算判断矩阵最大特征值λmax=4.21，一致性指标CI=0.07，随机一致性比率CR=0.08。重复上述步骤计算二级指标权重，计算结果显示指标一致性结果均小于0.1，判断矩阵满足一致性检验。由表1可知，4个一级指标中，技术能力占比最大，制度能力其次，协同能力和人员能力占比较小。12个二级指标中，规范性相比适用性和明确性更重要，表明企业制定信息安全制度应符合相应国家标准及政策；安全与业务协同、新技术引入、信息安全知识与技能占比较大，表明企业提升协同能力时应注重安全与业务协同，技术能力重点关注新技术引入和传统技术升级，人员能力着重提高员工信息安全知识与技能。

1.3 关键要素分析

1.3.1 研究框架 基于层次分析法，通过专家打分验证信息安全防护能力评价体系，指标权重结果能够指导企业有针对性地建设信息安全防护能力，但难以解决制度能力、协同能力等一级指标间潜在相互依赖性等问题。模糊集定性比较分析法（fuzzy set Qualitative Comparison Analysis method， fsQCA）［23］可利用组态思维检验多要素联动匹配效应，发现不同组态中各要素组合方式差异。本研究框架以信息安全防护能力指标体系中一级评价指标为条件变量，以信息安全防护能力为结果变量，采用fsQCA识别提升企业信息安全防护能力多条等效路径（图2）。

1.3.2 数据收集及校准 研究案例选取23个工业互联网企业信息安全防护典型安全解决方案，均来源于工业互联网产业联盟网站2020—2022年度安全版块，且均与工业互联网信息安全相关（表2）。原始资料中部分企业使用“某”字做信息保护处理。采取间接校准法［24］（四分均值锚点赋值）处理数据，信息安全防护能力二级指标作为判断标准，赋值条件变量标准为：3条均满足赋值1，满足两条赋值0.67，满足1条赋值0.33，都不满足赋值0。考虑案例本身客观实际，结合专家建议，最终得校准结果。

2 结果与讨论

2.1 单个条件必要性分析

组态分析前，信息安全防护能力条件变量需要必要性检验。由表3可知，非高信息安全防护能力时，～协同能力、～技术能力和～人员能力一致性均高于0.9，是必要条件，表明企业信息安全防护能力差时，企业协同能力、技术能力和人员能力必定没有达到要求。高信息安全防护能力时，所有变量一致性均低于0.9，不构成必要条件，表明高信息安全防护能力不是依靠单因素作用，而是受多因素组合作用影响。综上，需从组态视角讨论结果变量多维度并发关系。

2.2 组态分析

fsQCA4.0软件标准化分析会呈现复杂解、中间解和简单解，由于中间解包括所有会出现的必要性条件分析，且采纳部分逻辑余项，更具合理性，本文选取中间解讨论变量组态路径，发现高信息安全防护能力存在2条组态路径，总覆盖率达0.83，且总一致性为1，高于可接受阈值0.8（表4）。

路径1为“制度能力”和“技术能力”组合路径，其中“技术能力”为核心条件，“制度能力”为边缘条件，“协同能力”和“人员能力”为无关紧要条件，该路径表明工业互联网企业信息安全问题解决方案是以技术能力为基，辅以信息安全制度。如某石化企业生产环境信息安全的解决方案中部署多维度审计系统，以提升网络和数据安全技术能力；依靠管理措施来弥补技术措施缺陷，调整原有管理模式和管理策略，遵循信息系统安全管理规范，明确安全管理责任部门或责任人；按照国家相关标准制定信息安全事件应急处置预案，定期开展安全自查，最终全方位提升企业信息安全防护能力。

路径2为“～协同能力”“技术能力”“人员能力”组合路径，其中“技术能力”为核心条件。“人员能力”为边缘条件，“～协同能力”为边缘条件缺失，“制度能力”为无关紧要条件。如港虹公司安全解决方案中工业防火墙、工控安全监测与审计系统、工控主机防护系统均为自主研发，工控网络安全防护与加固工作比较完备；注重安全管理人员培养，员工日常安全意识教育及安全技能培训工作完善，对关键岗位人员在录用或上岗前采取全面、严格的安全审查和技能考核。企业信息安全防护水平有效提升，但該方案未重视协同能力建设。

此外，产生非高信息安全防护能力组态有1个，表明若企业信息安全制度不规范、不明确，协同能力缺失，技术水平落后，相关人员安全意识不高、缺乏必备知识和技能，则无法获得高信息安全防护水平。

2.3 稳健性检验

稳健性检验主要采取两种方法：调整一致性阈值［25］，0.80上调至0.85后，发现中间解路径组合及相应估计参数未发生变化；调整案例数，根据信息安全防护能力水平，每层级随机删掉一个案例，发现路径组合未发生变化。综上，本研究结论具备稳健性。

3 结论

本文基于CMM构建企业信息安全防护能力成熟度模型，以多个典型信息安全案例为样本，探讨高信息安全防护能力的多元路径。研究结果表明，工业互联网企业信息安全防护能力关键要素包括制度能力、协同能力、技术能力和人员能力，且技术能力、制度能力和人员能力的提升能有效提高企业信息安全防护水平。建议企业依据信息安全防护能力成熟度模型寻找安全建设薄弱环节，评价信息安全防护能力现状；加快传统技术升级和新技术引入，加强信息安全制度建设，注重人才培养。今后将结合国家政策环境以及行业标准等外部条件，综合探讨企业信息安全防护能力建设的影响机制。

参考文献

［1］工业和信息化部等. 十部门关于加强工业互联网安全工作的指导意见： 工信部联网安〔2019〕168号［EB/OL］. 北京： 工业和信息化部， 2019［2023-02-10］. https：//www.gov.cn/xinwen/2019-08/28/content_ 5425389.htm.

［2］任语铮， 谢人超， 曾诗钦， 等. 工业互联网标识解析体系综述［J］. 通信学报， 2019， 40（11）： 138-155.

［3］王秋华， 吴国华， 魏东晓， 等. 工业互联网安全产业发展态势及路径研究［J］. 中国工程科学， 2021， 23（2）： 46-55.

［4］吕英胜. 工业互联网安全问题分析及对策［J］. 数字通信世界， 2023（4）： 80-82.

［5］PAULK M C. A history of the capability maturity model for software［J］. Software Quality Professional， 2010， 12（1）： 5-16.

［6］KIM S， PREZ-CASTILLO R， CABALLERO I， et al. Organizational process maturity model for IOT data quality management［J］. Journal of Industrial Information Integration， 2022， 26： 100256.

［7］黃海瑛， 文禹衡. 数据主权安全能力的成熟度模型构建研究［J］. 图书与情报， 2021（4）： 29-38.

［8］王核成， 王思惟， 刘人怀. 企业数字化成熟度模型研究［J］. 管理评论， 2021， 33（12）： 152-162.

［9］金波， 杨鹏. 大数据时代档案数据安全治理能力成熟度模型构建［J］. 档案学通讯， 2022（1）： 29-36.

［10］ GOKALP M O， GKALP E， KAVABAY K， et al. The development of the data science capability maturity model： A survey-based research［J］. Online Information Review， 2022， 46（3）： 547-567.

［11］ 中华人民共和国国家市场监督管理总局， 中国国家标准化管理委员会. 信息安全技术 工业控制系统信息安全防护能力成熟度模型： GB/T 41400—2022［S］. 北京： 中国标准出版社， 2022.

［12］ 刘晓曼， 全湘溶， 李姗. 国外工业互联网安全发展概况［J］. 保密科学技术， 2020（5）： 20-26.

［13］ 刘晨晖， 王能民. 组织控制对信息安全遵从行为的影响—上下级关系与组织承诺的调节作用［J］. 管理评论， 2022， 34（9）： 208-220.

［14］ NICHO M. A process model for implementing information systems security governance［J］. Information & Computer Security， 2018， 26（1）： 10-38.

［15］ 陈昊， 李文立， 陈立荣. 组织控制与信息安全制度遵守： 面子倾向的调节效应［J］. 管理科学， 2016，29（3）： 1-12.

［16］ CHEN H， LIU M Y. LYU T. Understanding employees′ information security-related stress and policy compliance intention： The roles of information security fatigue and psychological capital［J］. Information and Computer Security， 2022， 30（5）： 751-770.

［17］ 王震， 卢宝周. 平台机制、制度信任与出行意愿： 共享出行的实证研究［J］. 青岛大学学报（自然科学版）， 2021， 34（3）： 105-110.

［18］ TU C Z， YUAN Y F， ARCHER N， et al. Strategic value alignment for information security management： A critical success factor analysis［J］. Information and Computer Security， 2018， 26（2）： 150-170.

［19］ 綦良群， 王曦研. 先进制造企业外部资源获取、协同能力与服务创新绩效研究［J］. 学习与探索， 2022（10）： 113-120.

［20］ LI W Z， ZHU H D. Research on comprehensive enterprise network security［C］//11th International Conference on Electronics Information and Emergency Communication （ICEIEC）. Beijing， 2021： 204-209.

［21］ D′ARCY J ， HOVAY A ， GALLETTA D. User awareness of security countermeasures and its impact on information systems misuse： A deterrence approach［J］. Information Systems Research， 2009， 20（1）： 79-98.

［22］ 马润飞， 周岩， 孙雨欣. 农产品绿色物流评价指标体系的构建研究［J］. 青岛大学学报（自然科学版）， 2020， 33（2）： 63-68.

［23］ 李晚莲， 蒋化， 曾锋. 突发公共事件网络舆情反转强度生成机理研究—基于多案例的fsQCA分析［J］. 情报杂志， 2022， 41（11）： 129-136+54.

［24］ 郝瑾， 王風彬， 王璁. 海外子公司角色分类及其与管控方式的匹配效应—一项双层多案例定性比较分析［J］. 管理世界， 2017（10）： 150-171.

［25］ 张舒宁， 李勇泉， 阮文奇. 接收、共鸣与分享：网络口碑推动网红餐饮粉丝效应的过程机理［J］. 南开管理评论， 2021， 24（3）： 37-51.

Research on the Improvement Path of Information Security ProtectionCapability of Industrial Internet Enterprises

GAO Jia-meng， LYU Tu， GUO Yu-lin

（School of Business， Qingdao University， Qingdao 266061， China）

Abstract：

In order to reduce the information security risks of industrial Internet enterprises and improve information security protection capabilities， the Capability Maturity Model for information security protection of industrial Internet enterprises was constructed in combination with the industrial Internet security system framework including four capability elements： system， collaboration， technology and personnel. Combined with 23 typical security solutions of industrial Internet enterprises， the configuration composition and promotion path of information security protection capability were explored based on the Fuzzy set qualitative comparative analysis method. The research results show that technical ability and institutional ability are important components of information security protection ability. There are two paths to improve information security protection ability with technical ability as the core and institutional ability or personnel ability as the supplement， and one path to improve non-high information security protection ability， which can effectively improve the information security protection level of enterprises.

Keywords：

industrial Internet; information security protection capability; AHP; fsQCA

收稿日期：2023-04-04

基金项目：

国家社会科学基金（批准号：22CGL037）资助。

通信作者：

吕途，女，博士，副教授，主要研究方向为组织行为等。E-mail：piko1210@126.com