1  引言

党中央高度重视人工智能赋能新型工业化，并出台了许多相关文件，为人工智能赋能工业领域网络安全指明了前进方向。2023年7月，中央政治局召开会议指出要“促进人工智能安全发展”；2025年4月，中央政治局第二十次集体学习强调“要推动人工智能科技创新与产业创新深度融合”；2024年3月，政府工作报告首提“人工智能+”行动；2025年8月，国务院印发《关于深入实施“人工智能+”行动的意见》，要求深化人工智能与工业互联网融合应用，增强工业系统的智能感知与决策执行能力。

当前，随着全球新一轮科技革命和产业变革的深入发展，我国正处于从“工业大国”向“工业强国”迈进的关键时期。随着工业数字化转型的深入，工业领域面临APT攻击、勒索软件等的网络威胁日益严峻，传统防护手段存在误报率高、复杂攻击研判能力不足、过度依赖人工经验等瓶颈，难以应对当前复杂多变的攻防态势。

在深入落实“人工智能+”行动，积极探索应用人工智能赋能工业领域网络安全，升级原有态势感知、威胁分析、漏洞研判等安全能力的过程中，国家工业信息安全发展研究中心总结形成了一套人工智能赋能工业领域网络安全的体系。如图1所示，该体系以构建高质量多源异构数据集为基础，汇聚多源异构网络安全数据基座；以训练工业领域网络安全垂域模型为核心，基于知识蒸馏、强化学习等技术，构建具备工业网络安全专有能力的垂域模型；以构建公共服务平台、智能体为推广与应用模式，为中小企业提供便捷化、标准化在线公共安全服务，解决其资源受限问题，快速提升基础安全防护水平；对大型企业、 “链主”企业等提供智能体本地化部署形式，深入工业企业业务流程，提供定制化、全方位的深度防御能力。

图1 人工智能赋能工业领域网络安全体系架构

2  高质量工业领域网络安全数据集构建

当前，通用大模型在各类通用任务中表现优异，但在工业领域，尤其是工业控制系统这一相对封闭垂直的领域，通用大模型因缺乏对私有通信协议、控制逻辑、特有攻击模式等知识，导致其在异常检测、威胁溯源等任务中常面临“幻觉”、研判准确率不足等问题。因此构建高质量、领域专用的训练数据集，是支撑训练构建高性能工业领域网络安全垂域模型的关键基础，也是实现智能化网络安全体系建设的必要支撑。

2.1   工业领域网络安全数据采集

数据采集以全面、可靠、真实为要求，如图2所示，通过API采集、网络爬虫、代理采集、实时监控、信息报送等多种形式，系统性采集工控安全威胁情报、工业安全日志、工控协议流量、设备指纹、工业网络攻击流量、专属攻击特征、安全漏洞等多类别数据，在不干扰工业控制系统正常运行的前提下，实现高效、稳定、真实的数据采集，为构建高质量的工控安全数据集提供坚实的数据基础。

图2 工业领域网络安全数据采集类型

2.2   工业领域网络安全数据处理

数据处理以提升数据质量、统一格式、增强可用性为要求，依次对采集的各类原始数据进行清洗与筛选、智能打标、数据增强和关键特征提炼，并通过系统化处理流程，解决多源异构原始数据中普遍存在的噪声干扰、数据缺失、样本不均衡、特征维度不一等问题，为工业领域网络安全数据集构建提供可靠的质量保障。

2.3   工业领域网络安全数据集构建与管理

数据集构建与管理负责对经过处理后的各类型高质量数据进行统一存储和管理，形成工控安全威胁情报数据集、工业安全日志数据集、工业协议流量数据集、工业专属攻击特征数据集、工业安全漏洞数据集等工业领域网络安全专用数据库，并通过建设高效的检索引擎与标准化的对外服务接口，为上层模型的开发、训练和评测等任务提供稳定、便捷且安全可控的数据支撑。其形成的数据集包含：工控安全威胁情报数据集、工业安全日志数据集、工业协议流量数据集、工业专属攻击特征数据集、工业安全漏洞数据集等。

3  工业领域网络安全垂域模型建设

依托构建的高质量工业领域网络安全数据集，本体系以DeepSeek等前沿开源通用大模型为基座，综合运用知识蒸馏、监督微调、强化学习等技术，构建参数量不低于70B、具备工业领域网络安全知识、具备专用安全能力的工业领域网络安全垂域模型。

数据集、垂域模型间形成“数据驱动模型、模型优化数据”的闭环迭代机制，如图3所示。 一方面，高质量数据集为模型注入专业工业领域安全知识，提升模型垂域能力；另一方面，垂域模型为数据清洗、自动化打标、对抗样本生成等提供自动化能力。二者可互为支撑，协同提升工业领域网络安全能力基线。

图3 数据集、垂域模型迭代逻辑

3.1   基座模型选择

本研究聚焦DeepSeek、Qwen3、Llama4等70B+主流开源模型，分别从通用领域能力、工业场景能力、网络安全能力等维度对主流开源基座模型进行深入分析与对比，选取已有基础能力强、迁移性好、可训练性强的模型作为训练基座。

3.2   垂域模型能力打造

本研究依托工业领域网络安全的高质量数据集和强大的算力基础设施，基于DeepSeek等基座开展70B+参数规模垂域模型的蒸馏，并采用“预训练—监督微调—强化学习”的多阶段二次训练路径，循环迭代以强化工业领域特性，打造出面向工控威胁检测、工控安全在线监测及工控漏洞智能化研判验证等专用场景的安全能力，支撑网络安全赋能。垂域模型建设思路如图4所示。

图4 垂域模型建设思路

3.3   模型能力评测与优化

本研究关注垂域模型在工业场景的安全能力、服务性能等技术指标，包括工控威胁检测准确率、工控安全在线监测覆盖度、工控漏洞智能化研判、自动化参数测试能力等，以及服务并发数、每秒token数等，为模型的迭代优化提供可靠的数据反馈。

4  工业领域网络安全垂域模型赋能体系

垂域模型赋能体系以“公共服务+智能体赋能”双服务模式，为不同规模体量、安全预算及需求的工业企业提供差异化服务，实现安全能力最大化覆盖，推动产业侧安全能力整体跃升。

面向广大中小企业，坚持普惠性与低门槛原则。依托垂域模型公共服务平台，提供标准化、便捷化的在线公共安全服务，突出服务普惠性与可推广性，大幅降低企业安全投入成本与技术门槛，实现基础防护能力的快速覆盖与广泛推广。

面向大型及“链主”企业，聚焦痛点难点与深度防御。采用智能体本地化部署模式，深入业务核心流程，针对复杂场景提供定制化、全方位的深度防御能力，全面覆盖钢铁、电子信息、原材料等重点行业，推动从“信息检索”向“智能分析与辅助决策”转型。

两种赋能服务模式互补协同，形成“应用驱动、持续进化”的发展路径，如图5所示。一是公共服务平台依托中小企业规模化推广应用，经海量实践持续迭代优化模型能力，为智能体本地化部署奠定坚实技术基础，支撑大型、“链主”企业实现深度安全防御；二是智能体在深度应用中，攻克复杂场景下的安全痛点难点，沉淀更优质安全事例、更先进安全能力，反向赋能公共服务平台，进一步提升其普惠服务水平。

图5 公共服务平台、智能体赋能发展路径

4.1   公共服务赋能

公共服务系统主要面向中小型工业企业，为其提供全面的工业领域网络安全数据与知识，也支撑面向各级主管部门、安全企业、平台企业等提供数据统计、决策支撑、能力升级等功能。系统建设具备以下三个特点：

（1）具备深度安全分析与研判能力：基于网络安全垂域模型，系统支持对多源异构工业网络安全数据进行深度分析，实现工控威胁精准识别、资产风险准确评估及漏洞智能化研判，并自动生成报告与建议，有效提升企业的安全感知与防护能力。

（2）具备智能化虚拟专家咨询能力：依托安全垂域模型的知识库与推理引擎，构建虚拟专家服务体系，提供技术问答、政策解读、技能培训和辅助决策等智能化交互功能，显著降低专业门槛，提升用户的安全理解与科学决策水平。

（3）提供灵活开放的服务模式：通过标准化的API接口与SaaS化服务形态，提供模块化的安全分析与专家服务能力，确保系统的易用性、可靠性与可集成性，支持各方用户便捷调用并将其无缝嵌入现有业务流程。

4.2   智能体赋能

智能体系统主要面向大型企业、行业“链主”企业等，支持软硬件结合形式部署至实际工业生产产线，通过产线数据接入，形成具备主动感知、智能分析、精准决策与执行能力等的工业网络安全智能体。本体系包含三大核心智能体：一是工业威胁检测与响应智能体，通过多源数据融合与垂域模型研判，对 APT攻击等未知威胁进行自动化定级、溯源，并联动执行隔离阻断等响应动作；二是工业领域异常行为分析智能体，建立生产流程正常行为基线，通过多维度关联分析精准区分误操作与恶意攻击，显著降低误报率；三是工控设备漏洞修复与应急处置智能体，整合漏洞知识库与补丁信息，实现对工控设备漏洞的自动化扫描与定制化修复，并能与既有工控安全工具进行调度联动。

智能体与垂域模型通过标准化接口进行对接与问答，形成“感知—分析—决策—执行—反馈”的闭环智能工作流。体系在应用阶段针对钢铁、电子信息、原材料等典型行业开展深度适配，通过与行业企业合作，深入理解其特有的工艺流程、网络架构和安全痛点，对智能体的检测模型、分析逻辑和响应策略进行定制化优化，打造真正贴合行业需求的、可复制的标杆示范应用。

5 总结

面对日益严峻的网络安全挑战，国家工业信息安全发展研究中心创新构建了以高质量数据为基座、垂域大模型为核心的工业网络安全赋能体系，通过“公共服务+智能体赋能”两种赋能方式，致力于突破传统网络安全防护瓶颈，既助力中小企业快速提升基础安全防护水平，又为大型企业提供定制化、全方位的深度防御能力，共同致力于推动工业领域网络安全从单点防护向体系化、智能化转型。其覆盖钢铁、电子信息、原材料等重点行业，实现从“信息检索”向“智能分析与辅助决策”的范式转变。未来，体系将持续深化人工智能与工业安全的融合应用，以高水平的智能化安全能力护航新质生产力发展，为制造强国与网络强国建设提供坚实的安全底座。

作者简介 ： 

张    格 （1980-），男，北京人，正高级工程

师，硕士，现就职于国家工业信息安全发展研究中心，主要从事工控安全、工业互联网安全等方面的研究。

葛彬彬（1994-），男，江苏盐城人，博士，现就职于国家工业信息安全发展研究中心，主要从事工控安全、工业互联网安全等方面的研究。

杨佳宁（1990-） ，男，山东临沂人，高级工程师，硕士，现就职于国家工业信息安全发展研究中心，主要从事工控安全、工业互联网安全等方面的研究。

摘自《自动化博览》2026年第二期暨《工业控制系统信息安全专刊（第十二辑）》