《加强工业互联网安全工作的指导意见》系列解读之二
发文日期:2019年09月26日

解读人:工信部    中国电子技术标准化研究院副院长 杨建军

政策价值:伴随着互联网、大数据、人工智能与实体经济的深度融合,以工业互联网为典型代表的新一轮科技革命正不断重构产业发展格局。工业互联网继承了传统互联网的实体低成本连接、信息高效率流通等特点,同时又在体系结构、传输内容、网络边缘等方面具有自身特色,承载着助力制造业高质量发展、经济社会创新发展的新使命,是推动“制造强国”和“网络强国”建设的关键支撑。

适用条件:

有效期限:

解读内容:

筑盾工业互联网安全 护航高质量发展大计

——《加强工业互联网安全工作的指导意见》系列解读之二

中国电子技术标准化研究院副院长 杨建军

  伴随着互联网、大数据、人工智能与实体经济的深度融合,以工业互联网为典型代表的新一轮科技革命正不断重构产业发展格局。工业互联网继承了传统互联网的实体低成本连接、信息高效率流通等特点,同时又在体系结构、传输内容、网络边缘等方面具有自身特色,承载着助力制造业高质量发展、经济社会创新发展的新使命,是推动“制造强国”和“网络强国”建设的关键支撑。但同时我们也应清醒地认识到,目前其发展仍处于探索过程中,还有很多不成熟、不完善之处,其中网络安全问题便是面临的新挑战之一。传统互联网安全保障体系已难以完全应对新时代需求,亟需从制度机制、技术手段、数据保护和产业发展等方面入手,加快构建涵盖设备安全、控制安全、网络安全、平台安全和数据安全的工业互联网多层次安全保障体系,为“两个强国”战略实施提供坚实保障。

  网络安全保障能力建设迫在眉睫

  工业互联网具有传统信息系统和工业控制系统的双重属性,在其快速发展推进过程中,面临各种叠加安全风险的威胁。当前工业互联网安全保障能力建设还存在一些突出问题,主要表现在:一是工业互联网安全技术手段不足。早期的工业控制系统在相对独立的网络环境下运行,产线规划只考虑功能性和稳定性,对网络安全性要求较低。随着工业设备联网数量越来越多,通过互联网对工业控制系统实施攻击的可能性越来越高,传统工业控制系统和新兴工业互联网平台安全技术手段不足的短板越来越凸显。二是工业互联网安全责任落实尚不够明确。工业互联网覆盖行业广泛、平台种类繁多、服务类型丰富、涉及企业众多,目前尚未完全落实主管部门、平台企业和工业企业等的责任分工。主管部门应履行安全监督管理职责,平台企业应明确在工业互联网安全保障方面的责任和义务,工业企业应明确关键设备和数据资产,并在接入平台前开展安全风险测评。三是工业互联网安全管理制度缺失。当前我国陆续出台《雷火电竞2深化“互联网+先进制造业”发展工业互联网的指导意见》《工业互联网发展行动计划(2018-2020年)》等文件,为工业互联网发展提供顶层政策指导,但工业互联网企业在实际开展平台安全设计、建设、运维等活动中,仍然存在安全管理活动缺乏统筹规划、相关部门组织间协调不畅、安全管理制度建设严重滞后等问题。四是工业互联网安全标准体系亟需完善。目前,我国网络安全标准体系已较为成熟,但针对工业互联网安全的专门的标准体系尚待完善,已立项研制《信息安全技术 工业互联网平台安全要求及评估规范》《信息安全技术 可编程逻辑控制器(PLC)安全技术要求和测试评价方法》等国家标准,但安全接入、数据保护、平台防护等关键技术、管理标准仍然存在缺失。在面对工业互联网安全防护和攻击入侵事件时,工业企业和平台企业缺乏统一标准要求,无法形成系统、全面的工业互联网安全保障体系。为实现“制定至少20项亟需的工业互联网安全标准”的目标,急需加快行标、国标的研制立项工作。

  加快构建层次化的安全保障体系

  日前,工业和信息化部联合教育部、人力资源和社会保障部、生态环境部、国家卫生健康委员会、应急管理部、国有资产监督管理委员会、国家市场监督管理总局、国家能源局、国防科技工业局等十部委共同印发了《雷火电竞2加强工业互联网安全工作的指导意见》(以下简称《指导意见》),明确提出了构建工业互联网安全保障体系的总体要求、主要任务以及保障措施,指出要按照《国务院雷火电竞2深化“互联网+先进制造业”发展工业互联网的指导意见》有关要求,围绕设备、控制、网络、平台、数据安全,落实企业主体责任、政府监管责任,健全制度机制,建设技术手段,促进产业发展,强化人才培育,构建责任清晰、制度健全、技术先进的工业互联网安全保障体系。《指导意见》不仅是工业互联网安全工作的纲领性指引,更是强化安全保障体系建设、各部门协同发力的重要举措,为切实推进当前工业互联网安全工作指明了方向。

  在制度机制方面,我们应加强顶层设计,出台工业互联网安全指导性文件,建立健全监督检查、信息共享和通报、应急处置等工业互联网安全管理制度,明确企业主体安全责任;建立分类分级管理机制,制定工业互联网行业企业分类分级指南,对重点企业实施差异化管理;发挥标准规范引导作用,编制工业互联网安全标准体系建设指南,加快制定设备、平台、数据等层面亟需的工业互联网安全标准;针对工业互联网平台企业、工业生产企业、工业APP和联网设备开展安全能力评估和认证,探索构建工业互联网设备、网络和平台的安全评估认证体系。

  在技术手段方面,应加快建设国家、省、企业三级协同的工业互联网安全技术保障体系,包括国家工业互联网安全技术保障平台、安全基础资源库和安全测试验证环境等共性支撑基础,提升工业互联网安全综合管理和保障能力;针对标识解析系统、工业互联网平台、工业控制系统、工业大数据等方面的安全需求,要加强攻击防护、漏洞挖掘、态势感知、安全审计、可信芯片等关键技术及安全产品的研发攻关力度,强化设备、控制系统、网络设施、平台和工业APP等安全保障,建立与产业发展相匹配的核心安全技术能力。

  在数据保护方面,应规划建立工业互联网全产业链数据安全管理体系,明确数据收集、存储、处理、转移、删除等全生命周期各环节的安全保护要求,提升企业在数据防窃密、防篡改和数据备份等方面的安全防护能力,鼓励商用密码应用于工业互联网数据保护工作;建立工业互联网数据分级分类管理制度,形成数据流动管理机制,明确数据留存、数据泄露通报要求,加强工业互联网重要数据安全监测和管理,有效提升工业整体性数据安全能力,在实践中逐步形成健全的数据安全保护体系。

  在产业发展方面,应整合行业资源,依托国家级、省级网络安全产业园等形式,发挥市场主体作用,打造产学研用协同创新发展平台,培育一批具有核心竞争力的工业互联网安全企业,形成工业互联网安全对外展示和市场服务能力。针对汽车、电子、航空航天、船舶、能源等重点领域,研发创新实用的安全产品并形成整体安全解决方案,组织开展工业互联网安全试点示范,遴选优秀安全解决方案和最佳实践,并加以应用推广,提升行业整体安全保障服务能力。

  全面落实工业互联网安全各项任务部署

  根据《指导意见》的总体部署要求,结合当前我国工业互联网安全现状,建议从“放管服”改革、标准化服务、保障措施落实、明确安全责任、强化人才培养等方面综合施策,加快提升我国工业互联网安全保障能力水平:

  一是落实“放管服”改革,激发企业自主安全意识,去行政化管理,以标准化服务提供安全保障。深刻总结网络安全监管行政命令模式的不足与弊端,切实以深化“放管服”改革思想为实践指导,激发企业做好工业互联网安全工作的自主意识,围绕工业互联网的安全防护、检测、响应、恢复、预警、追踪、测评、认定等实际市场需求,建设完善管理机制,形成对应的技术标准、实施指南、示范案例,为产业界提供包括标识解析系统安全、终端安全、边界安全、平台安全、数据安全、工业云安全在内的标准化、体系化服务支撑。

  二是强化网络安全保障“全国一盘棋”的整体观思想认识,落实保障措施及安全责任,力戒“形式主义”防护。借鉴传统互联网安全治理经验,统筹好生态环境、卫生健康、能源、国防科工、应急管理等部门职责分工,在各行业、各领域、各地区内各司其职、协同配合,做好指导与监管工作,各级监督检查要能够真正发现问题、查清问题,切实帮助企业进行整改,提升安全保障硬实力;同时,企业自身要提升思想认识,切实将工业互联网安全防护措施部署到位,将安全责任合理的落实到人,优化安全管理结构及技术方案,避免安全防护手段流于“形式化”“走过场”。

  三是加快从建设规划、运维保障、监督检查三个方面同步强化人才培养工作,实现安全工作“提质增效”。在网络安全领域,我国一直面临专业人才总量不足、高端复合型人才严重匮乏的局面,无法满足市场实际需求。工业互联网的安全建设规划、运营后的安全运维保障、主管部门的依法依规安全监管都要靠人去执行,可见网络安全人才培养的数量和质量直接关系到工业互联网安全工作的实施效果。为此应加大网络安全专业高校普及培养工作,以产教融合、校企合作、安全演练、安全竞赛等更多样化的形式为专业人才培养提速,同时要适时打造高端专家智库,共同为工业互联网安全工作出谋划策、保驾护航。

【工信部】加强工业互联网安全工作的指导意见

阅读:212次

发文日期:2019年09月02日
文件级别:国家级
主题分类:政策法规
所属区域:石家庄市
发文系统:其他系统
适用企业:大型企业

十部门雷火电竞2印发加强工业互联网安全工作的指导意见的通知

工业和信息化部 教育部 人力资源和社会保障部 生态环境部 国家卫生健康委员会 应急管理部

国务院国有资产监督管理委员会 国家市场监督管理总局 国家能源局 国家国防科技工业局

雷火电竞2印发加强工业互联网安全工作的指导意见的通知

工信部联网安〔2019〕168号

各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化、教育、人力资源社会保障、生态环境、卫生健康、应急管理、国有资产监管、市场监管、能源、国防科技工业主管部门,各省、自治区、直辖市通信管理局:

  现将《加强工业互联网安全工作的指导意见》印发给你们,请结合工作实际,抓好贯彻落实。

  工业和信息化部 教育部

  人力资源和社会保障部 生态环境部

  国家卫生健康委员会 应急管理部

  国务院国有资产监督管理委员会 国家市场监督管理总局

  国家能源局 国家国防科技工业局

  2019年7月26日

加强工业互联网安全工作的指导意见

  按照《国务院雷火电竞2深化“互联网+先进制造业”发展工业互联网的指导意见》(以下简称《指导意见》)部署,为加快构建工业互联网安全保障体系,提升工业互联网安全保障能力,促进工业互联网高质量发展,推动现代化经济体系建设,护航制造强国和网络强国战略实施,现就加强工业互联网安全工作提出如下意见。

  一、总体要求

  (一)指导思想

  坚持以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届二中、三中全会精神,按照《指导意见》有关要求,围绕设备、控制、网络、平台、数据安全,落实企业主体责任、政府监管责任,健全制度机制、建设技术手段、促进产业发展、强化人才培育,构建责任清晰、制度健全、技术先进的工业互联网安全保障体系,覆盖工业互联网规划、建设、运行等全生命周期,形成事前防范、事中监测、事后应急能力,全面提升工业互联网创新发展安全保障能力和服务水平。

  (二)基本原则

  筑牢安全,保障发展。以安全保发展,以发展促安全。严格落实《中华人民共和国网络安全法》等法律法规,按照谁运营谁负责、谁主管谁负责的原则,坚持发展与安全并重,安全和发展同步规划、同步建设、同步运行。

  统筹指导,协同推进。做好顶层设计和系统谋划,结合各地实际,突出重点,分步协同推进,加快构建工业互联网安全保障体系,确保安全工作落实到位。

  分类施策,分级管理。根据行业重要性、企业规模、安全风险程度等因素,对企业实施分类分级管理,集中力量指导、监管重要行业、重点企业提升工业互联网安全保障能力,夯实企业安全主体责任。

  融合创新,重点突破。基于工业互联网融合发展特性,创新安全管理机制和技术手段,鼓励推动重点领域技术突破,加快安全可靠产品的创新推广应用,有效应对新型安全挑战。

  (三)总体目标

  到2020年底,工业互联网安全保障体系初步建立。制度机制方面,建立监督检查、信息共享和通报、应急处置等工业互联网安全管理制度,构建企业安全主体责任制,制定设备、平台、数据等至少20项亟需的工业互联网安全标准,探索构建工业互联网安全评估体系。技术手段方面,初步建成国家工业互联网安全技术保障平台、基础资源库和安全测试验证环境。产业发展方面,在汽车、电子信息、航空航天、能源等重点领域,形成至少20个创新实用的安全产品、解决方案的试点示范,培育若干具有核心竞争力的工业互联网安全企业。

  到2025年,制度机制健全完善,技术手段能力显著提升,安全产业形成规模,基本建立起较为完备可靠的工业互联网安全保障体系。

  二、主要任务

  (一)推动工业互联网安全责任落实

  1.依法落实企业主体责任。工业互联网企业明确工业互联网安全责任部门和责任人,建立健全重点设备装置和系统平台联网前后的风险评估、安全审计等制度,建立安全事件报告和问责机制,加大安全投入,部署有效安全技术防护手段,保障工业互联网安全稳定运行。由网络安全事件引发的安全生产事故,按照安全生产有关法规进行处置。

  2.政府履行监督管理责任。工业和信息化部组织开展工业互联网安全相关政策制定、标准研制等综合性工作,并对装备制造、电子信息及通信等主管行业领域的工业互联网安全开展行业指导管理。地方工业和信息化主管部门指导本行政区域内应用工业互联网的工业企业的安全工作,同步推进安全产业发展,并联合应急管理部门推进工业互联网在安全生产监管中的作用;地方通信管理局监管本行政区域内标识解析系统、公共工业互联网平台等的安全工作,并在公共互联网上对联网设备、系统等进行安全监测。生态环境、卫生健康、能源、国防科技工业等部门根据各自职责,开展本行业领域工业互联网推广应用的安全指导、监管工作。

  (二)构建工业互联网安全管理体系

  3.健全安全管理制度。围绕工业互联网安全监督检查、风险评估、数据保护、信息共享和通报、应急处置等方面建立健全安全管理制度和工作机制,强化对企业的安全监管。

  4.建立分类分级管理机制。建立工业互联网行业分类指导目录、企业分级指标体系,制定工业互联网行业企业分类分级指南,形成重点企业清单,强化逐级负责的政府监管模式,实施差异化管理。

  5.建立工业互联网安全标准体系。推动工业互联网设备、控制、网络(含标识解析系统)、平台、数据等重点领域安全标准的研究制定,建设安全技术与标准试验验证环境,支持专业机构、企业积极参与相关国际标准制定,加快标准落地实施。

  (三)提升企业工业互联网安全防护水平

  6.夯实设备和控制安全。督促工业企业部署针对性防护措施,加强工业生产、主机、智能终端等设备安全接入和防护,强化控制网络协议、装置装备、工业软件等安全保障,推动设备制造商、自动化集成商与安全企业加强合作,提升设备和控制系统的本质安全。

  7.提升网络设施安全。指导工业企业、基础电信企业在网络化改造及部署IPv6、应用5G的过程中,落实安全标准要求并开展安全评估,部署安全设施,提升企业内外网的安全防护能力。要求标识解析系统的建设运营单位同步加强安全防护技术能力建设,确保标识解析系统的安全运行。

  8.强化平台和工业应用程序(APP)安全。要求工业互联网平台的建设、运营单位按照相关标准开展平台建设,在平台上线前进行安全评估,针对边缘层、IaaS层(云基础设施)、平台层(工业PaaS)、应用层(工业SaaS)分层部署安全防护措施。建立健全工业APP应用前安全检测机制,强化应用过程中用户信息和数据安全保护。

  (四)强化工业互联网数据安全保护能力

  9.强化企业数据安全防护能力。明确数据收集、存储、处理、转移、删除等环节安全保护要求,指导企业完善研发设计、工业生产、运维管理、平台知识机理和数字化模型等数据的防窃密、防篡改和数据备份等安全防护措施,鼓励商用密码在工业互联网数据保护工作中的应用。

  10.建立工业互联网全产业链数据安全管理体系。依据工业门类领域、数据类型、数据价值等建立工业互联网数据分级分类管理制度,开展重要数据出境安全评估和监测,完善重大工业互联网数据泄露事件触发响应机制。

  (五)建设国家工业互联网安全技术手段

  11.建设国家、省、企业三级协同的工业互联网安全技术保障平台。工业和信息化部统筹建设国家工业互联网安全技术保障平台。工业基础较好的省、自治区、直辖市先期试点建设省级技术保障平台。支持鼓励机械制造、电子信息、航空航天等重点行业企业建设企业级安全平台,强化地方、企业与国家平台之间的系统对接、数据共享、业务协作,打造整体态势感知、信息共享和应急协同能力。

  12.建立工业互联网安全基础资源库。建设工业互联网资产目录库、工业协议库、安全漏洞库、恶意代码病毒库和安全威胁信息库等基础资源库,推动研制面向典型行业工业互联网安全应急处置、安全事件现场取证等工具集,加强工业互联网安全资源储备。

  13.建设工业互联网安全测试验证环境。搭建面向机械制造、电子信息、航空航天等行业的工业互联网安全攻防演练环境,测试、验证各环节存在的网络安全风险以及相应的安全防护解决方案,提升识别安全隐患、抵御安全威胁、化解安全风险的能力。

  (六)加强工业互联网安全公共服务能力

  14.开展工业互联网安全评估认证。构建工业互联网设备、网络、平台、工业APP等的安全评估体系,依托产业联盟、行业协会等第三方机构为工业互联网企业持续开展安全能力评测评估服务,推动工业互联网安全测评机构的审核认定。

  15.提升工业互联网安全服务水平。鼓励和支持专业机构、网络安全企业等提供安全诊断评估、安全咨询、数据保护、代码检查、系统加固、云端防护等服务。鼓励基础电信企业、互联网企业、系统解决方案提供商等依托专业技术优势,加强与工业互联网企业的需求对接,输出安全保障服务。

  (七)推动工业互联网安全科技创新与产业发展

  16.支持工业互联网安全科技创新。加大对工业互联网安全技术研发和成果转化的支持力度,强化标识解析系统安全、平台安全、工业控制系统安全、数据安全、5G安全等相关核心技术研究,加强攻击防护、漏洞挖掘、态势感知等安全产品研发。支持通过众测众研等创新方式,聚集社会力量,提升漏洞隐患发现技术能力。支持专业机构、高校、企业等联合建设工业互联网安全创新中心和安全实验室。探索利用人工智能、大数据、区块链等新技术提升安全防护水平。

  17.促进工业互联网安全产业发展。充分利用国家和地方网络安全产业园(基地)等形式,整合相关行业资源,打造产学研用协同创新发展平台,形成工业互联网安全对外展示和市场服务能力,培育一批核心技术水平高、市场竞争能力强、辐射带动范围广的工业互联网安全企业。在汽车、电子信息、航空航天、能源等重点领域开展试点示范,遴选优秀安全解决方案和最佳实践,并加强应用推广。

  三、保障措施

  (一)加强组织领导,健全工作机制。在工业互联网专项工作组的统一指导下,加强统筹协调,强化部门协同、部省合作,构建各负其责、紧密配合、运转高效的工作机制。各地工业和信息化、教育、人力资源社会保障、生态环境、卫生健康、应急管理、国有资产监管、市场监管、能源、国防科技工业等主管部门及地方通信管理局要加强配合,形成合力。

  (二)加大支持力度,优化创新环境。各地相关部门要结合本地工业互联网发展现状,优化政府支持机制和方式,加大对工业互联网安全的支持力度,鼓励企业技术创新和安全应用,加快建设工业互联网安全技术手段,推动安全产业集聚发展。

  (三)发挥市场作用,汇聚多方力量。充分发挥市场在资源配置中的决定性作用,以工业互联网企业的安全需求为着力点,形成市场需求牵引、政府支持推动的发展局面。汇聚政产学研用多方力量,逐步建立覆盖决策研究、公共研发、标准推进、联盟论坛、人才培养等的创新支撑平台,形成支持工业互联网安全发展合力。

  (四)加强宣传教育,加快人才培养。深入推进产教融合、校企合作,建立安全人才联合培养机制,培养复合型、创新型高技能人才。开展工业互联网安全宣传教育,提升企业和相关从业人员网络安全意识。开展网络安全演练、安全竞赛等,培养选拔不同层次的工业互联网安全从业人员。依托国家专业机构等,打造技术领先、业界知名的工业互联网安全高端智库。

0条记录,当前显示第 
0 条评论
网友评论仅供其表达个人看法,不表明网站立场。
  • 服务中心
  • 客服热线:966002
  • 服务时间:8:30-17:30
  • 在线咨询: 点击这里给我发消息
  • 联系我们
  • 联系电话:0311-87803331
  • 传真号码:0311-87803322
  • 电子邮箱:hbptwl@126.com
  • 公众号
  • 主管单位:河北省工业和信息化厅 建设单位:河北省中小企业发展促进中心 技术支持单位:湖南省中小企业公共服务平台有限公司

    版权所有:河北省中小企业发展促进中心 Copyright©2010-2018 www.smehbzc.cn 证书编号:冀ICP备18029804号
    建设单位:河北省中小企业发展促进中心