《关于加强工业互联网安全工作的指导意见(征求意见稿)》发布 2020年底初步建立工业互联网安全保障体系

发布时间:2019-04-17       来源:       作者:

 

4月15日,工业和信息化部发布“关于《关于加强工业互联网安全工作的指导意见(征求意见稿)》公开征求意见的公告”。意见稿提出,到2020年底,工业互联网安全保障体系初步建立。制度机制方面,建立监督检查、信息共享和通报、应急处置等工业互联网安全管理制度,构建企业安全主体责任制,制定设备、平台、数据等至少20项亟需的工业互联网安全标准,探索构建工业互联网安全评估体系。技术手段方面,初步建成国家工业互联网安全技术保障平台、基础资源库和安全测试验证环境。产业发展方面,在汽车、电子信息、航空航天、能源等重点领域,形成至少20个创新实用的安全产品、解决方案的试点示范,培育若干具有核心竞争力的工业互联网安全企业。到2025年,制度机制健全完善,技术手段能力显著提升,安全产业形成规模,基本建立起较为完备可靠的工业互联网安全保障体系。

 

意见稿还提出了几大任务:

 

(一)推动工业互联网安全责任落实

 

企业依法落实主体责任。工业互联网企业明确工业互联网安全责任部门和责任人,建立健全重点设备装置和系统平台联网前后的风险评估、安全审计等制度,建立安全事件报告和问责机制,加大安全投入,部署有效安全技术防护手段,保障工业互联网安全稳定运行。政府履行监督管理责任。工业和信息化部组织开展工业互联网安全相关政策制定、标准研制等综合性工作,并按照职责对装备制造、电子信息及通信等主管行业领域的工业互联网安全开展行业指导、监管。地方工信主管部门指导本行政区域内应用工业互联网的工业企业的安全工作,同步推进安全产业发展;地方通信管理局监管本行政区域内标识解析系统、公共工业互联网平台等的安全工作,并在公共互联网上对联网设备、系统等进行安全监测。生态环境、卫生健康、能源、国防科工等部门根据各自安全管理职责,开展本行业领域工业互联网推广应用的安全指导、监管工作。

 

(二)构建工业互联网安全管理体系

 

健全安全管理制度。围绕工业互联网安全监督检查、风险评估、数据保护、信息共享和通报、应急处置等方面建立健全安全管理制度和工作机制,强化对企业的安全监管。建立分类分级管理机制。建立工业互联网行业分类指导目录、企业分级指标体系,制定工业互联网行业企业分类分级指南,形成重点企业清单,实施差异化管理。建立工业互联网安全标准体系。研究制定工业互联网设备、控制、网络(含标识解析系统)、平台、数据等重点领域安全标准的研究制定,支持专业机构、企业积极参与相关国际标准制定,加快标准落地实施。

 

(三)提升企业工业互联网安全防护水平

 

夯实设备和控制安全。督促工业企业部署针对性防护措施,加强工业生产设备、主机设备、智能终端设备等设备安全接入和防护,强化控制网络协议、装置装备、工业软件等安全保障,推动设备制造商、自动化集成商与安全企业加强合作,提升设备和控制系统的本质安全。提升网络设施安全。指导工业企业、基础电信企业在网络化改造及部署IPv6、应用5G的过程中,落实安全标准要求并开展安全评估,部署安全设施,提升企业内外网的安全防护能力。要求标识解析系统的建设运营单位同步加强安全防护技术能力建设,确保标识解析系统的安全运行。强化平台安全。要求工业互联网平台的建设、运营单位按照相关标准开展平台建设,在平台上线前进行安全评估,针对边缘层、IaaS层(云基础设施)、平台层(工业PaaS)、应用层(工业SaaS)分层部署安全防护措施。加强工业APP安全管理。建立健全工业APP应用前安全检测机制,强化应用过程中用户信息和数据安全保护。 

 

(四)强化工业互联网数据安全保护能力

 

强化企业数据安全防护能力。明确数据收集、存储、处理、转移、删除等环节安全保护要求,指导企业完善研发设计、工业生产、运维管理、平台知识机理和数字化模型等数据的防窃密、防篡改和数据备份等安全防护措施,鼓励商用密码在工业互联网数据保护工作中的应用。建立工业互联网全产业链数据安全管理体系。依据工业门类领域、数据类型、数据价值等建立工业互联网数据分级分类管理制度,加强工业互联网重要数据安全监测和管理,完善重大工业互联网数据泄露事件触发响应机制。

 

(五)建设国家工业互联网安全技术手段

 

建设国家、省、企业三级协同的工业互联网安全技术保障平台。工业和信息化部统筹建设国家工业互联网安全技术保障平台,工业基础较好的省、自治区、直辖市先期试点建设省级技术保障平台,支持鼓励机械制造、电子信息、航空航天、轻工家电等重点行业企业建设企业级安全平台,强化地方、企业与国家平台之间的系统对接、数据共享、业务协作,打造整体态势感知、信息共享和应急协同能力。建立工业互联网安全基础资源库。建设工业互联网安全漏洞库、恶意代码库等基础资源库,加强工业互联网安全资源储备。建设工业互联网安全测试验证环境。搭建功能完备的工业互联网安全攻防演练环境,提升识别安全隐患、抵御安全威胁、化解安全风险的能力。 

 

(六)加强工业互联网安全公共服务能力

 

开展工业互联网安全评估认证。构建工业互联网设备、网络、平台、工业APP等的安全评估体系,依托产业联盟、行业协会等第三方机构为工业互联网企业持续开展安全能力评测评估服务,推动工业互联网安全测评机构的审核认定。提升工业互联网安全服务水平。鼓励和支持专业机构、网络安全企业等建设检测评估、安全监测、攻防测试、应急响应等公共服务平台,面向机械制造、电子信息、汽车、石油化工等行业领域提供安全诊断评估、安全咨询、数据保护、代码检查、系统加固、云端防护等服务。鼓励基础电信企业、互联网企业、系统解决方案提供商等依托专业技术优势,加强与工业互联网企业的需求对接,输出安全保障服务。

 

(七)推动工业互联网安全科技创新与产业发展

 

支持工业互联网安全科技创新。加大对工业互联网安全技术研发和成果转化的支持力度,强化标识解析系统安全、平台安全、数据安全、5G安全等相关核心技术研究,加强攻击防护、漏洞挖掘、态势感知等安全产品研发。支持通过众测众研等创新方式,聚集社会力量,提升漏洞隐患发现技术能力。支持专业机构、高校、企业等联合建设工业互联网安全创新中心和安全实验室。探索利用人工智能、大数据、区块链等新技术提升安全防护水平。促进工业互联网安全产业发展。充分利用国家和地方网络安全产业园(基地)等形式,整合相关行业资源,打造产学研用协同创新发展平台,形成工业互联网安全对外展示和市场服务能力,培育一批核心技术水平高、市场竞争能力强、辐射带动范围广的工业互联网安全企业。开展试点示范,遴选优秀安全解决方案和最佳实践,并加强应用推广。

 

 

本文来自: 工信部


指导单位:工业和信息化部
主办单位:国家工业信息安全发展研究中心   
Rights Reserved 京ICP备 05037055号-6