解讀《加強工業互聯網安全工作的指導意見》

發表時間:2019-10-11 17:25

        在工業互聯網中,信息網絡和工業系統緊密融合、相互影響,其安全包括信息空間的傳統網絡安全和物理空間的實體工業系統安全,以及二者交叉、融合而帶來的信息物理安全問題。隨著互聯網和工業系統的深度融合,發起自信息網絡中的惡意攻擊可以直達工業系統。工業互聯網在遭受網絡攻擊時,不但會面臨數據泄露、服務中斷等傳統互聯網安全問題,還可能會造成斷水斷電、重要基礎設施損毀、污染物質外泄等生產安全問題。

        按照《國務院關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》部署,為加快構建工業互聯網安全保障體系,提升工業互聯網安全保障能力,促進工業互聯網高質量發展,推動現代化經濟體系建設,護航制造強國和網絡強國戰略實施,工業和信息化部、教育部、人力資源和社會保障部、生態環境部、國家衛生健康委員會、應急管理部、國務院國有資產監督管理委員會、國家市場監督管理總局、國家能源局、國家國防科技工業局聯合印發了《加強工業互聯網安全工作的指導意見》(以下簡稱《意見》)?!兑庖姟分赋?,到2020年底,工業互聯網安全保障體系初步建立;到2025年,制度機制健全完善,技術手段能力顯著提升,安全產業形成規模,基本建立起較為完備可靠的工業互聯網安全保障體系。

        建立工業互聯網安全管理體系

        “三分靠技術,七分靠管理”是信息安全領域的普遍共識。管理是信息安全的重中之重,是信息技術有效實施的關鍵?!兑庖姟芬蟆爸贫葯C制方面,建立監督檢查、信息共享和通報、應急處置等工業互聯網安全管理制度,構建企業安全主體責任制,制定設備、平臺、數據等至少20項亟須的工業互聯網安全標準,探索構建工業互聯網安全評估體系” 。

        具體而言,首先是要著力推動工業互聯網安全責任落實工作,強調“明確企業的主體責任,按照誰運營誰負責、誰主管誰負責的原則”,明確企業的安全主體責任,這就要求企業在建設工業互聯網業務應用之初,就要把安全風險考慮在內,保證安全;同時,企業還需持續性加大對工業互聯網安全的投入,保障工業互聯網安全?!兑庖姟吠瑫r強調政府應履行監督管理責任。工業與信息化部、地方相關管理機構、行業相關主管部門應組織開展相關的安全指導和監管工作。其次是構建工業互聯網安全管理體系,健全安全管理制度,強化對企業的安全監管;建立分類分級管理機制,對重點企業重點關注,實施逐級負責政府監管模式和差異化管理。最后是加強工業互聯網安全公共服務能力,《意見》強調“開展工業互聯網安全評估認證,提升工業互聯網安全服務水平”,等級保護2.0是做好安全評估的重要依據。

        提升工業互聯網安全技術防護能力

        《意見》要求“初步建成國家工業互聯網安全技術保障平臺、基礎資源庫和安全測試驗證環境”。

        提升企業工業互聯網安全防護水平。工業控制系統面臨多方面的安全挑戰:一是傳統的工業控制系統安全防護較弱,因為工業控制系統往往對實時性和可用性要求較高,安全防護措施較信息系統要弱;二是智能終端已成為工業控制系統的重要組成部分,終端呈現智能化、網絡化、互動化的特點,但其受內存、處理能力等限制,且多部署于非受控環境,故存在自身保護薄弱、攻擊監測手段不足等問題,給安全防護帶來巨大挑戰;三是工業控制系統與設備接入互聯網,更多使用公開協議以及標準化技術架構,攻擊者的攻擊門檻降低。針對上述挑戰,《意見》要求“夯實設備和控制安全”,督促工業企業部署針對性防護措施,加強工業生產、主機、智能終端等設備安全接入和防護,強化控制網絡協議、裝置裝備、工業軟件等安全保障,推動設備制造商、自動化集成商與安全企業加強合作,提升設備和控制系統的本質安全。IPV6、5G、SDN、NVF等新技術在工業互聯網中的應用也帶來新的網絡安全挑戰?!兑庖姟芬蟆疤嵘W絡設施安全”,充分發揮監管部門的指導、監管作用,明確企業的安全主體責任,在新技術的應用過程中,落實安全標準要求并開展安全評估,部署安全設施,提升企業內外網的安全防護能力。工業互聯網平臺面臨很大安全風險。平臺連接海量工業控制系統、業務系統和網絡基礎設施,平臺承載大量數據和工業APP,提供多種API接口,平臺的網絡攻擊面不斷擴大?!兑庖姟芬蟆皬娀脚_和工業應用程序(APP)安全”。要求工業互聯網平臺的建設、運營單位按照相關標準開展平臺建設,在平臺上線前進行安全評估,分層部署安全防護措施。建立健全工業APP應用前安全檢測機制,強化應用過程中用戶信息和數據安全保護。

        強化工業互聯網數據安全保護能力。工業互聯網數據種類繁多、流動路徑復雜、使用場景多樣。數據篡改、泄露、濫用以及數據跨境流動等安全問題更為突出?!兑庖姟芬蟆皬娀髽I數據安全防護能力”,“建立工業互聯網全產業鏈數據安全管理體系”。明確數據收集、存儲、處理、轉移、刪除等環節安全保護要求,指導企業完善研發設計、工業生產、運維管理、平臺知識機理和數字化模型等數據的防竊密、防篡改和數據備份等安全防護措施,鼓勵商用密碼在工業互聯網數據保護工作中的應用。依據工業門類領域、數據類型、數據價值等建立工業互聯網數據分級分類管理制度,開展重要數據出境安全評估和監測,完善重大工業互聯網數據泄露事件觸發響應機制。

        建設國家、省、企業三級協同的工業互聯網安全技術保障平臺。建設工業互聯網資產目錄庫、工業協議庫、安全漏洞庫、惡意代碼庫等基礎資源庫。建設工業互聯網安全測試驗證環境。

        加強宣傳教育,加快人才培養,推動產業發展

        加強工業互聯網安全宣傳教育。開展工業互聯網安全大賽,鼓勵企業技術人員和高校學生積極參與,宣傳工業互聯網安全知識,擴大參賽人員的科學視野,提高參賽人員的創新設計能力、綜合設計能力和安全意識,為培養、選拔、推薦優秀工業互聯網安全專業人才創造條件;舉辦工業互聯網安全會議、論壇、講堂等方式,促進專業機構、高校、企業從業人員之間的交流。

        加快工業互聯網安全人才培養。做好工業互聯網安全工作,需要大批熟悉網絡安全領域與工業領域的復合型人才。要加大投入,加快人才培養進程,支持專業機構、高校、企業聯合開展研究,聯合建設工業互聯網安全創新中心和安全實驗室,培養工業互聯網安全人才;由管理機構牽頭,對企業相關員工開展工業互聯網安全培訓工作,全面提升從業人員的業務能力。

        推動工業互聯網安全產業發展。大力推動工業互聯網安全科技創新與產業發展,鼓勵加大對工業互聯網安全技術研發和成果轉化的支持力度?!霸谄?、電子信息、航空航天、能源等重點領域,形成至少20個創新實用的安全產品、解決方案的試點示范,培育若干具有核心競爭力的工業互聯網安全企業”。積極探索利用人工智能、區塊鏈、大數據等新技術提升工業互聯網安全防護水平。

        發揮政府的引導和監管作用,強化企業的主體責任,發揮高校人才培養責任,政產學研用各方協同發力,為工業互聯網提供安全保障。


國家高新技術企業
天津高新技術企業
北京工業和信息化融合服務
聯盟副理事長單位
13年工控行業歷練
10年物聯網技術沉淀
工信部發布
工業物聯網重點示范平臺
技術社區
文檔中心
菲利科公開課
郵箱:service@felick.com
Tel:022-58055271
Copyright ? 2018-2021
Flylinker . All Right Reserved
天津菲利科   版權所有
菲利科公眾號
掃碼關注,了解更多
3家子公司
5家辦事處
友情鏈接:
中國工業設備網
智慧樓宇
智慧環保
設備智慧運維
工業監控
智慧工廠
Copyright ?2018 - 2021 天津菲利科物聯網技術有限公司   津ICP備11004536號-1