您现在的位置:主页 > 黄大仙主论坛816799com >

解读《加强工业互联网安全工作的指导意见

发布日期:2019-09-20 13:32   来源:未知   阅读:

  在工业互联网中,信息网络和工业系统紧密融合、相互影响,其安全包括信息空间的传统网络安全和物理空间的实体工业系统安全,以及二者交叉、融合而带来的信息物理安全问题。随着互联网和工业系统的深度融合,发起自信息网络中的恶意攻击可以直达工业系统。工业互联网在遭受网络攻击时,不但会面临数据泄露、服务中断等传统互联网安全问题,还可能会造成断水断电、重要基础设施损毁、污染物质外泄等生产安全问题。

  按照《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》部署,为加快构建工业互联网安全保障体系,提升工业互联网安全保障能力,促进工业互联网高质量发展,推动现代化经济体系建设,护航制造强国和网络强国战略实施,工业和信息化部、教育部、人力资源和社会保障部、生态环境部、国家卫生健康委员会、应急管理部、国务院国有资产监督管理委员会、国家市场监督管理总局、国家能源局、国家国防科技工业局联合印发了《加强工业互联网安全工作的指导意见》(以下简称《意见》)。《意见》指出,到2020年底,工业互联网安全保障体系初步建立;到2025年,制度机制健全完善,技术手段能力显著提升,安全产业形成规模,基本建立起较为完备可靠的工业互联网安全保障体系。

  “三分靠技术,七分靠管理”是信息安全领域的普遍共识。管理是信息安全的重中之重,是信息技术有效实施的关键。《意见》要求“制度机制方面,建立监督检查、信息共享和通报、应急处置等工业互联网安全管理制度,构建企业安全主体责任制,制定设备、平台、数据等至少20项亟须的工业互联网安全标准,探索构建工业互联网安全评估体系” 。

  具体而言,首先是要着力推动工业互联网安全责任落实工作,强调“明确企业的主体责任,按照谁运营谁负责、谁主管谁负责的原则”,明确企业的安全主体责任,这就要求企业在建设工业互联网业务应用之初,就要把安全风险考虑在内,保证安全;同时,企业还需持续性加大对工业互联网安全的投入,保障工业互联网安全。《意见》同时强调政府应履行监督管理责任。工业与信息化部、地方相关管理机构、行业相关主管部门应组织开展相关的安全指导和监管工作。其次是构建工业互联网安全管理体系,健全安全管理制度,强化对企业的安全监管;建立分类分级管理机制,对重点企业重点关注,实施逐级负责政府监管模式和差异化管理。最后是加强工业互联网安全公共服务能力,《意见》强调“开展工业互联网安全评估认证,提升工业互联网安全服务水平”,等级保护2.0是做好安全评估的重要依据。

  提升企业工业互联网安全防护水平。工业控制系统面临多方面的安全挑战:一是传统的工业控制系统安全防护较弱,因为工业控制系统往往对实时性和可用性要求较高,安全防护措施较信息系统要弱;二是智能终端已成为工业控制系统的重要组成部分,终端呈现智能化、网络化、互动化的特点,但其受内存、处理能力等限制,且多部署于非受控环境,故存在自身保护薄弱、攻击监测手段不足等问题,给安全防护带来巨大挑战;三是工业控制系统与设备接入互联网,更多使用公开协议以及标准化技术架构,攻击者的攻击门槛降低。针对上述挑战,《意见》要求“夯实设备和控制安全”,督促工业企业部署针对性防护措施,www.966456.com,加强工业生产、主机、智能终端等设备安全接入和防护,强化控制网络协议、装置装备、工业软件等安全保障,推动设备制造商、自动化集成商与安全企业加强合作,提升设备和控制系统的本质安全。IPV6、5G、SDN、NVF等新技术在工业互联网中的应用也带来新的网络安全挑战。《意见》要求“提升网络设施安全”,充分发挥监管部门的指导、监管作用,明确企业的安全主体责任,在新技术的应用过程中,落实安全标准要求并开展安全评估,部署安全设施,提升企业内外网的安全防护能力。工业互联网平台面临很大安全风险。平台连接海量工业控制系统、业务系统和网络基础设施,平台承载大量数据和工业APP,提供多种API接口,平台的网络攻击面不断扩大。《意见》要求“强化平台和工业应用程序(APP)安全”。要求工业互联网平台的建设、运营单位按照相关标准开展平台建设,在平台上线前进行安全评估,分层部署安全防护措施。建立健全工业APP应用前安全检测机制,强化应用过程中用户信息和数据安全保护。

  强化工业互联网数据安全保护能力。工业互联网数据种类繁多、流动路径复杂、使用场景多样。数据篡改、泄露、滥用以及数据跨境流动等安全问题更为突出。《意见》要求“强化企业数据安全防护能力”,“建立工业互联网全产业链数据安全管理体系”。明确数据收集、存储、处理、转移、删除等环节安全保护要求,指导企业完善研发设计、工业生产、运维管理、平台知识机理和数字化模型等数据的防窃密、防篡改和数据备份等安全防护措施,鼓励商用密码在工业互联网数据保护工作中的应用。依据工业门类领域、数据类型、数据价值等建立工业互联网数据分级分类管理制度,开展重要数据出境安全评估和监测,完善重大工业互联网数据泄露事件触发响应机制。

  建设国家、省、企业三级协同的工业互联网安全技术保障平台。建设工业互联网资产目录库、工业协议库、安全漏洞库、恶意代码库等基础资源库。建设工业互联网安全测试验证环境。

  加强工业互联网安全宣传教育。开展工业互联网安全大赛,鼓励企业技术人员和高校学生积极参与,宣传工业互联网安全知识,扩大参赛人员的科学视野,提高参赛人员的创新设计能力、综合设计能力和安全意识,为培养、选拔、推荐优秀工业互联网安全专业人才创造条件;举办工业互联网安全会议、论坛、讲堂等方式,促进专业机构、高校、企业从业人员之间的交流。

  加快工业互联网安全人才培养。做好工业互联网安全工作,需要大批熟悉网络安全领域与工业领域的复合型人才。2019香巷开奖现场结果播马!要加大投入,加快人才培养进程,支持专业机构、高校、企业联合开展研究,联合建设工业互联网安全创新中心和安全实验室,培养工业互联网安全人才;由管理机构牵头,对企业相关员工开展工业互联网安全培训工作,全面提升从业人员的业务能力。

  推动工业互联网安全产业发展。大力推动工业互联网安全科技创新与产业发展,鼓励加大对工业互联网安全技术研发和成果转化的支持力度。“在汽车、电子信息、航空航天、能源等重点领域,形成至少20个创新实用的安全产品、解决方案的试点示范,香港中特,培育若干具有核心竞争力的工业互联网安全企业”。积极探索利用人工智能、区块链、大数据等新技术提升工业互联网安全防护水平。

  发挥政府的引导和监管作用,强化企业的主体责任,发挥高校人才培养责任,政产学研用各方协同发力,为工业互联网提供安全保障。