一、背景情況
近年來,隨着工業領域數字化、網路化不斷推進,製造業內部網路與網際網路逐步打通,網路安全威脅向工業領域蔓延滲透,工業網際網路安全已成為網路安全的重要組成部分。工業網際網路特有的標識解析系統、工業網際網路平臺、工業控制系統、工業大數據對安全防護理念與措施提出新的需求。工業網際網路涉及眾多關鍵製造領域,在大力發展工業網際網路的同時,應同步推進工業網際網路安全保障體系建設,從而有效防範因為網路攻擊可能引發的安全生産事故和人民生命財産損失。
發達國家高度重視工業網際網路安全,採取了一系列措施提升工業網際網路安全保障能力,如出臺安全框架或文件指南為工業企業安全部署提供指導、建設研究基地和實驗室強化工業網際網路安全能力、加緊佈局工業網際網路安全防護産品及服務、通過安全標準和安全評估推進工業網際網路産業實踐。當前,我國工業網際網路正處於發展起步階段,與發達國家相比,總體發展水準和現實基礎仍然不高。企業網路安全意識相對薄弱,安全防護水準有待提升。迫切需要政府、産業和企業協同聯動才能有效實現安全保障能力的體系化佈局,以提升工業網際網路整體安全防護能力。
二、思路目標
深入貫徹落實習近平總書記關於網路安全系列重要講話精神,以《中國製造2025》《國家網路空間安全戰略》等國家戰略為指導,推進落實《網路安全法》,堅持安全和發展同步、管理和技術並重、引導和規範並舉。圍繞工業網際網路安全防護、數據安全保護、技術支撐手段、安全産業支撐、人才隊伍建設等方面構建工業網際網路安全保障體系,為工業網際網路持續發展營造安全可靠的網路環境,助力製造強國和網路強國建設。
三、重點亮點
《指導意見》以構建工業網際網路安全保障體系為目標,重點從提升工業網際網路安全防護能力、建立數據安全保護體系、推動安全技術手段建設等方面提出了具體任務,全面強化工業網際網路安全保障能力。
提升工業網際網路安全防護能力。《指導意見》從技術和管理兩個層面雙管齊下,構建覆蓋設備、控制、網路、平臺和數據的工業網際網路安全保障體系。在技術層面,加大技術研發和成果轉化支援力度,重點突破標識解析系統安全、工業網際網路平臺安全、工業控制系統安全、工業大數據安全等相關核心技術,推動面向工業網際網路的攻擊防護、漏洞挖掘、入侵發現、態勢感知、安全審計、可信晶片等安全産品的研發。在管理層面,通過構建工業網際網路安全評估認證體系,依託産業聯盟等第三方機構開展安全能力評估和認證,推動工業網際網路安全産品和服務推廣應用,工業網際網路企業安全防護能力不斷提升。
建立數據安全保護體系。工業網際網路上承載着大量價值巨大的工業數據,能夠揭示工業生産情況及運作規律,也承載了大量市場、客戶、供應鏈等資訊,是工業網際網路核心要素,數據安全因此成為工業網際網路安全保障的重要任務之一。一方面,推動建立工業網際網路全産業鏈數據安全管理體系,明確相關主體的數據安全保護責任和具體要求,加強數據生命周期各環節的安全防護能力,避免用戶隱私或重要工業數據遭到不法竊取或利用;另一方面,建立工業數據分級分類管理制度,形成工業網際網路數據流動管理機制,明確數據留存、數據洩露通報要求;最後,通過加強監督檢查落實工業網際網路企業的數據安全保護責任。
推動安全技術手段建設。技術手段建設是提升工業網際網路安全保障能力的重要途徑,《指導意見》分別從企業、行業、國家三個層面提出了安全技術手段建設任務。企業層面,要求相關企業落實網路安全主體責任,加大安全投入,通過加強技術手段建設提升自身安全防護能力,開展工業網際網路安全試點示範;行業層面,支援相關産業聯盟積極發揮引導作用,整合行業資源,創新安全服務模式,提升行業整體安全保障服務能力;國家層面,充分發揮國家專業機構和社會力量的作用,增強國家級工業網際網路安全技術支撐能力,着力提升隱患排查、攻擊發現、應急處置和攻擊溯源能力。