《关于深化“互联网+先进制造业”发展工业互联网的指导意见》的系列解读 解读三:强化安全保障
一、背景情况
近年来,随着工业领域数字化、网络化不断推进,制造业内部网络与互联网逐步打通,网络安全威胁向工业领域蔓延渗透,工业互联网安全已成为网络安全的重要组成部分。工业互联网特有的标识解析系统、工业互联网平台、工业控制系统、工业大数据对安全防护理念与措施提出新的需求。工业互联网涉及众多关键制造领域,在大力发展工业互联网的同时,应同步推进工业互联网安全保障体系建设,从而有效防范因为网络攻击可能引发的安全生产事故和人民生命财产损失。
发达国家高度重视工业互联网安全,采取了一系列措施提升工业互联网安全保障能力,如出台安全框架或文件指南为工业企业安全部署提供指导、建设研究基地和实验室强化工业互联网安全能力、加紧布局工业互联网安全防护产品及服务、通过安全标准和安全评估推进工业互联网产业实践。当前,我国工业互联网正处于发展起步阶段,与发达国家相比,总体发展水平和现实基础仍然不高。企业网络安全意识相对薄弱,安全防护水平有待提升。迫切需要政府、产业和企业协同联动才能有效实现安全保障能力的体系化布局,以提升工业互联网整体安全防护能力。二、思路目标
深入贯彻落实习近平总书记关于网络安全系列重要讲话精神,以《中国制造2025》《国家网络空间安全战略》等国家战略为指导,推进落实《网络安全法》,坚持安全和发展同步、管理和技术并重、引导和规范并举。围绕工业互联网安全防护、数据安全保护、技术支撑手段、安全产业支撑、人才队伍建设等方面构建工业互联网安全保障体系,为工业互联网持续发展营造安全可靠的网络环境,助力制造强国和网络强国建设。三、重点亮点
《指导意见》以构建工业互联网安全保障体系为目标,重点从提升工业互联网安全防护能力、建立数据安全保护体系、推动安全技术手段建设等方面提出了具体任务,全面强化工业互联网安全保障能力。
提升工业互联网安全防护能力。《指导意见》从技术和管理两个层面双管齐下,构建覆盖设备、控制、网络、平台和数据的工业互联网安全保障体系。在技术层面,加大技术研发和成果转化支持力度,重点突破标识解析系统安全、工业互联网平台安全、工业控制系统安全、工业大数据安全等相关核心技术,推动面向工业互联网的攻击防护、漏洞挖掘、入侵发现、态势感知、安全审计、可信芯片等安全产品的研发。在管理层面,通过构建工业互联网安全评估认证体系,依托产业联盟等第三方机构开展安全能力评估和认证,推动工业互联网安全产品和服务推广应用,工业互联网企业安全防护能力不断提升。
建立数据安全保护体系。工业互联网上承载着大量价值巨大的工业数据,能够揭示工业生产情况及运行规律,也承载了大量市场、客户、供应链等信息,是工业互联网核心要素,数据安全因此成为工业互联网安全保障的重要任务之一。一方面,推动建立工业互联网全产业链数据安全管理体系,明确相关主体的数据安全保护责任和具体要求,加强数据生命周期各环节的安全防护能力,避免用户隐私或重要工业数据遭到不法窃取或利用;另一方面,建立工业数据分级分类管理制度,形成工业互联网数据流动管理机制,明确数据留存、数据泄露通报要求;最后,通过加强监督检查落实工业互联网企业的数据安全保护责任。
推动安全技术手段建设。技术手段建设是提升工业互联网安全保障能力的重要途径,《指导意见》分别从企业、行业、国家三个层面提出了安全技术手段建设任务。企业层面,要求相关企业落实网络安全主体责任,加大安全投入,通过加强技术手段建设提升自身安全防护能力,开展工业互联网安全试点示范;行业层面,支持相关产业联盟积极发挥引导作用,整合行业资源,创新安全服务模式,提升行业整体安全保障服务能力;国家层面,充分发挥国家专业机构和社会力量的作用,增强国家级工业互联网安全技术支撑能力,着力提升隐患排查、攻击发现、应急处置和攻击溯源能力。