- 行业资讯 - 业界动态 - 正文

逐层推进分阶段实施 跨行业协同保障工业互联网安全

近年来,随着工业互联网的快速发展,传统工业控制系统从“封闭孤岛”走向“互联互通”。效率提升的同时,互联网的安全威胁也随之渗透入工业领域。面对可以直达作业现场的网络攻击,构建工业互联网安全保障体系迫在眉睫。

近日,工业和信息化部联合教育部、人力资源社会保障部、生态环境部、卫生健康委员会、应急管理部、国有资产监督管理委员会、国家市场监管总局、国家能源局、国防科技工业局等十部委共同印发了《加强工业互联网安全工作的指导意见》(以下简称《安全指导意见》),明确了构建工业互联网安全保障体系的主要任务。

《安全指导意见》)明确到2020年底,工业互联网安全保障体系初步建立。到2025年,制度机制健全完善,技术手段能力显著提升,安全产业形成规模,基本建立起较为完备可靠的工业互联网安全保障体系。

《安全指导意见》为我国工业互联网安全设定了非常具体的总体目标,将全面提升我国工业互联网创新发展的安全保障能力和服务水平,促进工业互联网高质量发展。

自上而下逐层推进 建立安全评价体系

目前,我国的工业企业高度重视工业互联网安全建设,也乐意在安全方面进行投入。但目前的现状是企业对自身安全状况了解不透彻,无法得到适合自身的解决方案。对此,复杂网络系统安全保障技术教育部工程研究中心主任姚羽指出,构建工业互联网安全管理体系需要自上而下逐层推进,通过构建涵盖工业全系统的安全防护体系,打造满足工业需求的安全技术体系和相应管理机制,识别和抵御来自内外部的安全威胁,化解各种安全风险,是工业互联网可靠运行,实现工业智能化的安全可信保障。

当下,5G网络建设如火如荼,IPv6部署全面推进,在与工业实体经济结合的过程当中,除了各相关企业之间的配合,还需要跨行业之间的融合。除了保障自身安全之外,还需要对各个接口都进行评估,以保证整体的运行安全。姚羽指出,开展工业互联网安全评估认证,需要摸索一个合适的安全评价体系。针对当前缺乏工业互联网安全检测评估标准的问题,需要通过对工业互联网安全现状、安全需求和攻防技术的深入调研,全面分析工业互联网可能存在的安全隐患,确定工业互联网安全审查和检测评估的方向和重点,梳理和细化安全审查和检测评估内容,编制可量化、可操作的工业互联网安全审查和检测评估技术要求和测试评价方法相关标准。

加强技术创新 实现安全防护力自生长

大力发展工业互联网是我国的一项重要国策,近年来工信部出台了一系列相关政策和具体行动推动工业互联网产业的发展,网络、平台、安全是工业互联网的三大体系。其中,网络是基础、平台是核心、安全是保障。在奇安信副总裁左英男看来,要建设好工业互联网安全保障体系,必须加大研发投入,加强技术创新,提升安全能力,并使安全能力与工业互联网业务场景充分融合,使工业互联网具备自适应、自主和自生长的“内生安全”能力。

《安全指导意见》特别把“强化工业互联网数据安全保护能力”单独列出,作为主要任务之一,充分说明了数据安全在工业互联网安全中的重要地位。其实,随着工业互联网应用的发展,我们所做的一切安全防护措施,根本目的都是为了保护工业互联网企业的核心资产——工业大数据。

面对亟待解决的“内生安全”问题,左英男认为,要做到“内生安全”,安全特性必须能够无缝嵌入工业大数据的软件技术架构,需要具备自适应安全特性的大数据安全架构。安全自适应具有充分的系统自诊断功能,在遇到安全风险和系统异常时可以及时发现进行告警,同时具备自动化的策略调整和安全修复功能,使得工业大数据系统具备充分的“弹性”,可以关闭部分服务保证关键业务的执行。工业大数据的安全防护体系应当是一个运营体系,通过持续的安全运营,不断提升优化安全策略、提升安全防护能力,实现安全防护能力的自生长。

从外到内、从表到里 多维度协同构建不同行业安全工具集

在以互联网为主要标志的信息化时代, “互联网+工业”已成现阶段中国工业革命的最优选择。由于自身技术水平限制,我国很多核心技术以及零配原件都依赖于国外。而其中的通信协议、设计漏洞等问题不被掌握,造成工业生产中的信息很容易被国外非法收集。同时,我国自身研发能力急需提高,人才培养难度也不断加大,不同行业的安全防护水平也应该区别对待。

中国科学院信息工程研究所研究员孙利民认为,“从外到内、从表到里”地分阶段实施是关键。应逐渐深入到PLC、工控组态软件和数控机床等核心元器件的安全,把工控系统的功能安全与信息安全结合起来,实现工业互联网的内置安全。同时,针对重要基础设施的攻击,需要多维度的协同,应加强企业内部、行业、全国甚至全球工控安全态势的的感知和分析能力,主动监测和被动诱捕相结合地发现网络攻击活动情况和未知攻击样本特征。

《安全指导意见》要求对重点行业和领域要高度重视重点布局,例如发电行业、电网系统、军工制造企业、轨道交通、三峡水利等是工业互联网安全防护的重中之重,对此要如何应对?

孙利民认为,针对多个重要工业互联网行业,分别构建特定的工业互联网攻防演练靶场和仿真测试平台。同时,加强工业互联网和网络安全复合型高端人才的培养,建立一批工业互联网安全重点实验室。 最后,构建本行业专用安全资源库和安全工具集,并在行业内培训和推广应用的同时,注意安全资源库自身的安全和防泄漏问题。

《安全指导意见》的实施,预示着我国工业互联网安全体系建设已经朝着法制化、制度化、专业化的历史新阶段稳步推进,定会激发工业互联网安全产业的快速发展,将极大提升我国工业互联网的安全防护水平。(来源:人民网-科技频道)

责任编辑:Alice

相关阅读

天远科技与中国移动政企分公司、华为签署《5G工程机械工业互联网框架合作协议》

继2019年9月2日中国工程机械工业协会工业互联网分会成立后,中国工程机械行业工业互联网发展又迎来了[详细]2019-09-05 21:14

工业互联网平台群雄并起 谁能笑到最后

工业互联网的概念,由GE在2012年提出,尽管出道时间不长,却吸引了全球的关注。如今,工业互联网平台[详细]2019-09-02 18:58

“中国工程机械工业协会工业互联网分会成立大会暨2019中国工程机械工业互联网高峰论坛”成功举行

会议现场图 2019年9月2日,“中国工程机械工业协会工业互联网分会成立大会暨2019中国工程机械工[详细]2019-09-02 12:47

快讯:中国工程机械工业协会工业互联网分会正式成立

2019年9月2日,中国工程机械工业协会工业互联网分会第一届会员代表大会在北京清华大学隆重召开。 [详细]2019-09-02 10:04

十部门联合印发《加强工业互联网安全工作的指导意见》

关于印发加强工业互联网安全工作的指导意见的通知 各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化、教育、人力资源社会保障、生态环境、卫生健康、应急管理、国有资产监管、市场监管、能源、国防科技工业主管部门,各省、自治区、直辖市通信管理局: 现将《加强工业互联网安全工作的指导意见》印发给你们,请结合工作实际,抓好贯彻落实。 工业和信息化部教育部 人力资源和社会保障部生态环境部 国家卫生健康委员会应急管理部 国务院国有资产监督管理委员会国家市场监督管理总局 国家能源局国家国防科技工业局 2019年7月26日 加强工业互联网安全工作的指导意见 按照《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》(以下简称《指导意见》)部署,为加快构建工业互联网安全保障体系,提升工业互联网安全保障能力,促进工业互联网高质量发展,推动现代化经济体系建设,护航制造强国和网络强国战略实施,现就加强工业互联网安全工作提出如下意见。 一、总体要求 (一)指导思想 坚持以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届二中、三中全会精神,按照《指导意见》有关要求,围绕设备、控制、网络、平台、数据安全,落实企业主体责任、政府监管责任,健全制度机制、建设技术手段、促进产业发展、强化人才培育,构建责任清晰、制度健全、技术先进的工业互联网安全保障体系,覆盖工业互联网规划、建设、运行等全生命周期,形成事前防范、事中监测、事后应急能力,全面提升工业互联网创新发展安全保障能力和服务水平。 (二)基本原则 筑牢安全,保障发展。以安全保发展,以发展促安全。严格落实《中华人民共和国网络安全法》等法律法规,按照谁运营谁负责、谁主管谁负责的原则,坚持发展与安全并重,安全和发展同步规划、同步建设、同步运行。 统筹指导,协同推进。做好顶层设计和系统谋划,结合各地实际,突出重点,分步协同推进,加快构建工业互联网安全保障体系,确保安全工作落实到位。 分类施策,分级管理。根据行业重要性、企业规模、安全风险程度等因素,对企业实施分类分级管理,集中力量指导、监管重要行业、重点企业提升工业互联网安全保障能力,夯实企业安全主体责任。 融合创新,重点突破。基于工业互联网融合发展特性,创新安全管理机制和技术手段,鼓励推动重点领域技术突破,加快安全可靠产品的创新推广应用,有效应对新型安全挑战。 (三)总体目标 到2020年底,工业互联网安全保障体系初步建立。制度机制方面,建立监督检查、信息共享和通报、应急处置等工业互联网安全管理制度,构建企业安全主体责任制,制定设备、平台、数据等至少20项亟需的工业互联网安全标准,探索构建工业互联网安全评估体系。技术手段方面,初步建成国家工业互联网安全技术保障平台、基础资源库和安全测试验证环境。产业发展方面,在汽车、电子信息、航空航天、能源等重点领域,形成至少20个创新实用的安全产品、解决方案的试点示范,培育若干具有核心竞争力的工业互联网安全企业。 到2025年,制度机制健全完善,技术手段能力显著提升,安全产业形成规模,基本建立起较为完备可靠的工业互联网安全保障体系。 二、主要任务 (一)推动工业互联网安全责任落实 1.依法落实企业主体责任。工业互联网企业明确工业互联网安全责任部门和责任人,建立健全重点设备装置和系统平台联网前后的风险评估、安全审计等制度,建立安全事件报告和问责机制,加大安全投入,部署有效安全技术防护手段,保障工业互联网安全稳定运行。由网络安全事件引发的安全生产事故,按照安全生产有关法规进行处置。 2.政府履行监督管理责任。工业和信息化部组织开展工业互联网安全相关政策制定、标准研制等综合性工作,并对装备制造、电子信息及通信等主管行业领域的工业互联网安全开展行业指导管理。地方工业和信息化主管部门指导本行政区域内应用工业互联网的工业企业的安全工作,同步推进安全产业发展,并联合应急管理部门推进工业互联网在安全生产监管中的作用;地方通信管理局监管本行政区域内标识解析系统、公共工业互联网平台等的安全工作,并在公共互联网上对联网设备、系统等进行安全监测。生态环境、卫生健康、能源、国防科技工业等部门根据各自职责,开展本行业领域工业互联网推广应用的安全指导、监管工作。 (二)构建工业互联网安全管理体系 3.健全安全管理制度。围绕工业互联网安全监督检查、风险评估、数据保护、信息共享和通报、应急处置等方面建立健全安全管理制度和工作机制,强化对企业的安全监管。 4.建立分类分级管理机制。建立工业互联网行业分类指导目录、企业分级指标体系,制定工业互联网行业企业分类分级指南,形成重点企业清单,强化逐级负责的政府监管模式,实施差异化管理。 5.建立工业互联网安全标准体系。推动工业互联网设备、控制、网络(含标识解析系统)、平台、数据等重点领域安全标准的研究制定,建设安全技术与标准试验验证环境,支持专业机构、企业积极参与相关国际标准制定,加快标准落地实施。 (三)提升企业工业互联网安全防护水平 6.夯实设备和控制安全。督促工业企业部署针对性防护措施,加强工业生产、主机、智能终端等设备安全接入和防护,强化控制网络协议、装置装备、工业软件等安全保障,推动设备制造商、自动化集成商与安全企业加强合作,提升设备和控制系统的本质安全。 7.提升网络设施安全。指导工业企业、基础电信企业在网络化改造及部署IPv6、应用5G的过程中,落实安全标准要求并开展安全评估,部署安全设施,提升企业内外网的安全防护能力。要求标识解析系统的建设运营单位同步加强安全防护技术能力建设,确保标识解析系统的安全运行。 8.强化平台和工业应用程序(APP)安全。要求工业互联网平台的建设、运营单位按照相关标准开展平台建设,在平台上线前进行安全评估,针对边缘层、IaaS层(云基础设施)、平台层(工业PaaS)、应用层(工业SaaS)分层部署安全防护措施。建立健全工业APP应用前安全检测机制,强化应用过程中用户信息和数据安全保护。 (四)强化工业互联网数据安全保护能力 9.强化企业数据安全防护能力。明确数据收集、存储、处理、转移、删除等环节安全保护要求,指导企业完善研发设计、工业生产、运维管理、平台知识机理和数字化模型等数据的防窃密、防篡改和数据备份等安全防护措施,鼓励商用密码在工业互联网数据保护工作中的应用。 10.建立工业互联网全产业链数据安全管理体系。依据工业门类领域、数据类型、数据价值等建立工业互联网数据分级分类管理制度,开展重要数据出境安全评估和监测,完善重大工业互联网数据泄露事件触发响应机制。 (五)建设国家工业互联网安全技术手段 11.建设国家、省、企业三级协同的工业互联网安全技术保障平台。工业和信息化部统筹建设国家工业互联网安全技术保障平台。工业基础较好的省、自治区、直辖市先期试点建设省级技术保障平台。支持鼓励机械制造、电子信息、航空航天等重点行业企业建设企业级安全平台,强化地方、企业与国家平台之间的系统对接、数据共享、业务协作,打造整体态势感知、信息共享和应急协同能力。 12.建立工业互联网安全基础资源库。建设工业互联网资产目录库、工业协议库、安全漏洞库、恶意代码病毒库和安全威胁信息库等基础资源库,推动研制面向典型行业工业互联网安全应急处置、安全事件现场取证等工具集,加强工业互联网安全资源储备。 13.建设工业互联网安全测试验证环境。搭建面向机械制造、电子信息、航空航天等行业的工业互联网安全攻防演练环境,测试、验证各环节存在的网络安全风险以及相应的安全防护解决方案,提升识别安全隐患、抵御安全威胁、化解安全风险的能力。 (六)加强工业互联网安全公共服务能力 14.开展工业互联网安全评估认证。构建工业互联网设备、网络、平台、工业APP等的安全评估体系,依托产业联盟、行业协会等第三方机构为工业互联网企业持续开展安全能力评测评估服务,推动工业互联网安全测评机构的审核认定。 15.提升工业互联网安全服务水平。鼓励和支持专业机构、网络安全企业等提供安全诊断评估、安全咨询、数据保护、代码检查、系统加固、云端防护等服务。鼓励基础电信企业、互联网企业、系统解决方案提供商等依托专业技术优势,加强与工业互联网企业的需求对接,输出安全保障服务。 (七)推动工业互联网安全科技创新与产业发展 16.支持工业互联网安全科技创新。加大对工业互联网安全技术研发和成果转化的支持力度,强化标识解析系统安全、平台安全、工业控制系统安全、数据安全、5G安全等相关核心技术研究,加强攻击防护、漏洞挖掘、态势感知等安全产品研发。支持通过众测众研等创新方式,聚集社会力量,提升漏洞隐患发现技术能力。支持专业机构、高校、企业等联合建设工业互联网安全创新中心和安全实验室。探索利用人工智能、大数据、区块链等新技术提升安全防护水平。 17.促进工业互联网安全产业发展。充分利用国家和地方网络安全产业园(基地)等形式,整合相关行业资源,打造产学研用协同创新发展平台,形成工业互联网安全对外展示和市场服务能力,培育一批核心技术水平高、市场竞争能力强、辐射带动范围广的工业互联网安全企业。在汽车、电子信息、航空航天、能源等重点领域开展试点示范,遴选优秀安全解决方案和最佳实践,并加强应用推广。 三、保障措施 (一)加强组织领导,健全工作机制。在工业互联网专项工作组的统一指导下,加强统筹协调,强化部门协同、部省合作,构建各负其责、紧密配合、运转高效的工作机制。各地工业和信息化、教育、人力资源社会保障、生态环境、卫生健康、应急管理、国有资产监管、市场监管、能源、国防科技工业等主管部门及地方通信管理局要加强配合,形成合力。 (二)加大支持力度,优化创新环境。各地相关部门要结合本地工业互联网发展现状,优化政府支持机制和方式,加大对工业互联网安全的支持力度,鼓励企业技术创新和安全应用,加快建设工业互联网安全技术手段,推动安全产业集聚发展。 (三)发挥市场作用,汇聚多方力量。充分发挥市场在资源配置中的决定性作用,以工业互联网企业的安全需求为着力点,形成市场需求牵引、政府支持推动的发展局面。汇聚政产学研用多方力量,逐步建立覆盖决策研究、公共研发、标准推进、联盟论坛、人才培养等的创新支撑平台,形成支持工业互联网安全发展合力。 (四)加强宣传教育,加快人才培养。深入推进产教融合、校企合作,建立安全人才联合培养机制,培养复合型、创新型高技能人才。开展工业互联网安全宣传教育,提升企业和相关从业人员网络安全意识。开展网络安全演练、安全竞赛等,培养选拔不同层次的工业互联网安全从业人员。依托国家专业机构等,打造技术领先、业界知名的工业互联网安全高端智库。(来源:工业和信息化部网络安全管理局)[详细]2019-08-29 20:06

+加载更多新闻
恒耀热点 更多>>
点击排行
FPT亮相BICES2019

FPT亮相BICES2019

9月4日-7日,北京BICES暨第15届中国北京国际工程机械、建筑材料...详情
沃尔沃遍达亮相BICES

沃尔沃遍达亮相BICES

“通过产品的持续创新和内部组织的持续变革,提供适合客户的产品和服务,为...详情
恒耀徐工挖机助力客户事业

恒耀徐工挖机助力客户事业

“全心守护 · 终生无忧”。2019年5月20日,恒耀徐工挖机清凉一夏服...详情
恒耀山推挖机品质用户很认可

恒耀山推挖机品质用户很认可

俗话说,家有一老,如有一宝。在位于太湖之滨的无锡嘉远建设有限公司有一位...详情
恒耀徐工道路机械客户鲍长星

恒耀徐工道路机械客户鲍长星

本期主人公叫鲍长星,53岁的他丝毫看不出岁月在他脸上留下的痕迹,但是鲍...详情

微信扫一扫

关注恒耀微信

微信号:wwwcsladjxcom

微信扫一扫

下载恒耀app

更多精彩内容等你来

投稿邮箱:news@csladjx.com
服务热线:400-3333-326

CopyRight © 2000- csladjx.com, All Rights Reserved 恒耀 版权所有

京ICP备10026412号 京ICP证060286号 京公网安备110105005121号 网络视听许可证0113658号 广播电视制作许可证

客服电话:400-3333-326 商务合作:010-64888895 服务投诉:010-64866695