《關于加強工業互聯網安全工作的指導意見》解析

來源:原創·姚羽

點擊:6288

A+ A-

所屬頻道:新聞中心

關鍵詞:工業互聯網

    習近平總書記在黨的十九大報告中全面系統深刻地論述了堅持總體國家安全觀的重要思想。2018年4月20-21日召開的全國網絡安全和信息化工作會議上,習近平總書記進一步強調指出,要“樹立正確的網絡安全觀,加強信息基礎設施網絡安全防護”。我國政府對網絡安全,特別是工業互聯網安全非常重視。工業和信息化部聯合教育部、人力資源社會保障部、生態環境部、衛生健康委員會、應急管理部、國有資產監督管理委員會、國家市場監管總局、國家能源局、國防科技工業局等十部委共同印發了《加強工業互聯網安全工作的指導意見》(以下簡稱《安全指導意見》),體系化推進工業互聯網工作。《安全指導意見》正式頒布,是我國工業互聯網安全體系建設的一個重要進步,意味著我國工業互聯網安全建設進入到法治化、制度化、專業化的新階段,標志著中國工業互聯網安全體系基本形成。《安全指導意見》從企業主體責任、政府監管責任出發,圍繞設備、控制、網絡、平臺、數據安全等方面,以健全制度機制、建設技術手段、促進產業發展、強化人才培育為基本內容,實現工業互聯網安全的全面管理。《安全指導意見》對加快構建工業互聯網安全保障體系,提升工業互聯網安全保障能力,促進工業互聯網高質量發展,推動現代化經濟體系建設,護航制造強國和網絡強國戰略實施,有著極其重要的意義。

    “互聯網+先進制造業”的新時代背景下,《安全指導意見》以全面保障工業互聯網安全為出發點,對制度機制、技術手段、產業發展等方面制定相關目標,充分體現了工業互聯網領域的統籌指導原則,依法構建科學嚴密規范的監管制度,最大限度地保障工業互聯網的安全。

    《安全指導意見》清晰地界定了工業互聯網安全保障體系初步建立的近期目標和遠期目標,為工業互聯網建立依法共建共治共享的安全體系打下基礎。

    《安全指導意見》從工業互聯網安全的幾個方面入手,分別提出了切實可行的目標。制度機制方面,建立監督檢查、信息共享和通報、應急處置等工業互聯網安全管理制度,構建企業安全主體責任制,制定設備、平臺、數據等至少20項亟需的工業互聯網安全標準,探索構建工業互聯網安全評估體系。技術手段方面,初步建成國家工業互聯網安全技術保障平臺、基礎資源庫和安全測試驗證環境。產業發展方面,在汽車、電子信息、航空航天、能源等重點領域,形成至少20個創新實用的安全產品、解決方案的試點示范,培育若干具有核心競爭力的工業互聯網安全企業。這些制度,為工業互聯網中各方向的目標提出了明確的要求,為良好的管理體系提供了重要的制度保障。

    尤其值得注意的是,為了確保目標的前瞻性,《安全指導意見》還提出了遠期目標,到2025年,制度機制健全完善,技術手段能力顯著提升,安全產業形成規模,基本建立起較為完備可靠的工業互聯網安全保障體系。這個目標是對近期目標的提升,能夠更有效確保目標路線的清晰。

    任何有效的安全體系建設必須分解為不同的任務,通過各類任務的推進達到目標。《安全指導意見》提出了以下關鍵任務:推動工業互聯網安全責任落實,構建工業互聯網安全管理體系,提升企業工業互聯網安全防護水平,強化工業互聯網數據安全保護能力,建設國家工業互聯網安全技術手段,加強工業互聯網安全公共服務能力,推動工業互聯網安全科技創新與產業發展。這些關鍵任務覆蓋工業互聯網安全的各個方面、各個環節中的各類要素,以及各類主體。這些任務要求的是不同領域和不同議題上政策間的高度融合,是各相關政府部門和機構間的高度協同,以及各類管理方式和管理工具的綜合使用。

    針對《安全指導意見》中的主要任務,有以下幾方面需要我們強化和完善:

    1)目前,我國的工業企業已經提高了自身對安全的重視程度,關注工業互聯網安全建設,也愿意在安全方面進行投入,這對工業互聯網安全責任落實有著極大的好處,且很多工業企業已將安全建設相關預算列入到企業整體預算之中去。但是,目前企業對自身安全狀況缺乏了解,無法得到一個適合自身的解決方案,在安全方面的投入主要集中在購買防護類產品,并沒有根據自身情況量身定制的相關防護,即便是購買了安全咨詢服務,也僅限于對自身進行一些安全評估、安全咨詢和安全設計,并沒有進行到實施或運營層面。當然,這些也有賴于相關工業互聯網安全產業企業的發展,才能促進工業企業的安全建設。相信在政府履行監督管理責任,工業和信息化部組織開展工業互聯網安全相關政策制定、標準研制等綜合性工作的不斷推進之下,未來,會給工業企業以及工業互聯網安全企業發展帶來更多的便利和機遇。

    2)構建工業互聯網安全管理體系需要自上而下逐層推進。工業互聯網安全管理體系通過構建涵蓋工業全系統的安全防護體系,打造滿足工業需求的安全技術體系和相應管理機制,識別和抵御來自內外部的安全威脅,化解各種安全風險,是工業互聯網可靠運行,實現工業智能化的安全可信保障。為了構建完善的工業互聯網安全管理體系,需要在風險評估、數據保護、信息共享和通報、應急處置等方面建立健全安全管理制度和工作機制,就需要對企業工業互聯網行業分類、企業分級指標進行規范,而這方面的工作目前還很少,需要相關部門積極推進,結合產業發展需求,加快實現安全體系與工業互聯網產業發展的同步推進,提升安全體系的先進性、適用性和有效性。

    3)提升企業工業互聯網安全防護水平。工業互聯網安全從防護對象、防護措施及防護管理三個維度構建。針對不同的防護對象部署相應的安全防護措施,根據實時監測結果發現網絡中存在的或即將發生的安全問題并及時做出響應,并通過加強防護管理,明確基于安全目標的可持續改進的管理方針,從而保障工業互聯網的安全。其中,IPv6的部署,5G網的建設,IaaS、PaaS、SaaS平臺的使用,都是需要關注的重點。在安全防護過程中,需要跨行業的聯合,各相關企業的配合,除了保障自身安全之外,還需要對各方相關接口處進行安全評估,以保障整體運行的安全性。

    4)工業互聯網數據安全保護能力的提升。明確數據收集、存儲、處理、轉移、刪除等環節安全保護要求,在加快推動數據資源開放共享和開發應用的同時,必須建立工業互聯網數據安全保障體系,構筑適應工業互聯網數據發展的法規制度,健全工業互聯網數據時代信息安全新秩序。從政策上關注工業互聯網數據戰略性和基礎性重點領域,加快相關法律法規的出臺步伐,依法保護公民和國家的工業互聯網數據安全。平衡釋放數據經濟活力、規范商業利用與數據資源安全和個人信息保護之間的關系,重點針對數據的收集和使用環節建立規則,明確工業互聯網數據生態中不同主體的責任,促進網絡基礎設施的發展,開放數據資源,加強網絡安全與個人信息保護。這意味需要充分了解企業內部數據的相關特征,之后針對不同類型數據采用不同安全保護等級,相關工作的責任劃分以及負責人員的責任分工,執行起來需要有一個規范指導。

    同時,為提升產業工業互聯網數據安全保障能力,維護網絡安全秩序,考慮到工業互聯網數據安全問題的泛在性、復雜性、專業性,以及有關術語和標準匱乏的現狀,需要建立工業互聯網數據安全標準體系研究長效機制。建議立足我國國家安全管理要求和工業互聯網數據有關產業發展現狀,借鑒國際國外標準化工作模式和經驗,逐步建立我國工業互聯網數據安全標準體系研究長效機制,持續規劃工業互聯網數據安全標準有關術語規范、標準化體系等方面研究,以充分發揮工業互聯網數據安全標準國家質量技術基礎的支撐作用,有效引導工業互聯網數據安全標準化工作科學推進。

    5)在建設國家工業互聯網安全技術手段方面,目前工業互聯網安全攻防演練相關工作遲緩,從事相關工作的企業對其理解不深入,攻防對抗技術研發流于表面形式。工業互聯網安全技術研發是我國工業互聯網產業自主發展的關鍵驅動,同時也是工業互聯網安全標準的制定和落地實施的重要支撐。建議加強工業互聯網安全技術研究,包括入侵檢測、安全態勢感知、網絡攻擊取證、威脅情報分析等,特別要重視主動防御關鍵技術的研究。主動防御是將被動防護、入侵檢測、蜜罐誘捕、態勢分析、響應反制等多種網絡安全防御技術綜合運用工業互聯網實際環境形成的一套技術體系,在保證和增強原有網絡安全的基礎之上,通過大數據和人工智能形成一整套完備的工業互聯網安全保護體系,提升工業互聯網安全保障的能力。

    6)開展工業互聯網安全評估認證,需要摸索一個合適的安全評價體系。工業互聯網安全關系到國家安全、社會穩定和個人權益,依法對工業互聯網進行安全審查和檢測評估是保障我國國家安全、公共利益和公民權益的一個重要手段。工業互聯網產業發展需要工業互聯網安全檢測評估相關標準支撐。針對當前缺乏工業互聯網安全檢測評估標準的問題,需要通過對工業互聯網安全現狀、安全需求和攻防技術的深入調研,全面分析工業互聯網可能存在的安全隱患,確定工業互聯網安全審查和檢測評估的方向和重點,梳理和細化安全審查和檢測評估內容,編制可量化、可操作的工業互聯網安全審查和檢測評估技術要求和測試評價方法相關標準。這個過程不但需要產學研相結合,探索路徑,同時,安全評價體系的建立本身也是一個演進的過程,需要各方的積極努力,才能保證形成一個比較權威公正的體系。

    (7)我國工業互聯網安全領域的安全技術和產品主要依賴于國外廠商,尚未形成完整的安全服務產業生態體系。推動工業互聯網安全科技創新與產業發展,需要產學研相結合,而目前工業企業—廠商—科研機構的鏈條不暢,缺乏促進合作的相關項目。同時,應注重開放創新,加強工業互聯網各類行業客戶、專業服務企業之間的協同合作,發揮其在所屬領域的知識經驗和資源優勢,形成一系列重量級工業應用;積極打造開發者社區,通過提供開發工具,開發環境和微服務組件,吸引第三方開發者向平臺聚集,形成一系列面向特點領域、特定場景、特定功能的創新性工業應用。

    《安全指導意見》指出了我們加強工業互聯網安全指導思想、基本原則和總體目標,并給出了主要任務,從政策法規方面對工業互聯網安全建設給出了支持,進一步完善了工業互聯網安全管理的體制機制。加強工業互聯網安全是一項必要性、系統性、前瞻性的工作,相信《安全指導意見》將進一步凝聚包括企業界、學術界等在內的社會各界共識,形成共同參與、協同推進的良好局面。

     

    作者信息:

    姚羽,博士,東北大學教授、博士生導師,復雜網絡系統安全保障技術教育部工程研究中心主任,沈陽大數據局副局長(2015-2017掛職),教育部新世紀人才。主要研究方向包括工控網絡安全分析、網絡空間安全態勢感知、惡意軟件攻防分析及建模、網絡安全數據分析、網絡安全數據可視化等。作為項目負責人主持國家自然科學基金項目、教育部“新世紀人才支持計劃”項目、教育部基本科研業務費項目、遼寧省自然科學基金等科研項目10余項,發表學術論文40余篇,主編國內第一部工業信息安全專著《工控網絡安全技術與實踐》,獲遼寧省科技進步二等獎、遼寧省自然科學學術成果一等獎。


    (審核編輯: 智匯張瑜)

    福建31选7走势图