2019年4月15日,工业和信息化部发布《关于加强工业互联网安全工作的指导意见(征求意见稿)》(以下简称《指导意见》)向社会公开征询意见。该文件的目的是为了贯彻落实《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》,加快构建工业互联网安全保障体系,护航制造强国和网络强国战略实施。
2018年被业界称为工业互联网“元年”,由于工业互联网能解决工业中的痛点问题,从而提升生产效率,使其成为了振兴实体经济的重要抓手。工业互联网近些年逐渐在全球均受到了各主要国家的高度重视。
主旨:《指导意见》提出了工业互联网安全工作的总体目标。
《指导意见》规划,到2020年底,从制度机制、技术手段、产业发展三方面,初步建立我国的工业互联网安全保障体系。到2025年,制度机制健全完善,技术手段能力显著提升,安全产业形成规模,基本建立起较为完备可靠的工业互联网安全保障体系。
作用:《指导意见》明确了工业互联网安全工作的七个主要任务
一是对工业互联网安全责任进行了划分。企业应当落实主体责任,同时政府应当履行监督管理责任。
二是对工业互联网安全管理体系进行了规划。工业互联网安全要从健全安全管理制度、建立分类分级管理机制、建立工业互联网安全标准体系三方面抓起,逐步完善工业互联网的安全管理体系。
第三和第四点分别从网络角度和数据角度对企业提高工业互联网安全防护水平和保护能力进行了指导。在网络安全防护方面各工业企业应当夯实设备和控制安全、提升网络设施安全、强化平台安全和加强工业APP安全管理。在数据资产保护方面,企业应当强化企业数据安全防护能力并建立工业互联网全产业链数据安全管理体系。
第五和第六点从技术积累和公共服务能力两方面,对政府层面的工业互联网建设提出了整体的要求。工业互联网安全领域未来要建设国家、省、企业三级协同的工业互联网安全技术保障平台,建立工业互联网安全基础资源库和工业互联网安全测试验证环境。利用这些基础的公共资源,向工业企业提供工业互联网安全评估认证服务,强化工业互联网的公共安全服务水平。
七是给未来工业互联网安全产业发展和创新指明了方向。
亮点:《指导意见》制定了工业互联网安全工作的两个专项行动
一是企业安全防护能力提升行动。旨在通过建设安全技术与标准试验验证环境、组织对重点工业互联网平台实施安全专项检查评估、组织开展工业互联网安全应急演练,大力推广行业应用,并形成工业互联网安全工作的最佳实践。
二是工业互联网安全技术保障能力提升行动。通过三个“推动”,即推动建设工业互联网安全技术保障平台;推动建设工业互联网安全漏洞库、恶意代码病毒库和安全威胁信息库等基础资源库和推动构建工业互联网安全测试验证环境。补齐目前工业互联网领域中的安全短板,构建强有力的国家工业互联网安全技术保障能力。
当前,我国工业互联网建设尚处于起步阶段,工业互联网整体安全水平还不高,安全行业整体还处于起步阶段。《指导意见》对未来我国工业互联网安全的建设进行了顶层设计,规划了一系列保障措施。
当前,我国的工业互联网建设尚处于起步阶段,整体安全水平还不高。此时出台《指导意见》,实际上是对我国工业互联网安全的顶层设计,通过部署未来工信部在工业互联网安全的重点任务,为加快推进工业互联网安全保障体系建设,促进我国工业信息安全健康发展举旗定向。
笔者认为,工业互联网安全是我国推进制造强国和网络强国建设的交叉点,《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》提出了我国工业互联网平台到2020年建设10个左右跨行业、跨领域工业互联网平台;到2025年形成3-5个具有国际竞争力的工业互联网平台;到2035年建成国际领先的工业互联网平台的任务。本《指导意见》起到了细化指导具体工作的作用,确保在新形势下开展工业互联网建设能够守好安全底线。当前,我国工业互联网安全产业规模持续增长,技术创新能力不断增强,但与我国工业互联网安全保障要求相比,还存在产业规模较小、核心技术缺乏等问题,国家和地方都会发挥产业带动作用,加强资金支持和配套,吸引行业资源,助力我国工业互联网安全领域做大做强。
(作者:赛迪智库网络安全研究所工程师 王琎 王闯)