強化體系化布局 提升工業互聯網安全保障水平
——十部門印發《加強工業互聯網安全工作的指導意見》

◎網信軍民融合編輯部/張輝

工業互聯網是構建工業環境下人、機、物全面互聯的關鍵基礎設施，通過工業互聯網網絡可以實現工業研發、設計、生產、銷售、管理、服務等產業全要素的泛在互聯，對于促進工業數據的開放流動與深度融合、推動工業資源的優化集成與高效配置、支撐工業應用的創新升級與推廣普及具有重要意義。2018年6月，工信部網站公布《工業互聯網發展行動計劃（2018—2020年）》，提出到2020年底初步建成工業互聯網基礎設施和產業體系，并初步構建工業互聯網標識解析體系和安全保障體系。日前，工業和信息化部等十部門聯合印發了《加強工業互聯網安全工作的指導意見》（以下稱“《指導意見》”），為構建工業互聯網安全保障體系指明了方向。

一、《指導意見》出臺的背景和意義

黨中央國務院高度重視工業互聯網發展，習近平總書記明確提出，要深入實施工業互聯網創新發展戰略。《國務院關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》將安全保障與網絡、平臺建設并列為工業互聯網三大體系之一。出臺實施《指導意見》，一是落實黨中央國務院工作部署，加快制造強國和網絡強國建設，強化工業互聯網安全體系化布局；二是有助于提升工業互聯網安全保障水平，應對工業互聯網發展面臨的網絡安全新風險、新挑戰；三是有利于凝聚各方共識，構建協同推進、各司其責的安全工作體系，形成工業互聯網安全保障合力。

為做好《指導意見》編制工作，工業和信息化部會同教育部、人力資源和社會保障部、應急管理部、國務院國有資產監督管理委員會、國家能源局等相關部門系統調研相關企業，廣泛征集產業各方意見，厘清工業互聯網安全職責界面，明確重點任務。《指導意見》出臺后，將為地方主管部門和相關企事業單位開展工業互聯網安全工作提供依據和指導。

二、《指導意見》確定了工業互聯網安全的基本原則，提出了階段發展目標

（一）《指導意見》的總體要求

《指導意見》堅持以習近平新時代中國特色社會主義思想為指導，全面貫徹黨的十九大和十九屆二中、三中全會精神，圍繞制造強國和網絡強國建設，聚焦設備、控制、網絡、平臺、數據安全，落實企業主體責任、政府監管責任，健全制度機制、建設技術手段、加強公共服務能力、促進產業發展、強化人才培育，構建責任清晰、制度健全、技術先進的工業互聯網安全保障體系，全面提升工業互聯網創新發展安全保障能力和服務水平。

《指導意見》提出了四條基本原則：一是筑牢安全，保障發展。以安全保發展，以發展促安全。嚴格落實《中華人民共和國網絡安全法》等法律法規，按照誰運營誰負責、誰主管誰負責的原則，堅持發展與安全并重，安全和發展同步規劃、同步建設、同步運行。二是統籌指導，協同推進。強化統籌協調和系統謀劃，推動產學研用各方形成發展合力，打造國家、地方、行業企業協同聯動的工作格局。三是分類施策，分級管理。堅持分類分級管理的基本思路，強化重點領域、關鍵環節的管理和防護，提升企業綜合防護水平。四是融合創新，重點突破。創新安全管理機制和技術手段，強化工業互聯網安全關鍵核心技術研究，提升產業供給能力。

（二）《指導意見》的主要目標

《指導意見》提出了兩個階段發展目標：

第一個階段發展目標：到2020年底，初步建立工業互聯網安全保障體系。制度機制方面，建立監督檢查、信息共享和通報、應急處置等工業互聯網安全管理制度，構建企業安全主體責任制，制定設備、平臺、數據等至少20項亟需的工業互聯網安全標準，探索構建工業互聯網安全評估體系。技術手段方面，初步建成國家工業互聯網安全技術保障平臺、基礎資源庫和安全測試驗證環境。產業發展方面，在汽車、電子信息、航空航天、能源等重點領域，形成至少20個創新實用的安全產品、解決方案的試點示范，培育若干具有核心競爭力的工業互聯網安全企業。

第二個階段發展目標：到2025年，制度機制健全完善，技術手段能力顯著提升，安全產業形成規模，基本建立起較為完備可靠的工業互聯網安全保障體系。

三、《指導意見》針對工業互聯網安全保障能力提升，確定七大重點方向

為全面提升工業互聯網創新發展安全保障能力和服務水平，《指導意見》提出了7個方面17項重點任務。

（一）推動安全責任落實

1、依法落實企業主體責任。相關企業明確工業互聯網安全責任部門和責任人，建立健全重點設備裝置和系統平臺聯網前后的風險評估、安全審計等制度，建立安全事件報告和問責機制，加大安全投入，部署有效安全技術防護手段，保障工業互聯網安全穩定運行。由網絡安全事件引發的安全生產事故，按照安全生產有關法規進行處置。

2、政府履行監督管理責任。工信部組織開展相關政策制定、標準研制等綜合性工作，并對裝備制造、電子信息及通信等主管行業領域的工業互聯網安全開展行業指導管理。地方工業和信息化主管部門指導本行政區域內應用工業互聯網的工業企業的安全工作；地方通信管理局監管本行政區域內標識解析系統、公共工業互聯網平臺等的安全工作，并在公共互聯網上對聯網設備、系統等進行安全監測。生態環境、衛生健康、能源、國防科技工業等部門根據各自職責，開展本行業領域工業互聯網推廣應用的安全指導、監管工作。

（二）構建安全管理體系

3、健全安全管理制度。圍繞工業互聯網安全監督檢查、風險評估、數據保護、信息共享和通報、應急處置等方面建立健全安全管理制度和工作機制，強化對企業的安全監管。

4、建立分類分級管理機制。建立工業互聯網行業分類指導目錄、企業分級指標體系，制定工業互聯網行業企業分類分級指南，形成重點企業清單，強化逐級負責的政府監管模式，實施差異化管理。

5、建立工業互聯網安全標準體系。推動工業互聯網設備、控制、網絡（含標識解析系統）、平臺、數據等重點領域安全標準的研究制定，建設安全技術與標準試驗驗證環境，支持專業機構、企業積極參與相關國際標準制定，加快標準落地實施。

（三）提升企業安全防護水平

6、夯實設備和控制安全。督促工業企業部署針對性防護措施，加強工業生產、主機、智能終端等設備安全接入和防護，強化控制網絡協議、裝置裝備、工業軟件等安全保障，推動設備制造商、自動化集成商與安全企業加強合作，提升設備和控制系統的本質安全。

7、提升網絡設施安全。指導工業企業、基礎電信企業在網絡化改造及部署IPv6、應用5G的過程中，落實安全標準要求并開展安全評估，部署安全設施，提升企業內外網的安全防護能力。要求標識解析系統的建設運營單位同步加強安全防護技術能力建設，確保標識解析系統的安全運行。

8、強化平臺和工業應用程序（APP）安全。要求工業互聯網平臺的建設、運營單位按照相關標準開展平臺建設，在平臺上線前進行安全評估，針對邊緣層、IaaS層（云基礎設施）、平臺層（工業PaaS）、應用層（工業SaaS）分層部署安全防護措施。建立健全工業APP應用前安全檢測機制，強化應用過程中用戶信息和數據安全保護。

（四）強化工業互聯網數據安全保護能力

9、強化企業數據安全防護能力。明確數據收集、存儲、處理、轉移、刪除等環節安全保護要求，指導企業完善研發設計、工業生產、運維管理、平臺知識機理和數字化模型等數據的防竊密、防篡改和數據備份等安全防護措施，鼓勵商用密碼在工業互聯網數據保護工作中的應用。

10、建立工業互聯網全產業鏈數據安全管理體系。依據工業門類領域、數據類型、數據價值等建立工業互聯網數據分級分類管理制度，開展重要數據出境安全評估和監測，完善重大工業互聯網數據泄露事件觸發響應機制。

（五）建設國家工業互聯網安全技術手段

11、建設國家、省、企業三級協同的工業互聯網安全技術保障平臺。工信部統籌建設國家工業互聯網安全技術保障平臺。工業基礎較好的省、自治區、直轄市先期試點建設省級技術保障平臺。支持鼓勵機械制造、電子信息、航空航天等重點行業企業建設企業級安全平臺，強化地方、企業與國家平臺之間的系統對接、數據共享、業務協作，打造整體態勢感知、信息共享和應急協同能力。

12、建立工業互聯網安全基礎資源庫。建設工業互聯網資產目錄庫、工業協議庫、安全漏洞庫、惡意代碼病毒庫和安全威脅信息庫等基礎資源庫，推動研制面向典型行業工業互聯網安全應急處置、安全事件現場取證等工具集，加強工業互聯網安全資源儲備。

13、建設工業互聯網安全測試驗證環境。搭建面向機械制造、電子信息、航空航天等行業的工業互聯網安全攻防演練環境，測試、驗證各環節存在的網絡安全風險以及相應的安全防護解決方案，提升識別安全隱患、抵御安全威脅、化解安全風險的能力。

（六）加強工業互聯網安全公共服務能力

14、開展工業互聯網安全評估認證。構建工業互聯網設備、網絡、平臺、工業APP等的安全評估體系，依托產業聯盟、行業協會等第三方機構為工業互聯網企業持續開展安全能力評測評估服務，推動工業互聯網安全測評機構的審核認定。

15、提升工業互聯網安全服務水平。鼓勵和支持專業機構、網絡安全企業等提供安全診斷評估、安全咨詢、數據保護、代碼檢查、系統加固、云端防護等服務。鼓勵基礎電信企業、互聯網企業、系統解決方案提供商等依托專業技術優勢，加強與工業互聯網企業的需求對接，輸出安全保障服務。

（七）推動工業互聯網安全科技創新與產業發展

16、支持工業互聯網安全科技創新。加大對工業互聯網安全技術研發和成果轉化的支持力度，強化標識解析系統安全、平臺安全、工業控制系統安全、數據安全、5G安全等相關核心技術研究，加強攻擊防護、漏洞挖掘、態勢感知等安全產品研發。支持通過眾測眾研等創新方式，聚集社會力量，提升漏洞隱患發現技術能力。支持專業機構、高校、企業等聯合建設工業互聯網安全創新中心和安全實驗室。探索利用人工智能、大數據、區塊鏈等新技術提升安全防護水平。

17、促進工業互聯網安全產業發展。充分利用國家和地方網絡安全產業園（基地）等形式，整合相關行業資源，打造產學研用協同創新發展平臺，形成工業互聯網安全對外展示和市場服務能力，培育一批核心技術水平高、市場競爭能力強、輻射帶動范圍廣的工業互聯網安全企業。在汽車、電子信息、航空航天、能源等重點領域開展試點示范，遴選優秀安全解決方案和最佳實踐，并 加強應用推廣。

四、保障工業互聯網安全工作的實施

為了保障工業互聯網安全有關工作任務有效落實，推動安全工作有序高效開展，《指導意見》提出了四個方面的保障措施：一是加強組織領導，強化統籌協調，構建各負其責、緊密結合、運轉高效的工作機制，形成合力。二是優化創新環境，加大支持力度，鼓勵企業技術創新和技術應用，推動安全產業集聚發展。三是發揮市場作用，匯聚產學研用多方力量，形成市場需求牽引、政府支持推動的發展局面。四是加強宣傳教育，提升企業和相關從業人員安全意識，深入推進產教融合、校企合作，加快人才培養。