《江苏省“十四五”工业信息安全保障体系建设规划》
工业信息安全作为网络安全的重要组成部分,是实施制造强国和网络强国战略的重要前提,关系到国家安全、经济发展和社会稳定。当前,5G、人工智能、大数据、云计算、区块链等新一代信息技术与制造业加速融合,为经济社会发展注入强劲动力的同时,也带来了日趋严峻的工业信息安全挑战,对我省工业信息安全保障体系提出了更新更高要求。“十四五”时期,为加快推进我省工业信息安全保障体系发展,指导未来五年工业信息安全保障体系建设工作,依据《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国数据安全法》《中华人民共和国国民经济和社会发展第十四个五年规划和二〇三五年远景目标纲要》《“十四五”国家网络安全规划》《江苏省国民经济和社会发展第十四个五年规划和二〇三五年远景目标纲要》《江苏省“十四五”网络安全规划》等,制定本规划。
一、“十四五”江苏工业信息安全发展背景
(一)发展基础
“十三五”期间,我省积极贯彻落实国务院《关于深化“互联网+先进制造业”发展工业互联网的指导意见》、工业和信息化部等十部门《加强工业互联网安全工作的指导意见》、工业和信息化部《工业控制系统信息安全行动计划(2018-2020年)》等重要文件要求,以提升工业信息安全保障能力为目标,以保障设备、控制、网络、平台、数据等关键要素安全为重点,建机制、建制度、建标准、建平台、建队伍,推动落实企业主体责任和政府监管责任,增强企业安全防护能力,着力提高工业信息安全态势感知、信息共享、应急处置等公共服务能力,持续促进工业信息安全产业创新发展,工业信息安全保障体系建设初具成效。
——工业信息安全制度建设稳步推进。一是会同省通信管理局、发改委等十部门制定并在全国范围内率先发布《关于加强工业互联网安全工作的实施意见》,为我省加强工业互联网安全保障提供实施依据。二是印发《全省信息化和工业信息安全工作要点》《江苏省工业信息安全事件应急管理指南》《江苏省工业信息安全信息共享与报送通报指南》等政策文件,为我省开展工业信息安全工作提供指导。三是推进政府间、政企间以及企业内部的制度建设。加强与省委网信办、公安厅及通管局的协同联动,与省通管局建立联合推进工业互联网安全工作的合作机制,同时,通过工业信息安全星级防护企业培育工作,积极指导557家企业建立了内部工业信息安全管理机制。
——工业信息安全技术支撑能力持续增强。一是重点推进省级“一网一池一平台”(省级工业信息安全态势感知网络、工业互联网安全服务资源池、工业安全信息共享与应急服务协同保障平台)建设,基本建成省级工业安全信息共享与应急服务协同保障平台、省级工业互联网安全态势感知平台(Ⅰ期工程),初步具备对全省低防护联网工业控制系统与工业互联网平台的安全监测能力。二是持续完善工业互联网安全服务资源池,初步汇聚全省工业互联网资产信息、工业协议、威胁信息、安全漏洞与恶意代码、应急处置措施等数据资源,为省市工业和信息化部门及企业提供基础支撑服务。三是支持建设行业平台和基础共性技术平台,组织企业、安全机构建立轨道交通和电力行业工业控制系统安全实验平台、工业互联网安全基础共性技术平台,提升工业信息安全保障技术能力。
——工业信息安全服务基础进一步夯实。一是遴选19家省级工业信息安全服务支撑队伍,服务能力涵盖信息安全风险评估、检测评估和应急处置,同时联合国家电子标准化院建立起一支由2家核验机构和4家咨询机构组成的,全国最大的国家级工控安全贯标服务队伍,工业信息安全服务支撑力量持续壮大。二是成立省网络与信息安全产业联盟,为工业信息安全服务支撑机构和工业企业、工业互联网平台企业搭建桥梁,联盟首批吸纳了64家重点企业。三是积极举办工业信息安全技术技能大赛、攻防对抗赛、工控安全深度行、工业信息安全高峰论坛等活动,提升工业信息安全技术服务水平。四是举办工业信息安全专题培训,在重点工业企业开展工业信息安全应急演练,提升企业安全服务保障人员应急响应能力,全省各级工业和信息化部门及重点企业负责人年度参训超500人次。
——工业信息安全产业发展能力不断提升。一是加快推进工业信息安全关键技术攻关,支持在电力、电子等重点行业领域开展态势感知、仿真平台等关键技术攻关。二是在省级工业和信息产业转型升级专项资金中将工业信息安全列为重点支持方向,支持重点企业围绕企业侧态势感知、应急演练、安全培训等方向,形成了一批重点平台、重点产品和优秀解决方案。三是建设长三角网络安全产业园等区域载体,推进建设长三角城市网络安全运营中心,为长三角地区工业信息安全产业聚集提供支持,促进安全产业在南京、苏州等地集聚发展。
但我们也应清醒认识到,江苏工业信息安全保障还面临着一些短板和痛点:工业信息安全公共基础设施建设滞后于两化融合发展速度,孤立的碎片化的安全系统建设模式已不能满足融合发展要求,工业信息安全保障“底座不稳”;工业信息安全产业散且不强,缺乏领军企业、龙头企业,产业尚未形成集聚效应;同时,传统网络安全产业对工业领域支撑能力不足;部分企业仍然存在“重IT建设、轻信息安全”的情况,信息安全意识欠缺、投入不足,网络与信息安全保障缺乏系统性设计,面临较为严峻的安全威胁;工业信息安全人才缺口严重。
(二)发展趋势
当前,工业信息安全形势严峻,工业控制系统和平台安全隐患日趋突出,工业信息安全保障工作面临着巨大的挑战与机遇。
——工业领域的网络攻击呈高发态势。制造、能源、交通等行业领域成为重要攻击目标,勒索病毒、高级持续性威胁(APT)攻击等严重影响工业企业的正常生产运营。以重要工业控制系统和设备为目标的国家间网络对抗博弈越发复杂多变,严重威胁国家安全。
——工业信息安全风险暴露面快速扩大。工业数字化转型推动工业企业生产服务模式转变,“上云”“上平台”的工业设备规模大幅增长,在推动制造业高质量发展的同时,打破了传统工业相对封闭的制造环境,使传统网络安全威胁渗透至工业领域。同时,由于部分工业企业安全防护措施不到位,暴露在互联网上的工业控制系统数量显著增多,安全风险增加,保障难度陡增。
——工业领域供应链安全风险突出。当前,我国重点行业关键工业控制设备和系统对外依存度高,关键技术产品面临“断供”风险,同时安全漏洞、开源风险、后门、暗功能等安全隐患突出。如近年来,工业控制系统安全漏洞数量高速增长,高危漏洞占比居高不下,漏洞类型多样,分布范围广泛,基本涵盖主流设备厂商。
——政策驱动工业信息安全保障能力提升。为应对日益严峻的工业信息安全态势,党中央、国务院高度重视工业信息安全工作,围绕工业控制系统安全、工业互联网安全、工业大数据安全防护等密集出台相关政策文件,关键领域的标准研制和应用推广步伐加快,引导各地区、各行业落实相关防护要求,全面加强工业信息安全保障。
——工业数字化转型推动安全防护技术创新。工业数字化转型伴随着一系列亟待解决的安全问题,使安全需求激增,推动安全投入不断增加,安全防护技术持续创新优化,安全防护产品和服务逐步丰富。同时,随着大数据、人工智能等新技术与工业信息安全防护技术的融合应用,将有助于提高未知威胁检测、智能化防御、安全态势预测等安全防护能力。
——自主可控战略促进安全产品供给能力提升。国家将关键技术的自主可控作为重大战略方向,明确提出要坚持自主可控、安全高效,加速制造、能源等关键信息基础设施领域国产化替代进程,促进关键工业控制设备和系统的安全性能提升,推动具备内嵌安全功能的设备产品研发与应用,从根本上降低安全漏洞、后门等带来的风险。
随着江苏企业数字化转型进程不断提速,工业互联网安全和工控系统安全已成为全面实施制造强省、网络强省战略的重要基础支撑,全省工业领域信息安全保障体系建设亟待加强。江苏是制造业大省、软件与信息服务业大省,网络与信息安全人才较为丰富,信息安全产业基础支撑能力较强,为江苏工业信息安全创新发展奠定了较好基础。
二、江苏“十四五”工业信息安全建设的总体要求
(一)指导思想
以习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想为指导,全面贯彻党的十九大和十九届二中、三中、四中、五中全会精神以及习近平总书记关于网络安全和信息化系列重要讲话精神,深入落实习近平总书记视察江苏重要讲话精神,紧紧围绕“五位一体”总体布局和“四个全面”战略布局,按照制造强国、网络强国以及网络空间安全战略部署要求,全面落实《关于深化“互联网+先进制造业”发展工业互联网的指导意见》、《加强工业互联网安全工作的指导意见》和《工业互联网创新发展行动计划(2021-2023年)》等重要文件要求,以提升江苏省工业信息安全保障水平为目标,强化工业信息安全基础设施效能,做强工业信息安全产业,健全工业信息安全管理体系,提升工业企业和工业互联网平台企业安全防护水平,完善工业信息安全服务体系,在工业信息安全保障上“争当表率、争做示范、走在前列”,为制造强省、网络强省建设提供有力支撑。
(二)基本原则
加强统筹,夯实责任。形成统一部署、共享信息、协同处置的工业信息安全管理局面,落实企业主体责任和政府部门监督管理责任,确保安全工作落实到位。
均衡协调,精准施策。准确把握不同行业特征和地区发展基础,结合企业规模、安全风险等因素,对企业实施分类分级管理,协同推进企业信息安全保障能力和水平提升。
积极防御,综合防范。加强工业信息安全态势感知网络与服务体系建设。强化部门、区域和行业间合作,加快形成政企协同、多方联动的技术支撑能力,协同推进工业信息安全保障体系建设。
创新驱动,重点突破。实施创新驱动战略,鼓励开发新技术、新产品,培育新业态、新模式。以科技重大专项及重大工程为抓手,加大研发投入,着力攻克一批重点领域核心技术。
(三)目标定位
到2025年,全省工业信息安全保障体系基本建成,重要工控系统、重点工业互联网平台信息安全防护能力明显增强,全省工业信息安全管理、技术保障及公共服务能力水平显著增强。
具体表现为:
建立健全政策规划和标准制度。完善工业信息安全风险评估、信息共享和通报、应急处置等制度规范,建立工业信息安全检查评估、数据保护、分类分级等工作机制,强化政策、制度和机制落实。
全面建成工业信息安全基础平台。建成“一网一池一平台”,大幅提升工业信息安全监测能力,实现平台间数据有序共享,建成轨道交通、电力能源、石油化工等重点行业平台和基础共性技术平台,重点行业企业侧风险监测与安全管理平台覆盖率超过50%。
大幅提升网络安全服务能力。工业信息安全服务支撑队伍规模达50家,加入网络与信息安全产业联盟的重点企业达到300家,检测评估、安全咨询、技术服务等服务能力不断增强。每年常态化开展多层次、多元化安全培训、应急演练和技能大赛,参加应急演练和工业信息安全培训规模累计达到10000人次。
推动企业网络安全防护走在全国前列。培育工业信息安全防护星级企业超过500家。重点工业企业和工业互联网平台企业基本建立实施安全管理体系和内部管控制度,工业互联网企业网络安全分类分级试点工作全面完成,实施网络安全分类分级管理的重点工业互联网企业达到200家。
建设工业信息安全产业发展高地。培育形成5家营收超过10亿元的网络与信息安全行业领军企业、20家行业细分领域标杆企业,全省网络安全相关产业规模力争翻一番。打造一批在国内具有一定影响力的工业信息安全企业、信息安全产业基地和工业信息安全应用示范基地,建设一批重点实验室、企业研发中心,吸引一批工业信息安全人才,成为全国网络安全产业发展新高地。工业信息安全核心技术取得重大突破,工业控制系统、实时数据库等核心软硬件国产化率持续上升。
三、工业信息安全建设重点任务
提升工业信息安全基础设施建设效能,优化工业信息安全产业生态,健全工业信息安全管理体系,提升企业安全防护能力水平,完善工业信息安全服务体系。大力提升全省工业信息安全基础设施建设、技术保障能力及安全管理服务水平。
(一)提升安全基础设施建设效能
联合省通信管理局共同完善省级工业信息安全态势感知网络,建立工业信息安全服务资源池,建设省级工业安全信息共享与应急服务协同保障平台,打造江苏省工业信息安全“一网一池一平台”公共服务基础设施,支持建设工业互联网安全基础共性技术平台和重点行业工业互联网安全平台,构建工业信息安全保障基础底座。
建成省级工业信息安全态势感知网络。建设完善省级工业信息安全保障总平台、国家工业互联网安全技术保障平台江苏分平台和重点行业安全技术服务平台,加强平台间数据互通与信息共享,构建省级工业信息安全态势感知网络。落实工业和信息化部《省级工业互联网安全监测与态势感知平台建设指南》相关技术要求,持续完善主动监测、威胁感知、被动诱捕、企业运行监测、数据融合分析等技术手段,实现对全省联网工业控制设备与系统、工业互联网平台、工业企业运行状态、风险隐患的实时感知、分析研判和精准决策。将我省态势感知资源纳入国家工业信息安全保障网络,与国家平台实现系统对接、数据共享、业务协同,形成系统化态势感知能力。通过建立长三角工业信息安全协同管控机制,实现跨区域重大工业信息安全态势感知信息共享,推动长三角工业信息安全联动保障体系建设。
建立工业信息安全服务资源池。建立省级工业信息安全服务资源池,汇聚全省工业企业和工业互联网平台企业资产信息、工业协议、威胁信息、安全漏洞与恶意代码、信息安全等工业数据资源及各类服务商资源,支撑省级平台开展威胁情报关联分析、资产分析、漏洞分析、综合态势分析等多维度研判,为省、市主管部门及重点企业的信息共享和多级联动提供更高质、更有效服务支撑。组织省内企业加强技术攻关和产品研发,围绕典型工业行业信息安全态势感知、监测预警、安全防护、应急处置、审计取证等,研制一批技术工具,丰富工业信息安全技术资源储备。
建设省级工业安全信息共享与应急服务协同保障平台。建设省市县三级,覆盖重点工业企业、重点工业互联网平台企业、重点工业信息安全支撑服务机构的省级工业互联网安全信息共享与应急服务协同保障平台,汇聚不同行业、不同地区、不同类型的安全信息,开展跨部门、跨地区、跨行业安全信息共享,建立漏洞风险、威胁信息、处置方案等安全信息的共享机制,完善省、市、县重点工业企业信息安全突发事件应急预案及演练制度,形成多方联动、快速响应的信息通报预警与应急处置体系。
建设工业互联网安全基础共性技术平台。支持重点企业、科研院所、技术机构面向轨道交通、电力能源、石油化工、机械制造、电子信息、航空航天等行业领域,建设省级工业信息安全攻防演练、测试验证等共性技术平台,依托平台开展工业互联网安全攻防演练、安全风险及安全解决方案的测试验证,进一步提升识别安全隐患、防范安全威胁、化解安全风险的能力。支持重点城市加快“5G+工业互联网”安全大脑建设。
建设重点行业工业互联网安全平台。支持轨道交通、机械制造、电子信息、航空、电力、化工等重点行业企业搭建行业级、企业级安全平台,实现对重点行业和企业安全风险的实时监测和研判预警,加强行业级、企业级平台与省级平台的系统对接和数据共享和业务协同,形成上下贯通、政企协同的整体安全监测网络,提升重点行业安全态势感知和应急处置能力。支持建设集在线监测、漏洞检测、入侵检测、多层防御、态势感知和大数据分析于一体的车联网安全监测平台,提升安全保障服务能力。
专栏1 工业信息安全基础设施效能提升工程 |
加快工业信息安全态势感知平台向企业侧推进,扩大省级平台监测范围,继续完善省级平台各项功能,升级基础电信企业监测系统。加快省级平台与国家平台的深度对接,打通国家平台、省级平台、行业级平台和企业级平台,实现各级平台资源共享,提升安全风险监测分析、综合研判预警、事件协同处置水平,促进工业信息安全基础设施发挥实效。建设完善工业信息安全公共服务平台功能,为工业企业提供优质高效的安全服务。 |
(二)优化工业信息安全产业生态
突破工业信息安全关键技术,提升新基建网络安全防护能力,创新工业信息安全服务模式,推广工业信息安全技术应用,加强网络安全供给创新突破,推进“强链”“补链”,培育龙头企业,孵化细分赛道特色企业,创建信息安全产业基地,鼓励产业全链、积聚、合作发展,构建“需求对接、业务关联、市场融合、经营协同”的工业信息安全产业发展生态。
突破工业信息安全关键技术。以构建先进完备的网络与信息安全产品体系和保障新基建网络安全为目标,围绕安全防护、监测、处置、取证等环节,着力突破资产测绘、智能监测预警、威胁分析、入侵防御、漏洞发现、病毒查杀、边界防护、源码检测、数据保护等关键信息安全技术,加快提升隐患排查、态势感知、应急处置和追踪溯源能力。加强我省新基建的网络安全布局和顶层设计,做好与新基建的同步衔接工作,加速推进各融合领域安全技术研究,构建融合应用安全防护架构。积极探索云计算、大数据、人工智能、量子计算等新技术及拟态防御、可信计算、零信任安全等网络安全新理念、新架构在工业互联网场景下的应用,为安全赋能,建立自动化、智能化、自适应的安全防御体系,构建自主可控可靠的安全体系架构,提升核心技术和部件自主研发供给能力。
专栏2 新技术应用提升工业信息安全保障能力 |
运用人工智能技术赋能工业信息安全威胁检测、态势感知、应急响应、辅助决策分析。运用区块链技术保障工业互联网数据安全、实现工业互联网可信共享协作、支撑工业互联网监管审计、促进工业互联网安全事件联动响应、提升工业互联网攻击恢复能力、结合国产密码保障核心技术安全等。基于可信计算技术构建工业信息安全防护体系,增强工业设备、主机、网络、应用抵抗未知威胁的能力。运用拟态防御、零信任安全等解决工业互联网信息安全保障痛点问题。与新基建同步衔接,加速推进各融合领域安全技术研究,构建自主可控可靠的安全体系架构。 |
创新工业信息安全服务模式。倡导“安全即服务”的理念,鼓励信息安全企业由提供安全产品向提供安全服务和解决方案转变。支持信息安全企业及技术服务机构开展网络与信息安全规划咨询、威胁情报、风险评估、检测认证、安全集成、应急响应等安全服务。大力发展基于云模式的网络与信息安全公共服务平台,提供远程实时的漏洞发现、网站防护、抗拒绝服务攻击、域名安全等服务。集中基础运营商、大型互联网企业、安全企业等优势基础资源,鼓励对外赋能,面向企业提供网络安全监测预警、攻击防护、应急保障等增值服务,为各行业、各应用场景的新型基础设施安全保驾护航。鼓励发展面向工业互联网领域的网络安全一体化运营外包服务。
推广工业信息安全技术应用。推动工业领域信息技术应用创新,鼓励工业企业和工业互联网平台企业应用符合国家要求的信息技术产品和服务;推广工业领域国产商用密码技术应用,支持工业领域密码应用的技术攻关、产品研发、应用示范、检测认证,加快密码应用核心技术突破和标准研制,推进符合国家要求的密码技术产品在工业信息安全保障中的应用,支持智能网联与车路协同中的安全可靠密码研究与应用;推动工业信息安全技术成果转化应用,整合重点行业、重点地区资源,建设政产学研用资协同的工业信息安全创新成果转化平台;推广工业信息安全最佳实践,组织开展安全可靠网络信息安全产品和服务在工业企业、工业互联网领域的应用试点示范,创建一批工业信息安全应用示范基地。
提升网络安全产品服务供给能力。强化协同创新,鼓励重点网络安全企业和工业企业围绕可编程逻辑控制器(PLC)、数据采集与监视控制系统(SCADA)、远程信息处理器(T-BOX)等重点领域关键核心技术进行联合攻关,打造具备内嵌安全功能的设备产品。优化服务供给,支持云服务企业、网络安全企业在重点城市联合建设安全运营服务中心,落实《工业互联网创新发展行动计划(2021-2023年)》,实施中小企业“安全上云”工程。面向装备、电子信息等重点行业,支持工业龙头企业建设一批具有广泛影响力的安全公共服务平台。针对流程工业、离散工业差异化特点,加快形成重点行业优秀安全解决方案和供应商目录,实现供需精准对接。
专栏3 中小企业“安全上云”工程 |
依据《云计算服务安全指南》《云计算服务安全能力要求》等国家标准,遴选培育云平台和云计算服务商,引导专业云平台加强云计算安全专业化服务队伍建设,保障中小企业“上云”信息安全。分类实施中小企业基础设施、业务应用、平台系统“安全上云”。制定服务标准、规范服务流程、有序准入推出,形成有效支撑我省中小企业“安全上云”的服务体系。 |
专栏4 工业信息安全产业培育工程 |
以工业企业、工业互联网平台企业、信息安全企业为主体,搭建企业协同合作平台,培育工业信息安全技术创新和应用生态。引导工业企业和工业互联网平台企业提升自身信息安全保障能力,将信息安全保障能力内生嵌入到企业运营管理过程中,强化安全风险监测、预警、共享与应对。支持信息安全企业加强工业信息安全关键技术研发,建立工业信息安全闭环服务能力,引导安全服务向云化和平台化方向发展。 |
(三)健全工业信息安全管理体系
完善工业信息安全管理制度,压实各方工业信息安全责任,强化工业信息安全应急处置,推进工业信息安全标准实施,构建“制度健全、责任明确、督导有力”的工业信息安全管理体系。
完善工业信息安全管理制度。联合省通信管理局共同完善工业信息安全保障体系,建立健全涵盖监督检查、态势感知、风险评估、信息共享和通报、应急处置、数据保护、安全服务等各环节的工业信息安全闭环管理机制,建立江苏省重点联网工业企业清单和重要数据保护目录,强化对工业企业、工业互联网平台企业及相关机构的安全指导,编制重点行业工业互联网防护指南,以评估测评为手段,引导督促企业建立安全管理体系和内部管控制度,加强供应链安全管理。
压实各方工业信息安全责任。压紧企业工业信息安全主体责任,联合省通信管理局实施工业互联网企业网络安全分类分级管理制度,分领域、分场景指导企业落实安全防护工作,不断健全网络安全保障体系;省内工业企业和工业互联网平台企业依法建立工业信息安全责任制,设立网络安全专门机构和专职管理人员,建立企业内部网络安全责任制实施办法或细则,建立安全事件报告和问责机制,持续加大安全投入,落实技术改造等专项经费,部署有效安全技术防护手段,保障企业工业信息安全。政府履行指导监督管理责任,依据《江苏省加强工业互联网安全工作的实施意见》,省工业和信息化厅负责统筹推进省级工业信息安全保障体系建设,联合省应急管理厅强化工业互联网在安全生产监管中的作用。省通信管理局负责监管本省标识解析系统以及对社会提供公共服务的工业互联网平台的安全。省发展和改革委、生态环境厅、卫生健康委等部门根据各自职责,开展本行业领域工业互联网推广应用的安全指导、监管工作。各设区市相关部门对照省级部门职责分工负责本辖区内工业信息安全工作。
专栏5 推动工业互联网企业网络安全分类分级 |
依据国家工业互联网企业网络安全分类分级要求,建立符合我省实际的分类分级管理制度机制,制定江苏省重点企业清单,推动重点企业开展分类分级,组织工业互联网企业开展自主定级,组织第三方专业服务机构开展定级核查,根据网络安全分类分级防护系列规范,指导工业互联网企业落实与自身等级相适应的安全防护措施,落实企业网络安全主体责任,实施差异化、精准化管理,形成一批工业互联网网络安全典型解决方案,选拔一批优秀示范企业,培育一批专业服务机构。 |
强化工业信息安全应急处置。联合省通信管理局共同构建统一指挥、专常兼备、反应灵敏、上下联动的工业信息安全应急管理机制,确保对突发工业信息安全事件快速反应、有效处置。指导重点工业企业、工业互联网企业通过完成应急预案编制、开展应急演练、组织应急培训等专项任务,提升应急处置与恢复能力,确保在事件发生时能尽快恢复现场工业控制设备、系统、网络、工业互联网平台,工业软件等正常运行,防止重要数据丢失,并基于对事件数据收集与分析,及时更新优化防护措施,形成持续改进的防御闭环。
推进工业信息安全标准实施。组织省内企业和技术机构积极参与标准制定和标准化活动,加强工业信息安全关键技术标准研究,支持省内企业及技术机构主导制定相关团体标准、行业标准、国家标准和国际标准,在工业互联网设备、控制、网络(含标识解析系统)、平台、数据等重点领域组织开展标准化验证,推动相关安全标准的先行先试。
专栏6 推进工业信息安全标准化建设 |
加强工业信息安全标准体系顶层设计,确保工业信息安全标准规范随工业信息安全技术与产业发展而动态调整与完善。加强标准规范研究与制定,组织专业机构、重点企业开展工业互联网设备、控制、网络(含标识解析系统)、平台、数据等重点领域安全标准的研制和标准化验证。强化标准宣贯,鼓励工业企业和工业互联网平台企业应用符合安全可靠要求的信息技术产品和服务。 |
(四)提升企业安全防护能力水平
重点打造工业企业和工业互联网平台企业四大能力:设备和系统安全防护能力、网络和应用安全防护能力、工业数据安全保护保护能力、企业信息安全监测感知能力,提升企业网络与信息安全保障水平。
夯实设备和系统安全防护能力。建立定期巡查机制,对不符合信息安全要求的企业进行通报、督促整改。推动工业企业进一步落实《工业控制系统安全防护指南》相关要求,部署针对性防护措施,加强工业生产、主机、智能终端等设备安全接入和边界安全防护,强化控制网络、装置装备、工业软件等安全保障。鼓励安全企业与设备制造商、自动化系统集成商开展合作,加强工业控制系统信息安全解决方案的应用推广。
强化平台和网络安全防护能力。联合省通信管理局建立日常检测评估制度,明确省内工业互联网平台建设运营单位应落实的标准要求,定期对工业互联网平台和工业APP进行安全检测评估,将安全性作为评价工业互联网平台和工业APP的重要指标。明确省内工业企业、基础电信企业在数字化改造及部署IPv6、应用5G过程中的安全标准要求、安全测试评估要求及安全设施部署要求,保障“5G+工业互联网”安全,提升企业内外网的安全防护能力。明确标识解析系统建设运营单位的信息安全防护能力要求,确保标识解析系统安全运行。
专栏7 工业互联网内生安全再造工程 |
立足我国信息技术产业链完整性和安全性需求,以信息技术领域关键核心技术、“卡脖子”技术攻关为导向,同步规划设计工业互联网软硬件系统中的内生安全机制、策略、接口、资源等,同步推动生产设备、控制系统等工业互联网信息系统与安全系统聚合,工业互联网数据与安全数据聚合,打造形成工业互联网系统自适应安全能力和自主安全能力。 |
专栏8 工业数据安全保障工程 |
将数据全生命周期安全保护纳入工业互联网大数据分中心建设、运营与管理的全过程。建立“省市纵向联动、部门横向协同”的工业数据重大安全事件触发响应机制,深入推进工业数据分类分级工作,将工业数据安全作为工业信息安全态势感知的重要内容,强化覆盖需求分析、研发设计、生产制造、营销服务等各环节的全产业链、全供应链、全生命周期的工业数据安全监测与保护。 |
提升企业信息安全监测感知能力。鼓励支持重点企业建设集约化信息安全态势感知和综合防护系统,通过对工业现场网络及工业互联网平台中各类数据的采集,汇聚SCADA、MES、ERP等工业控制系统及应用系统的关键数据,基于对关键数据的提取、筛选、分类、排序等处理,开展横向大数据分析和多维分关联分析,及时发现网络与系统异常状态,实现对工业企业和工业互联网企业网络运行规律、异常情况、安全状况、重大风险等的整体感知。
(五)完善工业信息安全服务体系
提升工业信息安全服务水平,开展工业信息安全测试评估,壮大工业信息安全服务人才队伍,加强工业信息安全宣传教育,打造“服务规范、能力突出、响应及时”的工业信息安全服务体系。
提升工业信息安全服务水平。持续推进工业信息安全服务支撑机构的年度遴选认定工作,支持支撑机构提升诊断评估、数据保护、代码检查、系统加固、云端防护、密码应用安全性评估及安全咨询等方面的服务质量。组织工业企业、工业互联网企业与安全企业、基础电信企业、互联网企业、系统解决方案提供商等进行需求对接。发挥网络安全公共服务平台作用,持续为企业提供漏洞发现、网站防护、抗拒绝服务攻击、域名安全等服务。
开展工业信息安全测试评估。加强工业信息安全测试评估,支持工业信息安全测评机构提升工业控制系统、5G+工业互联网、新基建网络与信息安全测试评估能力,编制行业工业信息安全防护指南,围绕工业控制系统及工业互联网规划、设计、建设、运行、维护等全生命周期各阶段开展安全防护能力成熟度评估,指导督促省内企业做好工业信息安全防护工作。
培育工业信息安全人才队伍。加快实施工业信息安全人才工程,加快培养、引进一批工业信息安全领军人才。建立工业信息安全专家人才资源库。深入推进产教融合、校企合作,建立安全人才联合培养机制,加强工业互联网创新实践平台建设,大力培养复合型、创新型高技能人才。充分发挥企业在工业信息安全保障体系中的主力军作用,在重点工业企业和工业互联网平台企业推行工业信息安全官制度,形成直接定位到工业信息安全具体负责人的工业信息安全官队伍。
加强工业信息安全宣传教育。举办网络安全宣传周工业信息安全专题活动,鼓励相关联盟协会开展知识讲座、技能培训等宣传教育活动,面向企业全面普及工业信息安全知识与技能。通过组织开展攻防演练、技能竞赛等重大活动,拓宽工业信息安全专业人才发现、培养、选拔渠道。
专栏9 工业信息安全人才教育培训工程 |
按照分级管理、分类实施、全员覆盖、突出重点的原则,开展对各类工业信息安全人才的规划、系统化教育培训。实施工业信息安全工程师培养计划,重点培养创新型、应用型、复合型工业信息安全人才。依托科研院所、高等院校和大型企业,建设一批工业互联网英才培养基地。支持建立国家级工业信息安全综合实训基地和应急培训基地,有序推进重点行业工业信息安全培训和实训基地建设。 |
四、强化规划实施的保障
(一)强化组织协同,压实安全责任
立足制造强国、网络强国战略要求,充分认识工业信息安全保障的重要意义,加强组织领导和统筹谋划,突出“省-市-县(区)”三级联动、“部门间”支撑互动、“政府部门-重点企业-服务机构”三方协同,强化部门间的联络对接,加大监管和评估力度,建立覆盖重点工业企业和工业互联网平台企业的工业信息安全官队伍,贯彻落实《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国数据安全法》等法律法规,压实工业信息安全保障各方责任,确保工业信息安全保障体系建设各项工作顺利实施。
(二)完善政策配套,加大资金支持
发挥政府资金引导作用,在省工业和信息产业转型升级专项资金中,重点支持工业信息安全关键核心技术(装备)攻关、工业信息安全基础设施建设、产业链构建、重大应用示范、优秀解决方案、标准规范制定和公共服务平台建设、工业信息安全龙头骨干企业培育等项目。加大政府购买服务力度,创新工业信息安全投融资机制,实施有利于商业运作、持续运营的政策。综合运用财政、税收、金融等手段和渠道,推动有条件的产业园区建设示范基地、创新基地,促进网络安全产业集聚发展。
(三)拓展培养渠道,加大人才供给
鼓励高校、科研院所与企业合作建立工业互联网安全人才培养机制与平台,鼓励企业技术专家到高校授课、在校学生入企业实习实训,以项目合作、科研成果转化活动为依托,丰富人才培养形式。探索建立适合工业信息安全行业特点的人事制度和薪酬制度,汇聚更多优秀的工业信息安全人才。打造省级工业信息安全专家智库及团队,实施高端人才培养工程,大力引进一批高端复合型和急需紧缺工业信息安全人才。围绕网络空间安全、工业控制安全、新技术应用等领域,充分利用我省高校、科研院所资源优势,支持创建一流学院和一级学科,加快复合型工业信息安全人才培养,增大网络与信息安全人才供给。
(四)集聚多方资源,营造良好环境
充分发挥协会、联盟等第三方机构的作用,支持第三方机构运用自身优势,组织开展技术研发、技能竞赛、培训宣贯、标准推广、公共服务、国际合作等,加强各方沟通,促进技术交流,形成政产学研用高效联动的发展环境。充分利用新媒体等手段,多种形式、多个渠道进行宣传引导,提高企业、科研机构、公众等各类群体的工业信息安全意识,为工业信息安全保障各项工作的顺利开展提供支持。