工信部：到2020年底工业互联网安全保障体系初步建立

本篇文章2924字，读完约7分钟

工业和信息化部关于加强工业互联网安全指导意见公开征求意见的公告(征求意见稿)

为贯彻落实《国务院关于深化互联网加先进制造业工业互联网发展的指导意见》，加快工业互联网安全体系建设，工业和信息化部会同有关部门起草了《关于加强工业互联网安全的指导意见》(征求意见稿)。为了保护公众的知情权和参与权，为了从各行各业收集共识和智慧，我们现在正在征求公众意见。请于2019年4月30日前将您的意见或建议通过电子邮件或传真至010-68206187发送至gyhlw409@163。

关于加强工业互联网安全的指导意见(征求意见稿)

各省、自治区、直辖市、计划单列市工业和信息化、通信管理、教育、人力资源和社会保障、生态环境、卫生、国有资产监管、市场监管、能源、国防科技工业等主管部门:

为深入贯彻新时期习近平建设有中国特色社会主义和中国共产党第十九次全国代表大会精神，全面落实《国务院关于深化互联网和先进制造业产业互联网发展的指导意见》(以下简称《指导意见》)的部署要求，加快产业互联网安全体系建设，提升产业互联网安全能力，特制定本指导意见。 推动工业互联网的高质量发展，推动现代经济体系建设，为制造业强国和网络强国战略的实施保驾护航。

一.一般要求

(一)整体思维

深入落实《指导意见》的相关要求，落实企业主体责任和政府监管责任，以设备、控制、网络、平台和数据安全为重点，以完善体制机制、建设技术手段、促进产业发展和加强人才培养为基本内容，构建职责明确、体系健全、技术先进的产业互联网安全体系，覆盖产业互联网规划、建设和运营的全生命周期，形成事前预防、事中监控的格局。

(2)基本原则

建设安全，确保发展。以安全保障发展，以发展促进安全。严格执行《中华人民共和国网络安全法》等国家法律法规的相关要求，坚持发展与安全并重、安全与发展同步规划、同步建设、同步运行的原则。

全面指导，协调推进。做好顶层设计和系统规划，结合本地实际，突出重点，分步实施，加快工业互联网安全体系建设，确保安全工作到位。

分类政策和分级管理。根据行业重要性、企业规模、安全风险程度等因素，对企业进行分类管理，重点引导和监管重要行业和重点企业，提升行业互联网安全能力，巩固企业安全主体责任。

整合与创新，关键突破。根据产业互联网融合发展特点，创新安全管理机制和技术手段，鼓励重点领域技术突破，加快安全可靠产品的创新、推广和应用，有效应对新的安全挑战。

(3)总体目标

到2020年底，工业互联网安全体系将初步建立。在体制机制方面，建立监督检查、信息共享与通报、应急响应等行业互联网安全管理体系，建立企业安全主体责任制，制定至少20项急需的设备、平台、数据等行业互联网安全标准，探索行业互联网安全评估体系建设。在技术手段方面，初步建立了国家工业互联网安全技术支撑平台、基础资源库和安全测试验证环境。在行业发展方面，已在汽车、电子信息、航空空航天、能源等重点领域形成了至少20个创新实用的安全产品和解决方案试点示范，培育了一批具有核心竞争力的工业互联网安全企业。

到2025年，体系和机制健全完善，技术手段和能力明显提高，安全产业形成规模，基本建成相对完整可靠的工业互联网安全体系。

二、主要任务

(1)推动落实行业互联网安全责任

企业依法落实主体责任。工业互联网企业明确了工业互联网安全的责任部门和责任人，建立健全了关键设备和系统平台联网前后的风险评估和安全审计制度，建立了安全事故报告和责任追究机制，加大了安全投入，部署了有效的安全技术保障手段，确保了工业互联网的安全稳定运行。政府履行监督和管理的职责。工业和信息化部组织开展与工业互联网安全相关的政策制定、标准制定等综合工作，并根据职责对装备制造、电子信息和通信等主管行业的工业互联网安全进行行业指导和监管。地方工业和信用主管部门应当指导本行政区域内应用工业互联网的工业企业的安全工作，同时促进安全产业发展；地方通信管理局监督其行政区域内身份识别解析系统和公共工业互联网平台的安全工作，并监测公共互联网上联网设备和系统的安全。生态环境、卫生、能源、国防科技等部门应当按照各自的安全管理职责，对工业互联网在本行业的推广应用进行安全指导和监督。

(2)建设工业互联网安全管理系统

完善安全管理体系。围绕工业互联网安全监督检查、风险评估、数据保护、信息共享与通报、应急响应等，建立健全安全管理体系和工作机制。，并加强对企业的安全监管。建立分类管理机制。建立行业互联网行业分类指导目录和企业分类指标体系，制定行业互联网行业企业分类指导意见，形成重点企业名单，实行差异化管理。建立工业互联网安全标准体系。研究制定工业互联网设备、控制、网络(包括识别分析系统)、平台和数据等关键领域的安全标准，支持专业机构和企业积极参与相关国际标准的制定，加快标准实施。

(3)提高企业工业互联网安全防护水平

捣固设备和控制安全。督促工业企业部署有针对性的防护措施，加强工业生产设备、主机设备、智能终端设备等设备的安全接入和防护，加强控制网络协议、设备和工业软件的安全保障，促进设备制造商、自动化集成商和安全企业的合作，提升设备和控制系统的本质安全。提高网络设施的安全性。引导工业企业和基础电信企业进行网络改造，部署ipv6和5g应用，实施安全标准，开展安全评估，部署安全设施，提升企业内外网安全防护能力。要求鉴定分析系统的建设和运行单位同时加强安全防护技术能力建设，确保鉴定分析系统的安全运行。加强平台安全性。要求工业互联网平台的建设和运营单位按照相关标准进行平台建设，在平台上线前进行安全评估，并部署边缘层、iaas层(云基础设施)、平台层(工业paas)和应用层(工业saas)的安全防护措施。加强工业应用的安全管理。建立和完善工业应用的应用前安全检测机制，加强应用过程中用户信息和数据的安全保护。

第1栏企业安全防护能力提升行动

营造安全技术和标准测试验证环境，加快工业互联网安全相关标准建设，鼓励企业按照标准开展合规性自查，积极推进标准在重点行业和重点领域的推广应用。

加强监督检查，组织实施重点工业互联网平台、工业控制系统、工业应用、微服务组件等专项安全检查和评估。，并督促企业加强安全防护能力建设。

组织开展工业互联网安全应急演练，建立应急机制，提高重大突发事件多方协同应对能力。

在汽车、电子信息、航空空航空航天、能源等关键领域。将开展安全产品和解决方案的试点示范，大力推广工业应用，形成最佳实践。

(4)增强工业互联网数据安全保护能力

增强企业数据安全保护能力。明确数据采集、存储、处理、传输和删除的安全保护要求，引导企业完善R&D设计、工业生产、运行维护管理、平台知识机制和数字模型等数据的防窃取、防篡改和数据备份等安全保护措施，鼓励商业密码在工业互联网数据保护中的应用。建立工业互联网整个产业链的数据安全管理系统。按照行业类别、数据类型和数据值建立行业互联网数据分类管理体系，加强重要行业互联网数据的安全监控和管理，完善重大行业互联网数据泄露事件的触发响应机制。

(5)建设国家工业互联网安全技术手段

构建国家、省、企业三级协同的工业互联网安全技术支撑平台。工业和信息化部制定了建设国家工业互联网安全技术支撑平台的总体规划。工业基础较好的省、自治区、直辖市先行试点省级技术支撑平台建设，支持和鼓励机械制造、电子信息、航空空航天、轻工家电等重点行业企业建设企业级安全平台，加强地方、企业和国家平台的系统对接、数据共享和业务合作。建立工业互联网安全基础资源库。建设工业互联网安全漏洞数据库、恶意代码数据库等基础资源，加强工业互联网安全资源储备。工业互联网安全测试与验证环境的构建。构建全功能的工业互联网安全攻防演练环境，增强识别潜在安全风险、抵御安全威胁和化解安全风险的能力。

第2栏工业互联网安全技术支持能力增强行动

推进工业互联网安全技术支撑平台建设，开展工业互联网平台、设备和系统、企业内外网络等资产探测、安全威胁监测和数据分析。，从政府、企业和专业机构收集安全信息，实现跨部门、跨行业、跨学科的信息共享和预警通报，开展安全事件的应急响应和分析，形成全天候、全方位、多层次的监控和威胁态势感知能力，实现高风险工业互联网。

推进工业互联网资产目录数据库、工业协议数据库、安全漏洞数据库、恶意代码病毒数据库、安全威胁信息数据库等基础资源库建设，为典型行业开发工业互联网安全应急响应和安全事件现场取证工具集，积累基础安全资源。

推进工业互联网安全测试验证环境建设，为机械制造、电子信息、航空空航天、轻工家电等行业搭建工业互联网网络攻防测试验证环境。，实现典型业务的全过程安全模拟，测试和验证各环节存在的网络安全隐患和相应的安全防护方案。

(6)加强工业互联网安全公共服务能力

开展工业互联网安全评估和认证。建立工业互联网设备、网络、平台、工业应用等的安全评估体系。、依靠行业联盟、行业协会等第三方机构不断为工业互联网企业提供安全能力评估服务，推动工业互联网安全评估机构的审核和认证。提高工业互联网的安全服务水平。鼓励和支持专业机构和网络安全企业建设检测评估、安全监控、攻防测试和应急响应等公共服务平台，为机械制造、电子信息、汽车、石化等行业提供安全诊断评估、安全咨询、数据保护、代码检测、安全加固和云防护等服务。鼓励基础电信公司、互联网公司、系统解决方案提供商等。依托专业技术优势，加强与工业互联网企业需求的对接，出口安全服务。

(7)促进产业互联网安全技术创新和产业发展

支持工业互联网安全的科技创新。加大对工业互联网安全技术研发和成果转化的支持力度，加强身份解析系统安全、平台安全、数据安全、5g安全等相关核心技术研究，加强攻击防护、漏洞挖掘、态势感知等安全产品研发。支持公共测试和公共研究等创新方式，聚集社会力量，提高发现隐患的技术能力。支持专业机构、高校和企业联合建设行业互联网安全创新中心和安全实验室。探索利用人工智能、大数据、区块链等新技术提高安全防护水平。在行业发展中促进行业互联网安全。充分利用国家和地方网络安全产业园区(基地)等形式，整合相关产业资源，构建产学研协同创新发展平台，形成产业网络安全对外展示和市场服务能力，培育一批核心技术水平高、市场竞争力强、辐射带动面广的产业网络安全企业。开展试点示范，选择优秀的安全解决方案和最佳实践，加强应用和推广。

第三，保障措施

(一)加强组织领导，完善工作机制。在工业互联网工作组的统一指导下，我们将加强协调与合作，加强部门间、部门与省间的协调与合作，构建责任分明、密切配合、高效运行的工作机制。地方工业和信息化、通信管理、教育、人力资源和社会保障、生态环境、卫生卫生、国有资产监管、市场监管、能源、国防科技工业等主管部门。加强合作，各司其职，各有侧重，形成合力，确保相关工作有序推进。

(二)加大支持力度，优化创新环境。各级主管部门要会同有关部门，优化政府支持机制和方式，加大对工业互联网安全的支持力度，鼓励企业技术创新和安全应用，加快工业互联网安全技术手段建设，促进安全产业集聚发展。

(3)发挥市场作用，凝聚各种力量。充分发挥市场在资源配置中的决定性作用，关注工业互联网企业的安全需求，形成市场需求驱动、政府支持推动的发展态势。我们将整合政府、行业、学术和研究等各种力量，逐步建立涵盖决策研究、公共R&D、标准推广、联盟论坛、人才培训等内容的创新支撑平台。，形成合力，支持工业互联网的安全发展。

(四)加强宣传教育，加快人才培养。进一步推进产教结合、校企合作，建立安全人才联合培养机制，培养复合型、创新型高技能人才。开展工业互联网安全宣传教育，增强企业及相关员工的网络安全意识。进行网络安全演习、安全竞赛等。，培训和选择不同级别的行业互联网安全从业人员。依托国家专业机构，打造技术领先、行业知名的高端产业互联网安全智库。