- 工业互联网安全百问百答
- 工业控制系统安全国家地方联合工程实验室
- 4113字
- 2020-08-27 17:23:10
18 重点部门发布的重要法律法规、文件有哪些?
(1)《工业控制系统信息安全防护指南》
2016年10月,工业和信息化部发布《工业控制系统信息安全防护指南》,明确了安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理、落实责任11项要求,充分体现了国家网络安全法律法规中网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置等内容在工业控制安全领域的要求。
(2)《工业控制系统信息安全事件应急管理工作指南》
2017年5月,工业和信息化部发布《工业控制系统信息安全事件应急管理工作指南》,明确了工业控制安全事件应急工作的组织机构和职责,确定了工业控制安全事件的监测通报、处置流程和具体措施,提出了应急队伍、专家组、物资和经费保障等应急力量和应急资源方面的要求,为应急处置工作提供行动指南。《工业控制系统信息安全事件应急管理工作指南》的研究制定和宣贯落实,与发布的《工业控制系统信息安全防护指南》和《工业控制系统信息安全防护能力评估工作管理办法》共同构建了工业控制安全管理体系。文件中提出的安全要求和管理方法覆盖了工业控制系统规划、设计、建设、运行、维护等全生命周期,为加强工业控制安全管理奠定了坚实基础。
(3)《工业控制系统信息安全防护能力评估工作管理办法》
2017年7月,工业和信息化部发布《工业控制系统信息安全防护能力评估工作管理办法》,明确了评估工作管理涉及管理机构、评估机构、评估人员、评估工具等各要素。从全局出发,面向各类主体,围绕工作需求提出基线标准,加强体系化管理。细化各类基线标准,明确量化指标,提出从受理评估申请、组建评估技术队伍到形成评估报告的一系列评估工作程序,提供具体且可操作的工业控制安全防护能力评估方法。工业控制安全防护能力评估是落实《工业控制系统信息安全防护指南》要求的一项具体工作,是对工业企业工业控制系统规划、设计、建设、运行、维护等全生命周期各阶段开展的安全防护能力综合评价。
(4)《工业控制系统信息安全行动计划(2018—2020年)》
2017年12月,工业和信息化部发布《工业控制系统信息安全行动计划(2018—2020年)》,深入贯彻落实国家安全战略,突出了落实企业主体责任,从提升工业企业工业控制安全防护能力,促进工业信息安全产业发展,加快工业控制安全保障体系建设出发,进一步明确了部门、地方和企业做什么和怎么做,部署了五大能力提升行动,为下一步开展工业控制安全工作提供了依据和指导。
(5)《工业互联网发展行动计划(2018—2020年)》
2018年5月,工业和信息化部发布《工业互联网发展行动计划(2018—2020年)》,明确了在2020年年底初步建立工业互联网安全保障体系,建立健全安全管理制度机制,全面落实企业内网络安全主体责任,制定设备、平台、数据等至少10项相关安全标准,同步推进标识解析系统安全建设,显著提升安全态势感知和综合保障能力的行动目标。
(6)《工业互联网APP培育工程实施方案(2018—2020年)》
2018年4月,为落实《关于深化“互联网+先进制造业”发展工业互联网的指导意见》,推动工业互联网应用生态加速发展,工业和信息化部发布《工业互联网APP培育工程实施方案(2018—2020年)》。
该方案以习近平新时代中国特色社会主义思想为指导,深入贯彻落实党的十九大和十九届二中、三中全会精神,牢固树立新发展理念,围绕制造业提质增效和转型升级实际需求,以企业为主体,以发展和繁荣工业互联网平台应用生态为目标,推动软件技术与工业技术深度融合,工业APP培育与工业互联网平台建设协同推进,着力突破共性关键技术,夯实工业APP发展基础,着力提高工业APP发展质量,提升价值和应用效果,着力构建开放共享和流通交易机制,推动工业APP向工业互联网平台汇聚,形成建平台和用平台双向迭代、互促共进的制造业新生态。
工业互联网APP是基于工业互联网,承载工业知识和经验,满足特定需求的工业应用软件,是工业技术软件化的重要成果。实施工业APP培育工程离不开工业APP安全的部署和落实。
(7)《关于进一步加强核电运行安全管理的指导意见》
2018年5月,国家发展改革委、国家能源局、生态环境部、国防科工局联合发布《关于进一步加强核电运行安全管理的指导意见》。
该指导意见第八条明确规定要加强核电厂网络安全管理。将网络安全纳入核电安全管理体系,加强能力建设,保障核电厂网络安全。其主要包括:开展网络安全能力建设;做好网络等级保护测评;开展网络安全培训及评估工作。
(8)《工业互联网平台建设及推广指南》和《工业互联网平台评价方法》
2018年7月,为落实《关于深化“互联网+先进制造业”发展工业互联网的指导意见》,加快发展工业互联网平台,工业和信息化部印发《工业互联网平台建设及推广指南》(以下简称“《指南》”)。同时,为规范和促进我国工业互联网平台发展,支撑开展工业互联网平台评价与遴选,工业和信息化部印发《工业互联网平台评价方法》(以下简称“《评价方法》”)。
《指南》中第十八条明确规定要完善平台安全保障体系。制定完善工业信息安全管理等政策法规,明确安全防护要求。建设国家工业信息安全综合保障平台,实时分析平台安全态势。强化企业平台安全主体责任,引导平台强化安全防护意识,提升漏洞发现、安全防护和应急处置能力。
《评价方法》的平台应用服务能力部分明确指出要部署安全防护功能模块或组件,建立安全防护机制,确保平台数据、应用安全。平台安全可靠能力部分强调了工业控制系统安全可靠、关键零部件安全可靠、软件应用安全可靠相关内容。
(9)《国家智能制造标准体系建设指南(2018年版)》
2018年8月,为加快推进智能制造发展,指导智能制造标准化工作的开展,工业和信息化部、国家标准化管理委员会共同组织制定了《国家智能制造标准体系建设指南(2018年版)》。
该建设指南按照《国家智能制造标准体系建设指南(2015年版)》中提出的“统筹规划,分类施策,跨界融合,急用先行,立足国情,开放合作”原则,进一步完善智能制造标准体系,全面开展基础共性标准、关键技术标准、行业应用标准研究,加快标准制(修)订,在制造业各个领域全面推广。
该建设指南中建设内容明确了安全标准,主要包括功能安全、信息安全和人因安全三个部分。其中信息安全标准用于保证智能制造领域相关信息系统及其数据不被破坏、更改、泄露,从而确保系统能连续可靠运行,包括软件安全、设备信息安全、网络信息安全、数据安全、信息安全防护及评估等标准。
(10)《关于加强电力行业网络安全工作的指导意见》
2018年9月,国家能源局发布了《关于加强电力行业网络安全工作的指导意见》。该指导意见从电力行业全局的角度指导、推进网络安全工作,围绕进一步落实电力企业网络安全主体责任,完善网络安全监督管理体制机制,加强全方位网络安全管理,强化关键信息基础设施安全保护,加强行业网络安全基础设施建设,加强电力企业数据安全保护,提高网络安全态势感知、预警及应急处置能力,支持网络安全自主创新与安全可控,积极推动电力行业网络安全产业健康发展,推进网络安全军民融合深度发展,加强网络安全人才队伍建设,拓展网络安全国际合作12个方面提出30条具体要求。
(11)《工业互联网综合标准化体系建设指南》
2019年1月,为发挥标准在工业互联网产业生态体系构建中的顶层设计和引领规范作用,推动相关产业转型升级,加快制造强国和网络强国建设步伐,工业和信息化部、国家标准化管理委员会共同组织制定《工业互联网综合标准化体系建设指南》。
该建设指南从工业互联网产业发展实际出发,运用综合标准化的理念和方式,着力构建重点突出、协调配套、科学开放、融合创新的工业互联网标准体系,加快重点领域标准的制定和实施,促进工业互联网产业持续、快速、健康发展。
(12)《信息安全技术 网络安全等级保护基本要求》
2019年5月,国家标准化管理委员会、国家市场监督管理总局联合发布《信息安全技术 网络安全等级保护基本要求》(常简称为“等保2.0”),其扩展了网络安全保护的范围,提高了对关键信息基础设施进行等级保护的要求,并且针对不同保护对象的安全目标、技术特点、应用场景的差异,采用了安全通用要求与安全扩展要求结合的方式,以更好地满足安全保护共性化与个性化要求,提升了等级保护的普适性与可操作性。
同时,对工业控制系统提出了安全扩展要求,以适用工业控制的特有技术和应用场景特点。安全拓展要求主要针对物理环境安全、网络和通信安全、设备和计算安全、安全建设管理和安全运维管理给出了具体的标准。
(13)《水利网络安全管理办法(试行)》
2019年8月,为确保水利信息化规划建设同步落实网络安全等级保护制度,明确运行阶段网络安全责任,强化监督检查和责任追究,有效保障水利网络安全,水利部组织制定了《水利网络安全管理办法(试行)》。
该办法包括总则、网络安全规划建设、网络运行安全、监测预警与应急处置、监督考核与责任追究、附则共6章。办法指出,水利网络安全遵循“积极利用、科学发展、依法管理、确保安全”的方针,建立及时发现漏洞、及时有效处置漏洞和严格责任追究三套机制。
(14)《加强工业互联网安全工作的指导意见》
2019年7月,工业和信息化部、教育部、人力资源和社会保障部、生态环境部、国家卫生健康委员会、应急管理部、国务院国有资产监督管理委员会、国家市场监督管理总局、国家能源局、国家国防科技工业局联合发布了《加强工业互联网安全工作的指导意见》,提出了工业互联网安全工作的指导思想、基本原则、总体目标、主要任务和保障措施,明确了企业的主体责任和政府的监督管理责任,为工业互联网的安全工作提出了具体的要求。
意见指出,到2020年年底,工业互联网安全保障体系初步建立。制度机制方面,建立监督检查、信息共享和通报、应急处置等工业互联网安全管理制度,构建企业安全主体责任制,制定设备、平台、数据等至少20项急需的工业互联网安全标准,探索构建工业互联网安全评估体系;技术手段方面,初步建成国家工业互联网安全技术保障平台、基础资源库和安全测试验证环境;产业发展方面,在汽车、电子信息、航空航天、能源等重点领域,形成至少20个创新实用的安全产品、解决方案的试点示范,培育若干具有核心竞争力的工业互联网安全企业。