强化体系化布局 提升工业互联网安全保障水平
——十部门印发《加强工业互联网安全工作的指导意见》

◎网信军民融合编辑部/张辉

工业互联网是构建工业环境下人、机、物全面互联的关键基础设施，通过工业互联网网络可以实现工业研发、设计、生产、销售、管理、服务等产业全要素的泛在互联，对于促进工业数据的开放流动与深度融合、推动工业资源的优化集成与高效配置、支撑工业应用的创新升级与推广普及具有重要意义。2018年6月，工信部网站公布《工业互联网发展行动计划（2018—2020年）》，提出到2020年底初步建成工业互联网基础设施和产业体系，并初步构建工业互联网标识解析体系和安全保障体系。日前，工业和信息化部等十部门联合印发了《加强工业互联网安全工作的指导意见》（以下称“《指导意见》”），为构建工业互联网安全保障体系指明了方向。

一、《指导意见》出台的背景和意义

党中央国务院高度重视工业互联网发展，习近平总书记明确提出，要深入实施工业互联网创新发展战略。《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》将安全保障与网络、平台建设并列为工业互联网三大体系之一。出台实施《指导意见》，一是落实党中央国务院工作部署，加快制造强国和网络强国建设，强化工业互联网安全体系化布局；二是有助于提升工业互联网安全保障水平，应对工业互联网发展面临的网络安全新风险、新挑战；三是有利于凝聚各方共识，构建协同推进、各司其责的安全工作体系，形成工业互联网安全保障合力。

为做好《指导意见》编制工作，工业和信息化部会同教育部、人力资源和社会保障部、应急管理部、国务院国有资产监督管理委员会、国家能源局等相关部门系统调研相关企业，广泛征集产业各方意见，厘清工业互联网安全职责界面，明确重点任务。《指导意见》出台后，将为地方主管部门和相关企事业单位开展工业互联网安全工作提供依据和指导。

二、《指导意见》确定了工业互联网安全的基本原则，提出了阶段发展目标

（一）《指导意见》的总体要求

《指导意见》坚持以习近平新时代中国特色社会主义思想为指导，全面贯彻党的十九大和十九届二中、三中全会精神，围绕制造强国和网络强国建设，聚焦设备、控制、网络、平台、数据安全，落实企业主体责任、政府监管责任，健全制度机制、建设技术手段、加强公共服务能力、促进产业发展、强化人才培育，构建责任清晰、制度健全、技术先进的工业互联网安全保障体系，全面提升工业互联网创新发展安全保障能力和服务水平。

《指导意见》提出了四条基本原则：一是筑牢安全，保障发展。以安全保发展，以发展促安全。严格落实《中华人民共和国网络安全法》等法律法规，按照谁运营谁负责、谁主管谁负责的原则，坚持发展与安全并重，安全和发展同步规划、同步建设、同步运行。二是统筹指导，协同推进。强化统筹协调和系统谋划，推动产学研用各方形成发展合力，打造国家、地方、行业企业协同联动的工作格局。三是分类施策，分级管理。坚持分类分级管理的基本思路，强化重点领域、关键环节的管理和防护，提升企业综合防护水平。四是融合创新，重点突破。创新安全管理机制和技术手段，强化工业互联网安全关键核心技术研究，提升产业供给能力。

（二）《指导意见》的主要目标

《指导意见》提出了两个阶段发展目标：

第一个阶段发展目标：到2020年底，初步建立工业互联网安全保障体系。制度机制方面，建立监督检查、信息共享和通报、应急处置等工业互联网安全管理制度，构建企业安全主体责任制，制定设备、平台、数据等至少20项亟需的工业互联网安全标准，探索构建工业互联网安全评估体系。技术手段方面，初步建成国家工业互联网安全技术保障平台、基础资源库和安全测试验证环境。产业发展方面，在汽车、电子信息、航空航天、能源等重点领域，形成至少20个创新实用的安全产品、解决方案的试点示范，培育若干具有核心竞争力的工业互联网安全企业。

第二个阶段发展目标：到2025年，制度机制健全完善，技术手段能力显著提升，安全产业形成规模，基本建立起较为完备可靠的工业互联网安全保障体系。

三、《指导意见》针对工业互联网安全保障能力提升，确定七大重点方向

为全面提升工业互联网创新发展安全保障能力和服务水平，《指导意见》提出了7个方面17项重点任务。

（一）推动安全责任落实

1、依法落实企业主体责任。相关企业明确工业互联网安全责任部门和责任人，建立健全重点设备装置和系统平台联网前后的风险评估、安全审计等制度，建立安全事件报告和问责机制，加大安全投入，部署有效安全技术防护手段，保障工业互联网安全稳定运行。由网络安全事件引发的安全生产事故，按照安全生产有关法规进行处置。

2、政府履行监督管理责任。工信部组织开展相关政策制定、标准研制等综合性工作，并对装备制造、电子信息及通信等主管行业领域的工业互联网安全开展行业指导管理。地方工业和信息化主管部门指导本行政区域内应用工业互联网的工业企业的安全工作；地方通信管理局监管本行政区域内标识解析系统、公共工业互联网平台等的安全工作，并在公共互联网上对联网设备、系统等进行安全监测。生态环境、卫生健康、能源、国防科技工业等部门根据各自职责，开展本行业领域工业互联网推广应用的安全指导、监管工作。

（二）构建安全管理体系

3、健全安全管理制度。围绕工业互联网安全监督检查、风险评估、数据保护、信息共享和通报、应急处置等方面建立健全安全管理制度和工作机制，强化对企业的安全监管。

4、建立分类分级管理机制。建立工业互联网行业分类指导目录、企业分级指标体系，制定工业互联网行业企业分类分级指南，形成重点企业清单，强化逐级负责的政府监管模式，实施差异化管理。

5、建立工业互联网安全标准体系。推动工业互联网设备、控制、网络（含标识解析系统）、平台、数据等重点领域安全标准的研究制定，建设安全技术与标准试验验证环境，支持专业机构、企业积极参与相关国际标准制定，加快标准落地实施。

（三）提升企业安全防护水平

6、夯实设备和控制安全。督促工业企业部署针对性防护措施，加强工业生产、主机、智能终端等设备安全接入和防护，强化控制网络协议、装置装备、工业软件等安全保障，推动设备制造商、自动化集成商与安全企业加强合作，提升设备和控制系统的本质安全。

7、提升网络设施安全。指导工业企业、基础电信企业在网络化改造及部署IPv6、应用5G的过程中，落实安全标准要求并开展安全评估，部署安全设施，提升企业内外网的安全防护能力。要求标识解析系统的建设运营单位同步加强安全防护技术能力建设，确保标识解析系统的安全运行。

8、强化平台和工业应用程序（APP）安全。要求工业互联网平台的建设、运营单位按照相关标准开展平台建设，在平台上线前进行安全评估，针对边缘层、IaaS层（云基础设施）、平台层（工业PaaS）、应用层（工业SaaS）分层部署安全防护措施。建立健全工业APP应用前安全检测机制，强化应用过程中用户信息和数据安全保护。

（四）强化工业互联网数据安全保护能力

9、强化企业数据安全防护能力。明确数据收集、存储、处理、转移、删除等环节安全保护要求，指导企业完善研发设计、工业生产、运维管理、平台知识机理和数字化模型等数据的防窃密、防篡改和数据备份等安全防护措施，鼓励商用密码在工业互联网数据保护工作中的应用。

10、建立工业互联网全产业链数据安全管理体系。依据工业门类领域、数据类型、数据价值等建立工业互联网数据分级分类管理制度，开展重要数据出境安全评估和监测，完善重大工业互联网数据泄露事件触发响应机制。

（五）建设国家工业互联网安全技术手段

11、建设国家、省、企业三级协同的工业互联网安全技术保障平台。工信部统筹建设国家工业互联网安全技术保障平台。工业基础较好的省、自治区、直辖市先期试点建设省级技术保障平台。支持鼓励机械制造、电子信息、航空航天等重点行业企业建设企业级安全平台，强化地方、企业与国家平台之间的系统对接、数据共享、业务协作，打造整体态势感知、信息共享和应急协同能力。

12、建立工业互联网安全基础资源库。建设工业互联网资产目录库、工业协议库、安全漏洞库、恶意代码病毒库和安全威胁信息库等基础资源库，推动研制面向典型行业工业互联网安全应急处置、安全事件现场取证等工具集，加强工业互联网安全资源储备。

13、建设工业互联网安全测试验证环境。搭建面向机械制造、电子信息、航空航天等行业的工业互联网安全攻防演练环境，测试、验证各环节存在的网络安全风险以及相应的安全防护解决方案，提升识别安全隐患、抵御安全威胁、化解安全风险的能力。

（六）加强工业互联网安全公共服务能力

14、开展工业互联网安全评估认证。构建工业互联网设备、网络、平台、工业APP等的安全评估体系，依托产业联盟、行业协会等第三方机构为工业互联网企业持续开展安全能力评测评估服务，推动工业互联网安全测评机构的审核认定。

15、提升工业互联网安全服务水平。鼓励和支持专业机构、网络安全企业等提供安全诊断评估、安全咨询、数据保护、代码检查、系统加固、云端防护等服务。鼓励基础电信企业、互联网企业、系统解决方案提供商等依托专业技术优势，加强与工业互联网企业的需求对接，输出安全保障服务。

（七）推动工业互联网安全科技创新与产业发展

16、支持工业互联网安全科技创新。加大对工业互联网安全技术研发和成果转化的支持力度，强化标识解析系统安全、平台安全、工业控制系统安全、数据安全、5G安全等相关核心技术研究，加强攻击防护、漏洞挖掘、态势感知等安全产品研发。支持通过众测众研等创新方式，聚集社会力量，提升漏洞隐患发现技术能力。支持专业机构、高校、企业等联合建设工业互联网安全创新中心和安全实验室。探索利用人工智能、大数据、区块链等新技术提升安全防护水平。

17、促进工业互联网安全产业发展。充分利用国家和地方网络安全产业园（基地）等形式，整合相关行业资源，打造产学研用协同创新发展平台，形成工业互联网安全对外展示和市场服务能力，培育一批核心技术水平高、市场竞争能力强、辐射带动范围广的工业互联网安全企业。在汽车、电子信息、航空航天、能源等重点领域开展试点示范，遴选优秀安全解决方案和最佳实践，并 加强应用推广。

四、保障工业互联网安全工作的实施

为了保障工业互联网安全有关工作任务有效落实，推动安全工作有序高效开展，《指导意见》提出了四个方面的保障措施：一是加强组织领导，强化统筹协调，构建各负其责、紧密结合、运转高效的工作机制，形成合力。二是优化创新环境，加大支持力度，鼓励企业技术创新和技术应用，推动安全产业集聚发展。三是发挥市场作用，汇聚产学研用多方力量，形成市场需求牵引、政府支持推动的发展局面。四是加强宣传教育，提升企业和相关从业人员安全意识，深入推进产教融合、校企合作，加快人才培养。