新闻资讯 News information

《工业互联网企业网络安全分类分级指南(试行)》(征求意见稿)解析

发布时间:2019-12-24

近年,为加快构建工业互联网安全保障体系,提升工业互联网安全保障能力,工业和信息化部不断完善工业互联网安全保障体系架构,相继发布多个工业互联网相关的安全标准及指导意见。这些标准从安全评估、安全建设、安全运维、安全应急等多个方面提出了安全要求,例如2016年发布的《工业控制系统信息安全防护指南》、2017年发布的《工业控制系统信息安全事件应急管理工作指南》,《工业控制信息安全防护能力评估工作管理办法》和《工业控制系统信息安全行动计划(2018-2020)》等。

2019年7月26日,工业和信息化部联合十部门发布《加强工业互联网安全工作的指导意见》(以下简称《指导意见》)。近日为落实《指导意见》,指导工业互联网企业的分类分级工作,工业和信息化部发布《工业互联网企业网络安全分类分级指南(试行)》(以下简称《分类分级指南》)的征求意见稿,面向社会征求意见。

0.png

尽管《分类分级指南》当前正处于面向社会征求意见阶段,但为了帮助工业企业更好的理解《分类分级指南》,更为准确的进行分类分级工作,笔者就其中一些内容进行解读,以飨读者。

1《分类分级指南》适用范围

从整篇指南上看《分类分级指南》的工业企业对象主要面向制造业企业,根据企业属性将工业互联网企业分为三类:

1)应用工业互联网的工业企业(简称“联网工业企业”);

2)工业互联网平台企业(简称“平台企业”);

3)工业互联网基础设施运营企业。

其中联网工业企业主要涉及原材料工业、装备工业、消费品工业和电子信息制造业等行业,从企业属性上来看,大多都属于制造、加工类型,其工业属性更强,工业网络安全建设相对薄弱,应按照《分类分级指南》要求进行企业分级。而平台企业对外提供的是基于工业互联网平台的互联信息服务,工业互联网基础设施运营企业多是基础电信运营企业和标识解析系统建设运营机构,其更适用《通信网络安全防护管理办法》的要求进行分级。

2 分级原则

1.png

图 1 《分类分级指南》基本原则

工业互联网企业的分级原则与等级保护定级基本原则类似,等级保护定级是根据对象受到破坏时所侵害的客体和对客体造成侵害的程度进行定级,而《分类分级指南》的分级则以企业实际受网络安全影响程度作为关键因素,结合企业规模、企业应用工业互联网的程度、企业发生网络安全事件的影响程度等要素确认工业互联网企业的分级。

2.png

图? 2 等级保护定级原则

目前工业互联网企业分级的评分细则暂未形成,工业和信息化部将会选择重点行业或区域,根据最佳实践,形成详细的工业互联网企业分级评定规则,并建设工业互联网企业网络安全分类分级管理服务平台,由企业根据自身实际情况填报问卷,形成自评报告。

3.png

表格 1《分类分级指南》分级与等级保护定级原则一览表

3 联网工业企业分类和分级

《分类分级指南》基于联网工业企业所属行业网络安全影响程度由低到高分别划分为一类、二类和三类,其中三类主要包括钢铁、有色、石化化工、轨道交通装备、船舶及海洋工程装备、航空航天装备等行业。

4.png

?图 3《分类分级指南》企业分级

《等级保护标准》是国家网络安全建设的基本标准,面向的是所有行业和企业,而《分类分级指南》则是在等级保护标准的基础上,对工业互联网企业的安全要求进行深化,面向具有工业互联网属性的企业。

不同于等级保护的五级分类,《分类分级指南》采用计分方式将联网工业企业分为三级,评分大于等于80分的,为三级企业;评分大于等于60分的,且小于80分的,为二级企业;评分小于60分的,为一级企业;属于三类行业的规模以上的联网工业企业原则上定为三级。

5.png

表格 2《分类分级指南》分级与等级保护定级对比表

与等级保护进行对比可以发现,《分类分级指南》是在等级保护的基础之上,提高了对于钢铁、有色、石化化工、轨道交通装备、船舶及海洋工程装备、航空航天装备等与国家经济发展联系紧密的行业的网络安全要求。?

长图.jpg

图 4 联网工业企业所属行业网络安全分类指导目录

4 分级流程

工业互联网企业的分级流程与等级保护流程相似,但颗粒度略有不同,相似之处为在于都是由企业根据自身具体情况及相关分级/定级相关要求先进行自主初步定级,上报至地方管理部门进行核查确认。其中工业互联网企业分级流程中的地方管理部门可根据情况自行核查确认或组织第三方专业机构进行核查确认即可。而等级保护定级在最初定级后,还需要进行专家评审、主管部门审核,最终到企业所在地的公安进行备案,由公安部门对备案结果进行审核确认。

6.png

图 5《分类分级指南》-分级与等级保护定级流程对比

在《分类分级指南》中要求对于因企业发展或内部结构调整引起的企业内部网络安全风险发生变化的情况,要求企业应主动重新定级。

级别评定.png

图 6《分类分级指南》-级别评定

0 (1).jpg

图? 7 联网工业企业分级评定参考规则

5 工业互联网企业的安全管理

与等级保护三级的安全要求相对比,《分类分级指南》中的三级在等级保护的基础上提出了更具有企业特色的要求:

1)组织管理要求,除建立健全网络安全责任、管理机构、管理制度建设外,明确提出“确保安全投入”,对企业在网络安全方面的投入提出细化要求,以保证网络安全建设的资金来源。

2)安全防护要求,明确要求三级企业要建立工业互联网的安全监测平台,这就对企业提出了更高的技术要求,要求企业在建立网络安全技术防护措施和安全管理措施的基础上,同步建设企业上层的具有工业网络安全状态监测、安全事件分析、工控安全态势感知等能力的工业互联网安全监测平台,从而确保企业能够实时了解自身的工业网络安全态势。最终企业工业网络安全监测平台要接入省级以上工业互联网安全监测平台,形成从工业互联网企业到省级管理单位到国家级工业互联网企业安全监测平台的三级安全监测平台,定期通报工业互联网安全风险,从而及时解决存在的安全问题,降低整体安全风险。

可以看出工业互联网企业安全发展趋势将是安全防护智能化的不断发展。工业互联网安全防护的思维模式也将从传统的事件响应式向持续智能响应式转变,旨在构建全面的预测、基础防护、响应和恢复能力,抵御不断演变的高级威胁。此外,要利用机器学习、深度学习等人工智能技术分析处理安全大数据,不断改善安全防御体系。工业互联网安全企业的安全重心也将从被动防护向持续普遍性的监测响应及自动化、智能化的安全防护转移。

安全防护.png

图 8《分类分级指南》-安全管理

3)风险评估要求,三级企业每年需要进行一次网络安全风险评估与审计,确立了风险评估对于工业互联网企业网络安全建设中至关重要的作用,对风险评估的普及起到了良好的推动作用。这与等级保护在检查测评方面的要求也是大致相同。

分类分级指南.png

表格 3《分类分级指南》分级与等级保护评估检查要求对比

结合指南中对三类行业的定义,实际上对于钢铁、有色、石化化工、轨道交通装备、船舶及海洋工程装备、航空航天装备等行业提高了安全建设要求,在网络安全建设的基础之上要进行企业级、省级、国家级工业互联网安全监测平台建设,并保证工业安全态势可管可控;每年开展企业风险评估工作,保证能够及时了解企业面临的安全风险,结合省级以上平台的风险通报,从而能够根据实际风险及时调整网络安全防护重点,保障关键信息基础设施安全。

6 钱柜娱乐老虎机777登录 强力保障工业互联网企业安全

针对工业互联网企业安全监测实际需求,钱柜娱乐老虎机777登录 从工业资产管理、工业网络安全状态监测、安全事件分析、工控安全态势感知等方面出发,采用先进技术,借鉴 “一个中心、三重防护”的纵深防御模型,着力研发,建立企业安全运营中心,为工业互联网企业提供资产安全态势分析、脆弱性态势分析、攻击路径分析、合规性评估的能力,利用可视化技术,保证企业的三个可视化,资产可视化、威胁可视化、合规性可视化,为工业互联网企业安全监测平台实际落地提供了技术和产品支撑。

态势感知.png

图? 9 钱柜娱乐老虎机777登录 生产安全集中监测平台(态势感知)

工业互联网作为新一代信息技术与制造业深度融合的产物,日益成为新工业革命的关键支撑和深化“互联网+先进制造业”的重要基石,对未来工业发展产生全方位、深层次、革命性影响。钱柜娱乐老虎机777登录 作为工业领域安全的领军企业,将不遗余力的携手工业互联网企业一起努力,共同构建网络、平台、安全三大功能体系,打造人、机、物全面互联的新型网络基础设施,为推进制造强国和网络强国建设添砖加瓦。


钱柜娱乐老虎机777登录 官方二维码

扫一扫关注我们钱柜娱乐老虎机777登录 官方网站 来了解我们更多资讯

地址:北京市海淀区上地三街9号嘉华大厦F座901室
邮箱:support@b014.cn
微信公众号:winicssec_bj
4000-680-620 24小时服务热线