工业互联网不仅是促使信息技术与工业经济深度融合的关键动力,同时也在我国制造强国和网络强国战略中发挥着重要作用。回首 2023 年,我国在工业信息安全领域取得显著进展,不仅进一步完善了政策标准,同时在垂直行业的安全保障工作推进步伐明显加快。
工业信息安全保障技术水平得到大幅提升,为整个网络安全产业的发展注入强劲动力。为了进一步加强工业互联网的安全体系建设,提高安全建设水平,我国在 2023 年陆续推出了多项涉及工业互联网安全的政策法规报告。
通过梳理 2023 年度发布的相关政策法规标准,整理各大工业信息安全研究院和机构基于不同法规发布的解读文件,现摘选部分重要内容并进行简要分析,旨在让读者更深入了解国家在工控安全领域的政策导向。
1. 《网络安全标准实践指南—网络数据安全风险评估实施指引》
2023 年 5 月 28 日,《网络安全标准实践指南—网络数据安全风险评估实施指引》(以下简称《评估指引》)发布,旨在引导网络数据安全风险评估工作,遵循《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,并参考相关国家标准。
该指引明确了网络数据安全风险评估的思路、工作流程和内容,强调从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面进行评估。
2. 《商用密码管理条例》
2023 年 4 月 14 日,国务院第 4 次常务会议修订通过《商用密码管理条例》,该条例自 2023 年 7 月 1 日起施行。随着商用密码在网络与信息系统中广泛应用,其维护国家主权、安全和发展利益的作用越来越凸显。
党的十八大以来,党中央、国务院对商用密码创新发展和行政审批制度改革提出了一系列要求,2020 年施行的密码法对商用密码管理制度进行了结构性重塑。《条例》鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全,支持网络产品和服务使用商用密码提升安全性;明确关键信息基础设施的商用密码使用要求和国家安全审查要求。
3. 《网络数据安全风险评估实施指引(公开征求意见稿)》
2023 年 4 月 18 日,全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南——网络数据安全风险评估实施指引(征求意见稿)》,现公开向社会征求意见。
文件详细阐述了进行网络数据安全风险评估的思路、主要工作内容、流程和方法。文件明确提到,进行数据安全保护和数据处理活动的风险评估时,应始终以预防为主、主动发现和积极防范为基本原则,及时发现数据存在的潜在风险,以提升数据安全的防御能力,包括防范攻击、防止破坏、防御窃取、防止泄露以及防范滥用。
4. 《工业领域数据安全标准体系建设指南(征求意见稿)》
2023 年 5 月 22 日,工信部发布《工业领域数据安全标准体系建设指南(2023 版)》(征求意见稿),其中规定了工业领域数据安全标准体系的建设目标。
到 2024 年,将初步构建该标准体系,切实贯彻数据安全管理要求,满足工业领域数据安全需求,推动标准在关键行业和企业中应用,研发 30 项以上的数据安全国家、行业或团体标准;2026 年,将形成更为完善的工业领域数据安全标准体系,全面遵循相关法律法规和政策制度,标准的技术水平、应用效果和国际化程度显著提高,基础性、规范性、引领性作用凸显,贯标工作全面展开,有力支持工业领域数据安全的关键工作,研制 100 项以上的数据安全国家、行业或团体标准。
5. 《信息安全技术网络安全保险应用指南(公开征求意见稿)》
2023 年 9 月 13 日,全国信息安全标准化技术委员会秘书处发布《信息安全技术 网络安全保险应用指南》(以下简称《应用指南》)征求意见稿。《应用指南》汲取了国际网络安全保险标准成果,结合我国网络安全保险产业和风险管理实践,提炼适合我国国情的应用指南,以协助组织通过网络安全保险有效处理和管理风险。
该指南明确了网络安全保险应用的关键环节,包括投保前的风险评估、保险期间的风险控制以及事故发生后的事件评估。提供了在不同环节中可行的方法和内容,为网络安全保险的实际应用提供操作性的指导建议,解决了应用中涉及的基本安全技术和差异性问题。
6. 《网络关键设备安全技术要求可编程逻辑控制器(PLC)(开征求意见稿》
2023 年 9 月 21 日,全国信息安全标准化技术委员会发布了《网络关键设备安全技术要求 可编程逻辑控制器(PLC)》国家标准的征求意见稿。
该文件明确了将可编程逻辑控制器(PLC)纳入网络关键设备范畴的相关规定,涵盖了设备标识安全、余弦、备份恢复与异常检测、漏洞和恶意程序防范、预装软件启动及更新安全、用户身份标识与鉴别、访问控制安全、日志审计安全、通信安全和数据安全等方面的安全功能要求,以及相应的安全保障要求。
7. 《工业互联网安全分类分级管理办法(公开征求意见稿)》
2023 年 10 月 24 日,为加快建立健全工业互联网安全管理制度体系,深入实施工业互联网安全分类分级管理,工信部公开征求对《工业互联网安全分类分级管理办法(公开征求意见稿)》的意见。
意见稿指出,工业互联网企业应当按照工业互联网安全定级相关标准规范,结合企业规模、业务范围、应用工业互联网的程度、运营重要系统的程度、掌握重要数据的程度、对行业发展和产业链及供应链安全的重要程度以及发生网络安全事件的影响后果等要素,开展自主定级。工业互联网企业级别由高到低依次分为三级、二级、一级。
8. 《工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)》
2023 年 12 月 15 日,推进工业和信息化领域数据安全应急处置工作的制度化和规范化,工业和信息化部网络安全管理局起草了《工业和信息化领域数据安全事件应急预案(试行)》。
该预案根据数据安全事件对国家安全、企业网络设施和信息系统、生产运营、经济运行等的影响程度,分为特别重大、重大、较大和一般四个级别。预案强调应急工作要实现统一领导、分级负责,实行统一指挥、协同协作、快速反应、科学处置, 并明确了责任分工,以确保数据安全处理者履行数据安全主体责任。
9. 《信息安全技术 网络安全态势感知通用技术要求》
2023 年 3 月 17 日,由公安部第三研究所牵头编制的信息安全国家标准 GB/T 42453-2023《信息安全技术 网络安全态势感知通用技术要求》,已由国家标准化管理委员会正式发布,标准于 2023 年 10 月 1 日正式实施。
作为国内首份网络安全态势感知的国家标准,该标准规范了网络安全态势感知体系的核心组件,包括数据汇聚、数据分析、态势展示、监测预警、数据服务接口、系统管理等方面的通用技术要求。此标准的发布为中国网络安全态势感知的规范化发展提供了重要的指导标准,对国内网络安全态势感知建设具有重要的参考和指导价值。
10. 《信息安全技术 网络和终端隔离产品技术规范》
2023 年 5 月 15 日,信安标委发布《信息安全技术 网络和终端隔离产品技术规范》。标准作为信息安全等级保护技术要求系列标准的关键组成部分,同时规定了网络和终端隔离产品的分类、级别划分、安全技术要求以及测评方法。
其目的在于指导设计者如何设计和实现符合特定安全等级需求的隔离部件,主要通过对隔离部件安全保护等级的划分来阐述技术要求,即详细说明为实现各个保护等级所需的安全要求,以及在不同安全级别下各安全技术要求的具体实现差异。
11. 《网络安全工业互联网平台安全参考模型》
2023 年 7 月,我国牵头提出的国际标准 ISO/IEC 24392:2023《网络安全工业互联网平台安全参考模型》正式发布。ISO/IEC 24392 作为首个工业互联网安全领域的国际标准,基于工业互联网平台安全域、系统生命周期和业务场景三个视角构建了工业互联网平台安全参考模型。
该国际标准用于解决工业互联网应用和发展过程中的平台安全问题,可以系统指导工业互联网企业及相关研究机构,针对不同的工业场景,分析工业互联网平台的安全目标,设计工业互联网平台安全防御措施,增强工业互联网平台基础设施的安全性。
12. 《网络安全设备与服务建立可信连接的安全建议》
2023 年 8 月 8 日,我国牵头提出的国际标准 ISO/IEC 27071:2023《网络安全设备与服务建立可信连接的安全建议》正式发布。该提案于2015 年提交至ISO/IEC JTC1/SC27,后经研究,于 2019 年 4 月正式立项,2023 年 7 月正式发布。
ISO/IEC 27071 给出了设备和服务建立可信连接的框架和安全建议,内容涵盖硬件安全模块、信任根、身份、身份鉴别和密钥建立、环境证明、数据完整性和真实性等组件的安全建议。该标准适用于基于硬件安全模块在设备和服务之间建立可信连接的场景,如移动支付、车联网、工业物联网等,有助于提高从设备到服务的全过程数据安全性。
13. 《信息安全技术 大数据服务安全能力要求》
2023 年 9 月 7 日,国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2023 年第 9 号),全国信息安全标准化技术委员会归口的 4 项国家标准正式发布,包括 GB/T32914-2023《信息安全技术 网络安全服务能力要求》、GB/T43206-2023《信息安全技术 信息安全控制评估指南》、GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》、GB/Z 43207-2023《信息安全技术 信息系统密码应用设计指南》,均将于 2024 年 4 月 1 日实施。
其中 GB/T 35274-2023《信息安全技术大数据服务安全能力要求》需要重点关注,由于网络安全服务需求不断增加,出现了低价竞标、交付质量差、不规范流程、安全风险等问题,影响了行业健康发展。为贯彻《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等法律法规,确保服务质量、防范安全风险,提升规范性和可持续性,制定此标准。
表 2-1 2023 国内部分出台政策法规标准
| 序号 | 月份 | 出台政策法规标准 |
| 1 | 3 月 | 《信息安全技术 网络安全态势感知通用技术要求》 |
| 2 | 4 月 | 《信息安全技术 信息安全控制(征求意见稿)》 |
| 3 | 4 月 | 《商用密码管理条例》 |
| 4 | 5 月 | 《工业领域数据安全标准体系建设指南(征求意见稿)》 |
| 5 | 5 月 | 《网络安全标准实践指南—网络数据安全风险评估实施指引》 |
| 6 | 5 月 | 《公路水路关键信息基础设施安全保护管理办法》 |
| 7 | 6 月 | 《商用密码应用安全性评估管理办法(征求意见稿)》 |
| 8 | 7 月 | 《安全工业互联网平台安全参考模型》 |
| 9 | 7 月 | 《铁路关键信息基础设施安全保护管理办法(征求意见稿)》 |
| 10 | 7 月 | 《信息安全技术网络安全产品互联互通框架(征求意见稿)》 |
| 11 | 8 月 | 《网络安全设备与服务建立可信连接的安全建议》 |
| 12 | 9 月 | 《信息安全技术网络安全保险应用指南(征求意见稿)》 |
| 13 | 9 月 | 《信息安全技术 大数据服务安全能力要求》 |
| 14 | 9 月 | 《网络关键设备安全技术要求可编程逻辑控制器(PLC)(开征求意见稿》 |
| 15 | 10 月 | 《工业互联网安全分类分级管理办法(征求意见稿)》 |
| 16 | 10 月 | 《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》 |
| 17 | 10 月 | 《商用密码检测机构管理办法》 |
| 18 | 10 月 | 《商用密码应用安全性评估管理办法》 |
| 19 | 11 月 | 《网络安全标准实践指南——网络安全产品互联互通 资产信息格式(征求意见稿)》 |
| 20 | 11 月 | 《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》 |
| 21 | 12 月 | 《工业领域数据安全标准体系建设指南(2023 版)》 |
| 22 | 12 月 | 《工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)》 |
| 23 | 12 月 | 《网络安全事件报告管理办法(征求意见稿)》 |
| 24 | 12 月 | 《民用航空生产运行工业控制系统网络安全防护技术要求》 |
| 25 | 12 月 | 《信息安全技术 政务计算机终端核心配置规范(征求意见稿)》 |
| 26 | 12 月 | 《信息安全技术 网络安全应急能力评估准则》 |
本文摘编自东北大学“谛听”网络安全团队发布的《2023年工业控制网络安全态势白皮书》,在文末扫码入群获取。
¥299 起成为数治网DTZed 星球会员,即可下载检索 5000+ 相关标准、白皮书、报告等。填写开通申请获取水准测评、冲刺刷题、案例巩固等更多会员权益。扫码添加老邪企业微信,加入数治x行业群:
成为数治产研共同体IRCDG 的一员,不只有全球 CXO 携手为你打造数治领导力,与产研导师相约学习研讨,更有定制的数字推广放大你的声音,直击目标潜在客户,扫码入群获取前沿资料,添加老邪企业微信直通:
团队素养水准评估;
数治要素x行业共建;
数治连线专场直播;
公司产品和案例入库等。
