1.前言
工业控制网络是工业生产的“核心大脑”,用于监控、管理工业生产过程中的物理设备,确保生产的稳定性和可靠性,提高生产效率,在关键信息基础设施领域得到广泛应用。随着工业互联网与自动控制技术的融合发展,数字时代的步伐愈发坚定,工业控制网络在推动国家安全、经济繁荣中扮演着愈发关键的角色。中国互联网络信息
中心发布的第52次《中国互联网络发展状况统计报告》显示,工业互联网网络体系迅速扩大,截至2023年6月,中国工业互联网标识解析体系覆盖31个省(区、市),其中超过240家工业互联网平台具有一定影响力,一个综合型、特色型、专业型的多层次工业互联网平台体系基本形成。随着国家级工业互联网安全技术监测服务体系不断完善,态势感知、风险预警和基础资源汇聚能力进一步增强,“5G+工业互联网”等融合应用不断涌现,快速发展。新一代互联网技术的发展给工业互联网带来全新的发展机遇,但同时又带来更加严峻的安全风险与挑战,工业互联网安全问题不仅关系到每个企业和个体的切身利益,更关系到国家的长远发展。
为贯彻落实国家网络安全、数据安全相关法律要求,进一步提升工业企业的工控安全保障能力,2023年11月8日,主题为“筑牢工控安全防线护航新型工业化发展”的“2023年工业信息安全大会工业控制系统网络安全专题论坛”在北京举行,为工业控制网络的安全发展筹谋定策。工控安全与网络安全密切相关,保障工业控制系统的安全、保护关键信息基础设施免受攻击是确保国家安全的关键环节。在此背景下,东北大学“谛听”网络安全团队基于自身传统的安全研究优势开发设计并实现了“谛听”网络空间工控设备搜索引擎(http://www.ditecting.com),并根据“谛听”收集的各类安全数据,撰写并发布《2023年工业控制网络安全态势白皮书》,读者可以通过报告了解2023年工控安全相关政策法规报告及典型工控安全事件分析,同时报告对工控系统漏洞、联网工控设备、工控蜜罐、威胁情报数据及工业互联网安全创新发展情况进行了阐释及分析,有助于全面了解工控系统安全现状,多方位感知工控系统安全态势,为研究工控安全相关人员提供参考。2.2023年工控安全相关政策法规标准
工业互联网不仅是促使信息技术与工业经济深度融合的关键动力,同时也在我国制造强国和网络强国战略中发挥着重要作用。回首2023年,我国在工业信息安全领域取得显著进展,不仅进一步完善了政策标准,同时在垂直行业的安全保障工作推进步伐明显加快。工业信息安全保障技术水平得到大幅提升,为整个网络安全产业的发展注入强劲动力。为了进一步加强工业互联网的安全体系建设,提高安全建设水平,我国在2023年陆续推出了多项涉及工业互联网安全的政策法规报告。
通过梳理2023年度发布的相关政策法规标准,整理各大工业信息安全研究院和机构基于不同法规发布的解读文件,现摘选部分重要内容并进行简要分析,旨在让读者更深入了解国家在工控安全领域的政策导向。
2.1《网络安全标准实践指南—网络数据安全风险评估实施指引》
2023年5月28日,《网络安全标准实践指南一网络数据安全风险评估实施指引》(以下简称《评估指引》)发布,旨在引导网络数据安全风险评估工作,遵循《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,并参考相关国家标准。该指引明确了网络数据安全风险评估的思路、工作流程和内容,强调从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面进行评估。
2.2《商用密码管理条例》
2023年4月14日,国务院第4次常务会议修订通过《商用密码管理条例》,该条例自2023年7月1日起施行。随着商用密码在网络与信息系统中广泛应用,其维护国家主权、安全和发展利益的作用越来越凸显。党的十八大以来,党中央、国务院对商用密码创新发展和行政审批制度改革提出了一系列要求,2020年施行的密码法对商用密码管理制度进行了结构性重塑。《条例》鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全,支持网络产品和服务使用商用密码提升安全性:明确关键信息基础设施的商用密码使用要求和国家安全审查要求。
2.3《网络数据安全风险评估实施指引(公开征求意见稿)》
2023年4月18日,全国信息安全标准化技术委员会秘书处发布《网络安全标准实践指南——网络数据安全风险评估实施指引(征求意见稿)》,现公开向社会征求意见。文件详细阐述了进行网络数据安全风险评估的思路、主要工作内容、流程和方法。文件明确提到,进行数据安全保护和数据处理活动的风险评估时,应始终以预防为主、主动发现和积极防范为基本原则,及时发现数据存在的潜在风险,以提升数据安全的防御能力,包括防范攻击、防止破坏、防御窃取、防止泄露以及防范滥用。
2.4《工业领域数据安全标准体系建设指南(征求意见稿)》
2023年5月22日,工信部发布《工业领域数据安全标准体系建设指南(2023版)》(征求意见稿),其中规定了工业领域数据安全标准体系的建设目标。到2024年,将初步构建该标准体系,切实贯彻数据安全管理要求,满足工业领域数据安全需求,推动标准在关键行业和企业中应用,研发30项以上的数据安全国家、行业或团体标准:2026年,将形成更为完善的工业领域数据安全标准体系,全面遵循相关法律法规和政策制度,标准的技术水平、应用效果和国际化程度显著提高,基础性、规范性、引领性作用凸显,贯标工作全面展开,有力支持工业领域数据安全的关键工作,研制100项以上的数据安全国家、行业或团体标准。
本文来自知之小站
PDF报告已分享至知识星球,微信扫码加入立享3万+精选资料,年更新1万+精选报告
(星球内含更多专属精选报告.其它事宜可联系zzxz_88@163.com)