《培育工业信息安全产业生态实施方案.docx》由会员分享,可在线阅读,更多相关《培育工业信息安全产业生态实施方案.docx(21页珍藏版)》请在第壹文秘上搜索。
1、培育工业信息安全产业生态实施方案一、发展趋势1、工业领域的网络攻击呈高发态势勒索病毒、高级持续性威胁(APT)攻击等严重影响工业企业的正常生产运营。以重要工业控制系统和设备为目标的国家间网络对抗博弈越发复杂多变,严重威胁国家安全。2、工业信息安全风险暴露面快速扩大工业数字化转型推动工业企业生产服务模式转变,上云上平台的工业设备规模大幅增长,在推动制造业高质量发展的同时,打破了传统工业相对封闭的制造环境,使传统网络安全威胁渗透至工业领域。同时,由于部分工业企业安全防护措施不到位,暴露在互联网上的工业控制系统数量显著增多,安全风险增加,保障难度陡增。3、工业领域供应链安全风险突出当前,我国重点行业
2、关键工业控制设备和系统对外依存度高,关键技术产品面临断供风险,同时安全漏洞、开源风险、后门、暗功能等安全隐患突出。如近年来,工业控制系统安全漏洞数量高速增长,高危漏洞占比居高不下,漏洞类型多样,分布范围广泛,基本涵盖主流设备厂商。4、政策驱动工业信息安全保障能力提升为应对日益严峻的工业信息安全态势,围绕工业控制系统安全、工业互联网安全、工业大数据安全防护等密集出台相关政策文件,关键领域的标准研制和应用推广步伐加快,引导各地区、各行业落实相关防护要求,全面加强工业信息安全保障。5、工业数字化转型推动安全防护技术创新工业数字化转型伴随着一系列亟待解决的安全问题,使安全需求激增,推动安全投入不断增加
3、,安全防护技术持续创新优化,安全防护产品和服务逐步丰富。同时,随着大数据、人工智能等新技术与工业信息安全防护技术的融合应用,将有助于提高未知威胁检测、智能化防御、安全态势预测等安全防护能力。6、自主可控战略促进安全产品供给能力提升国家将关键技术的自主可控作为重大战略方向,明确提出要坚持自主可控、安全高效,加速制造、能源等关键信息基础设施领域进程,促进关键工业控制设备和系统的安全性能提升,推动具备内嵌安全功能的设备产品研发与应用,从根本上降低安全漏洞、后门等带来的风险。随着江苏企业数字化转型进程不断提速,工业互联网安全和工控系统安全已成为全面实施制造强省、网络强省战略的重要基础支撑,全省工业领域
4、信息安全保障体系建设亟待加强。江苏是制造业大省、软件与信息服务业大省,网络与信息安全人才较为丰富,信息安全产业基础支撑能力较强,为江苏工业信息安全创新发展奠定了较好基础。二、十四五江苏工业信息安全发展背景(一)发展基础十三五期间,我省积极贯彻落实关于深化互联网+先进制造业发展工业互联网的指导意见、工业和信息化部等十部门加强工业互联网安全工作的指导意见、工业和信息化部工业控制系统信息安全行动计划(2018-2020年)等重要文件要求,以提升工业信息安全保障能力为目标,以保障设备、控制、网络、平台、数据等关键要素安全为重点,建机制、建制度、建标准、建平台、建队伍,推动落实企业主体责任和监管责任,增
5、强企业安全防护能力,着力提高工业信息安全态势感知、信息共享、应急处置等公共服务能力,持续促进工业信息安全产业创新发展,工业信息安全保障体系建设初具成效。1、工业信息安全制度建设稳步推进一是会同省通信管理局、发改委等十部门制定并在全国范围内率先发布关于加强工业互联网安全工作的实施意见,为我省加强工业互联网安全保障提供实施依据。二是印发全省信息化和工业信息安全工作要点江苏省工业信息安全事件应急管理指南江苏省工业信息安全信息共享与报送通报指南等政策文件,为我省开展工业信息安全工作提供指导。与省通管局建立联合推进工业互联网安全工作的合作机制,同时,通过工业信息安全星级防护企业培育工作,积极指导557家
6、企业建立了内部工业信息安全管理机制。2、工业信息安全技术支撑能力持续增强一是重点推进省级一网一池一平台(省级工业信息安全态势感知网络、工业互联网安全服务资源池、工业安全信息共享与应急服务协同保障平台)建设,基本建成省级工业安全信息共享与应急服务协同保障平台、省级工业互联网安全态势感知平台(I期工程),初步具备对全省低防护联网工业控制系统与工业互联网平台的安全监测能力。二是持续完善工业互联网安全服务资源池,初步汇聚全省工业互联网资产信息、工业协议、威胁信息、安全漏洞与恶意代码、应急处置措施等数据资源,为省市工业和信息化部门及企业提供基础支撑服务。三是支持建设行业平台和基础共性技术平台,组织企业、
7、安全机构建立轨道交通和电力行业工业控制系统安全实验平台、工业互联网安全基础共性技术平台,提升工业信息安全保障技术能力。3、工业信息安全服务基础进一步夯实一是遴选19家省级工业信息安全服务支撑队伍,服务能力涵盖信息安全风险评估、检测评估和应急处置,同时联合国家电子标准化院建立起一支由2家核验机构和4家咨询机构组成的,全国最大的国家级工控安全贯标服务队伍,工业信息安全服务支撑力量持续壮大。二是成立省网络与信息安全产业联盟,为工业信息安全服务支撑机构和工业企业、工业互联网平台企业搭建桥梁,联盟首批吸纳了64家重点企业。三是积极举办工业信息安全技术技能大赛、攻防对抗赛、工控安全深度行、工业信息安全高峰
8、论坛等活动,提升工业信息安全技术服务水平。四是举办工业信息安全专题培训,在重点工业企业开展工业信息安全应急演练,提升企业安全服务保障人员应急响应能力,全省各级工业和信息化部门及重点企业负责人年度参训超500人次。4、工业信息安全产业发展能力不断提升一是加快推进工业信息安全关键技术攻关,支持在电力、电子等重点行业领域开展态势感知、仿真平台等关键技术攻关。二是在省级工业和信息产业转型升级专项资金中将工业信息安全列为重点支持方向,支持重点企业围绕企业侧态势感知、应急演练、安全培训等方向,形成了一批重点平台、重点产品和优秀解决方案。三是建设长三角网络安全产业园等区域载体,推进建设长三角城市网络安全运营
9、中心,为长三角地区工业信息安全产业聚集提供支持,促进安全产业在南京、苏州等地集聚发展。但我们也应清醒认识到,江苏工业信息安全保障还面临着一些短板和痛点:工业信息安全公共基础设施建设滞后于发展速度,孤立的碎片化的安全系统建设模式已不能满足融合发展要求,工业信息安全保障底座不稳;工业信息安全产业散且不强,缺乏领军企业、龙头企业,产业尚未形成集聚效应;同时,传统网络安全产业对工业领域支撑能力不足;部分企业仍然存在重IT建设、轻信息安全的情况,信息安全意识欠缺、投入不足,网络与信息安全保障缺乏系统性设计,面临较为严峻的安全威胁;工业信息安全人才缺口严重。(二)发展趋势1、工业领域的网络攻击呈高发态势勒
10、索病毒、高级持续性威胁(APT)攻击等严重影响工业企业的正常生产运营。以重要工业控制系统和设备为目标的国家间网络对抗博弈越发复杂多变,严重威胁国家安全。2、工业信息安全风险暴露面快速扩大工业数字化转型推动工业企业生产服务模式转变,上云上平台的工业设备规模大幅增长,在推动制造业高质量发展的同时,打破了传统工业相对封闭的制造环境,使传统网络安全威胁渗透至工业领域。同时,由于部分工业企业安全防护措施不到位,暴露在互联网上的工业控制系统数量显著增多,安全风险增加,保障难度陡增。3、工业领域供应链安全风险突出当前,我国重点行业关键工业控制设备和系统对外依存度高,关键技术产品面临断供风险,同时安全漏洞、开
11、源风险、后门、暗功能等安全隐患突出。如近年来,工业控制系统安全漏洞数量高速增长,高危漏洞占比居高不下,漏洞类型多样,分布范围广泛,基本涵盖主流设备厂商。4、政策驱动工业信息安全保障能力提升为应对日益严峻的工业信息安全态势,围绕工业控制系统安全、工业互联网安全、工业大数据安全防护等密集出台相关政策文件,关键领域的标准研制和应用推广步伐加快,引导各地区、各行业落实相关防护要求,全面加强工业信息安全保障。5、工业数字化转型推动安全防护技术创新工业数字化转型伴随着一系列亟待解决的安全问题,使安全需求激增,推动安全投入不断增加,安全防护技术持续创新优化,安全防护产品和服务逐步丰富。同时,随着大数据、人工
12、智能等新技术与工业信息安全防护技术的融合应用,将有助于提高未知威胁检测、智能化防御、安全态势预测等安全防护能力。6、自主可控战略促进安全产品供给能力提升国家将关键技术的自主可控作为重大战略方向,明确提出要坚持自主可控、安全高效,加速制造、能源等关键信息基础设施领域进程,促进关键工业控制设备和系统的安全性能提升,推动具备内嵌安全功能的设备产品研发与应用,从根本上降低安全漏洞、后门等带来的风险。随着江苏企业数字化转型进程不断提速,工业互联网安全和工控系统安全已成为全面实施制造强省、网络强省战略的重要基础支撑,全省工业领域信息安全保障体系建设亟待加强。江苏是制造业大省、软件与信息服务业大省,网络与信
13、息安全人才较为丰富,信息安全产业基础支撑能力较强,为江苏工业信息安全创新发展奠定了较好基础。三、培育工业信息安全产业生态推动产业集聚发展,优化产业园区布局,打造资源汇聚、要素共享的工业信息安全双创环境和孵化基地。充分发挥产业园区、企业、科研院所、金融机构等各类主体的积极性和主动性。培育建设一批工业信息安全技术、产品协同创新平台,供需对接平台和实验室,开展共性问题和市场亟需方向的联合研究,推动产业共性技术研发和推广应用,引导创新资源集聚。重点培育市场规模大、技术实力强、服务水平高的工业信息安全龙头骨干企业,在智能制造、车联网等细分赛道孵化一批高精尖特色安全企业,积极构建工业信息安全产业生态圈。着
14、力打造一批主营业务突出、特色鲜明、竞争能力强、成长性好的工业信息安全中小企业,鼓励通过专业化分工、服务外包、共享研发等方式与大企业合作,形成协同共赢格局。四、工业信息安全建设重点任务提升工业信息安全基础设施建设效能,优化工业信息安全产业生态,健全工业信息安全管理体系,提升企业安全防护能力水平,完善工业信息安全服务体系。大力提升全省工业信息安全基础设施建设、技术保障能力及安全管理服务水平。(一)提升安全基础设施建设效能联合省通信管理局共同完善省级工业信息安全态势感知网络,建立工业信息安全服务资源池,建设省级工业安全信息共享与应急服务协同保障平台。打造江苏省工业信息安全一网一池一平台公共服务基础设
15、施,支持建设工业互联网安全基础共性技术平台和重点行业工业互联网安全平台,构建工业信息安全保障基础底座。1、建成省级工业信息安全态势感知网络建设完善省级工业信息安全保障总平台、国家工业互联网安全技术保障平台江苏分平台和重点行业安全技术服务平台,加强平台间数据互通与信息共享,构建省级工业信息安全态势感知网络。落实工业和信息化部省级工业互联网安全监测与态势感知平台建设指南相关技术要求,持续完善主动监测、威胁感知、被动诱捕、企业运行监测、数据融合分析等技术手段,实现对全省联网工业控制设备与系统、工业互联网平台、工业企业运行状态、风险隐患的实时感知、分析研判和精准决策。将我省态势感知资源纳入国家工业信息
16、安全保障网络,与国家平台实现系统对接、数据共享、业务协同,形成系统化态势感知能力。通过建立长三角工业信息安全协同管控机制,实现跨区域重大工业信息安全态势感知信息共享,推动长三角工业信息安全联动保障体系建设。2、建立工业信息安全服务资源池建立省级工业信息安全服务资源池,汇聚全省工业企业和工业互联网平台企业资产信息、工业协议、威胁信息、安全漏洞与恶意代码、信息安全等工业数据资源及各类服务商资源,支撑省级平台开展威胁情报关联分析、资产分析、漏洞分析、综合态势分析等多维度研判,为省、市主管部门及重点企业的信息共享和多级联动提供更高质、更有效服务支撑。组织省内企业加强技术攻关和产品研发,围绕典型工业行业信息安全态势感知、监测预警、安全防护、应急处置、审计取证等,研制一批技术工具,丰富工业信息安全技术资源储备。3、建设省级工业安全信息共享与应急服务协
