(二)構建工業(yè)互聯網安全管理體系

  3.健全安全管理制度。圍繞工業(yè)互聯網安全監(jiān)督檢查、風險評估、數據保護、信息共享和通報、應急處置等方面建立健全安全管理制度和工作機制,強化對企業(yè)的安全監(jiān)管。

  4.建立分類分級管理機制。建立工業(yè)互聯網行業(yè)分類指導目錄、企業(yè)分級指標體系,制定工業(yè)互聯網行業(yè)企業(yè)分類分級指南,形成重點企業(yè)清單,強化逐級負責的政府監(jiān)管模式,實施差異化管理。

  5.建立工業(yè)互聯網安全標準體系。推動工業(yè)互聯網設備、控制、網絡(含標識解析系統)、平臺、數據等重點領域安全標準的研究制定,建設安全技術與標準試驗驗證環(huán)境,支持專業(yè)機構、企業(yè)積極參與相關國際標準制定,加快標準落地實施。

  (三)提升企業(yè)工業(yè)互聯網安全防護水平

  6.夯實設備和控制安全。督促工業(yè)企業(yè)部署針對性防護措施,加強工業(yè)生產、主機、智能終端等設備安全接入和防護,強化控制網絡協議、裝置裝備、工業(yè)軟件等安全保障,推動設備制造商、自動化集成商與安全企業(yè)加強合作,提升設備和控制系統的本質安全。

  7.提升網絡設施安全。指導工業(yè)企業(yè)、基礎電信企業(yè)在網絡化改造及部署IPv6、應用5G的過程中,落實安全標準要求并開展安全評估,部署安全設施,提升企業(yè)內外網的安全防護能力。要求標識解析系統的建設運營單位同步加強安全防護技術能力建設,確保標識解析系統的安全運行。

  8.強化平臺和工業(yè)應用程序(APP)安全。要求工業(yè)互聯網平臺的建設、運營單位按照相關標準開展平臺建設,在平臺上線前進行安全評估,針對邊緣層、IaaS層(云基礎設施)、平臺層(工業(yè)PaaS)、應用層(工業(yè)SaaS)分層部署安全防護措施。建立健全工業(yè)APP應用前安全檢測機制,強化應用過程中用戶信息和數據安全保護。

  (四)強化工業(yè)互聯網數據安全保護能力

  9.強化企業(yè)數據安全防護能力。明確數據收集、存儲、處理、轉移、刪除等環(huán)節(jié)安全保護要求,指導企業(yè)完善研發(fā)設計、工業(yè)生產、運維管理、平臺知識機理和數字化模型等數據的防竊密、防篡改和數據備份等安全防護措施,鼓勵商用密碼在工業(yè)互聯網數據保護工作中的應用。

  10.建立工業(yè)互聯網全產業(yè)鏈數據安全管理體系。依據工業(yè)門類領域、數據類型、數據價值等建立工業(yè)互聯網數據分級分類管理制度,開展重要數據出境安全評估和監(jiān)測,完善重大工業(yè)互聯網數據泄露事件觸發(fā)響應機制。

  (五)建設國家工業(yè)互聯網安全技術手段

  11.建設國家、省、企業(yè)三級協同的工業(yè)互聯網安全技術保障平臺。工業(yè)和信息化部統籌建設國家工業(yè)互聯網安全技術保障平臺。工業(yè)基礎較好的省、自治區(qū)、直轄市先期試點建設省級技術保障平臺。支持鼓勵機械制造、電子信息、航空航天等重點行業(yè)企業(yè)建設企業(yè)級安全平臺,強化地方、企業(yè)與國家平臺之間的系統對接、數據共享、業(yè)務協作,打造整體態(tài)勢感知、信息共享和應急協同能力。

  12.建立工業(yè)互聯網安全基礎資源庫。建設工業(yè)互聯網資產目錄庫、工業(yè)協議庫、安全漏洞庫、惡意代碼病毒庫和安全威脅信息庫等基礎資源庫,推動研制面向典型行業(yè)工業(yè)互聯網安全應急處置、安全事件現場取證等工具集,加強工業(yè)互聯網安全資源儲備。

  13.建設工業(yè)互聯網安全測試驗證環(huán)境。搭建面向機械制造、電子信息、航空航天等行業(yè)的工業(yè)互聯網安全攻防演練環(huán)境,測試、驗證各環(huán)節(jié)存在的網絡安全風險以及相應的安全防護解決方案,提升識別安全隱患、抵御安全威脅、化解安全風險的能力。

  (六)加強工業(yè)互聯網安全公共服務能力

  14.開展工業(yè)互聯網安全評估認證。構建工業(yè)互聯網設備、網絡、平臺、工業(yè)APP等的安全評估體系,依托產業(yè)聯盟、行業(yè)協會等第三方機構為工業(yè)互聯網企業(yè)持續(xù)開展安全能力評測評估服務,推動工業(yè)互聯網安全測評機構的審核認定。

  15.提升工業(yè)互聯網安全服務水平。鼓勵和支持專業(yè)機構、網絡安全企業(yè)等提供安全診斷評估、安全咨詢、數據保護、代碼檢查、系統加固、云端防護等服務。鼓勵基礎電信企業(yè)、互聯網企業(yè)、系統解決方案提供商等依托專業(yè)技術優(yōu)勢,加強與工業(yè)互聯網企業(yè)的需求對接,輸出安全保障服務。

  (七)推動工業(yè)互聯網安全科技創(chuàng)新與產業(yè)發(fā)展

  16.支持工業(yè)互聯網安全科技創(chuàng)新。加大對工業(yè)互聯網安全技術研發(fā)和成果轉化的支持力度,強化標識解析系統安全、平臺安全、工業(yè)控制系統安全、數據安全、5G安全等相關核心技術研究,加強攻擊防護、漏洞挖掘、態(tài)勢感知等安全產品研發(fā)。支持通過眾測眾研等創(chuàng)新方式,聚集社會力量,提升漏洞隱患發(fā)現技術能力。支持專業(yè)機構、高校、企業(yè)等聯合建設工業(yè)互聯網安全創(chuàng)新中心和安全實驗室。探索利用人工智能、大數據、區(qū)塊鏈等新技術提升安全防護水平。

  17.促進工業(yè)互聯網安全產業(yè)發(fā)展。充分利用國家和地方網絡安全產業(yè)園(基地)等形式,整合相關行業(yè)資源,打造產學研用協同創(chuàng)新發(fā)展平臺,形成工業(yè)互聯網安全對外展示和市場服務能力,培育一批核心技術水平高、市場競爭能力強、輻射帶動范圍廣的工業(yè)互聯網安全企業(yè)。在汽車、電子信息、航空航天、能源等重點領域開展試點示范,遴選優(yōu)秀安全解決方案和最佳實踐,并加強應用推廣。