工业互联网企业网络安全分类分级防护系列规范 (一)：《联网工业企业安全防护规范 (试行)》解读

近期，工业和信息化部印发《工业互联网企业网络安全分级分类管理指南（试行）》（以下简称“指南”）及系列配套文件，同步在15个省、市的工业互联网企业部署开展网络安全分类分级管理试点工作，加强企业差异化、精细化管理，督促企业落实安全主体责任，探索构建以企业防护能力提升为核心的基础性安全管理制度，促进工业互联网高质量发展。

工业互联网企业网络安全分级分类防护系列规范，分别从联网工业企业、平台企业、标识解析企业和数据安全四个方面对《指南》中的相关条款进行落地补充，其中《联网工业企业安全防护规范》（以下简称《规范》）作为规范联网工业企业网络安全分类分级管理和安全防护要求的指导标准，围绕企业普遍面临的安全风险和问题，明确了联网工业企业安全防护范围及内容，从与应用工业互联网服务相关的各类软硬件基础设施、网络、数据、工业APP、安全管理、物理环境等方面提出安全防护要求。

一、联网工业企业面临的安全风险

随着工业互联网的快速发展，应用工业互联网平台的工业企业也逐年增加，特别是在电力、电子等信息化和工业化融合水平较高的行业，制造技术、信息技术的积累较为成熟，工业互联网应用推广程度更高。联网工业企业作为应用工业互联网的工业企业，正逐步推动将企业经营发展方式向模式化研发、智能化制造、网络化协同、个性化定制、数字化管理转变，以实现智能控制、运营优化和生产组织方式的变革。但由于传统工业环境下工业企业内部平台、工业通信协议、工业设备和系统在设计之初并未过多的考虑网络安全问题，导致应用工业互联网平台后，企业安全防护措施不到位，主要体现在：

一是联网设备和控制系统安全风险加大。工业互联网逐步实现全系统、全产业链和全生命周期的互联互通，使传统网络安全威胁延伸至工业生产领域，特别是设备和控制系统的互联互通导致攻击路径增多、攻击面扩大，而多数控制系统在生产设计时缺少安全考虑，大部分重要工业设备日常运维和设备维修也严重依赖服务商，设备和控制系统可能面临指令篡改、分布式拒绝服务攻击、远程渗透等安全风险。

二是网络边界隔离难度进一步增加。工业互联网平台的广泛应用使得企业生产网和办公网、生产网和互联网之间网络隔离难度增大，传统静态防护策略和安全域划分方法不能满足企业网络复杂多变、灵活组网的需求，同时涉及在不同网络间的通信协议、数据格式、传输速率等方面的差异转换，企业网络架构安全、连接安全面临挑战。

三是部分传统工业企业安全防护水平较低。当前，部分工业互联网相关企业存在重发展轻安全的情况，尤其在工业企业相关系统早期的规划和设计阶段，缺乏支持内部和外部审计的运营和合规要求的网络安全框架和标准，将未经实践测试的安全解决方案应用于工业环境，再连接至工业互联网上，加大平台的安全风险的同时，可能对企业业务造成破坏和干扰，降低企业整体安全防护水平。

二、《规范》以分级、分层思路差异化对联网工业企业提出安全防护要求

《联网工业企业安全防护规范》（试行）以解决联网工业企业应用工业互联网的安全风险为出发点，按照技术与管理要求并重原则，分级别、分层次、分对象提出安全防护指导要求。

一是明确联网工业企业安全防护范围。《规范》面向对象为联网工业企业，安全防护范围包括联网工业企业应用工业互联网服务的各类信息系统安全及企业安全管理。其中，包括与应用互联网服务相关的各类软硬件基础设施、网络、数据、物理环境、工业应用等。

二是针对联网工业企业实施分级管理。《规范》将网络安全防护要求分为基本级和增强级，对具备网络安全影响大、企业规模大、行业重要程度高等特征因素的企业，要求采取更高级别安全防护措施：三级联网工业企业建议采取增强级防护措施，二级联网工业企业建议采取基本级防护措施，一级联网工业企业参照基本级防护要求根据自身情况，自主落实安全防护措施。

三是提出联网工业企业安全防护基线。《规范》从设备安全、控制安全、网络安全、数据安全、工业APP等7个方面，提出100余条安全防护基线要求，特别是对联网工业企业中广泛应用的联网控制系统、组态软件、工业APP等软硬件，要求具备相应的安全管理机制和措施。

三、《规范》的落地实施将对促进工业互联网企业安全分类分级管理工作取得实效

一是推动联网工业企业落实网络安全主体责任。《指南》规定，第十五条指出“工业互联网企业应当依据工业互联网安全规范，落实与自身安全级别相适应的防护措施，自行或委托第三方评测机构开展标准符合性评测和风险评估”。通过对照《规范》的具体要求，发现企业存在的安全风险和薄弱环节，推动企业落实网络安全责任制。

二是进一步提升联网工业企业安全防护水平。《规范》从制度、机构、人员、建设和运维等管理方面，和网络架构安全、数据全生命周期安全等技术方面，指导企业建立安全防护手段和措施，防范由于企业应用工业互联网平台而间接引入安全风险或扩大安全缺陷，从而有效提升联网工业企业安全防护水平。

三是掌握工业互联网企业安全现状和需求。《规范》的落地实施可协助主管部门、行业、企业掌握不同等级联网工业企业安全防护现状和需求，增强工业互联网安全技术供给和工业互联网安全产品研究，促进主管部门和行业对工业互联网企业网络安全分类分级监管和针对性安全解决方案推广。

四是促进工业互联网产业快速发展。《规范》面向不同行业工业互联网企业网络安全防护能力提升需求，助力工业企业健全工业互联网网络安全保障体系，解决应用工业互联网的安全顾虑，同时将加速工业互联网安全供需对接和产融合作新模式，促进工业互联网产业快速发展。

作者单位：国家工业信息安全发展研究中心

作 者：张哲宇 才镓赫 孙军

声明：本文来自工业信息安全产业发展联盟，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。