微信公眾號
聯系我們
首批工業互聯網安全領域國家標準發布
發布時間:2024-10-21 來源:中國建材機械工業協會
近日,國家市場監督管理總局(國家標準化管理委員會)發布2024年第22號中國國家標準公告,批準《工業互聯網企業網絡安全 第1部分:應用工業互聯網的工業企業防護要求》(GB/T 44462.1-2024)、《工業互聯網企業網絡安全 第2部分:平臺企業防護要求》(GB/T 44462.2-2024)、《工業互聯網企業網絡安全 第3部分:標識解析企業防護要求》(GB/T 44462.3-2024)三項工業互聯網企業網絡安全國家標準發布,并于2025年1月1日正式實施。
工業互聯網是數字技術和實體經濟深度融合的關鍵支撐,也是新型工業化的戰略性基礎設施和重要驅動力量。當前,我國工業互聯網正邁進規模化發展階段,網絡安全風險加速由網絡空間向現實世界蔓延,工業互聯網安全保障體系建設的重要性越發凸顯。本次發布的三項國家標準是我國工業互聯網安全領域的首批國家標準,分別對不同類型的工業互聯網企業提出初始級、基本級、增強級3個不同基本的安全要求,是落實《工業互聯網安全分類分級管理辦法》(工信部網安〔2024〕68號)相關要求的重要支撐。
在數字化轉型的浪潮中,工業互聯網作為制造業智能化的關鍵引擎,正以前所未有的速度重塑著工業生態。然而,隨著技術的深入應用,網絡安全威脅也日益凸顯,成為制約工業互聯網健康發展的重大挑戰。在此背景下,《工業互聯網企業網絡安全》系列國家標準,經國家市場監督管理總局(國家標準化管理委員會)批準,將于2025年1月1日正式實施,標志著我國工業互聯網安全防護邁入了標準化、規范化的全新階段。
首批國標出臺,開啟分類分級防護新篇章
本次發布的《工業互聯網企業網絡安全》系列國家標準,包括《第1部分:應用工業互聯網的工業企業防護要求》、《第2部分:平臺企業防護要求》和《第3部分:標識解析企業防護要求》,是我國工業互聯網安全領域的首批國家標準,也是實施工業互聯網安全分類分級工作的創新成果與經驗總結。
這三項標準分別針對應用工業互聯網的工業企業、工業互聯網平臺企業、工業互聯網標識解析企業,提出了初始級、基本級、增強級三個不同級別的安全要求,為工業互聯網企業提供了清晰的防護路徑。
特別是《工業互聯網企業網絡安全 第1部分:應用工業互聯網的工業企業防護要求》(GB/T 44462.1-2024),該標準詳細梳理了應用工業互聯網的工業企業的典型網絡層次架構及各層具體組成、功能,并提出了涵蓋設備安全、控制安全、網絡安全、應用平臺安全、物理和環境安全、安全管理等多方面的防護要求。這一標準的實施,不僅是對《工業互聯網安全分類分級管理辦法》的具體落實,更是指導工業企業開展網絡安全分類分級防護工作的基礎性標準,對于提升整體網絡安全防護水平具有里程碑式的意義。
工業互聯網安全保障體系持續完善
工業互聯網作為新基建的重點方向之一,其發展已經進入快軌道。工業互聯網平臺作為工業互聯網的核心,其安全是工業互聯網安全的重要內容。
以《國務院關于深化“互聯網 +先進制造業”發展工業互聯網的指導意見》《加強工業互聯網安全工作的指導意見》等政策文件為指引,統籌平臺建設與安全建設。充分匯集產學研各界工業互聯網平臺的安全訴求,制定發布工業互聯網平臺安全防護相關的政策文件,進一步明確平臺安全主體責任,以及安全管理、安全防護、安全評估與安全測試等要求,指導、敦促企業做好平臺安全保障工作。
工業互聯網安全防護體系存在諸多挑戰
然而,工業互聯網安全防護體系的建設并非一蹴而就。技術更新換代迅速,攻擊手段層出不窮,這對防護體系的靈活性與適應性提出了更高要求。
01復雜嚴峻的網絡攻擊形勢
當前,網絡攻擊展現出了前所未有的復雜度、組織化及頻繁性,工業傳統的依賴于周期性風險掃描和基礎技術防護的策略已難以招架這些不斷演進的攻擊技術和隱蔽手段。
02 資產邊界模糊
資產邊界不清晰導致安全風險識別和追蹤困難,難以精準把握安全防護的重點和薄弱環節,影響風險治理與安全加固工作的針對性。
03數據安全保障不足
工業安全數據的采集、分析與利用不足,未能充分發揮數據在風險識別、威脅預警、事件響應等方面的潛力,制約了安全運營的效率與效果。
04防護措施利用率不高
工業領域現有的安全設備、策略及配置可能存在配置不當、更新滯后等問題,導致安全防護措施的實際效果未能充分發揮。
構筑防護體系保障工業互聯網網絡安全
面對不斷演變的復雜威脅,僅僅依靠被動的應對措施已顯得力不從心,道普信息風險管控專家提出,必須構建一套全方位、多層次的主動安全防護體系,如定期的安全審計、漏洞掃描、員工培訓以及應急演練,對于工業領域有效抵御網絡攻擊至關重要。
1優化安全運營模式
轉向常態化的監測檢測、以管理促技術的安全運營模式,通過持續監測、分析和響應,提升對高級威脅的感知與應對能力。
2明晰資產邊界與強化風險追蹤
開展全面的資產梳理與風險評估,明確資產邊界,建立詳盡的資產臺賬,加強對風險的識別、跟蹤與閉環管理,確保風險得到有效治理。
3提升安全數據利用水平
加強安全數據分析平臺建設,整合多源安全數據,運用AI、大數據等技術提升數據挖掘與關聯分析能力,賦能風險預警、威脅檢測與事件響應。
4優化安全防護資源配置與策略
對現有安全設備、策略及配置進行全面審查與優化,確保其與業務風險相匹配,提升安全資源的利用率與防護效果。
5統一安全防御標準
推行統一的安全防護標準與最佳實踐,強化跨系統、跨區域的安全策略協調與聯動,提升整體防護體系的一致性與協同作戰能力。
此次發布的三項工業互聯網企業網絡安全國家標準,不僅是我國在工業互聯網安全領域取得的重大突破,更是對制造業數字化轉型和高質量發展的有力支撐。網絡安全不再是一項可有可無的工作,它已成為推動新型工業化進程的關鍵要素之一。未來,隨著這些標準的有效實施,相信我們能夠在享受數字化帶來的便利同時,也為工業互聯網的安全穩定運行提供堅實的保障。
