搜索
上海市工业控制系统信息安全行动计划(2018—2020年)工业控制(以下简称工控)系统信息安全是实施制造强国和网络强国战略的重要保障。工控系统已广泛应用于工业经济、城市关键基础设施等重要领域,在沟通信息虚拟环境与现实物理世界,实现自动化、智能化上发挥着基础支撑作用,保障工控系统安全已经成为推进制造业与互联网深度融合发展,工业互联网创新应用急需突破的关键瓶颈问题。上海作为全国重要的工业城市,工控安全需求广泛,工控系统研发、设计、制造、集成、安全等产业链相对完整,并在多个行业实施系统安全评估与加固示范,开展行业性的规划研究,在全国率先成立工控系统信息安全技术服务联盟,建设工控系统安全研发与转化功能型平台,具备推进工控系统信息安全工作,打造技术产业高地的现实基础。为落实《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》(国发〔2017〕50号)、《工业和信息化部关于印发〈工业控制系统信息安全行动计划(2018—2020年)〉的通知》(工信部信软〔2017〕316号),全面提升工控系统安全防护能力,促进工业信息安全产业发展,支撑服务全力打响“上海制造”品牌,特制订本行动计划。一、指导思想和基本原则(一)指导思想全面贯彻党的十九大精神,以习近平新时代中国特色社会主义思想为指导,深入贯彻习近平总书记“四个新作为”重要指示,坚持国家总体安全观和网络强国、制造强国战略,围绕“加快发展先进制造业,推动互联网、大数据、人工智能和实体经济深度融合”新需求,以推进《中华人民共和国网络安全法》实施,落实企业主体责任为关键,着力提升全市工控系统信息安全综合管理、安全防护、技术支撑、产业发展能力,加快建设工控系统信息安全保障体系,打造辐射全国、影响全球的工业信息安全技术与产业高地,保障上海实体经济安全稳定发展,当好新时代全国改革开放排头兵、创新发展先行者。(二)基本原则1.坚持安全与发展并重。树立正确的网络安全观,以安全保发展,以发展促安全,确保信息安全同信息化与工业化融合统一谋划、统一部署、统一推进、统一实施。2.坚持企业主体、政府引导。强化企业在工控系统安全保障的主体责任,建立健全安全责任制,把工控系统信息安全作为安全生产的重要组成部分,深化技术、管理措施落实。政府部门同步加强工作统筹,强化政策、法规和标准的制定和实施。3.坚持市区联动、分类推进。加强市区两级政府部门的工作联动,做好规模以上工业企业工控系统信息安全的管理服务。依托行业主管部门和企业集团,分行业推进工控系统信息安全解决方案落实,切实提高企业工控安全防护针对性和有效性。二、发展目标到2020年,基本建成本市工控系统信息安全保障体系,综合管理、安全防护、技术支撑、产业发展四大能力明显提升。综合管理上,基本形成部门协同、市区联动的工作机制,检查、评估、监测、应急等工作制度全面落实,工控安全服务规范有序。安全防护上,形成服务联络千家企业、督促指导百家重点企业的工作网络,在全市树立10家工控安全体系化标杆企业,打造40家安全评估示范工厂,企业工控安全防护能力全面提升。技术支撑上,引进国家级专业机构和产业联盟,重点培育3-5家本地技术支撑机构,建成工控系统安全综合管理系统,建设完善试验验证、仿真测试、攻防靶场等共性技术平台。产业发展上,创建国家级工业信息安全主题产业园,引进和培育一批影响力大、竞争力强的龙头骨干企业,实施一批技术创新和成果转化项目,打造工控系统信息安全技术产业高地。三、主要任务围绕工控系统信息安全保障需求,强化管理工作体系化建设和制度落实,促进防护能力全面提升,充分依托市场推动技术支撑和产业发展,形成工控系统信息安全保障体系。(一)聚焦监管服务,实施综合管理能力提升工程1.落实企业主体责任制。按照分级负责、属地管理的原则,全面梳理工控系统企业、系统和资产清单,指导企业贯彻落实《中华人民共和国网络安全法》,明确法人代表、经营负责人第一责任,落实工作机构,完善管理制度。加强经信、安全生产等部门的联动,规范年度工控系统安全检查,持续监督工控安全责任和相关管理、技术要求落实。(市经济信息化委、市安全监管局、各区政府)2.完善协同管理机制。加强网信、公安、经信等有关部门的协同联动,合力推进实施关键信息基础设施重点保护、网络安全等级保护、工控系统信息安全防护等有关制度要求。各区政府要完善区域内重点企业、重要工控系统管理服务机制,完善检查、监测、应急等服务保障能力建设。充分依托行业主管部门与大企业集团管理职能和服务功能,分行业、分系统完善安全制度,支持形成行业级、企业级工控系统信息安全解决方案和标准规范。(市委网信办、市公安局、市经济信息化委、各区政府、各行业主管部门)3.规范社会安全服务。以《工业控制系统信息安全防护指南》深入实施为抓手,大力促进安全咨询、整改加固、产品认证、风险评估等工控系统安全服务发展,统筹开展试点示范,促进工控安全服务的普及化。指导支持相关行业组织按照国家政策标准,结合上海实际,制定综合企业信用、产品性能、服务能力等多环节的产品与服务评价标准,开展工控安全产品、服务的安全审查和评估,完善相关产品和服务的推荐机制,规范工控安全服务有序开展。(市经济信息化委)(二)聚焦运行安全,实施安全防护能力提升工程4.完善千家企业安全指导。加强与“两化融合”、“企业上云”等工作协调联动,指导千家企业贯彻落实《工业控制系统信息安全防护指南》等政策标准,依托互联网平台开展年度工控安全自评估工作,指导企业合理确定系统网络安全等级,完善网络、平台、数据等管理制度和技术措施。建立千家企业工控安全联络员工作网络,每年开展不少于一次的安全责任人、联络员业务培训,更好促进相关工作要求落实。(市经济信息化委、各区政府)5.落实百家企业重点防护。围绕城市运行和生产安全保障要求,重点督导百家城市生命线和重点工业企业。在督促落实网络安全等级保护、工控系统安全防护等要求基础上,强化专业岗位持证上岗、重要数据重点防护、产品服务采购审查等关键信息基础设施合规要求。同时,加强工控系统信息安全检查评估、安全监测、信息通报、应急管理、攻防演练等制度落实,确保重要工控系统安全稳定运行。(市经济信息化委、市委网信办、市公安局等)6.打造十家示范标杆企业。加强标杆企业示范带动,在全市范围内遴选十家基础较好的企业集团,开展工控系统信息安全保障体系化设计,完善企业设备、控制、网络、平台和数据安全管理制度规范,形成一体化的企业级工业信息安全保障体系框架。按照国家政策和技术标准,在工业互联网、智能制造等创新应用领域,结合两化融合管理体系贯标工作推进,启动40家标杆工厂防护能力评估和加固示范工程,并通过国家级专业机构的检查评估验证。(市经济信息化委)专栏一:工控系统信息安全“千百十”行动2020年前,完成上海工业企业工控系统信息安全“千百十”行动:围绕千家重要规模以上工业企业、两化融合重点跟踪企业和生产性服务业企业,以指导贯标为重点,推动企业开展年度自评估,树立工业信息安全意识,完善系统安全防护,更好应用工业互联网、工业云等制造业与互联网融合新技术、新应用。聚焦百家供电供水供气、城市轨道交通等城市生命线企业,以及钢铁、化工、汽车、装备制造等对城市经济安全有重大影响的重要工业企业,综合推进目前国家已出台的相关管理和技术规范标准落实,满足安全防护基线要求,并通过加强监管实施重点保护。打造10家示范引领的集团公司,围绕工业互联网不同层级的安全需求提出企业工业信息安全保障的体系化建设思路框架并贯彻实施;同时通过持续推进评估加固试点,力争有40家制造工厂通过国家评估,形成示范带动。(三)聚焦平台设施,实施技术支撑能力提升工程7.建设全市工控安全综合管理系统。按照工控系统信息安全精细化、清单化管理要求,建设全市工控系统信息安全综合管理平台,支持企业开展基础情况填报和自评估工作;对接区政府、行业主管部门管理需求,为安全检查、信息通报、信息共享、应急管理提供全面技术支持;形成工控系统信息安全知识库、漏洞库和应急资源库,精准匹配到相应企业和工控系统,完善对安全检查、监测预警和应急处置等工作的支持。(市经济信息化委)8.培育工控安全专业服务能力。完善国家工控系统安全质量监督检验机构建设,对标欧盟、美国等国际检测要求,打造具有国际影响力,融合信息安全、功能安全、本质安全的一体化工控系统安全检测能力。着力打造3-5家获得国家相关部门专业资质授权的本地化工控系统信息安全专业技术服务机构,统筹支持工控系统安全评估、监测预警、产品审查等专业技术系统建设。争取国家级工业信息安全研究中心落户本市,完善和提升汽车、电力等上海优势行业协同及技术创新能力,服务和支撑长三角乃至全国工控系统信息安全保障工作开展。(市经济信息化委、市编办)9.完善工控安全基础实验验证平台。依托工控系统安全研发与转化功能型平台,充分整合已有的电力、水务、轨交、汽车等检测实验平台,以及工控系统生产商、装备制造企业的产品测试基地,基于半实物仿真或全实物方式,完善实验环境建设。制订实验室资源共享机制,形成不同类型机构共建共享的工控系统信息安全联合实验室,支持和促进基于工控系统信息安全的仿真测试、漏洞挖掘、产品验证、攻防演练等基础研究与工作开展。(市经济信息化委、市科委、市发展改革委)10.强化与国家平台技术对接。全面对接国家工控信息安全“一网”(在线监测网络)、“一库”(应急资源库)、“三平台”(仿真测试、信息共享、信息通报),开展市级监测平台建设,完善主动监测、被动诱捕、威胁情报获取等技术手段,覆盖主要行业和重点防护企业,整合相关监测资源形成市级节点并与国家监测网络技术对接。做好工控安全综合管理平台信息共享、信息通报、应急资源管理等功能与国家有关技术平台的衔接,丰富和完善市级平台知识库,确保信息有效沟通,威胁事件处置高效。对标国际的一流检测实验环境,在本市优势行业建设实验验证平台、联合实验室,力争在汽车、电力、轨交等领域建成国家级仿真测试平台。(市经济信息化委)专栏二:工控系统信息安全支撑能力三步走提升计划2020年前,在工控系统信息安全技术支撑能力上形成“一平台、二机构、三对接”三步走格局:“一平台”即完成全市工控安全综合管理系统建设,形成相应的管理对象清单,具备监测预警、应急管理、安全检查等技术功能,满足政府部门监管需求,建设相应的病毒库、漏洞库和系统知识库,为工业企业开展自评估、漏洞整改和事件应对提供技术支持。“二机构”即完成本市3-5家工控系统安全技术支撑机构建设,分别从工控专业、信息安全专业布局,形成“竞争+合作”的模式,做好对相关监管工作的技术支撑,以及工业企业的服务保障。“三对接”即在三个层面与国家开展工作对接,一是衔接合作,以“一平台”为基础,与国家监测预警网络、应急资源库、信息共享平台和信息通报平台进行技术对接,协同开展工业信息安全治理工作,支撑本市工作开展;二是建设承接,承接国家工控系统安全质量监督检验机构、国家工业信息安全发展研究中心华东分部等的建设布局,辐射和带动长三角区域联动和一体化协同提升;三是能力输出,把上海优势行业,如电力、汽车等实验验证平台、实验室、协同创新中心打造成具国际影响力的技术平台,支撑国家级仿真测试平台、实验室建设。(四)聚焦创新转化,实施产业发展能力提升工程11.加强技术创新和应用突破。针对系统、网络、设备等不同层面安全需求,强化技术创新,突破应用瓶颈。在系统组件方面,重点研究突破网络安全攻防机制,突破安全隔离、安全审计、攻击检测等关键技术;在网络层次方面,研究突破网络内部、跨网络以及产业链上下游之间网络通信协议及其安全关键技术;在终端设备方面,研究突破传感器、仪器仪表、执行器等安全接口、安全协议、安全评估、识别诊断等关键技术;开展功能安全、本质安全、信息安全技术融合与评价研究,形成工控系统一体化安全检测验证能力。围绕电力、石化、钢铁、生物医药等流程型工业,供水供电供气、轨道交通、电子信息、航空航天、装备制造等离散型工业,以及网络协同制造、大规模个性化定制、远程运维等工业互联网新应用,加强工控安全技术与传统信息安全技术融合创新发展