工业互联网-网络安全.docxVIP

工业互联网网络安全

原标题：《工业互联网企业网络安全分类分级指南（试行）》解读

近年，为加快构建工业互联网安全保障体系，提升工业互联网安全保障能力，工业和信息化部不断完善工业互联网安全保障体系架构，相继发布多个工业互联网相关的安全标准及指导意见。这些标准从安全评估、安全建设、安全运维、安全应急等多个方面提出了安全要求，例如2016年发布的《工业控制系统信息安全防护指南》、2017年发布的《工业控制系统信息安全事件应急管理工作指南》，《工业控制信息安全防护能力评估工作管理办法》和《工业控制系统信息安全行动计划（2018-2020）》等。

2019年7月26日，工业和信息化部联合十部门发布《加强工业互联网安全工作的指导意见》（以下简称《指导意见》）。近日为落实《指导意见》，指导工业互联网企业的分类分级工作，工业和信息化部发布《工业互联网企业网络安全分类分级指南（试行）》（以下简称《分类分级指南》）的征求意见稿，面向社会征求意见。

尽管《分类分级指南》当前正处于面向社会征求意见阶段，但为了帮助工业企业更好的理解《分类分级指南》,更为准确的进行分类分级工作，笔者就其中一些内容进行解读，以飨读者。

《分类分级指南》适用范围

从整篇指南上看《分类分级指南》的工业企业对象主要面向制造业企业，根据企业属性将工业互联网企业分为三类：

1）应用工业互联网的工业企业（简称“联网工业企业”）；

2）工业互联网平台企业（简称“平台企业”）；

3）工业互联网基础设施运营企业。

其中联网工业企业主要涉及原材料工业、装备工业、消费品工业和电子信息制造业等行业，从企业属性上来看，大多都属于制造、加工类型，其工业属性更强，工业网络安全建设相对薄弱，应按照《分类分级指南》要求进行企业分级。而平台企业对外提供的是基于工业互联网平台的互联信息服务，工业互联网基础设施运营企业多是基础电信运营企业和标识解析系统建设运营机构，其更适用《通信网络安全防护管理办法》的要求进行分级。

分级原则

图1《分类分级指南》基本原则

工业互联网企业的分级原则与等级保护定级基本原则类似，等级保护定级是根据对象受到破坏时所侵害的客体和对客体造成侵害的程度进行定级，而《分类分级指南》的分级则以企业实际受网络安全影响程度作为关键因素，结合企业规模、企业应用工业互联网的程度、企业发生网络安全事件的影响程度等要素确认工业互联网企业的分级。

图2等级保护定级原则

目前工业互联网企业分级的评分细则暂未形成，工业和信息化部将会选择重点行业或区域，根据最佳实践，形成详细的工业互联网企业分级评定规则，并建设工业互联网企业网络安全分类分级管理服务平台，由企业根据自身实际情况填报问卷，形成自评报告。

表格1《分类分级指南》分级与等级保护定级原则一览表

联网工业企业分类和分级

《分类分级指南》基于联网工业企业所属行业网络安全影响程度由低到高分别划分为一类、二类和三类，其中三类主要包括钢铁、有色、石化化工、轨道交通装备、船舶及海洋工程装备、航空航天装备等行业。

图3《分类分级指南》企业分级

《等级保护标准》是国家网络安全建设的基本标准，面向的是所有行业和企业，而《分类分级指南》则是在等级保护标准的基础上，对工业互联网企业的安全要求进行深化，面向具有工业互联网属性的企业。

不同于等级保护的五级分类，《分类分级指南》采用计分方式将联网工业企业分为三级，评分大于等于80分的，为三级企业；评分大于等于60分的，且小于80分的，为二级企业；评分小于60分的，为一级企业；属于三类行业的规模以上的联网工业企业原则上定为三级。

表格2《分类分级指南》分级与等级保护定级对比表

图4联网工业企业所属行业网络安全分类指导目录

分级流程

工业互联网企业的分级流程与等级保护流程相似，但颗粒度略有不同，相似之处为在于都是由企业根据自身具体情况及相关分级/定级相关要求先进行自主初步定级，上报至地方管理部门进行核查确认。其中工业互联网企业分级流程中的地方管理部门可根据情况自行核查确认或组织第三方专业机构进行核查确认即可。而等级保护定级在最初定级后，还需要进行专家评审、主管部门审核，最终到企业所在地的公安进行备案，由公安部门对备案结果进行审核确认。

图5《分类分级指南》-分级与等级保护定级流程对比

在《分类分级指南》中要求对于因企业发展或内部结构调整引起的企业内部网络安全风险发生变化的情况，要求企业应主动重新定级。

图6《分类分级指南》-级别评定

图7联网工业企业分级评定参考规则

与等级保护三级的安全要求相对比，《分类分级指南》中的三级在等级保护的基础上提出了更具有企业特色的要求：

2）安全防护要求，明确要求三级企业要建立工业互联网的安全监测平台，这就对企业提出了更高的技术要求，要求企业在建立网络安全技术防护措施和安全管理措施的基础上，同步建设企业上