篇章数

21

引证文献

0 !

参考文献

111

工业信息安全发展报告(2017-2018) 图书

Annual Report on the Development of Industrial Information Security (2017-2018)

SSAPID:101-1622-5861-08
ISBN:978-7-5201-2422-5
DOI:
ISSN:

[内容简介] 本报告以工业信息安全新形势、新动向、新进展为着眼点,力求以全新的视角聚焦工业信息安全领域,以专业的分析研判工业信息安全态势与发展趋势,以系统的研究反映工业信息安全政策、技术、产业等方面的最新动向与进展,为政府部门、行业、有关企事业单位以及相关科研机构提供参考。

相关信息

丛书名:工业和信息化蓝皮书
作 者: 尹丽波
编 辑:吴敏
出版社:社会科学文献出版社
出版时间: 2018年06月
语 种:汉文
中图分类:F49 信息产业经济(总论)

 深入实施制造强国和网络强国战略推动制造业高质量发展

 Abstract

 《工业信息安全发展报告(2017~2018)》课题组

 主编简介

 工业和信息化蓝皮书编委会

 Contents

 Ⅰ 总报告

  B.1 工业信息安全特征与趋势

   一 工业信息安全内涵

   二 工业信息安全总体态势和特征

    (一)全球工业信息安全整体形势严峻

     1.工业信息安全风险持续攀升

      (1)暴露在互联网上的工控系统及设备有增无减

      (2)工业信息安全高危漏洞层出不穷

      (3)工控系统攻击难度逐渐降低

      (4)重大工业信息安全事件频发

     2.我国工业信息安全现状不容乐观

      (1)工业信息安全意识仍显薄弱

      (2)工业信息安全防护水平相对较低

      (3)核心技术产品自主可控程度偏低

    (二)工业互联网安全问题日益突出

     1.工业互联网暴露更多安全脆弱性,安全防护难度进一步增加

      (1)工业互联网自身安全脆弱性逐渐凸显

      (2)新技术在工业互联网的应用带来新的安全风险

      (3)传统信息安全防护方式难以有效保障工业互联网安全

     2.互联互通显著扩大安全边界,安全威胁渗透加剧

      (1)工业互联网安全边界模糊,边界安全防护困难重重

      (2)传统信息安全威胁不断向工业互联网渗透

     3.安全产品和技术相对匮乏,产业支撑能力严重不足

      (1)现有安全产品和技术措施滞后于工业互联网发展

      (2)工业互联网安全产业支撑能力比较薄弱

    (三)国内外工业信息安全建设取得积极进展

     1.美国等发达国家着力提升工业信息安全保障水平

      (1)以工控系统和关键信息基础设施为抓手,大力提升工业信息安全保障能力

      (2)政府以工控安全和制造业安全为核心,推进工业互联网安全保障

      (3)行业共同协作,促进工业互联网安全的行业自律和产业推进

     2.我国工业信息安全工作取得显著成效

      (1)出台工控安全政策和标准

      (2)积极推动工业信息安全保障能力建设

      (3)组织开展工控安全检查

      (4)全面开展工控安全培训工作

      (5)举行工业信息安全事件演练和技能竞赛

      (6)促进工业信息安全产业发展

   三 未来工业信息安全发展趋势

    (一)工业互联网安全在工业信息安全保障工作中的重要性日益突出

    (二)工控系统日益成为黑客攻击和网络战的重要目标

    (三)大批网络武器泄露降低工业系统攻击门槛

    (四)勒索攻击、定向攻击、僵尸网络攻击等新型攻击方式日渐盛行

    (五)企业安全投入有望进一步加大,给工业信息安全产业带来良好发展机遇

 Ⅱ 法规政策篇

  B.2 我国工业信息安全顶层设计加强

   一 工业信息安全政策体系框架初步形成

   二 国家法规战略和政策文件高度重视工业信息安全

    (一)法规战略强调关键信息基础设施保护

     1.《网络安全法》

     2.《国家网络空间安全战略》

    (二)政策规划强调关键信息基础设施安全地位

     1.《国家信息化发展战略纲要》

     2.《“十三五”国家信息化规划》

    (三)预案、条例、办法细化关键信息基础设施安全防护要求

     1.《国家网络安全事件应急预案》

     2.《网络产品和服务安全审查办法(试行)》

     3.《关于发布〈关键设备和网络安全专用产品目录(第一批)〉的公告》

     4.《关键信息基础设施安全保护条例(征求意见稿)》

   三 工业信息安全顶层设计文件陆续出台

    (一)强化工业信息安全在保障“两个强国”建设中的作用

     1.《中国制造2025》

     2.《关于深化制造业与互联网融合发展的指导意见》

     3.《关于深化“互联网+先进制造业”发展工业互联网的指导意见》

    (二)规划工业信息安全体系建设的发展方向

  B.3 工业信息安全管理制度和标准建设取得实效

   一 工业信息安全管理制度陆续出台

    (一)工业信息安全制度基础得到夯实

     1.《关于加强工业控制系统信息安全管理的通知》

     2.《关于大力推进信息化发展和切实保障信息安全的若干意见》

    (二)工业信息安全管理制度不断细化

     1.《工业控制系统信息安全防护指南》

     2.《工业控制系统信息安全事件应急管理工作指南》

     3.《工业控制系统信息安全防护能力评估工作管理办法》

     4.《国家工业信息安全应急技术服务单位管理办法》

   二 工业信息安全技术标准体系逐步形成

    (一)工业控制系统安全标准体系日益完善

    (二)工业控制系统安全标准不断发布并实施

     1.《GB/T 32919-2016 信息安全技术 工业控制系统安全控制应用指南》

     2.《GB/T 30976.1-2014 工业控制系统信息安全 第1部分:评估规范》

     3.《GB/T 30976.2-2014 工业控制系统信息安全 第2部分:验收规范》

   三 工业信息安全管理制度和标准建设力度将不断加大

    (一)工业信息安全管理制度体系建设将不断加快

    (二)工业信息安全标准覆盖范围将不断扩大

  B.4 我国关键信息基础设施保护立法取得新进展

   一 我国关键信息基础设施保护立法的重大意义

    (一)关键信息基础设施保护立法背景及必要性

    (二)国际上关键信息基础设施相关立法工作情况

   二 我国关键信息基础设施保护立法迎来新发展

    (一)《网络安全法》开启我国关键信息基础设施立法工作序幕

    (二)关键信息基础设施安全保护条例制定工作稳步推进

     1.关键信息基础设施范围的认定

     2.运营者及产品服务的安全要求

     3.监测预警、应急处置和检测评估机制的建立

     4.责任与义务

    (三)关键信息基础设施安全配套标准陆续制定

    (四)关键信息基础设施法规政策积极落实

     1.开展关键信息基础设施网络安全检查工作

     2.建立网络安全信息共享与信息通报体系

  B.5 国外关键信息基础设施法规政策进展研究

   一 美国多措并举推进关键信息基础设施安全立法

    (一)特朗普政府颁布总统行政令《加强联邦政府与关键基础设施的网络安全》Presidential Executive Order on Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure,2017.5.11.">*

     1.主要内容

     2.特点分析

      (1)进一步强化国土安全部在网络安全上的管理职能

      (2)直面政府部门和关键基础设施的网络安全突出隐患和敏感问题

      (3)在注重网络安全政策延续性的基础上强调严抓落实

    (二)《2017年NIST网络安全框架、评估和审查法》推动联邦机构强化落实网络安全框架

    (三)《2017物联网安全改进法案》力图引导物联网实现安全发展

   二 新加坡发布《2017网络安全法案(草案)》,保障关键信息基础设施安全

    (一)出台背景

    (二)主要内容及解读

     1.建立关键信息基础设施的认定机制

     2.建立面向关键信息基础设施所有者的监管机制

     3.建立网络安全事件的响应和预防机制

     4.建立网络安全服务许可准入制度

    (三)影响和意义

   三 世界各国高度重视关键信息基础设施保护立法

    (一)澳大利亚发布《关键基础设施安全法草案2017》

    (二)俄罗斯国家杜马通过《关键信息基础设施安全法》

 Ⅲ 工业互联网安全篇

  B.6 工业互联网发展与安全防护研究

   一 工业互联网基本情况

    (一)工业互联网产生背景

    (二)工业互联网相关概念

    (三)工业互联网体系架构

    (四)工业互联网业态组成

    (五)工业互联网发展现状

   二 工业互联网安全问题分析

    (一)工业互联网日益成为黑客攻击重点目标

    (二)工业互联网安全问题日渐凸显

    (三)工业互联网安全保障体系亟待完善

   三 国外工业互联网安全保障情况

    (一)政府引领:出台相关战略法规,指引工业互联网安全保障

     1.美国

     2.德国

    (二)行业推动:设立专门组织机构,强化工业互联网行业自律

     1.美国

     2.德国

     3.日本

    (三)标准规范:推进建设标准体系,掌握全球工业互联网主导

     1.美国

     2.欧盟

     3.国际组织

    (四)技术突破:强化技术支撑能力,攻关工业互联网安全关键技术

     1.美国

     2.欧盟

   四 我国逐步加强工业互联网安全保障

    (一)积极布局工业互联网发展,以发展促安全

    (二)全力部署工业互联网安全,以安全保发展

    (三)逐步建立工业互联网安全保障体系,实现网络、平台及安全同步发展

     1.着力提升工业互联网安全保障地位

     2.明确梳理工业互联网安全保障思路

     3.深化落实工业互联网安全保障重点任务

  B.7 工业云安全研究

   一 工业云概念与内涵综述

    (一)工业云相关定义

     1.云计算

     2.云制造(CMfg)

     3.基于云计算的设计和制造(CBDM)

     4.工业云

    (二)工业云体系架构

     1.云计算通用架构:IaaS、PaaS和SaaS三个层次

     2.工业云服务体系架构

    (三)工业云主要类型

   二 国内外工业云安全发展现状

    (一)国外多措并举促进云计算安全发展

    (二)我国工业云“重发展、轻安全”的现象依然存在

   三 工业云安全问题日益凸显

    (一)海量设备和系统的接入加大云安全防护难度

    (二)云及虚拟化平台自身的安全脆弱性日渐突出

    (三)API接口开放加大了工业云平台面临的安全风险

    (四)通过云平台汇集的工业数据面临更大的安全威胁

    (五)云环境下安全风险跨域传播的级联效应愈发明显

    (六)云服务模式导致安全主体责任不清晰

   四 工业云安全与传统云计算安全的不同之处

    (一)更易成为攻击对象

    (二)安全防护难度更大

    (三)安全影响更为严重

    (四)当前防护水平更低

  B.8 工业大数据安全研究

   一 基本情况

    (一)工业大数据产生背景

    (二)工业大数据定义和特征

     1.定义

     2.特征

      (1)多态性

      (2)可靠性

      (3)实时性

      (4)闭环性

      (5)级联性

      (6)高价性

    (三)工业大数据与传统大数据的区别

     (1)采集环节

     (2)存储环节

     (3)处理环节

     (4)分析环节

   二 发展现状

    (一)国外情况

     1.美、德、法、日等发达国家加快部署工业大数据相关战略

     2.国外企业积极推动工业大数据应用

    (二)国内情况

     1.工业大数据发展势头良好

     2.工业大数据应用在实践中逐步推广

   三 安全问题

    (一)工业大数据价值密度高,日益成为黑客攻击重点对象

    (二)工业大数据采集、存储、传输、分析、应用等全生命周期环节面临众多安全风险

    (三)传统数据安全防护措施难以满足工业大数据发展需求

    (四)工业企业的大数据安全意识薄弱,防护技能不足

    (五)工业大数据安全监管面临挑战

   四 安全保障措施

    (一)国外情况

     1.战略层面强调安全保障

     2.加强大数据安全法律保障

     3.研发数据安全技术

    (二)国内情况

     1.加强大数据安全法规政策建设

     2.建立完善大数据安全标准体系

     3.推进技术研发与应用

 Ⅳ 工作进展篇

  B.9 检查评估工作成效显著

   一 工控安全检查工作持续开展

    (一)工作开展情况

     1.企业安全自查

     2.检查队伍技术抽查

     3.工业现场深度核查

    (二)检查发现的问题

     1.部分工业企业安全意识仍显不足

     2.工控安全管理机制缺失

     3.工控安全防护能力薄弱

     4.存在漏洞、病毒等高危风险隐患

     5.重要工业控制设备前端未部署安全防护设备

     6.关键设备国产化率低

    (三)工作成效

     1.进一步掌握当前工控安全现状

     2.摸清《防护指南》贯彻落实情况

     3.梳理重点行业共性问题

     4.完善工控安全检查机制

     5.提升工控安全检查能力

   二 工控安全防护能力评估启动

    (一)工作开展情况

     1.初步建设了评估工作标准规范体系,指导开展防护能力评估工作

     2.结合《防护指南》宣贯培训,做好防护能力评估准备工作

     3.遴选重点行业的典型企业,开展第一阶段评估工作

     4.完善并发布《管理办法》,规范工控安全防护能力评估工作

     5.开展第二阶段评估工作,进一步验证《评估方法》可操作性

    (二)防护能力评估发现的问题

     1.工控安全管理责任不明确

     2.供应链安全管理不足

     3.工业主机管理和防护不到位

     4.部分网络边界存在攻击路径

     5.生产网分区分域安全防护不完善

     6.生产网安全监测手段缺失

    (三)工作成效

     1.初步摸清了工业企业安全防护现状,促进提升工控安全防护水平

     2.通过现场评估工作,验证了《防护指南》的有效性

     3.检验评估方法的合理性、可操作性,进一步完善了评估工作相关规范

     4.逐渐打造专注工控安全防护能力评估的国家级和地方级支撑队伍

  B.10 信息通报与应急保障工作持续推进

   一 概述

   二 出台法规政策,明确信息通报与应急保障的紧迫性与重要性

   三 开展工业信息安全信息报送与通报试点工作,探索建立信息报送与通报机制

    (一)明确流程与内容,统一工作要求

    (二)协同有序推进,保障工作实效

    (三)及时总结讨论,推动工作持续开展

   四 组织工控安全事件应急演练,积累应急管理工作经验

    (一)组织背景

    (二)开展情况

    (三)取得成效

  B.11 工控安全审查工作提上日程

   一 工控安全审查工作启动背景

    (一)国外工控安全审查政策制度基本情况

     1.网络安全审查

      (1)美国

      (2)欧盟及其成员国

      (3)印度

      (4)其他国家

     2.工控安全审查

      (1)美国

      (2)新加坡

      (3)澳大利亚

    (二)国内工控安全审查政策制度基本情况

     1.网络安全审查

      (1)《国家安全法》确立我国安全审查总体思路

      (2)《网络安全法》为我国网络安全审查工作的开展提供直接法律依据

     2.工控安全审查

      (1)《国家网络空间安全战略》提出对关键信息基础设施实施网络安全审查

      (2)《网络产品和服务安全审查办法(试行)》搭建我国工控产品和服务安全审查制度的基本框架

      (3)《工业控制系统信息安全行动计划(2018~2020年)》提出工业控制系统产品与服务安全审查

   二 工控安全审查工作积极推进

    (一)云计算服务安全审查扎实开展

    (二)工控安全审查工作即将启动

     1.PLC纳入网络关键设备和网络安全专用产品目录

     2.工控安全审查技术标准研究积极开展

  B.12 工业信息安全意识教育与人才培养全面推进

   一 工业信息安全意识全面提升

    (一)《防护指南》宣贯工作取得显著成效

     1.组织开展情况

      (1)形成系统培训模式

      (2)共享权威培训内容

      (3)编写宣贯培训教材

      (4)面向全国开展培训

      (5)编制优秀论文汇编

      (6)梳理工控安全共性问题

     2.培训工作取得的成效

      (1)初步理清了地方工信主管部门及工业企业工控安全工作切入点,指明了工作方向

      (2)搭建了信息共享与交流平台,促进不同地区、行业间的沟通

      (3)营造“共同维护工控安全”的氛围,为推进地方培训、检查、评估等工作创造良好的条件

    (二)政府部门、科研院所等加快推进工控安全培训

   二 工业信息安全人才培养力度加大

    (一)国外在网络安全人才培养方面主要措施和进展

     1.美国的主要措施和进展

     2.俄罗斯、以色列、日本等国的主要措施和进展

    (二)我国网络安全人才培养现状

     1.人才规模难以满足国家网络安全工作需求

     2.高层次人才缺乏,结构失衡

     3.网络安全学科体系建设不完善

    (三)我国工业信息安全人才培养取得新进展

     1.2017年工业信息安全技能大赛

      (1)选拔人才,培养工业信息安全专业人才队伍

      (2)共享成果,提升工控企业信息安全防护意识及水平

      (3)加强宣传,进一步普及工业信息安全常识

     2.工控系统信息安全攻防竞赛(EICS)

     3.信息安全铁人三项赛

     4.“赛博地球杯”工业互联网安全大赛

 Ⅴ 技术产业篇

  B.13 漏洞披露研究

   一 漏洞概述

    1.不披露

    2.部分披露

    3.保护期披露

    4.全面披露

   二 国外漏洞披露研究

    (一)美国基本情况

     1.政府出台的漏洞披露相关法律政策

     2.第三方机构的漏洞披露制度

    (二)其他国家基本情况

     1.美国、欧盟等多个国家和地区共同制定《网络犯罪公约》约束漏洞挖掘行为

     2.欧盟《通用数据保护条例》提出漏洞披露时限要求

     3.多国发展类VEP政策限制漏洞披露

     4.日本建立工业控制系统漏洞披露机制

    (三)国外主流漏洞披露平台

     1.美国主流漏洞披露平台

      (1)CVE公共漏洞平台

      (2)美国国家信息安全漏洞库NVD

      (3)ICS-CERT工业控制系统漏洞发布平台

      (4)HackerOne漏洞众测平台

     2.欧洲主流漏洞披露平台

      (1)欧盟CERT-EU漏洞发布平台

      (2)芬兰 NCSC-FI漏洞平台

      (3)俄罗斯SecurityLab漏洞信息门户

     3.亚太地区漏洞披露平台

      (1)日本JVN漏洞披露平台

      (2)澳大利亚AusCERT Security漏洞披露平台

   三 国内漏洞披露研究

    (一)我国的漏洞披露法律政策

     1.《网络安全法》

     2.《中国互联网协会漏洞信息披露和处置自律公约》

    (二)我国的主流漏洞披露平台

     1.国家信息安全漏洞共享平台

     2.国家信息安全漏洞库

     3.国家工业控制系统网络安全信息共享平台

     4.漏洞社区Seebug

     5.补天漏洞响应平台

     6.漏洞盒子

  B.14 车联网网络安全防护研究

   一 发展背景

   二 车联网概念及内涵

   三 车联网网络安全威胁严峻

   四 车联网网络安全风险

    (一)车联网终端安全风险

     1.T-box

     2.IVI

     3.ECU

     4.OBD接入

     5.车载终端升级

    (二)车联网数据安全风险

     1.数据采集和使用

     2.数据传输

     3.数据跨境流动

     4.数据被窃

    (三)车联网业务云平台安全风险

   五 车联网网络安全防护

    (一)国外相关举措

    (二)国内相关举措

    (三)安全防护策略

     1.车联网终端

     2.车联网数据

     3.车联网业务云平台

   六 展望

  B.15 工业信息安全事件技术分析

   一 网络勒索成为世界焦点

    (一)全球PC灾难,“WannaCry”病毒爆发

    (二)勒索病毒“Petya”来袭,更具破坏性

    (三)新型勒索软件“Bad Rabbit”袭击东欧诸国

   二 供应链安全风险凸显

    (一)Xshell应用软件存在后门

    (二)主板厂商利用英特尔UEFI BIOS固件漏洞留门

    (三)恶意软件“TRITON”引发工业厂房安全事件

    (四)英特尔等CPU惊现重大安全漏洞,工业企业相关操作系统、云服务平台、工业互联网平台等面临安全威胁

   三 全球数据泄露问题愈演愈烈

    (一)国家级攻击工具泄露带来全球网络安全连锁影响

    (二)影子经纪人公开美NSA黑客武器库

    (三)曼哈顿纽约机场机密文档泄露

   四 物联网安全形势依然严峻

    (一)20万国产WiFi摄像头曝漏洞,后门大开任由黑客进入

    (二)数十款Linksys路由器曝高危漏洞,可致远程命令执行及敏感信息泄露

    (三)“Mirai”变异升级继续感染物联网

   五 安全漏洞频出,危及工业互联网

    (一)常用无线协议存在多个漏洞

    (二)Struts2高危漏洞爆发趋势不减

    (三)Tomcat存在远程代码执行漏洞

    (四)PHP存在缓冲区溢出漏洞,可执行任意代码

    (五)视频监控设备高危漏洞危及工控安全

     1.较多视频设备开放远程登录协议,易被恶意控制发起网络攻击

     2.视频监控安全漏洞可对工业相关领域造成恶劣后果

  B.16 工业信息安全产业发展研究

   一 全球工业信息安全产业发展态势良好

    (一)全球工业信息安全市场规模高速增长

    (二)全球工业信息安全市场产业结构逐步完善

     1.产品类

     2.服务类

     3.管理类

    (三)全球工业信息安全市场竞争格局逐渐形成

     1.用户安全投资意愿增强

     2.产品类厂商竞争激烈

     3.服务类厂商蓄势待发

     4.产业链上下游企业资本整合加速

   二 我国工业信息安全产业潜力巨大

    (一)我国工业信息安全产业发展环境向好

    (二)我国工业信息安全产业进入快速增长期

    (三)我国工业信息安全投入显著增长

    (四)我国工业信息安全产品与管理解决方案丰富

    (五)我国企业积极布局工业信息安全业务

 Ⅵ 附录

  B.17 2017年工业信息安全大事记

   1月

   2月

   3月

   4月

   5月

   6月

   7月

   8月

   9月

   10月

   11月

   12月

  B.18 2017年工业信息安全相关研究报告概要

   一 卡巴斯基发布《2017年上半年工业自动化系统威胁报告》

    (一)勒索软件WannaCry攻击事件损失居首

    (二)遭受工控系统攻击的国家分布

    (三)全球工控系统主要威胁来源

    (四)保护工控系统环境的对策建议

   二 Business Advantage与卡巴斯基联合发布《2017年全球工业控制系统网络安全状况》

    (一)调查的主要发现

    (二)正确的决策尤为重要

   三 卡巴斯基发布《2018年工业安全威胁八大预测》

    (一)“普通”恶意软件针对工业网络发起的意外感染事件将会增加

    (二)针对性勒索软件攻击风险将加剧

    (三)工业网络间谍事件将增多

    (四)地下黑市攻击服务增多、黑客工具市场繁荣

    (五)新型恶意软件和工具

    (六)工控安全威胁分析报告的利用

    (七)国家法规将会发生变化

    (八)工业网络保险将扩大覆盖范围

   四 中国电信安全帮与绿盟科技联合发布《2017物联网安全研究报告》

    (一)物联网安全风险分析

    (二)物联网安全现状分析

    (三)物联网安全防护体系

    (四)物联网安全发展展望

   五 Verizon发布《市场状况:物联网 2017》

    (一)企业应用状况

    (二)物联网的普及速度仍然很慢

    (三)进入低功耗网络

    (四)无人机的机会

    (五)物联网在能源、公用事业行业仍然表现强劲

    (六)在智能城市方面大步前进

    (七)物联网安全仍然至关重要

    (八)提供完整的堆栈

    (九)翻译物联网

    (十)少即是多

   六 Alert Logic公司发布《2017云安全报告》

   七 McAfee发布《2017年全球云计算安全报告》

  B.19 我国工业信息安全相关政策

   一 国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见

    (一)基本形势

    (二)总体要求

     1.指导思想

     2.基本原则

     3.发展目标

    (三)主要任务

     1.夯实网络基础

     2.打造平台体系

     3.加强产业支撑

     4.促进融合应用

     5.完善生态体系

     6.强化安全保障

     7.推动开放合作

    (四)保障支撑

     1.建立健全法规制度

     2.营造良好市场环境

     3.加大财税支持力度

     4.创新金融服务方式

     5.强化专业人才支撑

     6.健全组织实施机制

   二 国务院关于深化制造业与互联网融合发展的指导意见

    (一)总体要求

     1.指导思想

     2.基本原则

     3.主要目标

    (二)主要任务

     1.打造制造企业互联网“双创”平台

     2.推动互联网企业构建制造业“双创”服务体系

     3.支持制造企业与互联网企业跨界融合

     4.培育制造业与互联网融合新模式

     5.强化融合发展基础支撑

     6.提升融合发展系统解决方案能力

     7.提高工业信息系统安全水平

    (三)保障措施

     1.完善融合发展体制机制

     2.培育国有企业融合发展机制

     3.加大财政支持融合发展力度

     4.完善支持融合发展的税收和金融政策

     5.强化融合发展用地用房等服务

     6.健全融合发展人才培养体系

     7.推动融合发展国际合作交流

   三 工业控制系统信息安全行动计划

    (一)总体要求

     1.指导思想

     2.基本原则

     3.主要目标

    (二)主要行动

     1.安全管理水平提升

     2.态势感知能力提升

     3.安全防护能力提升

     4.应急处置能力提升

     5.产业发展能力提升

    (三)保障措施

     1.加强组织协调

     2.加大政策支持

     3.加快人才培养

     4.鼓励社会参与

   四 工业控制系统信息安全防护指南

    (一)安全软件选择与管理

    (二)配置和补丁管理

    (三)边界安全防护

    (四)物理和环境安全防护

    (五)身份认证

    (六)远程访问安全

    (七)安全监测和应急预案演练

    (八)资产安全

    (九)数据安全

    (十)供应链管理

    (十一)落实责任

   五 工业控制系统信息安全事件应急管理工作指南

    第一章 总则

    第二章 组织机构与职责

    第三章 工作机制

    第四章 监测通报

    第五章 敏感时期应急管理

    第六章 应急处置

    第七章 保障措施

   六 工业控制系统信息安全防护能力评估工作管理办法

    第一章 总则

    第二章 评估管理组织

    第三章 评估机构和人员要求

    第四章 评估工具要求

    第五章 评估工作程序

    第六章 监督管理

    第七章 附则

   七 关于加强工业控制系统信息安全管理的通知

    (一)充分认识加强工业控制系统信息安全管理的重要性和紧迫性

    (二)明确重点领域工业控制系统信息安全管理要求

     1.连接管理要求

     2.组网管理要求

     3.配置管理要求

     4.设备选择与升级管理要求

     5.数据管理要求

     6.应急管理要求

    (三)建立工业控制系统安全测评检查和漏洞发布制度

     1.加强重点领域工业控制系统关键设备的信息安全测评工作

     2.建立工业控制系统信息安全检查制度

     3.建立信息安全漏洞信息发布制度

    (四)进一步加强工业控制系统信息安全工作的组织领导

   八 关于大力推进信息化发展和切实保障信息安全的若干意见

    (一)指导思想和主要目标

     1.指导思想

     2.主要目标

    (二)实施“宽带中国”工程,构建下一代信息基础设施

     1.加快发展宽带网络

     2.推进下一代互联网规模商用和前沿性布局

     3.加快推进三网融合

    (三)推动信息化和工业化深度融合,提高经济发展信息化水平

     1.全面提高企业信息化水平

     2.推广节能减排信息技术

     3.增强信息产业核心竞争力

     4.引导电子商务健康发展

     5.推进服务业信息化进程

    (四)加快社会领域信息化,推进先进网络文化建设

     1.提升电子政务服务能力

     2.提高社会管理和城市运行信息化水平

     3.加快推进民生领域信息化

     4.发展先进网络文化

    (五)推进农业农村信息化,实现信息强农惠农

     1.提高农业生产经营信息化水平

     2.完善农业农村综合信息服务体系

    (六)健全安全防护和管理,保障重点领域信息安全

     1.确保重要信息系统和基础信息网络安全

     2.加强政府和涉密信息系统安全管理

     3.保障工业控制系统安全

     4.强化信息资源和个人信息保护

    (七)加快能力建设,提升网络与信息安全保障水平

     1.夯实网络与信息安全基础

     2.加强网络信任体系建设和密码保障

     3.提升网络与信息安全监管能力

     4.加快技术攻关和产业发展

    (八)完善政策措施

     1.加强组织领导

     2.加强财税政策扶持

     3.加快法规制度和标准建设

     4.加强宣传教育和人才培养

  B.20 常用术语表

  B.21 缩略语表

 国家工业信息安全发展研究中心

 皮书数据库

 摘要

党的十九大报告明确提出,“坚持总体国家安全观。统筹发展和安全,增强忧患意识,做到居安思危,是我们党治国理政的一个重大原则”。工业信息安全作为国家安全的重要组成部分,是确保工业生产安全、两化融合健康发展的重要保障,工业信息安全防护已成为推进我国“网络强国”和“制造强国”战略实施的重要抓手。习近平总书记指出,“要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国”。做好工业信息安全工作,要立足全局,着眼长远,全面把控,知己知彼。放眼全球,工业信息安全风险持续加剧,越来越多的工业控制系统及设备暴露于互联网,装备制造、交通、能源等领域频曝高危工控安全漏洞,针对工业领域的攻击门槛不断降低、攻击手段愈发新型多样,勒索攻击、定向攻击、僵尸网络攻击等攻击方式日益盛行。工业领域正面临越来越严峻的安全威胁,遭受越来越频繁的网络攻击,重大工业信息安全事件层出不穷,全球工业信息安全形势十分严峻。着眼国内,《网络安全法》正式实施,开创了“依法治网”新局面,为工业信息安全建设和发展提供了根本遵循。2017年以来,我国工业信息安全工作取得重要成果。覆盖重要工业领域的工业信息安全保障体系日益完善,支撑我国工业领域信息安全国家级研究与推进机构的国家工业信息安全发展研究中心组建完成,提升工业信息安全防护水平的年度安全检查以及重大活动保障等工作成效显著,促进“政产学研用”协同发展的国家工业信息安全产业发展联盟宣告成立。与此同时,我国核心工控设备及系统依赖进口的局面仍未改变,重要工业领域安全防护能力仍显薄弱,工业信息安全产业与现实需求仍存在明显差距,应对工业互联网、工业云、工业大数据、人工智能等新技术新应用安全风险的手段仍很缺乏,我国工业信息安全形势依然严峻。进入新时代、研究新情况、迎接新挑战、创造新辉煌。国家工业信息安全发展研究中心(原工业和信息化部电子科学技术情报研究所)自2009年始,每年编写《世界网络安全发展年度报告》,并于2014年以蓝皮书的形式公开出版,业界反响良好。为了适应不断发展的工业信息安全新形势,满足制造业与互联网深度融合的安全需求,充分发挥我中心国家级工业信息安全智库作用,提高年度报告的质量和水平,2017年,在历年研究编制报告经验的基础上,国家工业信息安全发展研究中心推出我国首份《工业信息安全发展报告(2017~2018)》。本报告以工业信息安全新形势、新动向、新进展为着眼点,力求以全新的视角聚焦工业信息安全领域,以专业的分析研判工业信息安全态势与发展趋势,以系统的研究反映工业信息安全政策、技术、产业等方面的最新动向与进展,为政府部门和军方、行业、有关企事业单位以及相关科研机构提供参考。

NCCIC/ICS-CERT,“Industrial Control Systems Assessment Summary Report”,https://ics-cert.us-cert.gov/Information-Products.

NCCIC/ICS-CERT,“2016 Annual Vulnerability Coordination Report”,https://ics-cert.us-cert.gov/Information-Products.

《〈工业自动化和控制系统网络安全〉等6项国家标准正式发布》,工控网,2016年10月。

尹丽波:《工业信息安全为制造强国建设保驾护航》,http://www.etiri.com.cn/article_001008_2211.html,2017年10月8日。

《关于加强工业控制系统信息安全管理的通知》,http://www.miit.gov.cn/n1146295/n1652858/n1652930/n3757016/c3760834/content.html,2015年5月2日。

《国家信息化发展战略纲要》,http://www.gov.cn/gongbao/content/2016/content_5100032.htm,2016年5月1日。

《中国制造2025》,http://www.gov.cn/zhengce/content/2015-05/19/content_9784.htm,2015年5月19日。

《关于进一步深化制造业与互联网融合发展的指导意见》,http://www.gov.cn/zhengce/content/2016-05/20/content_5075099.htm,2016年5月20日。

《工业控制系统信息安全防护指南》,http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057656/n3057672/c5338092/content.html/,2017年12月。

《中华人民共和国网络安全法》,http://www.npc.gov.cn/npc/xinwen/2016-11/07/content_2001605.htm,2016年11月7日。

《国家网络空间安全战略》,http://www.cac.gov.cn/2016-12/27/c_1120195926.htm,2016年12月27日。

《“十三五”国家信息化规划》,http://www.gov.cn/zhengce/content/2016-12/27/content_5153411.htm,2016年12月27日。

《国家网络安全事件应急预案》,http://www.cac.gov.cn/2017-06/27/c_1121220113.html,2017年6月27日。

《工业控制系统信息安全事件应急管理工作指南》,http://www.miit.gov.cn/n1146290/n4388791/c5690361/content.html,2017。

《网络产品和服务安全审查办法(试行)》,http://www.cac.gov.cn/2017-05/02/c_1120904567.htm,2017年5月2日。

《关于发布〈关键设备和网络安全专用产品目录(第一批)〉的公告》,http://www.gov.cn/xinwen/2017-06/09/content_5201276.htm,2017年6月9日。

《关键信息基础设施安全保护条例(征求意见稿)》,http://www.cac.gov.cn/2017-07/11/c_1121294220.htm,2017年7月11日。

《工业控制系统信息安全防护能力评估工作管理办法》,http://www.miit.gov.cn/n1146295/n1652858/n1652930/n3757016/c5761045/content.html,2017。

《工业控制系统信息安全行动计划(2018~2020年)》,http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057656/n4699766/c5995061/content.html,2017。

尹丽波:《工业信息安全为制造强国建设保驾护航》,《中国电子报》2017年10月18日。

《深入贯彻习近平总书记网络强国战略思想 扎实推进网络安全和信息化工作》,《求是》,2017年9月15日。

欧阳武:《顺势而行,切实加强工业控制系统信息安全管理》,《信息技术与标准化》2012年第3期。

《关于加强工业控制系统信息安全管理的通知》,http://www.miit.gov.cn/n1146295/n1652858/n1652930/n3757016/c3760834/content.html,2011年10月。

《关于大力推进信息化发展和切实保障信息安全的若干意见》,http://www.gov.cn/zwgk/2012-07/17/content_2184979.htm,2012年7月17日。

《工业控制系统信息安全防护指南》,http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057656/n3057672/c5338092/content.html/,2016年10月。

《工业控制系统信息安全防护能力评估工作管理办法》,http://www.miit.gov.cn/n1146295/n1652858/n1652930/n3757016/c5761045/content.html,2017年8月。

《工业控制系统信息安全事件应急管理工作指南》,http://www.miit.gov.cn/n1146290/n4388791/c5690361/content.html,2017年6月。

区和坚:《工业控制系统信息安全研究综述》,《自动化仪表》2017年第7期。

宫亚峰、张格、程宇:《维护工业控制系统网络安全是实现强国目标的重要保证》,《自动化博览》2017年第2期。

周黎辉、周滨、张远志等:《基于工业控制系统信息安全评估规范的评估研究及安全问题对策》,《环球市场信息导报》2017年第29期。

王玉敏:《GB/T 30976.1-2014工业控制系统信息安全第1部分:评估规范(节选)》,《自动化博览》2015年第2期。

王玉敏:《GB/T 30976.2-2014工业控制系统信息安全第2部分:验收规范(节选)》,《自动化博览》2015年第2期。

The White House,Presidential Executive Order on Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure,2017.

National Institute of Standards and Technology,Framework for Improving Critical Infrastructure Cybersecurity,2014.

《美国增强联邦政府网络与关键性基础设施网络安全》,http://www.360doc.com/content/17/1013/11/48364395_694559532.shtml,2017。

The White House,Presidential Policy Directive:Critical Infrastructure Security and Resilience,2013.

The Parliament of the Commonwealth of Australia,House of Representatives/the Senate,Security of Critical Infrastructure Bill,https://www.ag.gov.au/Consultations/Pages/Security-of-Critical-Infrastructure-Bill.aspx,2017.

左晓栋:《立法困局下的战略新部署——美国关键基础设施保护行政令述评》,《中国信息安全》2013年第3期。

《美国政府签署网络安全行政令 将全面加强网络安全建设》,《计算机与网络》2017年第13期。

刘耀华、张丽梅:《新加坡〈2017 网络安全立法案(草案)〉的分析》,《现代电信科技》2017年第5期。

吴晓莉:《俄罗斯关键信息基础设施安全法案》,http://www.infseclaw.net/news/html/1294.html,2017。

Jiafu Wan,Shenglong Tang,Zhaogang Shu,Di Li,“Software-Defined Industrial Internet of Things in the Context of Industry 4.0”,Ieee Sensors Journal,Vol.16,No.20,2016.

Reiner Anderl,“Industrie 4.0-Advanced Engineering of Smart Products and Smart Production”,Conference Paper,October 2014.

Keith Stouffer,Suzanne Lightman,“Guide to Industrial Control Systems(ICS)Security”,Special Publication 800-82,Revision 2 Drafi.

Shi-Wan Lin,“Industrial Internet Reference Architecture”,CEO&Co-Founder Thingswise,LLC,2017.

Christian Burmeister,Dirk Lüttgens and Frank T. Piller,“Business Model Innovation for Industrie 4.0:Why the ‘Industrial Internet’ Mandates a NewPerspective”,SSRN Electronic Journal,January 2015.

全国信标委云计算标准工作组:《工业云应用发展白皮书(2016)》,2016年12月28日。

肖琳琳、卿苏德:《国外工业云发展经验及对我国的启示》,《电信网技术》2017年第2期。

陈花:《我国工业云发展问题及对策研究》,《经济纵横》2015年第7期。

曾宇:《工业云计算在中国的发展与趋势》,《中国工业评论》2016年第Z1期。

《国外云计算和云安全的研究与探索——云计算的收益风险与信息安全建议》,《中国信息安全》2010年第6期。

中金公司:《软件及服务:企业软件变革 云计算时代到来》,2017。

《工业大数据白皮书》,2017。

《中国工业大数据技术与应用白皮书》,2017。

周季礼、李德斌:《国外大数据安全发展的主要经验及启示》,《信息安全与通信保密》2015年第6期。

《关于进一步深化制造业与互联网融合发展的指导意见》,http://www.gov.cn/zhengce/content/2016-05/20/content_5075099.htm,2015年5月20日。

《工业控制系统信息安全防护指南》,http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057656/n3057672/c5338092/content.html/,2017。

《中华人民共和国网络安全法》,http://www.npc.gov.cn/npc/xinwen/2016-11/07/content_2001605.htm,2016年11月7日。

《工业控制系统信息安全防护能力评估工作管理办法》,http://www.miit.gov.cn/n1146295/n1652858/n1652930/n3757016/c5761045/content.html,2017。

《中国制造2025》,http://www.gov.cn/zhengce/content/2015-05/19/content_9784.htm,2015年5月19日。

《关于进一步深化制造业与互联网融合发展的指导意见》,http://www.gov.cn/zhengce/content/2016-05/20/content_5075099.htm,2016年5月20日。

《工业控制系统信息安全防护指南》,http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057656/n3057672/c5338092/content.html/,2017。

《中华人民共和国网络安全法》,http://www.npc.gov.cn/npc/xinwen/2016-11/07/content_2001605.htm,2016年11月7日。

《国家网络安全事件应急预案》,http://www.cac.gov.cn/2017-06/27/c_1121220113. html,2017年6月27日。

《工业控制系统信息安全事件应急管理工作指南》,http://www.miit.gov.cn/n1146290/n4388791/c5690361/content.html,2017。

《工业信息安全信息报送与通报试点工作总结会在京召开》,http://www.etiri.com.cn/article_001002_2298.html,2017。

《工业控制系统信息安全行动计划(2018~2020年)》,http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057656/n4699766/c5995061/content.html,2017。

《工业信息安全态势白皮书(2017年)》,工业信息安全产业发展联盟微信公众号,2017。

Donald J.Trump,“Presidential Executive Order on Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure”,https://www.whitehouse.gov/the-press-office/2017/05/11/presidential-executive-order-strengthening-cybersecurity-federal,2017.

Karen Bradley,“UK Digital Strategy 2017”,https://www.gov.uk/government/publications/uk-digital-strategy/uk-digital-strategy#annex-embedding-digital-in-public-service-delivery,2017.

魏简:《波兰公布个人数据保护法草案旨在执行欧盟一般数据保护条例》,工业和信息化部国际经济技术合作中心网站,http://www.cietc.org/article.asp?id=7478,2017。

徐程锦:《欧盟将建立ICT产品和服务网络安全认证机制》,工业和信息化部国际经济技术合作中心网站,http://www.cietc.org/article.asp?id=7482,2017。

E安全:《澳大利亚发布〈关键基础设施安全法案〉草案公开征询意见》,https://www.easyaq.com/news/326433778.shtml。

中央网信办:《正在审查的云计算服务》,http://www.cac.gov.cn/2017-09/08/c_1115796452.htm,2017。

中央网信办:《网络产品和服务安全审查办法》,http://www.cac.gov.cn/2017-05/02/c_1120904567.htm,2017。

中央网信办:《网络关键设备和网络安全专用产品目录(第一批)》,http://www.cac.gov.cn/2017-06/09/c_1121113591.htm。

《关于印发〈一流网络安全学院建设示范项目管理办法〉的通知》,http://www.cac.gov.cn/2017-08/14/c_1121477715.htm,2017。

牛金:《美欧日网络安全人才现状及启示》,《信息安全与通信保密》2016年第8期。

赵倩、刘峰、林东岱:《美国网络空间安全教育战略计划》,《中国信息安全》2014年第8期。

温涛:《安全漏洞危害评估研究暨标准漏洞库的涉及与实现》,西安电子科技大学,2016。

孟江波:《安全漏洞发布机制研究与分析》,中国科学技术大学,2006。

何治乐、黄道丽、雷云婷:《美国软件漏洞信息披露制度分析与借鉴》,《中国信息安全》2013年第11期。

虞爽:《特朗普网络安全政策初探》,《世界态势》2017年第7期。

刘奇旭、张翀斌、张玉清、张宝峰:《安全漏洞等级划分关键技术研究》,《通信学报》2012年第33期。

李俊:《专刊连载——美日工业控制系统信息安全漏洞发布机制》,《工业控制系统信息安全》,2017。

欧洲理事会:《网络犯罪公约》,http://www.infseclaw.net/news/html/969.html,2017。

《2017/18年度沃达丰物联网市场晴雨表》,2017。

《物联网2016》(Internet of Everything 2016),2016。

《中国制造2025》,《“互联网+”人工智能三年行动实施方案》,2016。

《车联网预测:未来5年内,全球车联网市场将增3倍》,2013。

《2015~2020年中国车联网行业市场前瞻与投资战略规划分析报告》,2015。

《应用安全与联网汽车》,2016。

《汽车安全与隐私法案》(Security and Privacy in Your Car Act),2015。

《国家交通与机动车安全法》(National Traffic and Motor Vehicle Safety Act),2015。

《信息物理汽车系统网络安全指南》,2016。

《汽车网络安全最佳实践指南》,2016。

《车联网网络安全白皮书》,2017。

《智能网联汽车信息安全白皮书》,2016。

《车联网网络安全白皮书》,2017。

《2015智能网联汽车信息安全报告》,2016。

《CNCERT互联网安全威胁报告》,2017。

“Strategic Principles for Securing the Internet Of Things”,2017。

《360互联网安全杂志》,http://zt.360.cn/2015/reportlist.html?list=8,2015。

黄玲:《Struts2框架技术研究》,重庆工程学院,2017。

Markets and Markets,Industrial Control Systems Security Market by Solution(Firewall,Antivirus/Anti-Malware,Identity and Access Management,Security Information & Event Management,DDOS,UTM),Service,Security Type,Vertical,and Region-Global Forecast to 2022.

Markets and Markets,Industrial Cybersecurity Market by Type(Network,Application,Endpoint,Wireless,Cloud,Others),Product (Gateways and Networking Devices),Solution and Service,End-User Industry,and Region-Global Forecast to 2023.

ARC Market Analysis,“Industrial Cybersecurity Services Market Analysis Report”,2017.

ARC Market Analysis,“Industrial Cybersecurity Management Solutions Market Analysis Report”,2017.

ARC Market Analysis,“Industrial Cybersecurity Network Security Solutions Market Analysis Report”,2016.

ARC Market Analysis,“Industrial Cybersecurity Endpoint Protection Solutions Market Analysis Report”,2017.

ARC Market Analysis,“Industrial Cybersecurity Anomaly and Breach Detection Solutions Market Analysis Report”,2016.