金台资讯工业信息安全标准体系研究与思考( 二 )


(1)生命周期安全防护:从设计、制造、集成、运行维护等工业产品全生命周期的安全需求出发 , 分别制定标准;
(2)基础安全防护:包括设备和控制安全、平台安全、虚拟化安全、数据安全、标识解析安全、网络和应用安全等;
(3)产品和服务安全:包括人提供的服务、云、云服务、服务类产品等的相关安全标准;
(4)安全监督管理:明确厂商、集成商、用户、服务商、设计院等角色的安全主体责任 , 方便相关政府部门的安全监督管理 。
分类、分层设计的目的是按照工业企业、边缘接入、工业云、工业APP等竖向层次提出工业领域的安全标准 。
【金台资讯工业信息安全标准体系研究与思考】与等保2.0标准安全框架相比 , 本框架囊括了工业互联网全生命周期安全技术和安全管理标准 , 这与等保2.0标准的要求相一致 。 同时 , 本框架还扩展了安全服务标准要求 , 将安全技术要求从全生命周期安全防护和基础安全防护2个角度进行细化 。 这样更符合工业领域“流程化”生产和管理的情况 , 从而能够更全面、清晰地为工业互联网安全标准的制定提供参考 。
金台资讯工业信息安全标准体系研究与思考
文章图片
图2工业信息安全标准体系框架
三、工业信息安全标准体系完善及落地
为加快推进工业信息安全标准体系的建设 , 下一步应重点从体系完善和标准落地方面着手 , 让工业信息安全标准体系真正发挥指导性作用 。
一是加强科研机构、高校、企业等各相关主体的合作 , 联合多方共同完善标准体系 。 组织工业企业、工业互联网平台企业、系统集成商、相关科研院所及研究机构等 , 共同编写《工业信息安全标准化白皮书》等研究成果 , 建立完善科学、合理、可操作的工业信息安全标准体系 。
二是按照标准体系开展标准研制 , 通过试点应用提高标准体系和相关标准的实用性 。 围绕行业发展需求、企业需求等 , 切实发挥标准体系的指导作用 , 加快研制急需专用标准 , 并加强标准宣贯培训和试点应用 , 解决行业、企业在工业信息安全管理和防护中的痛点、难点 , 及时根据技术的发展和企业的实际应用需求制定相关标准 。
三是充分发挥各标准技术委员会的作用 , 加强各标准委员会的协调合作 , 指导相应的成员单位按照标准体系厘清标准定位、做好标准衔接 。 当前 , 国内有TC260、TC573、TC124等多个标准技术委员会致力于信息安全标准化工作 。 其中 , 全国信息化和工业化融合管理标准化技术委员会(TC573)是在信息化和工业化融合(以下简称两化融合)趋势下成立的标准化工作组织 , 设有两化融合管理体系(WG1)、工业互联网管理(WG6)、工业信息安全(WG7)等标准工作组 。 WG7是国内建立的首个工业信息安全标准工作组 , 致力于工业信息安全、工业互联网安全等相关标准的研究、制修订及宣贯培训等工作 。 为进一步推进工业信息安全、工业互联网安全等标准的制修订和落地实施 , WG7工作组应加强指导工作组各成员单位按照标准体系开展工业信息安全、工业互联网安全等标准的研究及制修订工作 , 并积极推动标准在相关行业企业的试点应用工作 , 确保工作组推行的标准在行业企业的适用性 。 同时 , 加强与其他标准技术委员会或工作组之间的交流合作 , 逐步形成分工明确、定位清晰、重点突出、相互补充的标准工作格局 。