上海工业控制系统信息安全行动计划

上海工业控制系统信息安全行动计划(2018-2020年)产业控制(以下简称产业控制)系统信息安全是实施制造强国和网络强国战略的重要保证。产业控制系统广泛应用于产业经济、城市的主要基础设施和其他重要领域，为实现通信信息虚拟环境和实际物理世界、自动化、智能起到了基础支持作用，维护产业控制系统的安全促进了制造业和互联网的深度集成开发，产业网络创新应用成为亟待突破的核心瓶颈。上海是国家重要的工业城市，产业安全要求广泛，产业控制系统研发、设计、制造、集成、安全等产业链比较完整，在多个行业实施系统安全评价和加强示范，进行产业规划和研究，建立产业控制系统信息安全技术服务联盟，建立产业控制系统安全研究开发和转换功能平台，促进产业控制系统信息安全工作，建立技术产业通知，具有现实基础。为了实施国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见(国发2017 50号)，工业和信息化部关于印发工业控制系统信息安全行动计划（20182020年）的通知(公新娘申渊2017 316号)，全面提高工业控制系统的安全保护能力，促进工业信息安全产业的发展。为全面启动“上海制造”品牌，特别制定了本行动计划。一、指导思想和基本原则(a)指导思想全面贯彻党的十九大精神，以习近平新时代中国特色社会主义思想为指导，深入贯彻习近平总书记“四个新行动”的重要指示，坚持国家的总安全观和网络强国、制造业强国战略，“加快先进制造业的发展，加快网络、大数据、人工智能、实体经济的发展” 致力于建设辐射国家，影响世界产业信息安全技术和产业高地，确保上海实体经济安全和稳定发展，是新时期国家改革开放的领导者，创新发展的先驱。(b)基本原则1.安全和发展都坚持。制定正确的网络安全概念，通过安全开发加强安全，制定信息安全和信息化与产业化的集成计划，统一部署，促进集成，实施集成。2.企业体，坚持政府指导。加强企业对产业控制系统安全保障的主要责任，建立和完善安全责任体系，将产业控制系统信息安全作为安全生产的重要组成部分，深化技术和管理措施的实施。政府部门同时加强工作调整，加强政策、法规和标准的制定和执行。坚持城市联系、分类和推进。加强市内二级政府部门的工作联系，做好规模以上工业企业产业控制系统信息安全的管理服务。依托产业负责部门和企业集团，按行业推进产业控制系统信息安全解决方案的实施，有效提高企业产业安全保护的可行性和效果。二、发展目标到2020年，基本上构建本市工业控制系统信息安全系统，综合管理、安全保护、技术支持、产业发展的四大能力有了很大提高。在综合管理中，基本上全面实施部门协同、城市关联工作机制、检查、评价、监控、应急等工作制度，有序地实施IPC安全服务规范。形成安全保护、服务联系千家企业，监督指导百家重点企业的业务网，在城市建立10家产业安全体系化的标杆企业，建设40家安全评价示范工厂，全面提高企业的产业安全保护能力。技术援助包括引进国家级专门机关及产业同盟，重点培养3-5个地区技术支援机关，建立了产业产业产业产业安全综合管理系统、试验验证、模拟测试、攻击攻击攻击攻击靶场等共同技术平台。创建产业发展、国家产业信息安全主题工业园，引进和培育有影响力、有竞争力的主要核心企业集团，实施技术创新和成果转化项目的部署，构建产业控制系统信息安全技术产业通知。三、主要任务以产业控制系统信息安全要求为中心，加强管理工作的系统化和系统实施，全面提高保护能力，充分依靠市场推动技术支持和产业发展，形成产业控制系统信息安全体系。(a)集中监督服务，实施综合管理能力增强项目。1.实行企业主体责任制。根据分级责任、领土管理的原则，综合分类产业控制系统企业、系统和资产目录，指导企业实施中华人民共和国网络安全法，明确法人代表、经营负责人的首要责任，实行工作机构，完善管理体系。加强更新安全生产等部门的联系，规范年度产业控制系统安全检查，持续监督产业安全责任及相关管理、技术要求的实施。(市经济信息化委员会，市安全监督官，各区政府)2.完善协作管理机制。加强网信、公安、更新等有关部门的合作，共同推进核心信息基础设施重点保护、网络安全等级保护、产业控制系统信息安全保护等相关制度要求的实施。各地区政府要改善地区内主要企业、重要产业控制系统管理服务机制、检查、监控、应急等服务支持能力的建设。完全依赖产业部门和大企业集团管理功能和服务功能，通过产业特定、子系统完善安全体系，支持产业级、企业级产业控制系统信息安全解决方案和标准规范的形成。(市党委网络新处、市公安局、市经济信息化委员会、各区政府、各行业负责部门)3.规范社会保障服务。为了抓住中华人民共和国网络安全法的深入实施，积极促进安全咨询、加强整改、产品认证、风险评估等产业控制系统安全服务的开发，监督试点示范，促进产业安全服务的普及。指南将相关产业组织按照国家政策标准与上海实际相结合，制定综合企业信用、产品性能、服务能力等多个阶段的产品和服务评价标准，对产业安全产品、服务进行安全审查和评价，完善相关产品和服务的推荐机制，规范产业控制安全服务。(市经济信息化委员会)(b)注重运营安全，实施安全保护功能增强项目。4.改善1000家企业的安全指导。加强与“量化一体化”、“企业商云”等业务的联系，指导1000家企业实施工业控制系统信息安全防护指南等政策标准，依靠网络平台开展年度产业控制安全自我评估工作，合理确定企业系统网络安全水平，改善网络、平台、数据等管理系统和技术措施。建立数以千计的企业产业控制安全联络官业务网络，每年至少进行一次安全负责人、联络官业务培训，使相关业务要求的履行更加顺利。(市经济信息化委员会，区政府)实施100家企业的核心保护。围绕城市运营和生产安全保障要求，重点监督100家城市生命线和重点产业企业。敦促满足保护网络安全水平、保护工业控制系统安全等要求，加强核心信息基础设施法规遵从性要求，如引导专业职务认证、重点保护敏感数据、审查产品服务采购等。同时，加强产业控制系统信息安全检查评估、安全监控、通信、应急管理、攻防训练等系统的实施，确保重要产业控制系统的安全稳定运行。(市经济信息化委员会、市堂丢脸办公室、市公安局等)创建10个模型基准测试企业。加强标杆企业试点推进，在全市范围内选拔10个基础企业集团，进行产业控制系统信息安全的系统设计，完善企业设备、控制、网络、平台和数据安全管理系统规范，形成统一的企业级产业信息安全系统体系。根据国家政策和技术标准，在产业互联网、智能制造等创新应用领域与两化综合管理系统标准化工作一起推进，启动了40个标杆工厂保护能力评价和加强试点项目，通过了国家专门机构的检验评价和验证。(市经济信息化委员会)专栏1:工业控制系统信息安全“千”行动到2020年，完成上海工业企业产业控制系统信息安全“千百列”措施：以一千多个重要的工业企业、量化集成为中心，跟踪企业和生产服务企业，集中指导一致性，提高企业对产业信息安全的认识，提高系统安全保护，提高产业互联网、产业云等制造业和互联网集成新技术，新应用。集中100家供电供气、城市轨道交通等城市生命线企业，以及对钢铁、化工、汽车、设备制造等城市经济安全有重大影响的重要产业企业，全面推进当前国家已经引进的相关管理和技术规范标准实施，满足安全保护的标准要求，加强监督，实施核心保护。建立10家示范领导集团公司，围绕产业互联网的各种安全要求，提出并实施企业产业信息安全的系统构建思路框架。与此同时，继续推进加强评价试点，40家制造工厂通过国家评价引导试点推进。(c)重点关注平台设施，实施技术支持能力提高项目。7.城市工业安全综合管理体系的构建。根据工业控制系统信息安全精细化、库存管理要求，建立城市工业控制系统信息安全综合管理平台，协助企业制定基本情况，进行自我评估工作；坞站、行业主管部门管理要求，为安全检查、通信、信息共享、紧急管理提供全面的技术支持；配置工业控制系统信息安全知识库、漏洞库和应急资源库，准确响应相应的企业和工业控制系统，提高对安全检查、监控和预警及应急处理等的支持。(市经济信息化委员会)8.培养职业安全专业服务能力。完善国家工业控制系统安全质量监督检查机构建设，建立标准欧盟、美国等国际测试要求、国际影响、集成信息安全、功能安全、本质安全集成工业控制系统安全测试能力。已取得国家相关部门专业证书的本地化产业控制系统信息安全专业技术服务机构3-5家，专门负责产业控制系统安全评估、监控预警、产品审查等专业技术系统的建设。国家级产业信息安全研究中心落户城市，加强汽车、电力等上海优势产业的协同和技术创新能力，服务和支持长三角乃至全国产业控制系统信息安全工作。(市经济信息化委员会，市编辑委员会)9.改进工业安全基本实验验证平台。基于工业控制系统安全研究开发和转换功能平台，全面集成现有电力、水、铁路运输、汽车等测试实验平台，完善工业控制系统制造商、设备制造企业的产品测试基地、半实物仿真或整体物理方法，改善实验环境建设。开发实验室资源共享机制、基于产业控制系统信息安全的模拟测试、漏洞挖掘、产品验证、攻防练习等基础研究和工作，支持和促进多种类型的机构协同建设和共享产业控制系统信息安全研究所。(市经济信息化委员会，市科学委员会，市发展改革委员会)10.加强与国家平台技术的对接。国家工业控制信息安全包括：“一个网络”(在线监控网络)、一个库(应急资源库)、三个平台(模拟测试、信息共享、通信)、市政监控平台的构建、积极监控、手动捕获、威胁信息收集和其他技术手段的改进；主要工业和主要保护企业搞好产业安全综合管理平台信息共享、通信、应急资源管理等功能与国家相关技术平台的联系，丰富和完善市级平台知识库，确保信息的有效沟通，威胁事件处理的效率。以国际一流测试实验环境为基准，在本市优势行业建设实验验证平台、联合实验室，努力在汽车、电力、轨道交会等领域完成国家级模拟测试平台。(市经济信息化委员会)专栏2:工业控制系统信息安全支持能力三级改进方案到2020年，在工业控制系统信息安全技术支持能力中，形成了“一平台、二机关、三对接”三阶段格局。“一平台”将立即完成城市产业安全综合管理系统的构建，建立适当的管理对象列表，具备监控警报、应急管理、安全检查等技术功能，满足政府部门的监管需求，建立相应的病毒库、漏洞库和系统知识库，为产业企业自我评估、漏洞修正和事件响应提供技术支持。“两个机构”完成了本市3-5个产业控制系统安全技术支持机构的建设，分别在产业控制专业、信息安全专业布局上形成了“竞争合作”模式，为相关监管工作提供了技术支持，并保证了产业企业的服务。“三重对接”，即在“一个平台”的基础上，将与国家工作对接，与国家监控预警网络、应急资源、信息共享平台和通信平台技术对接，共同开展产业信息安全治理工作，支持城市工作执行；第二，着手建设，推进国家产业控制系统安全质量监督检查机关、国家产业信息安全发展研究中心东中国部门等建设布局、辐射和长三角地区联系和一体化共同改善；第三，出口电力、汽车等实验验证平台、实验室、联合创新中心等上海优势产业的国际影响力技术平台，支持国家级模拟测试平台、实验室建设。(d)集中创新和变化，实施产业发展能力建设项目。11.加强技术创新和应用突破。加强对系统、网络、设备等各种安全要求的技术创新，消除应用程序瓶颈。系统组件的重点是打破网络安全攻击和防御机制，打破安全隔离、安全审核、攻击检测等核心技术。在网络级别，打破网络内部、网络之间和产业链上游的网络通信协议和安全关键技术。在终端方面，研究突破性传感器、仪器、执行器等安全接口、安全协议、安全评估、识别诊断等关键技术。进行功能安全、本质安全、信息安全技术集成和评价研究，形成产业控制系统集成安全测试验证能力。以电力、石化、钢铁、生物医学等工程型产业为中心，围绕供水供电、铁路运输、电子信息、航空航天、设备制造等离散型产业，以及网络联合制造、大规模定制、远程运营和维护等产业互联网的新应用，加强产业安全技术与传统信息安全技术的融合和创新发展，有效解决其中网络安全隔离、数据安全传输等问题。(市科学委员会，市经济信息化委员会，各行业主管部门)12.加强工业软件安全支持。重点提高行业软件可靠性和安全设计能力；加强关键行业应用程序中相关软件产品的内聚、容错、冗馀、风险隔离、错误监控和异常处理设计，以满足企业运营管理、研发设计、生产控制、软件嵌入等不同级别的安全要求；加强安全体系结构、安全操作系统、安全数据库、安全系统、安全系统加强对产业大数据、产业云、产业应用等安全检测技术的研究，有效改进相关软件产品漏洞挖掘、病毒分析、软件站、代码分析、渗透测试等检测功能，构成相应的检测工具集。(市经济信息化委员会，市科学委员会)13.促进工业安全技术成果的变化。加强产业控制系统信息安全技术成果的转化和示范应用。对于结果转换，强化了关键设备(如可信传感器、控制器和控制系统(DCS、PCS、SCADA)的信息安全管理系统应用程序，从而构成了工业控制防火墙、网关、安全审核、访问控制和监控警报等行业控制安全产品。在示范应用领域，重点进行了电力、汽车、铁路运输、供气、供水、水、智能制造、自动化码头等领域的示范示范示范示范，促进了成熟的工业控制系统信息安全产品和服务的应用，形成了产业水平的工业控制安全解决方案。与此同时，将重点放在汽车、核电站设备等综合产业控制技术、设备的设备产品研发和生产上，整合产业控制系统安全要求和生产企业的设备产品设计目标，实施相关设备产品产业控制安全保护能力提高