江苏龙网

  1. 主页 > 生活百科 > >

工业互联网设备的网络安全管理与防护研究 网络设备安全( 四 )


四是工业互联网设备和产品安全相关国家标准较少,缺乏强制性网络安全标准 。评估和测试流程方法、机构人员和认证体系明显缺乏 。目前工业互联网设备本身的安全性难以满足不同行业和市场层面的要求 。同时,国内工业互联网设备产品走向国际市场缺乏权威的评估和认证,难以满足国际互认和其他国家网络安全审查的要求 。
第五,我国工业互联网设备安全防护的实现路径
针对工业互联网设备种类多、体量大、安全管理分散、行业自律程度不一的实际情况,从国家、行业、应用等角度统筹规划,加强国家监管、行业认证和网络安全工程应用 。本文论证了我国工业互联网设备网络安全管理和防护的具体实施路径(见图2),旨在提高工业互联网设备的适应策略和能力,分类分级实施安全评估和管理,完善标准规范、测试认证、风险管理和应急响应等机制 。

图2工业互联网设备安全防护实现路径示意图
首先是建立设备自身的安全策略和基本能力集,包括设备安全架构设计、安全基线配置、可信根验证和等级保护的基本要求 。构建设备本身的安全“基线”,强化设备的内生安全能力 。
二是根据网络安全风险、防护价值和事件的安全影响,对不同类型、不同应用场景的工业互联网设备进行分类评估 。建立分类目录,形成重点防护设备及其安全策略,纳入《网络关键设备和网络安全专用产品目录》,高效开展强制性安全检测、认证和审查 。
三是完善工业互联网设备安全防护标准和分类防护要求 。根据设备的不同类型和防护等级,信息资源网络应满足应用开发安全、系统服务安全、硬件安全、网络通信安全、数据安全等技术保护要求 。,从而形成差异化、精细化的设备网络安全管理模式 。
四是建立工业互联网设备网络安全检测评估体系 。加强设备入市前应用过程中的网络安全测试验证、接入审核、测试认证和常态化安全风险评估,以评促建,形成设备安全防护闭环 。
第五,加强工业互联网设备的安全风险管理和应急响应,包括关键工业互联网设备的网络安全态势感知、监测和预警,行业/企业应急响应和事件响应的工具平台和机制 。实时掌握设备安全状况和风险视图,为风险预警和应急工作提供常态化的技术手段 。
不及物动词对策和建议
(一)从国家层面完善工业互联网设备网络安全准入机制 。
建议主管部门研究制定工业互联网设备安全相关管理办法,颁布工业互联网设备安全强制性标准和行业规范 。强化工业互联网设备设计、开发、实施、运维等全生命周期过程的网络安全规范要求,为企业产品安全开发、第三方机构检测认证、设备部署运行提供依据 。《网络关键设备和网络安全专用产品目录(第一批)》发布后,目录内设备产品的检验认证工作已逐步开展,但尚未提及的设备,如工业互联网设备,仍处于监管盲区 。建议研究整理工业互联网关键设备,将其列为“网络关键设备和网络安全专用产品”,并对设备进行分类;完善相关安全标准和规范,建立健全工业互联网设备安全监管体系和安全准入机制,确保设备进入市场销售或使用前进行严格的安全检查 。
(二)建立设备网络安全检测和认证制度
建议建立工业互联网设备安全检测认证体系,加强安全检测验证,特别是对工业现场环境下工业设备的安全检测验证、无损检测和工业安全防护应用 。推进工业互联网设备安全相关评估认证中心建设,围绕设备安全和防护等级设计安全认证等级,对设备网络安全进行分类管理和差异化保护 。向不同部门、行业、企业提供安全等级的选择,准确划分设备安全能力的等级,改善市场良性竞争环境,促进厂商提升自身设备安全 。推进安全检测认证和设备能力提升,匹配工业互联网设备的工业环境适用性、硬件安全、系统/固件安全、应用安全、数据安全、接入安全等需求,构建设备安全功能、防渗透、防恶意代码、分布式拒绝服务攻击、漏洞防护等能力 。
(3)推进设备网络安全架构研究和工程应用 。
建议在工业互联网设备设计阶段,充分考虑安全因素,增强包括硬件安全、接入认证安全、数据传输安全、代码安全和系统服务安全在内的设备安全防护综合能力 。建立设备的可信计算环境,引入硬件信任根对系统启动、应用运行、参数修改等行为进行可信验证 。对于设备安全的基线配置,建议督促设备生产企业在部署产品时向用户明示安全使用指南,用技术手段保证设备基线配置的安全性 。相关工业设备制造商、自动化集成商、研究机构和安全企业要加强合作,加快区块链、国产密码、可信计算等新技术的应用进度,促进设备本质安全和技术产品的研究创新 。


推荐阅读


上一篇:|被网暴到性格大变,张瀚出席活动全程谨慎小心,自大狂傲再也不见!

下一篇:王思聪|王思聪带女友慎婕餐厅吃饭,脸部浮肿亲密热聊