近日工信部发布了《2025年护航新型工业化网络安全专项行动方案》。《方案》明确了三大重点任务方向:一是在提高企业防护水平方面,将梳理建立2025年工业领域网络安全防护重点企业清单,并指导清单企业落实工业互联网安全分类分级管理,特别将提升重点车联网平台安全防护能力。二是在增强工业控制系统产品安全能力方面,深化工业控制系统网络安全评估,研究制定评估实施指南。推动PLC、DCS等重点工业控制产品网络安全标准研制。三是在创新赋能模式方面,持续开展“安全深度行”活动,推广应用优秀案例与方案,并探索网络安全保险新模式等。
一、政策脉络简析
- 新型工业化战略
新型工业化是实现中国式现代化的重大战略路径。新型工业化道路最早由党的十六大提出并历经发展完善,党的二十大明确了到2035年“基本实现新型工业化”的战略目标。2023年国家专门召开全国新型工业化推进大会,全面推进新型工业化目标任务的贯彻落实。
新型工业化的要求主要包括产业创新、制造业数字化转型、工业绿色发展、产业结构优化升级、提升产业链供应链韧性和安全水平等方面。
- 2024年“护航新型工业化网络安全专项行动”方案
从政策关联信息来看,工业和信息化部2024年曾印发过《护航新型工业化网络安全专项行动方案》(以下简称《2024方案》)。部分省市还据此开展了工业互联网安全相关行动,如《天津市护航新型工业化网络安全专项行动实施方案》(2024.7)、《北京市2024年工业互联网安全深度行活动实施方案》(2024.7)等。但《2024方案》文件本身未见公开发布。
二、《方案》回答了“是什么”:明确了新型工业化的网络安全内涵框架
如何界定新型工业化网络安全,是开展相关工作需要解决的首要问题。对此,《方案》明确将新型工业化网络安全细化分解为“企业网络安全防护”、“工控系统产品安全能力”、“工业领域网络安全服务”三大体系。其中:
“企业网络安全防护”是从对重点企业的外部防护入手,强化对新型工业化主体的网络安全监管和保护。
“工控系统产品安全能力”是从对重点企业的内部安全入手,强化应用和供给两个层面的安全能力。
“工业领域网络安全服务”是从对重点企业的网络安全外部赋能入手,调动外部专业力量加强对重点企业的网络安全服务和协助。
三、《方案》回答了“怎么做”:明确了新型工业化网络安全的年度重点工作
首先,在“企业网络安全防护”方面,《方案》明确了2025年度强化企业网络安全防护的三项重点工作。一是各地确定2025年“工业领域网络安全防护重点企业清单”,并按照《工业互联网安全分类分级管理办法》完成定级备案;二是组织开展《工业互联网安全》系列国家标准的贯标达标试点工作;三是各地督促指导车联网相关企业开展车联网网络安全防护定级备案、网安测评和风险评估工作。
其次,在“工控系统产品安全能力”方面,《方案》明确了2025年度强化企业网络安全能力的两项重点工作。一是按照《工业控制系统网络安全防护指南》要求,对重点行业企业开展工业控制系统网络安全评估工作;二是开展重点工业控制产品的网络安全标准研制、检测认证工作。
再次,在“工业领域网络安全服务”方面,《方案》明确了2025年度强化对企业网络安全服务赋能的四项重点工作。一是支持专业机构开展重要工业控制系统识别、网络安全现场诊断、风险监测、漏洞修复、通报处置等服务;二是地方主管部门加强企业网络安全风险在线监测、点对点威胁通报;三是持续开展安全深度行、网络安全保险方案遴选等护企惠企活动;四是组织开展形式多样的全国性新型工业化网络安全政策宣贯。
四、思考
难点思考。当前正处于专项行动的推进阶段(7-10月),相关工作实施成效无疑将成为各界关注的焦点。而事关各方积极性的诸如“支持”和“鼓励”措施如何落地、对典型案例遴选有哪些具体标准等问题,或更成为影响专项工作成效的关键要素。
行业机会。对于网络安全行业而言,《方案》的发布实施也进一步明确了新型工业化对网络安全的重点需求。包括工业互联网安全定级备案和测评、工业控制系统网络安全评估、现场诊断、风险监测、漏洞修复、通报处置等。此外,诸如重点工业控制产品网络安全标准研制等工作,也可为行业赢得一定市场先机。