我国确立了网络强国战略,为了加快数字中国的建设,互联网已经成为国家发展的重要驱动力,随后在中共十九大也同样指出,网络安全是人类面临的许多共同挑战。
2017年6月1日,《网络安全法》正式实施。关键基础设施安全成为了国内网络安全的主要关注点之一。
其中,由于工业控制系统在日常生产制造中占据了非常大的比例,因此为了进一步推动工控系统网络安全建设,一系列法律法规和规范性文件相继出台:国家互联网信息办公室发布《关键基础设施安全保护条例(送审稿)》,工信部印发《工业控制系统信息安全防护能力评估管理办法》,工业和信息化部制定了《工业控制系统信息安全行动计划(2018-2020年)》等。工控系统的安全被提升到了前所未有的高度。
随后我们步入了2018年,这也是我国网络安全政策体系建设非常迅速的一年。
4月,全国信息安全标准化技术委员会正式发布《大数据安全标准化白皮书(2018版)》。重点介绍了国内外的大数据安全法律法规、政策执行,以及标准化现状,分析了大数据安全所面临的风险和挑战。同时规划了大数据安全标准的工作重点,描绘了大数据安全标准化的体系框架,并提出了开展大数据安全标准化的工作建议。
6月,《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》发布,表示2018-2020年是我国工业互联网建设起步阶段,对未来发展影响深远。随后,为了深入实施工业互联网创新发展战略,推动实体经济与数字经济深度融合,工信部印发《工业互联网发展行动计划(2018-2020年)》 和《工业互联网专项工作组2018年工作计划》。
7月,工业和信息化部正式印发《工业互联网平台建设及推广指南》和《工业互联网平台评价方法》,要求制定完善工业信息安全管理等政策法规,明确安全防护要求。建设国家工业信息安全综合保障平台,实时分析平台安全态势。强化企业平台安全主体责任,引导平台强化安全防护意识,提升漏洞发现、安全防护和应急处置能力。
9月,国家能源局印发《关于加强电力行业网络安全工作的指导意见》。指导意见将有效地促进电力行业网络安全责任体系,并有助于完善网络安全监督管理体制机制,进一步提高电力监控系统安全防护水平,强化网络安全防护体系,提高自主创新及安全可控能力,从而防范和遏制重大网络安全事件,以保障电力系统安全稳定运行和电力可靠供应。
各类政策接踵而来,但我国非但没有减慢步伐,仍然在不断的推陈出新。中央网络安全和信息化领导小组提出:“没有网络安全就没有国家安全,没有信息化就没有现代化,中国要由网络大国走向网络强国。”因此,2019年5月,网络安全等级保护制度2.0国家标准发布,等保2.0时代正式到来。
等保2.0中将采用安全通用要求和安全扩展要求的划分使得标准的使用更加具有灵活性和针对性。不同等级保护对象由于采用的信息技术不同, 所采用的保护措施也会不同。例如, 传统的信息系统和云计算平台的保护措施有差异, 云计算平台和工业控制系统的保护措施也有差异。为了体现不同对象的保护差异, 新的等级保护条例将安全要求划分为安全通用要求和安全扩展要求。
另外,安全通用要求是针对共性化保护需求提出的, 无论等级保护对象以何种形式出现, 需要根据安全保护等级实现相应级别的安全通用要求。安全扩展要求针对个性化保护需求提出, 等级保护对象需要根据安全保护等级、使用的特定技术或特定的应用场景实现安全扩展要求。等级保护对象的安全保护措施需要同时实现安全通用要求和安全扩展要求, 从而更加有效地保护等级保护对象。