近日,中关村信息技术和实体经济融合发展联盟归口管理的《军工智能制造系统网络安全风险评估规范》已形成征求意见稿。现向社会各界公开征求意见,征求意见截止时间为2023年1月12日(反馈至tc@aiitre.com)。该标准由国家工业信息安全发展研究中心牵头,主要起草人:张格。
合理性体现在注重国内实际发展与标准理论的结合。作为以现代科学为基础的高精尖离散制造产业,军工装备制造行业承担着国民经济和国防建设的重要使命,以智能制造为核心目标的智能工厂、智慧企业已经成为各大军工企业发展的重要趋势和焦点,军工智能制造安全紧系国家安全命脉,然而我国在军工智能制造信息安全防护领域缺少相应标准。为了保证标准的科学性、严谨性和实用性,本标准结合我国关于智能制造的标准、军工智能制造保护现状与特点进行编制、调整。
本标准根据军工智能制造领域的实际情况,对《工业
控制系统信息安全防护能力评估工作管理办法》中的评估内容进行了细化和增强。对于采用其他特殊技术或处于特殊应用场景的评估对象,应在安全风险评估的基础上,针对安全风险采取特殊的安全措施作为补充。
检查评估流程分为评估工作准备、评估工作实施和结果反馈三个阶段。评估工作准备阶段是指评估正式实施之前需要完成的准备工作,包括工作启动、工作调研和方案制定三个环节;评估工作实施阶段是指评估方对被评估方开展正式的评估工作,包括实施准备、现场实施、综合分析和报告编制四个环节;结果反馈阶段主要是向评估委托方反馈评估结果和评估报告的过程。
评估内容主要包括安全软件选择与管理防护、配置和补丁升级防护、边界安全防护、物理和环境安全防护、身份认证防护、远程访问安全防护、安全监测和应急预案演练防护、资产安全防护、数据安全防护、供应链安全防护、落实责任防护共11个方面,主要评估被评估方是否遵从法律、法规和政策标准的相关要求。采用的评估方法一般包括人员访谈、文档查阅、现场核查、工具检测等手段。
本标准一方面可以通过评估进一步规范、提高军工企业提升智能制造安全防护能力,另一方面可以为其他智能制造相关企业提供安全防护能力评估指南,促进智能制造行业安全防护能力的提升。