近年，为加快构建工业互联网安全保障体系，提升工业互联网安全保障能力，工业与信息化部逐渐完备工业互联网安全保障体系架构，相继发布多个工业互联网相关的安全标准及指导意见。这些标准从安全评估、安全建设、安全运维、安全应急等多个角度提出了安全要求，例如2016年发布的《工业控制管理系统信息安全防护指南》、2017年发布的《工业控制管理系统信息安全事件应急管理工作指南》，《工业控制信息安全防护能力评估工作管理办法》和《工业控制管理系统信息安全行动计划（2018-2020）》等。

  2019年7月26日，工业与信息化部联合十部门发布《加强工业互联网安全工作的指导意见》（以下简称《指导意见》）。近日为落实《指导意见》，指导工业互联网公司的分类分级工作，工业与信息化部发布《工业互联网公司网络安全分类分级指南（试行）》（以下简称《分类分级指南》）的征求意见稿，面向社会征求意见。

  尽管《分类分级指南》当前正处于面向社会征求意见阶段，但为帮助工业公司更好的理解《分类分级指南》,更为准确的进行分类分级工作，笔者就其中一些内容做解读，以飨读者。

  从整篇指南上看《分类分级指南》的工业公司对象主要面向制造业企业，根据公司属性将工业互联网公司分为三类：

  其中联网工业公司主要涉及原材料工业、装备工业、消费品工业和电子信息制造业等行业，从企业属性上来看，大多都属于制造、加工类型，其工业属性更强，工业网络安全建设相对薄弱，应按照《分类分级指南》要求做企业分级。而平台企业对外提供的是基于工业网络站点平台的互联信息服务，工业互联网基础设施运营企业多是基础电信运营企业和标识解析系统建设运营机构，其更适用《通信网络安全防护管理办法》的要求做分级。

  工业互联网公司的分级原则与等级保护定级根本原则类似，等级保护定级是根据对象受到破坏时所侵害的客体和对客体造成侵害的程度进行定级，而《分类分级指南》的分级则以企业实际受网络安全影响程度作为重要的条件，结合企业规模、企业应用工业互联网的程度、企业发生网络安全事件的影响程度等要素确认工业互联网公司的分级。

  目前工业互联网公司分级的评分细则暂未形成，工业与信息化部将会选择重点行业或区域，根据最佳实践，形成详细的工业互联网公司分级评定规则，并建设工业互联网公司网络安全分类分级管理服务平台，由企业依据自己真实的情况填报问卷，形成自评报告。

  《分类分级指南》基于联网工业公司所属行业网络安全影响程度由低到高分别划分为一类、二类和三类，其中三类最重要的包含钢铁、有色、石化化工、轨道交通装备、船舶及海洋工程装备、航空航天装备等行业。

  《等级保护标准》是国家网络安全建设的基本标准，面向的是所有行业和企业，而《分类分级指南》则是在等级保护标准的基础上，对工业互联网公司的安全要求做深化，面向具有工业互联网属性的企业。

  不同于等级保护的五级分类，《分类分级指南》采用计分方式将联网工业公司分为三级，评分不小于80分的，为三级企业；评分不小于60分的，且小于80分的，为二级企业；评分小于60分的，为一级企业；属于三类行业的规模以上的联网工业公司原则上定为三级。

  与等级保护作对比不难发现，《分类分级指南》是在等级保护的基础之上，提高了对于钢铁、有色、石化化工、轨道交通装备、船舶及海洋工程装备、航空航天装备等与国家经济发展联系紧密的行业的网络安全要求。

  工业互联网公司的分级流程与等级保护流程相似，但颗粒度略有不同，相似之处为在于都是由企业依据自己详细情况及相关分级/定级有关要求先进行自主初步定级，上报至地方管理部门进行核查确认。其中工业互联网公司分级流程中的地方管理部门可依据情况自行核查确认或组织第三方专业机构进行核查确认即可。而等级保护定级在最初定级后，还有必要进行专家评审、主管部门审核，最终到企业所在地的公安进行备案，由公安部门对备案结果进行审核确认。

  在《分类分级指南》中要求对于因企业未来的发展或内部结构调整引起的企业内部网络安全风险发生明显的变化的情况，要求企业应主动重新定级。

  与等级保护三级的安全要求相对比，《分类分级指南》中的三级在等级保护的基础上提出了更具有企业特色的要求：

  1）组织管理要求，除建立健全网络安全责任、管理机构、管理制度建设外，明白准确地提出“确保安全投入”，对企业在网络安全方面的投入提出细化要求，以保证网络安全建设的资金来源。

  2）安全防护要求，明确要求三级企业要建立工业互联网的安全监测平台，这就对企业提出了更高的技术方面的要求，要求企业在建立网络安全技术保护措施和安全管理措施的基础上，同步建设企业上层的具有工业网络安全状态监测、安全事件分析、工控安全态势感知等能力的工业互联网安全监测平台，从而确保企业能够实时了解自身的工业网络安全态势。最终企业工业网络安全监测平台要接入省级以上工业互联网安全监测平台，形成从工业互联网公司到省级管理单位到国家级工业互联网公司安全监测平台的三级安全监测平台，定期通报工业互联网安全风险，从而及时解决存在的安全问题，降低整体安全风险。

  可以看出工业互联网公司安全发展的新趋势将是安全防护智能化的持续不断的发展。工业互联网安全防护的思维模式也将从传统的事件响应式向持续智能响应式转变，旨在构建全面的预测、基础防护、响应和恢复能力，抵御不断演变的高级威胁。此外，要利用机器学习、深度学习等人工智能技术分析处理安全大数据，不断改善安全防御体系。工业互联网安全企业的安全重心也将从被动防护向持续普遍性的监测响应及自动化、智能化的安全防护转移。

  3）风险评估要求，三级企业每年有必要进行一次网络安全风险评估与审计，确立了风险评估对于工业互联网公司网络安全建设中至关重要的作用，对风险评估的普及起到了良好的推动作用。这与等级保护在检查测评方面的要求也是大致相同。

  结合指南中对三类行业的定义，实际上对于钢铁、有色、石化化工、轨道交通装备、船舶及海洋工程装备、航空航天装备等行业提高了安全建设要求，在网络安全建设的基础之上要进行企业级、省级、国家级工业互联网安全监测平台建设，并保证工业安全态势可管可控；每年开展企业风险评估工作，保证能够及时了解企业面临的安全风险，结合省级以上平台的风险通报，从而可以依据实际风险及时作出调整网络安全防护重点，保障关键信息基础设施安全。

  针对工业互联网公司安全监测实际需求，威努特从工业资产管理、工业网络安全状态监测、安全事件分析、工控安全态势感知等方面出发，使用先进技术，借鉴 “一个中心、三重防护”的纵深防御模型，着力研发，建立企业安全运营中心，为工业互联网公司提供资产安全态势分析、脆弱性态势分析、攻击路径分析、合规性评估的能力，利用可视化技术，保证企业的三个可视化，资产可视化、威胁可视化、合规性可视化，为工业互联网企业安全监测平台实际落地提供了技术和产品支撑。

  工业互联网作为新一代信息技术与制造业深度融合的产物，日益成为新工业革命的关键支撑和深化“互联网+先进制造业”的重要基石，对未来工业发展产生全方位、深层次、革命性影响。威努特作为工业领域安全的领军企业，将不遗余力的携手工业互联网企业一起努力，共同构建网络、平台、安全三大功能体系，打造人、机、物全面互联的新型网络基础设施，为推进制造强国和网络强国建设添砖加瓦。

  威努特作为国家高新技术企业，以创新的“白环境”整体解决方案为核心，自主研发了全系列工控网络安全专用产品，拥有52项发明专利、50项软件著作权、52项原创漏洞证明等核心知识产权。积极牵头和参与工控网络安全领域国家、行业标准制定，受邀出色完成新中国70周年庆典、十九大、两会等重大活动的网络安保任务，被授予“国家重大活动网络安保技术支持单位”，得到了中央网信办、公安部、工信部等国家府部门的高度认可。迄今已成功为电力、轨道交通、石油石化、军工、烟草、市政、智能制造、冶金等国家重要行业1000多家工业公司可以提供了全面有效的安全保障。