密博士:稀土领域密码应用政策法规标准规范
2020年1月1日,《中华人民共和国密码法》正式施行。新修订的《商用密码管理条例》于2023年7月1日起正式施行。商用密码应用在金融、公安、社保、交通、能源、水利、教育、广电、税务等领域不断向纵深拓展。
稀土是重要战略矿产资源。稀土资源管控、先进制造、产品追溯等环节深度依赖多个重要网络和信息系统。密码作为保障网络和数据安全的关键核心技术,协同管理机制,为稀土高端化、绿色化、智能化发展筑牢安全屏障。
密博士汇总了我国稀土领域部分公开的密码应用相关政策法规、标准规范。如有错漏,请在留言区指出。
一、法规规章
中华人民共和国国务院令第785号,自2024年10月1日起施行
第二条 在中华人民共和国境内从事稀土的开采、冶炼分离、金属冶炼、综合利用、产品流通、进出口等活动,适用本条例。
第三条 稀土管理工作应当贯彻落实党和国家的路线方针政策、决策部署,坚持保护资源与开发利用并重,遵循统筹规划、保障安全、科技创新、绿色发展的原则。
第十四条 国务院工业和信息化主管部门会同国务院自然资源、商务、海关、税务等部门建立稀土产品追溯信息系统,加强对稀土产品全过程追溯管理,推进有关部门数据共享。
从事稀土开采、冶炼分离、金属冶炼、综合利用和稀土产品出口的企业应当建立稀土产品流向记录制度,如实记录稀土产品流向信息并录入稀土产品追溯信息系统。
2025年7月28日,工业和信息化部、国家发展改革委、自然资源部令第71号公布,自公布之日起施行
第十条 稀土生产企业应当建立稀土产品流向记录制度,如实记录稀土产品流向信息,并于每月10日前将上月度稀土产品流向信息录入工业和信息化部会同有关部门建立的稀土产品追溯信息系统。
第十一条 稀土生产企业应当履行网络和数据安全保护义务,建立健全企业内部网络和数据安全管理制度,提升企业网络和数据安全保护水平,保障企业网络和数据安全。
2025年2月19日,工业和信息化部原材料工业司向社会公开征求意见
第二条【适用范围】在中华人民共和国境内从事稀土开采、冶炼分离、金属冶炼、综合利用和稀土产品出口等活动的企业(以下简称“稀土企业”)开展稀土产品信息追溯管理,适用本办法。
本办法所称稀土产品,是指稀土矿产品、各类稀土化合物、各类稀土金属及合金等。
本办法所称稀土产品信息追溯管理,是指运用稀土产品追溯信息系统(以下简称“稀土追溯系统”),记录稀土产品生产、流通、使用等各环节的流向信息,满足行业管理、企业合法经营等需要。
第十二条【网络和数据安全】稀土企业和稀土追溯系统运营管理机构要履行网络和数据安全保护义务,建立健全本单位网络安全和数据信息安全管理制度,规范数据管理和使用权限,采取数据分类分级保护措施,应用商用密码保护网络与信息安全,落实风险评估、监测预警和事件处置等要求,规范数据处理活动,保障网络安全和数据安全。
《工业和信息化部关于印发<工业和信息化领域数据安全管理办法(试行)>的通知》
第十五条工业和信息化领域数据处理者应当按照法律、行政法规规定和用户约定的方式、期限进行数据存储。存储重要数据和核心数据的,应当采用校验技术、密码技术等措施进行安全存储,并实施数据容灾备份和存储介质安全管理,定期开展数据恢复测试。
第十七条工业和信息化领域数据处理者应当根据传输的数据类型、级别和应用场景,制定安全策略并采取保护措施。传输重要数据和核心数据的,应当采取校验技术、密码技术、安全传输通道或者安全传输协议等措施。
……
二、政策要求
《工业和信息化部关于印发<工业领域数据安全能力提升实施方案(2024—2026年)>的通知》
二、重点任务
(一)提升工业企业数据保护能力
2.开展重要数据安全保护。指导企业建立健全数据分类分级保护等安全管理制度,定期梳理识别重要数据和核心数据,形成目录并及时报备。督促重要数据和核心数据处理者明确数据安全负责人和管理机构,落实数据分级防护要求,每年至少开展一次数据安全风险评估,及时发现整改安全隐患,按要求报送评估报告。指导企业加强重要数据和核心数据安全风险监测与应急处置,及时报告重大风险事件。推动各行业企业加强商用密码应用保护数据安全。
(二)提升数据安全监管能力
5.完善数据安全政策标准。建立健全工业领域数据安全管理制度,推动出台风险评估实施细则、应急预案、行政处罚裁量指引等政策文件。持续完善重要数据识别、备案、分级防护、风险评估等全流程监管机制,加强监督检查。组建工业领域网络与数据安全行业标准化组织,发布数据安全标准体系建设指南,加快研制重要数据识别、安全防护、风险评估、产品检测、密码应用等亟需标准。鼓励地方参照制定本地区数据安全政策。
7.推进数据安全技术手段建设。统筹建设工业和信息化领域数据安全管理平台,建立工业领域数据安全工具库,形成集数据资源管理、态势感知、风险信息报送与共享、技术测试验证、事件应急响应等功能于一体的技术能力,加强与网络安全技术、密码技术手段协同。推动有条件的地方、行业、企业等加快建立数据安全风险监测与应急处置等技术手段,强化“部-省-企业”技术能力三级联动,不断提升技术保障水平。
(三)提升数据安全产业支撑能力
9.加大技术产品和服务供给。加强工业数据智能分类分级、工业数据库审计、低时延加密传输等共性技术优化升级。加大适配工业业务场景和数据特征的轻量级数据加密、隐私计算、密态计算等关键技术攻关。支持使用商用密码技术保障工业领域数据安全。围绕工业数据泄露、窃取、篡改等风险,推动流量异常监测、攻击行为识别、事件追溯和处置等产品研发。加强面向工业云、工业大数据、工业互联网平台等新兴应用的数据安全架构设计。支持工业领域数据安全“产品+服务”供给模式创新。
10.促进应用推广和供需对接。加大多方安全计算、数据防勒索、数据溯源、商用密码等技术产品在工业领域的试点应用。组织遴选一批在各行业具有广泛应用价值的通用数据安全技术和产品,打造一批面向行业、面向场景、面向中小企业的数据安全解决方案,形成一批工业领域数据安全典型案例,分行业、分地区开展宣传推广。
《工业和信息化部科技部自然资源部关于印发“十四五”原材料工业发展规划的通知》
工信部联规〔2021〕212号,成文日期为2021年12月21日
六、加速产业转型数字化
(三)夯实数字化支撑基础
分行业推进智能制造标准体系建设。搭建智能制造标准试验验证平台,在重点行业与领域加快开展标准试点与推广。支持组建行业智能制造联盟、设立专家委员会。分行业、分场景培育一批原材料智能制造系统解决方案供应商、工业互联网服务供应商,遴选、发布供应商名录。针对原材料工业特点,形成一批数字化智能化系统解决方案。加大信息化与专业化结合的复合型人才、团队培养力度,形成一批原材料工业数字化智能化发展领军队伍。深化实施原材料生产企业工业互联网网络安全分类分级管理,推动商用密码技术应用,提升重点行业企业工业互联网安全防护能力。
《工业和信息化部 国家发展和改革委员会 教育部 科技部 财政部 人力资源和社会保障部 国家市场监督管理总局 国务院国有资产监督管理委员会关于印发<“十四五”智能制造发展规划>的通知》
工信部联规〔2021〕207号,成文日期为2021年12月21日
三、重点任务
……
(二)深化推广应用,开拓转型升级新路径。
拓展智能制造行业应用。针对装备制造、电子信息、原材料、消费品等领域细分行业特点和痛点,制定智能制造实施路线图,分步骤、分阶段推进。支持有条件有基础的企业加大技术改造投入,持续推动工艺革新、装备升级、管理优化和生产过程智能化。建设行业转型促进机构,加快数据、标准和解决方案深化应用。组织开展经验交流、供需对接活动,总结推广智能制造新技术、新装备和新模式。
……
(四)夯实基础支撑,构筑智能制造新保障。
加强安全保障。加强智能制造安全风险研判,同步推进网络安全、数据安全和功能安全,推动密码技术深入应用。实施企业网络安全分类分级管理,督促企业落实网络安全主体责任。完善国家、地方、企业多级工控信息安全监测预警网络,加快建设工业互联网安全技术监测服务体系。
……
三、标准规范
(一)标准
1.国家标准
GB/T 44462.1—2024《工业互联网企业网络安全 第1部分:应用工业互联网的工业企业防护要求》
本文件规定了应用工业互联网的工业企业在设备、控制、网络、应用平台软件、管理以及物理环境等方面不同级别的网络安全防护要求。
本文件适用于指导应用工业互联网的工业企业开展网络安全分类分级防护工作。
7.1.5.5.3 密码管理
本项要求包括:
c)使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求,密码产品应经检测认证合格;
d)根据GB/T 39786中密码应用基本要求等级,企业涉及的相关业务系统的管理者可根据业务实际情况选择相应级别的密码保障技术能力及管理能力。
7.2.3.3 通信安全
除满足7.1.3.3之外,还符合以下要求:
a)通过公共信息网络进行通信数据传输时,应采用加密认证技术手段进行数据传输、访问控制;
b)应对无线连接的授权、监视以及执行使用进行限制。
7.3.3.3 通信安全
除满足7.2.3.3之外,还符合以下要求:
a)应采用密码技术保证通信过程中数据的保密性;
b)在工业企业内部网络进行通信数据传输时,应在通信前对通信的双方进行身份认证。
7.3.5.4.2安全方案设计
除满足7.2.5.4.2之外,还符合以下要求:
a)应根据安全防护对象的安全防护需求及与其他防护对象的关系进行安全整体规划和安全方案设计,设计内容应包含密码相关内容,并形成配套文件;
b)应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定,经过批准后才能正式实施。
GB/T 44462.2—2024《工业互联网企业网络安全 第2部分:平台企业防护要求》
本文件规定了工业互联网平台企业在接入层、基础设施层、平台层、应用层、管理以及物理环境等方面不同级别的网络安全防护要求。
本文件适用于指导工业互联网平台企业开展网络安全分类分级防护工作。
7.1.5.5.3 密码管理
本项要求包括:
a)应根据GB/T 39786中密码应用基本要求等级,企业涉及的相关业务系统的管理者可根据业务实际情况选择相应级别的密码保障技术能力及管理能力;
b)使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求,密码产品应经检测认证合格。
GB/T 44462.2—2024《工业互联网企业网络安全 第3部分:标识解析企业防护要求》
本文件规定了工业互联网标识解析企业在设备和系统、网络、业务和应用、管理以及物理环境等方面不同级别的网络安全防护要求。
本文件适用于指导工业互联网标识解析企业开展网络安全分类分级防护工作。
7.1.4.5.3 密码管理
本项要求包括:
a)使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求,密码产品应经检测认证合格;
b)应根据GB/T 39786中密码应用基本要求等级,企业涉及的相关业务系统的管理者可根据业务实际情况选择相应级别的密码保障技术能力及管理能力。
GB/T 37955—2019《信息安全技术 数控网络安全技术要求》
本标准提出了数字化工厂或数字化车间的数控网络安全防护原则,规定了数控网络的安全技术要求,包括设备安全技术要求、网络安全技术要求、应用安全技术要求和数据安全技术要求。
本标准适用于数控网络安全防护的规划、设计和检查评估。
5.3 安全技术要求
本标准提出了设备安全技术要求、网络安全技术要求、应用安全技术要求、数据安全技术要求和集中管控技术要求。
设备安全技术要求对数控网络中采集服务器上的操作系统,NC服务器上的操作系统、数据库系统,数控设备上数控系统的操作系统以及数控网络中的网络通信设备从身份鉴别、访问控制、入侵防范资源控制、恶意代码防范、安全审计等方面进行了规定。
网络安全技术要求从网络架构、数控网络与管理网络以及数控网络内部不同安全区域之间的边界防护、访问控制、入侵防范、安全审计以及数控网络中无线网络的使用控制等方面进行了规定。
应用安全技术要求对采集服务器、NC服务器、数控设备上数控系统安装的各类应用软件从身份鉴别、访问控制、资源控制、软件容错、安全审计等方面进行了规定。
数据安全技术要求对设备上存储的NC代码、工艺文件、审计记录等及设备之间传输的NC代码设备状态信息等数据从数据完整性、数据保密性、数据备份恢复、剩余信息保护等方面进行了规定,应根据业务类型对数控网络的业务敏感数据进行分级并采取相应的保护措施。
集中管控技术要求对数控网络中由安全设备及安全组件实现的各类安全机制的集中管理进行了规定。
……
2.行业标准
YD/T 6142—2024《面向矿山领域的5G+工业互联网应用场景及技术要求》
本文件规定了面向矿山领域的5G+工业互联网应用场景分类及矿山的实际作业过程中五类典型应用场景的技术要求。
本文件适用于5G+工业互联网在矿山领域的方案制定、产品研发和系统建设,也适用于第三方测试机构对矿山领域5G+工业互联网产品技术指标的评审和评估。
YD/T 4995—2024《工业互联网边缘计算平台安全防护要求》
本文件规定了工业互联网边缘计算平台安全防护的具体要求,包括边缘节点安全、网络安全、应用安全、云边互联安全、数据安全、安全管理方面的要求。
本文件适用于工业互联网边缘计算平台,为工业互联网边缘计算平台的建设、运营和维护提供参考依据。
6.6. 安全管理要求
6.6.2. 资产管理
资产管理要求包括:
……
h)应采用符合国家标准或行业标准的密码算法和认证核准的密码产品;
……
YD/T 4979—2024《工业互联网 时序数据安全网关技术要求》
本文件规定了工业互联网时序数据安全网关的技术要求,包括功能要求、管理要求、可扩展可靠性以及性能要求等。
本文件适用于指导工业互联网时序数据安全网关的设计、开发等。
9.2 接口要求
时序数据安全网关的接口要求包括南向接口、北向接口两部分内容,主要包括:
a)北向接口要求主要包括:
1)日志接口传输可支持Kafka、Syslog等方式,但不仅限于上述方式;
2)应用层协议可支持HTTP、HTTPS、MQTT等类型,但不仅限于上述类型;
3)支持加密算法调用接口,包括AES等国际密码算法及SM2、SM3、SM4等符合国家标准的商用密码算法。
4)支持Web Service、SFTP 等应用程序或协议调用时进行认证,需认证成功后可接入。但不仅限于上述方式,如:以Web Service的软件接口的方式远程接入安全管理平台,可使用令牌进行认证接入。
……
YD/T 4978—2024《工业互联网安全监测与管理系统通用要求》
本文件规定了工业互联网安全监测与管理系统的数据采集处理要求、安全监测分析要求、安全集中管理要求、系统安全要求、性能要求等。
本文件适用于应用工业互联网的工业企业、工业互联网平台企业、标识解析企业,以及基础电信企业建设的工业互联网安全监测与管理系统的规划、设计和实施。
9 系统安全要求
本项要求包括:
a)应遵循最小安装的原则,仅安装需要的组件和应用程序,关闭不需要的服务、端口;
b)应对系统用户划分不同角色(系统管理员、安全管理员、数据库管理员、业务操作人员、业务管理人员等),各角色之间职能与责任应相互独立、相互制约;
c)应支持采用数据加密机制和防假冒身份、防重放等防范手段;
……
YD/T 4975—2024《工业互联网安全隔离与信息交换系统技术要求》
本文件规定了工业互联网安全隔离与信息交换系统的功能要求、系统管理要求和性能要求。本文件适用于工业互联网安全隔离与信息交换系统的设计、开发和测试。
7.1.5 多鉴别
应能向管理角色提供除口令身份鉴别机制以外的其他身份鉴别机制(如证书、智能IC卡、指纹等鉴别机制)。
7.2.2 管理信息传输安全
当需要通过网络进行管理时,应能对管理信息进行保密传输。
YD/T 4713—2024《工业互联网安全测试评估环境参考架构》
本文件规定了工业互联网安全测试评估环境的总则、安全仿真系统、测评管理控制系统、安全验证系统。
本文件适用于能源、化工、烟草、制造等行业的工业互联网安全测试评估环境的设计、测试与评估,其他系统的安全测试评估环境可参照执行。
6.1.2 工业互联网安全防护系统
工业互联网安全防护系统宜遵循如下设计原则:
a)建立与真实生产环境等价的工业互联网安全防护系统,节点防御策略、安全分区、网络隔离策略及其部署保持一致性;
b)安全防护系统分为边缘安全防护、企业综合安全防护与管理、国家级/省级/行业级安全平台等;
c)安全防护系统包括正反向隔离装置、加密认证装置、防火墙、入侵检测系统、安全态势感知系统、安全监测系统、安全网关等;
d)安全防护系统与工业网络系统、工业互联网平台、工业控制系统之间具备协同联动特性。
YD/T 4214—2023《工业互联网安全态势感知系统技术要求》
本文件规定了工业互联网安全态势感知系统的技术要求,包括数据准备、态势评估与展示、态势告警与响应、系统安全要求。
本文件适用于工业互联网安全态势感知系统的设计、开发、建设、检测、部署和维护。
9.4 数据安全性
本项要求包括:
a)应采用密码技术保证重要数据在传输过程和存储过程中的保密性和完整性,包括但不限于鉴别数据、重要业务数据等;
b)应提供重要数据的数据备份与恢复功能;
c)应保证存有重要数据的存储空间被释放或重新分配前得到完全清除。
GM/T 0119—2022《PLC控制系统及PLC控制器密码应用技术规范》
本文件描述了PLC控制系统和PLC控制器的基本组成;定义了PLC控制系统的密码应用功能PLC控制系统密码应用总体要求和密码应用基本流程;定义了PLC控制系统中各组成设备的密码应用功能和密码应用要求;给出了PLC控制系统密码应用接口参考。
本文件适用于集成密码功能的PLC控制系统和 PLC控制器的设计、开发,也可用于指导相关产品的密码应用检测。
本标准规定了工业互联网数据安全保护的范围及数据类型、工业互联网数据重要性分级与安全保护等级划分方法,规定了低/中/高重要性数据在数据产生、传输、存储、使用、迁移及销毁阶段的具体安全保护要求。
本标准适用于工业互联网相关服务组织或企业开展数据安全保护工作。
……
3.地方标准
DB36/T 1860—2023《稀土产品链的可追溯性体系设计与实施指南》
该地方标准由江西省稀土标准化技术委员会归口上报,主管部门为江西省市场监督管理局,自2024年5月1日起正式实施
5.5 建立追溯体系的系统与平台
5.5.1 系统与平台构成设计
稀土产品链可追溯体系的系统与平台,可由产品追溯系统、追溯服务平台和追溯管理平台构成(见图1),上述系统与平台可以在一个系统或平台中实现,也可以分布在不同的系统或平台中实现。 其中产品追溯系统主要针对企业,系统可包括产品的初级生产、生产加工、包装、仓储、运输、配送、销售、消费(使用)等多个环节的追溯模块。
追溯服务平台的构成可包括政府服务平台、行业组织服务平台、公众服务平台等。追溯管理平台的构成可包括国家级追溯管理平台、省级追溯管理平台、地市级追溯管理平台和县级追溯管理平台等。
5.5.2 系统与平台设计要求
组织应结合稀土产品链实际,对系统与平台的设计目标、系统构成、功能需求等内容进行设计,应制定相关标准,确保不同系统与平台之间的追溯信息有效衔接和交换,应结合稀土产品特性、追溯成本等方面因素合理确定追溯单元。应具体规定系统与平台的追溯信息内容要求、数据存储要求、数据安全等级要求、数据管理与分析要求、数据交换要求等。
……
(二)规范
《工业和信息化部关于印发工业控制系统网络安全防护指南的通知》
工信部网安〔2024〕14号,成文日期为2024年1月19日
工业控制系统是工业生产运行的基础核心。为适应新时期工业控制系统网络安全(以下简称工控安全)形势,进一步指导企业提升工控安全防护水平,夯实新型工业化发展安全根基,制定本指南。
使用、运营工业控制系统的企业适用本指南,防护对象包括工业控制系统以及被网络攻击后可直接或间接影响生产运行的其他设备和系统。
二、技术防护
12.根据承载业务特点、业务规模、影响工业生产的重要程度等因素,对工业以太网、工业无线网络等组成的工业控制网络实施分区分域管理,部署工业防火墙、网闸等设备实现域间横向隔离。当工业控制网络与企业管理网或互联网连通时,实施网间纵向防护,并对网间行为开展安全审计。设备接入工业控制网络时应进行身份认证。
13.应用第五代移动通信技术(5G)、无线局域网技术(WiFi)等无线通信技术组网时,制定严格的网络访问控制策略,对无线接入设备采用身份认证机制,对无线访问接入点定期审计,关闭无线接入公开信息(SSID)广播,避免设备违规接入。
14.严格远程访问控制,禁止工业控制系统面向互联网开通不必要的超文本传输协议(HTTP)、文件传输协议(FTP)、Internet远程登录协议(Telnet)、远程桌面协议(RDP)等高风险通用网络服务,对必要开通的网络服务采取安全接入代理等技术进行用户身份认证和应用鉴权。在远程维护时,使用互联网安全协议(IPsec)、安全套接字协议(SSL)等协议构建安全网络通道(如虚拟专用网络(VPN)),并严格限制访问范围和授权时间,开展日志留存和审计。
15.在工业控制系统中使用加密协议和算法时应符合相关法律法规要求,鼓励优先采用商用密码,实现加密网络通信、设备身份认证和数据安全传输。
……
相关回顾
▌来源:云上(江西)密码服务科技有限公司
整理/密博士 编辑/邹紫凯 核校/叶凯灵 审签/金艳萍
©云上密码
- 云上(江西)密码服务科技有限公司
-
0791-88861782 -
jin@cipheroncloud.com - 密码服务热线:400-9699-016 叶女士
- 招聘事宜咨询:0791-88856956 金女士
- 地址:江西省南昌市南昌高新技术产业开发区火炬大街161号海上汇商业广场10楼 邮编:330096
赣公网安备 36010202000226号- 赣ICP备20003422号
- Copyright © 云上(江西)密码服务科技有限公司
