為保障本市重點行業數字化轉型過程中的網絡安全、數據安全建設需求,加快牽引一批示范應用場景,形成一批行業解決方案,打造一批專業服務廠商,根據《上海市經濟信息化委關于開展2023年重點行業網絡安全建設需求征集的通知》(滬經信軟〔2023〕988號),我委組織開展了場景需求征集,形成了網絡安全建設需求清單,現集中開展網絡安全解決方案揭榜掛帥(以下簡稱“揭榜”)工作。有關事項通知如下。
本次揭榜包括上海復星醫藥(集團)股份有限公司、上海振華重工(集團)股份有限公司、中遠海運科技股份有限公司、上海汽車集團服份有限公司乘用車分公司、上海申通軌道交通檢測認證有限公司、上海汽車集團股份有限公司技術中心、上海微創醫療器械(集團)有限公司、上海核工程研究設計院股份有限公司、工業互聯網創新中心(上海)有限公司、聯創汽車電子有限公司、零束科技有限公司、上海弘卓網絡科技有限公司等企業(以下簡稱“發榜企業”)的十二個應用場景和安全需求,征集相應的網絡安全解決方案。具體內容見附件1。(一)揭榜主體資格。揭榜單位應在中華人民共和國境內注冊、具備獨立法人資格,信用良好且具有較好的網絡安全融合創新、項目集成建設等能力。鼓勵各揭榜單位組建申報聯合體,為發榜企業提供理念先進、技術一流、集成度好的整體安全解決方案。(二)揭榜意向征集。12月22日前,各揭榜單位根據自身優勢和市場競爭能力條件確定揭榜意向,填寫揭榜意向征集表(附件2)并反饋至聯系郵箱。(三)解決方案揭榜。12月28日前,市經濟信息化委將組織發榜企業開展集中需求解讀,為揭榜單位做好解決方案編制的對接服務。2024年1月12日前,各揭榜牽頭單位將《2023年重點行業網絡安全解決方案揭榜申報書》(附件3)一式三份及電子版報市經濟信息化委。同一揭榜主體最多牽頭揭榜兩項建設需求。(四)方案評審。2024年1月底前,市經濟信息化委組織發榜單位、相關行業以及網絡安全領域專家開展解決方案評審工作,遴選行業優秀解決方案。(五)方案實施推廣。市經濟信息化委將加強評估,推動相應方案落地實施。對其中符合本市促進產業高質量發展等專項支持政策的相關工程項目,予以支持;對納入應用場景解決方案的創新產品,推薦納入《上海市創新產品推薦目錄》;對解決行業共性問題,可復制推廣的優秀方案及經驗做法,將在征詢有關企業及方案提供廠商意見后,加強案例的行業推廣和宣傳報道,有條件的將推動制定相應技術標準。
一、上海復星醫藥(集團)股份有限公司——醫藥研發數據分類分級及外溢風險管理
醫藥研發數據主要包括先導化合物篩選、臨床前、臨床試驗、藥品申報、上市后療效副作用跟蹤、銷售額、專利和文獻等數據,涉及對個人信息、醫療數據、病歷資料、人類遺傳資源、健康大數據、臨床試驗數據等數據處理。目前未對全量的研發數據進行統一的盤點、識別及管控,需針對醫藥研發數據實行數據分類分級,形成切合自身的制度和標準,并對分類分級數據實行相應的保護措施,防止重要研發數據外溢及合規風險。
研發數據分類分級,對研發數據進行盤點與識別,制定數據分類分級制度及標準,按照既定制度或標準進行歸類、確定等級,并識別在數據全生命周期中的合規風險。
具有醫藥行業數據分類分級經驗案例;主導進行研發數據分類分級工作落地及合規識別。
能夠提供一體化數據安全解決方案,不僅限于加密、DLP、備份等技術能力,了解并能夠應對外部合規監管風險。
二、上海振華重工(集團)股份有限公司——企業級IoT數據安全及網絡安全
振華重工正在推進IoT數字化建設,需采集各生產基地的設備、能耗及其他生產數據,建立統一數據源、統一口徑的基于數據的生產運營監控與決策支持體系,為ERP、MOM平臺提供生產數據底層支撐,為建設智能制造管理平臺建立基礎。振華重工IoT平臺數字化建設項目,部署于公司總部數據中心,各基地現場部署工控相關設備,通過工業防火墻與各基地辦公網絡邏輯隔離,經安全策略管控后,與總部數據中心連接,各基地以專線方式與總部連接,實時將工控數據傳遞至平臺進行分析處理。在工控數據傳輸過程中,由于工廠及設備都比較老舊,部分設備加裝了4G模塊,由4G通過互聯網傳輸至總部數據中心,很難做到在工廠側做到統一的數據出口安全。
通過數據分類分級產品,實現智能識別港機裝備制造業數據類型,完成數據分類、分級,在此基礎上實現數據安全建設。
自動識別數據類型,進行數據分類、分級及數據安全建設。
工控安全產品的運維及管理難度遠高于傳統網絡安全,希望將工業網絡安全產品(如工業日志審計類產品、流量分析類產品、工業防火墻類產品等)整合至一套產品中。
工業級硬件,無風扇全封閉設計、冗余電源、滿足工業現場惡劣環境應用,支持多種工業協議。
????三、中遠海運科技股份有限公司——云平臺漏洞治理作為新型基礎設施,云計算對企業的數字化轉型至關重要,為此中遠海科專項研發建設了云計算平臺,并逐步推進“應用上云”。由于存在規模龐大、復雜多樣的特點,在云平臺建設和“應用上云”過程中也可能存在較大的網絡安全風險,需要有針對性的對重點組件形成一套有效的漏洞發現和治理框架,并利用揭榜機制和產學合作模式,形成示范性試點應用,全面提升云計算環境的健壯性。中遠海運科技近年來正在配合中遠海運集團大力推進專有云建設和應用上云等工作,云平臺漏洞治理工作需要能夠適應“云優先”和“云原生”的應用環境,全面考慮復雜技術組件的安全場景,確保識別云平臺漏洞的全面性和準確性,并在2024年完成。云平臺架構和漏洞數據本身作為技術敏感信息,存在泄露風險,要重點防護,并且需要滿足各方面合規要求,包括但不限于《網絡安全法》、《數據安全法》、《個人信息保護法》和《密碼法》以及等級保護等法律法規、標準要求。
全面考慮云平臺技術組件的安全場景,針對重點組件開展風險評估,提出漏洞發現和治理的技術框架,形成示范性試點應用。
2)可在上海本地完成技術服務,具備相關技術研究和服務能力。
????四、上海汽車集團股份有限公司——智能網聯汽車車端數據安全及網絡安全合規建設聚焦智能網聯汽車的兩大痛點,開展相關能力建設。第一項為匿名化處理:哨兵模式、遠程泊車、極拍等功能場景的實現均涉及個人敏感數據匿名化處理效果是否合規,隨著國內數據安全及網絡安全標準的落地,功能場景的合規性直接影響到車型產品公告能否通過;第二項為遠程控車app:為了提供更優質的用戶體驗,遠程控車app被廣泛應用,100%覆蓋智能網聯汽車,但是由于每款車型的用戶群體不夠廣泛,app的加固及更新迭代不夠及時,比較容易被黑客利用。當前對于數據安全及網絡安全已有GDPR、《智能網聯汽車數據通用要求》、UN ECE R155、《汽車整車信息安全技術要求》等合規要求,企業產品在開發及公告過程中應充分考慮合規風險,基于已有的數據安全、網絡安全開發框架,形成重點功能場景的合規性檢測能力,提供合規檢測服務。
出車數據匿名化效果合規性評價,支撐功能場景開發迭代。
供應商應具有正向開發經驗,向用戶提供過數據匿名化產品。
控車app合規檢測,對app漏洞挖掘,識別app應用風險。
作為第三方試驗室提供數據安全及網絡安全合規檢測服務。
具備數據安全合規檢測能力、網絡安全合規檢測能力,并具備第三方試驗室資質及服務體系。
????五、上海申通軌道交通檢測認證有限公司——城市軌道交通網絡安全關鍵產品檢驗檢測平臺建設為了滿足城市軌道交通產業發展,對網絡安全產品的選用及管理進行統一規范,形成軌道交通企業網絡安全產品檢測合格目錄,同時對質量及效果進行驗證監督,透明化網絡安全產品的安全性、可靠性和可用性,推動適配軌交行業網絡安全產品的開發及發展,現設計建設一套適用于城市軌道交通網絡安全關鍵產品的檢驗檢測平臺實現以測促改。平臺基于標準化、流程化、規范化及自動化測試平臺技術,研究城市軌交業務場景安全產品各方面需求,對接國內外網絡安全產品重要參數要求,定義各類檢測工具要求,構建軌交行業網絡安全產品測試評價標準體系,形成集檢測、培訓、標準為一體的城市軌交創新安全檢測服務體系。執行期限為一年。
研制一套軟硬件結合的城市軌道交通網絡安全關鍵產品檢驗檢測平臺,打造城市軌道交通檢測實驗室,針對主流網絡安全產品,內置國內外測試技術要求、測試用例、測試方法、測試工具、評價體系等支持網絡安全產品自動化引導式檢驗檢測,結合軌道交通安全應用場景需求,輸出評價報告,有效驗證網絡安全產品有效性及適配性。
支持工控防火墻、工控入侵檢測、網絡準入、日志審計等不少于4種主流安全產品體系化測試流程;?支持功能測試、穩定性和可靠性測試、一致性和互連互通性測試、安全性測試以及性能測試7類測試內容。
構建城市軌道交通網絡安全產品測試標準體系,基于國內外測試技術要求及安全應用場景需求研究軌道交通主流網絡安全產品的重要安全參數及評價指標,建設一套滿足軌道交通行業特點、業務安全要求的測試評價標準。
六、上海汽車集團服份有限公司乘用車分公司——安心駕:上汽網聯車綜合安全智能管理助手(一期)
網聯車目前正面臨著多樣且嚴峻的安全風險(如網絡安全風險、數據安全風險、功能安全風險等),嚴重威脅消費者的人身安全/財產安全以及公共的交通安全。鑒于此,上汽致力于打造創新的用戶側綜合安全智能管理助手,通過移動端APP與座艙大屏等多種用戶觸達方式,為消費者提供可靠實用且個性化的安全服務,提升網聯車駕駛體驗。上汽安心駕的“一期”規劃(執行期限2年)旨在建立“云+端”的功能框架,面向典型車聯網安全威脅實現示范性的檢測與處置能力。該智能助手須具備“安全感知、通報預警、智能響應”能力,實現安全態勢的“可見、可管、可控、可信”。具體而言,依托于合規采集的車輛數據與車主數據,該助手須針對多類網聯車安全風險建立智能威脅模型,實現安全威脅的實時檢測與治理;同時,該助手須依托于云端大數據與A1大模型等先進技術,面向不同的用戶群體構建安全畫像,并針對滿足不同特征的被畫像群體采取個性化的安全防治方案(如主動安全告警,安全應急策略咨詢和自動化安全應急策略部署)。
網聯車數據采集:采集基本的車主信息和車型信息,并采集車輛的地理位置信息、車輛功能狀態信息(電池和零部件等)、車載網絡狀態信息(CAN和以太網等)等。
數據的采集過程須符合《汽車數據安全管理若干規定(試行)》,保護消費者的隱私安全;數據的采集不能影響正常的車輛駕駛功能。
安全態勢感知:具備典型網絡安全威脅的檢測能力,主要包括近場攻擊、遠程攻擊(含來自云端)、車內攻擊及對云端的攻擊等網絡安全威脅;面向代表性的車輛功能安全威脅(如車輛自燃和電池異常等)以及駕駛安全威脅(如疲勞駕駛和分心駕駛等)構建示范性檢測方案。
實現對信息娛樂系統(IVI)、車載網聯通訊終端(T-BOX),車載網關(Gateway)、車載診斷(OBD)、車載信息服務(TSP)等攻擊行為檢測,常見的攻擊行為覆蓋率≥90%。其中,網絡安全風險的檢測與治理須參照《R155》法規以及國內強標《汽車整車信息安全技術要求》。
安全威脅治理:面向用戶群體構建安全畫像,以便實現安全事件的聯合響應和主動治理;面向不同被畫像群體實現個性化的安全應對方案,如安全告警和自動部署應急安全策略等;基于AI大模型和語音問答等前沿技術,為用戶提供智能化的安全應急策略咨詢服務。
基于可靠的策略劃分用戶群體,構建用戶畫像;通過車載大屏/短信提醒/APP/人工聯系等方式實現安全告警服務,觸達率≥90%;基于0TA/IDPS/TSP等基礎設施實現安全策略的自動部署或響應,中低危安全事件應急響應時間≤24小時,高危安全事件應急響應時間≤1小時;實現安全應急策略咨詢服務的技術原型方案,構建10類以上的安全應急知識策略。
安全態勢中臺:實現安全事件的“可見與可溯源”,為車企、車聯網平臺以及監管部門提供安全決策數據和依據。
可查看上汽用戶群體安全事件的總體概覽;可進行基本的數據統計以分析安全態勢的走向(地域/時間/車型等);可用于配置基本的安全檢測與治理策略。
????七、上海微創醫療器械(集團)有限公司——云上/當地數據庫敏感數據加密及脫敏針對個別含有重要的敏感數據和個人隱私信息的應用系統,要求能對數據進行識別,其中包括重要數據進行加密和個人隱私信息的脫敏。數據安全治理:針對含有員工個人信息或業務重要數據等敏感信息的系統數據庫,需要從底層進行動態脫敏/加密處理,達到公司安全風控和相關法律合規要求,避免重要數據和隱私數據泄露或被不當利用的風險。
能識別特定數據類型并進行各場景(法律條例要求/醫療健康數據管理要求/醫療研發生產環節相匹配的規則),對其進行加標簽或關鍵字過濾,進而底層數據加密或者脫敏處理,同時具備數據復原可逆功能。
????八、上海核工程研究設計院股份有限公司——基于內生安全的核能工業控制系統一體化保障平臺核安全局在2020年發布《核動力廠網絡安全技術政策》,要求識別關鍵數字資產并在遭受網絡攻擊時對關鍵數字資產提供充分保護。2021年,國務院發布《關鍵信息基礎設施安全保護條例》,核能行業控制系統作為關鍵信息基礎設施,需要從分析識別、安全防護、檢測評估、監測預警、主動防御、事件處置等方面進行網絡安全建設。因此,需要在上海核工程研究設計院股份有限公司設計的非能動三代核電工業控制系統中,基于內生安全建設一體化保障平臺,保障核能的本質安全。目前核能行業網絡安全防御主要采用傳統安全防御手段,對于供應鏈預先安插的后門和未知的外部攻擊沒有有效的防御手段。所以,需要圍繞核能工業控制系統內生安全、重要數字資產識別和網絡安全預警等方面開展安全建設,形成基于內生安全的核能工業控制系統一體化保障平臺,滿足監管要求和合規要求,保護關鍵數字資產,進行監測預警和主動防御。建議執行周期2024年-2026年。
1)實現內生安全架構在核能工業控制系統具體場景下的構造,實現要地部署,應對未知威脅;2)實現資產識別、風險評估、網絡預警等產品創新升級和應用,結合三代非能動核電廠工藝場景,實現網絡攻擊對功能安全和電廠運行的實際影響的分析,并利用人工智能和大數據分析技術對關鍵工藝參數進行學習與分析,通過人工智能模型和優選裁決模塊,形成網絡安全事件預警機制。開發資產管理、風險評估和安全預警一體化的核能網絡安全運維支持平臺,提升核設施的網絡安全運維水平。
九、工業互聯網創新中心(上海)有限公司——基于網絡API流量的數據防泄漏
通過與業務應用的API流量集成對接,實現應用外發場景中文件內容的識別,達到敏感數據外發的有效審計/阻斷管控。根據企業內部數據安全建設制度及管理要求,內部部署文件外發平臺、應用DLP應用平臺,通過restful API集成對接;使用范圍覆蓋使用文檔外發平臺、外發文檔的內部終端用戶。具體實現場景:在用戶向文件外發平臺上傳資料時或定期對文件進行掃描,將掃描結果反饋給應用DLP平臺,文件外發平臺根據DLP的反饋結果選擇允許或者阻斷,從而保證文件上傳的安全;當用戶從外部下載數據時,文件外發平臺會將下載的內容發給DLP檢測是否含有敏感信息,并將結果反饋給外發平臺,文件外發平臺選擇放行、阻斷、脫敏后外發,從而保障文件外發的安全。
*本文發布的政策內容由上海湘應企業服務有限公司整理解讀,如有紕漏,請與我們聯系。
湘應企服為企業提供:政策解讀→企業評測→組織指導→短板補足→難題攻關→材料匯編→申報跟進→續展提醒等一站式企業咨詢服務。
