新基建最重要的包含5G、人工智能、工业互联网等为代表的新型基础设施，其本质上是信息数字化的基础设施，是支撑传统产业向网络化、数字化、智能化方向发展的信息基础设施。新基建包括新一轮的网络建设以及数据信息相关服务，如大数据中心、云计算中心。新基建以信息化为重心，信息和网络的安全保障将成为中国新基建的核心所在。

  工业互联网作为新基建的重要内容，是以互联网为代表的新一代信息技术与工业系统深层次地融合形成的新领域、新平台和新模式，本质是用数据+模型为公司可以提供服务，以机器、原材料、控制管理系统、信息系统、产品以及人之间的网络互联为基础，通过对工业数据的全面深度感知、实时传输交换、快速计算处理和高级建模分析，实现智能控制、运营优化和生产组织方式变革。我国已经将工业互联网作为重要基础设施，为工业智能化提供支撑。2017年，国家出台工业互联网顶层规划，2019年，工业互联网被写入政府工作报告，工业互联网逐渐进入实质性落地阶段。

  新基建将有力推动工业互联网加快速度进行发展，其安全问题应该是重中之重。2020年2月，工信部公布年度工业互联网试点示范项目，网络、平台、安全三个层面共81个项目；整体看来，5G、平台、安全将是工业互联网行业未来最重要的三大方向。2020年3月，工信部发布了《关于推动工业互联网加快发展的通知》（以下简称《通知》），明确加快新型基础设施建设，改造升级工业互联网内外网络，促进企业上云上平台，推动企业加快工业设施联网上云、业务系统云化迁移。《通知》同时要求，加快健全安全保障体系，完善安全技术监测体系，以及健全安全工作机制，完善企业安全信息通报处置和检查检测机制，对典型平台、工业公司开展现场检查和远程检测，督促指导企业提升安全水平，对工业APP开展检测分析，增强APP安全性。

  工业互联网具有开放、互联、跨域、融合等特点，这是工业互联网的独特优势，也是工业互联网发展的一个重要前提和基础。特别是与互联网相连后，既面临来自互联网的外部威胁，又与工业生产等内部安全问题相互交织，给网络安全带来新威胁。加强对工业互联网的网络安全监管，威胁监测、远程检测和现场检查等常态化安全监管工作应同步进行。

  一是安全管理的挑战。随着我们国家网络安全法不断落实，各个行业都在认定行业内关键信息基础设施，对国计民生产生重大影响。企业规模差距很大，存在大量中小规模的工业公司。很多企业存在重生产、轻安全的老思想，对网络安全不够重视，投入不足，管理不完善，人员配备不齐。工业公司与电信运营商与互联网公司相比，对网络不熟悉，现场人员主要是生产人员，网络安全意识低、网络技能差。

  二是应用场景丰富，网络安全威胁多样。工业公司覆盖面广，除了计算机、通信等传统IT行业，还包括铁路、航天等运输设备制造业、汽车制造业、通用设备制造业，以及电器机械和器材、烟草、轻工业、土木工程等范围广泛的行业，覆盖生产行业的方方面面，各个行业都有不同的工业互联网应用场景。工业互联网使工业生产企业的对外网络交互大幅度提升，5G等新通信技术赋能工业互联网，也极大丰富了工业互联网应用场景。这导致工业互联网网络结构和边界复杂，引入大量新的安全风险。如在网络隔离方面，边缘计算的隔离检查不足，缺乏合理的控制策略等。

  三是数据安全问题凸显。一方面企业对数据资产的管理经验不足，在5G等新技术加持下，企业产生的数据量会极大地增加，在以往的挑战还没有充分解决的情况下，数据管理成为新的挑战。另一方面，由于网络化及上云、人工智能数据分析等融合发展，使消费端和生产端联系前所未有的紧密，企业与外界的数据流通较以往大大频繁，但很多企业在数据安全防护方面没做好充分的准备。

  防范风险，安全先行。为确保工业互联网相关企业做好网络安全工作，建议主管部门逐步加强工业互联网安全监督检查，从现场检查、远程检测等方面入手，建议着重关注以下要点：

  一是强化网络安全管理。网络安全重在管理，对网络安全管理监督检查以现场为主，辅以监管平台信息收集和企业相关情况报送。主要注重企业有没有完备的网络安全管理体系，是否建立了统一的安全管理机构，明确安全主体责任；是否明确了相关岗位工作职责，是否配备了足够的安全人员，是否制定了完备的安全制度体系，是否按规定落实各项管理制度等。

  二是加强安全防护。安全防护需要技术措施和管理并重，既要技术措施到位，又要日常运维管理严格落地。对安全防护的监督检查，能够最终靠现场检查和常态化远程检测相结合的方式，重点包括生产设备安全、生产的全部过程控制安全、网络安全、平台和应用安全等方面。检查内容有防护设备是不是到位，安全策略是否完备，运营维护是否严密，是不是真的存在安全漏洞等。

  三是确保数据安全。工业互联网连接生产、流通、消费各环节，促进数据流动，一定要采取措施确保数据安全。对工业互联网数据安全监督检查必须持续进行。重点内容有数据安全管理制度的完善和落实，数据资产的梳理和数据分级分类；数据收集、处理、存储、共享、销毁等全生命周期的安全保护措施；个人隐私信息保护的方法；数据出境安全评估等。