为保障上海市重点行业数字化转型过程中的网络安全、数据安全建设需求,加快牵引一批示范应用场景,形成一批行业解决方案,打造一批专业服务厂商,根据《上海市经济信息化委关于开展2023年重点行业网络安全建设需求征集的通知》(沪经信软〔2023〕988号),我委组织开展了场景需求征集,形成了网络安全建设需求清单,现集中开展网络安全解决方案揭榜挂帅(以下简称“揭榜”)工作。有关事项通知如下。
一、揭榜内容
本次揭榜包括上海复星医药(集团)股份有限公司、上海振华重工(集团)股份有限公司、中远海运科技股份有限公司、上海汽车集团服份有限公司乘用车分公司、上海申通轨道交通检测认证有限公司、上海汽车集团股份有限公司技术中心、上海微创医疗器械(集团)有限公司、上海核工程研究设计院股份有限公司、工业互联网创新中心(上海)有限公司、联创汽车电子有限公司、零束科技有限公司、上海弘卓网络科技有限公司等企业(以下简称“发榜企业”)的十二个应用场景和安全需求,征集相应的网络安全解决方案。具体内容见附件1。
二、揭榜要求
(一)揭榜主体资格。揭榜单位应在中华人民共和国境内注册、具备独立法人资格,信用良好且具有较好的网络安全融合创新、项目集成建设等能力。鼓励各揭榜单位组建申报联合体,为发榜企业提供理念先进、技术一流、集成度好的整体安全解决方案。
(二)揭榜意向征集。12月22日前,各揭榜单位根据自身优势和市场竞争能力条件确定揭榜意向,填写揭榜意向征集表(附件2)并反馈至联系邮箱。
(三)解决方案揭榜。12月28日前,市经济信息化委将组织发榜企业开展集中需求解读,为揭榜单位做好解决方案编制的对接服务。2024年1月12日前,各揭榜牵头单位将《2023年重点行业网络安全解决方案揭榜申报书》(附件3)一式三份及电子版报市经济信息化委。同一揭榜主体最多牵头揭榜两项建设需求。
(四)方案评审。2024年1月底前,市经济信息化委组织发榜单位、相关行业以及网络安全领域专家开展解决方案评审工作,遴选行业优秀解决方案。
(五)方案实施推广。市经济信息化委将加强评估,推动相应方案落地实施。对其中符合上海市促进产业高质量发展等专项支持政策的相关工程项目,予以支持;对纳入应用场景解决方案的创新产品,推荐纳入《上海市创新产品推荐目录》;对解决行业共性问题,可复制推广的优秀方案及经验做法,将在征询有关企业及方案提供厂商意见后,加强案例的行业推广和宣传报道,有条件的将推动制定相应技术标准。附件1
2023年重点行业网络安全建设需求榜单
一、上海复星医药(集团)股份有限公司——医药研发数据分类分级及外溢风险管理
(一)场景应用简介医药研发数据主要包括先导化合物筛选、临床前、临床试验、药品申报、上市后疗效副作用跟踪、销售额、专利和文献等数据,涉及对个人信息、医疗数据、病历资料、人类遗传资源、健康大数据、临床试验数据等数据处理。
(二)安全需求简介目前未对全量的研发数据进行统一的盘点、识别及管控,需针对医药研发数据实行数据分类分级,形成切合自身的制度和标准,并对分类分级数据实行相应的保护措施,防止重要研发数据外溢及合规风险。
(三)分项需求清单
| 建设内容 | 技术参数/能力要求 | 交付类型 |
| 研发数据分类分级,对研发数据进行盘点与识别,制定数据分类分级制度及标准,按照既定制度或标准进行归类、确定等级,并识别在数据全生命周期中的合规风险。 | 具有医药行业数据分类分级经验案例;主导进行研发数据分类分级工作落地及合规识别。 | 咨询服务及文档 |
| 基于分类分级制度,针对研发数据外溢风险管理,对数据采集、数据传输、数据存储、数据使用、数据共享、数据销毁等进行管控以及识别合规风险。 | 能够提供一体化数据安全解决方案,不仅限于加密、DLP、备份等技术能力,了解并能够应对外部合规监管风险。 | 产品及服务 |
二、上海振华重工(集团)股份有限公司——企业级IoT数据安全及网络安全
(一)场景应用简介振华重工正在推进IoT数字化建设,需采集各生产基地的设备、能耗及其他生产数据,建立统一数据源、统一口径的基于数据的生产运营监控与决策支持体系,为ERP、MOM平台提供生产数据底层支撑,为建设智能制造管理平台建立基础。
(二)安全需求简介振华重工IoT平台数字化建设项目,部署于公司总部数据中心,各基地现场部署工控相关设备,通过工业防火墙与各基地办公网络逻辑隔离,经安全策略管控后,与总部数据中心连接,各基地以专线方式与总部连接,实时将工控数据传递至平台进行分析处理。在工控数据传输过程中,由于工厂及设备都比较老旧,部分设备加装了4G模块,由4G通过互联网传输至总部数据中心,很难做到在工厂侧做到统一的数据出口安全。
(三)分项需求清单
| 建设内容 | 技术参数/能力要求 | 交付类型 |
| IoT数据安全建设:通过数据分类分级产品,实现智能识别港机装备制造业数据类型,完成数据分类、分级,在此基础上实现数据安全建设。 | 自动识别数据类型,进行数据分类、分级及数据安全建设。 | 产品 |
| IoT网络安全建设:工控安全产品的运维及管理难度远高于传统网络安全,希望将工业网络安全产品(如工业日志审计类产品、流量分析类产品、工业防火墙类产品等)整合至一套产品中。 | 工业级硬件,无风扇全封闭设计、冗余电源、满足工业现场恶劣环境应用,支持多种工业协议。 | 产品 |
三、中远海运科技股份有限公司——云平台漏洞治理
(一)场景应用简介作为新型基础设施,云计算对企业的数字化转型至关重要,为此中远海科专项研发建设了云计算平台,并逐步推进“应用上云”。由于存在规模庞大、复杂多样的特点,在云平台建设和“应用上云”过程中也可能存在较大的网络安全风险,需要有针对性的对重点组件形成一套有效的漏洞发现和治理框架,并利用揭榜机制和产学合作模式,形成示范性试点应用,全面提升云计算环境的健壮性。
(二)安全需求简介中远海运科技近年来正在配合中远海运集团大力推进专有云建设和应用上云等工作,云平台漏洞治理工作需要能够适应“云优先”和“云原生”的应用环境,全面考虑复杂技术组件的安全场景,确保识别云平台漏洞的全面性和准确性,并在2024年完成。云平台架构和漏洞数据本身作为技术敏感信息,存在泄露风险,要重点防护,并且需要满足各方面合规要求,包括但不限于《网络安全法》、《数据安全法》、《个人信息保护法》和《密码法》以及等级保护等法律法规、标准要求。
(三)分项需求清单
| 建设内容 | 技术参数/能力要求 | 交付类型 |
| 全面考虑云平台技术组件的安全场景,针对重点组件开展风险评估,提出漏洞发现和治理的技术框架,形成示范性试点应用。 | 1)具有独立法人资格;2)可在上海本地完成技术服务,具备相关技术研究和服务能力。 | 外包服务 |
四、上海汽车集团股份有限公司——智能网联汽车车端数据安全及网络安全合规建设
(一)场景应用简介聚焦智能网联汽车的两大痛点,开展相关能力建设。第一项为匿名化处理:哨兵模式、远程泊车、极拍等功能场景的实现均涉及个人敏感数据匿名化处理效果是否合规,随着国内数据安全及网络安全标准的落地,功能场景的合规性直接影响到车型产品公告能否通过;第二项为远程控车app:为了提供更优质的用户体验,远程控车app被广泛应用,100%覆盖智能网联汽车,但是由于每款车型的用户群体不够广泛,app的加固及更新迭代不够及时,比较容易被黑客利用。(二)安全需求简介当前对于数据安全及网络安全已有GDPR、《智能网联汽车数据通用要求》、UN ECE R155、《汽车整车信息安全技术要求》等合规要求,企业产品在开发及公告过程中应充分考虑合规风险,基于已有的数据安全、网络安全开发框架,形成重点功能场景的合规性检测能力,提供合规检测服务。
(三)分项需求清单
| 建设内容 | 技术参数/能力要求 | 交付类型 |
| 出车数据匿名化效果合规性评价,支撑功能场景开发迭代。 | 供应商应具有正向开发经验,向用户提供过数据匿名化产品。 | 系统平台 |
| 控车app合规检测,对app漏洞挖掘,识别app应用风险。 | 具备app逆向、加壳、脱壳、代码混淆等分析能力。 | 测试工具及测试能力 |
| 作为第三方试验室提供数据安全及网络安全合规检测服务。 | 具备数据安全合规检测能力、网络安全合规检测能力,并具备第三方试验室资质及服务体系。 | 外包服务 |
五、上海申通轨道交通检测认证有限公司——城市轨道交通网络安全关键产品检验检测平台建设
(一)场景应用简介为了满足城市轨道交通产业发展,对网络安全产品的选用及管理进行统一规范,形成轨道交通企业网络安全产品检测合格目录,同时对质量及效果进行验证监督,透明化网络安全产品的安全性、可靠性和可用性,推动适配轨交行业网络安全产品的开发及发展,现设计建设一套适用于城市轨道交通网络安全关键产品的检验检测平台实现以测促改。
(二)安全需求简介平台基于标准化、流程化、规范化及自动化测试平台技术,研究城市轨交业务场景安全产品各方面需求,对接国内外网络安全产品重要参数要求,定义各类检测工具要求,构建轨交行业网络安全产品测试评价标准体系,形成集检测、培训、标准为一体的城市轨交创新安全检测服务体系。执行期限为一年。
(三)分项需求清单
| 建设内容 | 技术参数/能力要求 | 交付类型 |
| 研制一套软硬件结合的城市轨道交通网络安全关键产品检验检测平台,打造城市轨道交通检测实验室,针对主流网络安全产品,内置国内外测试技术要求、测试用例、测试方法、测试工具、评价体系等支持网络安全产品自动化引导式检验检测,结合轨道交通安全应用场景需求,输出评价报告,有效验证网络安全产品有效性及适配性。 | 支持工控防火墙、工控入侵检测、网络准入、日志审计等不少于4种主流安全产品体系化测试流程; 支持功能测试、稳定性和可靠性测试、一致性和互连互通性测试、安全性测试以及性能测试7类测试内容。 | 检验检测平台的建设方案及软硬件产品 |
| 构建城市轨道交通网络安全产品测试标准体系,基于国内外测试技术要求及安全应用场景需求研究轨道交通主流网络安全产品的重要安全参数及评价指标,建设一套满足轨道交通行业特点、业务安全要求的测试评价标准。 | 形成一套网络安全产品测试评价标准。 | 企业标准 |
六、上海汽车集团服份有限公司乘用车分公司——安心驾:上汽网联车综合安全智能管理助手(一期)
(一)场景应用简介网联车目前正面临着多样且严峻的安全风险(如网络安全风险、数据安全风险、功能安全风险等),严重威胁消费者的人身安全/财产安全以及公共的交通安全。鉴于此,上汽致力于打造创新的用户侧综合安全智能管理助手,通过移动端APP与座舱大屏等多种用户触达方式,为消费者提供可靠实用且个性化的安全服务,提升网联车驾驶体验。
(二)安全需求简介上汽安心驾的“一期”规划(执行期限2年)旨在建立“云+端”的功能框架,面向典型车联网安全威胁实现示范性的检测与处置能力。该智能助手须具备“安全感知、通报预警、智能响应”能力,实现安全态势的“可见、可管、可控、可信”。具体而言,依托于合规采集的车辆数据与车主数据,该助手须针对多类网联车安全风险建立智能威胁模型,实现安全威胁的实时检测与治理;同时,该助手须依托于云端大数据与A1大模型等先进技术,面向不同的用户群体构建安全画像,并针对满足不同特征的被画像群体采取个性化的安全防治方案(如主动安全告警,安全应急策略咨询和自动化安全应急策略部署)。
(三)分项需求清单
| 建设内容 | 技术参数/能力要求 | 交付类型 |
| 网联车数据采集:采集基本的车主信息和车型信息,并采集车辆的地理位置信息、车辆功能状态信息(电池和零部件等)、车载网络状态信息(CAN和以太网等)等。 | 数据的采集过程须符合《汽车数据安全管理若干规定(试行)》,保护消费者的隐私安全;数据的采集不能影响正常的车辆驾驶功能。 | 系统建设 |
| 安全态势感知:具备典型网络安全威胁的检测能力,主要包括近场攻击、远程攻击(含来自云端)、车内攻击及对云端的攻击等网络安全威胁;面向代表性的车辆功能安全威胁(如车辆自燃和电池异常等)以及驾驶安全威胁(如疲劳驾驶和分心驾驶等)构建示范性检测方案。 | 实现对信息娱乐系统(IVI)、车载网联通讯终端(T-BOX),车载网关(Gateway)、车载诊断(OBD)、车载信息服务(TSP)等攻击行为检测,常见的攻击行为覆盖率≥90%。提供至少2个功能安全或驾驶安全示范性检测方案。其中,网络安全风险的检测与治理须参照《R155》法规以及国内强标《汽车整车信息安全技术要求》。 | 系统建设原型技术方案 |
| 安全威胁治理:面向用户群体构建安全画像,以便实现安全事件的联合响应和主动治理;面向不同被画像群体实现个性化的安全应对方案,如安全告警和自动部署应急安全策略等;基于AI大模型和语音问答等前沿技术,为用户提供智能化的安全应急策略咨询服务。 | 基于可靠的策略划分用户群体,构建用户画像;通过车载大屏/短信提醒/APP/人工联系等方式实现安全告警服务,触达率≥90%;基于0TA/IDPS/TSP等基础设施实现安全策略的自动部署或响应,中低危安全事件应急响应时间≤24小时,高危安全事件应急响应时间≤1小时;实现安全应急策略咨询服务的技术原型方案,构建10类以上的安全应急知识策略。 | 系统建设原型技术方案 |
| 安全态势中台:实现安全事件的“可见与可溯源”,为车企、车联网平台以及监管部门提供安全决策数据和依据。 | 可查看上汽用户群体安全事件的总体概览;可进行基本的数据统计以分析安全态势的走向(地域/时间/车型等);可用于配置基本的安全检测与治理策略。 | 系统建设 |
七、上海微创医疗器械(集团)有限公司——云上/当地数据库敏感数据加密及脱敏
(一)场景应用简介针对个别含有重要的敏感数据和个人隐私信息的应用系统,要求能对数据进行识别,其中包括重要数据进行加密和个人隐私信息的脱敏。
(二)安全需求简介数据安全治理:针对含有员工个人信息或业务重要数据等敏感信息的系统数据库,需要从底层进行动态脱敏/加密处理,达到公司安全风控和相关法律合规要求,避免重要数据和隐私数据泄露或被不当利用的风险。目标期限:在9个月内达到预期效果。
(三)分项需求清单
| 建设内容 | 技术参数/能力要求 | 交付类型 |
| 数据安全治理 | 能识别特定数据类型并进行各场景(法律条例要求/医疗健康数据管理要求/医疗研发生产环节相匹配的规则),对其进行加标签或关键字过滤,进而底层数据加密或者脱敏处理,同时具备数据复原可逆功能。 | 系统建设 |
八、上海核工程研究设计院股份有限公司——基于内生安全的核能工业控制系统一体化保障平台
(一)场景应用简介核安全局在2020年发布《核动力厂网络安全技术政策》,要求识别关键数字资产并在遭受网络攻击时对关键数字资产提供充分保护。2021年,国务院发布《关键信息基础设施安全保护条例》,核能行业控制系统作为关键信息基础设施,需要从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等方面进行网络安全建设。因此,需要在上海核工程研究设计院股份有限公司设计的非能动三代核电工业控制系统中,基于内生安全建设一体化保障平台,保障核能的本质安全。
(二)安全需求简介目前核能行业网络安全防御主要采用传统安全防御手段,对于供应链预先安插的后门和未知的外部攻击没有有效的防御手段。所以,需要围绕核能工业控制系统内生安全、重要数字资产识别和网络安全预警等方面开展安全建设,形成基于内生安全的核能工业控制系统一体化保障平台,满足监管要求和合规要求,保护关键数字资产,进行监测预警和主动防御。建议执行周期2024年-2026年。(三)分项需求清单
| 建设内容 | 技术参数/能力要求 | 交付类型 |
| 基于内生安全的核能工业控制系统一体化保障平台 | 1)实现内生安全架构在核能工业控制系统具体场景下的构造,实现要地部署,应对未知威胁;2)实现资产识别、风险评估、网络预警等产品创新升级和应用,结合三代非能动核电厂工艺场景,实现网络攻击对功能安全和电厂运行的实际影响的分析,并利用人工智能和大数据分析技术对关键工艺参数进行学习与分析,通过人工智能模型和优选裁决模块,形成网络安全事件预警机制。开发资产管理、风险评估和安全预警一体化的核能网络安全运维支持平台,提升核设施的网络安全运维水平。 | 产品系统建设 |
九、工业互联网创新中心(上海)有限公司——基于网络API流量的数据防泄漏
(一)场景应用简介通过与业务应用的API流量集成对接,实现应用外发场景中文件内容的识别,达到敏感数据外发的有效审计/阻断管控。
(二)安全需求简介根据企业内部数据安全建设制度及管理要求,内部部署文件外发平台、应用DLP应用平台,通过restful API集成对接;使用范围覆盖使用文档外发平台、外发文档的内部终端用户。具体实现场景:在用户向文件外发平台上传资料时或定期对文件进行扫描,将扫描结果反馈给应用DLP平台,文件外发平台根据DLP的反馈结果选择允许或者阻断,从而保证文件上传的安全;当用户从外部下载数据时,文件外发平台会将下载的内容发给DLP检测是否含有敏感信息,并将结果反馈给外发平台,文件外发平台选择放行、阻断、脱敏后外发,从而保障文件外发的安全。
(三)分项需求清单
| 建设内容 | 技术参数/能力要求 | 交付类型 |
| 统一内容管理平台 | 统一管理DLP相关功能及报告。 | 软/硬件 |
| 应用DLP平台 | 通过API 与应用系统对接,实现DLP检测赋能。 | 软/硬件 |
来源::上海经信委
上海产业政策服务中心
政策服务部:方主任
电话-微信:15618903837
*本文发布的政策内容由上海产业政策服务中心整理解读,如有纰漏,请与我们联系。
上海产业政策服务中心:权威的政策辅导+园区招商平台
政策扶持:指导企业申请各类政府专项补贴资金,包括上海科委,经信委,发改委,商务委和各区部门政策资金项目。专业规划,重点申报,确保立项,获得扶持资金。
园区招商:上海市级园区,科创企业迁入即奖励,落实软件企业退税,签订高额返税,安排人才落户,土地厂房免租。鼓励人才创业,0元注册公司,免费提供地址,辅导申报创业政策补贴资金。
