鐵路網絡空間安全治理新格局實踐淺議

前言：本站為你精心整理了鐵路網絡空間安全治理新格局實踐淺議范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要：隨著新興技術的應用和發(fā)展，網絡的邊界越來越模糊，鐵路面臨的安全風險挑戰(zhàn)愈發(fā)激烈，加強鐵路網絡安全空間治理，建立治理新格局勢在必行。文章從政治、經濟、社會和技術4個維度分析我國網絡空間安全治理現(xiàn)狀，結合鐵路實際，總結鐵路網絡空間安全治理實踐及取得的成效。為了構建鐵路網絡安全立體化綜合防御、協(xié)同共治的新發(fā)展格局，從多維度統(tǒng)籌考慮，研究提出鐵路網絡空間安全治理在政治引領制度落地、產業(yè)促進服務支撐、以人為本重點防護和創(chuàng)新技術融合發(fā)展等4個層面的改進路徑。

關鍵詞：網絡空間；安全治理；鐵路網絡安全；實踐成效；改進路徑

信息技術的廣泛應用和網絡空間興起發(fā)展，極大地促進了經濟社會繁榮進步，同時也帶來了新的安全風險和挑戰(zhàn)[1]。近年來，國家級有組織的網絡攻擊持續(xù)發(fā)生，數據泄露事件頻發(fā)，國家政治、經濟、文化、社會及公民在網絡空間的合法權益面臨嚴峻威脅。鐵路安全事關國家安全和公共安全，規(guī)模龐大、影響廣泛的鐵路信息系統(tǒng)全天候不間斷運行，面臨的網絡安全風險與日俱增。進一步提升鐵路網絡安全治理能力，已成為鐵路助力國家網絡安全治理體系和治理能力現(xiàn)代化的必然要求，為此，本文采用多維度分析法，分析我國網絡空間治理現(xiàn)狀，系統(tǒng)總結鐵路網絡安全治理實踐和取得的成效，并從不同維度提出相應改進路徑。

1我國網絡空間安全治理現(xiàn)狀分析

政治（P，Political）、經濟（E，Economic）、社會（S，Social）和技術（T，Technological）分析，即PEST分析，是指宏觀環(huán)境的分析，不同行業(yè)根據自身特點，分析的具體內容會有差異，但一般都包括政治、經濟、社會和技術。基于此種分析方法，本文從4個維度分析我國網絡空間安全治理現(xiàn)狀。

1.1政治和法律維度

我國網絡安全已上升到國家戰(zhàn)略，相關政策布局和法律體系不斷完善，為指導我國網絡安全工作，以及維護國家在網絡空間的主權、安全、發(fā)展和利益提供了良好的政策保障。以《中華人民共和國網絡安全法》為基礎的網絡安全法律法規(guī)體系已成為國家網絡安全保障體系的重要組成部分；將于2021年9月1日正式實施的《關鍵信息基礎設施安全保護條例》[2]更是為我國深入開展關鍵信息基礎設施安全保護工作提供了有力的法治保障。

1.2經濟和產業(yè)維度

伴隨各類新興技術的研究發(fā)展、融合應用的推廣落地，以及政策紅利的持續(xù)釋放，在數字經濟的背景下，我國網絡安全產業(yè)發(fā)展勢頭和規(guī)模持續(xù)向好，網絡安全應用市場廣泛，其中，政府、電信與金融領域應用網絡安全產品和服務最多[3]，眾多細分領域的安全需求成為推動網絡安全產業(yè)持續(xù)增長的動力。但在發(fā)展持續(xù)向好的背后，我國網絡安全產業(yè)發(fā)展不平衡、不充分的問題依然突出，特別是在內部業(yè)務數字化和外部監(jiān)管合規(guī)壓力倍增的現(xiàn)狀下，普適性安全教育投入方面仍然較少，網絡空間安全人才基數仍需進一步擴充。

1.3社會和保障維度

隨著信息化和全球經濟化相互促進，互聯(lián)網已經融入社會生活的方方面面，也深刻改變了人們的生產和生活方式，但同時，網絡安全威脅和風險也與日俱增。在新一輪產業(yè)數字化轉型的大背景下，互聯(lián)網已成為驅動產業(yè)創(chuàng)新變革的先導力量，能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重，也是可能遭到重點攻擊的目標，為此，其相關保護體系得到持續(xù)優(yōu)化。在大數據時代，個人信息已成為一種重要的社會資源，我國高度重視大數據時代帶來的隱私威脅，不斷強化個人信息保護力度，在執(zhí)法監(jiān)管與社會監(jiān)督多管齊下的有力舉措下[4]，多措并舉協(xié)同聯(lián)動的個人信息保護體系建設已初見成效。

1.4技術和創(chuàng)新維度

中華人民共和國工業(yè)和信息化部公布的《2020年網絡安全技術應用試點示范項目名單》[5]，涵蓋新型信息基礎設施安全、網絡安全公共服務、網絡安全“高精尖”技術創(chuàng)新平臺等3個大類共計177個項目，充分體現(xiàn)了國家對網絡安全技術創(chuàng)新應用的迫切需求和政策支持。技術創(chuàng)新應用在對整個經濟社會發(fā)展的融合、滲透和驅動作用日益明顯的同時，也帶來巨大的風險挑戰(zhàn)，導致網絡空間威脅和風險日益增多。更為嚴峻的是，我國科技，尤其是上游核心技術受制于人的現(xiàn)狀仍未得到徹底解決。目前，國內重要信息系統(tǒng)、關鍵信息基礎設施中使用的核心信息技術產品和關鍵服務大多依賴國外[6]，信息技術應用創(chuàng)新（簡稱：信創(chuàng)）生態(tài)體系的搭建和核心競爭力的提升問題亟待解決。

2鐵路網絡空間安全治理的實踐成效

鐵路部門深入貫徹、積極落實網絡強國戰(zhàn)略部署[7]，網絡空間安全治理工作取得了顯著成效，為鐵路發(fā)展保安全、強管理、增效益提供了強有力的安全保障。

2.1網絡安全體制機制基本構建，制度保障體系

初步形成堅決貫徹落實網絡安全工作責任制[8]明確要求，2018年，中國國家鐵路集團有限公司（原中國鐵路總公司，簡稱：國鐵集團）成立了網絡安全和信息化（簡稱：網信）領導小組。國鐵集團和所屬各單位網信領導小組實行雙組長制和雙副組長制；鐵路站段等二級單位網信領導小組組長由主要負責人擔任。同時，堅持做好網絡安全制度保障工作，以國家政策法規(guī)為指引，健全完善鐵路網絡安全有關管理制度和標準，先后印發(fā)了《中國鐵路總公司網絡安全管理辦法》《網絡安全事件調查處理和定責考核管理辦法》等制度文件，基本構建了覆蓋國鐵集團、鐵路局集團公司、鐵路站段的網絡安全管理規(guī)章制度體系。

2.2安全產品和服務市場化推進，產業(yè)示范建設廣泛布局

立足網絡安全防護實際，積極推進網絡安全產品研發(fā)和市場推廣，按照“消化吸收再創(chuàng)新”的原則，打造了一批技術過硬、易用性強的優(yōu)勢產品。產品體系涵蓋了網絡安全等級保護管理系統(tǒng)、移動終端接入平臺、漏洞管理平臺、一次性密碼（OTP，OneTimePassword）動態(tài)驗證、網絡安全基線配置核查系統(tǒng)等，已經在鐵路部分單位試點應用和落地實施。同時，緊跟鐵路業(yè)務系統(tǒng)網絡安全需要，探索打造“全領域”服務模式，以等級保護為基礎，逐步拓寬服務面，全力做好攻防演習、安全檢查、宣傳教育等各項安全保障工作。在此基礎上，著眼于為安全技術研究、信創(chuàng)體系完善、系統(tǒng)安全測試、安全人才培訓等工作提供有力支撐，積極推進網絡安全靶場實驗室、鐵路商用密碼安全評估實驗室和鐵路信創(chuàng)適配實驗室的規(guī)劃建設。

2.3安全保護體系逐步構建完善，個人數據安全有力維護

在切實落實網絡安全等級保護工作的基礎上，重點從機制制度、檢測評估和防護措施等層面著手推進鐵路關鍵信息基礎設施安全保護工作。研究制定《關鍵信息基礎設施認定規(guī)則》等規(guī)則制度，積極組織開展鐵路關鍵信息基礎設施認定工作，推動建立關鍵信息基礎設施風險評估機制，以資產評估為核心，針對每一項需要保護的資產，識別可能被威脅利用的弱點，分析并及時整改其存在的脆弱性；推進制訂了各關鍵信息基礎設施專項應急預案，定期組織開展應急預案演練，并在重要保障期間，組織對關鍵信息基礎設施進行全面安全檢查和集中重點盯控。同時，特別針對部分涉及資金交易、個人敏感信息交互的關鍵信息基礎設施，采用密碼技術進行加密以實現(xiàn)信息隱藏；進一步優(yōu)化完善鐵路12306互聯(lián)網售票系統(tǒng)隱私權政策，嚴格落實國家網絡安全有關隱私保護和數據安全要求。

2.4示范工程促進技防能力提升，信創(chuàng)體系構建有序推進

鐵路網絡安全技術能力主要包括入侵防范、邊界防護、計算環(huán)境、應用安全、數據安全、可信驗證等內容。采用試點先行、全面推廣的實施策略，有序推進鐵路領域重要信息系統(tǒng)一體化安全保障示范工程（簡稱：鐵網護欄工程）建設，初步構建了符合實際、突出重點、防護得當的鐵路網絡安全技術保障體系，鐵路系統(tǒng)性風險防范能力和網絡安全保障水平進一步增強，網絡安全技術防護能力進一步提升。同時，積極推進信創(chuàng)國產化工作，開展國產化產品的應用研究和適配工作，搭建了鐵路信息化應用國產化適配平臺，完成了相關產品開發(fā)、國產操作系統(tǒng)適配測試、鐵路電子公文系統(tǒng)和電子支付系統(tǒng)的國產化適配等工作，推進鐵路信創(chuàng)體系有序構建。

3鐵路網絡空間安全治理的改進路徑探索

進入新發(fā)展階段，面對深刻變化的鐵路內外部環(huán)境，鐵路部門要貫徹新發(fā)展理念，堅持正確方向，釋放產業(yè)支撐效能，強化核心重點防護，推進創(chuàng)新技術融合，構建鐵路網絡安全治理新發(fā)展格局。

3.1加強政治引領，突破制度落地實施瓶頸

鐵路網絡安全治理工作要嚴格落實網絡安全工作責任制要求，確保網絡安全責任清晰、主要目標明確、工作任務和保護措施具體，不斷強化網絡安全工作的政治引領和指導力度，堅決杜絕不重視網絡安全工作的情況發(fā)生。同時，本著“于法周延、于事簡便”的原則，要在制度規(guī)章和標準細則上深入細化，明確等級保護測評、風險評估、密碼測評、產品檢測等方面的具體要求和實施指南，并加大檢查考評力度，建立網絡安全定期巡視巡查制度，對發(fā)現(xiàn)的問題實行閉環(huán)管理，逐項督促，落實整改，確保做到有制可依、有制必依、依必見效。

3.2依托產業(yè)示范，促進服務支撐能力提升

隨著我國對網絡安全產業(yè)的重視程度不斷增強，各項政策規(guī)劃為網絡安全產業(yè)的發(fā)展提供了有力保障和明確指引。要對標先進典型，充分結合自身實際，加快推進網絡安全技術研究中心和靶場實驗室等的建設[9]，構建集訓、試、測、仿、技術服務、資源共享等為一體的網絡安全產業(yè)支撐機構，積極創(chuàng)新網絡安全服務模式，依托技術研究中心和實驗室的平臺優(yōu)勢，全面開展網絡安全技術研發(fā)，擴展等級保護測評工作深度，加快信創(chuàng)網絡安全防護產品研制，推進網絡安全大數據和商用密碼應用，組織開展網絡安全攻防技能競賽，構建涵蓋咨詢規(guī)劃、研究開發(fā)、檢測試驗、演練和培訓等的全生命周期服務保障體系，為鐵路網絡安全工作提供全流程支撐和個性化服務。3.3強化重點防護，貫徹以人為本核心原則關鍵信息基礎設施和重要信息系統(tǒng)已逐漸成為網絡戰(zhàn)爭的主戰(zhàn)場，對其采取針對性的重點防護至關重要。要深刻把握“網絡安全為人民，網絡安全靠人民”這一網絡安全觀的核心要義，研究制定符合鐵路實際的個人信息保護制度和個人信息分級分類標準，區(qū)分信息使用權限，明確相應級別的保護措施。同時，要嚴格按照最新法律法規(guī)和鐵路關鍵信息基礎設施認定規(guī)則程序，加快鐵路關鍵信息基礎設施認定進程，健全關鍵信息基礎設施風險評估機制，推進系統(tǒng)國產化工作，推進網絡安全設備和關鍵信息基礎設施安全可控示范應用，切實做好源頭管控。采取檢測認證、供應商安全評估、安全審查等多種手段，加強鐵路關鍵信息基礎設施供應鏈安全管理。

3.4完善信創(chuàng)體系，推進創(chuàng)新技術融合發(fā)展

新技術、新應用正在不斷融入鐵路業(yè)務、管理和服務之中，以人工智能、區(qū)塊鏈等為代表的新技術，以及建設智能鐵路帶來的新風險[10]，將為鐵路網絡安全帶來更大挑戰(zhàn)。要采用“適度超前”的思維，分析安全需求，積極制定與智能鐵路相匹配的網絡安全技術框架和實施方案，明確整體架構、技術路線、技術策略，指導網絡安全建設及技術措施實施工作，以推動新一代信息技術與鐵路網絡安全深度融合為牽引，打造現(xiàn)代智慧鐵路系統(tǒng)，強化科技創(chuàng)新的支撐引領能力。同時，按照“適配、示范、推廣”的技術路線，進一步完善網絡安全信創(chuàng)體系，加強信創(chuàng)技術和產品攻堅，推進攻防技術裝備標準化配備、國產化產品替代和國產密碼應用，全面提升核心信息系統(tǒng)安全可控度。

4結束語

基于PEST的多維度系統(tǒng)分析，總結了鐵路網絡安全治理實踐及取得的成效，立足新發(fā)展階段，充分認識鐵路網絡安全工作的重要性、復雜性和艱巨性。本文提出的改進路徑還需分階段、分重點地逐步推進實施，要始終堅持多維度、多角度、多方面、多層次、多措并舉的分析方法，把握新發(fā)展階段鐵路網絡空間安全治理的新路徑，構建鐵路網絡安全立體化綜合防御、協(xié)同共治的新發(fā)展格局，確保鐵路網絡和重要信息系統(tǒng)安全穩(wěn)定運行。

作者:孫遠運 單位:中國國家鐵路集團有限公司科技和信息化部